Comments 82
UFO just landed and posted this here
Ну допустим в реанимации сестры с опытом сразу скажут что это смертельная доза для пациента и не станут выполнять приказ, т.к. много возни с бумагами потом.
UPD. Примером наверное были американские больницы (поликлиники и т.п.), поэтому 95% и были уязвимы.
UPD. Примером наверное были американские больницы (поликлиники и т.п.), поэтому 95% и были уязвимы.
-10
Скорее всего они все знали, что это смертельная доза.
Сестра знала, что делает, но в 95% случаев выполняла команду
+6
Сестра знала, что делает, но в 95% случаев выполняла команду
Нечеткая формулировка. «Знала что делает» формально != «осознавала последствия».
+2
Не по своему опыту конечно, но сёстры (по крайней мере в моей стране) со стандартными процедурами (повторюсь что в реанимации, не могу сказать на счет других отделений) очень осторожны и споры с врачами (даже так) это не редкость. Извиняюсь за странную расстановку слов, но так само получается))
+2
Ну допустим в реанимации сестры с опытом сразу скажут что это смертельная доза для пациента и не станут выполнять приказ, т.к. много возни с бумагами потом.
Ерунду вы говорите. Сестра с опытом должна спросить «а кто ты такой, чтобы мне такое командовать» и отказаться подчиняться хрену с горы.
Речь-то в статье об этом.
0
Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми.
Вот еще одна причина почему всех людей надо заменить на роботов.
+2
Здравствуйте. Меня пригласило НЛО провести аудит безопасности хабра приказом от 07.08.13
Всем лицам, имеющим доступ к созданию новых топиков, необходимо в течение 48 часов предъявить свои пароли на проверку соответствия их минимальным критериям безопасности.
Всем лицам, имеющим доступ к созданию новых топиков, необходимо в течение 48 часов предъявить свои пароли на проверку соответствия их минимальным критериям безопасности.
+24
Вам пароли в комментариях оставлять или каким способом передать?)
+6
Без первой цифры (чтобы не взломали аккаунт) — «Jksd_9*)wTds».
Нормально?
Нормально?
+5
Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка… Сорок тысяч обезьян в жопу сунули банан.
(С) надеюсь все знают кто
(С) надеюсь все знают кто
+10
Вот, держите: F{htyDfvFYtVjqGfhjkm
Ну как, соответствует критериям безопасности?
Ну как, соответствует критериям безопасности?
0
Нет. Цифры где? :)
+18
Вообще-то нет, невооруженным глазом видно, что пароль «создан» беспорядочным нажатием клавишь на клавиатуре (а раз так, то оно вовсе не истинно случайное)
-3
Был свидетелем проверки в супермаркете «Виктория» два простенько одетых мужичка покупали продукты. После того как кассир пробила очередной товар, они попросили сделать копию распечатки и вызвать старшую.
Они наклеили на товар штрих код от другого более дешевого и убедившись, что кассир не сверился с наименованием, пробив в чек пошли «журить» её руководителя.
Они наклеили на товар штрих код от другого более дешевого и убедившись, что кассир не сверился с наименованием, пробив в чек пошли «журить» её руководителя.
+5
А это должна была быть разве вина кассира, а не товароведа, или кто там наклеивает стикеры?
+1
Уязвимость в том, что кассир никак не сверяет информацию, полученную по отсканированному штрих-коду, с характеристиками реально покупаемого товара.
+3
А обязан? Думаю, разные политики на это счёт могут быть. Самая разумная — отказ пробивать товар, «браковка» конкретного экземпляра, если покупателю надо — пусть бежит за другим экземпляром (у меня такое часто бывало в «Ленте»).
-1
Причем тут товаровед? Русскими же буквами написано:
Они наклеили на товар штрих код от другого более дешевого
+1
Суть в том, что любой человек может наклеить другой штрих-код и кроме как на кассе это никак не отследить. Поэтому кассиров и учат отслеживать то, что они пробивают и в некоторых случаях еще и вес сверять, когда товар весовой а взвешивание сами покупатели проводят.
0
Суть в том, что в штате супермаркета должна быть служба охраны. И вот это их обязанность — следить, чтобы никто ничего там не лепил. Равно как и контроллировать клиентов идущих в магазин с товарами, аналогичными тем, что имеются в продаже.
