KEVIN MITNICK Sztuka podstpu

przeoy Jarosaw Dobrzaski

Rok wydania oryginalnego 2002 Rok wydania polskiego 2003

Dla Reby Vartanian, Shelly Jaffe, Chickie Laventhal i Mitchella Mitnicka oraz pamici Alana Mitnicka, Adama Mitnicka i Jacka Bello.

Dla Arynne, Victorii, Davida, Shelldona, Vincenta i Eleny.

Socjotechnika
Socjotechnika to wywieranie wpywu na ludzi i stosowanie perswazji w celu oszukania ich tak, aby uwierzyli, e socjotechnik jest osob o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji, tosamoci. Dziki temu socjotechnik jest w stanie wykorzysta swoich rozmwcw, przy dodatkowym (lub nie) uyciu rodkw technologicznych, do zdobycia poszukiwanych informacji.

Sowo wstpne
Wszyscy ludzie rodz si z wewntrzn potrzeb poznawania natury swojego otoczenia. W czasach modoci zarwno Kevin Mitnick, jak i ja bylimy niesamowicie ciekawi wiata i pragnlimy dowie swojej wasnej wartoci. W dziecistwie czsto nagradzano nas za nauczenie si nowej rzeczy, rozwizanie zagadki lub wygranie gry. Jednak w tym samym czasie wiat narzucajc nam swoje reguy zachowania, krpowa nasz wewntrzn potrzeb poznawania. Zarwno dla wybitnych naukowcw, technicznych wizjonerw, jak i dla ludzi pokroju Kevina Mitnicka podanie za t potrzeb powodowao najwikszy moliwy dreszcz emocji, pozwalajc na robienie rzeczy, ktre innym wydaj si niemoliwe. Kevin Mitnick jest jednym z najwspanialszych ludzi, jakich znam. Zapytajcie go, a szczerze odpowie Wam, e metoda, ktrej uywa, socjotechnika, polega na oszukiwaniu ludzi. Kevin jednak nie jest ju socjotechnikiem, a nawet w czasie, kiedy tym zajciem si para, motywami jego dziaania nigdy nie bya ch wzbogacenia si lub wyrzdzenia krzywdy drugiemu czowiekowi. Nie oznacza to jednak, e nie istniej groni i niebezpieczni przestpcy, ktrzy stosuj socjotechnik, aby wyrzdzi rzeczywiste szkody. To wanie przed nimi Kevin chce Was ostrzec w tej ksice. Sztuka podstpu uwiadamia, jak bardzo rzdy pastw, firmy i kady z nas s nieodporne na atak socjotechnika. W obecnych czasach, kiedy tak duo uwagi powica si bezpieczestwu, wydaje ogromne kwoty na ochron sieci komputerowych i danych, powinnimy zda sobie spraw z tego, jak atwo mona oszuka ludzi z wewntrz i obej wszelkie moliwe zabezpieczenia technologiczne. Ksika wanie to opisuje.

Jeeli pracujemy w firmie lub instytucji rzdowej, pozycja ta jest nieocenionym drogowskazem, umoliwiajcym zrozumienie, w jaki sposb dziaaj socjotechnicy i co moemy zrobi, aby pokrzyowa ich plany. Korzystajc z fabularyzowanych historii, ktrych czytanie nie tylko otwiera oczy, ale jest te dobr rozrywk, Kevin, wraz ze wspautorem, Billem Simonem, opisuje techniki stosowane przez oszustw. Po kadej z historii otrzymujemy wskazwki pomagajce uchroni si przed przedstawionymi sytuacjami. W zabezpieczeniach zapewnianych przez technologi istnieje spora luka, w ktrej uszczelnieniu mog pomc ludzie tacy jak Kevin. Po przeczytaniu tej ksiki na pewno zdacie sobie spraw, jak bardzo potrzebujecie tej pomocy. Steve Wozniak

Przedmowa
S na wiecie hakerzy, ktrzy niszcz cudze pliki lub cae dyski twarde nazywa si ich crakerami lub po prostu wandalami. S rwnie niedowiadczeni hakerzy, ktrzy zamiast uczy si technologii, znajduj w sieci odpowiednie narzdzia hakerskie, za pomoc ktrych wamuj si do systemw komputerowych. Mwi si o nich script kiddies. Bardziej dowiadczeni hakerzy sami tworz programy hakerskie, ktre potem umieszczaj w sieci lub na listach dyskusyjnych. Istniej te takie osoby, ktrych w ogle nie obchodzi technologia, a komputera uywaj jedynie jako narzdzia pomagajcego im kra pienidze, towary i korzysta za darmo z usug. Wbrew mitowi o Kevinie Mitnicku, jaki stworzyy media, nigdy jako haker nie miaem zych zamiarw. Wyprzedzam jednak fakty.

Pocztki
cieka, na ktr wstpiem, miaa zapewne swj pocztek w dziecistwie. Byem beztroskim, ale znudzonym dzieckiem. Mama, po rozstaniu z ojcem (miaem wtedy 3 lata), pracowaa jako kelnerka, by nas utrzyma. Mona sobie wyobrazi jedynaka wychowywanego przez wiecznie zabiegan matk chopaka samotnie spdzajcego cae dnie. Byem swoj wasn niani. Dorastajc w San Fernando Valley, miaem ca modo na zwiedzanie Los Angeles. W wieku 12 lat znalazem sposb na darmowe podrowanie po caym okrgu Los Angeles. Ktrego dnia, jadc autobusem, odkryem, e ukad

otworw na bilecie tworzony przez kierowc podczas kasowania oznacza dzie, godzin i tras przejazdu autobusu. Przyjanie nastawiony kierowca odpowiedzia na wszystkie moje dokadnie przemylane pytania, cznie z tym, gdzie mona kupi kasownik, ktrego uywa. Bilety te pozwalay na przesiadki i kontynuowanie podry. Wymyliem wtedy, jak ich uywa, aby jedzi wszdzie za darmo. Zdobycie nieskasowanych biletw to bya pestka: kosze na mieci w zajezdniach autobusowych pene byy nie do koca zuytych bloczkw biletowych, ktrych kierowcy pozbywali si na koniec zmiany. Majc nieskasowane bilety i kasownik, mogem sam je oznacza w taki sposb, aby dosta si w dowolne miejsce w Los Angeles. Wkrtce znaem wszystkie ukady tras autobusw na pami. To wczesny przykad mojej zadziwiajcej zdolnoci do zapamitywania pewnego rodzaju informacji. Do dzisiaj pamitam numery telefonw, hasa i tym podobne szczegy nawet te zapamitane w dziecistwie. Innym moim zainteresowaniem, jakie ujawnio si do wczenie, bya fascynacja sztuczkami magicznymi. Po odkryciu, na czym polega jaka sztuczka, wiczyem tak dugo, a j opanowaem. W pewnym sensie to dziki magii odkryem rado, jak mona czerpa z wprowadzania ludzi w bd.

Od phreakera do hakera
Moje pierwsze spotkanie z czym, co pniej nauczyem si okrela mianem socjotechniki, miao miejsce w szkole redniej. Poznaem wtedy koleg, ktrego pochaniao hobby zwane phreakingiem. Polegao ono na wamywaniu si do sieci telefonicznych, przy wykorzystaniu do tego celu pracownikw sub telefonicznych oraz wiedzy o dziaaniu sieci. Pokaza mi sztuczki, jakie mona robi za pomoc telefonu: zdobywanie kadej informacji o dowolnym abonencie sieci czy korzystanie z tajnego numeru testowego do dugich darmowych rozmw zamiejscowych (potem okazao si, e numer wcale nie by testowy rozmowami, ktre wykonywalimy, obciany by rachunek jakiej firmy). Takie byy moje pocztki w dziedzinie socjotechniki swojego rodzaju przedszkole. Ten kolega i jeszcze jeden phreaker, ktrego wkrtce poznaem, pozwolili mi posucha rozmw telefonicznych, jakie przeprowadzali z pracownikami firm telekomunikacyjnych. Wszystkie rzeczy, ktre mwili, brzmiay bardzo wiarygodnie. Dowiedziaem si o sposobie dziaania rnych firm z tej brany, nauczyem si argonu i procedur, stosowanych

przez ich pracownikw. Trening nie trwa dugo nie potrzebowaem go. Wkrtce sam robiem wszystkie te rzeczy lepiej ni moi nauczyciele, pogbiajc wiedz w praktyce. W ten sposb wyznaczona zostaa droga mojego ycia na najblisze 15 lat. Jeden z moich ulubionych kawaw polega na uzyskaniu dostpu do centrali telefonicznej i zmianie rodzaju usugi przypisanej do numeru telefonu znajomego phreakera. Kiedy ten prbowa zadzwoni z domu, sysza w suchawce prob o wrzucenie monety, poniewa centrala odbieraa informacj, e dzwoni on z automatu. Absorbowao mnie wszystko, co dotyczyo telefonw. Nie tylko elektronika, centrale i komputery, ale rwnie organizacja, procedury i terminologia. Po jakim czasie wiedziaem o sieci telefonicznej chyba wicej ni jakikolwiek jej pracownik. Rozwinem rwnie swoje umiejtnoci w dziedzinie socjotechniki do tego stopnia, e w wieku 17 lat byem w stanie wmwi prawie wszystko wikszoci pracownikom firm telekomunikacyjnych, czy to przez telefon, czy rozmawiajc osobicie. Moja znana ogowi kariera hakera rozpocza si waciwie w szkole redniej. Nie mog tu opisywa szczegw, wystarczy, e powiem, i gwnym motywem moich pierwszych wama bya ch bycia zaakceptowanym przez grup podobnych mi osb. Wtedy okrelenia haker uywalimy w stosunku do kogo, kto spdza duo czasu na eksperymentowaniu z komputerami i oprogramowaniem, opracowujc bardziej efektywne programy lub znajdujc lepsze sposoby rozwizywania jakich problemw. Okrelenie to dzisiaj nabrao pejoratywnego charakteru i kojarzy si z gronym przestpc. Ja uywam go tu jednak w takim znaczeniu, w jakim uywaem go zawsze czyli tym wczeniejszym, agodniejszym. Po ukoczeniu szkoy redniej studiowaem informatyk w Computer Learning Center w Los Angeles. Po paru miesicach szkolny administrator komputerw odkry, e znalazem luk w systemie operacyjnym i uzyskaem pene przywileje administracyjne w systemie. Najlepsi eksperci spord wykadowcw nie potrafili doj do tego, w jaki sposb to zrobiem. Nastpi wwczas by moe jeden z pierwszych przypadkw zatrudnienia hakera dostaem propozycj nie do odrzucenia: albo w ramach pracy zaliczeniowej poprawi bezpieczestwo szkolnego systemu komputerowego, albo zostan zawieszony za wamanie si do systemu. Oczywicie wybraem to pierwsze i dziki temu mogem ukoczy szko z wyrnieniem.

Socjotechnik
Niektrzy ludzie wstaj rano z ka, by odbbnia powtarzalne czynnoci w przysowiowym kieracie. Ja miaem to szczcie, e zawsze lubiem swoj prac. Najwicej wyzwa, sukcesw i zadowolenia przyniosa mi praca prywatnego detektywa. Szlifowaem tam swoje umiejtnoci w sztuce zwanej socjotechnik skanianiem ludzi do tego, by robili rzeczy, ktrych zwykle nie robi si dla nieznajomych. Za to mi pacono. Stanie si biegym w tej brany nie byo dla mnie trudne. Rodzina ze strony mojego ojca od pokole zajmowaa si handlem moe wic umiejtno perswazji i wpywania na innych jest cech dziedziczn. Poczenie potrzeby manipulowania ludmi z umiejtnoci i talentem w dziedzinie perswazji i wpywu na innych to cechy idealnego socjotechnika. Mona powiedzie, e istniej dwie specjalizacje w zawodzie artysty-manipulatora. Kto, kto wyudza od ludzi pienidze, to pospolity oszust. Z kolei kto, kto stosuje manipulacj i perswazj wobec firm, zwykle w celu uzyskania informacji, to socjotechnik. Od czasu mojej pierwszej sztuczki z biletami autobusowymi, kiedy byem jeszcze zbyt mody, aby uzna, e robi co zego, zaczem rozpoznawa w sobie talent do dowiadywania si o rzeczach, o ktrych nie powinienem wiedzie. Rozwijaem ten talent, uywajc oszustw, posugujc si argonem i rozwinit umiejtnoci manipulacji. Jednym ze sposobw, w jaki pracowaem nad rozwijaniem umiejtnoci w moim rzemiole (jeeli mona to nazwa rzemiosem), byo prbowanie uzyskania jakiej informacji, na ktrej nawet mi nie zaleao. Chodzio o to, czy jestem w stanie skoni osob po drugiej stronie suchawki do tego, by mi jej udzielia ot tak, w ramach wiczenia. W ten sam sposb, w jaki kiedy wiczyem sztuczki magiczne, wiczyem teraz sztuk motywowania. Dziki temu wkrtce odkryem, e jestem w stanie uzyska praktycznie kad informacj, jakiej potrzebuj. Wiele lat pniej, zeznajc w Kongresie przed senatorami, Liebermanem i Thompsonem, powiedziaem: Udao mi si uzyska nieautoryzowany dostp do systemw komputerowych paru najwikszych korporacji na tej planecie, spenetrowa najlepiej zabezpieczone z istniejcych systemw komputerowych. Uywaem narzdzi technologicznych i nie zwizanych z technologi, aby uzyska dostp do kodu rdowego rnych systemw operacyjnych, urzdze telekomunikacyjnych i poznawa ich dziaanie oraz sabe strony.

Tak naprawd, zaspakajaem jedynie moj wasn ciekawo, przekonywaem si o moliwociach i wyszukiwaem tajne informacje o systemach operacyjnych, telefonach komrkowych i wszystkim innym, co budzio moje zainteresowanie.

Podsumowanie
Po aresztowaniu przyznaem, e to, co robiem, byo niezgodne z prawem i e dopuciem si naruszenia prywatnoci. Moje uczynki byy powodowane ciekawoci pragnem wiedzie wszystko, co si dao o tym, jak dziaaj sieci telefoniczne oraz podsystemy wejcia-wyjcia komputerowych systemw bezpieczestwa. Z dziecka zafascynowanego sztuczkami magicznymi staem si najgroniejszym hakerem wiata, ktrego obawia si rzd i korporacje. Wracajc pamici do ostatnich trzydziestu lat mojego ycia, musz przyzna, e dokonaem paru bardzo zych wyborw, sterowany ciekawoci, pragnieniem zdobywania wiedzy o technologiach i dostarczania sobie intelektualnych wyzwa. Zmieniem si. Dzisiaj wykorzystuj mj talent i wiedz o bezpieczestwie informacji i socjotechnice, jak udao mi si zdoby, aby pomaga rzdowi, firmom i osobom prywatnym w wykrywaniu, zapobieganiu i reagowaniu na zagroenia bezpieczestwa informacji. Ksika ta to jeszcze jeden sposb wykorzystania mojego dowiadczenia w pomaganiu innym w radzeniu sobie ze zodziejami informacji. Mam nadziej, e opisane tu przypadki bd zajmujce, otwierajce oczy i majce jednoczenie warto edukacyjn.

Wprowadzenie
Ksika ta zawiera bogaty zbir informacji dotyczcych bezpieczestwa danych i socjotechniki. Oto krtki opis ukadu ksiki, uatwiajcy korzystanie z niej: W czci pierwszej odkrywam pit achillesow systemw bezpieczestwa i pokazuj, dlaczego my i nasza firma jestemy naraeni na ataki socjotechnikw. Cz druga opisuje, w jaki sposb socjotechnicy wykorzystuj nasze zaufanie, ch pomocy, wspczucie oraz naiwno, aby dosta to, czego chc. Fikcyjne historie demonstrujce typowe ataki uka socjotechnika przywdziewajcego coraz to nowe maski. Jeeli wydaje si nam, e nigdy nie spotkalimy socjotechnika, prawdopodobnie jestemy w bdzie. Niejedna z tych historii moe nieoczekiwanie wyda si nam znajoma. Jednak po przeczytaniu rozdziaw od 2. do 9. powinnimy dysponowa ju wiedz, ktra pozwoli nam uchroni si przed kolejnym atakiem. W czci trzeciej gra z socjotechnikiem toczy si o wiksz stawk. Wymylone historie pokazuj, w jaki sposb moe on dosta si na teren firmy, ukra tajemnic, co moe zrujnowa nasze przedsibiorstwo, lub unicestwi nasz najnowoczeniejszy technologicznie system bezpieczestwa. Scenariusze przedstawione w tej czci uwiadamiaj nam zagroenia, poczynajc od zwykej zemsty pracownika, na cyberterroryzmie koczc. Jeeli wane jest dla nas bezpieczestwo kluczowych informacji, ktre stanowi o status quo naszej firmy, powinnimy przeczyta rozdziay od 10. do 14. w caoci. Naley pamita, e o ile nie jest napisane inaczej, historie przedstawione w tej ksice s czyst fikcj.

11

W czci czwartej opisane zostay sposoby zapobiegania atakom socjotechnicznym w organizacji. Rozdzia 15. przedstawia zarys skutecznego szkolenia dotyczcego bezpieczestwa, a w rozdziale 16. znajdziemy przykad gotowca, czyli kompletny dokument opisujcy polityk bezpieczestwa firmy, ktry moemy przystosowa do potrzeb naszej firmy i od razu wprowadzi w ycie, aby zabezpieczy nasze zasoby informacyjne. Na kocu znajduje si cz zatytuowana Bezpieczestwo w piguce, ktra podsumowuje kluczowe informacje w formie list i tabel. Mog one stanowi cig dla naszych pracownikw, pomagajc unikn atakw socjotechnicznych. Zawarte tam informacje pomog rwnie podczas tworzenia programu szkolenia dotyczcego bezpieczestwa firmy. W ksice znajdziemy rwnie uwagi dotyczce argonu, zawierajce definicje terminw uywanych przez hakerw i socjotechnikw, a take dodatkowe uwagi Kevina Mitnicka zawierajce podsumowanie fragmentu tekstu zote myli, ktre pomagaj w formuowaniu strategii bezpieczestwa. Pozostae uwagi i ramki zawieraj interesujce informacje dodatkowe lub prezentuj okolicznoci danej sprawy.

I
Za kulisami
Pita achillesowa systemw bezpieczestwa

1
Pita achillesowa systemw bezpieczestwa
Firma moe dokona zakupu najlepszych i najdroszych technologii bezpieczestwa, wyszkoli personel tak, aby kada poufna informacja bya trzymana w zamkniciu, wynaj najlepsz firm chronic obiekty i wci pozosta niezabezpieczon. Osoby prywatne mog niewolniczo trzyma si wszystkich najlepszych zasad zalecanych przez ekspertw, zainstalowa wszystkie najnowsze produkty poprawiajce bezpieczestwo i skonfigurowa odpowiednio system, uruchamiajc wszelkie jego usprawnienia i wci pozostawa niezabezpieczonymi.

14

Czynnik ludzki
Zeznajc nie tak dawno temu przed Kongresem, wyjaniem, e czsto uzyskiwaem hasa i inne poufne informacje od firm, podajc si za kogo innego i po prostu o nie proszc. Tsknota za poczuciem absolutnego bezpieczestwa jest naturalna, ale prowadzi wielu ludzi do faszywego poczucia braku zagroenia. Wemy za przykad czowieka odpowiedzialnego i kochajcego, ktry zainstalowa w drzwiach wejciowych Medico (zamek bbnowy syncy z tego, e nie mona go otworzy wytrychem), aby ochroni swoj on, dzieci i swj dom. Po zaoeniu zamka poczu si lepiej, poniewa jego rodzina staa si bardziej bezpieczna. Ale co bdzie, jeeli napastnik wybije szyb w oknie lub zamie kod otwierajcy bram garau? Niezalenie od kosztownych zamkw, domownicy wci nie s bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system ochrony? Ju lepiej, ale wci nie bdzie gwarancji bezpieczestwa. Dlaczego? Poniewa to czynnik ludzki jest pit achillesow systemw bezpieczestwa. Bezpieczestwo staje si zbyt czsto iluzj. Jeeli do tego dodamy atwowierno, naiwno i ignorancj, sytuacja dodatkowo si pogarsza. Najbardziej powaany naukowiec XX wieku, Albert Einstein, podobno powiedzia: Tylko dwie rzeczy s nieskoczone: wszechwiat i ludzka gupota, chocia co do pierwszego nie mam pewnoci. W rezultacie atak socjotechnika udaje si, bo ludzie bywaj gupi. Czciej jednak ataki takie s skuteczne, poniewa ludzie nie rozumiej sprawdzonych zasad bezpieczestwa. Majc podobne podejcie jak uwiadomiony w sprawach bezpieczestwa pan domu, wielu zawodowcw z brany IT ma bdne mniemanie, e w duym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktw typu firewall, systemw detekcji intruzw i zaawansowanych rozwiza uwierzytelniajcych, takich jak kody zalene od czasu lub karty biometryczne. Kady, kto uwaa, e same produkty zabezpieczajce zapewniaj realne bezpieczestwo, tworzy jego iluzj. To klasyczny przypadek ycia w wiecie fantazji: osoby takie mog prdzej czy pniej sta si ofiarami ataku. Jak ujmuje to znany konsultant ds. bezpieczestwa, Bruce Schneider: Bezpieczestwo to nie produkt to proces. Rozwimy t myl: bezpieczestwo nie jest problemem technologicznym, tylko problemem zwizanym z ludmi i zarzdzaniem.

15

W miar wymylania coraz to nowych technologii zabezpieczajcych, utrudniajcych znalezienie technicznych luk w systemie, napastnicy bd zwraca si w stron ludzkich saboci. Zamanie ludzkiej bariery jest o wiele prostsze i czsto wymaga jedynie inwestycji rzdu kosztu rozmowy telefonicznej, nie mwic ju o mniejszym ryzyku.

Klasyczny przypadek oszustwa

Kto stanowi najwiksze zagroenie bezpieczestwa kapitau firmy? Odpowied jest prosta: socjotechnik pozbawiony skrupuw magik, ktry, gdy patrzysz na jego lew rk, praw kradnie Twoje tajemnice. Do tego czsto bywa tak miy, elokwentny i uprzejmy, i naprawd cieszysz si, e go spotkae. Spjrzmy na przykad zastosowania socjotechniki. Niewielu dzi pamita jeszcze modego czowieka, ktry nazywa si Stanley Mark Rifkin, i jego przygod z nieistniejcym ju Security Pacific National Bank w Los Angeles. Sprawozdania z jego eskapady rni si midzy sob, a sam Rifkin (podobnie jak ja) nigdy nie opowiedzia swojej wersji tej historii, dlatego zawarty tu opis opiera si na opublikowanych informacjach.

amanie kodu
Ktrego dnia roku 1978 Rifkinowi udao si dosta do przeznaczonego tylko dla personelu pokoju kontrolnego przeleww elektronicznych banku Security Pacific, z ktrego pracownicy wysyali i odbierali przelewy na czn sum miliarda dolarw dziennie. Pracowa wtedy dla firmy, ktra podpisaa z bankiem kontrakt na stworzenie systemu kopii zapasowych w pokoju przeleww na wypadek awarii gwnego komputera. To umoliwio mu dostp do procedur transferowych, cznie z tymi, ktre okrelay, w jaki sposb byy one zlecane przez pracownikw banku. Dowiedzia si, e osoby upowanione do zlecania przeleww otrzymyway kadego ranka pilnie strzeony kod uywany podczas dzwonienia do pokoju przeleww. Urzdnikom z pokoju przeleww nie chciao si zapamitywa codziennych kodw, zapisywali wic obowizujcy kod na kartce papieru i umiesz-

16

czali j w widocznym dla nich miejscu. Tego listopadowego dnia Rifkin mia szczeglny powd do odwiedzin pomieszczenia. Chcia rzuci okiem na t kartk. Po pojawieniu si w pokoju zwrci uwag na procedury operacyjne, prawdopodobnie w celu upewnienia si, e system kopii zapasowych bdzie poprawnie wsppracowa z podstawowym systemem, jednoczenie ukradkiem odczytujc kod bezpieczestwa z kartki papieru i zapamitujc go. Po kilku minutach wyszed. Jak pniej powiedzia, czu si, jakby wanie wygra na loterii.

Byo sobie konto w szwajcarskim banku

Po wyjciu z pokoju, okoo godziny 15:00, uda si prosto do automatu telefonicznego w marmurowym holu budynku, wrzuci monet i wykrci numer pokoju przeleww. Ze Stanleya Rifkina, wsppracownika banku, zmieni si w Mikea Hansena pracownika Wydziau Midzynarodowego banku. Wedug jednego ze rde rozmowa przebiegaa nastpujco: Dzie dobry, mwi Mike Hansen z midzynarodowego powiedzia do modej pracownicy, ktra odebraa telefon. Dziewczyna zapytaa o numer jego biura. Bya to standardowa procedura, na ktr by przygotowany. 286 odrzek. Prosz poda kod powiedziaa wwczas pracownica. Rifkin stwierdzi pniej, e w tym momencie udao mu si opanowa omot napdzanego adrenalin serca. 4789 odpowiedzia pynnie. Potem zacz podawa szczegy przelewu: dziesi milionw dwiecie tysicy dolarw z Irving Trust Company w Nowym Jorku do Wozchod Handels Bank of Zurich w Szwajcarii, gdzie wczeniej zaoy konto. Przyjam. Teraz prosz poda kod midzybiurowy. Rifkin obla si potem. Byo to pytanie, ktrego nie przewidzia, co, co umkno mu w trakcie poszukiwa. Zachowa jednak spokj, udajc, e nic si nie stao, i odpowiedzia na poczekaniu, nie robic nawet najmniejszej pauzy: Musz sprawdzi. Zadzwoni za chwil. Od razu zadzwoni do innego wydziau banku, tym razem podajc si za pracownika pokoju przele-

17

ww. Otrzyma kod midzybiurowy i zadzwoni z powrotem do dziewczyny w pokoju przeleww. Zapytaa o kod i powiedziaa: Dzikuj (biorc pod uwag okolicznoci, jej podzikowanie mona by odebra jako ironi).

Dokoczenie zadania
Kilka dni pniej Rifkin polecia do Szwajcarii, pobra gotwk i wyoy ponad 8 milionw dolarw na diamenty z rosyjskiej agencji. Potem wrci do Stanw, trzymajc w czasie kontroli celnej diamenty w pasku na pienidze. Przeprowadzi najwikszy skok na bank w historii, nie uywajc ani pistoletu, ani komputera. Jego przypadek w kocu dosta si do Ksigi Rekordw Guinessa w kategorii najwiksze oszustwo komputerowe. Stanley Rifkin uy sztuki manipulacji umiejtnoci i technik, ktre dzi nazywa si socjotechnik. Wymagao to tylko dokadnego planu i daru wymowy. O tym wanie jest ta ksika o metodach socjotechnicznych (w ktrych sam jestem biegy) i o sposobach, jakimi jednostki i organizacje mog si przed nimi broni.

Natura zagroenia
Historia Rifkina jest dowodem na to, jak zudne moe by nasze poczucie bezpieczestwa. Podobne incydenty moe nie dotyczce 10 milionw dolarw, niemniej jednak szkodliwe zdarzaj si codziennie. By moe w tym momencie tracisz swoje pienidze lub kto kradnie Twoje plany nowego produktu i nawet o tym nie wiesz. Jeeli co takiego nie wydarzyo si jeszcze w Twojej firmie, pytanie nie brzmi, czy si wydarzy, ale kiedy.

Rosnca obawa
Instytut Bezpieczestwa Komputerowego w swoich badaniach z 2001 roku, dotyczcych przestpstw komputerowych, stwierdzi, e w cigu roku

18

85% ankietowanych organizacji odnotowao naruszenie systemw bezpieczestwa komputerowego. Jest to zdumiewajcy odsetek: tylko pitnacie z kadych stu firm mogo powiedzie, e nie miao z tym kopotw. Rwnie szokujca jest ilo organizacji, ktra zgosia doznanie strat z powodu wama komputerowych 64%. Ponad poowa badanych firm poniosa straty finansowe w cigu jednego roku. Moje wasne dowiadczenia ka mi sdzi, e liczby w tego typu raportach s przesadzone. Mam podejrzenia co do trybu przeprowadzania bada, nie wiadczy to jednak o tym, e straty nie s w rzeczywistoci wielkie. Nie przewidujc tego typu sytuacji, skazujemy si z gry na przegran. Dostpne na rynku i stosowane w wikszoci firm produkty poprawiajce bezpieczestwo su gwnie do ochrony przed atakami ze strony amatorw, np. dzieciakw zwanych script kiddies, ktre wcielaj si w hakerw, uywajc programw dostpnych w sieci, i w wikszoci s jedynie utrapieniem. Najwiksze straty i realne zagroenie pynie ze strony bardziej wyrafinowanych hakerw, ktrzy maj jasno okrelone zadania, dziaaj z chci zysku i koncentruj si podczas danego ataku na wybranym celu, zamiast infiltrowa tyle systemw, ile si da, jak to zwykle robi amatorzy. Przecitni wamywacze zwykle s nastawieni na ilo, podczas gdy profesjonalici s zorientowani na informacje istotne i wartociowe. Technologie takie jak uwierzytelnianie (sprawdzanie tosamoci), kontrola dostpu (zarzdzanie dostpem do plikw i zasobw systemowych) i systemy detekcji intruzw (elektroniczny odpowiednik alarmw przeciwwamaniowych) s nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dzi jednak wicej na kaw ni na rodki zabezpieczajce przed atakami na systemy bezpieczestwa. Podobnie jak umys kleptomana nie moe oprze si pokusie, tak umys hakera jest owadnity dz obejcia systemw zabezpieczajcych. Hakerzy potwierdzaj w ten sposb swj intelektualny kapita.

Metody oszustwa
Popularne jest powiedzenie, e bezpieczny komputer to wyczony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogo do pjcia do biura i wczenia komputera. Przeciwnik, ktry potrzebuje informacji, zwykle moe j uzyska na par rnych sposobw. Jest to tylko kwestia

19

czasu, cierpliwoci, osobowoci i uporu. W takiej chwili przydaje si znajomo sztuki manipulacji. Aby pokona zabezpieczenia, napastnik, intruz lub socjotechnik musi znale sposb na oszukanie zaufanego pracownika w taki sposb, aby ten wyjawi jak informacj, trik lub z pozoru nieistotn wskazwk umoliwiajc dostanie si do systemu. Kiedy zaufanych pracownikw mona oszukiwa lub manipulowa nimi w celu ujawnienia poufnych informacji lub kiedy ich dziaania powoduj powstawanie luk w systemie bezpieczestwa, umoliwiajcych napastnikowi przedostanie si do systemu, wwczas nie ma takiej technologii, ktra mogaby ochroni firm. Tak jak kryptografowie s czasami w stanie odszyfrowa tekst zakodowanej wiadomoci dziki odnalezieniu sabych miejsc w kodzie, umoliwiajcych obejcie technologii szyfrujcej, tak socjotechnicy uywaj oszustwa w stosunku do pracownikw firmy, aby obej technologi zabezpieczajc.

Naduywanie zaufania
W wikszoci przypadkw socjotechnicy maj due zdolnoci oddziaywania na ludzi. Potrafi by czarujcy, uprzejmi i atwo ich polubi posiadaj cechy potrzebne do tego, aby zyska sobie zrozumienie i zaufanie innych. Dowiadczony socjotechnik jest w stanie uzyska dostp do praktycznie kadej informacji, uywajc strategii i taktyki przynalenych jego rzemiosu. Zmylni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizowa ryzyko zwizane ze stosowaniem komputerw; zapomnieli jednak o najistotniejszej kwestii czynniku ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy najwikszym zagroeniem dla swojego bezpieczestwa.

Amerykaska mentalno
Nie jestemy w peni wiadomi zagroe, szczeglnie w wiecie zachodnim. W USA w wikszoci przypadkw ludzie nie s uczeni podejrzliwoci wobec drugiego czowieka. S przyzwyczajani do zasady kochaj ssiada swego, ufaj sobie nawzajem. Organizacje ochrony ssiedzkiej maj czsto problemy z nakonieniem ludzi do zamykania domw i samochodw. Te

20

rodki ochrony wydaj si oczywiste, jednak wielu Amerykanw je ignoruje, wybierajc ycie w wiecie marze do pierwszej nauczki. Zdajemy sobie spraw, e nie wszyscy ludzie s dobrzy i uczciwi, ale zbyt czsto zachowujemy si, jakby tacy wanie byli. Amerykanie s tego szczeglnym przypadkiem jako nard stworzyli sobie koncepcj wolnoci polegajc na tym, e najlepsze miejsce do ycia jest tam, gdzie niepotrzebne s zamki ani klucze. Wikszo ludzi wychodzi z zaoenia, e nie zostan oszukani przez innych, poniewa takie przypadki zdarzaj si rzadko. Napastnik, zdajc sobie spraw z panujcego przesdu, formuuje swoje proby w bardzo przekonujcy, nie wzbudzajcy adnych podejrze sposb, wykorzystujc zaufanie ofiary.

Naiwno organizacyjna
To swoiste domniemanie niewinnoci, bdce skadnikiem amerykaskiej mentalnoci, ujawnio si szczeglnie w pocztkach istnienia sieci komputerowych. ARPANET, przodek Internetu, zosta stworzony do wymiany informacji pomidzy rzdem a instytucjami badawczymi i naukowymi. Celem bya dostpno informacji i postp technologiczny. Wiele instytucji naukowych tworzyo wczesne systemy komputerowe z minimalnymi tylko zabezpieczeniami lub zupenie ich pozbawione. Jeden ze znanych gosicieli wolnoci oprogramowania, Richard Stallman, zrezygnowa nawet z zabezpieczenia swojego konta hasem. W czasach Internetu uywanego jako medium handlu elektronicznego zagroenie zwizane ze sabociami systemw bezpieczestwa drastycznie wzroso. Zastosowanie dodatkowych technologii zabezpieczajcych nigdy nie rozwie jednak kwestii czynnika ludzkiego. Spjrzmy np. na dzisiejsze porty lotnicze. S dokadnie zabezpieczone, ale co jaki czas syszymy o podrnych, ktrym udao si przechytrzy ochron i przenie bro przez bramki kontrolne. Jak to jest moliwe w czasach, kiedy nasze porty lotnicze s praktycznie w cigym stanie alertu? Problem zwykle nie ley w urzdzeniach zabezpieczajcych, tylko w ludziach, ktrzy je obsuguj. Wadze lotniska mog wspiera si Gwardi Narodow, instalowa detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej pomaga szkolenie pracownikw ochrony wzmacniajce skuteczno kontroli pasaerw. Ten sam problem ma rzd oraz firmy i instytucje edukacyjne na caym

21

wiecie. Mimo wysikw specjalistw od bezpieczestwa informacja w kadym miejscu jest naraona na atak socjotechnika, jeeli nie zostanie wzmocniona najwiksza sabo systemu czynnik ludzki. Dzisiaj bardziej ni kiedykolwiek musimy przesta myle w sposb yczeniowy i uwiadomi sobie, jakie techniki s uywane przez tych, ktrzy prbuj zaatakowa poufno, integralno i dostpno naszych systemw komputerowych i sieci. Nauczylimy si ju prowadzi samochody, stosujc zasad ograniczonego zaufania. Najwyszy czas nauczy si podobnego sposobu obsugi komputerw. Zagroenie naruszenia prywatnoci, danych osobistych lub systemw informacyjnych firmy wydaje si mao realne, dopki faktycznie co si nie wydarzy. Aby unikn takiego zderzenia z realiami, wszyscy musimy sta si wiadomi, przygotowani i czujni. Musimy te intensywnie chroni nasze zasoby informacyjne, dane osobiste, a take, w kadym kraju, krytyczne elementy infrastruktury i jak najszybciej zacz stosowa opisane rodki ostronoci.

Oszustwo narzdziem terrorystw

Oczywicie oszustwo nie jest narzdziem uywanym wycznie przez socjotechnikw. Opisy aktw terroru stanowi znaczc cz doniesie agencyjnych i przyszo nam zda sobie spraw jak nigdy wczeniej, e wiat nie jest bezpiecznym miejscem. Cywilizacja to w kocu tylko maska ogady. Ataki na Nowy Jork i Waszyngton dokonane we wrzeniu 2001 roku wypeniy serca nie tylko Amerykanw, ale wszystkich cywilizowanych ludzi naszego globu, smutkiem i strachem. Cywilizacja to delikatny organizm. Zostalimy zaalarmowani faktem, e po caym wiecie rozsiani s owadnici obsesj terroryci, ktrzy s dobrze wyszkoleni i czekaj na moliwo ponownego ataku. Zintensyfikowane ostatnio wysiki rzdu zwikszyy poziom wiadomoci dotyczcej spraw bezpieczestwa. Musimy pozosta w stanie gotowoci wobec wszelkich przejaww terroryzmu. Musimy uwiadomi sobie, w jaki sposb terroryci tworz swoje faszywe tosamoci, wchodz w rol studentw lub ssiadw, wtapiaj si w tum. Maskuj swoje prawdziwe zamiary, knujc przeciwko nam intryg, pomagajc sobie oszustwami podobnymi do opisanych w tej ksice. Z moich informacji wynika, e dotychczas terroryci nie posunli si jesz-

22

cze do stosowania zasad socjotechniki w celu infiltrowania korporacji, wodocigw, elektrowni i innych istotnych komponentw infrastruktury pastwa. W kadej chwili mog jednak to zrobi bo jest to po prostu atwe. Mam nadziej, e wiadomo i polityka bezpieczestwa zajm nalene im miejsce i zostan docenione przez kadr zarzdzajc firm po przeczytaniu tej ksiki. Wkrtce jednak moe okaza si, e to za mao.

O czym jest ta ksika?

