(рассказ)
Обычно на лекциях и семинарах молодые "провокаторы" среди слушателей сами задают мне вопросы об эффективных приёмах социальной инженерии, используемых взломщиками. В этот раз я решил провести моделирование ситуации без лишних предисловий.
Многие знают, что самые элементарные психологические тесты отражают не только результаты нашей умственной деятельности, но также могут сообщать о наших предпочтениях, схемах принятия решений и другой личной информации вплоть до точных данных.
На доске в аудитории я нарисовал небольшой графический тест и вызвал для ответа одного из молодых людей, увлечённо терзающего экран своего смартфона во время моей лекции.
- Молодой человек, если вы согласны, продемонстрируйте нам несколько примеров спонтанных графических образов при скоростном заполнении этого теста.
Молодой человек кивнул головой - он был согласен продемонстрировать свои творческие способности. Спрашивать согласие в случаях такого тестирования обязательно, также как и обязательно озвучивать цели проведения таких тестов, даже при конфиденциальном тестировании специалистом.
- В тесте предлагается заполнить четыре блока из девяти точек, соединив их любым количеством отрезков, использовав максимум десять отрезков за тридцать секунд, - начал ставить задачу я. - Фигуры, образующиеся ломанной линией, должные что-то означать для вас: событие, памятный знак, идею, но быть непонятными для окружающих. Побудьте немного шифровальщиком - что означают эти линии вы знаете, а другие нет.
Молодой человек снова кивнул.
- Начали, - скомандовал я и запустил секундомер.
Энергичный экспериментатор быстро справился с заданием и вся аудитория обратилась в тишину, требуя объяснений. Я объявил тему нашего занятия: "Соблюдение пользователем режима конфиденциальности персональных данных".
- Некоторые граждане, субъекты персональных данных, осознавая конфиденциальность личных сведений в одной ситуации, не соблюдают режим ограничения их распространения в других случаях, по причине отсутствия точного перечня случаев их использования и лиц имеющих к ним доступ.
- А какое отношение сказанное имеет к заполненному тесту? - спросил один из постоянных "экспертов" наших практических упражнений.
- Обратимся к нашему экспериментатору, - сказал я. - Скажите не похожа ли фигура в третьем варианте на графический пароль к вашему смартфону?
- Я же могу не отвечать на этот вопрос? - возразил молодой человек.
- Можете.
- Третий вариант, - начал молодой человек. - Действительно похож на мой графический ключ, но немного изменён.
- В последнем отрезке, - уточнил я.
Молодой человек кивнул и поинтересовался откуда мне это известно.
- В начале заполнения теста вы действительно пытались что-то зашифровать для себя, но чувствуя исход времени, решили упростить тестирование, сообщив готовое решение из своей памяти, - ответил на вопрос я и продолжил. - Заметно было то, как вы увереннее, чем остальные варианты, нарисовали третий. Также было заметно замедление перед рисованием последнего отрезка фигуры - значит вы задумались, видоизменяли образ из памяти, что в принципе правильно. Если бы вы проходили такие тесты на компьютере в программе, обрабатывающей реакции и хронометраж, то ваш графический пароль был бы "раскрыт" быстрее и точнее человеческого анализа.
Молодой человек поинтересовался тем, почему к доске я вызвал именно его.
- Вы пользуетесь мобильным устройством на моей лекции и я заметил, что вы сделали жест, похожий на ввод графического пароля. Вот причина не заниматься посторонними делами в регламентированных ситуациях: если бы вы не эксплуатировали устройство в неположенном месте, то я бы не выбрал вас в качестве жертвы учебной информационной атаки.
Аудитория слегка зашумела - перешла в режим преобразования полученной информации, как иногда шучу я.
- Этот пример в наших занятиях не иллюстрирует приёмы психологии, а обращает внимание на обыденность случаев неточного соблюдения режима конфиденциальности данных гражданами, субъектами данных, в разных ситуациях. Дополнительно можно отметить, что если провести подобные тесты перед установкой пользователем графического пароля, то можно предположить, что некоторые протестированные установят пароль, обозначенный в своих тестах.
- А можно подробнее? - спросили сразу несколько любопытных.
- Подробнее о многих схемах психического взаимодействия в обществе, коллективе вы узнаете на курсе основ психологии, доступном в рамках вашего обучения. А пока открываем бланк инструкции по безопасности аутентификации пользователя и изучаем стандартные решения, обязательные для включения в инструкцию согласно действующим нормативным требованиям.
В этом примере было использовано всего одно правило: "Не сообщайте свой пароль третьим лицам, не используйте в качестве паролей комбинации, указанные в других источниках". Иногда, новые технологии дезориентируют пользователя относительно эффективности взлома старыми методами, однако использование новых графических и биометрических технологий аутентификации требует соблюдения правил безопасности.
Предыдущий рассказ из этой серии:
8 октября 2019 года.
автор: юрист Демешин Сергей Владимирович.
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).