Перейти к содержанию

Социальная инженерия.Во благо или во вред?


Рекомендуемые сообщения

Уважаемые участники форума!

Хотелось бы затронуть тему так называемой социотехники или социальной инженерии (кому как удобно). Можно ли использовать инструменты, а скорее методы социальной инженерии непосредственно в конкурентной разведке? На сколько этичными, опять же, они будут, либо могут быть?

Если разбираться по сути, то элементарное легендирование и есть один из методов социальной инженерии. Я уже не беру в пример вытаскивание потенциального разрабатываемого на контакт тривиальным «стуком в аську»: «Извините, меня зовут Маша. Давай познакомимся» Стоит ли отказываться от социотехники, как проявления чуждых разведчику методов, или попытаться взять на вооружение некоторые из них?

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 23
  • Создана
  • Последний ответ
Уважаемые участники форума!

Хотелось бы затронуть тему так называемой социотехники или социальной инженерии (кому как удобно). Можно ли использовать инструменты, а скорее методы социальной инженерии непосредственно в конкурентной разведке?  На  сколько этичными, опять же, они будут, либо могут быть?

Если разбираться по сути, то элементарное легендирование и есть один из методов социальной инженерии. Я уже не беру в пример вытаскивание потенциального разрабатываемого на контакт тривиальным «стуком в аську»: «Извините, меня зовут Маша. Давай познакомимся» Стоит ли отказываться от социотехники, как проявления чуждых разведчику методов, или попытаться взять на вооружение некоторые из них?

22194[/snapback]

На мой взгляд, под "социальной инженерией" понимают слишком большой круг вопросов, чтобы о них можно было судить однозначно.

Я считаю, что социотехнику (легендирование, переключение внимания, имитацию эмоций и пр.) надо рассматривать не с позиций самого метода, а с позиций конечных целей. Если цель криминальная, то любой метод будет не просто неэтичным, но и незаконным. Если цель некриминальная, и при этом мы не "подставляем" человека на той стороне под "статью", то ничего неэтичного в наших действиях нет.

 

Там, где за промышленный шпионаж наказывают уголовно, считается неэтичным представляться не тем, кто ты есть на самом деле. Преодолевается это просто: специалист КР либо на время становится тем, кем представляется (например, зачисляется по совместительству официальным приказом в штат отдела маркетинга), либо просит кого-то другого сходить и узнать все необходимое. Легендирование и в наших, и в западных условиях также не просто берется "от фонаря", но увязывается с реальным "этичным" заданием, выполнение которого параллельно приводит к выполнению основной задачи. Условно (и очень гротескно) говоря, можно не проводить наружное наблюдение за дачей. где идет совещание. а изучать жизнь обитателей вороньего гнезда на дереве около нее.

 

Насколько я знаю, в нашей стране нельзя делать две вещи: представляться сотрудником государственных спецслужб и использовать поддельные документы (в их юридическом, что важно, понимании).

А этический регулятор, как всегда, проходит по оценке последствий того, что действия специалиста КР будут публично озвучены.

Ссылка на комментарий
Поделиться на другие сайты

Естественно, мы преследуем не криминальные цели. Мы не будем представляться, новым сисадмином, который временно заменяет «старого», в надежде заполучить ворох всевозможных паролей и т.п., но элементарно мы можем вести душещипательные беседы с секретаршей, и томным голосом «выведывать», случаем не подписывал ли босс в последнее время договоров с «Норильским никелем».

С одной стороны мы ничего противозаконного не совершаем. Кто виноват в том, что секретарь излишне болтлива? С другой стороны, этично ли это?

Ссылка на комментарий
Поделиться на другие сайты

Естественно, мы преследуем не криминальные цели. Мы не будем представляться, новым сисадмином, который временно заменяет «старого», в надежде заполучить ворох всевозможных паролей и т.п., но элементарно мы можем вести душещипательные беседы с секретаршей, и томным голосом «выведывать», случаем не подписывал ли босс в последнее время договоров с «Норильским никелем».

С одной стороны мы ничего противозаконного не совершаем. Кто виноват в том, что секретарь излишне болтлива? С другой стороны, этично ли это?

22196[/snapback]

В том виде. как написано. я не вижу ничего неэтичного или незаконного. Мы просто спросили. Они просто ответили. Не хотели бы отвечать - не стали бы. Спрашивать не запрещено ничем. никем и нигде. Делать так, чтобы вопрос выглядел естественным - тоже нормальная практика. Об ограничениях мы уже поговорили. Наверное. у других участников может быть какое-то другое мнение, либо дополнения. Интересно было бы почитать.

Ссылка на комментарий
Поделиться на другие сайты

Простой пример. Имел место быть в жизни, но привожу с небольшими поправками на актуальность.

Салон по продаже компьютерной техники. Продавец, по виду матерый хлопец. Клиент-мужчина, не обременен безденежьем, но в компьютерах разбирается на уровне тыканья пальцем в монитор с вопросом: «Это компьютер какой модели?»

- У меня не работает флэшка.

- Брали у нас?

- Да!

- Сейчас глянем.

Проходит минут десять. Продавец выходит из служебного помещения.

- Мы нашли причину.

- ДА? Какую же?

- У вас не лицензионный Виндоуз?

- Да.( глаза стыдливо в пол)

- Вот по этому у вас накрылась флэшка со всей ценной информацией.

- Что же делать?

- У нас есть лицензионный Виндоуз!

- Правда?!!

- Да! «Виста» - последняя разработка. Цена от 16 тыс. рублей. (заговорщицки) Только для вас!

