АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для «красной» команды правительственных хакеров, anton.barnaul.1984@mail.ru

Социальная инженерия: конспекты наиболее
перспективных материалов. Часть 1. Технологическая

Методическое пособие для CISO (в трех частях), занимающихся проведением образовательных мероприятий на своих предприятиях. В силу универсальности большинства излагаемых в пособии методик оно также может быть использовано и руководителями других подразделений

«Зная себя и зная других, без потерь минуешь сотни битв.
Зная себя, но не зная других, поровну победы с поражениями разделишь.
Не зная себя и не зная других, потерпишь поражение в каждой из битв»

Сунь-Цзы, «Искусство войны»

Социальная инженерия в этом пособии рассматривается с точки зрения того, как руководителю добиваться от своих подопечных желаемого образа мыслей и поведения, как завоевывать доверие и оказывать влияние. Пособие подготовлено в формате кейс-стади. Социальная инженерия здесь рассматривается с позиции четырех ее наиболее активных пользователей: хакеров, продажников, бизнес-тренеров, армейского спецназа.

В разделе 1 описывается, как социальной инженерией пользуются плохие парни (врага нужно знать в лицо) и как от них защищаться. В разделе 2 описываются социальные и психологические особенности человека, которые делают его восприимчивым к социальной инженерии, а в разделе 3 – особенности социального взаимодействия в интернет-пространстве. В разделе 4 рассказывается, как руководители предприятий могут использовать социальную инженерию для своих внутрикорпоративных нужд (на примере торговых организаций). В разделе 5 речь идет о диагностическом софте, который позволяет оценивать внутрикорпоративные социальные характеристики. В разделе 6 описаны методики социальной инженерии, которые используются в бизнес-образовании. Наконец, в разделе 7 даются методики социальной инженерии, которые используются при подготовке армейского спецназа. Первая часть включает в себя три раздела (с первого по третий).

1. Социальная инженерия в хакерстве

Мастер-класс по социальной инженерии, подготовленный совместными усилиями Гарвардской школы бизнеса и Кевина Митника (родоначальника социальной инженерии). В мастер-классе собраны самые сливки всего того, о чем Митник говорит на своих консультациях по информационной безопасности [13]. Кроме того, в качестве бонуса в этом разделе приведен иллюстрированный классификатор фишинговых атак (см. рис. 1).

Рисунок 1. Ареал основных видов сетевого мошенничества

1.1. Вводные замечания от Кевина Митника. Тема кибербезопасности сегодня весьма злободневна. Существует множество высокотехнологичных решений, призванных защищать корпоративные информационные системы. Однако самое слабое звено любой информационной системы – это ее пользователи, которые, став жертвой злоумышленника, сами того не подозревая, отдают ему ключи от сокровищницы. Я знаю это не понаслышке, поскольку сам был хакером. Я открыл для себя, насколько легко обмануть сотрудников, чтобы убедить их отдать мне любую конфиденциальную информацию об их компании: имена пользователей, пароли, номера учетных записей и коды удаленного доступа. И насколько легко использовать эту информацию для взлома самого сердца их сетей. Моя ловкость в этом вопросе сыграла со мной злую шутку, и мне пришлось отсидеть пять лет в федеральной тюрьме. Однако, выйдя в 2000-м из тюрьмы, я стал консультировать бизнесменов и правительство по вопросам кибербезопасности. В этой статье я представлю все то, о чем говорю на своих консультациях.

1.2. Зловещее искусство убеждения. Самое большое заблуждение в кибербезопасности – это то, что самый опасный инструмент хакера – это компьютер. Вовсе нет. Самый опасный инструмент хакера – это телефон. По мере совершенствования технологий кибербезопасности злоумышленники все чаще прибегают к «старой школе». Зачем бороться с непомерно защищенным корпоративным файрволом, когда можно обмануть служащего? Служащего, который снимет трубку и скажет пароль своего босса. Злоумышленники, прокладывающие путь в «защищенные» корпоративные системы, умеют манипулировать естественными человеческими склонностями. Вот почему я называю их социальными инженерами.