0
Интересно, как?
0
Что «как»? С помощью видеонаблюдения, в крайнем случае ходить по пятам за подозрительными покупателями.
0
Посмотрю я, как вы будете с помощью видеонаблюдения следить, чтобы никто не лепил свои штрих-коды на товар.
+1
Вот я -то как раз этим и занимался в своё время! И слабо представляю, как в торговом зале может незаметно попытаться отодрать штрих-код с упаковки и потом налепить свой (который ещё и через кассу должен корректно пройти)…
А как «паровозы» отслеживают — не задумывались? Это когда не весь товар из корзинки выклаыдвается на ленту кассы, а корзина проносится под кассой и затем товар обратно закидывается в неё.
И в любом случае — даже если СБ не может за этим уследить, по-Вашему за этим уследит кассир? Это его обязанность?
А как «паровозы» отслеживают — не задумывались? Это когда не весь товар из корзинки выклаыдвается на ленту кассы, а корзина проносится под кассой и затем товар обратно закидывается в неё.
И в любом случае — даже если СБ не может за этим уследить, по-Вашему за этим уследит кассир? Это его обязанность?
+1
Зачем незаметно отдирать штрих-код, если другой можно налепить поверх?
+1
Рассказываю.
Покупаешь хлеб. Приносишь домой. Аккуратно отрываешь штрих-код, на следующий день идёшь с ним в магазин и лепишь на колбасу поверх того, который там уже есть.
Сам не пробовал ;)
Покупаешь хлеб. Приносишь домой. Аккуратно отрываешь штрих-код, на следующий день идёшь с ним в магазин и лепишь на колбасу поверх того, который там уже есть.
Сам не пробовал ;)
0
Рассказываю как ещё проще! Только с продуктами даже не стоит морочиться — тут хорошо подходят цифровые супермаркеты. Достаём товары из двух коробок (желательно одного назначения/фирмы производители, но очень разные по цене) и просто меняем коробки. Тут важно оценить, способен ли кассир будет бегло определить несоответствие товара упаковке. Да и умысел тут не пришьёшь — ну перепутал коробки пока смотрел.
P.S. Штрих-код на скотч лепить будете? Обычно он вместе с упаковкой отдирается.
P.S. Штрих-код на скотч лепить будете? Обычно он вместе с упаковкой отдирается.
0
Вообще много могу рассказать про таких «несунов». Тут прямо учебник по психологии писать можно. Многие это делают не столько ради корысти, сколько ради острых ощущений. И кноечно поло-возрастная структура. Мужчин средних лет меньше всего. Дети, женщины (в том числе и пожилые) — вот основной контингент. Многие на кассе очень нервничают — намётанным взглядом такой клиент сразу опознаётся даже внешне — у некоторых даже ноги трясутся и все прочие атрибуты дикого нервного перевозбуждения. )))))
0
Ну как бы у кассы есть специально зеркало сверху, в которое отлично видно содержимое тележки. В нормальных магазинах.
0
Если честно, никогда не видел охранников в торговом зале крупных гипермаркетов. Они всегда стоят на входе в зал и на выходе касс.
0
А, спасибо, ясно… Тогда да — не «самая разумная тактика», а вообще без вариантов — тормозить очередь, звать старшего продавца/кассира, предложить покупателю сбегать за другой единицей такого же товара.
0
Ну так стандартная же процедура. Называется «контрольная закупка». Весьма действенный способ проверки торговых точек.
0
Есть интересная книга Брюса Шнайера «Thinking Sensibly About Security in an Uncertain World» («Взвешенные рассуждения о безопасности в переменчивом мире»). Правда не переведена по-моему.
A few years ago, a colleague of mine was showing off his company’s network security operations center. He was confident his team could respond to any computer intrusion. “What happens if the hacker calls a bomb threat in to this building before attacking your network?” I asked. He hadn’t thought of that. The problem is, attackers do think of these things.
Несколько лет назад один мой коллега хвастал отделом обеспечения сетевой безопасности в его компании. Он был уверен в том, что его команда сможет среагировать на любое проникновение в систему. «Что случится, если злоумышленник до начала атаки позвонит и сообщит об угрозе взрыва в здании?» — спросил я. Он об этом не подумал. Проблема в том, что злоумышленник о таких вещах думает.
