ифыафыв. Максим Кузнецов Игорь Симдянов СанктПетербург бхвпетербург 2007

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
108 Я его спрашивал
— Вить, ну почему тыне помог
— Ты знаешь, не хотел вмешиваться. Сам понимаешь, жена, двое детей сопливых.
— Вить, все понимаю. Ноне работает твоя версия. Ты мог не вмешиваться, ты мог отъехать на пятьсот метров от места избиения, чтобы тебя ненароком не убили, и позвонить в милицию. Не исключено, что твой звонок спас бы жизнь человеку. Это-то нетрудно было сделать
— Не знаю, почему так получилось. Одного моего знакомого в десять часов вечера летом, в июне еще очень светло, во дворе дома, избивало шесть малолетних хулиганов. Люди входили и выходили из подъездов, проходили мимо, наблюдали за происходящим в окна, и никто даже не позвонил в милицию. Более того, потом, когда он два часа лежал без сознания, никто не вызвал скорую помощь. Когда их потом спросили, почему они хотя бы скорую помощь не вызвали, они сказали, что "мы думали, что это пьяный. Их спрашивают
— Вы же видели как его избивали
— Видели.
— И видели, что он после этого лежал, не двигаясь
— Видели.
— Ивы подумали, что он пьяный
— Ну да.
— Вы что подумали, что пока его били, он тайком из кармана доставал фляжку и к ней прикладывался
— Ну нет, конечно.
— Так почему же вы подумали, что он пьяный
— Ну не знаю. Когда я узнавал про такие случаи, я терял веру в человечество. Может быть мы все глупые Или садисты Спустя время вера в человечество возвращалась, я шел в библиотеки (Интернет тогда еще только развивался, и, смотря работы психологов, видел, что

Ãëàâà 3. Ïðèìåðû ñîöèàëüíîãî ïðîãðàììèðîâàíèÿ случаев, подобных описанному, десятки тысяч. По всему миру. Я снова терял веру в человечество. А потом понял, что, вероятно, это какой-то закон. И снова читал работы психологов, которые также пытались найти ответ на вопрос, "почему же, большое количество людей, наблюдавших все эти трагедию, как правило, не приходят на помощь И причем сами потом не могут найти объяснения своим поступкам И вот какая картина сложилась в результате этой "работы с литературой. Самый потрясающий вывод, к которому пришли ученые, заключается в том, что во всех подобных случаях помощь не оказывается потому, что наблюдающих очень много. Невероятно, казалось бы Но именно таки есть. Потому что, когда много наблюдающих, снимается личная социальная ответственность у каждого конкретного человека. Ион думает примерно так "Ну, наверное, это уже кто-то сделал. Вторая причина состоит в том, что работает программа социального подражательства. Которая в данной ситуации заключается в том, что когда люди не уверены, как именно нужно поступить, большинство из них оглядывается на других людей. На то, как они поступают в той же ситуации. А теперь очень важный момент. Относительно того, как многие люди поступают в аналогичных ситуациях. А поступают они хладнокровно и жестоко. Вопрос — почему — очень важный. Дело в том, что большинство исследователей считает, что происходит это из-за того, что очень многим людям хочется казаться хладнокровными и жесткими. Подробное объяснение, почему так, выходит за рамки данной книги, хотя и очень интересно. Если коротко. Многие из нас реально не являются жесткими и жестокими. Но очень хотят именно такими выглядеть. Наверное, потому что слишком много терпели издевательств и унижений от уличных хулиганов, старших по должности, или младших по должности, от которых зависим. Неважно от кого. Важно то, что нередко в жизни мы поступаем не так, как нам бы хотелось. А поступаем зависимо. Зависим же мы от более сильного, по нашему мнению, человека. От хулигана того же. Которому отдаем все свои деньги. Потому что ему ответить "Нет" страшно. Для этого нужно действительно быть жестким. Ноне будучи таковыми, мы отдаем ему деньги, а

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
110 потом кидаемся на более слабых, чем мы родственников, на прохожих тщедушных. В общем, действуем, как тот самый хулиган, применяя свою силу только к тому, кто нам не сможет ответить. Вы, наверняка, уже поняли, что надевая маску хладнокровия и жесткости, мы представляем себя этаким линкором, которому все "по колено. И шагаем по жизни, как Бэтмен из вчерашнего фильма, который просто шел с каменным лицом, перешагивая через убитых, не слыша стонов раненых, не обращая внимания на умирающих. Таким образом, таким поведением мы просто повышаем свою самооценку, которую кто-то когда-то опустил. Когда это понимаешь, уже несколько по-другому начинаешь относиться к своим поступкам. И говоришь "Нет, это совершенно неприемлемо, когда это действительно нужно сказать, а не спустя несколько часов после этого. Своему ребенку на просьбу "Папа, поиграй со мной в шахматы. Кроме того, имеет место быть так называемый феномен социального невежества, который заключается в том, что в непонятной ситуации люди оглядываются на других, и если видят, что никто не озабочен, то решают, что все в порядке. Это исследования американских психологов Латане и Дарлея 1968 года. Эти ученые также проверили очень любопытный эксперимент. Молодой человек разыгрывал на улице припадок эпилепсии. В том случае, когда около него в момент "начала припадка" находился один прохожий, он получил помощь в 85% случаев, а если рядом оказывалось несколько наблюдателей "припадка, то помощь оказывалась лишь в 35% случаев. Из этих исследований следует очень важный вывод нет, мы не являемся обществом бездушных отморозков, и веру в человечество терять рано, но очень часто адекватной оценке ситуации нам мешает присутствие других людей, на поведение которых мы оглядываемся, прежде чем принять решение. А они, естественно, оглядываются на наше поведение.