Bezpieczestwo firmy to kwestia rwnowagi. Zbyt mao zabezpiecze pozostawia firm w zagroeniu, a zbyt duo przeszkadza w prowadzeniu dziaalnoci, powstrzymujc wzrost zyskw i pomylny rozwj przedsibiorstwa. Zadanie polega na odnalezieniu rwnowagi midzy bezpieczestwem a produktywnoci. Inne ksiki traktujce o bezpieczestwie firm koncentruj si na sprzcie i oprogramowaniu, nie powicajc nalenej uwagi najpowaniejszemu z wszystkich zagroe oszustwu. Celem tej ksiki jest dla odmiany pomoc w zrozumieniu, w jaki sposb ludzie w firmie mog zosta zmanipulowani i jakie bariery mona wznie, aby temu zapobiec. Ksika ta koncentruje si gwnie na pozatechnologicznych metodach, jakie stosuj intruzi w celu zdobycia informacji, naruszenia integralnoci danych, ktre wydajc si bezpiecznymi nie s takimi w istocie, lub wrcz niszczenia efektw pracy firmy. Moje zadanie jest jednak utrudnione z jednego prostego powodu: kady czytelnik zosta zmanipulowany przez najwikszych ekspertw od socjotechniki swoich rodzicw. Znaleli oni sposoby, aby skoni nas, bymy dla naszego wasnego dobra robili to, co wedug nich jest najlepsze. Rodzice s w stanie wszystko wytumaczy, w taki sam sposb jak socjotechnicy umiejtnie tworz wiarygodne historie, powody i usprawiedliwienia, aby osign swoje cele. W wyniku takich dowiadcze wszyscy stalimy si podatni na manipulacj. Nasze ycie staoby si trudne, gdybymy musieli zawsze sta na stray, nie ufa innym, bra pod uwag moliwo, e kto nas wykorzysta. W idealnym wiecie mona by bezwarunkowo ufa innym i mie pewno, e ludzie, ktrych spotykamy, bd uczciwi i godni zaufania. Nie yjemy jednak w takim wiecie, dlatego musimy wywiczy nawyk czujnoci, aby zdemaskowa ludzi prbujcych nas oszuka.

23

Wikszo ksiki (cz druga i trzecia), skada si z historii przedstawiajcych socjotechnikw w akcji. Opisano tam tematy takie jak: Sprytna metoda uzyskiwania od firmy telekomunikacynej numerw telefonu spoza listy phreakerzy wpadli na to ju dobre par lat temu. Kilka metod, jakich uywaj napastnicy do przekonania nawet najbardziej podejrzliwych pracownikw, aby podali swoje nazwy uytkownika i hasa. Kradzie najlepiej strzeonej informacji o produkcie, w ktrej to kradziey dopomg hakerom meneder z Centrum Operacji. Metoda, jak haker przekona pewn pani do pobrania programu, ktry ledzi wszystkie jej poczynania i wysya mu e-maile z informacjami. Uzyskiwanie przez prywatnych detektyww informacji o firmach i osobach prywatnych. Gwarantuj ciarki na grzbiecie podczas czytania.

Po przeczytaniu niektrych opowieci z czci drugiej i trzeciej mona doj do wniosku, e to nie mogo si wydarzy, e nikomu nie udaoby si nic zdziaa za pomoc kamstw, sztuczek i metod tam opisanych. Historie te s jednak potencjalnie prawdziwe przedstawiaj wydarzenia, ktre mog si zdarzy i zdarzaj si. Wiele z nich ma miejsce kadego dnia gdzie na wiecie, by moe nawet w Twojej firmie, w chwili, gdy czytasz t ksik. Materia tu przedstawiony moe nam rwnie otworzy oczy, kiedy przyjdzie nam si zetrze z umiejtnociami socjotechnika i chroni przed nim nasze osobiste dobra informacyjne. W czci czwartej role zostaj odwrcone. Staram si pomc w stworzeniu nieodzownej polityki bezpieczestwa i programu szkolenia minimalizujcego szans, e ktry z naszych pracownikw padnie ofiar socjotechnika. Zrozumienie strategii, metod i taktyk socjotechnika pomoe zastosowa odpowiednie rodki ochrony zasobw informatycznych bez naraania produktywnoci przedsibiorstwa. Krtko mwic, napisaem t ksik, aby zwikszy wiadomo powanego zagroenia, jakie reprezentuje sob socjotechnik, i pomc w zmniejszeniu szans wykorzystania przez niego firmy lub ktrego z jej pracownikw. A moe powinienem powiedzie ponownego wykorzystania.

II
Sztuka ataku
Kiedy nieszkodliwa informacja szkodzi? Bezporedni atak wystarczy poprosi Budowanie zaufania Moe pomc? Potrzebuj pomocy Faszywe witryny i niebezpieczne zaczniki Wspczucie, wina i zastraszenie Odwrotnie ni w dle

2
Kiedy nieszkodliwa informacja szkodzi?
Na czym polega realne zagroenie ze strony socjotechnika? Czego powinnimy si strzec? Jeeli jego celem jest zdobycie czego wartociowego, powiedzmy czci kapitau firmy, to by moe potrzebny jest solidniejszy skarbiec i wiksze strae, czy nie? Penetracja systemu bezpieczestwa firmy czsto zaczyna si od zdobycia informacji lub dokumentu, ktry wydaje si nie mie znaczenia, jest powszechnie dostpny i niezbyt wany. Wikszo ludzi wewntrz organizacji nie widzi wic powodw, dla ktrych miaby by chroniony lub zastrzeony.

26

Ukryta warto informacji

Wiele nieszkodliwie wygldajcych informacji bdcych w posiadaniu firmy jest cennych dla socjotechnika, poniewa mog one odegra podstawow rol podczas wcielania si w kogo innego. Ze stron tej ksiki dowiemy si, jak dziaaj socjotechnicy, stajc si wiadkami ich atakw. Czasami przedstawienie sytuacji, w pierwszej kolejnoci z punktu widzenia ofiary, umoliwia wcielenie si w jej rol i prb analizy, jak my, lub nasi pracownicy, zachowalibymy si w takiej sytuacji. W wielu przypadkach te same wydarzenia zostan przedstawione rwnie z punktu widzenia socjotechnika. Pierwsza historia uwiadamia nam sabe strony firm dziaajcych w brany finansowej.

CreditChex
Jak daleko sign pamici, Brytyjczycy musieli zmaga si ze starowieckim systemem bankowym. Zwyky, uczciwy obywatel nie moe po prostu wej tam do banku i zaoy konta. Bank nie bdzie traktowa go jako klienta, dopki osoba ju bdca klientem nie napisze mu listu referencyjnego. W naszym, z pozoru egalitarnym wiecie bankowoci, wyglda to ju troch inaczej. Nowoczesny, atwy sposb robienia interesw jest najbardziej widoczny w przyjaznej i demokratycznej Ameryce, gdzie kady moe wej do banku i bez problemu otworzy rachunek. Chocia nie do koca. W rzeczywistoci banki maj naturalne opory przed otwieraniem rachunku komu, kto mg w przeszoci wystawia czeki bez pokrycia. Klient taki jest tak samo mile widziany jak raport strat z napadu na bank czy defraudacja rodkw. Dlatego standardow praktyk w wielu bankach jest szybkie sprawdzanie wiarygodnoci nowego klienta. Jedn z wikszych firm, ktre banki wynajmuj do takich kontroli, jest CreditChex. wiadczy ona cenne usugi dla swoich klientw, ale jej pracownicy mog te niewiadomie pomc socjotechnikowi.

27

Pierwsza rozmowa: Kim Andrews

National Bank, tu mwi Kim. Czy chce pan otworzy rachunek? Dzie dobry, mam pytanie do pani. Czy korzystacie z CreditChex? Tak. A jak si nazywa ten numer, ktry trzeba poda, jak si dzwoni do CreditChex? Numer kupca? Pauza. Kim rozwaa pytanie. Czego dotyczyo i czy powinna odpowiedzie? Rozmwca zaczyna mwi dalej bez chwili zastanowienia: Wie pani, pracuj nad ksik o prywatnych ledztwach. Tak mwi Kim, odpowiadajc na pytanie po znikniciu wtpliwoci, zadowolona, e moga pomc pisarzowi. A wic to si nazywa numer kupca, tak? Mhm. wietnie. Chciaem si po prostu upewni, czy znam argon. Na potrzeby ksiki. Dzikuj za pomoc. Do widzenia.

Druga rozmowa: Chris Walker

National Bank, nowe rachunki, mwi Chris. Dzie dobry, tu Alex przedstawia si rozmwca. Jestem z obsugi klientw CreditChex. Przeprowadzamy ankiet, aby polepszy jako naszych usug. Czy moe pani powici mi par minut? Chris zgodzia si. Rozmwca kontynuowa: Dobrze, a wic jakie s godziny otwarcia waszej filii? Chris odpowiada na to pytanie i na szereg nastpnych. Ilu pracownikw waszej filii korzysta z naszych usug? Jak czsto dzwonicie do nas z zapytaniem? Ktry z numerw 0-800 zosta wam podany do kontaktw z nami? Czy nasi przedstawiciele zawsze byli uprzejmi? Jaki jest nasz czas odpowiedzi? Jak dugo pracuje pani w banku? Jakim numerem kupca pani si posuguje? Czy kiedykolwiek nasze informacje okazay si niedokadne? Co zasugerowaaby nam pani w celu poprawienia jakoci naszych usug?

28

 Czy bdzie pani skonna wypenia periodycznie kwestionariusze, ktre przelemy do filii? Chris ponownie si zgodzia. Przez chwil rozmawiali niezobowizujco. Po zakoczeniu rozmowy Chris wrcia do swoich zaj.

Trzecia rozmowa: Henry Mc Kinsey.

CreditChex, mwi Henry Mc Kinsey. W czym mog pomc? Rozmwca powiedzia, e dzwoni z National Bank. Poda prawidowy numer kupca, a nastpnie nazwisko i numer ubezpieczenia osoby, o ktrej szuka informacji. Henry zapyta o dat urodzenia. Rozmwca poda j. Wells Fargo, wystpio NSF w 1998 na sum 2066$ po paru chwilach Henry odczytuje dane z ekranu komputera (NSF oznacza niewystarczajce rodki. W argonie bankowym dotyczy to czekw, ktre zostay wystawione bez pokrycia). Byy jakie zdarzenia od tamtego czasu? Nie byo. Byy jakie inne zapytania? Sprawdmy. Tak trzy i wszystkie w ostatnim miesicu. Bank of Chicago... Przy wymawianiu kolejnej nazwy Schenectady Mutual Investments zajkn si i musia je przeliterowa. W stanie Nowy Jork doda.

Prywatny detektyw na subie

Wszystkie trzy rozmowy przeprowadzia ta sama osoba: prywatny detektyw, ktrego nazwiemy Oscar Grace. Grace zdoby nowego klienta. Jednego z pierwszych. Jako byy policjant zauway, e cz jego nowej pracy przychodzi mu naturalnie, a cz stanowi wyzwanie dla jego wiedzy i inwencji. T robot mg zakwalifikowa jednoznacznie do kategorii wyzwa. Twardzi detektywi z powieci, tacy jak Sam Spade i Philip Marlowe, przesiadywali dugie nocne godziny w swoich samochodach, czyhajc na okazj, by przyapa niewiernego maonka. Prawdziwi detektywi robi to samo. Poza tym zajmuj si rzadziej opisywanymi, ale nie mniej istotnymi forma-

29

mi wszenia na rzecz wojujcych maonkw. Opieraj si one w wikszym stopniu na socjotechnice ni walce z sennoci w czasie nocnego czuwania. Now klientk Gracea bya kobieta, ktrej wygld wskazywa, e nie ma problemw z budetem na ubrania i biuteri. Ktrego dnia wesza do biura i usiada na jedynym skrzanym fotelu wolnym od stert papierw. Pooya swoj du torebk od Gucciego na jego biurku, kierujc logo w stron Gracea, i oznajmia, i zamierza powiedzie mowi, e chce rozwodu, przyznajc jednoczenie, e ma pewien may problem. Wygldao na to, e mulek by o krok do przodu. Zdy pobra pienidze z ich rachunku oszczdnociowego i jeszcze wiksz sum z rachunku brokerskiego. Interesowao j, gdzie mogy znajdowa si te pienidze, a jej adwokat nie bardzo chcia w tym pomc. Grace przypuszcza, e by to jeden z tych wysoko postawionych goci, ktrzy nie chc brudzi sobie rk mtnymi sprawami pod tytuem Gdzie podziay si pienidze?. Zapytaa Gracea, czy jej pomoe. Zapewni j, e to bdzie pestka, poda swoj stawk, okreli, e to ona pokryje dodatkowe wydatki, i odebra czek z pierwsz rat wynagrodzenia. Potem uwiadomi sobie problem. Co zrobi, kiedy nigdy nie zajmowao si tak robot i nie ma si pojcia o tym, jak wyledzi drog przebyt przez pienidze? Trzeba raczkowa. Oto znana mi wersja historii Gracea. *** Wiedziaem o istnieniu CreditChex i o tym, jak banki korzystay z jego usug. Moja bya ona pracowaa kiedy w banku. Nie znalem jednak argonu i procedur, a prba pytania o to mojej byej byaby strat czasu. Krok pierwszy: ustali terminologi i zorientowa si, jak sformuowa pytanie, by brzmiao wiarygodnie. W banku, do ktrego zadzwoniem, pierwsza moja rozmwczyni, Kim, bya podejrzliwa, kiedy zapytaem, jak identyfikuj si, dzwonic do CreditChex. Zawahaa si. Nie wiedziaa, co powiedzie. Czy zbio mnie to z tropu? Ani troch. Tak naprawd, jej wahanie byo dla mnie wskazwk, e musz umotywowa swoj prob, aby brzmiaa dla niej wiarygodnie. Opowiadajc historyjk o badaniach na potrzeby ksiki, pozbawiem Kim podejrze. Wystarczy powiedzie, e jest si pisarzem lub gwiazd filmow, a wszyscy staj si bardziej otwarci. Kim miaa jeszcze wicej pomocnej mi wiedzy na przykad, o jakie informacje pyta CreditChex w celu identyfikacji osoby, w sprawie ktrej dzwonimy, o co mona ich pyta i najwaniejsza rzecz: numer klienta. Byem gotw zada te pytania, ale jej wahanie byo dla mnie ostrzeeniem. Kupia hi-

30

stori o pisarzu, ale przez chwil trapiy j podejrzenia. Gdyby odpowiedziaa od razu, poprosibym j o wyjawienie dalszych szczegw dotyczcych procedur. Trzeba kierowa si instynktem, uwanie sucha, co mwi i jak mwi. Ta dziewczyna wydawaa si na tyle bystra, e moga wszcz alarm, gdybym zacz zadawa zbyt wiele dziwnych pyta. Co prawda nie wiedziaa, kim jestem i skd dzwoni, ale samo rozejcie si wieci, eby uwaa na dzwonicych i wypytujcych o informacje nie byoby wskazane. Lepiej nie spali rda by moe bdziemy chcieli zadzwoni tu jeszcze raz. Zawsze zwracam uwag na drobiazgi, z ktrych mog wywnioskowa, na ile dana osoba jest skonna do wsppracy oceniam to w skali, ktra zaczyna si od: Wydajesz si mi osob i wierz we wszystko, co mwisz, a koczy na: Dzwocie na policj, ten facet co knuje!.

argon
Spalenie rda mwi si o napastniku, e spali rdo, kiedy dopuci do tego, e ofiara zorientuje si, i zostaa zaatakowana. Wwczas najprawdopodobniej powiadomi ona innych pracownikw i kierownictwo o tym, e mia miejsce atak. W tej sytuacji kolejny atak na to samo rdo staje si niezwykle trudny.

Kim bya gdzie w rodku skali, dlatego zadzwoniem jeszcze do innej filii. W czasie mojej drugiej rozmowy z Chris trik z ankiet uda si doskonale. Taktyka polegaa tu na przemyceniu wanych pyta wrd innych, bahych, ktre nadaj caoci wiarygodne wraenie. Zanim zadaem pytanie o numer klienta CreditChex, przeprowadziem ostatni test, zadajc osobiste pytanie o to, jak dugo pracuje w banku. Osobiste pytanie jest jak mina niektrzy ludzie przechodz obok niej i nawet jej nie zauwaaj, a przy innych wybucha, wysyajc sygna ostrzegawczy. Jeeli wic zadam pytanie osobiste, a ona na nie odpowie i ton jej gosu si nie zmieni, oznacza to, e prawdopodobnie nie zdziwia jej natura pytania. Mog teraz zada nastpne pytanie bez wzbudzania podejrze i raczej otrzymam odpowied, jakiej oczekuj. Jeszcze jedno. Dobry detektyw nigdy nie koczy rozmowy zaraz po uzyskaniu kluczowej informacji. Dwa, trzy dodatkowe pytania, troch niezobowizujcej pogawdki i mona si poegna. Jeeli rozmwca zapamita co z rozmowy, najprawdopodobniej bd to ostatnie pytania. Reszta pozostanie zwykle w pamici zamglona.

31

Tak wic Chris podaa mi swj numer klienta i numer telefonu, ktrego uywaj do zapyta. Bybym szczliwszy, gdyby udao mi si jeszcze zada par pyta dotyczcych tego, jakie informacje mona wycign od CreditChex. Lepiej jednak nie naduywa dobrej passy. To byo tak, jakby CreditCheck wystawi mi czek in blanco mogem teraz dzwoni i otrzymywa informacje, kiedy tylko chciaem. Nie musiaem nawet paci za usug. Jak si okazao, pracownik CreditChex z przyjemnoci udzieli mi dokadnie tych informacji, ktrych potrzebowaem: poda dwa miejsca, w ktrych m mojej klientki ubiega si o otwarcie rachunku. Gdzie w takim razie znajdoway si pienidze, ktrych szukaa jego ju wkrtce bya ona? Gdzieby indziej, jak nie w ujawnionych przez CreditChex instytucjach?

Analiza oszustwa
Cay podstp opiera si na jednej z podstawowych zasad socjotechniki: uzyskania dostpu do informacji, ktra mylnie jest postrzegana przez pracownika jako nieszkodliwa. Pierwsza urzdniczka bankowa potwierdzia termin, jakim okrela si numer identyfikacyjny, uywany do kontaktw z CreditChex numer kupca. Druga podaa numer linii telefonicznej uywanej do pocze z CreditChex i najistotniejsz informacj numer kupca przydzielony bankowi uznaa to za nieszkodliwe. W kocu mylaa, e rozmawia z kim z CreditChex, wic co moe by szkodliwego w podaniu im tego numeru? Wszystko to stworzyo grunt do trzeciej rozmowy. Grace mia wszystko, czego potrzebowa, aby zadzwoni do CreditChex, podajc si za pracownika National Bank jednego z ich klientw i po prostu poprosi o informacje, ktrych potrzebowa. Grace potrafi kra informacje tak jak dobry oszust pienidze, a do tego mia rozwinity talent wyczuwania charakterw ludzi i tego, o czym w danej chwili myl. Zna powszechn taktyk ukrywania kluczowych pyta wrd zupenie niewinnych. Wiedzia, e osobiste pytanie pozwoli sprawdzi ch wsppracy drugiej urzdniczki przed niewinnym zadaniem pytania o numer kupca. Bd pierwszej urzdniczki, polegajcy na potwierdzeniu nazewnictwa dla numeru identyfikacyjnego CreditChex by w zasadzie nie do uniknicia. Informacja ta jest tak szeroko znana w brany bankowej, e wydaje si

32

nie mie wartoci. Typowy przykad nieszkodliwej informacji. Jednak druga urzdniczka, Chris, nie powinna odpowiada na pytania bez pozytywnej weryfikacji, e dzwonicy jest tym, za kogo si podaje. W najgorszym przypadku powinna zapyta o jego nazwisko i numer telefonu, po czym oddzwoni. W ten sposb, jeeli pniej narodziyby si jakiekolwiek wtpliwoci, miaaby przynajmniej numer telefonu, spod ktrego dzwonia dana osoba. W tym przypadku wykonanie telefonu zwrotnego znacznie utrudnioby intruzowi udawanie przedstawiciela CreditChex. Lepszym rozwizaniem byby telefon do CreditChex, przy uyciu numeru, z ktrego wczeniej korzysta bank, a nie tego, ktry poda dzwonicy. Telefon taki miaby na celu sprawdzenie, czy dana osoba rzeczywicie tam pracuje i czy firma przeprowadza wanie jakie badania klientw. Biorc pod uwag praktyczne aspekty pracy i fakt, e wikszo ludzi pracuje pod presj terminw, wymaganie takiej weryfikacji to duo, chyba e pracownik ma podejrzenie, i jest to prba inwigilacji.

Uwaga Mitnicka
W tej sytuacji numer klienta spenia tak sam rol jak haso. Jeeli personel banku traktowaby ten numer w taki sam sposb jak numery PIN swoich kart kredytowych, uwiadomiby sobie poufn natur tej informacji.

Puapka na inyniera
Wiadomo, e socjotechnika jest czsto stosowana przez owcw gw w celu rekrutacji utalentowanych pracownikw. Oto przykad. Pod koniec lat 90. pewna niezbyt uczciwa agencja rekrutacyjna podpisaa umow z nowym klientem, ktry szuka inynierw elektrykw z dowiadczeniem w brany telekomunikacyjnej. Spraw prowadzia kobieta znana ze swojego gbokiego gosu i seksownej maniery, ktrej nauczya si, by zdobywa zaufanie i bliski kontakt ze swoimi rozmwcami telefonicznymi. Zdecydowaa si zaatakowa firm bdc dostawc usug telefonii komrkowej i sprbowa zlokalizowa jakich inynierw, ktrzy mog mie ochot na przejcie do konkurenci. Nie moga oczywicie zadzwoni na central firmy i powiedzie: Chciaam rozmawia z jak osob z picioletnim dowiadczeniem na stanowisku inyniera. Zamiast tego, z powodw, ktre

33

za chwil stan si jasne, rozpocza polowanie na pracownikw od poszukiwania pozornie bezwartociowej informacji, takiej, ktr firma jest skonna poda prawie kademu, kto o ni poprosi.

Pierwsza rozmowa: recepcjonistka

Kobieta, podajc si za Didi Sands, wykonaa telefon do gwnej siedziby dostawcy usug telefonii komrkowej. Oto fragment rozmowy: RECEPCJONISTKA: Dzie dobry. Mwi Marie. W czym mog pomc? DIDI: Moe pani mnie poczy z wydziaem transportu? R: Nie jestem pewna, czy taki wydzia istnieje. Spojrz na spis. A kto mwi? D: Didi. R: Dzwoni pani z budynku, czy...? D: Nie, dzwoni z zewntrz. R: Didi jak? D: Didi Sands. Miaam gdzie wewntrzny do transportowego, ale go nie pamitam. R: Chwileczk. Aby zaagodzi podejrzenia, Didi zadaa w tym miejscu lune, podtrzymujce rozmow pytanie, majce pokaza, e jest z wewntrz i jest obeznana z rozkadem budynkw firmy. D: W jakim budynku pani jest, w Lakeview czy w gwnym? R: W gwnym (pauza). Podaj ten numer: 805 555 6469. Aby mie co na zapas, gdyby telefon do wydziau transportowego w niczym jej nie pomg, Didi poprosia jeszcze o numer do wydziau nieruchomoci. Recepcjonistka podaa rwnie i ten numer. Kiedy Didi poprosia o poczenie z transportowym, recepcjonistka sprbowaa, ale numer by zajty. W tym momencie Didi zapytaa o trzeci numer telefonu do dziau rachunkowoci, ktry znajdowa si w gwnej siedzibie firmy w Austin w Teksasie. Recepcjonistka poprosia j, aby poczekaa i wyczya na chwil lini. Czy zadzwonia do ochrony, e ma podejrzany telefon i co si jej tu nie podoba? Ot nie i Didi nawet nie braa tej moliwoci pod uwag. Bya co prawda troch natrtna, ale dla recepcjonistki to raczej nic dziwnego w jej pracy. Po okoo minucie recepcjonistka powrcia do rozmowy, sprawdzia numer do rachunkowoci i poczya Didi z tym wydziaem.

34

Druga rozmowa: Peggy

Nastpna rozmowa przebiega nastpujco: PEGGY: Rachunkowo, Peggy. DIDI: Dzie dobry Peggy, tu Didi z Thousand Oaks. PEGGY: Dzie dobry, Didi. DIDI: Jak si masz? PEGGY: Dobrze. W tym momencie Didi uya czstego w firmie zwrotu, ktry opisuje kod opaty, przypisujcy wydatek z budetu okrelonej organizacji lub grupie roboczej. DIDI: To wietnie. Mam pytanie. Jak mam znale centrum kosztw dla danego wydziau? PEGGY: Musisz si skontaktowa z analitykiem budetowym danego wydziau. DIDI: Nie wiesz, kto jest analitykiem dla dyrekcji w Thousand Oaks? Wanie wypeniam formularz i nie znam prawidowego centrum kosztw. PEGGY: Ja tylko wiem, e jeli ktokolwiek potrzebuje centrum kosztw, dzwoni do analityka budetowego. DIDI: A macie centrum kosztw dla waszego wydziau w Teksasie? PEGGY: Mamy wasne centrum kosztw. Widocznie gra stwierdzia, e wicej nie musimy wiedzie. DIDI: A z ilu cyfr skada si centrum kosztw? Jakie jest na przykad wasze centrum? PEGGY: A wy jestecie w 9WC czy w SAT? Didi nie miaa pojcia, jakich wydziaw lub grup dotyczyy te oznaczenia, ale nie miao to znaczenia. DIDI: 9WC. PEGGY: No to zwykle ma 4 cyfry. Jeszcze raz: skd dzwonisz? DIDI: Z dyrekcji w Thousand Oaks. PEGGY: Podaj numer dla Thousand Oaks. To 1A5N. N jak Natalia. Rozmawiajc wystarczajco dugo z osob skonn do pomocy, Didi uzyskaa numer centrum kosztw, ktrego potrzebowaa. Bya to jedna z tych informacji, ktrej nikt nie stara si chroni, poniewa wydaje si ona bezwartociowa dla kogokolwiek spoza organizacji.

35

Trzecia rozmowa: pomocna pomyka

W nastpnym kroku Didi wymieni numer centrum kosztw na co, co przedstawia rzeczywist warto, wykorzystujc go jak wygrany eton w nastpnej rundzie gry. Na pocztku zadzwonia do wydziau nieruchomoci, udajc, e dodzwonia si pod zy numer. Rozpoczynajc od Nie chciaabym panu przeszkadza..., powiedziaa, e jest pracownikiem firmy i zgubia gdzie spis telefonw, a teraz nie wie, do kogo powinna zadzwoni, eby dosta nowy. Mczyzna powiedzia, e wydrukowany spis jest ju niewany, bo biecy jest dostpny na firmowej stronie intranetowej. Didi powiedziaa, e wolaaby korzysta z wydruku. Mczyzna poradzi jej, by zadzwonia do dziau publikacji, a nastpnie z wasnej woli by moe chcia podtrzyma troch duej rozmow z kobiet o seksownym gosie poszuka i poda jej numer telefonu.

Czwarta rozmowa: Bart z publikacji

W dziale publikacji rozmawiaa z czowiekiem o imieniu Bart. Didi powiedziaa, e dzwoni z Thousand Oaks i e maj nowego konsultanta, ktry potrzebuje kopii wewntrznego spisu telefonw firmy. Dodaa, e wydrukowana kopia bdzie lepsza dla konsultanta, nawet, jeeli nie jest najwiesza. Bart powiedzia, e musi wypeni odpowiedni formularz i przesa mu go. Didi stwierdzia, e skoczyy jej si formularze, a sprawa bya dla niej pilna i czy Bart mgby by taki kochany i wypeni formularz za ni. Zgodzi si, okazujc nadmierny entuzjazm, a Didi podaa mu dane. Zamiast adresu fikcyjnego oddziau podaa numer czego, co socjotechnicy okrelaj mianem punktu zrzutu w tym przypadku chodzio o jedn ze skrzynek pocztowych, jakie jej firma wynajmowaa specjalnie na takie okazje.

argon
Punkt zrzutu w jzyku socjotechnikw miejsce, gdzie ofiara oszustwa przesya dokumenty lub inne przesyki (moe to by np. skrzynka pocztowa, ktr socjotechnik wynajmuje, zwykle posugujc si faszywym nazwiskiem).

36

W tym momencie przydaje si wczeniejsza zdobycz. Za przesanie spisu bdzie opata. Nie ma sprawy Didi podaje w tym momencie numer centrum kosztw dla Thousand Oaks: 1A5N. N jak Nancy. Po paru dniach, kiedy dotar spis telefonw, Didi stwierdzia, e otrzymaa nawet wicej ni si spodziewaa. Spis wymienia nie tylko nazwiska i numery telefonw, ale pokazywa te, kto dla kogo pracuje, czyli struktur organizacyjn firmy. Didi ze swoim ochrypym gosem moga w tym momencie rozpocz telefonowanie w celu upolowania pracownikw. Informacje konieczne do rozpoczcia poszukiwa uzyskaa dziki darowi wymowy polerowanemu przez kadego zaawansowanego socjotechnika. Teraz moga przej do rekrutacji.

Analiza oszustwa
W tym ataku socjotechnicznym Didi rozpocza od uzyskania numerw telefonw do trzech oddziaw interesujcej j firmy. Byo to atwe, poniewa numery te nie byy zastrzeone, szczeglnie dla pracownikw. Socjotechnik uczy si rozmawia tak, jakby by pracownikiem firmy Didi potrafia to robi wietnie. Jeden z numerw telefonw doprowadzi j do tego, e otrzymaa numer centrum kosztw, ktrego z kolei uya, aby otrzyma kopi spisu telefonw firmy. Gwne narzdzia, jakich uywaa, to przyjazny ton, uywanie argonu firmowego i, przy ostatniej ofierze, troch werbalnego trzepotania rzsami. Jeszcze jednym, jake wanym, narzdziem s zdolnoci socjotechnika do manipulacji, doskonalone przez dug praktyk i korzystanie z dowiadcze innych oszustw.

Uwaga Mitnicka
Tak jak w ukadance, osobny fragment informacji moe by sam w sobie nie znaczcy, ale po poczeniu wielu takich klockw w cao otrzymujemy jasny obraz. W tym przypadku obrazem tym bya caa wewntrzna struktura przedsibiorstwa.

37

Kolejne bezwartociowe informacje

Jakie inne, pozornie mao istotne, informacje, oprcz numeru centrum kosztw lub listy telefonw firmy, mog by cennym upem dla intruza?

Telefon do Petera Abelsa

Dzie dobry syszy w suchawce. Tu mwi Tom z Parkhurst Travel. Pana bilety do San Francisco s do odbioru. Mamy je panu dostarczy, czy sam pan je odbierze? San Francisco? mwi Peter. Nie wybieram si do San Francisco. A czy to pan Peter Abels? Tak, i nie planuj adnych podry. No tak mieje si rozmwca a moe jednak chciaby pan wybra si do San Francisco? Jeeli pan jest w stanie namwi na to mojego szefa... mwi Peter, podtrzymujc artobliw konwersacj. To pewnie pomyka wyjania gos w suchawce. W naszym systemie rezerwujemy podre pod numerem pracownika. Pewnie kto uy zego numeru. Jaki jest pana numer? Peter posusznie recytuje swj numer. Czemu miaby tego nie robi? Przecie numer ten widnieje na kadym formularzu, ktry wypenia, wiele osb w firmie ma do niego dostp: kadry, pace, a nawet zewntrzne biuro podry. Nikt nie traktuje tego numeru jak tajemnicy. Co za rnica, czy go poda czy nie? Odpowied jest prosta. Dwie lub trzy informacje mog wystarczy do tego, by wcieli si w pracownika firmy. Socjotechnik ukrywa si za czyj tosamoci. Zdobycie nazwiska pracownika, jego telefonu, numeru identyfikacyjnego i moe jeszcze nazwiska oraz telefonu jego szefa wystarczy nawet mao dowiadczonemu socjotechnikowi, aby by przekonujcym dla swojej nastpnej ofiary. Gdyby kto, kto mwi, e jest z innego oddziau firmy, zadzwoni wczoraj i, podajc wiarygodny powd, poprosi o Twj numer identyfikacyjny, czy miaby jakie opory przed jego podaniem? A przy okazji, jaki jest Twj numer ubezpieczenia spoecznego?

38

Uwaga Mitnicka
Mora z historii jest taki: nie podawaj nikomu adnych osobistych i wewntrznych informacji lub numerw, chyba e rozpoznajesz gos rozmwcy, a ten tych informacji naprawd potrzebuje.

Zapobieganie oszustwu
Firma jest odpowiedzialna za uwiadomienie pracownikom, jakie mog by skutki niewaciwego obchodzenia si z niepublicznymi informacjami. Dobrze przemylana polityka bezpieczestwa informacji, poczona z odpowiedni edukacj i treningiem, powanie zwikszy u pracownikw wiadomo znaczenia informacji firmowych i umiejtno ich chronienia. Polityka klasyfikacji danych wprowadza odpowiednie rodki sterujce wypywem informacji. Jeeli polityka taka nie istnieje, wszystkie informacje wewntrzne musz by traktowane jako poufne, chyba e wyranie wskazano inaczej. W celu uniknicia wypywu pozornie nieszkodliwych informacji z firmy naley podj nastpujce kroki: Wydzia Bezpieczestwa Informacji musi przeprowadzi szkolenie uwiadamiajce na temat metod stosowanych przez socjotechnikw. Jedn z opisanych powyej metod jest uzyskiwanie pozornie bahych informacji i uywanie ich w celu zbudowania chwilowego zaufania. Kady z zatrudnionych musi by wiadomy, e wiedza rozmwcy dotyczca procedur firmowych, argonu i identyfikatorw w aden sposb nie uwierzytelnia jego proby o informacj. Rozmwca moe by byym pracownikiem albo zewntrznym wykonawc usug, ktry posiada informacje umoliwiajce poruszanie si po firmie. Zgodnie z tym, kada firma jest odpowiedzialna za ustalenie odpowiednich metod uwierzytelniania do stosowania podczas kontaktw pracownikw z osobami, ktrych ci osobicie nie rozpoznaj przez telefon. Osoby, ktre maj za zadanie stworzenie polityki klasyfikacji danych, powinny przeanalizowa typowe rodzaje informacji, ktre mog pomc w uzyskaniu dostpu komu podajcemu si za pracownika. Wydaj si one niegrone, ale mog prowadzi do zdoby-

39

cia informacji poufnych. Mimo e nie podalibymy nikomu kodu PIN naszej karty kredytowej, czy powiedzielibymy komu, jaki typ serwera wykorzystywany jest w naszej firmie? Czy kto mgby uy tej informacji, aby poda si za pracownika, ktry posiada dostp do sieci komputerowej firmy? Czasami zwyka znajomo wewntrznej terminologii moe uczyni socjotechnika wiarygodnym. Napastnik czsto opiera si na tym zaoeniu, wyprowadzajc w pole swoj ofiar. Na przykad numer klienta to identyfikator, ktrego pracownicy dziau nowych rachunkw uywaj swobodnie na co dzie. Jednak numer ten nie rni si niczym od hasa. Jeeli kady pracownik uwiadomi sobie natur tego identyfikatora i spostrzee, e suy on do pozytywnej identyfikacji dzwonicego, by moe zacznie traktowa go z wikszym respektem. adna firma powiedzmy, prawie adna nie podaje bezporedniego numeru telefonu do czonkw zarzdu lub rady nadzorczej. Wikszo firm nie ma jednak oporw przed podawaniem numerw telefonw wikszoci wydziaw i innych jednostek organizacyjnych, w szczeglnoci osobom, ktre wydaj si by pracownikami firmy. Jednym z rozwiza jest wprowadzenie zakazu podawania numerw wewntrznych pracownikw, konsultantw wykonujcych usugi i przejciowo zatrudnionych w firmie jakimkolwiek osobom z zewntrz. Co wicej, naley stworzy procedur opisujc krok po kroku identyfikacj osoby proszcej o numer pracownika firmy. Kody ksigowe grup i wydziaw oraz kopie spisw telefonw wewntrznych (w formie wydruku, lub pliku w intranecie) to czsto obiekty podania socjotechnikw. Kada firma potrzebuje pisemnej, rozdanej wszystkim procedury opisujcej ujawnianie takich informacji. W rodkach zapobiegawczych naley uwzgldni odnotowywanie przypadkw udostpnienia informacji osobom spoza firmy. Informacje takie jak numer pracownika nie powinny by jedynym rdem identyfikacji. Kady pracownik musi nauczy si weryfikowa nie tylko tosamo, ale rwnie powd zapytania. W ramach poprawy bezpieczestwa mona rozway nauczenie pracownikw nastpujcego podejcia: uczymy si grzecznie odmawia odpowiedzi na pytania i robienia przysug nieznajomym,

40

dopki proba nie zostanie zweryfikowana. Nastpnie, zanim ulegniemy naturalnej chci pomagania innym, postpujemy zgodnie z procedurami firmy, opisujcymi weryfikacj i udostpnianie niepublicznych informacji. Taki styl moe nie i w parze z naturaln tendencj do pomocy drugiemu czowiekowi, ale odrobina paranoi wydaje si konieczna, aby nie sta si kolejn ofiar socjotechnika. Historie przedstawione w tym rozdziale pokazuj, w jaki sposb pozornie mao wane informacje mog sta si kluczem do najpilniej strzeonych sekretw firmy.

Uwaga Mitnicka
Jak gosi stare powiedzenie, nawet paranoicy miewaj realnych wrogw. Musimy zaoy, e kada firma ma swoich wrogw, ktrych celem jest dostp do infrastruktury sieci, a w rezultacie do tajemnic firmy. Czy naprawd chcemy wspomc statystyk przestpstw komputerowych? Najwyszy czas umocni obron, stosujc odpowiednie metody postpowania przy wykorzystaniu polityki i procedur bezpieczestwa.

3
Bezporedni atak wystarczy poprosi
Ataki socjotechnikw bywaj zawie, skadaj si z wielu krokw i gruntownego planowania, czsto czc elementy manipulacji z wiedz technologiczn. Zawsze jednak uderza mnie to, e dobry socjotechnik potrafi osign swj cel prostym, bezporednim atakiem. Jak si przekonamy czasami wystarczy poprosi o informacj.

MLAC szybka pika

Interesuje nas czyj zastrzeony numer telefonu? Socjotechnik moe odszuka go na p tuzina sposobw (cz z nich mona pozna, czytajc inne

42

historie w tej ksice), ale najprostszy scenariusz to taki, ktry wymaga tylko jednego telefonu. Oto on.