+3
Подскажите пожалуйста где купить или скачать?
0
Ловите:
Beyond Fear: Thinking Sensibly About Security in an Uncertain World
На Хабре, кстати, его достаточно часто упоминают.
Beyond Fear: Thinking Sensibly About Security in an Uncertain World
На Хабре, кстати, его достаточно часто упоминают.
+1
Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее.
пригласить её на свидание
-11
В 2000 я работал в таможенных органах, моя невеста — в РАО ЕЭС. У РАО ЕЭС были какие-то недоплаты пошлин за экспортированную электроэнергию (это всегда бывает), по этому поводу завели какое-то дело, в общем, она попросила меня сходить в соседнее здание и что-то узнать. Я говорил — пусть позвонит по телефону и спросит. В конце концов она уломала меня сходить, меня там спросили кто я, откуда и зачем, и сказали, что ничего не скажут, а то ли ей то ли её начальству потом всё, что надо, сказали по телефону;-) Она даже удивилась. Тогда (вообще-то, ещё до этого) я для себя это объяснял так, что знание такого полуконфиденциального номера рабочего телефона чем-то аналогично знанию логина с паролем и само по себе является в некотором степени «авторизацией» и «допуском».
психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациентуНасколько я знаю из бразильских сериалов;-), «выдавать себя за другого», по крайней мере в Бразилии, является само по себе уголовным преступлением. Не знаю, как по этой части в США (там, насколько я знаю, есть другие подобные приколы — отдельным составом преступления является использование телефона и государственной почты для совершения другого преступления и дача ложных показаний и прочий «обман правосудия» является тяжким преступлением уровня государственной измены), но, подозреваю, с криминальной точки зрения такие действия весьма чреваты, и само получение разрешения на такие эксперименты (без которого экспериментаторов просто могли бы посадить на немалый срок) было довольно трудно и с кучей проверок и подписок (а вдруг ассистент споткнётся о порог и не успеет её остановить? тогда ассистентов надо как минимум двое, а лучше трое)…
+3
Да, забыл: ФИО доктора надо ещё откуда-то знать и привязку пациентов к докторам… тоже «конфидняк»…
0
А разве нельзя исключать наличие знакомой «Любы» с ресепшена больницы у злоумышленника?
0
Ну, как сказать… Теоретически можно, а практически «на ровном месте» трудноосуществимо. Это, образно говоря, как я как-то давно читал, типа как дорога на один то ли «закрытый» то ли просто «конфиденциальный» принадлежащий КПСС объект (но который официально не хотели числить в списке «закрытых») при СССР: несколько дорожных знаков, запрещающих проезд к «цели»: «кирпичи», единственные разрешённые направления движения, запреты поворотов…
Ниже написал поподробнее, не хочу «боянить».
Думаю, так: если враждебным спецслужбам реально потребуется ликвидировать какого-то определённого человека, они выберут не этот путь.
При предполагаемом вами раскладе злоумышленник должен не особо заботиться об избежании разоблачения и с большой вероятностью иметь с жертвой общих знакомых или вообще быть знакомым с жертвой лично.
Ниже написал поподробнее, не хочу «боянить».
Думаю, так: если враждебным спецслужбам реально потребуется ликвидировать какого-то определённого человека, они выберут не этот путь.
При предполагаемом вами раскладе злоумышленник должен не особо заботиться об избежании разоблачения и с большой вероятностью иметь с жертвой общих знакомых или вообще быть знакомым с жертвой лично.
0
Да, забыл: ФИО доктора надо ещё откуда-то знать и привязку пациентов к докторам… тоже «конфидняк»…
А меня вот Сидоров лечил, а вас кто?
А ФИО докторов бывает и на дверях кабинетов, и на бейджиках, и даже в расписании приемов, например.