Социальная инженерия опирается на несколько фундаментальных аспектов человеческой природы: желание быть хорошим, склонность отвечать взаимностью, склонность следовать за большинством, склонность исполнять негласные публичные обязательства, склонность гнаться за дефицитными вещами и склонность доверять авторитету. Кроме того, большинство людей самопроизвольно доверяют тому, что им говорят другие, редко подвергая сказанное сомнению. Совокупность этих аспектов человеческой природы представляет собой рабочий арсенал социального инженера. Основа для создания защиты от атак социальных инженеров – ясное понимание того, как именно происходит процесс убеждения. Расскажу об этом ниже.

1.3. Но сначала рассмотрим гипотетический случай работы социального инженера, который устанавливает кейлоггер на компьютер директора компании. Этот случай смоделирован на основе реальных событий.

В отделе кадров крупного издательства Москвы звонит телефон:

– Отдел кадров, Елена.

– Привет, Лен. Это Сергей с автостоянки. У нас возникли проблемы с картами доступа на парковке: недавно устроившиеся к нам сотрудники жалуются, что карты не работают. Поэтому нам надо перепрограммировать карты новых сотрудников, которые устроились на работу в течение последних 30 дней. Как мне узнать всех новичков?

– Я могу проверить наш список новичков и перезвонить вам. Какой у вас телефон?

– Отлично! Но я сейчас убегаю. Может, я сам перезвоню где-нибудь через полчаса?

– Хорошо.

Когда «Сергей» звонит Елене вновь, та передает ему имена и номера двух новых сотрудников. И она без каких-либо подозрений говорит, что один из них вице-президент, а другой, Евгений Михайлович, помощник по финансам. Бинго! Следующий звонок «Сергея» – около шести вечера – Евгению:

– Финансы. Евгений на проводе.

– Очень рад, что кто-то работает допоздна. Послушай, это Владимир Иванов. Я вице-президент книжного отдела. Нас не успели представить друг другу. Добро пожаловать в нашу компанию.

– Ой, спасибо.

– Евгений, я на конференции в Питере, и у меня форс-мажор. Знаю, что у тебя своих дел хватает, но помоги, пожалуйста. А я тебе персональную экскурсию по отделам устрою.

– Конечно. Чем могу помочь?

– Сходи в мой офис. Мне нужна рукопись. Ты знаешь, где мой офис?

– Нет.

– Это угловой офис на 15-м этаже, комната 1502. Я перезвоню тебе туда через несколько минут. Когда попадешь в офис, нажми кнопку переадресации вызова на телефоне, чтобы мой звонок не был переадресован на мою голосовую почту.

– Хорошо. Уже иду.

Десять минут спустя Евгений уже в офисе Владимира Иванова. Он отключил переадресацию вызовов Владимира и ждет телефонного звонка. Наш социальный инженер, представившийся Владимиром, просит его запустить Internet Explorer на компьютере Владимира, напечатать «www.geocities.com/ron_vitarro/manuscript.exe» и нажать «ENTER». Появляется диалоговое окно, и наш социальный инженер просит Евгения нажать «ОТКРЫТЬ», вместо «СОХРАНИТЬ». Компьютер начинает загружать рукопись, но затем экран гаснет. Когда Евгений сообщает, что что-то идет не так, социальный инженер подыгрывает:

– О нет. Неужели опять. У меня уже были проблемы с загрузкой с этого сайта, но я думал, что ошибку исправили. Ну да ладно. Не волнуйся. Я попозже найду другой способ получить этот файл.

Затем социальный инженер просит Евгения перезагрузить компьютер: чтобы «Владимир» мог убедиться, что компьютер работает нормально. Пока компьютер перезагружается, «Владимир» дружелюбно болтает с Евгением. Когда компьютер снова загружается и начинает работать правильно, «Владимир» сердечно благодарит Евгения и вешает трубку. Евгений возвращается к своему рабочему столу, довольный тем, что наладил хороший контакт с вице-президентом.