Prosz o numer...
Napastnik zadzwoni do mechanicznego centrum przydziau linii (MLAC) firmy telekomunikacyjnej i powiedzia do kobiety, ktra odebraa telefon: Dzie dobry, tu Paul Anthony. Jestem monterem kabli. Prosz posucha, mam tu spalon skrzynk z centralk. Policja podejrzewa, e jaki cwaniak prbowa podpali swj dom, eby wyudzi odszkodowanie. Przysali mnie tu, ebym poczy od nowa ca centralk na 200 odczepw. Przydaaby mi si pani pomoc. Ktre urzdzenia powinny dziaa na South Main pod numerem 6723? W innych wydziaach firmy telekomunikacyjnej, do ktrej zadzwoni, wiedziano, e jakiekolwiek informacje lokacyjne lub niepublikowane numery telefonw mona podawa tylko uprawnionym pracownikom firmy. Ale o istnieniu MLAC wiedz raczej tylko pracownicy firmy. Co prawda informacje te s zastrzeone, ale kto odmwi udzielenia pomocy pracownikowi majcemu do wykonania cik powan robot? Rozmwczyni wspczua mu, jej samej rwnie zdarzay si trudne dni w pracy, wic obesza troch zasady i pomoga koledze z tej samej firmy, ktry mia problem. Podaa mu oznaczenia kabli, zaciskw i wszystkie numery przyporzdkowane temu adresowi.

Analiza oszustwa
Jak wielokrotnie mona byo zauway w opisywanych historiach, znajomo argonu firmy i jej struktury wewntrznej rnych biur i wydziaw, ich zada i posiadanych przez nie informacji to cz podstawowego zestawu sztuczek, uywanych przez socjotechnikw.

Uwaga Mitnicka
Ludzie z natury ufaj innym, szczeglnie, kiedy proba jest zasadna. Socjotechnicy uywaj tej wiedzy, by wykorzysta ofiary i osign swe cele.

43

cigany
Czowiek, ktrego nazwiemy Frank Parsons, od lat ucieka. Wci by poszukiwany przez rzd federalny za udzia w podziemnej grupie antywojennej w latach 60. W restauracjach siada twarz do wejcia i mia nawyk cigego spogldania za siebie, wprowadzajc w zakopotanie innych ludzi. Co kilka lat zmienia adres. Ktrego razu Frank wyldowa w obcym miecie i zacz rozglda si za prac. Dla kogo takiego jak Frank, ktry zna si bardzo dobrze na komputerach (oraz na socjotechnice, ale o tym nie wspomina w swoich listach motywacyjnych), znalezienie dobrej posady nie byo problemem. Poza czasami recesji, talenty ludzi z du wiedz techniczn dotyczc komputerw zwykle s poszukiwane i nie maj oni problemw z ustawieniem si. Frank szybko odnalaz ofert dobrze patnej pracy w duym domu opieki, blisko miejsca gdzie mieszka. To jest to pomyla. Ale kiedy zacz brnc przez formularze aplikacyjne, natkn si na przeszkod: pracodawca wymaga od aplikanta kopii jego akt policyjnych, ktre naleao uzyska z policji stanowej. Stos papierw zawiera odpowiedni formularz proby, ktry zawiera te kratk na odcisk palca. Co prawda wymagany by jedynie odcisk prawego palca wskazujcego, ale jeeli sprawdz jego odcisk z baz danych FBI, prawdopodobnie wkrtce bdzie pracowa, ale w kuchni domu opieki sponsorowanego przez rzd federalny. Z drugiej strony, Frank uwiadomi sobie, e by moe w jaki sposb udaoby mu si przemkn. Moe policja stanowa w ogle nie przesaa jego odciskw do FBI. Ale jak si o tym dowiedzie? Jak? Przecie by socjotechnikiem jak mylicie, w jaki sposb si dowiedzia? Oczywicie wykona telefon na policj: Dzie dobry. Prowadzimy badania dla Departamentu Sprawiedliwoci New Jersey. Badamy wymagania dla nowego systemu identyfikacji odciskw palcw. Czy mgbym rozmawia z kim, kto jest dobrze zorientowany w waszych zadaniach i mgby nam pomc?. Kiedy lokalny ekspert podszed do telefonu, Frank zada szereg pyta o systemy, jakich uywaj, moliwoci wyszukiwania i przechowywania odciskw. Czy mieli jakie problemy ze sprztem? Czy korzystaj z wyszukiwarki odciskw NCIC (Narodowego Centrum Informacji o Przestpstwach), czy mog to robi tylko w obrbie stanu? Czy nauka obsugi sprztu nie bya

44

zbyt trudna? Chytrze przemyci pord innych pyta jedno kluczowe. Odpowied bya muzyk dla jego uszu. Nie, nie byli zwizani z NCIC, sprawdzali tylko ze stanowym CII (Indeks Informacji o Przestpstwach). To byo wszystko, co Frank chcia wiedzie. Nie by notowany w tym stanie, wic przesa swoj aplikacj, zosta zatrudniony i nikt nigdy nie pojawi si u niego ze sowami: Ci panowie s z FBI i mwi, e chcieliby z Tob porozmawia. Jak sam twierdzi, okaza si idealnym pracownikiem.

Uwaga Mitnicka
Zmylni zodzieje informacji nie obawiaj si dzwonienia do urzdnikw federalnych, stanowych lub przedstawicieli wadzy lokalnej, aby dowiedzie si czego o procedurach wspomagajcych prawo. Posiadajc takie informacje, socjotechnik jest w stanie obej standardowe zabezpieczenia w firmie.

Na portierni
Niezalenie od wprowadzanej komputeryzacji, firmy wci drukuj codziennie tony papierw. Wane pismo moe by w naszej firmie zagroone nawet, gdy zastosujemy waciwe rodki bezpieczestwa i opiecztujemy je jako tajne. Oto historia, ktra pokazuje, jak socjotechnik moe wej w posiadanie najbardziej tajnych dokumentw.

W ptli oszustwa
Kadego roku firma telekomunikacyjna publikuje ksik zwan Spis numerw testowych (a przynajmniej publikowaa, a jako e jestem nadal pod opiek kuratora, wole nie pyta, czy robi to nadal). Dokument ten stanowi ogromn warto dla phreakerw, poniewa wypeniaa go lista pilnie strzeonych numerw telefonw, uywanych przez firmowych specjalistw, technikw i inne osoby do testowania czy midzymiastowych i sprawdzania numerw, ktre byy wiecznie zajte. Jeden z tych numerw, okrelany w argonie jako ptla, by szczegl-

45

nie przydatny. Phreakerzy uywali go do szukania innych phreakerw i gawdzenia z nimi za darmo. Poza tym tworzyli dziki niemu numery do oddzwaniania, ktre mona byo poda np. w banku. Socjotechnik zostawia urzdnikowi w banku numer telefonu, pod ktrym mona byo go zasta. Kiedy bank oddzwania na numer testowy (tworzy ptl), phreaker mg spokojnie odebra telefon, zabezpieczajc si uyciem numeru, ktry nie by z nim skojarzony. Spis numerw testowych udostpnia wiele przydatnych danych, ktre mogyby by uyte przez godnego informacji phreakera. Tak wic kady nowy spis, publikowany co roku, stawa si obiektem podania modych ludzi, ktrych hobby polegao na eksploracji sieci telefonicznej.

Uwaga Mitnicka
Trening bezpieczestwa, przeprowadzony zgodnie z polityk firmy, stworzon w celu ochrony zasobw informacyjnych, musi dotyczy wszystkich jej pracownikw, a w szczeglnoci tych, ktrzy maj elektroniczny lub fizyczny dostp do zasobw informacyjnych firmy.

Szwindel Stevea
Oczywicie firmy telekomunikacyjne nie uatwiaj zdobycia takiego spisu, dlatego phreakerzy musz wykaza si tu kreatywnoci. W jaki sposb mog tego dokona? Gorliwy modzieniec, ktrego marzeniem jest zdobycie spisu, mg odegra nastpujcy scenariusz. *** Pewnego ciepego wieczoru poudniowokalifornijskiej jesieni Steve zadzwoni do biura niewielkiej centrali telekomunikacyjnej. Std biegn linie telefoniczne do wszystkich domw, biur i szk w okolicy. Kiedy technik bdcy na subie odebra telefon, Steve owiadczy, e dzwoni z oddziau firmy, ktry zajmuje si publikacj materiaw drukowanych. Mamy wasz nowy Spis telefonw testowych powiedzia ale z uwagi na bezpieczestwo nie moemy dostarczy wam nowego spisu, dopki nie odbierzemy starego. Go, ktry odbiera spisy, wanie si spnia. Gdyby pan zostawi wasz spis na portierni, mgby on szybko wpa, wzi stary, podrzuci nowy i jecha dalej.

46

Niczego nie podejrzewajcy technik uznaje, e brzmi to rozsdnie. Robi dokadnie to, o co go poproszono, zostawiajc na portierni swoj kopi spisu. Napisano na niej wielkimi czerwonymi literami tekst ostrzeenia: TAJEMNICA FIRMY Z CHWIL DEZAKTUALIZACJI TEGO DOKUMENTU NALEY GO ZNISZCZY. Steve podjeda i rozglda si uwanie dookoa, sprawdzajc, czy nie ma policji lub ochrony firmy, ktra mogaby zaczai si za drzewami lub obserwowa go z zaparkowanych samochodw. Nikogo nie widzi. Spokojnie odbiera upragnion ksik i odjeda. Jeszcze jeden przykad na to, jak atwe dla socjotechnika jest otrzymanie czego, po prostu o to proszc.

Atak na klienta
Nie tylko zasoby firmy mog sta si obiektem ataku socjotechnika. Czasami jego ofiar padaj klienci firmy. Praca w dziale obsugi klienta przynosi po czci frustracj, po czci miech, a po czci niewinne bdy niektre z nich mog mie przykre konsekwencje dla klientw firmy.

Historia Josie Rodriguez

Josie Rodriguez pracowaa od trzech lat na jednym ze stanowisk w biurze obsugi klienta w firmie Hometown Electric Power w Waszyngtonie. Uwaano j za jedn z lepszych pracownic. Bya bystra i przytomna. *** W tygodniu, w ktrym wypadao wito Dzikczynienia, zadzwoni telefon. Rozmwca powiedzia: Mwi Eduardo z dziau fakturowania. Mam pewn pani na drugiej linii. To sekretarka z dyrekcji, ktra pracuje dla jednego z wiceprezesw. Prosi mnie o pewn informacj, a ja nie mog w tej chwili skorzysta z komputera. Dostaem e-maila od jednej dziewczyny z kadr zatytuowanego ILOVEYOU i kiedy otwarem zacznik, komputer si zawiesi. Wirus. Daem si nabra na gupi wirus. Czy w zwizku z tym, mogaby pani poszuka dla mnie

47

informacji o kliencie? Pewnie odpowiedziaa Josie. To cakiem zawiesza komputer? Straszne. Tak. Jak mog pomc? zapytaa Josie. W tym momencie napastnik powoa si na informacj, ktr zdoby wczeniej podczas poszukiwa rnych danych pomocnych w uwiarygodnieniu si. Dowiedzia si, e informacja, ktrej poszukiwa, jest przechowywana w tak zwanym systemie informacji o fakturach klienta i dowiedzia si, jak nazywali go pracownicy (CBIS). Czy moe pani wywoa konto z CBIS? zapyta. Tak, jaki jest numer konta? Nie mam numeru, musimy znale po nazwisku. Dobrze. Jakie nazwisko? Heather Marning przeliterowa nazwisko, a Josie je wpisaa. Ju mam. wietnie. To jest rachunek biecy? Mhm, biecy. Jaki ma numer? zapyta. Ma pan co do pisania? Mam. Konto numer BAZ6573NR27Q. Odczyta jej zapisany numer i zapyta: A jaki jest adres obsugi? Podaa mu adres. A numer telefonu? Josie posusznie odczytaa rwnie t informacj. Rozmwca podzikowa jej, poegna si i odwiesi suchawk. Josie odebraa kolejny telefon, nawet nie mylc o tym, co si stao.

Badania Arta Sealyego

Art Sealy porzuci prac jako niezaleny redaktor pracujcy dla maych wydawnictw, kiedy wpad na to, e moe zarabia, zdobywajc informacje dla pisarzy i firm. Wkrtce odkry, e honoraria, jakie mgby pobiera, rosn proporcjonalnie do zbliania si do subtelnej granicy linii oddzielajcej dziaania legalne od nielegalnych. Nie zdajc sobie z tego sprawy, i oczywicie nie nazywajc rzeczy po imieniu, Art sta si socjotechnikiem uywaj-

48

cym technik znanych kademu poszukiwaczowi informacji. Okaza si naturalnym talentem w tej brany, dochodzc samemu do metod, ktrych socjotechnicy musz uczy si od innych. Wkrtce przekroczy wspomnian granic bez najmniejszego poczucia winy. *** Wynaj mnie czowiek, ktry pisa ksik o gabinecie prezydenta w czasach Nixona i szuka informatora, ktry dostarczyby mu mniej znanych faktw na temat Williama E. Simona, bdcego Sekretarzem Skarbu w rzdzie Nixona. Pan Simon zmar, ale autor zna nazwisko kobiety, ktra dla niego pracowaa. By prawie pewny, e mieszka ona w Waszyngtonie, ale nie potrafi zdoby jej adresu. Nie miaa rwnie telefonu, a przynajmniej nie byo go w ksice. Tak wic, kiedy zadzwoni do mnie, powiedziaem mu, e to aden problem. Jest to robota, ktr mona zaatwi zwykle jednym lub dwoma telefonami, jeeli zrobi si to z gow. Od kadego lokalnego przedsibiorstwa uytecznoci publicznej raczej atwo wycign informacje. Oczywicie trzeba troch nakama, ale w kocu czym jest jedno mae niewinne kamstwo? Lubi stosowa za kadym razem inne podejcie wtedy jest ciekawiej. Tu mwi ten-a-ten z biura dyrekcji zawsze niele dziaao. Albo mam kogo na linii z biura wiceprezesa X, ktre zadziaao te tym razem. Trzeba wyrobi w sobie pewnego rodzaju instynkt socjotechnika. Wyczuwa ch wsppracy w osobie po drugiej stronie. Tym razem poszczcio mi si trafiem na przyjazn i pomocn pani. Jeden telefon wystarczy, aby uzyska adres i numer telefonu. Misja zostaa wykonana.

Analiza oszustwa
Oczywicie Josie zdawaa sobie spraw, e informacja o kliencie jest poufna. Nigdy nie pozwoliaby sobie na rozmow na temat rachunku jakiego klienta z innym klientem lub na publiczne ujawnianie prywatnych informacji. Jednak dla dzwonicego z tej samej firmy stosuje si inne zasady. Kolega z pracy to czonek tej samej druyny musimy sobie pomaga w wykonywaniu pracy. Czowiek z dziau fakturowania mg sam sobie sprawdzi te informacje w swoim komputerze, gdyby nie zawiesi go wirus. Cieszya si, e moga pomc wsppracownikowi.

49

Art stopniowo dochodzi do kluczowej informacji, ktrej naprawd szuka, zadajc po drodze pytania o rzeczy dla niego nieistotne, jak numer konta. Jednoczenie informacja o numerze konta stanowia drog ucieczki gdyby Josie zacza co podejrzewa, wykonaby drugi telefon, z wiksz szans na sukces znajomo numeru konta uczyniaby go jeszcze bardziej wiarygodnym w oczach kolejnego urzdnika. Josie nigdy nie zdarzyo si, by kto kama w taki sposb nie przyszoby jej do gowy, e rozmwca mg nie by tak naprawd z dziau fakturowania. Oczywicie wina nie ley po stronie Josie, ktra nie zostaa dobrze poinformowana o zasadach upewniania si co do tosamoci dzwonicego przed omawianiem z nim informacji dotyczcych czyjego konta. Nikt nigdy nie powiedzia jej o niebezpieczestwie takiego telefonu, jaki wykona Art. Nie stanowio to czci polityki firmy, nie byo elementem szkolenia i jej przeoony nigdy o tym nie wspomnia.

Uwaga Mitnicka
Nigdy nie naley sdzi, e wszystkie ataki socjotechniczne musz by gruntownie uknut intryg, tak skomplikowan, e praktycznie niewykrywaln. Niektre z nich to szybkie ataki z zaskoczenia, bardzo proste w formie. Jak wida, czasami wystarczy po prostu zapyta.

Zapobieganie oszustwu
Punkt, ktry naley umieci w planie szkolenia z zakresu bezpieczestwa, dotyczy faktu, e jeli nawet dzwonicy lub odwiedzajcy zna nazwiska jakich osb z firmy lub zna argon i procedury, nie znaczy to, e podaje si za tego, kim jest. Zdecydowanie nie czyni go to w aden sposb uprawnionym do otrzymywania wewntrznych informacji lub wykonywania operacji na naszym komputerze lub sieci. Szkolenie takie musi jasno uczy, eby w razie wtpliwoci sprawdza, sprawdza i jeszcze raz sprawdza. W dawnych czasach dostp do informacji wewntrz firmy by oznak rangi i przywilejem. Pracownicy otwierali piece, uruchamiali maszyny, pisali listy, wypeniali raporty. Brygadzista lub szef mwi im, co robi, kiedy i jak. Tylko brygadzista lub szef wiedzieli, ile elementw musi wyprodu-

50

kowa dany pracownik na jednej zmianie, jakie kolory i rozmiary maj by wypuszczone w tym tygodniu, w nastpnym i na koniec miesica. Pracownicy obsugiwali maszyny, narzdzia i korzystali z materiaw. Szefowie dysponowali informacj, a pracownicy dowiadywali si jedynie tego, co niezbdne w ich pracy. Prawda, e dzi wyglda to nieco inaczej? Wielu pracownikw w fabryce obsuguje jaki komputer lub maszyn sterowan komputerowo. Dla zatrudnionych dostpne s krytyczne informacje, co uatwia im wykonanie swojej czci pracy w obecnych czasach wikszo rzeczy, ktre robi, jest zwizana z informacj. Dlatego te polityka bezpieczestwa firmy musi siga wszdzie, niezalenie od stanowiska. Kady musi zrozumie, e nie tylko szefowie i dyrekcja s w posiadaniu informacji, ktrych poszukiwa moe napastnik. Dzi pracownik na kadym szczeblu, nawet nie korzystajcy z komputera, moe sta si obiektem ataku. Nowo zatrudniony konsultant w dziale obsugi klienta moe stanowi sabe ogniwo, ktre zostanie wykorzystane przez socjotechnika do swoich celw. Szkolenie w zakresie bezpieczestwa i polityka bezpieczestwa firmy musi wzmacnia takie sabe ogniwa.

4
Budowanie zaufania
Niektre z opisanych tu historii mog sugerowa, e uwaam pracownikw firm za kompletnych idiotw, gotowych, a nawet chtnych, do wyjawienia kadego sekretu. Socjotechnik zdaje sobie spraw, e to nieprawda. Dlaczego wic ataki socjotechnikw s takie skuteczne? Na pewno nie dlatego, e ludzie s gupi bd pozbawieni zdrowego rozsdku. Jestemy tylko ludmi kadego z nas mona oszuka. Pod wpywem pewnego rodzaju manipulacji moemy mog le ulokowa nasze zaufanie. Socjotechnik z gry zakada, e napotka podejrzliwo lub opr, i jest zawsze przygotowany na przeamywanie barier nieufnoci. Dobry socjotechnik planuje swj atak niemal jak parti szachw, przewidujc pytania, jakie ofiara moe zada, i przygotowujc stosowne odpowiedzi. Jedn z typowych technik jest budowanie poczucia zaufania u ofiary. Jak oszust moe zdoby nasze zaufanie? Ma na to swoje sposoby...

52

Uwaga
Opowiadajc o socjotechnikach, phreakerach i oszustach, zwykle uywam rodzaju mskiego. Nie jest to szowinizm, a jedynie odzwierciedlenie prawdy, e wikszo uprawiajcych ten proceder to mczyni. Mimo e obecnie nie ma wielu kobiet parajcych si socjotechnik, to ich liczba stale ronie. Kobiety w roli socjotechnikw s na tyle dojrzae, aby wiedzie, e sam dwik damskiego gosu nie przeamie adnej bariery. Maj one jednak znaczc przewag, poniewa mog uywa do przeamywania barier swojej seksualnoci. Na stronach tej ksiki saba pe jest reprezentowana jednak w niewielkim stopniu.

Zaufanie kluczem do manipulacji

Im bardziej zaaranowana przez socjotechnika rozmowa dotyczy codziennych, zwykych spraw, tym bardziej unika on wszelkich podejrze. W sytuacji, gdy ludzie nie maj powodw do podejrzliwoci, socjotechnik moe atwo zyska ich zaufanie. Jeeli mu si to uda, most zwodzony zostaje opuszczony, a wrota zamku otwieraj si, aby mg wej i uzyska kad informacj, jakiej potrzebuje.

Pierwsza rozmowa: Andrea Lopez

Andrea Lopez odebraa telefon w wypoyczalni kaset video, gdzie pracowaa, i po chwili na jej twarzy pojawi si umiech. To przyjemne, gdy klient mwi, e jest zadowolony z usug firmy. Rozmwca powiedzia, e ma bardzo dobre dowiadczenia w korzystaniu z wypoyczalni i e pragnie napisa o tym list do menedera. Zapyta o jego nazwisko i adres korespondencyjny. Andrea powiedziaa, e meneder nazywa si Tommy Allison i podaa adres. Kiedy ju miaa si rozczy, rozmwcy przyszo jeszcze co do gowy i powiedzia: Moe napisz te do waszej centrali. Jaki jest numer waszej wypoyczalni?. Andrea podaa mu rwnie t informacj. Rozmwca podzikowa jej, doda co miego o tym, jak bardzo bya pomocna, i poegna si. Taki telefon pomylaa zawsze sprawia, e dzie upywa szybciej. Gdyby tylko ludzie robili to czciej.

53

Druga rozmowa: Ginny

Dzikujemy za telefon do VideoMasters. Mwi Ginny. W czym mog pomc? Dzie dobry, Ginny powiedzia entuzjastycznie rozmwca, tak jakby rozmawia z Ginny co najmniej raz w tygodniu. Tu Tommy Allison, meneder z Forest Park, wypoyczalnia numer 863. Mamy tu klienta, ktry chciaby wypoyczy film Rocky 5, a skoczyy nam si kopie. Moesz sprawdzi, czy co macie? Po kilku chwilach wrcia do telefonu i powiedziaa: Tak. Mamy trzy kopie. wietnie, zapytam, czy przyjechaby do was po film. W ogle to bardzo ci dzikuje. Jeeli kiedykolwiek potrzebowaaby pomocy kogo z naszej wypoyczalni, dzwo i pro Tommiego. Bdzie mi mio, gdy bd mg co dla ciebie zrobi. W czasie nastpnych paru tygodni Ginny odbieraa telefony od Tommiego, ktry prosi o pomoc w rnych sprawach. Byy to cakiem normalne proby, a Tommy by zawsze bardzo miy i nigdy nic nie wskazywao na to, by chcia j wykorzysta. Przy okazji lubi sobie pogawdzi. Mwi na przykad: Syszaa o tym poarze w Oak Park? Podobno zamknli par ulic. Jego telefony byy dla niej okazj do oderwania si na chwil od rutyny dnia i zawsze cieszya si, kiedy si odzywa. Pewnego dnia Tommy zadzwoni nieco zestresowany, pytajc: Mielicie moe jakie problemy z komputerami? Nie odpowiedziaa Ginny. Dlaczego? Jaki go zderzy si samochodem ze supem telefonicznym i konserwator z firmy telekomunikacyjnej mwi, e caa dzielnica nie bdzie miaa dostpu do Internetu, dopki tego nie naprawi. O nie! Co si mu stao? Odwieli go karetk. Czy mogaby mi pomc? Mam tu waszego klienta, ktry chce wypoyczy Ojca chrzestnego III, ale zapomnia karty. Sprawdziaby dla mnie jego dane? Pewnie. Tommy poda nazwisko i adres klienta. Ginny znalaza go w komputerze. Podaa Tommiemu numer konta klienta w systemie. S jakie opnione zwroty lub zalegoci do zapacenia? zapyta Tommy. Nic nie widz.

54

 wietnie. Wpisz go do bazy danych pniej, jak naprawi Internet. On chce, eby obciy jego kart Visa, ktr paci w waszej wypoyczalni a te nie ma jej przy sobie. Jaki jest numer tej karty i data wanoci? Ginny podaa numer i dat. Dziki za pomoc. Do usyszenia powiedzia Tommy i rozczy si.

Historia Doylea Lonnegana

Doyle Lonnegan to mody czowiek, ktrego nikt zapewne nie chciaby oglda u swoich drzwi. Kiedy zajmowa si odzyskiwaniem dugw karcianych. Obecnie od czasu do czasu rwnie wiadczy podobne usugi, o ile nie naraaj go na wiksze koszta. W tym przypadku zaoferowano mu cakiem pokan sum pienidzy za co, co wymagao zaledwie paru telefonw do wypoyczalni kaset wideo. Robota wydawaa si atwa, jednak aden ze zleceniodawcw nie wiedzia, jak przeprowadzi tak akcj. Potrzebowali wic kogo z talentem i wiedz Lonnegana. *** Ludzie, gdy nie maj szczcia albo s zbyt naiwni przy pokerowym stoliku, nie reguluj swoich dugw. Kady to wie. Dlaczego moi znajomi grali z oszustem, ktry nie kad forsy na st? Kto to moe wiedzie? Moe po prostu sabo id im testy na inteligencj. Ale w kocu to koledzy, wic co zrobi? Go nie mia pienidzy, a zatem przyjli czek. Pytam si, czy nie mogli pojecha z nim prosto do bankomatu. Nie wzili sobie czek. Na 3230 dolarw. Oczywicie nie mia pokrycia. Niby czego mieli si spodziewa? Zadzwonili wic do mnie z pytaniem, czy mog pomc. Nie wsadzam ju buta midzy drzwi dzisiaj s lepsze metody. Zadaem 30 procent prowizji i stwierdziem, e zobacz, co si da zrobi. Podali mi jego nazwisko i adres, a ja usiadem przy komputerze, eby sprawdzi, gdzie ma najblisz wypoyczalni kaset wideo. Nie spieszyo mi si. Cztery telefony, aby wej w aski pracownikw wypoyczalni, i w kocu: Bingo! dostaem numer karty kredytowej oszusta. Jeden znajomy ma bar topless Knockers. Za pidziesit dolcw prze-

55

puci dug pokerowy przez konto baru. Niech teraz oszust si tumaczy przed swoj on. A co staoby si, gdyby powiedzia bankowi, e to nie jego transakcja? Zastanwmy si chwil. On wie, e znamy jego namiary. Zda sobie spraw, e jeeli potrafilimy zdoby numer jego karty, to moglibymy pewnie duo wicej. Nie ma obaw.

Analiza oszustwa
Pierwsze telefony Tonniego do Ginny miay po prostu zbudowa zaufanie. Kiedy przysza pora ataku, Ginny opucia gard i zaakceptowaa Tonniego jako pracownika innej wypoyczalni tej samej sieci. Dlaczego nie miaaby go zaakceptowa? Przecie ju go znaa. Oczywicie rozmawiali tylko telefonicznie, ale zdyli ju nawiza biznesow znajomo, ktra jest podstaw zaufania. Z chwil, kiedy zaakceptowaa go jako kogo pracujcego dla tej samej firmy, reszta bya ju prosta.

Uwaga Mitnicka
Technika budowania zaufania znana z da jest jedn z bardziej efektywnych taktyk socjotechnicznych. Zawsze trzeba si zastanowi nad tym, czy naprawd znamy osob, z ktr rozmawiamy. Moe si bowiem zdarzy, e osoba nie jest t, za ktr si podaje. Podobnie naley nauczy si obserwowa, weryfikowa i kwestionowa domniemane stanowisko lub pozycj rozmwcy.

Zdobywanie numeru karty wariacja na temat

Budowanie poczucia zaufania nie zawsze wymaga kilku telefonw do ofiary, jak sugerowa moe poprzednia historia. Byem wiadkiem sytuacji, kiedy zajo to jedynie pi minut.

Niespodzianka, Tato!
Pewnego razu usiadem przy stoliku w restauracji z Henrym i jego ojcem. W trakcie rozmowy Henry zbeszta swojego ojca za podawanie numeru kar-

56

ty kredytowej tak, jakby to by numer telefonu. Jasne, e musisz poda numer karty, gdy co kupujesz powiedzia ale podawanie go sklepowi, ktry wpisuje go do swoich akt, to szczyt bezmylnoci. Jedynym miejscem, w ktrym to robi, jest StudioVideo powiedzia pan Conklin, podajc nazw sieci wypoyczalni ale co miesic przegldam wycig z karty. Jeeli zawyaliby moje opaty, zorientowabym si. Oczywicie powiedzia Henry lecz od kiedy oni maj twj numer, kto bardzo atwo moe go ukra. Masz na myli jakiego nieuczciwego pracownika? Nie. Kogokolwiek, niekoniecznie pracownika. Pleciesz androny powiedzia pan Conklin. Mog teraz zadzwoni i skoni ich do tego, by podali mi numer twojej karty odpar Henry. Niemoliwe powiedzia ojciec. Mog to zrobi w pi minut, siedzc naprzeciw ciebie i nie wstajc nawet od stolika. Oczy pana Conklina byy zwone tak patrzy kto pewny swoich racji, ale starajcy si to ukry. Mwi ci, e opowiadasz gupoty odszczekn, wyjmujc swj portfel i przybijajc pidziesiciodolarowy banknot do stolika. Jeeli ci si uda, jest twj. Nie chodzi mi o twoje pienidze, tato powiedzia Henry. Wycign telefon komrkowy, zapyta ojca, z ktrej wypoyczalni korzysta, i zadzwoni na informacj, proszc o jej numer oraz o numer do wypoyczalni blisko Sherman Oaks. Nastpnie zatelefonowa do wypoyczalni przy Sherman Oaks. Stosujc taktyk opisan w poprzedniej historii, szybko otrzyma nazwisko menedera i numer wypoyczalni. Nastpnie zadzwoni do wypoyczalni, w ktrym ojciec mia otwarty rachunek. Zastosowa stary trik zatytuowany Wciel si w menedera, podajc jego nazwisko jako swoje i uywajc numeru wypoyczalni, ktry wczeniej uzyska. Potem uy znanego ju podstpu: Czy wasze komputery dziaaj? Bo nasze co chwil si zawieszaj. Posucha odpowiedzi i cign: Wie pani, mam tu jednego z waszych klientw, ktry chce wypoyczy kaset, ale komputery znowu nie dziaaj. Musz zajrze w konto klienta i upewni si, e jest do was zapisany. Henry poda nazwisko ojca. Nastpnie, uywajc wariacji opisanej wcze-

57

niej techniki poprosi o odczytanie informacji z monitora: adresu, numeru telefonu i daty otwarcia konta. Nastpnie powiedzia: Prosz pani, mam tu ju straszn kolejk swoich klientw. Jaki jest numer karty i data wanoci?. Henry jedn rk trzyma telefon, a drug notowa na wistku papieru. Skoczy rozmow i przesun wistek przed oczy ojca, ktry patrzy na niego z szeroko otwartymi ustami. Biedak wyglda na tak zszokowanego, jakby jego cay system wartoci leg w gruzach.

Analiza oszustwa
Zastanwmy si nad wasnym zachowaniem w sytuacji, gdy nieznajoma osoba prosi nas o przysug. Jeeli do naszych drzwi zapuka obdarty wczga, raczej nie wpucimy go do rodka. Jeeli za na progu pojawi si nieznajomy dobrze ubrany, w wypolerowanych butach, umiechnity i o nienagannych manierach, nasza podejrzliwo bdzie o wiele mniejsza. Moe to by nawet Jason z filmw Pitek, trzynastego, ale zaufamy mu, o ile wyglda normalnie i nie trzyma w doni tasaka. Mniej oczywiste jest, e w ten sam sposb oceniamy ludzi przez telefon. Czy dana osoba zachowuje si, jakby chciaa co sprzeda? Czy jest przyjacielska i otwarta, czy moe da si odczu z jej strony pewn wrogo i prby nacisku? Czy ona lub on wysawia si jak kto wyksztacony? Oceniamy te aspekty, i pewnie z tuzin innych, zupenie niewiadomie. Jest to wraenie, ktre odnosimy w kilku pierwszych chwilach rozmowy. W pracy stale kto od nas czego wymaga. Czy masz adres tego czowieka? Gdzie jest ostatnia wersja listy klientw? Kto jest podwykonawc tej czci projektu? Prosz wysa mi najnowsz wersj projektu. Potrzebuj najnowszej wersji kodu rdowego. Zdarza si, e ludzi, ktrzy prosz nas o rne rzeczy, nie znamy osobicie, poniewa s to osoby pracujce w innej jednostce organizacyjnej firmy, a przynajmniej za takie si podaj. Informacje, jakimi dysponuj, sugeruj, e s z wewntrz (Marianne powiedziaa..., To jest na serwerze K-16..., ...wersja 26 planw nowego produktu). Rozszerzamy wwczas na nich nasz obszar zaufania i beztrosko dajemy im to, o co prosz. Oczywicie moemy mie pewne wtpliwoci, zastanawiajc si: Po co komu z fabryki w Dallas potrzebne s plany nowego produktu? albo: Czy podawanie nazwy serwera, z ktrego korzystam, nie jest ryzykowne?. Za-

58

dajemy wic jeszcze jedno lub dwa pytania. Jeeli odpowiedzi wydaj si sensowne, a zachowanie rozmwcy nie budzi wtpliwoci, przestajemy si broni i powracamy ku naturalnej inklinacji do ufania wsppracownikom i robienia (w granicach rozsdku) tego, o co nas poprosz. Nie naley dochodzi do wniosku, e obiektem ataku s jedynie firmy posiadajce systemy komputerowe dostpne z zewntrz. Wemy osob odpowiedzialn za korespondencj firmow: Czy moe pani co dla mnie zrobi i wrzuci to do firmowej skrytki pocztowej?. Czy osoba przyjmujca przesyk zdawaa sobie spraw, e zawiera ona dyskietk ze specjalnym programem dla sekretarki prezesa? Z chwil jego uruchomienia napastnik otrzymuje kopie maili szefa. Czy to mogoby si wydarzy w naszej firmie? Odpowied brzmi: oczywicie.

Uwaga Mitnicka
W ludzkiej naturze jest myle, e raczej nie zostaniemy oszukani podczas przeprowadzanej wanie transakcji, chyba e mamy konkretne powody, aby sdzi inaczej. Waymy ryzyko i w wikszoci przypadkw w kocu odrzucamy wtpliwoci. To naturalne zachowanie cywilizowanego czowieka, a przynajmniej cywilizowanego czowieka, ktry nigdy nie zosta oszukany ani zmanipulowany lub nie wyudzono od niego duej sumy pienidzy. Gdy bylimy dziemi, nasi rodzice uczyli nas: Nie ufaj nieznajomym!. Warto stosowa si do tej starej jak wiat zasady.

Komrka za centa
Wielu ludzi, robic zakupy, rozglda si bacznie, dopki nie znajdzie najlepszej oferty. Socjotechnik nie szuka lepszej oferty, tylko sposobu, by uczyni j lepsz. Czasami firma przeprowadza promocj, ktra jest tak atrakcyjna, e wrcz nie mona z niej nie skorzysta. Socjotechnik przyglda si ofercie i zastanawia si, co by tu zrobi, aby staa si dla niego jeszcze bardziej atrakcyjna. Jaki czas temu jedna z firm telefonii komrkowej o oglnokrajowym zasigu zorganizowaa promocj, oferujc nowy aparat telefoniczny za jednego centa dla tych, ktrzy wykupi odpowiedni abonament. Wielu ludzi za pno odkryo, e istnieje wiele pyta, ktre rozwany

59

klient powinien zada przed podpisaniem umowy: czy usuga jest analogowa, cyfrowa czy hybrydowa, jaka jest ilo darmowych minut do wykorzystania w miesicu, czy s dodatkowe opaty za roaming itd. Szczeglnie istotny jest czas trwania umowy, czyli liczba miesicy lub lat, przez ktre bdziemy musieli opaca abonament. Wyobramy sobie socjotechnika w Philadelphii, ktrego przycigna oferta promocyjna telefonii komrkowej, ale odrzuci plan taryfowy, jaki si z ni wiza. Nie ma problemu. Oto jeden ze sposobw, w jaki mg sobie z tym poradzi.

Pierwsza rozmowa: Ted

Na pocztku socjotechnik dzwoni do sklepu elektronicznego na West Girard. Electron City, tu mwi Ted. Dzie dobry, Ted. Mwi Adam. Par dni temu rozmawiaem z handlowcem o telefonie komrkowym. Powiedziaem, e oddzwoni, kiedy wybior plan taryfowy, ale zapomniaem jego nazwiska. Kto pracuje u was na drugiej zmianie? Nie zawsze jest to ta sama osoba. Moe William? Nie jestem pewien. By moe to by William. Jak on wyglda? Wysoki facet. Do szczupy. Myl, e to on. Jak on ma na nazwisko? Hadley. H-A-D-L-E-Y. Rzeczywicie. Brzmi znajomo. Kiedy bdzie mona go zasta? Nie mam grafiku na ten tydzie, ale popoudniowa zmiana zaczyna si o pitej. Dobrze. W takim razie sprbuje go zapa dzi wieczorem. Dziki, Ted.

Druga rozmowa: Katie

Nastpny telefon jest do sklepu tej samej sieci przy North Broad Street. Dzie dobry. Electron City. Mwi Katie, w czym mog pomc? Cze Katie. Mwi William Hadley ze sklepu przy West Girard. Jak si dzi miewasz?

60

 Nie nadam za robot. Co si stao? Mam klienta, ktry jest chtny na t promocj za jednego centa. Wiesz, o ktrej mwi? Tak. Sprzedaam takie dwie w zeszym tygodniu. Macie jeszcze jakie aparaty, ktre s w tej promocji? Cay stos. wietnie, bo wanie sprzedaem jeden klientowi. Mam sprawdzon jego wypacalno i podpisalimy z nim umow. Potem zajrzaem do magazynu i okazao si, e skoczyy si aparaty. Teraz strasznie mi gupio. Czy moesz dla mnie co zrobi? Wysabym go do waszego sklepu, eby odebra telefon. Moecie mu sprzeda aparat za jednego centa i wystawi mu rachunek? Jak otrzyma telefon powinien do mnie zadzwoni, ebym wytumaczy mu, jak si go programuje. Jasne. Wylij go do nas. Dobrze. Nazywa si Todd. Todd Yancy. Kiedy czowiek podajcy si za Todda Yancyego pojawi si w sklepie przy North Broad, Katie wypisaa faktur i sprzedaa mu telefon za jednego centa, tak jak prosi j o to jej wsppracownik. Pokna haczyk. Kiedy przyszo do pacenia, klient nie mia drobnych w kieszeni, wic sign do tacki z jednocentwkami lecej przy kasie i wrczy monet dziewczynie za lad. Otrzyma telefon, nie pacc za niego nawet centa. Teraz moe i do innej firmy, ktra wykorzystuje te same modele telefonw, i wybra plan taryfowy, jaki mu odpowiada. Najlepiej taki z umow na jeden miesic.