0
Ну как сказать, больница — в отличие от поликлиники, объект несколько более «режимный», вопрос к неизвестному человеку в явно недомашней одежде «вы к кому, откуда и зачем» со стороны персонала более чем естественен (тем более в США, где стремятся как можно быстрее освободить койко-место ибо просто одно содержание больного в стационаре обходится в копеечку), а лишняя засветка в общем нежелательна, ну опять — привязка больных к докторам нужна… Можно, конечно, завести знакомство с кем-то из персонала, но 1) они скорее всего по должностной инструкции «обо всём подозрительном обязаны докладывать начальству» 2) в Штатах в больнице страраются долго не держать — надо быстро успеть познакомиться, втереться, сделать своё черное дело и как-то разрулить это дальше, чтоб не вызвать подозрения.
в расписании приемовРасписание приёмов бывает в поликлинике, смертельную дозу могут вколоть только в стационаре. В РФ, по крайней мере, это обычно разные учреждения с разным «пропускным режимом».
0
Ну, про разный пропускной режим, это как повезет. Летом навещал друга в больнице (СПб), охранник на входе даже не спросил меня, кто я такой и куда иду, а ответил на мой вопрос, как пройти в такое-то отделение.
+1
Спасибо за интерес к моему комментарию спустя более чем год;-)
Раз тема оказалась интереснее, чем я думал, решил гуглануть поглубже, по крайней мере насчёт года, когда были проведены исследования… Догуглил вот до чего:
Насчёт собственно вашего комментария — похоже, да, разный режим бывает. В феврале навещал маму в больнице — переписали ФИО с паспорта. Но, скорее всего, система видеонаблюдения с видеозаписью сегодня есть на входе любой больницы, так что анонимность здесь в лучшем случае относительна;-).
Раз тема оказалась интереснее, чем я думал, решил гуглануть поглубже, по крайней мере насчёт года, когда были проведены исследования… Догуглил вот до чего:
He is best known for his 1984 book on persuasion and marketing, Influence: The Psychology of Persuasion. Influence has sold over 2 million copies and has been translated into twenty-six languages.Ну и там же, в списке литературы:
Cialdini, R. B. (1984). Influence: The Psychology of Persuasion (ISBN 0-688-12816-5). Also published as the textbook Influence: Science and Practice (ISBN 0-321-01147-3)В общем, 1984. Эпоха доперестроечная, глубоко до-интернетная и до-АОН-ная. Проверить, кто звонит вам по телефону, было практически нереально. Сейчас это по большей части не так, хотя и сегодня бывает, что кто-то «ведётся»…
Насчёт собственно вашего комментария — похоже, да, разный режим бывает. В феврале навещал маму в больнице — переписали ФИО с паспорта. Но, скорее всего, система видеонаблюдения с видеозаписью сегодня есть на входе любой больницы, так что анонимность здесь в лучшем случае относительна;-).
0
Ещё про медсестёр: использование внешней телефонной сети для отдачи внутренних жизненно важных распоряжений само по себе является уязвимостью;-)
0
вся статья одна сплошная социальная инженерия. но читается интересно, да. :)
+1
Картинка навеяла:
[Красноречие, 95% ] Введите Пупкину 5 кубов морфина. Скоро будем выписывать. <Ложь.>
[Красноречие, 95% ] Введите Пупкину 5 кубов морфина. Скоро будем выписывать. <Ложь.>
+3
А вообще слишком громкое название «Социальная инженерия» для всего лишь вариаций на тему эксперимента Милгрэма.
-1
Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.
Думается, что такой высокий показатель связан с полным отсутствием знания у мед. персонала, что подобного рода атаки вообще существуют и возможны. Если дать жесткие инструкции и пару раз в год проводить семинар по безопасности, то можно значительно повысить уровень защиты.
+2
Звучит прямо как «страна непуганых идиотов».
0
Когда я впервые услышал эти истории [о неразумном корпоративном поведении], я пришёл в недоумение, однако после тщательного анализа я разработал сложную теорию, объясняющую такое странное поведение. Она заключается в следующем: люди – это идиоты.
Включая меня. Идиоты все, не только люди с низкими интеллектуальными показателями. Единственная разница между нами заключается в том, что мы идиоты по отношению к различным вещам в различное время. Неважно, насколько вы остроумны и находчивы, все равно большую часть дня вы проводите как идиот.
© Эдвард Йордан
+5
Интересно, как бы они забегали, если бы медсестра в том эксперименте палату перепутала?
+1
Sign up to leave a comment.
Социальная инженерия: ликбез про метод атаки, который никогда не устаревает