Конечно же, Евгений не знает, что его обманул ловкий социальный инженер и он только что помог хакеру установить шпионскую программу на компьютер вице-президента. Установленная программа будет записывать все нажимаемые Ивановым клавиши. В том числе электронную почту, пароли, посещаемые веб-сайты. А также делать скриншоты и отправлять все это богатство по электронной почте на анонимный бесплатный почтовый ящик хакера из Чукотки. Как и большинство подобных нарушений, такие действия требуют лишь минимальных технических навыков (маскировка шпионской программы под рукопись) и небольшой предварительной подготовки. Хакеру надо было предварительно получить некоторую информацию: офис Иванова, время его ухода и т.д. Однако подобного рода детали легко собираются при помощи тактики наподобие той, что была использована для получения списка новых сотрудников.

1.4. Используя подобные методы, социальные инженеры могут:

• получить контроль над компьютерными и телефонными системами компании;
• убедить охранников и других работников в том, что они являются сотрудниками;
• захватить голосовую почту сотовых и домашних телефонов высокопоставленных руководителей и таким образом получить доступ к полному списку клиентов, финансовым отчетам и планам организационного развития.

И это только начало. При этом у большинства компаний практически нет защиты от социальных инженеров.

1.5. Я представлю несколько простых шагов, которые помогут устранить это досадное упущение и смягчить воздействие социальных инженеров:

1. Основное послание заключается в том, что каждый сотрудник уязвим для социальной инженерии и каждый сотрудник является частью команды кибербезопасности. Кибербезопасность – это не та работа, которую можно свалить на «парней-безопасников», или которую ИТ-отдел может делать в одиночку. Прежде всего сотрудники должны понимать, что социальные инженеры могут причинить ущерб как непосредственно им самим, так и организации, в которой они работают. Значительная часть подходов к обеспечению защиты от социальной инженерии сводится к здравому смыслу. Однако далеко не каждая уязвимость очевидна.
2. Крайне важно предупреждать всех сотрудников на всех уровнях о характере угрозы социальной инженерии и о последствиях взлома. Если у вас нет политики безопасности, которая учитывает возможные вторжения социального инженера, разработайте ее. Она должна включать в себя правила, регламентирующие работу с паролями, с голосовой почтой; правила обработки подозрительных звонков; правила взаимодействия с неопознанными посетителями и т.д.
3. Какую бы форму политика безопасности не приняла, ваша образовательная система должна усиливать и поддерживать осведомленность сотрудников. И также мотивировать их заботиться об информационной безопасности. Для оказания большего эффекта эта политика должна быть зафиксирована письменно.
4. Кроме того, поскольку людям уже приелись стандартные инструкции, нужно находить новые способы, чтобы донести до них это важное послание. Образовательные подходы могут включать в себя ролевые игры, напоминания по электронной и голосовой почте, а также колонки по безопасности в корпоративной газете и интрасети. Вы также можете отмечать уровень осведомленности сотрудников об информационной безопасности в отчетах производительности сотрудников и в ежегодных обзорах. Вы даже можете попробовать что-то вроде «печенья с предсказаниями» в столовой, размещая в них советы по безопасности. В последнем случае судьба, например, может посоветовать: «Никогда не используй в качестве пароля дату рождения своего ребенка».
5. Наконец, никакие тренинги и политики не будут работать, если каждый сотрудник не возьмет ответственность за проблему кибербезопасности лично на себя. Ключ к пробуждению личной заинтересованности сотрудников заключается в том, чтобы связать важность решения этой проблемы с их личными интересами. Очевидный, но не самый эффективный способ для этого – премии за надлежащую кибергигиену и санкции за игнорирование политики кибербезопасности.