Êîãäà íå ðàáîòàåò ïðîãðàììà
ñîöèàëüíîãî ïîäðàæàòåëüñòâà Программа социального подражательства не работает у людей с высоким уровнем личной ответственности. Этот высокий уровень может быть следствием той или иной профессии к примеру, доктор, если он действительно доктора непросто лицо с медицинским образованием, не пройдет мимо человека, которому стало плохо. Это может быть следствием жизни в экстремальных условиях люди, ранее жившие в регионах с плохими погодными условиями (Крайний Север, к примеру, и приехавшие затем в наши теплые края, не проедут мимо водителя, машина которого заглохла и который просит помощи. Как там на севере не проезжают, таки здесь не проедут. Потому что там, если проедешь, других машин за тобой может и не быть, а когда пурга и мороз, то неоказание помощи такому человеку может привести к его гибели. А теперь, после всего вышесказанного — важный практический момент. Представьте себе, что вам вдруг стало плохо. Всякое бывает в этой жизни. Вы тяжело осели на асфальт, прислонившись к стене дома. Ивам ну очень надо, чтобы вам оказали помощь. Как следует из сказанного ранее, к вам может никто и не подойти. Человек будет оглядываться на поведение других людей, и если те пройдут мимо, то пройдет мимо ион. Чтобы не допустить такой ситуации, вам нужно снять неопределенность, и открыто и четко сказать людям, что вам нужна помощь. Более того, нужно говорить это не всей толпе вообще, а какому-то конкретно выбранному индивиду, смотря прямо на него
— Девушка в белом, с белой сумкой Помогите мне. Мне плохо и мне нужна ваша помощь. В этом случае вероятность того, что помощь будет оказана очень высока, потому что вы, обращаясь к конкретному человеку повышаете его индивидуальность, ион уже, скорее всего, не станет оглядываться на действия других, и не станет сомневаться на предмет того, пройти ему мимо или все-таки остановиться.
Êàê ëåãêî îáàíêðîòèòü áàíê Известно, что если вдруг все люди разом заберут из банка свои деньги, он обанкротится. В мире известен не один случай, когда программа социального подражательства приводила к банкротству банков в рекордно короткие сроки. Происходит все примерно так. У банка образуется очередь. Причем, самое смешное, это может быть необязательно очередь тех, кто решил снять свои вклады. Толпа людей около банка может собраться совершенно

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
112 спонтанно, к примеру, мог сломаться проезжающий мимо банка автобус, и люди просто вышли из него и создали около банка массовку. Другие же люди могут подумать, что это очередь из клиентов банка, которые пришли снимать свои вклады. А дальше работает программа социального подражательства "мол, если столько людей снимают вклады, то, значит, и мне надо. И вот так из-за нелепой случайности банк может за один день оказаться банкротом. Случаи, проходившие именно по такой схеме, известны. Ив мире вообще ив России в частности. Были ли это действительно нелепые случайности, или эти случайности были умело подстроены людьми, знавшими толк в социальном программировании, остается только догадываться.