Analiza oszustwa
Ludzie z natury maj wikszy poziom akceptacji dla kogo, kto podaje si za wsppracownika i zna procedury oraz argon firmy. Socjotechnik przedstawiony w tej historii wykorzystuje to, szukajc szczegw na temat promocji, identyfikujc pracownika firmy i proszc o przysug w innym oddziale. Dzieje si to w rnych filiach sklepu lub firmy, ktrych pracownicy nie maj ze sob bezporedniego kontaktu, a czsto zaatwiaj sprawy ze wsppracownikami, ktrych w ogle nie znaj.

61

Wamanie do FBI
Ludzie czsto nie zastanawiaj si nad tym, jakie materiay ich organizacja udostpnia w Internecie. Na potrzeby audycji radiowej, ktr prowadz w KFI Talk Radio w Los Angeles, nasz producent przeszuka sie i znalaz kopi instrukcji dostpu do bazy danych Narodowego Rejestru Przestpstw (NCIC). Pniej znalaz t sam instrukcj obsugi rejestru poufny dokument, ktry podaje wszystkie procedury potrzebne do pobierania informacji z bazy danych FBI. Instrukcja ta to podrcznik dla pracownikw agencji ds. przestrzegania prawa, ktry podaje kody i formaty waciwe do pobierania informacji o przestpcach i przestpstwach ze wspomnianego rejestru. Agenci w caym kraju mog przeszukiwa t baz w poszukiwaniu informacji przydatnych w ich wasnych dochodzeniach. Podrcznik przedstawia metody uywane w bazie do opisu wszystkiego, poczwszy od rodzajw tatuay, poprzez typu kadubw statkw, a koczc na nominaach skradzionych pienidzy i na kajdankach. Kady, kto mia dostp do instrukcji, mg poszuka odpowiedniej skadni polece umoliwiajcych cignicie informacji z bazy danych. Nastpnie, postpujc zgodnie z opisanymi tam procedurami, i przy odrobinie brawury, mg pobra informacje z Narodowego Rejestru Przestpstw. Podrcznik podaje rwnie numery telefonw, pod ktre mona dzwoni w sprawie pomocy w obsudze systemu. By moe w waszej firmie publikowane s podobne podrczniki z kodami produktw lub kodami umoliwiajcymi pobieranie poufnych informacji. Pracownicy FBI prawie na pewno nigdy nie odkryli, e ich poufne instrukcje i procedury s dostpne w sieci. Myl, e niezbyt ucieszyliby si z tego faktu. Jedna z kopii zostaa opublikowana przez jedn z instytucji rzdowych stanu Oregon, inna przez agencj ds. przestrzegania prawa z Teksasu. Dlaczego tak si stao? W kadym z przypadkw kto prawdopodobnie pomyla, e ta informacja nie jest wartociowa dla kogo obcego i opublikowanie jej nie wyrzdzi adnych szkd. Moe kto po prostu opublikowa je w intranecie dla wygody pracownikw, nie zdajc sobie sprawy, e udostpni te informacje wszystkim, ktrzy maj dostp do dobrej wyszukiwarki, takiej jak np. Google, w tym zwykym ciekawskim, kandydatom na policjantw, hakerom czy przedstawicielom zorganizowanych grup przestpczych.

62

Wejcie do systemu
Zasada uycia takich informacji do oszukania urzdnika lub pracownika firmy jest zawsze taka sama poniewa socjotechnik wie, jak dosta si do okrelonych baz danych czy aplikacji albo zna numery, nazwy serwerw itp., zdobywa sobie zaufanie. Z chwil, gdy socjotechnik wejdzie w posiadanie takich kodw, zdobycie informacji, ktrych potrzebuje, jest ju stosunkowo proste. W tym konkretnym przykadzie mgby rozpocz od telefonu do biura w ktrym znajduje si terminal i zadania pytania dotyczcego jednego z kodw z podrcznika. Mogoby ono brzmie np. tak: Kiedy wpisuj zapytanie OFF w NCIC, pojawia mi si bd system nie dziaa. Czy mgby pan sprbowa to wpisa za mnie?. Mgby te powiedzie, e prbuje przejrze wpf-(w argonie policji akta osoby poszukiwanej). Urzdnik pracujcy przy komputerze po drugiej strome poczenia uzna, e dzwonicy jest obeznany z procedurami operacyjnymi i poleceniami wydawanymi bazie danych NCIC. Kto poza osobami przeszkolonymi mgby zna te procedury? Po tym, gdy osoba obsugujca komputer potwierdzia, e u niej wszystko dziaa, rozmowa moga przebiega nastpujco: Mgby mi pan pomc? A czego pan potrzebuje? Musz wykona polecenie OFF na nazwisku Martin Reardon, data urodzenia 18.10.66. Jaki SOSH?

argon
SOSH skrt oznaczajcy w slangu FBI numer ubezpieczenia spoecznego.

700-14-7435. Jego numer to 2602 mg powiedzie urzdnik po odnalezieniu szukanej osoby. Napastnik musi teraz jedynie spojrze do podrcznika NCIC, aby odnale znaczenie tej liczby. Okazao si, e czowiek ten jest oskarony o faszowanie swoich akt osobowych.

63

Analiza oszustwa
Dobry socjotechnik nie wahaby si nawet przez chwil szuka sposobw na wamanie si do bazy NCIC. Zreszt dlaczego miaby si waha, skoro uzyskanie potrzebnych informacji wymaga jedynie wykonania telefonu do lokalnej komendy policji i troch gadkiej gadki, aby zaprezentowa si jako czowiek z wewntrz? Nastpnym razem zadzwoni w inne miejsce i uyje tego samego sposobu. Mona si zastanawia, czy dzwonienie na komend czy te posterunek policji nie jest niebezpieczne. Czy napastnik nie ryzykuje tutaj zbyt duo? Odpowied z pewnych specyficznych powodw brzmi: nie. Policjanci, podobnie jak onierze, maj od pierwszego dnia pobytu w akademii zaszczepiony respekt dla rangi. Dopki socjotechnik przedstawia si jako sierant lub porucznik kto wyszy rang ni osoba, z ktr rozmawia ofiara bdzie postpowa zgodnie z gboko wpojon zasad, ktra mwi, e nie kwestionuje si tego, co twierdzi osoba wysza stopniem, ktra ma nad nami wadz. Innymi sowy, stopie daje przywileje, a w szczeglnoci jeden niemoliwoci bycia sprawdzanym przez osoby bdce niej w hierarchii. Instytucje policyjne i wojskowe nie s jednak jedynymi miejscami, gdzie socjotechnik moe wykorzysta respekt przed rang. Socjotechnicy czsto uywaj autorytetu wynikajcego z pozycji w strukturze organizacji jako broni w czasie atakw na firmy pokae to kilka historii opisanych w tej ksice.

Uwaga Mitnicka
Wszyscy powinni by wiadomi, jakie jest modus operandi socjotechnika: zbierz jak najwicej informacji o obiekcie ataku i uyj ich w celu zdobycia zaufania, prezentujc si jako osoba z wewntrz. Nastpnie uderz w samo serce!

Jak si broni?
Jakie kroki mona podj w Waszej firmie, aby zmniejszy prawdopodobiestwo, e socjotechnik wykorzysta naturalny instynkt pracownikw kacy im ufa innym ludziom? Oto kilka sugestii.

64

Ochrona klientw
W dzisiejszych czasach wiele firm, ktre co sprzedaj, przechowuje wrd informacji o kliencie rwnie dane jego karty kredytowej. Istnieje ku temu powd: uwalnia si klienta od kopotliwego podawania danych swojej karty za kadym razem, gdy ponownie odwiedza sklep lub witryn internetow, aby co kupi. Lepiej odstpi od tej praktyki. Jeeli musimy przechowywa numery kart kredytowych, procesowi temu musz towarzyszy klauzule bezpieczestwa, ktre wykraczaj daleko poza szyfrowanie i kontrol dostpu. Pracownicy musz by przeszkoleni w rozpoznawaniu socjotechnikw takich, jak opisani w tym rozdziale. Rzekomy wsppracownik, ktrego nigdy nie poznalimy osobicie, ale z ktrym zdylimy si zaprzyjani przez telefon, moe nie by tym, za kogo si podaje. By moe wcale nie ma takiej potrzeby, aby udostpnia mu poufne informacje. By moe nie jest on w ogle pracownikiem firmy.

Ufajmy z rozwag
Nie tylko ludzie, ktrzy maj dostp do zdecydowanie poufnych danych, tacy jak programici czy pracownicy dziaw badawczych, musz broni si przed intruzami. Prawie kady czonek organizacji wymaga odpowiedniego szkolenia w zakresie zabezpieczenia firmy przed szpiegami przemysowymi i zodziejami informacji. Podstaw do tego powinny by badania zasobw informacyjnych przedsibiorstwa ze specjalnym zwrceniem uwagi na kady z poufnych, krytycznych lub wartociowych zasobw informacyjnych, przy jednoczesnym postawieniu sobie pytania o metody socjotechniczne, jakich mgby uy napastnik w celu uzyskania do nich dostpu. Odpowiednie szkolenie zorganizowane dla osb, ktre posiadaj dostp do takich informacji, powinno uwzgldnia odpowiedzi udzielone na powysze pytania. Kiedy osoba, ktrej osobicie nie znamy, prosi o informacje czy materiay lub o wykonanie jakiej czynnoci na komputerze, pracownicy musz postawi sobie par pyta. Jeeli informacj t otrzymaby nasz najgorszy wrg, czy mogaby ona zaszkodzi mnie lub mojej firmie? Czy w peni zdaj sobie spraw z dziaania polece, o ktrych wprowadzenie do komputera zostaem poproszony?

65

Nie chodzi o to, aby traktowa podejrzliwie kad nowo spotkan osob. Jednak im bardziej jestemy ufni, tym bardziej stajemy si naraeni na to, e socjotechnik oszuka nas i uzyska dostp do zastrzeonych informacji firmy.

Dokd siga nasz intranet?

Cz wewntrznej sieci komputerowej firmy moe by udostpniona dla uytkownikw z zewntrz, a cz dostpna tylko dla pracownikw firmy. Jak bardzo nasza firma kontroluje, czy poufne informacje nie s umieszczane w miejscach, w ktrych s potencjalnie dostpne dla ludzi, przed ktrymi naley ich chroni? Kiedy ostami raz kto w firmie sprawdza, czy jakie poufne informacje z intranetu nie zostay nieumylnie zamieszczone w obszarach dostpnych dla uytkownikw zewntrznych? Jeeli nasza firma stosuje serwery proxy jako rodki ochrony przed atakami z zewntrz, to czy bya ostatnio sprawdzana poprawno ich konfiguracji? A moe naleaoby zapyta, czy kiedykolwiek zadalimy sobie trud sprawdzenia bezpieczestwa intranetu naszej firmy?

5
Moe pomc?
Wszyscy czujemy wdziczno, gdy kto dysponujcy wiedz, umiejtnociami i dowiadczeniem oferuje nam pomoc w rozwizaniu naszego problemu. Socjotechnik zdaje sobie z tego spraw i wie, jak ten fakt wykorzysta. Wie on rwnie, jak spowodowa problem, a nastpnie zyska nasz wdziczno w zamian za jego rozwizanie. Potem moe manipulowa nami, aby wej w posiadanie informacji albo poprosi o drobn przysug, w wyniku ktrej moemy, my lub nasza firma, ponie straty. Niewykluczone, e nawet nie bdziemy zdawali sobie sprawy z tego, e utracilimy co wartociowego. Oto typowe przykady tego, jak socjotechnicy udzielaj pomocy.

Awaria sieci
Czas: poniedziaek, 12 lutego, godzina 15:25. Miejsce: biura stoczni Starboard.

67

Pierwsza rozmowa: Tom DeLay

Tom DeLay, Ksigowo. Cze Tom, tu Eddie Martin z serwisu. Prbujemy usun problem z sieci komputerow. Czy kto, z waszej grupy mia ostatnio problemy polegajce na zrywaniu pocze sieciowych? Nic o tym nie wiem. A sam nie masz adnych problemw? Nie, wszystko raczej dziaa. To dobrze. Wiesz, dzwonimy do ludzi, ktrym mog si zdarza takie rzeczy, bo zaley nam na tym, eby da nam zna natychmiast, jak utracisz poczenie sieciowe. To nie brzmi ciekawie. Mylisz, e to rzeczywicie moe si zdarzy? Mamy nadziej, e nie, ale gdyby si tak stao zadzwo, dobrze? Lepiej, eby ta nadzieja staa si prawd. Wyglda na to, e zerwanie poczenia to byby dla ciebie duy problem... Pewnie, e tak. W takim razie podam ci mj numer komrki, eby mg mnie zapa osobicie, jeeli co takiego si wydarzy. wietnie, podaj. 555-867-5309. 555-867-5309. Zapisaem. A w ogle to dziki. Powiedz mi jeszcze raz, jak masz na imi?. Eddie. Jeszcze jedno: musz sprawdzi, do ktrego portu podpity jest twj komputer. Mgby spojrze na niego? Powinna gdzie tam by nalepka, na ktrej pisze numer portu. Moment... nie, nie widz niczego takiego. Dobrze, w takim razie znajd kabel sieciowy z tyu komputera. Znalazem. Zobacz, gdzie jest wpity, i czy jest jaka nalepka nad tym gniazdkiem. Poczekaj chwil. Tak, moment... Musz si schyli, eby to odczyta. Tu pisze tak: port 6 mylnik 47. Zgadza si mam ci przypisanego do tego portu, ale chciaem si upewni.

68

Druga rozmowa: informatyk

Dwa dni pniej odzywa si telefon w Centrum Zarzdzania Sieci tej samej firmy. Cze, mwi Bob. Jestem wanie w biurze Toma DeLaya z ksigowoci. Mamy tu problem z kablami. Potrzebuj chwilowej dezaktywacji portu 6-47. Informatyk powiedzia, e zrobi to w cigu paru minut i eby da mu zna, kiedy bdzie mg aktywowa port z powrotem.

Trzecia rozmowa: pomocna do intruza

Kiedy godzin pniej czowiek podajcy si za Eddieego Martina robi zakupy w Circuit City, zadzwonia jego komrka. Spojrza na wywietlacz i zobaczy numer ze stoczni. Przed odebraniem telefonu szybko poszuka cichego miejsca. Serwis, tu Eddie. Cze Eddie. Ale echo! Gdzie ty jeste? Siedz w skrzynce z kablami. Kto mwi? Tom DeLay. Cae szczcie, e mam kontakt z tob. Moe pamitasz, dzwonie do mnie ostatnio? Moje poczenie sieciowe wanie si zerwao, tak jak mnie ostrzegae i teraz troch panikuj. Tak. Zerwao si u wikszej iloci osb. Powinnimy to naprawi do czasu, gdy wrcisz z lunchu. Pasuje? Nie! Cholera. Jeeli nie bd mia poczenia tak dugo, zostan w lesie. Nie daoby si szybciej? Jak bardzo ci si spieszy? Przez moment mog robi co innego. Daoby si to uruchomi w cigu p godziny? P godziny?! Ciko bdzie... No dobra, przerw na chwil moj robot i zobacz, czy da si to zaatwi. Eddie, bd ci naprawd wdziczny. Czwarta rozmowa: mam ci! Czterdzieci pi minut pniej... Tom? Tu Eddie. Sprbuj si poczy z sieci. Po kilku chwilach...

69

 O! Dziaa! Wspaniale! To dobrze. Ciesz si, e mogem ci pomc. Bardzo ci dzikuje. Suchaj, jeeli chcesz mie pewno, e nie bd ci si zrywa poczenia, mam taki program, ktry powiniene uruchomi. To nam zajmie par minut. Nie za bardzo mam teraz czas. Rozumiem... W kadym razie mogoby to zaoszczdzi nam podobnym problemw w przyszoci. No dobrze. Jeli to tylko kilka minut... Oto co masz zrobi... W tym momencie Eddie przeprowadzi Toma przez kolejne kroki instalacji maej aplikacji cignitej z Internetu. Po pobraniu programu Eddie powiedzia Tomowi, aby go uruchomi. Tom zrobi to, po czym stwierdzi: Nie dziaa. Nic si nie dzieje. Co musi by nie tak z tym programem. Odinstalujmy go, sprbujemy kiedy indziej Eddie przeprowadzi Toma przez deinstalacj programu tak, aby nie mona go byo przywrci. Czas trwania operacji: 12 minut.

Wersja napastnika
Bobbiego Wallacea zawsze bawio, kiedy po zleceniu mu jakiej roboty klient unika wyjanienia, do czego potrzebna jest mu ta informacja. W tej sprawie przychodziy mu do gowy tylko dwa moliwe powody. By moe klient reprezentowa jak grup zainteresowan zakupem firmy Starboard Shipbuilding i chcia zorientowa si w rzeczywistej kondycji finansowej przedsibiorstwa ze szczeglnym uwzgldnieniem tych danych, ktre stocznia chciaaby ukry przed potencjalnym kupujcym. Moliwe te, e reprezentowa inwestorw, ktrym podejrzany wyda si sposb zarzdzania finansami i ktrzy chcieli sprawdzi, czy kto z zarzdu nie defrauduje pienidzy firmy. A moe klient nie chcia poda prawdziwego powodu zlecenia, poniewa gdyby Bobby dowiedzia si, jak wartociowa jest szukana przez niego informacja, zadaby wicej pienidzy za swoj robot. Istnieje wiele sposobw na zdobycie najpilniej strzeonych danych firmy.

70

Bobby spdzi kilka dni, zastanawiajc si, jak metod wybra, i sprawdzajc rne moliwoci przed podjciem ostatecznej decyzji. W kocu wybra metod wymagajc podejcia, ktre szczeglnie lubi stosowa: zmanipulowanie ofiary w taki sposb, aby sama zwrcia si do niego z prob o pomoc. Na pocztku Bobby kupi w sklepie 7-Eleven telefon komrkowy za 39,95 $. Nastpnie zadzwoni do osoby, ktr upatrzy sobie jako ofiar, przedstawiajc si jako firmowy serwisant, po czym zaaranowa sytuacj tak, aby czowiek ten zadzwoni na jego komrk w chwili, gdy wystpi jaki problem z sieci komputerow. Potem przeczeka dwa dni, aby sprawa wygldaa bardziej naturalnie, i wykona telefon do Centrum Zarzdzania Sieci firmy. Owiadczy, e usuwa problem dla Toma swojej ofiary i poprosi o dezaktywacj jego poczenia sieciowego. Bobby wiedzia, e byo to najtrudniejsz czci caej akcji w wielu firmach serwisanci cile wsppracuj z centrami zarzdzania sieci albo serwis wrcz naley do dziau informatyki. Okazao si jednak, e informatyk potraktowa ten telefon rutynowo i, nie pytajc o nazwisko serwisanta, ktry twierdzi, e rozwizuje jaki problem z sieci, zgodzi si na dezaktywacj portu. Z chwil, kiedy to zrobi, Tom zosta odcity od wewntrznej sieci firmy, pozbawiony moliwoci pobierania plikw z serwera, ich wymiany ze wsppracownikami, odbierania poczty, a nawet wydrukowania dokumentu. W dzisiejszym wiecie oznacza to niemale powrt do jaskini. Wkrtce, jak spodziewa si Bobby, zadzwoni telefon. Oczywicie by chtny do okazania pomocy odcitemu od wiata koledze. Zadzwoni do Centrum Zarzdzania Sieci i poprosi o ponown aktywacj portu swojej ofiary. Nastpnie zadzwoni do Toma jeszcze raz i ponownie zmanipulowa go tak, aby ten poczu si winny, odmawiajc zrobienia przysugi Bobbiemu. W kocu Tom przemyla propozycj Bobbiego jeszcze raz i zgodzi si na skopiowanie programu z sieci na swj komputer. Oczywicie nie zdawa sobie sprawy, na co tak naprawd si zgadza. Program, ktry mia zapobiega zrywaniu pocze sieciowych, by w rzeczywistoci koniem trojaskim aplikacj, ktra zadziaaa w komputerze Toma dokadnie tak samo, jak mitologiczny ko trojaski wpucia wroga do obozu. Tom stwierdzi po uruchomieniu programu, e nic si nie dzieje. Tak naprawd aplikacja bya stworzona w taki sposb, e nie wykazywaa adnych objaww dziaania nawet wtedy, gdy instalowaa ukryty program, umoliwiajcy szpiegowi utajony dostp do komputera.

71

argon
Ko trojaski program zawierajcy kod, ktry niszczy atakowany komputer lub pliki albo umoliwia dostp do informacji znajdujcych si na komputerze ofiary lub w sieci lokalnej. Niektre konie trojaskie ukrywaj si w systemie operacyjnym i skanuj nacinicia klawiszy lub wykonywane przez pracownika czynnoci. Inne same podejmuj jakie dziaania. Waciciel komputera nie zdaje sobie sprawy z obecnoci takiego programu w systemie.

Po uruchomieniu programu, Bobby uzyska pen kontrol nad komputerem Toma. Uzyskawszy do niego dostp, przez zdalne okno polece, mg przeglda i kopiowa dane ksigowe. Nastpnie bez popiechu mg analizowa pobrane pliki w poszukiwaniu informacji, na ktre liczyli jego zleceniodawcy.

argon
Zdalne okno polece interfejs tekstowy, ktry akceptuje polecenia powodujce wykonywanie pewnych funkcji lub uruchamianie programw. Napastnik, ktry szuka technicznych luk w systemie lub jest w stanie zainstalowa konia trojaskiego na komputerze ofiary, moe rwnie uzyska zdalny dostp do powoki polece.

To nie wszystko. W kadej chwili mg wrci, aby przeczyta wiadomoci pocztowe i prywatne notatniki szefostwa firmy, szukajc sw kluczowych, ktre mogy go doprowadzi do interesujcych informacji. Wieczorem tego samego dnia, w ktrym namwi swoj ofiar na zainstalowanie konia trojaskiego, Bobby wyrzuci komrk na mietnik. Oczywicie wczeniej wykasowa pami telefonu i wycign z niego bateri ostatni rzecz, jakiej chcia, byo to, eby kto pomykowo wybra ten numer i komrka zacza dzwoni.

Analiza oszustwa
Napastnik osacza ofiar, przekonujc j, e ma problem, ktry tak naprawd nie istnieje, albo, tak jak w tym przypadku, informuje o problemie,

72

ktry jeszcze nie wystpi, ale wystpi w najbliszej przyszoci (o co ju zadba sam napastnik). Nastpnie atakujcy ogasza si czowiekiem, ktry moe ten problem rozwiza. Tego rodzaju podstp jest szczeglnie korzystny dla atakujcego: poniewa grunt zosta przygotowany wczeniej, ofiara kiedy tylko odkryje, e zaczynaj si kopoty sama zadzwoni do napastnika, proszc o pomoc. Napastnik po prostu czeka na telefon taktyka ta jest znana jako socjotechnika zwrotna. Napastnik, ktry jest w stanie przekona ofiar, aby do niego zadzwonia, zyskuje natychmiastowe zaufanie: gdy dzwoni do kogo, o kim myl, e jest serwisantem, na pewno nie bd mu zadawa pyta sprawdzajcych jego tosamo. Atakujcy zdy ju sobie na ni zapracowa.

argon
Socjotechnika zwrotna atak socjotechniczny, gdy napastnik kreuje sytuacj, w ktrej ofiara zauwaa jaki problem i kontaktuje si z napastnikiem, proszc o pomoc. Inna forma socjotechniki zwrotnej polega na odwrceniu rl. Ofiara orientuje si, e zostaa zaatakowana i, korzystajc z wiedzy psychologicznej i wywierajc wpyw na napastnika, stara si wycign od niego jak najwicej informacji, w celu ochrony wasnej firmy.

Stosujc tego rodzaju sztuczk, socjotechnik stara si wybra jako ofiar osob z ma znajomoci komputerw. Im wicej ona wie, tym bardziej prawdopodobne jest to, e zacznie co podejrzewa lub po prostu zorientuje si, e jest manipulowana. Pracownik, ktremu obsuga komputera sprawia trudnoci, ktry nie zna procedur ani zasad dziaania, atwiej bdzie poddawa si woli napastnika. Osoba taka atwiej da si nabra na podstp w rodzaju: Czy mgby cign ten may programik?, poniewa nie ma pojcia o potencjalnych szkodach, jakie taki program mgby wyrzdzi. Co wicej, jest o wiele mniejsza szansa, e zdaje ona sobie spraw z wagi informacji, jakie znajduj si w sieci firmy i z ryzyka zwizanego z ich udostpnieniem.

Uwaga Mitnicka
Jeeli obcy wywiadcza Ci przysug, a nastpnie prosi Ci o przysug, nie rewanuj si bez zastanowienia si nad tym, o co waciwie zostae poproszony.

73

Pomagamy nowym pracownikom

Nowi pracownicy to doskonay cel ataku. Nie znaj oni jeszcze wielu swoich wsppracownikw, nie znaj procedur i zasad obowizujcych w firmie. W imi wywoania dobrego pierwszego wraenia chtnie okazuj swoj ch do wsppracy i szybko dziaania.

Pomocna Andrea
Dzia kadr, Andrea Calhoun. Cze Andrea, mwi Alex z wydziau bezpieczestwa. Tak? Jak si dzi miewasz? Dobrze. W czym mog ci pomc? Suchaj, opracowujemy program szkolenia z zakresu bezpieczestwa dla nowych pracownikw i musimy zgromadzi par osb, eby go wyprbowa. Potrzebne mi s nazwiska i numery telefonw wszystkich nowo przyjtych osb. Moesz mi jako pomc? OK, ale dopiero dzi po poudniu. Moe by? Jaki jest twj wewntrzny? Pewnie e moe by, wewntrzny 52... hmm, ale w zasadzie dzi cay dzie jestem na spotkaniach. Zadzwoni do ciebie, kiedy wrc do biura, prawdopodobnie po czwartej. Kiedy Alex zadzwoni okoo 16:30, Amy miaa ju list i odczytaa mu nazwiska oraz numery wewntrzne.

Wiadomo dla Rosemary

Rosemary Morgan bya zachwycona swoj now prac. Nigdy wczeniej nie pracowaa w gazecie, a ludzie tutaj byli znacznie milsi, ni moga si tego spodziewa. Byo to zaskakujce wobec stresu w jakim pracuj, aby dotrzyma comiesicznego terminu wydania kolejnego numeru. Telefon, jaki otrzymaa rankiem ktrego czwartku, utwierdzi j w tym przekonaniu. Czy to Rosemary Morgan?

74

 Tak. Cze Rosemary. Mwi Bili Jorday z dziau bezpieczestwa informacji. Tak? Czy kto z twojego wydziau omawia z tob praktyki bezpieczestwa? Raczej nie. Dobrze. Wic tak: po pierwsze nie wolno nikomu instalowa oprogramowania przyniesionego spoza firmy. To dlatego, e nie chcemy bra odpowiedzialnoci za korzystanie z nielicencjonowanego oprogramowania, a przy okazji chodzi o uniknicie problemw z wirusami. Rozumiem. Czy syszaa o naszych zaleceniach zwizanych z poczt elektroniczn? Nie. Jaki jest aktualny adres twojej skrzynki? Rosemary@ttrzine.net. Czy wchodzisz na swoje konto poprzez nazw uytkownika Rosemary? Nie. R-pokrelenie-Morgan. Dobrze. Chcemy uwiadomi wszystkim nowym pracownikom, e otwieranie nieoczekiwanych zacznikw jest niebezpieczne. Rozsyanych jest wiele wirusw, a docieraj one do nas w wiadomociach od znajomych osb. Dlatego, jeeli otrzymasz wiadomo z zacznikiem, ktrego si nie spodziewaa, powinna zawsze sprawdzi, czy nadawca rzeczywicie sam go przesa. Jest to dla ciebie jasne? Tak. Syszaam o tym. Dobrze. Zalecamy rwnie zmian hasa co dziewidziesit dni. Kiedy ostatnio zmieniaa haso? Pracuje tu dopiero od trzech tygodni i cay czas uywam tego, ktre wybraam na pocztku. W porzdku. Moesz poczeka, a upynie reszta z tych 90 dni. Musimy si te upewni, czy ludzie ustalaj hasa, ktre nie s zbyt atwe do odgadnicia. Czy uywasz hasa, ktre zawiera litery i cyfry? Nie. W takim razie musimy to poprawi. Jakie jest twoje obecne haso? To imi mojej crki Annette. To nie jest bezpieczne haso. Nigdy nie powinna wybiera hase, ktre w jaki sposb s zwizane z danymi osobowymi dotyczcymi ciebie czy

75

czonkw twojej rodziny. Niech pomyl... mogaby robi to samo co ja. Moesz uywa obecnego hasa jako pierwszej czci i potem, za kadym razem, kiedy je zmieniasz, dodawa numer biecego miesica. A jeeli zmieni teraz, w marcu, powinnam uy cyfry 3 czy 03? To zaley od ciebie. Ktry wariant jest dla ciebie wygodniejszy? Myl, e Annette-trzy. Dobrze. Czy mam ci poprowadzi przez zmian hasa? Nie, to ju umiem. wietnie. Jeszcze jedna rzecz, o ktrej musimy porozmawia. Na twoim komputerze zainstalowany jest program antywirusowy i wane jest jego aktualizowanie. Nigdy nie powinna wycza automatycznej aktualizacji, nawet gdy twj komputer chwilami zwalnia, dobrze? Jasne. To bardzo dobrze. Czy masz u siebie numer telefonu do nas, aby moga dzwoni w sprawie problemw z komputerem? Nie miaa. Rozmwca poda jej numer telefonu, ktry uwanie zapisaa i wrcia do pracy, znw zadowolona ze sposobu, w jaki si j tu traktuje.

Analiza oszustwa
W historii tej ponownie zwracam szczegln uwag czytelnika na kwesti przewijajc si przez ca ksik: najbardziej typow informacj, jak socjotechnik bdzie chcia uzyska od pracownika niezalenie od ostatecznego celu ataku, bd jego dane uwierzytelniajce. Majc nazw uytkownika i haso jednego z pracownikw odpowiedniego dla siebie dziau firmy, napastnik dysponuje podstawowym elementem pomagajcym w dostaniu si do systemu i zlokalizowaniu podanej informacji. Posiadanie tych danych to jak posiadanie klucza do bram zamku. Dziki nim mona swobodnie porusza si wewntrz i odnale szukany skarb.

Uwaga Mitnicka
Przed umoliwieniem nowym pracownikom jakiegokolwiek dostpu do systemu komputerowego firmy, musz oni by przeszkoleni w zakresie bezpieczestwa. Szczeglny nacisk naley pooy na to, by nigdy nie wyjawiali swoich hase.

76

Nie tak bezpieczne, jak mogoby si wydawa

Firma, ktra nie czyni adnych wysikw, aby zabezpieczy swe poufne informacje, jest firm nonszalanck. Tak naprawd nawet te firmy, ktre dokadaj stara w celu ochrony poufnych danych, mog by naraone na powane niebezpieczestwo. Oto historia, ktra ilustruje raz jeszcze, jak zarzdzajcy firmami oszukuj samych siebie, mylc, e stosowane w nich metody zabezpiecze, stworzone przez kompetentnych i dowiadczonych fachowcw, s nie do obejcia.

Historia Stevea Cramera

Trawnik nie by duy. Na pewno nie nalea do tych drogich i tak rozlegych, e a budzcych zazdro. Z pewnoci nie by nawet na tyle duy, aby jego waciciel mg usprawiedliwi zakup kosiarki samobienej. Zreszt Steve i tak by z niej nie korzysta. Lubi cina traw kos elektryczn, poniewa wysiek z tym zwizany dawa mu wygodn wymwk pozwalajc skupi si na wasnych mylach i nie sucha Anny opowiadajcej mu historie o ludziach z banku, gdzie pracowaa, lub obmylajcej dla niego zadania do zaatwienia. Nienawidzi tych jej list pod tytuem Kochanie, zrb:, ktre stay si integralnym skadnikiem jego weekendw. Przez gow przeleciaa mu myl, e jego 12-letni Pete by szalenie sprytny, zapisujc si do druyny pywackiej. Teraz mg bywa w kad sobot na spotkaniach lub treningach, co uwalniao go od sobotnich obowizkw w domu. Niektrym mogoby si wydawa, e jego praca polegajca na projektowaniu nowych urzdze dla firmy medycznej GeminiMed bya nudna. Steve zdawa sobie jednak spraw, e ratuje ludzkie istnienia. Uwaa, e jego praca jest kreatywna. Artyci, muzycy, kompozytorzy i inynierowie wszyscy oni zdaniem Stevea stawali przed podobnym wyzwaniem jak on: tworzyli co, czego nikt wczeniej nie zrobi. Najnowsze dziecko odkrywczy, niekonwencjonalny projekt sztucznej Zastawki serca by jego najwikszym osigniciem i powodem do dumy. Bya niedziela, godzina 11:30. Steve by rozdraniony, bo wanie koczy cinanie trawy i nie uczyni adnego postpu w obmylaniu sposobu na

77

zredukowanie poboru mocy zastawki ostatniej przeszkody do pokonania w projekcie. By to idealny temat do rozmyla podczas koszenia, ale rozwizanie nie nadeszo. *** W drzwiach pojawia si Anna z wosami zawinitymi w prkowany, czerwony szal, ktry nosia zawsze podczas odkurzania. Telefon! krzykna do niego. Kto z pracy. Kto? odkrzykn Steve. Ralph co tam. Chyba. Ralph? Steve nie pamita nikogo z GeminiMed, kto miaby na imi Ralph i miaby po co dzwoni do niego w weekend. Prawdopodobnie Anna le usyszaa imi. Steve, tu mwi Ramon Perez z serwisu. Ramon. Jakim cudem Annie udao si zamieni to hiszpaskie imi na Ralpha, zastanawia si Steve. Mam krtk wiadomo mwi Ramon. Trzy serwery przestay dziaa, by moe to wirus. Bdziemy musieli skasowa dyski i przywrci dane z kopii zapasowych. Powinno nam si uda przywrci paskie pliki okoo rody, czwartku, jeeli wszystko pjdzie zgodnie z planem. To jest absolutnie nie do przyjcia powiedzia twardo Steve, prbujc nie poddawa si ogarniajcej go frustracji. Czy oni naprawd s tacy gupi? Czy naprawd myl, e poradzi sobie bez dostpu do plikw przez cay weekend i wiksz cz przyszego tygodnia? Nie ma mowy. Mam zamiar usi przed moim domowym komputerem za okoo dwie godziny i bd potrzebowa dostpu do moich plikw. Czy wyraam si jasno? No c, wszyscy, do ktrych dotychczas dzwoniem, chc by pierwsi w kolejnoci. Nie do, e musiaem przyj w weekend do pracy, eby to naprawi, to kady, do ktrego dzwoni, ma pretensje wanie do mnie. Mam napity termin, firma czeka na mj projekt. Musz to zrobi dzi po poudniu. Czy jest w tym co niezrozumiaego? Musz jeszcze obdzwoni mnstwo osb, zanim w ogle zaczn co robi powiedzia Ramon. A gdybym przywrci te pliki na wtorek? Nie na wtorek, nie na poniedziaek, na dzi. Teraz! powiedzia Steve, zastanawiajc si, do kogo zadzwoni, jeeli nie uda mu si przemwi facetowi do rozumu. Dobrze ju, dobrze powiedzia Ramon i Steve usysza jego poirytowane westchnicie. Zobaczmy, co da si zrobi w pana sprawie. Pan ko-

78

rzysta z serwera RM22, tak? RM22 i LC16. Korzystam z obydwu. Dobrze. Mog pj na skrty, zaoszczdzimy troch czasu. Potrzebuj pask nazw uytkownika i haso. Hmm pomyla Steve. Co jest grane? Po co mu moje haso? Dlaczego gwny administrator pyta si mnie o takie rzeczy? Mgby pan powtrzy swoje nazwisko? Pod kogo pan podlega? Ramon Perez. Prosz posucha. Kiedy przyjmowa si pan do pracy, dosta pan formularz do wypenienia, aby otworzyli panu konto i musia pan tam wpisa rwnie haso. Mog teraz znale ten formularz i pokaza, e mamy go tu w dokumentach, dobrze? Steve myla nad tym par chwil, po czym zgodzi si. Czeka z rosnc niecierpliwoci, gdy Ramon poszed wycign dokument z szafy. W kocu wrci do telefonu. Steve sysza, jak przeczesuje stert papierw. O! Jest powiedzia w kocu Ramon. Wpisa pan tu haso Janice. Janice pomyla Steve. To byo imi jego matki i rzeczywicie czasami uywa go jako hasa. Moliwe, e wpisa je rwnie jako haso przy wypenianiu tego formularza. Zgadza si potwierdzi. To dobrze, bo tracimy tu czas. Wie pan teraz, e istniej naprawd. Chce pan, ebym poszed na skrty i przywrci natychmiast pana pliki, wic prosz mi w tym pomc. Moja nazwa uytkownika to s-podkrelenie-cramer c-r-a-m-e-r. Haso to pelican1. Zabieram si do roboty powiedzia Ramon, wydajc si ju bardziej skorym do pomocy. Prosz mi da dwie godziny. Steve skoczy koszenie trawnika, zjad lunch i kiedy usiad do komputera, okazao si, e wszystkie jego pliki s przywrcone. By zadowolony z siebie, e potraktowa siowo niechtnego do pomocy informatyka i mia nadziej, e Anna syszaa, jaki potrafi by asertywny. Pomyla, e dobrze by byo da teraz informatykowi lub jego szefowi pochwa, ale wiedzia, e to jedna z tych rzeczy, za ktr nigdy nie moe si zabra.