2. Природа человека и общие социальные тенденции

2.1. Иллюзия неуязвимости. Люди действуют изо дня в день, основываясь на личных предположениях и предубеждениях. Руководствуясь ими, люди ставят цели, планируют деятельность и дисциплинируют себя. Все это становится их мировосприятием, которое обеспечивает им зону комфорта, позволяет возлагать ожидания на окружающую среду и обеспечивает понимание, что желаемое будет достигнуто. При этом, хотя они действуют на основе этой концептуальной схемы, люди, как правило, не осознают своих центральных постулатов. Среди таких неосознанных постулатов обычно присутствует вера в личную неуязвимость. Например, люди могут признавать, что преступления нередки, но при этом быть убежденными, что «меня-то они точно стороной обойдут». Таким образом люди действуют на основе «иллюзии неуязвимости». Так они поддерживают свою потребность воспринимать мир как упорядоченный, стабильный, значимый. Тем самым они недооценивают вероятность своих несчастий. С другой стороны, люди, как правило, переоценивают вероятность несчастий для других. Короче говоря, иллюзия неуязвимости – это оборонительная уловка нашего ума, уберегающая нас от страха, стресса и тревоги, связанных с воспринимаемой угрозой несчастья. Однако, таки став жертвой, мы уже повторно легче себя отождествляем с соответствующей ситуацией [2].

2.2. Психологическая зависимость от собственных решений. Люди склонны попадать в психологическую зависимость от своих собственных решений. Эта зависимость выражается в потребности поддерживать соответствующее этому решению поведение. Например, люди могут сделать вывод, что «такой-то способ заработка эффективен», и они будут продолжать следовать ему, несмотря на поступление свежих доказательств того, что этот способ неэффективен, даже если этот способ заработка деньги будет только отнимать. Некоторые люди склонны думать, что «настойчивые усилия в конце концов принесут свои плоды». Таким образом, люди готовы вкладываться в то, что они ценят. При этом важно понимать, что оценки выгод и затрат принципиально субъективны: принимая решения, люди прежде всего личными интересами руководствуются, а не какими-то объективными факторами. Люди формируют свои собственные модели самоопределения, обычно основываясь на собственных отношениях с определенными социальными кругами или на членстве в определенных обществах. Это приводит к эмоциональной приверженности к тем людям, с которыми им нравится себя отождествлять [2].

2.3. Аффективное обязательство. Это форма привязанности, которая заставляет людей прилагать усилия и совершать действия в обмен на удовлетворенность от эмоциональной связи с брендом, человеком, группой или организацией. Так, например, люди могут вживаться в какую-нибудь ролевую модель и принимать соответствующие ценности только лишь для того, чтобы чувствовать себя связанными с определенным человеком или группой. Многие маркетинговые кампании используют эту склонность, убеждая людей совершать действия (т.е. покупать) для подтверждения своей связи с определенной модной группой или человеком [2].

2.4. Привлекательность и доверие. Человек естественным образом доверяет собеседнику, пока тот не доказал, что не заслуживает доверия. Поэтому, если кто-то говорит нам, что он такой-то человек, мы обычно верим его словам [4]. У людей есть тенденция полагать, что другие, говоря о своих чувствах и нуждах, выражают свое истинное отношение. Если нет убедительных доказательств обратного, люди будут считать, что собеседник говорит правду. Эта тенденция верить другим основана прежде всего на их собственной честности и на собственном честном выражении чувств [10]. Здесь также уместно отметить, что «люди доверяют тем, кого любят, и любят тех, кому доверяют». Кроме того, люди доверяют тем, кого они считают надежными. Надежность они оценивают по наличию у человека специального опыта или способностей. Даже если эти опыт и способности не имеют непосредственного отношения к интересующей этого человека области, в рамках которой доверие оказывается. То есть оценивается сам факт наличия каких-либо серьезных компетенций. Поэтому, например, профессиональный баскетболист или знаменитый актер, который нравится человеку, может убедить его купить батарейки или кукурузные хлопья [2].

2.5. «Тимуровское» воспитание. Люди восприимчивы к социальной инженерии в значительной степени потому, что в детстве их учили быть «тимуровцами»: надежными, лояльными, полезными, приветливыми, вежливыми, добрыми, послушными, веселыми, бережливыми, смелыми, чистыми, удачливыми. Стремление большинства людей из цивилизованной прослойки общества быть полезными, заслуживающими доверия и доверять другим в значительной степени обусловлено как раз этим «тимуровским» воспитанием [9]. Большинство людей, особенно те, которые работают в клиентском обслуживании, службе поддержки или на таких должностях, как бизнес-помощник, секретарь, уже по долгу своей службы вынуждены доверять, помогать и быть полезными. Подразумевается, что задача этих людей – помогать другим на протяжении всего дня. Поэтому они в сравнении с остальными сотрудниками более всего расположены к тому, чтобы доверять словам собеседника [10].