Ïðîãðàììà äåéñòâèÿ àâòîðèòåòà Излюбленная программа тех социальных хакеров, которые занимаются социальной инженерией. Суть этой программы в том, что как только человек, являющийся авторитетом для некоторой группы людей, отдает приказ на выполнение того или иного действия, те люди, которые входят в эту группу, начинают автоматически исполнять приказ, переставая думать. Проще говоря, если я считаю вас авторитетом (знаю, что вы — авторитет, то как только выскажете "Сделай то, я тут же побегу это делать, не задумываясь над тема нужно ли вообще-то это делать. Помните во введении к этой книге мы приводили пример, как 75% сотрудников компании ответили на письмо системного администратора, в котором он требовал сообщить им свой пароль Сработала программа действия авторитета. Ведь для рядовых пользователей ПК системный администратор представляется этаким "компьютерным богом, действия которого нужно выполнять беспрекословно. Вот они и выполнили. Мы тоже проводили много подобных экспериментов, и наши цифры примерно такие же, как у английских исследователей. Чтобы эксперимент удался, нужно выполнить лишь одну нехитрую вещь найти для человека, которого ты хочешь заставить выполнить какое-то действие, авторитета, и выступить от его имени. В литературе был описан эксперимент, когда на сестринский пост в районную больницу позвонил человек, и, просто представившись доктором этой больницы (даже не назвав фамилию, сказал какие назначения нужно срочно дать больным из 20 и 15 палаты. Невероятно, но сработало Несмотря на всю грубость эксперимента Из 20 медсестер, над которыми проводились эксперименты, только две категорически не стали выполнять назначения такого "врача" и доложили о происходящем дежурному доктору. Еще десять пошли выполнять назначение, решив, что доложат позже. А восемь просто пошли выполнять назначения, и ничего никому докладывать не собирались. Почему так получилось Исследователи сходятся во мнении, что у медсестер сработала программа "действия авторитета. Для младшего медицинского персонала доктор — авторитет и его слово непререкаемо. И, что особенно важно, данный эксперимент показывает, что для того, чтобы включилась программа "действия авторитета, совершенно ненужно, чтобы в этот момент был рядом какой-то реально авторитетный человек. Для того чтобы программа запустилась, достаточно просто сыграть роль "авторитетного человека.
Ïðèìå÷àíèå Скажу честно, когда я узнало результатах этих экспериментов, стало страшновато. И я точно знаю, что если бы этот "врач" действовал по всем принципам социального хакерства, назначение пошли бы выполнять даже те две медсестры. Должен честно сказать, что, к счастью, знаю и такие больницы, где этот номер не пройдет совершенно. Но, увы, их список невелик. Да, казалось бы, поведение медсестер в указанном примере — верх безрассудства и хочется думать, что это были просто какие- то особо неумные медсестры какой-то конкретной очень провинциальной больницы. Но. Этот эксперимент в разных вариациях проводился неводной больнице и проводился в разное время разными исследователями. И результаты были более-менее похожие. Я сам по договоренности с главврачом одной из больниц провел подобный эксперимент. Мы решили посмотреть, будут ли давать медсестры назначения пациентам, минуя лечащего врача и вообще весь персонал данной больницы, если меня представить каким-то очень уважаемым доктором. В назначенный день я с "делегацией" других "уважаемых докторов" с большой помпой приехал в указанную больницу. Роли были отрепетированы ивы учены, и мы пошлина обход. Так как роли были выучены хорошо, подлога никто не заметил. Мы ходили около больных, кривились, качали головами, выслушивая, какие назначения им прописали. В общем, вели себя до безобразия авторитетно. Естественно, все это видели медсестры. Около одного из больных, страдающего мигренью, я особенно "разавторитетничался", т. к. сам страдал этой болезнью, и знал про нее почти все, включая публикации двухмесячной давности, вышедшие в американских журналах. Я цитировал выдержки этих статей вперемешку с абзацами из булгаковской "Мастери Маргарита" (один из героев этого романа, Понтий Пилат, тоже страдал этой болезнью, в припадке эрудиции даже нарисовал несколько химических формул тех лекарств, которые назначают при этой болезни (я могу свободно изъясняться с медиками на их языке, т. к. работал раньше медбратом, немало оказывал первую медицинскую помощь в разных ситуациях, и имею, среди прочих, высшее химическое образование. В общем, в нашей авторитетности убедились даже скептики.