79

Historia Craiga Cogburnea

Craig Cogburne by przedstawicielem handlowym firmy sprzedajcej zaawansowan technologi i wykonywa swoj prac dobrze. Szybko zacz zdawa sobie spraw ze swojej umiejtnoci rozszyfrowywania klienta, rozpoznawania jego sabych i silnych punktw i wraliwoci danej osoby, sowem: cech, ktrych znajomo mogaby uatwi zawarcie transakcji. Zacz wic myle o innych sposobach wykorzystania swojego talentu i droga ta doprowadzia go do bardziej lukratywnego zajcia, ktrym jest szpiegostwo przemysowe. *** Zlecenie byo atrakcyjne. Nie wygldao na takie, ktre zajmie mi duo czasu, a warte byo tyle, e mona byo za nie spokojnie opaci wycieczk na Hawaje lub Tahiti. Czowiek, ktry mnie wynaj, nie wyjawi, kto w rzeczywistoci jest moim klientem, ale wygldao na to, e jest to firma, ktra pragnie dogoni konkurencj za pomoc jednego skoku naprzd. Do mnie naleao jedynie zdobycie projektw i specyfikacji nowego produktu zwanego sztuczn zastawk serca, cokolwiek to oznacza. Firma nazywaa si GeminiMed. Nigdy o niej nie syszaem, ale bya dua, z biurami w szeciu rnych miejscach co czynio moje zadanie znacznie atwiejszym ni w przypadku maej firmy, gdzie istnieje spora szansa, e czowiek, z ktrym rozmawiamy, zna osob, za ktr si podajemy, i zorientuje si, e my to nie ona. Moe to nam jak mawiaj piloci o powietrznej kolizji popsu humor na cay dzie. Czowiek, ktry mnie wynaj, wysa mi faks z wycinkiem z jakiego czasopisma medycznego, mwicy o tym, e GeminiMed pracuje nad zastawk o rewolucyjnej konstrukcji, ktra bdzie nazywa si SHT-100. Okazao si, e jaki reporter zdy wykona ju za mnie cz pracy. Miaem ju jedn z rzeczy, ktrymi musz dysponowa, zanim zaczn dziaa. Pierwszy problem to zdobycie nazwisk ludzi w firmie, ktrzy pracuj nad SHT-100 lub maj obowizek przegldania projektw. Zadzwoniem do centrali firmy i powiedziaem: Obiecaem, e skontaktuj si z pewnym czowiekiem z waszego wydziau inynieryjnego, ale zapomniaem jego nazwiska. Pamitam tylko, e jego imi zaczynao si na liter S. Mamy tu Scotta Archera i Sama Davidsona stwierdzia pracownica centrali.

80

Poszedem na cao: Ktry z nich pracuje w grupie SHT-100? Nie wiedziaa, wic wybraem Scotta Archera jako pierwszego z brzegu i zostaem z nim poczony. Kiedy podnis suchawk, powiedziaem: Cze, tu Mik z obsugi poczty. Mamy tu przesyk kuriersk adresowan na grup pracujc nad zastawk serca SHT-100. Nie wiesz, komu to dostarczy?. Poda mi nazwisko szefa projektu Jerryego Mendela. Skoniem go rwnie do tego, by poda mi jego numer telefonu. Zadzwoniem. Mendela nie byo, ale jego komunikat w poczcie gosowej informowa, e jest na urlopie do trzynastego, co oznaczao, e jeszcze przez tydzie bdzie jedzi sobie na nartach i odpoczywa, a kady, kto ma do niego jak spraw, powinien zadzwoni do Michelle pod numer 9137. Jake ci ludzie bywaj pomocni. Zadzwoniem zatem do Michelle. Kiedy odebraa, powiedziaem: Tu Bill Thomas. Jeny powiedzia mi, e mam do pani zadzwoni, kiedy bd mia specyfikacje, ktre maj przejrze ludzie z jego grupy. Pani jest z grupy pracujcej nad zastawk, tak? Michelle odpowiedziaa twierdzco. Teraz przyszed czas na wykonanie najtrudniejszej figury w tacu. Jeeli wyczubym w jej gosie podejrzliwo, byem gotw tumaczy si, e prbuj jedynie wywiadczy Jerryemu przysug, o ktr mnie prosi. Na jakim systemie pracujecie? zapytaem. Systemie? Jakich serwerw uywa wasza grupa? Aha powiedziaa. RM22. Cz grupy korzysta te z LC16. Udao si. Tego wanie potrzebowaem i bya to informacja, ktr mogem uzyska bez zbytniego wzbudzania podejrze. To przygotowao grunt pod nastpne pytanie, ktre staraem si zada jak najnaturalniej. Jerry powiedzia, e pani moe mi da list adresw e-mail czonkw grupy badawczej powiedziaem i wstrzymaem oddech. Oczywicie. Lista dystrybucyjna jest za duga, eby j przedyktowa. Mog j panu przesa e-mailem? Stop! Kady adres mailowy, ktry nie koczy si na geminimed.com, mg wczy sygna ostrzegawczy. A moe mi j pani przefaksowa? spytaem. Nie widziaa w tym adnego problemu. Nasz faks chwilowo nie dziaa. Musz zdoby numer drugiego. Zadzwoni jeszcze raz za chwil powiedziaem i odoyem suchawk.

81

Wydawa by si mogo, e mam w tym momencie pewien problem. Rozwizanie go byo jednak bardzo proste. Poczekaem chwil, aby mj gos nie wyda si znajomy recepcjonistce, zadzwoniem i powiedziaem: Cze, tu Bill Thomas, nasz faks przesta dziaa, czy mog odebra faks na waszym aparacie? Powiedziaa, e nie ma problemu, i daa mi numer. I wtedy poszedem tam odebra faks? Oczywicie, e nie. Regua numer jeden: nigdy nie skadaj osobistych wizyt w siedzibie firmy, jeeli nie jest to absolutnie konieczne. Nie jest atwo zidentyfikowa kogo, kto jest tylko gosem w telefonie. A jeeli nie mona ci zidentyfikowa, nie mona ci aresztowa. Trudno zaoy rozmwcy telefonicznemu kajdanki. Zadzwoniem wic za chwil ponownie do recepcjonistki i zapytaem, czy przyszed mj faks. Tak. Mam prob powiedziaem. Musz to wysa do naszego konsultanta. Mogaby to dla mnie zrobi? Zgodzia si. Zreszt dlaczego miaaby si nie zgodzi trudno oczekiwa od kadej recepcjonistki umiejtnoci rozpoznawania poufnych danych. Podczas gdy wysyaa faks do konsultanta, mogem rozprostowa koci, udajc si do pobliskiego sklepiku, na ktrym widnia szyld: Faksy wysyanie, odbieranie. Spodziewaem si, e mj faks dotrze tam przede mn. Tak te si stao gdy wkroczyem do sklepu, ju na mnie czeka. Sze stron po 1,75$ kada. Za jeden banknot dziesiciodolarowy i troch drobnych miaem w rkach list e-maili wszystkich czonkw grupy badawczej.

Wamanie do systemu
Jak na razie rozmawiaem z trzema lub czterema osobami w cigu kilku godzin i byem o jeden milowy krok bliej dostania si do systemu komputerowego firmy. Potrzebowaem jednak wci paru informacji. Po pierwsze, numer telefonu do czenia si z serwerem z zewntrz. Zadzwoniem znowu do GeminiMed, poprosiem recepcjonistk o poczenie z dziaem informatyki i poprosiem czowieka, ktry tam podnis suchawk o poczenie z kim, kto moe mi udzieli pomocy w zwizku z komputerem. Przeczy mnie, a ja zaczem udawa osob zagubion i niezbyt lotn w kwestiach technicznych. Jestem w domu, wanie przyniosem z pracy nowy laptop i musz go

82

skonfigurowa, eby mc czy si z zewntrz. Konfiguracja bya prosta, ale pozwoliem cierpliwie poprowadzi si przez ni, aby otrzyma upragniony numer. Informatyk poda mi go, jakby to bya jeszcze jedna rutynowa informacja. Poprosiem go jeszcze, by poczeka, a sprawdz, czy dziaa. Dziaa. Przeskoczyem jeszcze jedn barier i mogem poczy si z sieci. Zrobiem to i odkryem, e ich terminal umoliwia poczenie si z kadym z komputerw w sieci wewntrznej. Po kilku prbach natrafiem na czyj komputer, na ktrym zaoone byo konto dla goci skonfigurowane tak, e nie byo koniecznoci podawania hasa. Niektre systemy operacyjne po pierwszej instalacji nakazuj uytkownikowi ustalenie nazwy uytkownika i hasa, ale tworz rwnie konto dla goci. Uytkownik powinien ustali odrbne haso dla tego konta lub je dezaktywowa, ale wikszo ludzi nie zadaje sobie tego trudu lub wrcz nie wie o istnieniu tego konta. Prawdopodobnie system by tu wieo zainstalowany i uytkownik nie wyczy jeszcze konta dla goci. Dziki temu kontu miaem teraz dostp do jednego z komputerw, ktry, jak si okazao, pracowa na starszej wersji systemu operacyjnego UNIX. System ten przechowuje plik, ktry zawiera zaszyfrowane hasa wszystkich uytkownikw majcych dostp do komputera. Wszystkie hasa w tym pliku s haszowane jednokierunkowo (jest to nieodwracalna forma szyfrowania). Po haszowaniu jednokierunkowym rzeczywiste haso jest przechowywane w formie zaszyfrowanej. W tym przypadku zostaje ono przekonwertowane na cig trzynastu znakw alfanumerycznych.

argon
Haszowanie hasa proces, w wyniku ktrego haso zostaje zamienione na posta niezrozumia. Proces ten jest z zaoenia nieodwracalny, innymi sowy zakada si, e rekonstrukcja hasa po haszowaniu jest niemoliwa.

Gdy kto chce przesa pliki do komputera, musi si zidentyfikowa, podajc nazw uytkownika i haso. Systemowy program uwierzytelniajcy szyfruje haso i porwnuje wynik z przechowywanym w pliku hase zaszyfrowanym wzorcem. Jeeli dwa cigi s takie same, uytkownik uzyskuje dostp. Jako e hasa w pliku s zaszyfrowane, sam plik jest udostpniony dla kadego, zgodnie z zaoeniem, e nikt nie potrafi odszyfrowa zawartych

83

tam hase. mieszne domniemanie pobraem plik i potraktowaem go atakiem sownikowym (w rozdziale 12. mona przeczyta wicej o tej metodzie), by przekona si, e jeden z czonkw zespou badawczego, Steve Cramer, mia konto z hasem Janice. Prbujc szczcia, wpisaem jego nazw uytkownika i haso na jednym z serwerw badawczych. Jeeli to by zadziaao, oszczdzibym troch czasu i ryzyka. Niestety, nie udao si. Oznaczao to, e musz tego czowieka jako przechytrzy, aby poda mi swoj nazw uytkownika i haso. Postanowiem poczeka z tym do weekendu. Reszt ju znamy. W sobot zadzwoniem do Cramera i opowiedziaem mu histori o wirusie na serwerach i koniecznoci odzyskania dartych z kopii zapasowych, aby zgasi w nim ewentualne podejrzenia. A co z bajk, ktr opowiedziaem mu o podawaniu hasa na jednym z formularzy z chwil przyjmowania si do pracy? Po prostu liczyem na to, e nie bdzie pamita, e co takiego nigdy nie miao miejsca. Nowo przyjty pracownik wypenia tak wiele formularzy, e po latach trudno przypomnie sobie kad rubryk. Gdyby mi si nie powiodo, i tak dysponowaem jeszcze dug list nazwisk. Majc jego nazw uytkownika i haso, dostaem si na serwer, troch powszyem i wkrtce odnalazem pliki z projektem SHT-100. Nie byem pewny, ktre z nich s kluczowe, przetransferowaem wic wszystkie do martwego punktu zrzutu darmowej witryny FTP w Chinach, gdzie mogy by przechowywane bez wzbudzania wikszych podejrze. Teraz mj klient musia odnale wrd plikw interesujce go informacje.

argon
Martwy punkt zrzutu miejsce przechowywania informacji, trudne do odnalezienia dla innych. W wiecie tradycyjnych szpiegw moga to by obluzowana cega w cianie w wiecie hakerw jest to zwykle strona internetowa w odlegym kraju.

Analiza oszustwa
Dla czowieka, ktrego nazywamy tu Craigiem Cogburneem, lub dla kogokolwiek obeznanego w sztuce socjotechniki opisane tu dziaanie jest pra-

84

wie rutynowe. Celem byo zlokalizowanie i pobranie plikw przechowywanych na chronionym przez firewalle i inne systemy zabezpieczajce komputerze firmowym. Wikszo jego zadania bya prosta jak apanie deszczwki do wiadra. Na pocztku Craig uda, e jest z obsugi poczty, i mwic o przesyce kurierskiej, nada sprawie posmak pilnoci. To oszustwo doprowadzio go do nazwiska lidera grupy badawczej pracujcej nad zastawk serca, ktry by co prawda na urlopie, ale zapewne dla wygody zodziei informacji zostawi nagranie z nazwiskiem i numerem telefonu do Michelle. Podczas rozmowy z ni Craig rozwia wszelkie podejrzenia, owiadczajc, e odpowiada na prob szefa grupy. Jako e szef by na urlopie, Michelle nie miaa moliwoci weryfikacji jego sw. Uwierzya w nie i bez problemu zgodzia si udostpni Craigowi wan i cenn informacj list adresw e-mail czonkw grupy. Nie nabraa podejrze nawet wtedy, gdy Craig poprosi o przesanie listy faksem zamiast poczt elektroniczn, ktry to sposb zwykle jest dla obu stron wygodniejszy. Dlaczego bya taka naiwna? Poniewa szef po powrocie z urlopu mgby si dowiedzie, e jego podwadny utrudnia komu wykonanie zleconego przez niego zadania. Poza tym rozmwca powiedzia, e szef nie tylko popiera jego prob, ale prosi go o pomoc. Kolejny przykad osoby, ktra chce okaza si dobrym wsppracownikiem i przez to staje si atwym celem ataku. Craig unikn ryzyka zwizanego z osobistym pojawieniem si w budynku firmy, sprawiajc, e faks zosta przesany do recepcjonistki (zdawa sobie spraw z jej chci do pomocy). W kocu recepcjonistkami s zwykle osoby o czarujcej osobowoci. Drobne przysugi, takie jak przesanie czy odebranie faksu, to dla recepcjonistki rzecz naturalna, z czego skwapliwie skorzysta Craig. To, co zawiera faks, mogo zaalarmowa kadego, kto zna warto tej informacji nie mona jednak wymaga od recepcjonistki umiejtnoci odrniania informacji poufnych od nie majcych wartoci. Korzystajc z innego sposobu manipulacji, Craig uda zagubionego i naiwnego, aby uzyska od informatyka numer dostpowy do firmowego serwera terminala urzdzenia czcego wszystkie systemy komputerowe wewntrz firmy. Craig poczy si atwo z sieci, prbujc domylnego hasa, ktre nie zostao zmienione. Jest to jedna z ewidentnych luk, ktre istniej w wielu sieciach wewntrznych zabezpieczonych firewallami. Domylne hasa do wielu systemw operacyjnych, routerw i podobnych urzdze, cznie z centrala-

85

mi PBX, pozostaj udostpnione. Kady socjotechnik, haker, szpieg przemysowy lub po prostu zwyky ciekawski moe odnale ich list pod adresem http://www.phenoelit.de/dpl/dpl.html. (To niesamowite, w jaki sposb Internet uatwia ycie tym, ktrzy wiedz, gdzie szuka. Teraz Ty rwnie wiesz ju, gdzie szuka). Cogburneowi udao si nastpnie przekona ostronego i podejrzliwego pracownika (Mgby pan powtrzy swoje nazwisko? Pod kogo pan podlega?), aby ten ujawni mu swoj nazw uytkownika i haso do serwera uywanego przez grup badawcz pracujc nad zastawk serca. W ten sposb zostawi Craigowi otwarte drzwi i umoliwi mu przegldanie najpilniej strzeonych sekretw firmy i pobranie planw najnowszego produktu. A co, gdyby Steve Cramer nabra podejrze w zwizku z telefonem Craiga? Mao prawdopodobne, e zrobiby co w celu powiadomienia kogokolwiek a do pojawienia si w pracy w poniedziaek, kiedy byoby ju za pno na zapobieenie atakowi. Oto kluczowy element ostatniego oszustwa: Craig z pocztku nie wykazywa adnego zainteresowania problemem Stevea. Potem zmieni podejcie i zacz wykazywa ch pomocy, aby Steve mg ukoczy prac. W wikszoci przypadkw, kiedy ofiara wierzy, e prbujemy jej pomc, bdzie skonna podzieli si z nami poufnymi informacjami, ktrych w innym przypadku strzegaby jak oka w gowie.

Uwaga Mitnicka
W pracy dla kadego najwaniejsze jest ukoczenie biecego zadania. Pod naporem tego argumentu praktyki zwizane z bezpieczestwem czsto schodz na dalszy plan i s pomijane lub ignorowane. Socjotechnicy potrafi to wykorzysta.

Jak zapobiega?
Jednym z najbardziej skutecznych trikw socjotechnikw jest odwracanie sytuacji. Widzielimy to w tym rozdziale. Socjotechnik tworzy problem, a nastpnie w magiczny sposb go rozwizuje, wyudzajc od ofiary informacje o dostpie do najpilniej strzeonych sekretw firmy. Czy Twoja firma daaby si w ten sposb podej? Czy zadalicie sobie trud opisania i wprowadzenia w ycie odpowiednich regu bezpieczestwa, ktre pozwoliyby tego unikn?

86

Edukacja, edukacja i jeszcze raz edukacja

Jest taka anegdota o turycie w Nowym Jorku, ktry zatrzymuje przechodnia na ulicy i pyta: Jak dosta si do Carnegie Hall?. Zaczepiony odpowiada: wiczy, wiczy i jeszcze raz wiczy. Kady jest potencjalnie naraony na ataki socjotechniczne, dlatego jedynym sposobem obrony firmy jest odpowiednie szkolenie i edukacja pracownikw, uczca rozpoznawania socjotechnikw. Potem naley stale wspomina o rzeczach, ktrych nauczyli si na szkoleniu, a ktre najczciej s zapominane. Kady czonek organizacji musi zosta przeszkolony tak, by wyrobi w sobie odpowiedni stopie podejrzliwoci i ostronoci niezbdnej podczas kontaktw z osobami, ktrych osobicie nie zna, szczeglnie jeeli kto prosi o informacj o jakiej formie dostpu do komputera lub sieci. Ludzka natura kae nam ufa innym, ale, jak mwi Japoczycy, biznes to wojna. Wasza firma nie moe pozwoli sobie na opuszczenie gardy. Firmowa polityka bezpieczestwa musi definiowa zachowania odpowiednie i nieodpowiednie. Zasady bezpieczestwa nie s uniwersalne. Zaoga firmy ma zwykle rne zadania i z kadym stanowiskiem pracy wi si inne zagroenia. Szkolenie musi uczy pewnych zachowa (uwzgldniajc rodzaj wypenianych przez dan osob obowizkw), ktre pozwol zmniejszy prawdopodobiestwo wystpienia problemw. Powinien by zaplanowany podstawowy poziom szkolenia, ktry musz ukoczy wszyscy pracownicy firmy. Ludzie, ktrzy pracuj z poufnymi informacjami lub ktrzy maj specjalne stanowiska albo obdarzani s duym zaufaniem, powinni przej dodatkowe, specjalistyczne szkolenie.

Bezpieczestwo poufnych informacji

Kiedy obcy czowiek oferuje pomoc, tak jak miao to miejsce w historiach opisanych w tym rozdziale, pracownicy firmy musz stosowa si do zasad bezpieczestwa ustalonych zgodnie z potrzebami, rozmiarem i sposobem dziaania naszej organizacji. Nigdy nie naley pomaga obcym proszcym o wyszukanie dla nich jakiej informacji, o wprowadzenie nieznanych polece do komputera lub zmian w ustawieniach naszego oprogramowania albo (najniebezpieczniejszy wariant) otwieranie zacznikw do wiadomoci pocztowych i pobiera-

87

nie nieznanych programw. Kady program nawet taki, ktry wydaje si nie dziaa moe nie by taki niewinny, na jaki wyglda. Istniej rzeczy, ktrymi, niezalenie od jakoci szkolenia, z czasem przestajemy si przejmowa. Potem w krytycznym momencie nie wiemy, jak waciwe zareagowa. Mona by sdzi, e zasada niepodawania swojej nazwy uytkownika i hasa jest dla wszystkich oczywista (a przynajmniej powinna by oczywista) i raczej nie ma potrzeby nawet o niej wspomina, bo wynika ze zdrowego rozsdku. W rzeczywistoci kademu pracownikowi naley czsto przypomina, e udostpnianie nazwy uytkownika i hasa do swojego komputera w biurze lub w domu jest porwnywalne z podaniem komu kodu PIN karty kredytowej. Bardzo rzadko moe si zdarzy, e podanie komu poufnej informacji jest jednak konieczne. Z tego powodu tworzenie regu absolutnych typu nigdy nie jest tu odpowiednie. Niemniej jednak polityka i procedury bezpieczestwa powinny wyranie okrela okolicznoci, w jakich pracownik moe poda swoje haso i, co waniejsze, kto jest uprawniony do pytania o takie dane.

Uwaga Mitnicka
Osobicie uwaam, e firmy nie powinny dawa adnej moliwoci wymiany hase. O wiele atwiej ustali jednoznaczn zasad, ktra zakazuje personelowi jakiegokolwiek udostpniania tajnych hase. Tak jest bezpiecznej.

Kto pyta?
W wikszoci organizacji powinna funkcjonowa regua mwica, e kada informacja, ktrej udostpnienie moe zaszkodzi firmie lub jej pracownikowi, moe by udzielana tylko znanym osobom, ktrych gos brzmi na tyle znajomo, e nie ma wtpliwoci co do ich tosamoci. W sprawach o wysokim stopniu poufnoci uwzgldniane powinny by jedynie zapytania przedstawione osobicie lub z pomoc silnej formy uwierzytelniania na przykad dwch oddzielnych zabezpiecze, takich jak wsplna tajemnica i identyfikator generowany na podstawie czasu. Procedury klasyfikacji danych musz wspomina o tym, e adna informacja z czci organizacji zajmujcej si poufnymi projektami nie moe by udzielona osobie nieznanej osobicie lub za ktr kto nie porczy.

88

Uwaga
Trudno uwierzy, ale nawet odnalezienie nazwiska i numeru dzwonicego w firmowej bazie pracownikw i oddzwonienie do niego nie daje adnych gwarancji socjotechnicy znaj sposoby na wprowadzanie nazwisk na list pracownikw i przekierowywanie rozmw telefonicznych.

Jak wic odpowiedzie na prob wsppracownika, ktra wydaje si uzasadniona i dotyczy np. listy nazwisk i adresw e-mail ludzi z naszego dziau? Jak zwikszy wiadomo faktu, e tego typu informacja, ktra ma wyranie mniejsze znaczenie ni np. specyfikacja nowego produktu, jest przeznaczona cile do uytku wewntrznego? W duym stopniu pomc tu moe wyznaczenie osb w kadym wydziale, ktre zajmuj si probami o wydanie informacji poza obrb dziau. Osoby te powinny przej zaawansowane szkolenie dotyczce bezpieczestwa, uwiadamiajce ich w zakresie procedur weryfikacyjnych, ktrych powinni si trzyma.

Nie zapomnijmy o nikim!

atwo jest zidentyfikowa te czci organizacji, ktre wymagaj wysokiego stopnia ochrony przed atakami. Czsto jednak zaniedbywane s inne, mniej oczywiste, lecz bardzo naraone na ataki obszary. W jednej z historii proba o przesanie faksu na wewntrzny numer telefonu wydawaa si niewinna, a jednak atakujcemu udao si wykorzysta tu luk w systemie bezpieczestwa. Wypywa z tego nastpujcy wniosek: kady, poczwszy od sekretarki i asystenta a do przedstawicieli kadry zarzdzajcej i kierownikw, potrzebuje specjalnego kursu w zakresie bezpieczestwa, aby podobne sztuczki uruchamiay u niego mentalny sygna alarmowy. Nie naley zapomina o ochronie pierwszej linii: recepcjonistki czsto bywaj pierwszym celem ataku socjotechnika i naley im uwiadamia, jakich technik uywaj niektrzy gocie lub rozmwcy telefoniczni. System bezpieczestwa firmy powinien ustala punkt kontaktowy dla pracownikw, ktrzy maj podejrzenia, e stali si celem ataku socjotechnicznego. Jednoznaczne miejsce zgaszania incydentw zwizanych z bezpieczestwem firmy zapewnia efektywny system wczesnego ostrzegania, ktry pozwoli wykry zorganizowany atak i uwiadomi sobie ewentualne straty.

6
Potrzebuj pomocy
Wiemy ju, jak socjotechnicy oszukuj ludzi, oferujc im pomoc. Inne czsto stosowane podejcie odwraca role: socjotechnik manipuluje ludmi, udajc, e potrzebuj od nich pomocy. Wszyscy potrafimy wspczu ludziom, ktrzy znaleli si w trudnym pooeniu, dlatego podejcie to umoliwia socjotechnikowi dotarcie krok po kroku do swojego celu.

Przybysz
Jedna z historii przedstawionych w rozdziale 3. pokazaa, w jaki sposb napastnik moe przekona ofiar, aby podaa mu swj numer pracownika. W poniszym przykadzie ten sam efekt jest osigany inn metod. Ponadto opisano tu, jak mona wykorzysta zdobyt w ten sposb informacj.

90

Na pewno jest jaki Jones

W Dolinie Krzemowej miaa swoj siedzib pewna midzynarodowa firma, ktrej nazwa pominita zostanie milczeniem, a jej rozsiane po caym wiecie oddziay byy poczone z siedzib poprzez WAN (sie rozleg). Intruz sprytny i przebiegy go, Brian Atterby zdawa sobie spraw, e prawie zawsze atwiej wama si do sieci w ktrej z odlegych lokalizacji, gdzie ochrona bdzie na pewno nie tak cisa, jak w centrali. *** Zadzwoni wic do biura w Chicago i poprosi o poczenie z panem Jonesem. Recepcjonistka zapytaa, czy wie, jak pan Jones ma na imi. Odpowiedzia: Gdzie je miaem, wanie szukam. Ilu macie ludzi o nazwisku Jones? Trzech odpowiedziaa. W jakim wydziale miaby on pracowa? Jeeli odczyta mi pani imiona, to moe rozpoznam odpowiedzia Brian. Tak te zrobia: Barry, Joseph i Gordon. Joe. Wydaje mi si, e to on powiedzia. A z jakiego on jest wydziau? Z Wydziau Rozwoju. Dobrze. Moe mnie pani z nim poczy? Recepcjonistka przeczya rozmow. Kiedy Jones odebra, napastnik powiedzia: Pan Jones? Dzie dobry, tu Tony z pacowego. Tak jak pan chcia, przekierowalimy pana wypat na konto w Credit Union. Co?! Pan chyba artuje. Nie prosiem o nic takiego. Nawet nie mam konta w Credit Union. Cholera. Ju przelaem te pienidze. Jones by wyranie zdenerwowany faktem, e jego wypata zostaa przelana na czyje konto i ju mia zwymyla czowieka po drugiej stronie, lecz zanim zdy cokolwiek powiedzie, napastnik odezwa si: Musz to szybko wyjani. Te dyspozycje zostay podane wraz z numerem pracownika. Jaki jest paski numer pracownika? Jones poda numer. Rozmwca powiedzia: Rzeczywicie ma pan racj. Proba nie bya od pana. Z kadym rokiem s coraz gupsi pomyla Jones.

91

 Dopilnuj, eby si tym zajto. Wkrtce wypata wrci na paskie konto zapewni.

Uwaga Mitnicka
Nie myl, e zabezpieczenia sieci i firewalle ochroni twoje informacje. Szukaj najsabszego ogniwa. Zwykle okazuje si nim by czowiek.

Na delegacji
Niedugo potem administrator systemu w oddziale firmy w Austin w Teksasie odebra telefon. Mwi Joe Jones owiadczy rozmwca. Dzwoni z centrali, z Wydziau Rozwoju. Bd u was w miecie przez tydzie, w hotelu Driskill. Chciabym prosi o zaoenie mi tymczasowego konta, ebym mia dostp do poczty bez dzwonienia na midzymiastow. Podaj mi jeszcze raz swoje nazwisko i numer pracownika powiedzia administrator. Faszywy Jones poda numer i cign dalej: Macie numery do czenia si przez modemy? Chwileczk kolego, najpierw musz ci znale w bazie. Po chwili powiedzia: Dobrze, Joe. Podaj mi jeszcze numer twojego budynku. Napastnik odrobi lekcje i mia ju gotow odpowied. Dobrze powiedzia administrator. Przekonae mnie. To takie proste. Administrator zweryfikowa nazwisko Joseph Jones, wydzia i numer pracownika, a Joe udzieli poprawnej odpowiedzi na pytanie testowe. Twj login bdzie taki sam jak firmowy, jbjones powiedzia administrator. Zakadam ci pocztkowe haso zmien_mnie.

Analiza oszustwa
Kilka telefonw i pitnacie minut wystarczyo, by napastnik uzyska dostp do firmowej sieci WAN. Bya to jedna z wielu firm, ktrych ochrona

92

przypomina cukierek M&M, zgodnie z opisem uytym po raz pierwszy przez badaczy z Bell Labs, Stevea Bellovina i Stevena Cheswicka. Opisali taki rodzaj zabezpieczenia jako tward skorupk z mikkim rodkiem. Zewntrzna skorupa, firewall, zostaa przez nich uznana za niewystarczajce zabezpieczenie, poniewa z chwil, kiedy napastnikowi uda si j omin, wewntrzny system komputerowy posiada ju nike zabezpieczenia i nie jest w wystarczajcym stopniu chroniony. Opisana historia odpowiada definicji cukierkowej ochrony. Majc numer dostpowy i konto, napastnik nie musia przejmowa si problemem obejcia firewalla, i kiedy ju znalaz si wewntrz, penetracja caego systemu bya prosta.

argon
Cukierkowa ochrona termin ukuty przez Bellovina i Cheswicka z Bell Labs. Opisuje on system bezpieczestwa, w ktrym zewntrzna bariera, np. firewall, jest silna, a wewntrzna infrastruktura nie posiada adnych zabezpiecze. Okrelenie powstao poprzez porwnanie tego systemu do cukierka M&M, ktry ma tward skorupk i mikkie nadzienie

Wedug moich informacji tego rodzaju podstp zosta przeprowadzony wobec jednego z najwikszych na wiecie producentw oprogramowania komputerowego. Mona by sdzi, e administratorzy systemu w takich firmach s wyszkoleni, aby wykrywa podobne ataki. Najprawdopodobniej jednak miao to miejsce, a firma do dzisiaj nie wie, w jaki sposb kto uzyska dostp do ich sieci. By moe P Barnum nigdy nie powiedzia, e kadej minuty rodzi si ja.T. ki frajer, ale ktokolwiek to powiedzia, trafnie opisa przypadek pracownika firmy, ktrego podszed socjotechnik ze swoim darem wymowy.

Zabezpieczenie z czasw prohibicji

W czasach prohibicji istniay nielegalne kluby nocne, gdzie strumieniami la si gin. Klient mg wej do rodka, pojawiajc si u drzwi i pukajc. Po kilku chwilach w drzwiach otwierao si mae okienko i ukazywaa si w nim grona facjata wykidajy. Jeeli go by wtajemniczony, wymawia

93

imi ktrego ze staych klientw (Przysa mnie tu Joe mogo czasami wystarczy). Wwczas bramkarz otwiera drzwi i wpuszcza go do rodka. Prawdziwy problem polega na znajomoci lokalizacji meliny. Drzwi byy nieoznakowane, a waciciele niespecjalnie palili si do wieszania neonw informujcych o tym, jak tam trafi. W wikszoci przypadkw wystarczyo po prostu pojawi si w odpowiednim miejscu, aby otwarto przed nami drzwi. Niestety, ten sam rodzaj zabezpiecze jest czsto stosowany w wiecie biznesu, ktry cofa si tym samym do czasw prohibicji.

argon
Zabezpieczenie z czasw prohibicji zabezpieczenie to opiera si na tym, e konieczna jest znajomo miejsca przechowywania informacji oraz sowa lub imienia, ktre umoliwia dostp do niego w systemie komputerowym.

Trzy dni kondora

Za ilustracj takiej sytuacji moe posuy wietny film, ktry wielu ludzi pamita. W Trzech dniach kondora gwny bohater Turner jest grany przez Roberta Redforda. Turner pracuje dla maej firmy wynajtej przez CIA. Pewnego dnia wraca z przerwy na lunch, aby stwierdzi, e wszyscy jego wsppracownicy zostali zastrzeleni. Zosta sam i chce dowiedzie si, kto to zrobi i dlaczego, jednoczenie zdajc sobie spraw, e kimkolwiek s zabjcy, szukaj teraz jego. W dalszej czci filmu Turnerowi udaje si zdoby numer telefonu jednego ze sprawcw. Kim on jest i jak Turner zdoa wyledzi miejsce jego pobytu? Mia szczcie: scenarzysta, David Rayfiel, wyposay go w przeszo phreakera znajcego technologi i praktyki firm telekomunikacyjnych. Majc w rkach numer telefonu zabjcy, Turner wie doskonale, jak go wykorzysta. W scenariuszu scena ta przedstawia si nastpujco: TURNER CZY SI PONOWNIE i WYSTUKUJE KOLEJNY NUMER (sycha dzwonienie). GOS KOBIECY (z telefonu) Biuro CNA, mwi Coleman. TURNER (do suchawki)

94

 Tu Harold Thomas z obsugi klienta. Prosz CNA dla 202 555-7389. GOS KOBIECY (z telefonu) Chwileczk, (prawie od razu) Leonard Atwood, 765 MacKensie Lane, Cheve Chase, Maryland. Co si tu waciwie wydarzyo, poza faktem, e scenarzysta omykowo uy numeru kierunkowego Washington D.C. dla adresu z Maryland? Turner, jako wyszkolony monter telekomunikacyjny, wiedzia, jaki numer wykrci, by poczy si z biurem CNA (posiadajcym rejestr nazwisk i adresw abonentw) funkcjonujcym na potrzeby instalatorw i autoryzowanego personelu firmy. Instalator mg zadzwoni do CNA, poda numer telefonu i poprosi o nazwisko i adres osoby, do ktrej numer nalea.

Jak oszuka telekomunikacj?

W rzeczywistoci numer telefonu do CNA by pilnie strzeonym sekretem. Dzisiaj firmy telekomunikacyjne zdyy ju si poapa i nie s takie hojne w udzielaniu informacji, ale w tamtych czasach dziaay u nich zabezpieczenia z czasw prohibicji. Zakaday one, e kady, kto zadzwoni do biura CNA i uywa poprawnego argonu (Obsuga klienta. Prosz CNA dla 555-1234 lub co w tym stylu) by osob uprawnion do otrzymania informacji. Nie byo potrzeby identyfikacji lub weryfikacji tosamoci, podawania numeru pracownika czy podawania hasa zmienianego codziennie. Jeeli znamy numer, pod jaki trzeba zadzwoni, i nasz gos brzmi przekonujco, jestemy uprawnieni do otrzymania informacji. Nie byo to dla firmy telekomunikacyjnej zbyt fortunne zaoenie. Jedyna praktyka bezpieczestwa, jak stosowali jej pracownicy, polegaa na periodycznej zmianie numeru telefonu, co najmniej raz na rok. Nawet wwczas jednak, aktualny numer by bardzo szeroko znany pord modych phreakerw, ktrzy z przyjemnoci czerpali informacje z tak wygodnego rda i chtnie wymieniali si ni z hakerami. Trik zwizany z biurem CNA by jedn z pierwszych rzeczy, jakich si nauczyem, bdc wprowadzany jako nastolatek w arkana phreakingu. W wiecie biznesu i polityki ten rodzaj zabezpiecze jest wci powszechny. Zwykle kady rednio dowiadczony intruz moe uda osob z autoryzacj, zebrawszy uprzednio troch informacji o wydziaach, personelu i argonie firmy. Czasami wystarczy po prostu numer wewntrzny telefonu.

95

Uwaga Mitnicka
Zabezpieczenie z czasw prohibicji w aden sposb nie powstrzymuje atakw socjotechnicznych. Kady system komputerowy ma przynajmniej jednego operatora. Jeeli napastnik potrafi manipulowa ludmi, ktrzy obsuguj system, ograniczony zasig wiedzy nie stanowi dla niego adnej przeszkody.

Beztroski szef centrum komputerowego

Mimo e wielu czonkw organizacji jest niewiadomych, niezainteresowanych zagroeniami bezpieczestwa, od kogo zajmujcego stanowisko szefa centrum komputerowego w jednej z wikszych korporacji naleaoby si spodziewa gruntownej wiedzy i stosowania najlepszych praktyk dotyczcych tej dziedziny, nieprawda? Trudno przypuszcza, e szef centrum komputerowego, osoba, ktra jest pracownikiem Wydziau Technologii Informatycznych firmy, padnie ofiar prostej socjotechnicznej zagrywki. Szczeglnie, gdy napastnikiem jest nastolatek prawie dziecko.

Szukanie fali
Przed laty dla wielu ludzi zajmujc rozrywk byo nastawianie radia na czstotliwo lokalnej policji lub stray poarnej i suchanie ekscytujcych rozmw o trwajcym napadzie na bank, poncym budynku lub rozwoju wydarze podczas pocigu samochodowego. Czstotliwoci te mona byo odnale w ksikach dostpnych w pobliskiej ksigarni. Dzisiaj mona je zdoby w Internecie i z ksiki, ktr mona kupi w sieci sklepw Radio Shack. Mona tam znale czstotliwoci, na ktrych nadaj agencje lokalne, stanowe, krajowe, a czasami nawet federalne. Oczywicie suchali nie tylko ciekawscy. Bandyci rabujcy sklep w rodku nocy mogli sucha, czy w ich okolic zosta wysany jaki radiowz. Dealerzy narkotykowi mogli ledzi dziaania lokalnych sub antynarkotykowych. Piroman mg zwikszy swoj chor rado pync z podpalenia, suchajc straakw walczcych z zaprszonym ogniem. W ostatnich latach, wraz z rozwojem technologii komputerowych, mo-

96

liwe stao si szyfrowanie komunikatw gosowych. W miar jak naukowcy znajdowali sposoby upychania coraz wikszej mocy obliczeniowej w jednym maym chipie, dostpne stao si konstruowanie maych radiostacji wykorzystujcych szyfrowanie, ktre uniemoliwiaj zoczycom podsuchiwanie.