2.6. Стремление быть полезным. Большинство людей считают, что быть полезным – это беспроигрышный вариант: помочь другому в нужное время и нужном месте. Кроме того, такой образ действий для человека привлекателен еще и тем, что помогает ему чувствовать себя хорошим человеком. Склонность быть полезными укоренилась в нас с тех самых пор, когда папа просил нас «помочь с работой на дворе», «помочь маме донести сумку» [9]. Эта наша склонность продолжает укрепляться и на работе, поскольку там сотрудникам постоянно напоминают о том, что «нужно заботиться о том, чтобы клиент был доволен» [4].

2.7. Стремление быть послушным. Многие люди инстинктивно стремятся быть послушными, потому что их в детстве этому учили. Ведь каждый родитель борется с естественной склонностью ребенка «делать только то, что хочу, и только тогда, когда хочу». Интересно, что, когда злонамеренный социальный инженер обращается к сотруднику компании за конфиденциальной информацией, тот может предоставить ему эту информацию без зазрения совести: он при этом себя чувствует хорошим лояльным работником, а не предателем [9].

2.8. Стремление избегать чувства вины. Большинство людей стараются избегать чувства вины. Поэтому когда кто-то подходит к ним и плачется: «Я напортачил. Если не исправлю, у меня будут огромные проблемы: меня уволят. Пожалуйста, помоги», то они, понимая, что, проигнорировав просьбу, могут тем самым послужить причиной увольнения коллеги, склонны помогать нуждающемуся. Хотя бы только ради того, чтобы избежать чувства вины [4].

2.9. Стремление подчиняться авторитету. Люди склонны подчиняться влиянию авторитета, даже если авторитет побуждает их делать сомнительные вещи. Одно из последних исследований наглядно демонстрирует эту тенденцию. Социальный инженер обзвонил медсестер 20 медицинских центров, называя себя именем врача, который этим медсестрам был неизвестен. Он распорядился, чтобы медсестры ввели своим пациентам препарат, который обычно только по рецепту отпускается. Более того, он также распорядился, чтобы медсестры ввели двойную дозу этого препарата. Несмотря на то что оба распоряжения входили в прямое противоречие с нормами, установленными главврачом, 95% медсестер, подчинившись самопровозглашенному неизвестному врачу, отправились исполнять распоряжение. Ассистенты упомянутого социального инженера вовремя перехватили медсестер, и пациенты не пострадали. Таким образом, люди готовы делать многое для кого-то, кого они считают авторитетом. Представьте себе, какое влияние может оказать самозваный директор или вице-президент на сотрудника, который не был подготовлен для такого воздействия. В особенности если принять во внимание тот факт, что для рядового служащего проверить подлинность личности, которая провозглашает себя руководителем, не всегда представляется возможным [10].

2.10. Руководитель всегда прав. Люди склонны выполнять распоряжения руководителей, даже если эти распоряжения весьма сомнительные. Причем эта склонность настолько сильна, что человек может выполнять сомнительное распоряжение, даже когда это распоряжение было дано не ему лично, а его коллеге (например, если этот коллега попросит его помочь в работе) [10].

2.11. Психологическая зависимость от негласных обязательств. Люди склонны придерживаться негласных обязательств: отвечать услугой на услугу, уступкой на уступку, благосклонностью на благосклонность. Не делая такого ответного шага, люди склонны испытывать «социальную неловкость» [11]. При этом «ответный шаг» может быть непропорционально более ценным. Другой момент: если кто-то дает человеку важное для него обещание, то этот человек сразу же начинает чувствовать себя обязанным. Даже несмотря на то, что обещание еще не выполнено. Или если два человека имеют какое-то разногласие и кто-то из них идет на уступку, то вне зависимости от величины этой уступки (даже если уступка совершенно не значительная) второй чувствует себя обязанным тоже пойти на уступку [10].