- Хорошо! Беру!

Далее подробно рассказывать не буду. Покупатель унес с собой, новую флэшку, Винду, и клятвенно обещал приехать на неделе для апгрейда своего компьютера. А ушлый продавец заработал очередные «бонусы» и авторитет у руководства.

Показательный пример социотехники. Продавец, палец о палец не ударил, для того, что бы помочь покупателю с восстановлением утерянной информации, но «впарил», именно не продал, а «впарил» клиенту новую Виндоуз и новую флэшку. Ничего противозаконного он не сделал но, честно говоря, особого желания общаться с продавцом, после этого, у меня не появилось.

 

Ссылка на комментарий
Поделиться на другие сайты

А я бы выгнал такого продавца. Это сейчас покупатель лох, а приехал домой, пообщался с соседским "продвинутым" 16-тилетним пареньком и глаза раскрыл. Эдак можно и на серьезные "разборки" нарваться. То есть, последствия данного "втюхивания" могут иметь проблемы в последствии, а этого никому не надо. Так как гос органы могут взять на земетку данный вид (способ) "торговли" и ввести санкции.

 

И противозаконное продавец сделал: предоставил недостоверную информацию о продаваемом товаре.

Вобщем - гнать поганой метлой!

Ссылка на комментарий
Поделиться на другие сайты

Запишите меня "За" мнение Семёныч, есть более хрестоматийный и корректный пример, про продавца продавшего катер мужику, который пришел за тампонами жене :о))

Выходить на контакт типа "Привет, я Таня", если вы не "Таня", то это прямой обман.

Имхо, после предварительного глубокого анализа открытых источников, создания схем и моделей, можно воспользоваться совершенно "невинной" и более этичной формой "запроса". Вместо того, чтобы ублажать секретаршу, поить маркетолога и полосатить бухгалтера можно чище и изящнее:

задать "случайно" в аську вопрос "Блин! Вам тоже с СуперСофтПромМеталл" счета-фактуры(выписки, счета или еще что-нибудь) из их дурной ERP-системы с кракозябрами приходят?".

Или запостить на форуме программистов(администраторов и т.п.) ERP-системы, бухгалтерской системы, где вполне можно обнаружить работников фигуранта причем из открытых источников "гневное" "Кто-нибудь справился с этим идиотским сбоем кодировки в выписках, после наложения вчерашнего патча на ..."

Написать(передать, довести до сведения рекламой и т.п.) в отдел маркетинга рекламное письмо "Предлагаем Вам бесплатно попробовать в течении полугода наш новый программный продукт для анализа отчетов о ... в системе ...! Все принявшие участие в тестировании участвую в беспроигрышной лотерее, с главным призом в виде (турпутевки на 2-их, автомобиль и т.п.) Всем участникам тестирования гарантированны призы в виде "бутылки алкоголя"

Тут никого собственно не обманываем (ну не зажмите же уже пузырь "откликнувшимся", глядишь в процессе "тестирования" может еще чего всплывет :о)) Можно и сразу передать с "софтом для тестированния" пузырек и конфеты в фирменной упаковке, главное чтобы цивильно выглядело, и уж постарайтесь туда вирусы, трояны, шпионы не напихать. Где взять "софт"? Воспользуйтесь советом Б.Гейтса (великого мастера социнженерии):

"Если вы не можете создать программу работающую хорошо, сделайте так чтобы она хоть выглядела красиво!"

Ну а с темы софт-компьютеры-интернет на остальные уже какнить своей фантазией можно переложить :о))

Ссылка на комментарий
Поделиться на другие сайты

В том виде. как написано. я не вижу ничего неэтичного или незаконного. Мы просто спросили. Они просто ответили. Не хотели бы отвечать - не стали бы. Спрашивать не запрещено ничем. никем и нигде. Делать так, чтобы вопрос выглядел естественным - тоже нормальная практика. Об ограничениях мы уже поговорили. Наверное. у других участников может быть какое-то другое мнение, либо дополнения. Интересно было бы почитать.

22198[/snapback]

 

Насчет этичности социотехник хорошо написал А. Деревицкий - http://dere.com.ua/library/derevit/no_war_rus/manipul.shtml

Ссылка на комментарий
Поделиться на другие сайты

В разрезе статьи Деревицкого….

На сколько я понимаю, социальная инженерия основана на умении манипулировать сознанием человека, в целях извлечения выгоды для манипулирующего. Причем манипулирование основывается на недостатках или пороках объекта. Кто-то излишне пристрастился к спиртому, кто-то через чур охотчив до женщин, а кто-то просто наивный человек, готовый верить всем и вся. Вот и пользуются этим. Узнав, что конкурент ищет секретаря, отправляют к нему миловидную девушку, кого-то спаивают, а у кого-то просто из под носа уводят клиентов. Так или иначе, все мы в процессе своей работы сталкиваемся с этим. Более того, порой для достижения превосходства используем эти методы. Стоит ли игра свеч?

Ссылка на комментарий
Поделиться на другие сайты

манипулирование основывается на недостатках или пороках объекта. Кто-то излишне пристрастился к спиртому, кто-то через чур охотчив до женщин, а кто-то просто наивный человек, готовый верить всем и вся.

22207[/snapback]

Манипулирование может строиться и на желании порядочного человека помочь другому, и на желании качественно сделать свою работу, и на нежелании тратить время, и на многих других общечеловеческих ценностях. В общем, необязательно на чем-то плохом в человеке, а иногда как раз наоборот.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...