Wcibski Danny
W latach 90. entuzjasta podsuchiwania i dowiadczony haker, ktrego nazwiemy Danny, zdecydowa si podj prb przechwycenia kodu rdowego oprogramowania od producenta bezpiecznych radiostacji. Mia nadziej, e po przestudiowaniu kodu znajdzie sposb na podsuchiwanie sub, a by moe uyje tej technologii, aby uniemoliwi nawet najpotniejszym agencjom rzdowym podsuchiwanie jego rozmw z przyjacimi. Tacy jak on naleeli w mrocznym wiecie hakerw do specjalnej kategorii, ktra znajduje si gdzie pomidzy niegronymi ciekawskimi a niebezpiecznymi zoczycami. Dysponuj oni wiedz ekspertw poczon z nieokieznanym pragnieniem burzenia cian i amania barykad. Wamuj si jednak tylko dla samej satysfakcji. Atakuj strony internetowe wycznie dla zabawy i ekscytacji oraz aby udowodni, e potrafi tego dokona. Niczego nie kradn i nie zarabiaj pienidzy na swojej dziaalnoci. Nie niszcz plikw ani pocze sieciowych i nie unieruchamiaj systemw komputerowych. Sam fakt wamania si i dostpu do plikw i e-maili za plecami administratorw sieci uciera nosa ludziom odpowiedzialnym za trzymanie intruzw z dala. Wanie to ucieranie nosa stanowi najwiksz przyczyn ich satysfakcji. Z takim nastawieniem Danny chcia przejrze projekt najpilniej strzeonego produktu firmy, ktr mia na celowniku, aby zaspokoi swoj dze wiedzy i popodziwia ostatnie innowacje wprowadzone do projektu. Nie trzeba wspomina, e projekty produktu byy pilnie strzeon tajemnic handlow, cenn i chronion jak kada wasno firmy. Danny zdawa sobie z tego spraw, ale ani troch si tym nie przejmowa. W kocu bya to jedna z tych wielkich bezimiennych korporacji. Jak w takim razie zdoby kod rdowy oprogramowania? Jak si okazao, kradzie klejnotw koronnych firmy Secure Communications Group bya niezwykle prosta, nawet mimo to, e firma bya jedn z tych, ktre stosoway praktyk bezpieczestwa zwan podwjnym uwierzytelnianiem. Jest to

97

takie rozwizanie, gdzie pracownicy s zobowizani do stosowania dwch form uwierzytelniania w celu potwierdzenia swojej tosamoci.

argon
Podwjne uwierzytelnianie zastosowanie dwch rnych form uwierzytelniania w celu weryfikacji tosamoci. Na przykad osoba moe zosta uwierzytelniona po zatelefonowaniu z pewnej konkretnej lokalizacji i podaniu hasa

Oto przykad, ktry najprawdopodobniej okae si znajomy: kiedy otrzymujemy now kart kredytow, bank prosi nas o telefon potwierdzajcy, e jestemy w jej posiadaniu i nie dostaa si w rce kogo, kto np. ukrad kopert z kart ze skrzynki pocztowej. Instrukcja zaczona do karty nakazuje wykonanie telefonu z domu. Kiedy dzwonimy, program komputerowy w banku analizuje ANI, czyli automatyczn identyfikacj numeru, ktr telekomunikacja przesya w chwili odebrania telefonu z darmowej linii, za wykorzystanie ktrej paci bank. Program ten porwnuje dane z ANI numeru telefonu, z ktrego dzwonimy, z numerem, jaki zostawilimy bankowi w naszych danych osobowych. Z chwil, gdy pracownik banku odbiera telefon, na ekranie jego monitora ukazuje si informacja z bazy danych dotyczca klienta, ktry dzwoni z tego numeru. Urzdnik w tym momencie wie, e klient dzwoni z domu. Jest to pierwsza forma uwierzytelniania. Nastpnie pracownik banku wybiera ktr z informacji wywietlonych na temat klienta najczciej jest to numer ubezpieczenia, data urodzenia lub nazwisko panieskie matki i pyta klienta o t informacj. Poprawna odpowied na pytanie to druga forma uwierzytelniania opierajca si na danych, ktre klient powinien zna. W opisywanej tu firmie produkujcej bezpieczne radiostacje kady pracownik z dostpem do komputera mia normaln nazw uytkownika i haso, a dodatkowo otrzymywa mae urzdzenie elektroniczne zwane tokenem. Wywietla ono kod zaleny od czasu. Istniej dwa typy takich urzdze: pierwszy ma wielko poowy karty kredytowej, ale jest troch grubszy, a drugi jest taki may, e mona go przypi do swojego pku kluczy. Ten pochodzcy ze wiata kryptografii gadet ma malutkie okienko, ktre wywietla cig szeciu cyfr. Co szedziesit sekund zawarto ekraniku si zmienia, pokazujc inne cyfry. Kiedy uprawniona osoba prbuje wej do sie-

98

ci z zewntrz, musi w pierwszej kolejnoci przedstawi si jako autoryzowany uytkownik, wpisujc tajny FIN i cyfry wywietlone na tokenie. Po weryfikacji przez sie wewntrzn musi jeszcze poda swoj nazw uytkownika i haso. Mody haker, Danny, chcc dosta w swoje rce kod, ktrego tak poda, musia nie tylko zdoby login i haso ktrego z pracownikw (nic trudnego dla dowiadczonego socjotechnika), ale rwnie obej w jaki sposb kod zaleny od czasu. Pokonanie bariery podwjnego uwierzytelniania, czyli bezpiecznej identyfikacji poczonej z tajnym kodem PIN, wydaje si wyzwaniem godnym bohaterw filmu Mission Impossible. Dla socjotechnika wyzwanie to jednak przypomina bardziej dziaanie gracza pokerowego, ktry nie majc szczcia w kartach, dziki swej nadzwyczajnej umiejtnoci odczytywania zachowa innych ludzi, najczciej i tak odchodzi od stolika z du czci pienidzy innych graczy w kieszeni.

Szturm na fortec
Danny rozpocz od odrobienia lekcji. Wkrtce zebra tyle informacji, aby mc wcieli si w pracownika firmy. Zna nazwisko pracownika, wydzia, numer telefonu i numer pracownika, a take nazwisko i numer telefonu jego szefa. Nastaa cisza przed burz. Dosownie. Zgodnie z obmylonym planem Danny potrzebowa teraz jeszcze jednej rzeczy, zanim wykona nastpny krok, i byo to co, nad czym nie mia kontroli. Potrzebowa burzy nienej. Czeka na odrobin pomocy od matki natury, a dokadnie na tak z pogod, ktra uniemoliwi pracownikom dojazd do pracy. W czasie zimy w Poudniowej Dakocie a tam wanie miaa siedzib rzeczona firma kady, kto mia nadziej na z pogod, nie musia czeka zbyt dugo. W pitkow noc nadesza burza. niegi szybko przeszed w marzncy deszcz i do rana drogi zdyy si zamieni w lodowiska. Radio i telewizja ostrzegay ludzi, aby nie wsiada do samochodu, jeeli nie jest to absolutnie konieczne. Dla Dannyego bya to idealna okazja. Zadzwoni do firmy i poprosi o poczenie z jednym z informatykw. Czowiek, ktry podnis suchawk, przedstawi si jako Roger Kowalski. Podajc nazwisko istniejcego pracownika, na temat ktrego zrobi wcze-

99

niej wywiad, Danny powiedzia: Tu Bob Billings. Pracuj dla Secura Communications Group. Jestem teraz w domu i nie mog dojecha z powodu burzy. Problem polega na tym, e musz dosta si z domu do mojego konta na serwerze, a zostawiem token na biurku. Czy mgby pan po niego pj? Albo kogo wysa? A potem odczyta mj kod, kiedy bd chcia wej? Nasz zesp dosta pilny termin i nie bd mg skoczy mojej pracy. Nie mog si dosta do biura, bo drogi s teraz zbyt niebezpieczne. Nie mog wyj z mojego biura powiedzia informatyk. Danny zadziaa szybko: A ma pan moe swj identyfikator? W centrum komputerowym jest jeden stwierdzi dla operatorw w razie nagych przypadkw. Mam prob powiedzia Danny. Wywiadczyby mi pan przysug? Mgbym skorzysta z paskiego identyfikatora, kiedy bd wchodzi na konto? Do czasu, a pogoda si poprawi. Mog jeszcze raz prosi pana nazwisko? zapyta Kowalski. Bob Billings. Dla kogo pan pracuje? Dla Eda Trentona. A, tak. Znam go. Gdy prawdopodobna jest cika przeprawa, dobry socjotechnik zbiera o wiele wicej informacji ni zwykle. Pracuj na drugim pitrze cign Danny. Obok Roya Tuckera. Informatyk kojarzy te to nazwisko. Danny kontynuowa natarcie: atwiej byoby po prostu pj do mojego pokoju i przynie mj identyfikator. Danny by w miar pewny, e jego rozmwca nie da si na to namwi. Po pierwsze, nie opuciby swojego stanowiska w rodku zmiany, w wczy si gdzie po odlegych korytarzach budynku. Poza tym nie mia ochoty grzeba w czyim biurku. Mona si byo zaoy, e tego nie zrobi. Kowalski nie chcia powiedzie nie czowiekowi, ktry potrzebuje pomocy, ale nie mia te zamiaru powiedzie tak. Dlatego przerzuci decyzj na kogo innego: Moment, zapytam szefa. Pooy suchawk na biurku i Danny sysza, jak podnosi drug, czy si i wyjania spraw. W tym momencie Kowalski zrobi co dziwnego: powiadczy za dzwonicego, uywajc jego domniemanego nazwiska Bob

100

Billings. Znam go powiedzia szefowi. Pracuje dla Eda Trentona. Moemy mu udostpni identyfikator z centrum komputerowego? Danny trzymajc suchawk, by zadziwiony t niezwyk i niespodziewan form pomocy, jakiej mu udzielono. Nie wierzy wasnym uszom. Po paru kolejnych chwilach Kowalski wrci do telefonu i powiedzia: Mj szef chce z panem sam porozmawia po czym poda nazwisko i numer komrki szefa. Danny zadzwoni do niego i opowiedzia wszystko jeszcze raz, dodajc par szczegw o projekcie, nad ktrym pracowa i o tym, dlaczego jego grupa musi koniecznie dotrzyma terminu. Prociej by byo, gdyby kto po prostu poszed i przynis mj identyfikator powiedzia. Biurko nie powinno by zamknite, a karta bdzie chyba w grnej szufladzie. Myl, e tylko na weekend moemy pozwoli panu korzysta z identyfikatora awaryjnego. Powiem ludziom, ktrzy maj wtedy zmiany, eby odczytywali kod, gdy bdzie pan dzwoni powiedzia szef, po czym poda kod PIN, jakiego ma uywa wraz z identyfikatorem. Przez cay weekend, za kadym razem, gdy Danny chcia dosta si do systemu komputerowego firmy, musia jedynie zadzwoni do centrum komputerowego i poprosi o odczytanie szeciu cyfr wywietlanych w okienku identyfikatora.

Wewntrzna robota
Tak oto Danny uzyska dostp do systemu komputerowego firmy. Jednak co dalej? Jak ma teraz znale serwer, na ktrym przechowywany jest algorytm szyfrowania? By na to przygotowany wczeniej. Wielu uytkownikw komputerw zna grupy dyskusyjne, potny zbir forw internatowych, gdzie ludzie przesyaj pytania, na ktre inni odpowiadaj, lub szukaj nowych znajomych, ktrzy take interesuj si muzyk, komputerami bd jednym z tysicy innych dostpnych tematw. Niewielu ludzi zdaje sobie jednak spraw, e kiedy przesyaj wiadomo na grup dyskusyjn, wiadomo ta pozostaje dostpna przez lata. Google przechowuje w tym momencie archiwum siedmiuset milionw wiadomoci. Niektre z nich zostay wysane nawet przed dwudziestu laty! Danny rozpo-

101

cz od wstukania adresu http://groups. google.com. Jako kryteria wyszukiwania Danny wpisa szyfrowanie radio komunikacja oraz nazw firmy i znalaz wiadomoci przesane na grup przez jednego z pracownikw. Zostay one wysane w czasie, gdy dopiero rozpoczynali prac nad produktem, prawdopodobnie dugo przedtem, zanim policja i agencje federalne zaczy rozwaa moliwo szyfrowania nadawanych sygnaw. Wiadomo zawieraa podpis nadawcy, obejmujcy nie tylko imi i nazwisko (Scott Press), ale rwnie telefon i nazw grupy roboczej Secure Communications Group. Danny podnis suchawk i wykrci ten numer. By to strza z dystansu czy bdzie pracowa po latach w tej samej grupie? Czy bdzie w pracy w tak fataln pogod? Telefon zadzwoni raz, drugi, trzeci i wreszcie gos po drugiej stronie powiedzia: Scott, sucham. Podajc si za pracownika dziau IT firmy, Danny skoni Pressa (na jeden ze sposobw znanych z poprzednich rozdziaw) do wyjawienia nazw serwerw, z ktrych korzysta. To byy serwery, na ktrych najprawdopodobniej mg znajdowa si kod rdowy, zawierajcy zastrzeony algorytm szyfrowania i system stosowany w radiostacjach szyfrujcych. Danny zblia si coraz bardziej do celu, a jego podekscytowanie wci roso. Czu ju zbliajce si niesamowite uczucie zwizane z wejciem w posiadanie wiedzy dostpnej jedynie nielicznym. Misja jednak jeszcze si nie skoczya. Przez reszt weekendu mg wchodzi w kadej chwili do sieci firmowej dziki chtnemu do wsppracy szefowi centrum komputerowego. Wiedzia te, jakie serwery go interesuj. Kiedy wszed, okazao si jednak, e serwer terminala nie zezwoli na poczenie z systemami programistycznymi Secure Communications Group. Musia znale jak inn drog. Nastpny krok wymaga odwagi. Danny zadzwoni ponownie do Kowalskiego z centrum komputerowego: Mj serwer nie pozwala mi na poczenie powiedzia. Potrzebuj jakiego konta na jednym z komputerw w waszym dziale, bym mg si dosta poprzez Telnet na mj serwer. Szef zezwoli ju wczeniej na odczytywanie dla niego kodu z identyfikatora, dlatego ta nowa proba brzmiaa cakiem normalnie. Kowalski zaoy tymczasowe konto i haso na jednym z komputerw w centrum i powiedzia Dannyemu: Prosz da zna, kiedy nie bdzie go pan ju potrzebowa, ebym mg je usun.

102

Po zaogowaniu na tymczasowe konto Danny mg ju poczy si z systemami programistycznymi Secure Communications Group. Po kolejnej godzinie poszukiwa sabych punktw, ktre pozwoliyby mu dosta si na gwny serwer programistyczny, udao mu si tego dokona. Najwyraniej administrator systemu nie by na bieco z najnowszymi sposobami obchodzenia zabezpiecze systemu i zdalnym dostpem do niego, czego nie mona byo powiedzie o Dannym. W krtkim czasie odnalaz pliki kodu rdowego, ktrych szuka, i zdalnie przetransferowa je na witryn sklepu internetowego, ktry oferowa darmowe miejsce na dysku. Na takiej stronie, nawet po odkryciu tam skradzionych plikw, nie da si go namierzy. Przed opuszczeniem systemu pozostaa jeszcze jedna operacja: metodyczny proces usuwania ladw swojej bytnoci. Wyszed z systemu przed zakoczeniem wieczornej edycji Jay Leno Show. Danny doszed do wniosku, e weekend nie poszed na marne. Do tego w adnym momencie nie wystawi si na ryzyko. Przey tylko upojny dreszczyk emocji, lepszy ni zapewnia snowboard czy skoki na bungee. Tej nocy Danny upi si nie ginem, piwem ani wdk, tylko poczuciem wadzy i dominacji, jakie uroso w nim w chwili przegldania skradzionych plikw, zawierajcych cile poufne oprogramowanie dla radiostacji.

Analiza oszustwa
Podobnie jak w poprzedniej historii, oszustwo zadziaao, poniewa jeden z pracownikw zbyt pochopnie uwierzy, e osoba dzwonica jest rzeczywicie tym, za kogo si podaje. Z jednej strony, ch pomocy wsppracownikowi zwiksza skuteczno dziaania firmy i jest tym, co sprawia, e z jednymi osobami lubimy wsppracowa, a z innymi nie. Z drugiej jednak strony nasza ch pomocy moe okaza si saboci, ktr chtnie wykorzysta socjotechnik. Pewien element manipulacji Dannyego by szczeglnie smakowity: kiedy prosi, aby kto poszed po jego identyfikator lecy na biurku, uywa sowa przynie. Przynie to polecenie, jakie wydaje si psu. Nikt nie lubi, gdy kto kae mu co przynie. Uywajc tego sowa, Danny mg by bardziej pewny, e nikt nie bdzie chcia wypeni tego polecenia i wybierze jakie inne rozwizanie, na czym wanie mu zaleao. Pracownik centrum komputerowego, Kowalski, da si podej przez Dan-

103

nego, kiedy usysza nazwiska ludzi, ktrych zna. Ale jak to si stao, e szef Kowalskiego w istocie szef IT firmy umoliwi obcej osobie dostp do wewntrznej sieci firmy? Po prostu proba o pomoc moe sta si doskonaym narzdziem perswazji w arsenale socjotechnika. Czy co podobnego mogoby wydarzy si w waszej firmie? Czy moe ju si wydarzyo?

Uwaga Mitnicka
Opisana historia udowadnia, e kody zalene od czasu i podobne formy uwierzytelniania nie gwarantuj ochrony przed chytrym socjotechnikiem. Jedyn skuteczn ochron jest wiadomy pracownik, ktry postpuje zgodnie z procedurami bezpieczestwa i rozumie, w jaki sposb inni mog w zych zamiarach wpywa na jego zachowanie.

Jak zapobiega?
Czsto powtarzajcym si elementem w opisywanych w ksice historiach jest napastnik, ktry dostaje si do firmowej sieci z zewntrz, dziki osobie, ktra nie zadaje sobie trudu weryfikacji, czy dzwonicy jest rzeczywicie tym, za kogo si podaje. Dlaczego wci do tego wracam? Poniewa w wielu atakach socjotechnicznych jest to podstawowy czynnik powodzenia operacji. Dla socjotechnika jest to najatwiejszy sposb na osigniecie celu. Po co napastnik miaby spdza dugie godziny, prbujc wama si do systemu, skoro moe to zrobi za pomoc jednego telefonu? Jedn z najskuteczniejszych taktyk socjotechnicznych przy tego rodzaju atakach jest prosty chwyt z prob o pomoc dlatego te jest on czsto stosowany. Na pewno nie chcemy, aby nasi pracownicy przestali w ogle pomaga swoim kolegom lub klientom, dlatego naley wyposay ich w jednoznaczne procedury weryfikacyjne, stosowane w sytuacji, gdy kto prosi o poufne dane lub dostp do komputera. W ten sposb mog oni dalej pomaga tym, ktrzy rzeczywicie tego potrzebuj, chronic jednoczenie dobra i system komputerowy firmy. Polityka i procedury bezpieczestwa firmy musz jednoznacznie opisywa detale mechanizmu weryfikacji, jaki powinien by stosowany w rnych okolicznociach. W rozdziale 16. mona znale szczegow list procedur, a poniej wymienione zostay pewne wytyczne do rozwaenia:

104

Jedna ze skutecznych form weryfikacji osoby, ktra prosi o dostp do zastrzeonych obszarw, polega na zadzwonieniu pod numer telefonu pracownika. Jeeli dzwonicy jest intruzem, telefon weryfikacyjny pozwoli poczy si z rzeczywistym pracownikiem, podczas kiedy napastnik jest na drugiej linii. Ewentualnie poczymy si z jego poczt gosow, co pozwoli nam na usyszenie i porwnanie gosu dzwonicego z gosem osoby, za ktr si podaje. Jeeli firma uywa numerw pracownikw w celach identyfikacyjnych, numery te musz by traktowane jako informacja poufna, pilnie strzeona i nie udzielana nieznajomym osobom. To samo odnosi si do wszelkich innych wewntrznych identyfikatorw, uywanych w firmie, takich jak wewntrzne numery telefonw, identyfikatory ksigowe wydziaw, a nawet adresy e-mail. Szkolenie powinno zwraca uwag na powszechn tendencj do akceptacji nieznajomych jako pracownikw tej samej firmy tylko dlatego, e wydaj si posiada odpowiedni wiedz lub autorytet. Sam fakt, e osoba ma dostp do zabezpieczonego obszaru firmy lub zna praktyki i procedury firmowe, nie jest podstaw do odstpienia od weryfikacji jej tosamoci w inny sposb. Pracownicy ochrony i administratorzy systemu nie mog koncentrowa si tylko na kontrolowaniu innych. Sami rwnie musz postpowa zgodnie z tymi reguami, procedurami i praktykami. Hasa i tym podobne identyfikatory oczywicie nie mog by ujawniane. Regua ta ma szczegln wag w przypadku stosowania kodw zalenych od czasu i tym podobnych zaawansowanych urzdze uwierzytelniajcych. Oczywisty powinien by fakt, e ujawnianie tych informacji niweczy cay sens instalacji i stosowania takiego systemu. Korzystanie z cudzych identyfikatorw powoduje zatarcie si odpowiedzialnoci. Oznacza to, e jeeli kto popeni bd, nie ma moliwoci znalezienia winnych w sprawie. Jak stale powtarzam w tej ksice, pracownicy musz zna sztuczki stosowane przez socjotechnikw. Odgrywanie scenek z podziaem na role powinno by elementem szkolenia. Umoliwi to pracownikom lepsze zrozumienie metod dziaania socjotechnikw.

7
Faszywe witryny i niebezpieczne zaczniki
Powszechnie wiadomo, e nie ma nic za darmo. Jednak do dzisiaj trik polegajcy na oferowaniu czego za darmo cigle z powodzeniem jest stosowany zarwno przez uczciwe firmy, jak i niezbyt. Wikszo z nas bywa tak zalepiona moliwoci otrzymania czego za darmo, e nie zastanawia si trzewo nad ofert i obietnicami w niej zawartymi. Oferty takie czsto pojawiaj si w naszej skrzynce pocztowej. Naley bardzo uwaa na zaczniki do e-maili oraz darmowe oprogramowanie. Przebiegy napastnik jest zdolny uy wszelkich rodkw, aby wama si do firmowej sieci komputerowej, cznie z wykorzystaniem naszej saboci do darmowych prezentw. Oto kilka przykadw.

106

Czy chciaby darmowy...

Tak jak wirusy s od wiekw przeklestwem ludzkoci, tak wirusy komputerowe s tym samym w wiecie komputerw. Wirusy komputerowe, ktrym powica si najwicej uwagi w mediach, niekoniecznie s tymi, ktre powoduj najwiksze straty. S one wytworami komputerowych wandali. Ludzie ci za wszelk cen staraj si pochwali swoim sprytem. Czasami ich czyny przypominaj rytuay inicjacyjne, majce w zamierzeniu zadziwi starszych i bardziej dowiadczonych crackerw. Celem tych osb jest stworzenie wirusa, ktrego zadaniem byoby wyrzdzenie jak najwikszych szkd. Jeeli dzieo niszczy pliki lub cae dyski twarde, a w szczeglnoci, kiedy samo wysya si do tysicy niczego nie podejrzewajcych uytkownikw Internetu, to cracker jest dumny ze swego osignicia. Jeeli wirus jest tak skuteczny, e pisz o nim gazety i ostrzegaj przed nim komunikaty w Sieci, jego duma jest jeszcze wiksza. Wiele powiedziano ju o wirusach i ich twrcach. Wydano ksiki, napisano programy i stworzono cae firmy oferujce ochron przed nimi. Dlatego te nie bdziemy si w tej ksice zajmowa technologicznymi niuansami atakw crackerw. W obszarze naszego zainteresowania zamiast aktw wandalizmu znajd si bardziej zorientowane na konkretny cel czyny dalekiego krewnego komputerowego wandala socjotechnika.

To przyszo w e-mailu
Najprawdopodobniej codziennie otrzymujemy e-maile zawierajce reklamy lub oferujce za darmo co, czego ani nie chcemy, ani nie potrzebujemy. Znamy je dobrze. Zawieraj obietnice porad inwestycyjnych, rabatw na komputery, telewizory, kamery, witaminy lub wycieczki, oferuj karty kredytowe, ktrych nie potrzebujemy, urzdzenia pozwalajce oglda telewizj kablow bez pacenia abonamentu, sposoby na popraw zdrowia lub ycia seksualnego itd. Od czasu do czasu pojawia si jednak w naszej skrzynce oferta, ktra przyciga uwag. Moe to by darmowa gra, oferta zdj ulubionej gwiazdy, darmowy program kalendarza lub niedrogi program typu shareware, ktry zabezpieczy nasz komputer przed wirusami. W kadym z tych przypadkw e-mail zawiera odnonik do pliku, ktry zawiera oferowany nam produkt.

107

Czasami otrzymujemy te wiadomo o temacie typu: Jacku, tsknie za Tob lub Anno, dlaczego do mnie nie napisaa albo Cze Krzysiu, oto ta seksowna fotka, ktr Ci obiecaam. Wydaje nam si, e to nie moe by email z reklam, bo zawiera nasze imi i brzmi bardzo osobicie. Otwieramy wic zacznik, by zobaczy fotografi lub przeczyta wiadomo. Pobieranie programw, o ktrych dowiedzielimy si z e-maila reklamowego, klikanie odnonika, ktry przenosi nas na stron, o ktrej nigdy wczeniej nie syszelimy, lub otwieranie zacznika od kogo, kogo nie znamy to proszenie si o kopoty. Pewnie, e w wikszoci przypadkw to, co zobaczymy, bdzie tym, czego si spodziewalimy lub w najgorszym przypadku rozczarujemy si, ale nie stanie si nam adna krzywda. Czasami jednak to, co zostao nam przysane, to dzieo komputerowego wandala. Przesanie niebezpiecznego programu na nasz komputer to tylko jeden z elementw ataku. Aby atak si powid napastnik musi nas jeszcze przekona do otwarcia zacznika. Dziaanie najbardziej niszczycielskich wirusw, midzy innymi tych o nazwach Love Letter, SirCam i Anna Kurnikova, opierao si na socjotechnicznej manipulacji, wykorzystujcej nasze pragnienie otrzymywania czego za darmo. Dziki temu mogy si one skutecznie rozprzestrzenia. Wirus pojawia si w zaczniku do e-maila, ktry oferuje co godnego uwagi, np. poufne informacje, darmow pornografi lub (bardzo sprytny podstp) wiadomo, e zacznik zawiera rachunek za jak drog rzecz, ktr rzekomo kupilimy. W ostatnim przypadku otwieramy zacznik, powodowani strachem, e nasza karta kredytowa zostaa obciona wydatkiem, ktrego nie ponielimy. To zadziwiajce, ilu ludzi daje si nabra na takie triki, nawet, gdy wielokrotnie mwiono im o niebezpieczestwach zwizanych z otwieraniem zacznikw. wiadomo zagroenia z czasem zanika i stajemy si wtedy bezbronni.

Rozpoznawanie niebezpiecznego oprogramowania

Innym typem niebezpiecznych programw s te, ktre po uruchomieniu na komputerze pracuj bez naszej wiedzy lub zgody albo wykonuj dziaania, ktrych nie jestemy wiadomi. Programy takie mog wyglda niewinnie, mog to by nawet dokumenty Worda, prezentacje PowerPointa lub pliki kadego z programw, ktry obsuguje makra, ale potajemnie instaluj nieautoryzowany program. Moe to by jaka wersja konia trojaskiego oma-

108

wianego ju wczeniej w rozdziale 5. Z chwil, kiedy program zainstaluje si w naszym komputerze, moe on przesya intruzowi wszystko, co wpisujemy poprzez klawiatur, cznie z hasami i numerami kart kredytowych.

Uwaga
Istnieje te odmiana tego programu zwany RAT (ko trojaski ze zdalnym dostpem), ktry umoliwia atakujcemu peny dostp do naszego komputera, tak jakby siedzia przy naszej klawiaturze.

Istniej jeszcze dwa rodzaje niebezpiecznego oprogramowania, ktrych sposb dziaania moe nas zaszokowa. Jeden z nich jest w stanie przesya kade sowo, jakie wypowiemy w zasigu komputerowego mikrofonu, nawet wwczas, gdy wydaje nam si, e jest on wyczony. Jeeli natomiast mamy komputer wyposaony w kamer sieciow, napastnik moe za pomoc odmiany tej techniki widzie wszystko, co dzieje si wok naszego komputera, rwnie wwczas, gdy wydaje si nam, e kamera jest wyczona. Haker ze specyficznym poczuciem humoru moe prbowa zainstalowa w naszym systemie program stworzony specjalnie po to, by wyprowadzi nas z rwnowagi. Moe na przykad otwiera co jaki czas napd CD-ROM lub zmniejsza rozmiary okna programu, ktrego wanie uywamy. Moe te uruchomi odtwarzanie pliku dwikowego przy penej gonoci w rodku nocy. Jest to niezbyt zabawne, ale przynajmniej nie wyrzdza jakich realnych szkd.

Uwaga Mitnicka
Wystrzegajmy si wszelkich prezentw oferowanych nam w e-mailach, aby naszej firmy nie spotka los podobny do tragedii miasta Troja. W razie wtpliwoci naley korzysta z programw antywirusowych.

Wiadomo od przyjaciela
Scenariusz moe by jeszcze gorszy, nawet wtedy, gdy zastosowalimy rodki ostronoci. Wyobramy sobie, e zdecydowalimy si nie dawa hakerom adnych szans. Dlatego nie bdziemy wicej pobiera adnych plikw

109

ze stron, poza tymi, ktre znamy i wiemy e s bezpieczne, np. SecurityFocus.com czy Amazon.com. Nie bdziemy te klika odnonikw w e-mailach otrzymanych z niewiadomego rda. Nie bdziemy ju otwiera zacznikw do e-maili, ktrych si nie spodziewalimy. Bdziemy sprawdza, czy w przegldarce pojawia si symbol bezpiecznego poczenia podczas kadej przeprowadzanej transakcji internetowej lub wymiany poufnych informacji. Pewnego dnia otrzymujemy jednak e-maila od przyjaciela lub wsppracownika, ktry zawiera zacznik. Czy moe by w nim co niebezpiecznego, jeeli pochodzi od kogo, kogo dobrze znamy? Niby nie, szczeglnie jeeli wiemy, kogo wini, jeeli zniszczone zostan nasze dane. Otwieramy zacznik i... BUM! Otrzymalimy wirusa lub konia trojaskiego. Jak kto, kogo znamy, mg nam co takiego zrobi? Niektre rzeczy nie s tym, na co wygldaj. Bya ju o tym mowa: wirus, ktry dostaje si do czyjego komputera i wysya si do wszystkich, ktrzy znajduj si w ksice adresowej. Kada z tych osb otrzymuje wiadomo od kogo, kogo zna i komu ufa i kada z tych wiadomoci zawiera wirusa, ktry rozprzestrzenia si jak fale na spokojnej wodzie, gdy wrzucimy do niej kamie. Technika ta jest efektywna, poniewa mamy tu przysowiowe dwie pieczenie przy jednym ogniu: moliwo propagacji do niczego nie podejrzewajcych ofiar i identyfikator nadawcy, ktry sugeruje pochodzenie wiadomoci od zaufanej osoby. To straszne, ale prawdziwe, e przy obecnym poziomie technologii moemy otrzyma e-maila od kogo bliskiego i zastanawia si, czy jego otwarcie jest bezpieczne.

Uwaga Mitnicka
Czowiek wymyli wiele wspaniaych rzeczy, ktre zmieniy wiat i nasze ycie. Jednak wraz z pojawieniem si jakiejkolwiek nowej technologii, czy to telefonw, czy komputerw, czy Internetu, pojawiaj si nowe sposoby wykorzystania jej w nieuczciwych zamiarach.

Wariacje na temat
W czasach oglnej dostpnoci Internetu popularne stao si oszustwo polegajce na przekierowaniu uytkownika na faszyw witryn. Zdarza si to

110

do regularnie i przyjmuje wiele form. Przedstawiony tu przykad oparty na prawdziwych wydarzeniach jest do reprezentatywny.

Wesoych wit
Emerytowany sprzedawca ubezpiecze imieniem Edgar odebra pewnego dnia e-mail z PayPal firmy oferujcej szybki i wygodny sposb dokonywania patnoci w sieci. Ten rodzaj usugi jest szczeglnie przydamy, kiedy osoba z jednej czci kraju (lub wiata) kupuje co od innej osoby, ktrej nie zna. PayPal obcia kart kredytow kupujcego i przelewa pienidze bezporednio na konto sprzedajcego. Bdc kolekcjonerem starych pojemnikw szklanych, Edgar przeprowadza duo transakcji, korzystajc z wirtualnego domu aukcyjnego eBay i czsto korzysta z PayPal czasami nawet kilka razy w tygodniu. Dlatego te zainteresowaa go wiadomo otrzymana okoo Boego Narodzenia 2001, oferujca nagrod za aktualizacj konta w PayPal. Wiadomo brzmiaa nastpujco: witeczne pozdrowienia dla staego klienta PayPal; Nadchodzi Nowy Rok. Aby stary upyn szybciej PayPal zwikszy stan Paskiego konta o 5$! Aby otrzyma wspomniany prezent wystarczy zaktualizowa informacje na swojej bezpiecznej witrynie PayPal do 1 Stycznia 2002. Kady rok przynosi wiele zmian. Aktualizujc informacje na swoim koncie umoliwi nam Pan dalsze wiadczenie Panu i naszym staym klientom usug jak najwyszej jakoci usug i pomoe utrzyma porzdek w naszych danych! Aby zaktualizowa informacje teraz i otrzyma natychmiast 5$ na konto PayPal wystarczy klikn ten link: http://www.paypal-secure.com/cgi-bin Dzikujemy za korzystanie z PayPal i pomoc w utrzymywaniu pozycji lidera na rynku! Serdeczne yczenia. Wesoych wit i szczliwego Nowego Roku. Zaoga PayPal

111

Edgar nie zauway ani jednego z kilku wyranych znakw, mwicych, e co jest nie tak (na przykad rednik po wierszu z pozdrowieniami czy nieporadny tekst naszym staym klientom usug jak najwyszej jakoci usug). Klikn wic podane cze, wprowadzi potrzebne informacje nazwisko, adres, numer telefonu, informacje o karcie kredytowej i czeka, a na nastpnym wydruku stanu karty kredytowej pojawi si rzeczone 5 dolarw. Zamiast tego otrzyma list obcie za rzeczy, ktrych nigdy nie kupi.

Uwaga na temat sklepw internetowych

S ludzie, ktrzy maj opory przed kupowaniem za porednictwem Internetu nawet od firm z grnej pki, takich jak Amazon, eBay lub stron internetowych firm Old Navy, Target lub Nike. W pewnym sensie ich podejrzliwo jest uzasadniona. Jeeli nasza przegldarka uywa standardowego dzi szyfrowania 128bitowego, informacja, ktr przesyamy do ktrej z wiodcych bezpiecznych witryn sklepowych, wychodzi od nas w postaci zakodowanej i prawdopodobnie nie da si jej odczyta w krtkim czasie, chyba e wemie si za to Narodowa Agencja Bezpieczestwa NSA (z naszych informacji wynika, e NSA na dzie dzisiejszy nie jest zainteresowana kradzie numerw kart kredytowych lub dowiadywaniem si, kto zamawia filmy pornograficzne i seksown bielizn). Jednak podczas kiedy sklepy internetowe dokadaj wielkich stara, aby chroni dane podczas transmisji, wiele z nich popenia bd, przechowujc informacje dotyczce klientw w postaci niezaszyfrowanej w bazach danych. Co gorsza, wiele sklepw internetowych, ktre uywaj oprogramowania SQL Microsoftu, znacznie powiksza ten problem: nie zmieniajc domylnego hasa dla administratora systemu. Po zainstalowaniu programu haso brzmi null. Okazuje si, e w ich przypadku haso to dziaa do dzisiaj. W ten sposb zawarto bazy staje si dostpna dla kadego uytkownika Internetu, ktry jest tego faktu wiadomy i sprbuje poczy si z baz. Ze stron tych stale kradzione s informacje. Z drugiej strony ci sami ludzie, ktrzy obawiaj si zakupw przez Internet, bojc si o dane swojej karty kredytowej, nie widz problemu podczas pacenia kart w pobliskim sklepie z materiaami budowlanymi lub za obiad albo za drinki w podejrzanym barze, do ktrego na pewno nie zaprosiliby swojej matki. Z miejsc takich notorycznie kradzione bywaj potwierdzenia transakcji lub kto wyjmuje je z kontenera na mieci stojcego za lokalem. Pozbawiony skrupuw urzdnik lub kelner moe zanotowa nasze nazwisko i informacje o karcie, ewentualnie uy gadetu dostpnego za porednictwem Internetu, ktry przechowuje dane kadej karty kredytowej zeskanowanej przez niego.

112

Kady pilot wie, e najniebezpieczniejsza cz lotu to dojazd na lotnisko i powrt z niego. Sam lot nie jest pozbawiony ryzyka, ale statystyki notuj niezmiennie, e latanie jest bezpieczniejsze ni jedenie samochodem. Podobnie jest z zakupami internetowymi: istnieje jakie ryzyko w zakupach robionych poprzez Internet, ale nie jest ono wcale wiksze od ryzyka podczas kupowania w zwykym sklepie. Banki oferuj pewien dodatkowy rodzaj ochrony, jeeli uywamy kart w sieci np. jeeli miay miejsce jakie nieautoryzowane zakupy, odpowiadamy jedynie za pierwsze 50$. Dlatego te moim zdaniem obawy zwizane z zakupami przez Internet nie s uzasadnione.

Analiza oszustwa
Edgar pad ofiar typowego internatowego oszustwa. Przybiera ono rne formy. Jedna z nich (opisana w rozdziale 9.) wykorzystuj faszyw stron uwierzytelniajc stworzon przez socjotechnika, ktra udaje stron jakiej witryny. Rnica polega na tym, e faszywa strona nie daje dostpu do witryny, na ktr uytkownik prbuje wej, a zamiast tego haker odbiera login i haso uytkownika. Podstp w przypadku Edgara polega na tym, e oszuci zarejestrowali domen paypal-secure.com ktra wydaje si bezpieczn stron oficjalnej witryny PayPal, jednak ni nie jest. Z chwil kiedy Edgar wprowadzi na stronie informacje o sobie, zostay one przejte przez napastnikw.