Ïðèìå÷àíèå Что интересно, при дальнейших расспросах выяснилось, что самым авторитетным признали не меня, хотя я был представлен аудитории как "самый-самый" и кидался умными терминами направо и налево, а "доктора" из нашей компании, который вообще ничего не говорил. Ни слова. Роль у него такая была. Он либо осуждающе молчал, либо кривился, либо смеялся в голос над смешными, по "его мнению, назначениями, и делал все это "очень в такт. Но за все время не сказал вообще ни одного членораздельного предложения. А потом мы собрали медсестер и стали давать назначения, отменяющие назначения лечащих докторов. Причем назначения мы давали "убийственные" в прямом смысле этого слова. Это, грубо говоря, когда больному с гипертонической болезнью назначается лекарство, повышающее давление. А потом мы отлавливали этих медсестер у палат, потому что они пошли эти назначения выполнять. Не посоветовавшись ни с кем, кроме нас. Казалось бы, глупость. Ну не может так быть. Ну не может даже самая малограмотная медсестра давать больному кофеин при гипертонической болезни. Ну глупость это. Потому что то, что кофеин повышает давление знает, наверное, почти все население земного шара. И не надо быть "семи пядей во лбу, чтобы сообразить, что "доктор" таким назначением просто хочет совершить руками медсестры форменное убийство. Казалось бы, "этого не может быть, потому что не может быть никогда. И однако. Эта глупость совершается. Как совершается много других "глупостей, и немало примеров приведено в этой книге. Изучая социальное программирование, мы уже научились, когда видим, что какой-то поступок ну вообще никак не поддается объяснению сточки зрения здравомыслия, обращаться к социальному программированию и анализировать этот поступок с этой точки зрения. Как правило, в большинстве случаев "алогизм" удается объяснить. Когда мы обсуждали этот наш эксперимент, я сам отказывался верить в только что увиденное своими глазами. Нос другой стороны. Вспомним достаточно известный пример из мира зоологии, со стадом баранов, прыгающим в пропасть вслед за своим вожаком. Если "убедить" вожака стада прыгнуть в пропасть, то все стадо последует за ним. Вот уж, казалось бы, большую глупость сложно представить что бараны, не знают, что там, впереди пропасть Знают прекрасно не первый год здесь пасутся и все дни до этого обходили эту пропасть стороной за сто метров. А сегодня вдруг взяли и прыгнули туда всем стадом вслед за своим вожаком. И почему так происходит Срабатывает программа "действие авторитета, а дело доделывает программа социального подражательства. Аналогом такого "бараньего поведения" в мире человеческом являются коллективные самоубийства в сектах. Механизм действия тот же самый.

ÃËÀÂÀ
4
Ïîñòðîåíèå
ñîöèàëüíûõ ôàéðâîëîâ В этой главе мы закончим разговор о методах построения социальных файрволов, начатый в главах 2 и 3.
Ðàáîòíèêè-õàêåðû Очень часто, когда речь заходит о безопасности предприятия, в том числе, когда дело касается социальной инженерии, мы защищаемся только от внешней угрозы, совершенно забывая о том, что опасность может подкрасться изнутри. Дело в том, что некоторые работники предприятия могут натворить бед похлеще, чем заброшенный в стан врага диверсант. И пока мы ищем, кто это нас атаковал снаружи, нас атакуют изнутри собственные сотрудники. Не стоит, конечно, огульно охаивать всех, немалая часть сотрудников честные и порядочные люди, но. Люди есть люди, ау людей есть пороки. И рассмотрение того, какие же из этих пороков наиболее губительны для предприятия и является целью этой главы.
Ïðèìå÷àíèå Рассмотрение этого вопроса сточки зрения социальной инженерии представляет интерес потому, что именно на тех пороках, которые мы рассмотрим, и играют, как правило, социальные хакеры.

Ãëàâà 4. Ïîñòðîåíèå ñîöèàëüíûõ ôàéðâîëîâ
117
Óïðÿìûå ðàáîòíèêè Совсем необязательно, что работник, который может развалить вашу организацию, должен быть вором, антисоциальным психопатом или спать и видеть, как бы взорвать организацию, причем желательно в тот момент, когда там будет все высшее руководство. Совсем нет. Он может быть просто очень упрямыми уверенным в том, что то, что он делает, он делает правильно и это не подлежит никакому критическому обсуждению. Простой пример. дизайнер фирмы, который абсолютно уверен в том, что "по части искусства он безгрешен, отвечающий на все критические замечания тем, что "в дизайне правил нет. И, если его не проконтролировать, он может нарисовать такое, что нанесет фирме маркетинговый урон намного больший, чем если бы хакеры сделали дефейс основной страницы сайта.
Ïðèìå÷àíèå Проблема с такими дизайнерами, на наш взгляд, происходит из-за их малограмотности по части искусства вообще и изобразительного в частности. Дело в том, что в связи с резким развитием IT в эту отрасль (ив дизайнеры, ив программисты, ив системные администраторы, ив мерчандайзеры
1
и т. д) пришло много "специалистов" с совершенно бессистемным образованием. Заметим, что речь идет не о самоучках, — мысами не разв своих книгах говорили, что самообучение это прекрасно, и сами приводили примеры того, как самоучки достигали таких высот, которые их коллегам с профильным образованием и не снились. Дело не в этом. Просто многие люди, желая "хапнуть много и побыстрее, упустили из внимания то, что образование, где бы оно не получалось, в ВУЗе ли или дома на диване, должно быть системным. Таким образом, если ты дизайнер, так изволь, хотя бы из уважения к своей профессии разбираться в изобразительном искусстве и отличать Ван