3. Особенности социального взаимодействия в интернет-пространстве

Несколько вырезок из журнала «MIT Technology Review», посвященных киберпсихологии. Журнал, как нетрудно догадаться из его названия, выпускается наиболее почитаемым среди международной ИТ-общественности вузом – Массачусетским технологическим институтом. Нейробиологи MIT, объясняя, почему человек так подвержен манипуляциям злоумышленников, злоупотребляющих социальной инженерией, призывают специалистов по кибербезопасности «уделять больше внимания аппаратному компоненту, расположенному между нашими ушами». Только в этом случае защитные меры смогут обеспечить ожидаемый результат [5].

3.1. Интернет раскрепощает. В интернете человек чувствует себя увереннее и свободнее, чем в реальной жизни. В интернете черты характера человека обостряются и ускоряются. Например, альтруизм: люди склонны быть в интернете более щедрыми, чем в реальной жизни. Или доверчивость: в интернете люди более охотно делятся информацией с незнакомцами. Или безопасность: при дистанционном общении люди себя чувствуют более безопасно и поэтому ведут себя более раскрепощенно (как в состоянии алкогольного опьянения). Почему так происходит? Когда в обычной жизни внешняя обстановка вокруг человека меняется (новая работа, новый город, новая страна), он инстинктивно начинает вести себя более настороженно, чем в привычной ему обстановке. Однако, выходя в интернет, человек не осознает, что внешняя обстановка поменялась. И поэтому продолжает вести себя открыто. Ему кажется: я же сижу у себя дома, в окружении знакомых мне предметов, с любимой подушкой, на родном диване. Вот почему инстинктивная настороженность человека, отточенная в реальном мире, не активируется в мире виртуальном [7].

3.2. Сетевые тролли внутри нас. Интернет обостряет не только положительные черты характера человека, но также и негативные. Каждый человек считает себя очень хорошим. В том числе и тогда, когда комментирует в интернете что-либо. Однако в силу раскрепощающего воздействия интернета порой даже очень хорошие люди проявляют качества сетевых троллей. Сетевой троллинг – это многолетняя проблема интернета, которая с течением времени только усугубляется. Склонность к троллингу усиливается плохим настроением: если человек, будучи в плохом настроении, натыкается на провокационный материал, то ему очень сложно избежать соблазна написать какую-нибудь гадость в комментарии. И эта провокационная волна может быть поймана кем угодно, даже тем, кто раньше никогда не занимался троллингом. Таким образом, тролли – это далеко не всегда какие-то асоциальные элементы, оторванные от окружающего мира [6].

3.3. Высокие технологии вытесняют живое общение. Мы окружены компьютерными программами и компьютерной техникой (и также погружены в них), которые постепенно отбирают у нас глубокое межличностное общение (см. рис. 2). Большинство новейших технологий и новаций, пришедших к нам за последнее десятилетие, идут вразрез с нашей глубинной человеческой природой, поскольку имеют невысказанную, но при этом отчетливо осязаемую повестку дня. Речь идет о создании мира с уменьшенным количеством глубокого межличностного общения. «Это не баг, это фича», – самодовольно заявляют технари, стоящие за разработкой всех этих новейших технологий и новаций. Мы могли бы подумать, что Amazon – это все о том, чтобы сделать для нас доступными те книги, которых нет в местных книжных магазинах. И это кажется блестящей идеей. Но, возможно, Amazon – это также все и о том, чтобы устранить контакт с живым человеком. Конечно, разработчики высокотехнологичных приложений и техники, может быть, и не стремились сознательно к устранению глубокого межличностного общения, но подсознательно они определенно были в этом заинтересованы. Потому что инженер высоких технологий воспринимает глубокое межличностное общение как сложное неэффективное, шумное и медленное. Поэтому, работая над чем-то, где не должно быть «трения», где все должно быть просто и эффективно, инженер старается из этого «чего-то» исключить человека. Сам по себе подобный образ мыслей, может быть, и имеет право на существование, но когда сильное влияние руководствующихся такими мыслями людей выходит за рамки технологического сектора на людей из остального мира (которые могут не разделять подобных мыслей), то возникает тревожный дисбаланс. В мире высоких технологий преобладают мужчины. А они по самой своей природе стремятся устранить, насколько это возможно, взаимодействие с живыми людьми – в угоду «простоте и эффективности». Поэтому, например, социальные сети, которые вроде как предназначены для социального взаимодействия, на самом деле не позволяют людям развивать подлинные социальные связи. По факту в социальных сетях лишь происходит поверхностная симуляция межличностного общения [12].