Uwaga Mitnicka
Za kadym razem, gdy odwiedzamy stron, ktra wymaga od nas podania prywatnych informacji, naley upewni si, czy poczenie jest uwierzytelnione, a dane szyfrowane. Waniejsze jednak jest to, by nie klika automatycznie przycisku Tak w pojawiajcych si oknach dialogowych, ktre mog ostrzega nas o nieprawidowym, przedawnionym lub uchylonym certyfikacie bezpieczestwa.

Wariacje na temat wariacji

Ile jest innych sposobw wabienia uytkownikw komputerw na faszywe strony internetowe, gdzie zostawiaj oni swe poufne informacje osobiste?

113

Nie przypuszczam, by kto mg udzieli dokadnej odpowiedzi na to pytanie, ale sowo mnstwo powinno zaatwi spraw.

Faszywe cza
Bardzo popularnym trikiem jest wysyanie e-maili oferujcych jaki kuszcy powd, dla ktrego warto odwiedzi dan stron, i zawierajcych bezporednie cze do niej. Niestety, cze zwykle nie prowadzi na stron, ktrej si spodziewamy, poniewa tylko udaje cze do tej strony. Oto przykad faszywego cza, ktrego uycie w rzeczywistoci miao miejsce. cze miao z pozoru wskazywa stron firmy PayPal: www.PayPai.com Na pierwszy rzut oka napis wyglda na PayPal. Nawet, jeeli uytkownik zauway bd, moe pomyle, e to jaka niedoskonao w sposobie wywietlania tekstu, ktra sprawia, e l wyglda jak i. Kto jednak zdoaby odgadn, e w adresie: www.PayPa1.com uyto cyfry 1 zamiast maej litery l? Jest tylu ludzi, ktrzy nie potrafi dostrzec bdw w pisowni i podobnych bdnych przekierowa, e sztuczka ta nie przestaje by popularna wrd internetowych zodziei kart kredytowych. Faszywa strona zwykle wyglda jak strona, na ktr spodziewali si wej, dlatego zostawiaj tam beztrosko swj numer karty kredytowej. Aby zastawi tego typu puapk, napastnik musi jedynie zarejestrowa faszyw domen, rozesa e-maile i czeka na naiwnych, ktrzy koniecznie chc by oszukani. W poowie 2002 roku otrzymaem e-mail, ktry wyglda na wiadomo z eBay. Nadawca by oznaczony jako Ebay@ebay.com. Poniej przedstawiono tre wiadomoci. Temat: Szanowny uytkowniku eBay Zauwaylimy, e niepowoana osoba korzysta z Paskiego konta eBay i narusza jeden z punktw naszej umowy, ktry przytaczamy: 4. Licytacja i kupowanie Po zakupie przedmiotu za podan cen lub wygraniu licytacji, poprzez zaoferowanie najwyszej ceny, kupujcy ma obowizek sfinalizowania transakcji. Jeeli w chwili zakoczenia

114

aukcji zaoferowana przez Pastwa cena jest najwysza (wysza od innych cen co najmniej o wielko minimalnego przebicia i wysza od ceny minimalnej) i nasza oferta zostaa zaakceptowana przez sprzedajcego, s Pastwo zobowizani do dokonania transakcji, o ile nie jest ona niezgodna z prawem lub niniejsz umow. Niniejsza wiadomo ma zwrci Pana uwag, e Paskie konto naruszyo interesy innych uytkownikw eBay, dlatego prosimy o natychmiastow jego weryfikacj. W przypadku braku weryfikacji z Paskiej strony bdziemy zmuszeni zlikwidowa konto. Weryfikacji mona dokona pod nastpujcym adresem http: //error_ebay.tripod.com ********************************************* Uyte nazwy i znaki handlowe s wasnoci wymienionych firm. eBay i logo eBay s zastrzeone przez firm eBay Inc.

Ci, ktrzy kliknli to cze, zostali przekierowani na witryn, ktra wygldaa bardzo podobnie jak eBay. Bya ona wietnie dopracowana, zawieraa oryginalne logo eBay, a wszelkie przyciski nawigacyjne typu przegldaj czy kup kieroway do prawdziwej strony Ebay. Przegldarka wskazywaa, e poczenie jest bezpieczne. Twrca strony zadba nawet o to, by uy szyfrowania HTML, uniemoliwiajcego wyledzenie miejsca, do ktrego przesane zostay wprowadzone tam dane. Jest to doskonay przykad ataku socjotechnicznego z wykorzystaniem komputera. Nie by on jednak pozbawiony pewnych niedoskonaoci. Wiadomo nie bya zbyt dobrze napisana. W szczeglnoci akapit rozpoczynajcy si od sw: Niniejsza wiadomo ma zwrci Pana uwag, brzmi do niezdarnie i nieprofesjonalnie (ludzie dopuszczajcy si takich czynw nigdy nie wynajmuj profesjonalnych copywriterw, co zwykle atwo zauway). Poza tym, co bardziej ostrona osoba mogaby zada sobie pytanie, dlaczego eBay prosi mnie o informacje z PayPal. Nie ma powodu, dla ktrego eBay miaby pyta o prywatne informacje zwizane z inn firm. Dowiadczony uytkownik Internetu zauwayby prawdopodobnie, e hipercze nie prowadzi do domeny Ebay, tylko do tripod.com darmowych stron internetowych. Jest to oczywisty znak, e strona jest faszywa. Z pewnoci jednak wielu ludzi wprowadzio tam swoje informacje wraz z numerem karty kredytowej.

115

Uwaga Mitnicka
Dlaczego pozwala si ludziom rejestrowa domeny, ktre wygldaj jak potencjalne puapki? Ot zgodnie z obowizujcym prawem, kady moe w Internecie zarejestrowa domen. Niektre firmy staraj si walczy z tym procederem, ale czsto jest to walka z wiatrakami. General Motors wytoczy proces firmie, ktra zarejestrowaa domen fuckgeneralmotors, wskazujc witryn General Motors, i przegra spraw.

Bd czujny
Indywidualni uytkownicy Internetu powinni by czujni i podejmowa rozsdne decyzje o tym, kiedy podawanie swoich danych osobistych, hase, numerw kont itp. jest uzasadnione i bezpieczne. Ile znanych nam osb jest w stanie stwierdzi, czy dana strona internetowa spenia wymagania strony bezpiecznej? Jak wielu pracownikw naszej firmy wie, po czym to pozna? Kady, kto korzysta z Internetu, powinien zna may symbol, ktry czasami pojawia si na stronie i przypomina kdk. Naley zdawa sobie spraw, e zamknity zatrzask oznacza, e strona posiada certyfikat bezpieczestwa. Kiedy zatrzask jest otwarty lub ikona kdki si nie pojawia, strona nie zostaa uwierzytelniona jako oficjalna i kada przesana informacja bdzie niezaszyfrowana. Z drugiej strony, napastnik, ktry zdoa uzyska przywileje administratora na komputerze firmy, moe zmieni kod systemu operacyjnego w taki sposb, aby uytkownik nie by wiadomy, co si tak naprawd dzieje. Moe on na przykad wprowadzi zmiany we fragmencie kodu przegldarki odpowiedzialnym za sprawdzanie, czy dane poczenie posiada certyfikat autentycznoci, tak aby kontrola ta w ogle nie nastpowaa. System moe by rwnie zmodyfikowany poprzez instalacj tylnych drzwi na poziomie systemu operacyjnego, co jest bardzo trudne do wykrycia.

argon
Tylne drzwi ukryta moliwo wejcia do systemu uytkownika. Trik ten jest uywany rwnie przez programistw w trakcie pisania programw i umoliwia im atwe wejcie do programu w celach diagnostycznych.

116

Bezpieczne poczenie uwierzytelnia stron jako oryginaln i szyfruje przekazywane tam informacje, dlatego napastnik nie jest w stanie wykorzysta jakichkolwiek przechwyconych danych. Czy mona mie zaufanie do witryn, nawet do tych, ktre korzystaj z bezpiecznego poczenia? Nie, dlatego, e waciciel strony moe popeni jakie niedopatrzenie w swoim systemie bezpieczestwa lub nie pilnowa, aby uytkownicy i administratorzy przestrzegali odpowiednich praktyk dotyczcych ochrony hase. Nie mona wic zakada, e z pozoru bezpieczna strona nie jest naraona na atak. Bezpieczne HTTP (hypertext transfer protocol) lub protok SSL (secure socket layer) zapewniaj automatyczny mechanizm, ktry uywa cyfrowych certyfikatw nie tylko do szyfrowania informacji przesyanych na inne witryny, ale rwnie do uwierzytelniania (upewniania uytkownika, e korzysta z oryginalnej witryny). Jednak ten mechanizm ochronny nie dziaa, jeeli uytkownik nie zwraca uwagi na to, czy adres strony, ktry wywietli si w pasku adresu, jest poprawny.

argon
SSL (Secure Socket Layer) protok stworzony przez Netscape, ktry umoliwia uwierzytelnianie na potrzeby bezpiecznej komunikacji poprzez Internet zarwno po stronie klienta, jak i serwera.

Innym elementem zwizanym z bezpieczestwem, najczciej ignorowanym, jest komunikat ostrzeenia, ktry mwi: Ogldana strona nie jest bezpieczna lub wygas jej certyfikat bezpieczestwa. Czy chcesz mimo to j przeglda?. Wielu uytkownikw Internetu nie rozumie tego komunikatu i kiedy si on pojawia, po prostu przyciskaj OK i kontynuuj surfowanie, niewiadomi tego, e by moe znaleli si na niepewnym gruncie. Naley pamita, e bdc na stronie, ktra nie uywa bezpiecznego protokou, nie naley nigdy wprowadza poufnych informacji takich jak haso, ktrego uywamy gdzie indziej, adres lub numer telefonu, karty kredytowej czy konta bankowego i wszelkich prywatnych informacji. Thomas Jefferson powiedzia, e zachowanie wolnoci wymaga od nas wiecznej czujnoci. Zachowanie prywatnoci i bezpieczestwa w spoeczestwie, w ktrym informacja przelicza si na pienidz, wymaga nie mniejszego wysiku.

117

Uwaga na wirusy
Uwaga specjalna dotyczca oprogramowania antywirusowego: jest ono niezbdne dla firmowego intranetu oraz dla kadego pracownika, ktry korzysta z komputera. Poza samym posiadaniem oprogramowania antywirusowego zainstalowanego na komputerze musi ono by oczywicie wczone (czego wielu ludzi nie lubi, bo spowalnia to dziaanie niektrych aplikacji). Istnieje jeszcze jedna wana procedura zwizana z oprogramowaniem antywirusowym aktualizacja definicji wirusw. Jeeli firma nie posiada systemu dystrybucji aktualizacji poprzez sie do kadego uytkownika, to kady uytkownik musi dopilnowa pobrania najnowszej wersji definicji wirusw. Osobicie zalecam takie ustawienie opcji programu antywirusowego, aby nowe definicje instaloway si automatycznie codziennie. Mwic wprost jeeli nie aktualizujemy regularnie definicji wirusw, jestemy naraeni na niebezpieczestwo. Nawet jeeli to robimy, wci jestemy naraeni na wirusy, o ktrych producent oprogramowania jeszcze nie wie lub nie zdy stworzy wykrywajcej je procedury. Wszyscy pracownicy, ktrzy maj zdalny dostp do serwerw firmy ze swoich laptopw lub komputerw w domu, musz aktualizowa swoje oprogramowanie antywirusowe i stosowa na swoich komputerach firewalle jako niezbdne minimum. Pierwszym krokiem wyrafinowanego napastnika jest oglny ogld celu, aby odnale najsabszy punkt, a nastpnie go zaatakowa. Odpowiedzialno za firm wymaga staego przypominania pracownikom o stosowaniu firewalli i aktualizacji oprogramowania antywirusowego. Nie mona oczekiwa od wszystkich menederw, przedstawicieli handlowych i innych pracownikw, e bd pamitali o niebezpieczestwach, jakie niesie z sob pozostawienie komputera niezabezpieczonego. Poza tymi krokami zalecam stosowanie mniej popularnych, ale nie mniej istotnych pakietw oprogramowania, ktre strzeg nas przed komi trojaskimi. W chwili pisania tej ksiki dwa najbardziej znane to Cleaner (www.moosoft.com) i Trojan Defense Sweep (www.diamondc.com.au). Wreszcie najwaniejsza sprawa zwizana z bezpieczestwem firm, ktre nie skanuj caej poczty przychodzcej z zewntrz pod ktem niebezpiecznej zawartoci: jako e mamy tendencje do mniejszego przywizywania wagi do rzeczy niezwizanych bezporednio z nasz prac, naley stale przypomina pracownikom, aby nie otwierali zacznikw do poczty, chyba e s pewni osoby lub organizacji, ktra j przesaa. Kierownictwo musi rwnie stale przypomina pracownikom o koniecznoci stosowania oprogramowania antywirusowego i wykrywaczy koni trojaskich nieocenionej ochrony przed e-mailami, ktre wygldaj na godne zaufania, a zawieraj destrukcyjny adunek.

8
Wspczucie wina i zastraszenie
W rozdziale 15. opisano, jak socjotechnik wykorzystuje znajomo ludzkiej psychiki, aby podporzdkowa sobie ofiar. Dowiadczeni socjotechnicy s biegli w tworzeniu sytuacji stymulujcych takie emocje jak strach, podekscytowanie czy poczucie winy. W tym celu korzystaj z tych wewntrznych mechanizmw osobowoci, ktre ka ludziom reagowa na proby bez gruntownej analizy sytuacji. Wszyscy dymy do unikania trudnych sytuacji dotyczcych nas samych lub innych osb. Bazujc na tej pozytywnej cesze, napastnik moe wykorzystywa wspczucie ofiary, sprawi, by czua si winna, lub zastraszy j. Oto par podstawowych przykadw prezentujcych, jak mona gra na emocjach.

119

Wizyta w studio
Niektrzy ludzie potrafi przej obok osoby pilnujcej wejcia np. do hotelowej sali bankietowej, gdzie odbywa si jakie prywatne przyjcie lub spotkanie, w taki sposb, e nie zostan nawet zapytani o zaproszenie czy bilet. Na podobnej zasadzie socjotechnik potrafi tak pokierowa rozmow, e doprowadzi do wrcz nieprawdopodobnych ustale co obrazuje ponisza historia.

Telefon
Biuro Rona Hillyarda. Mwi Dorothy. Dzie dobry, Dorothy. Nazywam si Kyle Bellamy. Jestem nowym pracownikiem i mam pracowa przy animacji w ekipie Briana Glassmana. Wiele rzeczy u was robi si inaczej. Pewnie tak. Nigdy nie pracowaam w innej firmie, wic trudno mi cokolwiek powiedzie. W czym mog ej pomc? Prawd mwic, jest mi troch gupio. Dzi po poudniu przychodzi scenarzysta na spotkanie, a ja nawet nie wiem, z kim trzeba rozmawia o wprowadzeniu go do studia. Ludzie z biura Briana s bardzo mili, ale nie chc im cay czas zawraca gowy pytaniami typu: Jak si robi to?, Jak si robi tamto?. Czuje si, jakbym by pierwszy dzie w podstawwce i nie umia znale drogi do ubikacji, znasz pewnie to uczucie? Dorothy rozemiaa si. A kiedy ju znajdziesz ubikacj, to nie wiesz, jak potem wrci. Zamiaa si ponownie na myl o jakim wspomnieniu z przeszoci, po czym powiedziaa: Musisz zwrci si do ochrony. Wykr 7, a potem 6138. Jeli odbierze Laurean, powiedz jej, e Dorothy prosia, eby si tob zaopiekowaa. Dziki, Dorothy. Jeeli nie bd potrafi znale drogi do mskiej toalety, by moe zadzwoni jeszcze raz! Zamiali si jeszcze na koniec i odoyli suchawki.

120

Historia Davida Harolda

Kocham kino, a wic kiedy przeprowadziem si do Los Angeles, mylaem, e bd co chwila spotyka jakich ludzi z brany filmowej, a oni bd zabiera mnie na przyjcia lub zaprasza na lunche do studia. Po roku pobytu w tym miecie zbliay si moje dwudzieste szste urodziny i najbliszym moim spotkaniem z przemysem filmowym bya wycieczka do Universal Studios z miymi ludmi z Pxoenix i Cleveland. W kocu doszedem do wniosku, e skoro oni nie chc mnie zaprosi, wprosz si sam. Tak te zrobiem. Kupiem gazet Los Angeles Times i przeczytaem rubryk rozrywka, zapisujc nazwiska producentw z rnych studiw. Zdecydowaem si zaatakowa w pierwszej kolejnoci jedno z najwikszych. Zadzwoniem wic na central i poprosiem o poczenie z biurem producenta, ktrego nazwisko wyczytaem w gazecie. Gos sekretarki, ktra odebraa telefon, by gosem dojrzaej kobiety z rozwinitym instynktem opiekuczym, wic trafiem dobrze. Jeeli trafibym na jedn z tych modych dziewczyn, ktre pracuj tam w nadziei na bycie odkryt, prawdopodobnie nie byaby zbyt skora do pomocy. Dorothy natomiast wydawaa si jedn z tych osb, ktre przynosz do domu bezdomne koty i potrafi wspczu nowemu pracownikowi przytoczonemu nieco nowym rodowiskiem, wic szybko udao mi si z ni nawiza bliski kontakt. Nie co dzie osoba, ktr staramy si oszuka, daje nam wicej ni si po niej spodziewamy. W gecie wspczucia podaa mi nazwisko jednej z pracownic ochrony, ktrej miaem powiedzie, e Dorothy chce mi pomc. Oczywicie planowaem tak czy inaczej uy jej imienia. To tylko uprocio spraw. Lauren otworzya bram od razu, nie sprawdzajc nawet, czy nazwisko, ktre podaem, figuruje na licie pracownikw. Kiedy podjechaem tego popoudnia pod bram, moje nazwisko nie tylko figurowao na licie goci, ale przygotowano rwnie dla mnie miejsce do parkowania. W stowce zjadem pny lunch i do koca dnia wczyem si po studiach. Udao mi si nawet wlizgn do paru studiw, w ktrych krcono akurat sceny do filmw. Zwiedzaem a do 19:00. Tego dnia naprawd doskonale si bawiem.

121

Analiza oszustwa
Kady kiedy by nowym pracownikiem. Wszyscy mamy wspomnienia z pierwszych dni pracy, szczeglnie z czasw, kiedy bylimy modzi i niedowiadczeni. Gdy nowy pracownik prosi o pomoc, mona si spodziewa, e wielu ludzi szczeglnie tych na niszych stanowiskach przypomni sobie wasne przeycia z pierwszych dni pracy i poda mu pomocn do. Socjotechnik zdaje sobie z tego spraw i wie, e moe w ten sposb wykorzystywa wspczucie swoich ofiar. W ten wanie sposb uatwiamy obcym dostanie si na teren biur i zakadw naszej firmy. Mimo stranikw pilnujcych wej i procedur rejestrowania wchodzcych, uycie jednej z wielu wariacji opisanej tu taktyki umoliwi intruzowi uzyskanie identyfikatora gocia i wejcie na teren firmy. A co, jeeli w naszej firmie obowizuje zasada eskortowania obcych? Sama zasada jest dobra, ale dziaa jedynie wwczas, jeeli wszyscy pracownicy maj nawyk zatrzymywania kadego, kto ma identyfikator gocia, lub nie ma identyfikatora w ogle, i porusza si sam po terenie firmy, i zadawania mu odpowiednich w tej sytuacji i pyta. Jeeli odpowiedzi wydadz si podejrzane, pracownik powinien wezwa ochron. W sytuacji, gdy dostanie si na teren firmy staje si zbyt proste, jej poufne zasoby informacyjne s w niebezpieczestwie. Co wicej, biorc pod uwag dzisiejsze zagroenie atakami terrorystycznymi, naraamy w ten sposb nie tylko informacje.

Zrb to teraz!
Nie kady, kto uywa metod socjotechniczych, jest typowym socjotechnikiem. Dowolna osoba posiadajca wiedz o strukturze firmy moe okaza si niebezpieczna. Ryzyko staje si wiksze, jeeli firma przechowuje w swoich aktach informacje o pracownikach. A jak wiadomo, robi to wikszo przedsibiorstw. W sytuacji, gdy pracownicy nie s wyszkoleni w rozpoznawaniu socjotechnikw, zdeterminowane osoby, takie jak porzucona dama opisana w nastpnej historii, mog robi rzeczy, ktre uczciwym ludziom wydaj si nieprawdopodobne.

122

Historia Douga
Z Lind sprawy nie ukaday si zbyt dobrze, wic kiedy poznaem Erin, poczuem, e to ta kobieta jest dla mnie stworzona. Linda jest troch jakby... moe niezrwnowaona to ze sowo, ale kiedy si zdenerwuje, zdecydowanie za bardzo j ponosi. W jak najagodniejszy sposb powiedziaem jej, e musi si wyprowadzi, i pomogem jej si spakowa, a nawet oddaem jej par pyt Queensryche, ktre tak naprawd byy moje. Jak tylko si wyprowadzia, poszedem do sklepu kupi nowy zamek do drzwi wejciowych i zaoyem go jeszcze tego samego wieczora. Nastpnego ranka zadzwoniem do telekomunikacji i poprosiem o zmian numeru telefonu i jego zastrzeenie. Teraz mogem ju zaj si Erin.

Historia Lindy
Tak czy inaczej byam gotowa si wyprowadzi. Nie wiedziaam tylko kiedy. Nikt jednak nie lubi czu si odrzuconym. Zastanawiaam si, co zrobi, aby poczu, jaki z niego dure. atwo byo si zorientowa, o co chodzi. Pojawia si w jego yciu jaka inna kobieta, w przeciwnym razie nie kazaby mi si tak szybko pakowa. Odczekaam wic jaki czas i postanowiam dzwoni do niego pnymi popoudniami. Ostatni rzecz, jak chcieliby usysze o tej porze jest dzwonek telefonu. Odczekaam do nastpnego weekendu i zadzwoniam okoo 23:00 w sobot wieczorem. Okazao si, e zmieni numer telefonu, a nowy zastrzeg. To tylko pokazuje, jaki by z niego skurczybyk. Byam bliska rezygnacji. Zaczam szpera w papierach, ktre udao mi si zabra do domu tu przed tym, jak przestaam pracowa w firmie telekomunikacyjnej, i znalazam pokwitowanie naprawy telefonu Douga wraz z wydrukiem, ktry podawa numer kabla i pary dla jego aparatu. Numer telefonu mona zmieni w kadej chwili, ale jest wykorzystywany cigle ten sam kabel, ktry biegnie od domu do centrali telefonicznej. Jeeli wiemy co nieco o dziaaniu firmy telekomunikacyjnej, numery te wystarcz, by zdoby numer telefonu. Miaam rwnie list wszystkich central w miecie wraz z adresami i nu-

123

merami telefonw. Znalazam numer do centrali znajdujcej si w ssiedztwie miejsca, w ktrym mieszkaam z tym durniem, Dougiem. Zadzwoniam tam, ale oczywicie nikt nie odebra. Zawsze, kiedy s potrzebni, to ich nie ma. Po dwudziestu sekundach zastanawiania przyszed mi do gowy plan. Zaczam dzwoni do innych central i w kocu dowiedziaam si, gdzie jest operator. By jednak gdzie daleko od centrali i prawdopodobnie nie zrobiby tego, o co chciaam go poprosi. Nadszed wic czas na wcielenie planu w ycie. Tu Linda, Centrum Serwisowe powiedziaam. Mamy tu piln spraw zerwao si poczenie ze szpitalem. Wysalimy tam serwisanta, ale nie moe niczego znale. Musi pan natychmiast pojecha do centrali w Webster i sprawdzi, czy wychodzi do nich z centrali. Zadzwoni do pana, kiedy tam dojad dodaam jeszcze, jako e nie mogam dopuci do tego, by zatelefonowa do Centrum Serwisowego i pyta o mnie. Wiedziaam, e nie chciao mu si opuszcza ciepego miejsca, w ktrym przebywa, wychodzi na mrz, zdrapywa lodu z przedniej szyby samochodu i jecha w nocy liskimi drogami. Sprawa bya jednak alarmowa i nie mg za bardzo wymiga si innymi obowizkami. Kiedy spotkaam go 45 minut pniej w centrali Webster, powiedziaam mu, aby sprawdzi kabel 29, par 2481. Podszed do pulpitu, sprawdzi i powiedzia, e jest sygna. Tego akurat nie musia mi mwi. Powiedziaam wic: Dobrze, prosz jeszcze zrobi WL skrt ten oznacza weryfikacj linii, ktra w zasadzie polega na zapytaniu o numer telefonu. Robi si to, dzwonic na specjalny numer, ktry odczytuje numer telefonu znajdujcego si na drugim kocu kabla. Nie mg wiedzie, e numer ten jest zastrzeony lub e wanie by zmieniony, wic zrobi, o co go poprosiam, odczytujc numer telefonu. Usyszaam w suchawce jak automat recytuje kolejne cyfry numeru. Doskonale plan zadziaa. A wic problem musi by w terenie, skoro na ich kable podawany jest sygna powiedziaam mu, majc ju numer. Podzikowaam, powiedziaam, e bdziemy nad tym pracowa, i yczyam mu dobrej nocy. Tak zakoczya si prba ukrycia si Douga przede mn poprzez zastrzeenie numeru. Teraz dopiero zacznie si zabawa!

124

Analiza oszustwa
Moda kobieta bohaterka tej historii bya w stanie zdoby poszukiwan informacj, aby si zemci, poniewa miaa wiedz o strukturze organizacji: znaa numery telefonw, procedury i argon firmy telekomunikacyjnej. Wiedzc o tym wszystkim, bya w stanie nie tylko zdoby zastrzeony numer, ale dokona tego w rodku zimowej nocy, wysyajc operatora na przymusow przejadk przez miasto.

Uwaga Mitnicka
Z chwil, kiedy socjotechnik pozna zasady rzdzce firm, moe z powodzeniem nawiza kontakt z jej pracownikiem. Firma musi by przygotowana na ewentualne ataki socjotechniczne ze strony obecnych lub byych jej pracownikw. Kontrole wewntrzne mog pomc w pozbyciu si osb majcych inklinacje do takich zachowa. W wikszoci przypadkw bd oni niezwykle trudni do wykrycia. Jedyn sensown ochron jest w tym momencie ulepszenie procedur weryfikacji tosamoci, a w szczeglnoci sprawdzanie statusu pracownika w firmie przed udostpnieniem jakiejkolwiek informacji. Chodzi o sprawdzenie osoby, co do ktrej nie jestemy pewni, e jest obecnie zatrudniona w naszej firmie. Przedsibiorstwa musz szkoli swoich pracownikw, aby potrafili si oprze takiemu podstpowi.

Pan Prezes chce...

Popularn i wysoce efektywn form zastraszania (zapewne dziki swojej prostocie) jest wpywanie na ludzi za pomoc autorytetu. Samo nazwisko asystenta z biura zarzdu moe by w tym przydatne. Prywatni detektywi, a nawet owcy gw, robi to czsto. Dzwoni na central i prosz o poczenie z biurem zarzdu. Kiedy sekretarka lub asystentka zarzdu podniesie suchawk, mwi, e maj ten dokument, o ktry prosi prezes i, jeeli wyl go e-mailem, czy mogaby go wydrukowa? Albo pytaj, jaki jest numer faksu, proszc dodatkowo o nazwisko asystentki. Potem dzwoni do innej osoby i mwi: Jeannie z biura Prezesa powiedziaa mi, e pani pomoe mi w tej sprawie. Wymienianie imion innych pracownikw jest zwykle stosowane do osigania wraenia, e ma si bliskie kontakty z osob wysoko postawion w firmie. Ofiara chtniej zrobi co dla osoby, ktra zna kogo, kogo ona zna.

125

Jeeli celem napastnika jest zdobycie bardzo poufnej informacji, moe uy podobnej metody w celu wywoania okrelonych emocji u ofiary w trakcie rozmowy z ni, na przykad poczucia strachu przed reprymend od szefa. Oto przykad.

Historia Scotta
Scott Abrams. Scott, tu Christopher Dalbridge. Wanie dostaem telefon od prezesa Biggleya, ktry by bardzo niezadowolony. Mwi, e dziesie dni temu wysa notatk nakazujc waszym ludziom zebranie wszystkich wynikw bada rynku dla nas do analizy. Nic takiego nie i otrzymalimy. Badania rynku? Nikt mi o tym nie mwi. Z jakiego pan jest wydziau? Jestem z firmy konsultingowej wynajtej przez prezesa i mamy ju due opnienie. Wanie id na spotkanie. Prosz zostawi mi numer telefonu i... Napastnik przerwa mu tonem bliskim frustracji: A co ja mam powiedzie Prezesowi?! Suchaj pan, on potrzebuje naszych analiz do jutra rana i bdziemy musieli siedzie nad nimi w nocy. Czy mam powiedzie prezesowi, e nie moemy zrobi analiz, bo nie mamy od was raportw, czy moe sam mu to pan powie? Zo szefa moe zepsu cay tydzie. Ofiara najczciej zmienia zdanie i dochodzi do wniosku, e moe lepiej si tym zaj, zanim pjdzie na spotkanie. Socjotechnik znw nacisn odpowiedni przycisk, aby otrzyma oczekiwan odpowied.

Analiza oszustwa
Zastraszanie poprzez odwoanie si do autorytetu dziaa szczeglnie mocno wtedy, gdy ofiara zajmuje stosunkowo nisk pozycj w przedsibiorstwie. Uycie nazwiska wanej osoby nie tylko redukuje naturalny opr i podejrzliwo, ale wzmaga ch pomocy. Naturalna potrzeba bycia pomocnym wzrasta w sytuacji, kiedy wydaje si nam, e osoba, ktrej pomagamy, jest wana lub wpywowa.

126

Socjotechnik wie, e oszustwo to dziaa najlepiej, kiedy uywamy nazwiska kogo, kto ma wysze stanowisko ni bezporedni zwierzchnik danej osoby. Sztuczka ta jest trudna w przypadku maych organizacji. Nie jest na rk atakujcemu, kiedy istnieje dua szansa, e jego ofiara bdzie miaa okazj wspomnie szefowi marketingu: Wysaem ten plan marketingowy produktu, temu gociowi, ktremu pan kaza to przekaza. Co oczywicie spowoduje reakcj typu: Jaki plan marketingowy? Jaki go? ktra szybko doprowadzi do odkrycia ataku na firm.

Uwaga Mitnicka
Zastraszenie powoduje obaw przed kar, co z kolei zwiksza ch wsppracy. Zastraszenie moe rwnie wzmaga obaw przed omieszeniem lub utrat szansy na awans. Ludzi naley nauczy, e kwestionowanie autorytetw jest nie tylko dopuszczalne, ale i wymagane w sytuacji, gdy moe chodzi o bezpieczestwo firmy. Szkolenie dotyczce bezpieczestwa informacji powinno uczy ludzi, jak grzecznie kwestionowa autorytet tak, aby nie powodowao to konfliktw. Co wicej, samo szefostwo musi stale nakania do kwestionowania ich autorytetw. Jeeli pracownik nie bdzie mia pewnoci, e tego wanie si od niego oczekuje, wkrtce przestanie to robi.

Co wie o nas ubezpieczyciel?

Lubimy myle, e urzdy pastwowe przechowuj informacje o nas w cisym zamkniciu i poza zasigiem ludzi, ktrzy nie maj autentycznej potrzeby korzystania z nich. W rzeczywistoci nawet instytucje rzdowe nie s odporne na penetracj, jak moglibymy sobie to wyobraa.

Telefon do May Linn

Miejsce: biuro regionalne Urzdu Ubezpiecze Spoecznych. Czas: 10:18, wtorek. Oddzia 2. Mwi May Linn Wang.

127

Gos po drugiej stronie brzmia przepraszajco, niemal bojaliwie: Pani Wang, mwi Artur Arondale z biura inspektora generalnego. Mog mwi do pani May? Mam na imi May Linn odpowiedziaa. A wic May Linn, mam tak spraw. Mam tu nowego pracownika, dla ktrego nie ma jeszcze komputera, a w tym momencie musi zrobi piln rzecz, dlatego korzysta z mojego. Wyobraa sobie pani? Rzd Stanw Zjednoczonych nie ma w budecie pienidzy, aby kupi temu czowiekowi komputer. A mj szef myli teraz, e znalazem sobie dobr wymwk i nie da mi si nawet wytumaczy. Wie pani, jak to jest. No tak. Wiem, jak to jest. Czy mogaby pani zrobi dla mnie zapytanie w MCS? zapyta, posugujc si nazw systemu komputerowego do wyszukiwania danych podatnika. Pewnie. Czego pan potrzebuje? Potrzebowabym alphadent na nazwisko Joseph Johnson, urodzony 7.04.69 (Alphadent oznacza wyszukiwanie konta wedug nazwiska podatnika i, w drugiej kolejnoci, wedug jego daty urodzenia). Po krtkim oczekiwaniu zapytaa: Czego dokadnie pan potrzebuje? Jaki ma numer konta? spyta, uywajc argonowego skrtu okrelajcego numer ubezpieczenia spoecznego. May Linn odczytaa numer. Dobrze, a teraz potrzebuj numident na tym numerze konta powiedzia rozmwca. Bya to proba o odczytanie podstawowych danych podatnika. May Linn odpowiedziaa, podajc miejsce urodzenia, nazwisko panieskie matki, imi ojca. Rozmwca sucha cierpliwie, podczas gdy podawaa mu miesic i dzie, w ktrym wydana zostaa karta i biuro okrgowe, w ktrym zostaa wydana. Nastpnie poprosi o DEQY (skrt oznaczajcy zapytanie o szczegowe dochody). W odpowiedzi na prob o DEQY usysza pytanie: Na jaki rok? Na 2001 odpowiedzia. Ogem 190 286$, patnikiem jest Johnson MicroTech odrzeka May Linn. Inne rda dochodw? Nie ma.

128

 Dzikuje powiedzia. Bardzo mi pani pomoga. Nastpnie sprbowa umwi si ze swoj rozmwczyni w taki sposb, aby mg dzwoni kiedykolwiek, gdy bdzie potrzebowa informacji i nie bdzie mia dostpu do swego komputera. Jest to ulubiony trik socjotechnikw kiedy znajd dobre rdo informacji, prbuj nawiza taki kontakt, ktry pozwoli wrci do tej samej osoby. Dziki budowaniu wizi unikaj koniecznoci szukania nowego punktu zaczepienia. Nie w przyszym tygodniu powiedziaa, poniewa wyjeda do Kentucky na lub swojej siostry. Kiedykolwiek indziej zrobi, co bdzie moga. Kadc suchawk, May Linn czua si dobrze, e moga troch pomc koledze po fachu.

Historia Keitha Cartera

Sdzc po filmach i powieciach kryminalnych, prywatny detektyw nie jest moe mocny w dziedzinie etyki, ale za to posiada rozleg wiedz o sposobach wydobywania od ludzi interesujcych go informacji. W tym celu wykorzystuje nielegalne metody, zwykle unikajc o wos aresztowania. Prawda jest taka, e wikszo prywatnych detektyww prowadzi cakowicie zgodn z prawem dziaalno. Jako e wielu z nich rozpoczynao swoj karier jako policjanci, doskonale zdaj sobie spraw z tego, co jest legalne, a co nie, i raczej nie maj pokusy przekraczania tej granicy. Jest tu jednak pewne ale. Niektrzy detektywi rzeczywicie odpowiadaj wizerunkowi przedstawianemu w kryminaach. S oni znani w brany jako handlarze informacj jest to agodne okrelenie ludzi, ktrzy chtnie zami dla nas zasady. Zdaj sobie spraw, e pewne zlecenia mona wykona szybciej i atwiej, jeeli wybierze si drog na skrty. Fakt, e owe skrty s niezgodne z prawem i mog ich zaprowadzi rwnie dobrze na par lat za kratki, nie wydaje si ich odstrasza. Tymczasem renomowani detektywi ci, ktrzy wynajmuj ekskluzywne biura w bogatych dzielnicach miast nie wykonuj takich zada osobicie. Zwykle zlecaj je handlarzom informacjami. Czowiek, ktrego nazwiemy Keith Carter, by detektywem nie skrpowanym przez etyk.

129

*** Bya to typowa sprawa z rodzaju: Gdzie on ukry pienidze?. Tego typu pytanie padao czasem z ust bogatej pani, ktra chciaa wiedzie, gdzie m przechowuje gotwk. Keith Carter od zawsze zadawa sobie pytanie, dlaczego kobiety z pienidzmi wychodz za m za facetw, ktrzy ich nie maj, ale nigdy nie mg znale na nie dobrej odpowiedzi. Tym razem m nazywa si Joe Johnson i potrafi obchodzi si z pienidzmi. By to bardzo inteligentny czowiek, ktry zaoy firm dziaajc w brany nowoczesnych technologii, inwestujc dziesi tysicy dolarw poyczonych od rodziny swojej ony, po czym rozwin t firm, zwikszajc jej warto do stu milionw dolarw. Wedug prawnika ony zajmujcego si ich rozwodem majtek zosta skrztnie ukryty i trzeba byo go odnale. Keith obra sobie jako punkt startowy Urzd Ubezpiecze Spoecznych, stawiajc sobie za cel zdobycie przechowywanych tam akt na nazwisko Johnson, w ktrych mogo znajdowa si mnstwo przydatnych w tej sprawie informacji. Majc te akta, mg wcieli si w ma i zaatakowa banki, biura maklerskie i tym podobne instytucje, aby dowiedzie si tego, co trzeba. Keith ustawi sobie tym razem poprzeczk nieco wyej: chcia nie tylko zdoby informacje o Joe Johnsonie bdce w posiadaniu Urzdu Ubezpiecze Spoecznych, ale rwnie zaaranowa sprawy w taki sposb, aby mie w oddziale stae rdo informacji, z ktrego mgby korzysta w kadej chwili. Pierwszy telefon wykona do lokalnego oddziau urzdu, korzystajc z numeru rozpoczynajcego si od 0-800, z ktrego korzystaj wszyscy zwykli interesanci i ktry wymieniony jest w lokalnej ksice telefonicznej. Kiedy urzdnik odebra telefon, Keith poprosi o poczenie z kim z dziau zajmujcego si odszkodowaniami. Po chwili oczekiwania usysza gos po drugiej stronie. W tym momencie zaoy now mask: Cze powiedzia. Mwi Gregory Adams, urzd okrgowy 329. Prbuj dodzwoni si do inspektora, do ktrego naley konto z numerem koczcym si na 6363, ale wcza si tam faks. To oddzia drugi powiedzia rozmwca, po czym odszuka numer i poda go Sullyemu. Sully zadzwoni. Kiedy May Linn odebraa, poda si za urzdnika z biura gwnego inspektora i opowiedzia histori o tym, jak zosta pozbawiony komputera. May Linn podaa mu informacje, ktrych szuka, i zgodzia si pomaga mu, jeeli potrzebowaby podobnej pomocy w przyszoci.