Рисунок 2. Базовые человеческие потребности

3.4. Побочные эффекты вытеснения живого общения. Сокращение живого межличностного общения имеет некоторые побочные эффекты: люди становятся менее терпимыми, менее восприимчивыми к альтернативным точкам зрения, более завистливыми и более антагонистичными. Распространенные ныне социальные сети фактически лишь раздробленности общества способствуют, позволяя людям жить в своих собственных коконах. Наши странички в социальных сетях обрастают исключительно тем, что нам уже нравится или нравится нашим псевдодрузьям оттуда. Мы таким образом в своем коконе закрепляемся, а люди, которые за пределами этого кокона находятся, становятся для нас все более далекими и все менее понятными. Кроме того, современные исследования указывают на то, что человек ведет себя в социальных сетях тем активнее, чем он хуже чувствует себя в повседневной жизни. Хотя технологии социальных сетей утверждают, что помогают нам общаться, они на самом деле только разлучают нас. Они делают нас грустными и завистливыми. Таким образом, подобные технологии входят в противоречие с нашей естественной человеческой природой – потребностью в глубоком межличностном общении. Такое общение – неотъемлемая составляющая нашего развития. В том числе нашей способности сотрудничать, которая в свою очередь является одним из главных показателей нашего процветания. Зачастую наше рациональное мышление (по крайней мере для технарей это справедливо) убеждает нас в том, что преобладающая часть нашего общения с живыми людьми может быть оптимизирована: сведена к серии логических решений. При этом мы даже не знаем многих из тех слоев и тонкостей, из которых состоит «межличностное общение». И, таким образом, в конечных «логичных решениях» все эти слои и тонкости отсутствуют, что (как объяснено ниже) мешает принимать продуктивные решения [12].

3.5. Все люди принципиально иррациональны. Как бы нам ни казалось, что мы ведем себя рационально, по факту все мы принципиально иррациональны. Люди капризны, непоследовательны, эмоциональны, иррациональны и предвзяты. А эти склонности довольно часто расцениваются как контрпродуктивные. Часто кажется, что наша резкая переменчивость в уме и эгоистичная натура являются нашими пороками. Кажется, что есть множество аспектов в нашей жизни, где если из уравнения устраняется человек, то этот аспект жизни только выигрывает. Однако по факту такой образ мыслей – что, устранив человека, мы выигрываем – зачастую как раз и приводит к самым непродуктивным решениям. Тогда как вышеперечисленные иррациональные склонности человеческой натуры, наоборот, продуктивности способствуют. Хотя мы можем считать, что принятие решений должно основываться на рациональном и механическом подходе, по факту все решения принимаются эмоционально. Безэмоциональный человек не способен принимать решения. К такому выводу пришли современные неврологи. Человек – это социальное существо, ему по природе присуще сотрудничество. Развитие этой способности происходит не в результате применения рациональных инструментов, а прежде всего в результате укрепления веры. Раньше у людей была религиозная вера (в бога верили и полагались на него), а сегодня у людей технологическая вера (верят высоким технологиям и полагаются на них). Онлайн-покупки и доставка на дом, цифровая музыка, беспилотные автомобили, автоматизированные магазины (без живого персонала), роботы вместо персонала, персональные цифровые помощники, большие данные, видеоигры (и виртуальная реальность), MOOCS-образование (массовые открытые онлайн-курсы), социальные сети [12], искусственный интеллект [1] – вот во что верят сегодня люди.

3.6. Слепая вера в искусственный интеллект. Современные системы искусственного интеллекта (ИИ) настолько сложны, что даже проектирующие их инженеры не в силах объяснить, каким образом ИИ принимает то или иное решение. На сегодняшний день и в обозримом будущем разработать систему ИИ, которая всегда может объяснить свои действия, не представляется возможным. Технология глубокого обучения оказалась очень эффективной при решении насущных проблем последних лет: распознавание изображений и голоса, языковой перевод, медицинские приложения. На ИИ возлагаются значительные надежды по диагностированию смертельных болезней, по принятию сложных экономических решений. И также ожидается, что ИИ станет центральным элементом во многих других отраслях. Однако это не произойдет – или по крайней мере не должно произойти, – пока мы не найдем способ сделать такую систему глубокого обучения, которая сможет объяснять те решения, которые принимает. В противном случае мы не сможем предсказать, когда именно эта система даст сбой – а она рано или поздно его обязательно даст. Эта проблема стала насущной уже сейчас, а в будущем она только усугубится. Будь то экономические, военные или медицинские решения. Компьютеры, на которых запущены соответствующие системы ИИ, запрограммировали себя сами, причем таким образом, что у нас нет возможности понять, «что у них на уме». Что говорить о конечных пользователях, когда даже проектирующие эти системы инженеры не в силах понять и объяснить их поведение. По мере развития систем ИИ мы вскоре можем перейти черту – если уже не перешли ее, – когда для использования ИИ нам нужно будет совершить «прыжок веры» [1].

P.S. Большинство людей запрограммированы быть социальными инженерами с самого раннего детства. Подобно детям, люди учатся, как получать от других то, что они хотят, используя тактику социальной инженерии [8]. Торговые представители, учителя, актеры, журналисты, менеджеры, эксперты безопасности – все они в своей профессиональной деятельности пользуются внушительным арсеналом социальной инженерии [3].

1. Will Knight. The Dark Secret at the Heart of AI // MIT Technology Review. 120(3), 2017.
2. Michael Workman, PhD. Gaining Access with Social Engineering: An Empirical Study of the Threat // Information Systems Security. 16(6), 2007. pp. 315-331.
3. Gary Hinson. Social Engineering Techniques, Risks, and Controls // EDPACS: The EDP Audit, Control, and Security Newsletter. 37(4-5), 2008. pp. 32-46.
4. Thomas R. Peltier. Social Engineering: Concepts and Solutions // EDPACS: The EDP Audit, Control, and Security Newsletter. 33(8), 2006. pp. 1-13.
5. Tom Simonite. Neuroscience Explains Why We Get Hacked So Easily // MIT Technology Review (Digital). 2017. URL: https://www.technologyreview.com/s/603556/neuroscience-explains-why-we-get-hacked-so-easily/ (дата обращения: 19 декабря 2017).
6. Rachel Metz. There’s a Troll Inside All of Us, Researchers Say // MIT Technology Review (Digital). 2017. URL: https://www.technologyreview.com/s/603489/theres-a-troll-inside-all-of-us-researchers-say/ (дата обращения: 30 октября 2017).
7. Beatriz Torres. Can You ‘Hack’ the Human Body? // 2017. URL: https://www.bbvaopenmind.com/en/can-you-hack-the-human-body (дата обращения: 30 октября 2017).
8. Aaron Dolan. Social Engineering // SANS Institute InfoSec Reading Room. February 10, 2004.
9. Michael Alexander. Methods for Understanding and Reducing Social Engineering Attacks // SANS Institute InfoSec Reading Room, April 30, 2016.
10. David Gragg. A Multi-Level Defense Against Social Engineering // GSEC Option 1 version 1.4b December 2002.
11. Scott D. Applegate Major. Social Engineering: Hacking the Wetware! // Information Security Journal: A Global Perspective. 18(1), 2009. pp. 40-46.
12. David Byrne. Eliminating the Human // MIT Technology Review (Digital). 2017. URL: https://www.technologyreview.com/s/608580/eliminating-the-human/ (дата обращения: 30 октября 2017).
13. Kevin Mitnick. Are You the Weak Link? // Harvard Business Review. 81(4), 2003. pp. 18-20.

Ключевые слова: социальная инженерия, кибербезопасность.

Комментарии могут оставлять только зарегистрированные пользователи