130

Sekrety firmy dostpne w internecie

To nie do wiary, ale Urzd Ubezpiecze Spoecznych opublikowa w Sieci kopi dokumentacji programu, z ktrego korzystaj jego pracownicy, wypenion informacjami, ktre poza tym, e s przydatne urzdnikom, s rwnie niesamowicie cenne dla socjotechnikw. Dokumentacja zawiera skrty, argon i sposoby formuowania zapyta, ktre zostay wykorzystane w tej historii. Czy kto z Czytelnikw jest zainteresowany tym, jak dziaa Urzd Ubezpiecze Spoecznych? Wystarczy wyszuka te informacje poprzez Google lub wprowadzi adres: http://policy.ssa.gov/poms.nsf/ do przegldarki. Jeeli kto z Urzdu jeszcze nie przeczyta tej ksiki i nie usunito zawartoci strony, mona tam znale szczegowe informacje o tym, jakie dane urzdnik moe udostpnia policjantowi, albo, praktycznie rzecz ujmujc, kadej osobie, ktra jest w stanie przekona urzdnika, e jest policjantem.

Analiza oszustwa
Efektywno przedstawionej metody opiera si na grze na wspczuciu pracownika wywoanym opowieci o tym, jak osoba podajca si za urzdnika zostaa pozbawiona komputera i e mojego szefa nie interesuj takie wymwki. Ludzie nie okazuj w pracy zbyt czsto swoich uczu. Kiedy jednak to robi, mog zapomnie o stosowaniu standardowych mechanizmw obronnych zapobiegajcych atakom socjotechnicznym. Emocjonalny chwyt w stylu Mam kopoty, czy mgby mi pomc? wystarczy, aby wygra t parti. Napastnikowi mogoby si nie uda uzyska informacji od jednego z urzdnikw, ktry odbiera telefony z zewntrz. Ten rodzaj ataku, ktrego uy Sully, dziaa jedynie wwczas, gdy numer osoby po drugiej stronie nie jest powszechnie dostpny. Osoba taka spodziewa si, e dzwonicy bdzie osob z wewntrz. To kolejny przykad zabezpieczenia z czasw prohibicji. Oto elementy, ktre uczyniy ten atak skutecznym: znajomo numeru telefonu do oddziau, znajomo terminologii numident, alphadent i DEQY, podanie si za urzdnika z biura gwnego inspektora, ktre jest znane kademu pracownikowi administracji federalnej jako rzdowa agenga dochodzeniowa o szerokich wpywach. Dziki temu napastnik jawi si jako powizany z wadz.

131

Socjotechnicy wydaj si wiedzie, w jaki sposb formuowa swoje proby, aby nikt nigdy nie pyta: Dlaczego pan dzwoni akurat do mnie? nawet wwczas, gdy logicznym wydawaoby si zatelefonowanie do zupenie innej osoby w zupenie innym biurze. By moe sam fakt przerwania rutyny dnia takim telefonem i chwilowe oderwanie si od obowizkw, aby komu pomc, oddala tego typu spostrzeenia. Napastnika z opisanego incydentu nie satysfakcjonuje samo uzyskanie informacji na potrzeby biecej sprawy i chce nawiza kontakt, aby mc w przyszoci korzysta ze zdobytego rda informacji. W innym przypadku mgby uy zwykego pretekstu dla tego typu ataku, grajc na wspczuciu ofiary, np.: Wylaem kaw na klawiatur. W tej sytuacji to za mao. Klawiatur mona wymieni w jeden dzie. Std historia o podwadnym korzystajcym z jego komputera, ktr mgby wykorzystywa par tygodni bez wzbudzania podejrze: No tak, mylaem, e dostanie wczoraj swj komputer. Przywieli jeden, ale dali innemu czowiekowi, ktremu udaa si jaka transakcja. Tak wic ta ofiara dalej przychodzi na mj komputer. O ja nieszczsny! Nadal potrzebuj pomocy to zawsze dziaa.

Jeden prosty telefon

Jednym z gwnych problemw napastnika jest uczynienie swej proby uzasadnion musi wymyli co typowego, co co jest czci normalnego dnia pracy ofiary, co, co nie wymaga od niej zbyt duego zachodu itp. Podobnie jak z innymi sprawami w yciu raz moe to by przysowiowa buka z masem, a w innej sytuacji prawdziwe wyzwanie.

Telefon do Mary H.
Miejsce: ksigowo firmy Mauserby & Storch, Nowy Jork. Czas: poniedziaek, 23 listopada, godzina 7:49. Dla wikszoci ludzi praca w ksigowoci to orka. Wpatrywanie si w kolumny cyfr zwykle postrzegane jest jako przynoszce prawie tyle radoci, co leczenie kanaowe zba. Na szczcie nie kady tak to widzi. Przykadem jest Mary Harris, ktra jest starsz ksigow i uwaa swoj prac za zajmujc i pewnie czciowo z tego powodu jest uwaana za najbardziej oddanego

132

pracownika tego dziau w swojej firmie. Tego poniedziaku pojawia si w pracy wczeniej, poniewa czekao j duo zaj. Ku jej zaskoczeniu zadzwoni telefon. Kiedy podniosa suchawk i przedstawia si, usyszaa mski gos: Dzie dobry, tu Peter Sheppard. Jestem z Arbuckle Support, firmy, ktra prowadzi obsug techniczn waszego przedsibiorstwa. Zanotowalimy w czasie weekendu kilka skarg od ludzi, ktrzy mieli u was problemy z komputerami. Pomylaem, e mgbym to naprawi, zanim pracownicy pojawi si tego ranka w pracy. Czy ma pani jakie problemy z komputerem lub z poczeniem z sieci? Powiedziaa, e jeszcze nie wie. Wczya komputer, a kiedy startowa, rozmwca tumaczy, o co mu chodzio. Chciabym przeprowadzi z pani pomoc par testw powiedzia. Na moim ekranie widz, jakie klawisze pani naciska, i chc si upewni, e sie interpretuje to poprawnie. Dlatego za kadym razem, gdy nacinie pani klawisz, prosz powiedzie mi jaki, a ja sprawdz, czy u mnie pojawi si taka sama litera lub cyfra, dobrze? Majc przed oczami przeraajc wizj awarii komputera i penego frustracji dnia, w ktrym nie posunaby si z prac ani o krok do przodu, ucieszya si, e w mczyzna chce jej pomc. Po kilku chwilach powiedziaa: Jestem na ekranie logowania i za chwil wpisz mj identyfikator. Wpisuj: M... A... R... Y... D... Na razie w porzdku odrzek. U mnie to samo. A teraz prosz wpisa haso, ale prosz mi go nie podawa. Niech pani nigdy nie podaje nikomu swojego hasa. Nawet ludziom z pomocy technicznej. Ja widz tylko gwiazdki pani haso jest chronione, dlatego nie mog go podejrze. Nie bya to prawda, ale brzmiao to dla Mary sensowne. Potem stwierdzi: Prosz da mi zna, kiedy komputer wystartuje. Kiedy powiedziaa, e ju dziaa, poprosi j o otwarcie dwch aplikacji. Uruchomiy si bez problemu. Mary odetchna, widzc, e wszystko wydaje si dziaa normalnie. Peter powiedzia: Na razie w porzdku. Ciesz si, e bdzie pani moga dzisiaj bez przeszkd pracowa. Jeszcze jedno cign wanie zainstalowalimy aktualizacj programu do zmiany hase. Czy mogaby pani powici mi jeszcze par minut, abym mg sprawdzi, czy dziaa? Mary bya wdziczna za pomoc, jak jej okaza, i zgodzia si bez zastano-

133

wienia. Peter przeprowadzi j przez kroki instalacji aplikacji, ktra umoliwia uytkownikowi zmian hasa jest to standardowy element systemu Windows 2000. Prosz teraz wprowadzi haso powiedzia do niej. Tylko niech pani go gono nie wymawia. Kiedy to robia, Peter poprosi: Kiedy zapyta o nowe haso, prosz na razie wprowadzi test123, a potem wpisa to jeszcze raz w okienku weryfikacyjnym i nacisn Enter. Poprowadzi j przez proces nawizywania poczenia z serwerem. Poprosi, aby poczekaa kilka minut i poczya si ponownie, tym razem uywajc nowego hasa. Wszystko dziaao idealnie, Peter wydawa si bardzo zadowolony i przeprowadzi j ponownie przez procedur zmiany hasa na poprzednie lub cakiem nowe, jeszcze raz przestrzegajc j przed jego podawaniem. No c powiedzia Peter ciesz si, bo wszystko wydaje si by w porzdku. W razie problemw prosz dzwoni do nas do Arbuckle. Ja zwykle pracuj w terenie, ale kady, kto odbierze telefon, bdzie w stanie pani pomc.

Historia Petera
Plotka o Peterze rozesza si szybko. Kilka osb z jego dzielnicy, ktre chodziy z nim do szkoy, syszao, e sta si kim w rodzaju komputerowego magika i czstokro potrafi znale uyteczne informacje, niemoliwe do zdobycia przez przecitnego czowieka. Kiedy Alice Conrad przysza do niego z prob o przysug, z pocztku odmwi. Dlaczego miaby jej pomaga? Kiedy spotka j i prbowa umwi si na randk chodno odmwia. Jego odmowa wcale jej nie zaskoczya. Powiedziaa, e i tak nie bardzo wierzya w to, e bdzie w stanie co takiego zrobi. To byo wyzwanie. Poniewa by pewien, e jest w stanie tego dokona, zmieni zdanie i zgodzi si. Alice zaproponowano kontrakt na konsulting dla agencji marketingowej, ale warunki nie wydaway si jej zbyt dobre. Zanim jednak pjdzie prosi o lepsze, chciaa dowiedzie si, jakie warunki zapisane byy na innych umowach. Tak opisuje wydarzenia sam Peter:

134

*** Nie powiedziaem Alice, e zwykle odprawiam ludzi, ktrzy chc, abym co dla nich zrobi, a nie wierz, e mi si uda, cho ja jestem przekonany, e zadanie jest proste. Albo wykonalne to zadanie nie byo bowiem atwe. Za to mogem jej pokaza moje umiejtnoci. Tu po 7:30 w poniedziaek rano zadzwoniem do biura agencji, odebraa recepcjonistka. Powiedziaem, e jestem z firmy obsugujcej ich plany emerytalne i musz rozmawia z kim z ksigowoci. Zapytaem, czy kto z tego dziau nie pojawi si ju w pracy. Odpowiedziaa: Chyba widziaam Mary, jak wchodzia par minut temu. Sprbuj pana z ni poczy. Kiedy Mary podniosa suchawk, moja historyjka o problemach komputerowych miaa j wystraszy na tyle, by bya potem chtna do wsppracy. Gdy tylko przeprowadziem j przez proces zmiany hasa, szybko zaogowaem si w systemie za pomoc tego samego tymczasowego hasa, ktre poleciem jej wprowadzi: test123. Nadszed czas na mistrzowsk zagrywk zainstalowaem may programik, ktry umoliwi mi dostp do systemu komputerowego firmy w dowolnej chwili poprzez moje wasne haso. Po zakoczenie rozmowy z Mary moim pierwszym krokiem byo wymazanie ladw mojej bytnoci w systemie. To okazao si proste. Po tym, jak udao mi si rozszerzy uprawnienia w systemie, pobraem darmowy program, zwany clearlogs, ktry znalazem na stronie powiconej zagadnieniom bezpieczestwa, pod adresem www.ntsecurity.nu. Teraz trzeba byo troch popracowa. Uruchomiem wyszukiwanie dowolnych dokumentw zawierajcych sowo Umowa w tytule i pobraem znalezione pliki. Szukajc dalej, natrafiem na y zota katalog zawierajcy raporty z wpyww konsultantw. Udao mi si zebra wszystkie pliki z kontraktami oraz list pac. Alice moga teraz przejrze umowy i sprawdzi, jakie kwoty s wypacane innym konsultantom. Zreszt niech sama odwala kreci robot. Ja zrobiem to, o co mnie porosia. Z dyskw, na ktrych zapisaem dane, wydrukowaem cz plikw, aby udowodni jej, co udao mi si zdoby. Zaprosia mnie na obiad. Powinnicie zobaczy jej twarz, kiedy przegldaa stos papierw. Niemoliwe mwia niemoliwe. Nie zabraem z sob dyskw. Zostawiem je sobie jako przynt. Powiedziaem, eby po nie kiedy wpada. Miaem nadziej, e moe bdzie chciaa okaza mi wdziczno za to, co dla niej zrobiem.

135

Analiza oszustwa
Telefon Petera do agencji marketingowej to przykad najbardziej podstawowej strategii socjotechnicznej prosta akcja, ktra prawie nie wymaga przygotowania. Jak wida, zadziaao za pierwszym razem i wymagao jedynie kilku minut. Co wicej, Mary, ofiara ataku, nie miaa adnego powodu, aby sdzi, e zostaa w jaki sposb oszukana i napisa raport lub wszcz alarm. Plan zadziaa dziki zastosowaniu trzech taktyk socjotechnicznych. Po pierwsze, zyska ch Mary do wsppracy, wzmagajc w niej strach przed moliw awari komputera. Nastpnie powici jej troch czasu, kac otwiera dwie aplikacje, aby bya pewna, e wszystko dziaa, a przy okazji nawizujc z ni bliszy kontakt i poczucie wsplnoty. W kocu uzyska dalsz ch pomocy, wykorzystujc jej wdziczno za pomoc okazan podczas sprawdzania komputera. Mwic o tym, e nie powinna ujawnia swego hasa nikomu, nawet jemu, Peter w skuteczny, a zarazem subtelny sposb przekona j, e sam przejmuje si bezpieczestwem danych firmy. To zwikszyo jej pewno, e by tym, za kogo si podawa. W kocu chroni j i jej firm.

Uwaga Mitnicka
To niesamowite, w jak prosty sposb socjotechnik nakania ludzi do zrobienia rnych rzeczy, wyzwalajc w odpowiedniej kolejnoci reakcje emocjonalne. Bazuje przy tym na wyzwalaniu automatycznych reakcji, wynikajcych z zasad psychologii, i wykorzystuje skrty mylowe, jakimi posuguj si ludzie, kiedy sdz, e osoba, z ktr rozmawiaj, jest po ich stronie.

Obawa
Wyobramy sobie tak sytuacj: rzd prbuje zastawi puapk na czowieka o nazwisku Arturo Sanchez, ktry poprzez Internet darmowo rozprowadza filmy. Studia z Hollywood twierdz, e narusza on ich prawa autorskie. Sanchez odpowiada, e prbuje jedynie nakoni ich, aby dostrzegli w Internecie wartociowy rynek zbytu i poczynili jakie kroki w celu udostpnienia w ten sposb filmw dla osb, ktre chciayby je ogldn. Zwraca uwag (susznie), e mogoby to by dla wytwrni gigantyczne rdo przychodw, jak dotd kompletnie przez nie ignorowane.

136

Macie nakaz przeszukania?

Ktrego wieczora, wracajc pno do domu, spojrza na okna swojego mieszkania i zauway, e wiata s wyczone, mimo e zawsze, gdy wychodzi, zostawia niektre zapalone. Wali w drzwi ssiada tak dugo, a go obudzi. Dowiedzia si od niego, e w budynku bya policja, ale jemu kazali sta na dole i nie jest pewny, do ktrego mieszkania weszli. Wiedzia tylko, e wyszli, niosc jakie cikie przedmioty, ale trudno powiedzie jakie, bo byy zawinite. Nikogo nie aresztowali. Arturo sprawdzi swoje mieszkanie. Za wiadomo to lece pismo z policji kace mu zadzwoni i umwi si na przesuchanie w cigu trzech dni. Jeszcze gorsza wiadomo to brak komputerw. Arturo znikn ze swojego mieszkania. Mia zamiar zosta u przyjaciela. Cay czas mczya go niepewno. Jak duo wiedziaa policja? A moe chodzi o co innego, co co moe atwo wyjani bez koniecznoci opuszczania miasta? Zanim zaczniemy czyta dalej, zastanwmy si: czy mona wyobrazi sobie sposb na poznanie tego, co wie o nas policja? Przy zaoeniu, e nie mamy adnych kontaktw ani znajomych w policji lub prokuraturze, czy jest sposb, aby zwyky obywatel mg uzyska tak informacj? Nawet jeeli jest socjotechnikiem?

Jak przechytrzy policj?

Arturo zaspokoi swoj potrzeb wiedzy w nastpujcy sposb: na pocztku znalaz numer najbliszej poczty, zadzwoni tam i poprosi o numer faksu. Nastpnie zadzwoni do prokuratury okrgowej i poprosi o poczenie z dziaem akt. Tutaj przedstawi si jako ledczy z Lake County i powiedzia, e chce rozmawia z osob, ktra przechowuje biece nakazy przeszukania. Ja to robi powiedziaa urzdniczka po drugiej stronie. wietnie odpowiedzia bo ostatniej nocy zrobilimy przeszukanie u podejrzanego i szukam owiadczenia pod przysig. Sortujemy je wedug adresu powiedziaa. Poda jej adres, na co powiedziaa podekscytowana:

137

 O tak, znam go! To ten od afery z filmami. Tak, to ten odpowiedzia. Szukam owiadczenia i kopii nakazu. Mam je pod rk. Cae szczcie powiedzia. Jestem w terenie i za pitnacie minut mam spotkanie ze subami specjalnymi w tej sprawie. Ostatnio chodz taki zamylony, e zostawiem ten dokument w domu i za nic nie zd po niego pojecha. Czy mgbym otrzyma kopi od pani? Oczywicie. Nie ma problemu. Zrobi kopie, moe pan przyj i je sobie zabra. wietnie powiedzia. To wspaniale, ale jest pewien problem: jestem na drugim kocu miasta. Czy mogaby pani przesa mi je faksem? To stworzyo may problem, ktry dao si jednak rozwiza. Nie mamy faksu tutaj w dziale powiedziaa ale jest jeden, z ktrego mog skorzysta, na dole w biurze protokolantw. To moe ja zadzwoni do biura protokolantw i to z nimi zaatwi? spyta. Urzdniczka w biurze protokolantw powiedziaa, e z przyjemnoci si tym zajmie, ale musi wiedzie, kto za to zapaci. Potrzebowaa kodu ksigowego. Zdobd kod i oddzwoni przyrzek. Potem zadzwoni do biura prokuratury okrgowej, przedstawiajc si ponownie jako oficer policji, i zapyta po prostu recepcjonistki: Jaki jest kod ksigowy biura prokuratury okrgowej? Podaa mu go bez wahania. Ponowny telefon do urzdniczki w biurze protokolantw i podanie numeru ksigowego byo dobrym pretekstem do dalszej manipulacji: poprosi urzdniczk, eby posza na gr i odebraa kserokopie dokumentw do przefaksowania.

Uwaga Mitnicka
Jak to si dzieje, e socjotechnicy znaj szczegy dziaania tak wielu instytucji, w tym policji i prokuratury, praktyki firm telekomunikacyjnych, organizacj rnych przedsibiorstw, a szczeglnie dane dotyczce dziedzin przydatnych podczas atakw, czyli telekomunikacji i komputerw? Na tym polega w kocu ich praca. Ta wiedza stanowi o wartoci socjotechnika, poniewa czyni go bardziej skutecznym.

138

Zacieranie ladw
Arturo musia jeszcze zrobi par rzeczy. Zawsze istnieje moliwo, e kto zwszy podstp i gdy pojedzie na poczt, spotka tam dwch detektyww w cywilu udajcych, e s zajci czym innym do chwili, gdy kto zapyta o ten faks. Odczeka chwil, po czym zadzwoni ponownie do biura protokolantw, aby upewni si, e faks zosta wysany. Na razie wszystko szo zgodnie z planem. Potem zadzwoni na inn poczt i opowiedzia histori o tym, jak jest ...zadowolony z usug i e chciabym w zwizku z tym napisa do naczelnika list gratulacyjny. Mona prosi jego nazwisko?. Bdc w posiadaniu tej informacji zadzwoni na poprzedni poczt i powiedzia, e chce rozmawia z kierownikiem zmiany. Kiedy mczyzna odebra telefon, Arturo powiedzia: Dzie dobry, tu Edward z urzdu 628 w Hartfield. Nasz naczelnik, pani Anna, powiedziaa mi, ebym do ciebie zadzwoni. Mamy tu klienta, ktry jest do zdenerwowany kto poda mu numer faksu na inn poczt. Czeka tu na wany dokument, ale numer, ktry otrzyma, jest numerem waszego urzdu. Kierownik obieca, e kto z jego ludzi natychmiast odnajdzie faks i wyle go do Heartfield. Arturo czeka ju w drugim urzdzie, kiedy faks dotar. Gdy mia go ju w rkach, zadzwoni z powrotem do biura protokolantw, aby podzikowa urzdniczce i powiedzie: Nie musi pani zanosi tych kopii z powrotem na gr. Mona je wyrzuci. Nastpnie zadzwoni do kierownika zmiany w pierwszym urzdzie i rwnie powiedzia, aby wyrzuci kopi faksu. W ten sposb nie bdzie ladw tego, co zaszo, w razie, gdyby kto pojawi si tam i zadawa pytania. Socjotechnicy wiedz, e ostronoci nigdy za wiele. Aranujc sprawy w ten sposb, Arturo nie musia nawet paci na pierwszej poczcie za odebranie faksu i przesanie go do drugiego urzdu. Jeeli okazaoby si, e w pierwszym urzdzie pojawia si policja, Arturo zdyby odebra faks w drugim i znikn, zanim zdoaliby kogo tam wysa. Wreszcie zakoczenie historii: owiadczenie pod przysig i nakaz pokazyway, e policja ma dobrze udokumentowane dowody na to, e Arturo kopiowa nielegalnie filmy. To wanie chcia wiedzie. O pnocy tego samego dnia przekracza ju granic stanu. Ucieka, by w innym miejscu i z now tosamoci rozpocz swoj kampani od nowa.

139

Analiza oszustwa
Ludzie, ktrzy pracuj w biurach prokuratur okrgowych, maj stay kontakt z oficerami policji. Odpowiadaj na ich pytania, zaatwiaj dla nich rne sprawy i odbieraj wiadomoci. Osoba, ktra ma do tupetu, aby zadzwoni i poda si za oficera policji, zastpc szeryfa lub podobn person, najczciej zostanie uznana za swoj. Jeeli zbyt szybko nie ujawni swojej nieznajomoci terminologii, nie wydaje si zdenerwowana, nie waha si podczas wypowiedzi lub w jaki inny sposb nie jest nieprzekonujca, zwykle nie bdzie musiaa nawet odpowiada na adne pytania weryfikujce. To wanie miao miejsce w opisanej historii w przypadku dwch rnych pracownikw. Jak zwykle uzyskanie kodu ksigowego wymagao jednego prostego telefonu. Arturo zagra na wspczuciu, opowiadajc histori o tym, e za pitnacie minut mam spotkanie ze subami specjalnymi w tej sprawie. Ostatnio chodz taki zamylony, e zostawiem ten dokument w domu. Urzdniczce zrobio si go al i chtnie okazaa mu pomoc. Nastpnie, korzystajc z usug nie jednego, ale dwch urzdw pocztowych, Arturo zapewni sobie dodatkowe zabezpieczenie w momencie odbierania faksu. Inny wariant tej taktyki sprawiby, e namierzenie Artura byoby jeszcze trudniejsze. Zamiast wysya dokument na drug poczt, napastnik mg poda co, co wydaje si by numerem faksu, a w rzeczywistoci jest darmow usug internetow, umoliwiajc odbieranie faksw i przesyanie ich pod wskazany adres e-mail. W ten sposb faks mg dotrze prosto do komputera napastnika, a ten uniknby koniecznoci pojawiania si w miejscu, gdzie mgby zosta pniej zidentyfikowany. Adres e-mail i uyty numer faksu mona zlikwidowa po zakoczeniu dziaania. Uwaga Mitnicka Prawda jest taka, e nikt z nas nie jest odporny na oszustwa dobrego socjotechnika. W codziennym yciu nie zawsze mamy czas na podejmowanie przemylanych decyzji, nawet w sprawach, ktre s dla nas wane. Skomplikowane sytuacje, brak czasu, stan emocjonalny lub wyczerpanie umysowe mog nas atwo rozproszy. Uywamy wic skrtw mylowych, podejmujc decyzje bez dokadnej i penej analizy informacji, reagujemy automatycznie. Dotyczy to nawet urzdnikw federalnych i policjantw. Jestemy wszak tylko ludmi.

140

Zamiana rl
Mody czowiek, ktrego nazwiemy Michael Parker, by jednym z tych, ktrzy zbyt pno zorientowali si, e szans na lepiej patn prac maj jedynie ludzie z wyszym wyksztaceniem. Mia co prawda moliwo uczszczania do lokalnego collegeu, otrzymujc czciowe dofinansowanie i kredyt naukowy, ale oznaczao to prac w nocy i w weekendy, aby opaci sobie czynsz, wyywienie, benzyn i ubezpieczenie samochodu. Michael zawsze lubi jednak szuka drogi na skrty, takiej, ktra szybciej doprowadzi go do celu przy mniejszym wysiku. Jako e od maego fascynowa si komputerami i zgbia ich tajemnice, wpad na pomys, aby samemu stworzy sobie dyplom inyniera informatyka.

Absolwent
Pomyla, e mgby si wama do systemu komputerowego uniwersytetu stanowego, znale akta kogo, kto ukoczy studia z wysok redni, skopiowa je, zamieni dane osobowe na swoje i doda z powrotem do akt absolwentw z danego roku. Po zastanowieniu doszed do wniosku, e musz przecie istnie jeszcze inne akta studentw, ktrzy przeszli przez uczelni dokumenty wypat stypendiw, zapisy w akademikach i kto wie, jakie jeszcze. Samo stworzenie akt dokumentujcych przebieg nauki moe nie wystarczy. Rozumujc tym tokiem, doszed do wniosku, e mgby osign swj cel, znajdujc absolwenta o takim samym nazwisku jak on, ktry zdoby tytu inyniera informatyka na przestrzeni ostatnich lat. Jeeli kto taki si znajdzie, wystarczy jedynie wpisywa numer ubezpieczenia spoecznego drugiego Michaela Parkera na formularzach aplikacyjnych. Wwczas kada firma, ktra sprawdzi, czy osoba o takim nazwisku i numerze ubezpieczenia zdobya tytu inyniera, otrzyma odpowied twierdzc. (Moe nie jest to dla kadego oczywiste, ale Michael wiedzia, e moe poda numer ubezpieczenia znalezionego absolwenta w formularzu aplikacyjnym, a pniej, jeeli zostanie przyjty, poda swj wasny numer w formularzach, ktre wypenia nowo przyjty pracownik. W wikszoci firm nikomu nie przyjdzie do gowy, by sprawdzi, czy nowa osoba posugiwaa si takim samym numerem podczas procesu rekrutacji).

141

Komputer
Jak odnale Michaela Parkera w aktach uniwersytetu? Nasz bohater zrobi to w nastpujcy sposb: Po wejciu do gwnej biblioteki w kampusie uniwersytetu, usiad przy komputerze, wszed do Internetu i otworzy gwn witryn uczelni. Nastpnie zadzwoni do biura ewidencji. Wobec osoby, ktra odebraa telefon, zastosowa jeden ze znanych ju trikw socjotechnicznych: Dzwoni z centrum komputerowego. Robimy zmiany w konfiguracji sieci i chcemy si upewni, czy nie spowodoway u was kopotw z dostpem. Do jakiego serwera jestecie podczeni? Serwera? zapyta gos z drugiej strony. Do jakiego komputera podczacie si, kiedy chcecie odszuka informacj o studencie? Otrzyma odpowied: admin.rnu.edu. Mia ju nazw komputera, na ktrym przechowywane byy akta studentw. By to pierwszy element ukadanki wiedzia ju, gdzie musi si dosta. Wprowadzi ten adres do komputera i otrzyma odpowied, ktrej si spodziewa firewall blokowa dostp. Uruchomi wic program, by sprawdzi, czy mona si poczy z jakkolwiek usug dostpn na tym komputerze, i odnalaz otwarty port z usug Telnet, ktra umoliwia poczenie jednego komputera z drugim tak, jakby ten pierwszy by zdalnym terminalem drugiego. Teraz potrzebowa jedynie standardowej nazwy uytkownika i hasa. Ponownie zadzwoni do biura ewidencji, wsuchujc si uwanie, czy telefonu nie odbierze czasem ta sama osoba, z ktr rozmawia poprzednio. Tym razem bya to jaka kobieta. Znw przedstawi si, e dzwoni z uniwersyteckiego centrum komputerowego. Powiedzia, e instaluj nowy system tworzenia akt. Poprosi swoj rozmwczyni o przysug, ktra miaa polega na prbie poczenia si z nowym systemem i sprawdzenia, czy funkcjonuje prawidowy dostp do akt studentw. Poda jej adres IP z ktrym ma si po, czy, i poprowadzi przez cay proces. W rzeczywistoci by to adres komputera, przy ktrym siedzia Michael w bibliotece campusu. Uywajc sztuczki opisanej w rozdziale 7., stworzy faszywy ekran logowania, wygldajcy podobnie do tego, do ktrego kobieta bya przyzwyczajona w czasie wchodzenia do systemu zawierajcego akta studentw. Nie dziaa stwierdzia. Cay czas mwi, e login jest nieprawidowy.

142

Symulator zdy pobra dane o klawiszach, ktre nacisna, wpisujc nazw konta i haso, prosto do komputera, przy ktrym siedzia Michael. Misja zakoczya si pomylnie. Powiedzia: No tak. Niektre konta nie zostay jeszcze utworzone w nowym systemie. Zrobi to za chwil i oddzwoni do pani. Zwaajc na to, by caa sprawa zakoczya si gadko, pamita o tym, aby pniej zadzwoni zgodnie z obietnic i powiedzie, e system testowy nie dziaa tak, jak trzeba, i e odezw si do niej lub do kogo z jej dziau, kiedy uda im si rozwiza problem.

Biuro ewidencji znowu przychodzi z pomoc

W tym momencie Michael wiedzia ju, do jakiego systemu musi si dosta, i mia do niego login oraz haso. Jakich jednak polece ma uy w celu wyszukania plikw dotyczcych absolwentw informatyki o odpowiednim nazwisku i dacie ukoczenia studiw? Baza danych o studentach bya stworzona na terenie uczelni i dostosowana do specyficznych wymogw uniwersytetu i biura ewidencji. Wiza si z tym niestandardowy sposb formuowania zapyta. Pierwszy krok w usuwaniu tej ostatniej przeszkody to odnale osob, ktra mogaby go poprowadzi poprzez poszukiwania w bazie. Znowu zadzwoni do biura ewidencji i znowu do innego pracownika. Tym razem powiedzia, e dzwoni z biura dziekana, i zapyta: Do kogo mam zadzwoni, jeeli mam problemy z dostpem do bazy z aktami studentw? Kilka minut pniej rozmawia ju z administratorem bazy, odgrywajc scen ze wspczuciem w roli gwnej: Mwi Mark Sellers z biura ewidencji. Jestem tu nowy potrzebuje troch pomocy. Przepraszam, e dzwoni do pana, ale wszyscy poszli na jakie zebranie i zostaem tu sam. Potrzebna jest mi lista wszystkich absolwentw informatyki z tytuem inyniera z lat od 1990 do 2000. Musz j zrobi przed kocem dniwki, a jeeli jej nie zdobd, mog tu dugo nie popracowa. Pomoe pan koledze w biedzie? Pomaganie ludziom byo czci zwykych obowizkw administratora, dlatego wykaza si du cierpliwoci, prowadzc Michaela krok po kroku przez cay proces. Nim zdyli zakoczy rozmow, Michael pobra pen list absolwen-

143

tw z ostatnich dziesiciu lat. Chwil potem wczy wyszukiwanie i odnalaz dwch Michaeli Parkerw. Wybra jednego z nich i odczyta jego numer ubezpieczenia i pozostae informacje dostpne w bazie na jego temat. Od tej chwili by Michaelem Parkerem z tytuem inyniera informatyka, zdobytym po ukoczeniu z wyrnieniem studiw w 1998 roku.

Analiza oszustwa
W ataku tym uyty zosta jeden podstp, ktry nie by jeszcze omawiany: napastnik prosi administratora bazy danych o przeprowadzenie go przez proces jej obsugi, ktrego nie zna. Niezwykle efektywne odwrcenie rl. To tak, jakby poprosi sprzedawc w sklepie, aby pomg nam przenie do naszego samochodu pudo, w ktrym znajduj si skradzione ze sklepu towary.

Uwaga Mitnicka
Uytkownicy komputerw czsto nie maj pojcia o zagroeniach zwizanych ze stosowaniem socjotechniki w wiecie technologii. Maj dostp do informacji, jednak nie dysponuj wiedz o zagroeniach bezpieczestwa. Socjotechnik wybiera sobie jako ofiar osob, ktra nie zna wartoci wyszukiwanej informacji. Osoba taka chtniej co dla nas zrobi.

Jak zapobiega?
Wspczucie, poczucie winy i zastraszenie to emocje czsto wykorzystywane przez socjotechnikw. Sposb ich wykorzystania demonstruj opisane tu historie. Co mona zrobi, aby unikn tego typu atakw?

Ochrona danych
Niektre historie z tego rozdziau w szczeglny sposb pokazuj niebezpieczestwo zwizane z wysaniem plikw do osoby, ktrej nie znamy, na-

144

wet gdy osoba ta jest (lub wydaje si nam, e jest) pracownikiem, a dokument jest przesyany wewntrznie na adres e-mail nalecy do domeny firmy lub faks pooony na jej terenie. Polityka bezpieczestwa firmy musi jednoznacznie definiowa rodki ochrony podczas udostpniania wartociowych danych osobie, ktrej wysyajcy nie zna osobicie. Musz zosta ustanowione procedury transferu plikw z poufnymi informacjami. Kiedy proba o dane pochodzi od osoby, ktrej nie znamy osobicie, naley okreli kroki, jakie pracownik musi podj w celu weryfikacji teje osoby, uwzgldniajce rne poziomy owej weryfikacji w zalenoci od stopnia poufnoci danych. Oto par gotowych rozwiza do rozwaenia: Wprowad zasad udzielania informacji tylko znanym osobom. Przechowuj logi transakcji dla kadej osoby lub dziau. Ustal list osb, ktre zostay przeszkolone w zakresie procedur i s wycznie uprawnione do przesyania na zewntrz poufnych informacji. Jeeli proba o dane ma form pisemn (e-mail, faks lub poczta), podejmuj dodatkowe kroki, aby ustali, czy proba ta rzeczywicie pochodzi od okrelonej osoby.

O hasach
Pracownicy, ktrzy maj dostp do poufnych informacji w dzisiejszych realiach s to praktycznie wszystkie osoby z dostpem do komputera musz uzmysowi sobie, e nawet chwilowa zmiana hasa moe prowadzi do powanego zagroenia bezpieczestwa. Szkolenie w zakresie bezpieczestwa musi podejmowa temat hase, a w szczeglnoci tego, kiedy i jak je zmienia, z czego skada si dopuszczalne haso i jakie ryzyko wie si z angaowaniem innych osb w ten proces. Szkolenie musi w szczeglnoci zwraca uwag na fakt, e kada proba zwizana z ich hasem jest podejrzana. Z pozoru wydaje si, e s to proste do przekazania komunikaty. Samo ich przekazanie jednak nic nie da, poniewa, aby pracownik zrozumia to przesanie, musi poj, w jaki sposb, na przykad, chwilowa zmiana hasa moe doprowadzi do naruszenia bezpieczestwa w firmie. Mona powiedzie dziecku: Zawsze rozgldaj si w obie strony, zanim wejdziesz na jezdni,

145

ale dopki nie zrozumie ono, dlaczego jest to takie wane, bdziemy opierali si jedynie na lepym posuszestwie. Wszelkie zasady wymagajce wycznie lepego posuszestwa s zwykle ignorowane i zapominane.

Uwaga
Hasa s gwnym obiektem ataku socjotechnikw, dlatego powicono temu zagadnieniu cz rozdziau 16., w ktrej mona znale zalecane procedury posugiwania si nimi.

Punkt zgaszania incydentw

Polityka bezpieczestwa powinna wyznacza osob lub grup osb, do ktrej naley zgasza wszelkie podejrzenia prb infiltracji organizacji. Wszyscy pracownicy musz wiedzie, do kogo zadzwoni w sytuacji, gdy maj podejrzenie fizycznego lub elektronicznego wamania. Numer telefonu punktu zgaszania incydentw powinien zawsze by pod rk.

Ochrona sieci
Naley uwiadamia pracownikom, e nazwy serwerw lub podsieci nie s bah informacj i mog stanowi dla napastnika wane dane, pomocne w zdobyciu zaufania i odnalezieniu miejsca przechowywania informacji. W szczeglnoci administratorzy baz danych, ktrzy dysponuj du wiedz, musz dziaa zgodnie ze cisymi reguami i weryfikowa ludzi, ktrzy dzwoni po informacj lub pomoc. Ludzie, ktrzy stale udzielaj pomocy zwizanej z komputerami, musz by dobrze wyszkoleni w kwestii tego, jakie zapytania powinny rodzi podejrzenie, e ma miejsce atak socjotechniczny. Z drugiej strony, z perspektywy administratora bazy danych przedstawionego w ostatniej historii, dzwonicy spenia wszystkie kryteria wiarygodnoci: dzwoni z campusu i mia dostp do strony, ktra jest zabezpieczona hasem. To tylko jeszcze raz dowodzi, jak istotne jest stosowanie standardowych procedur weryfikujcych osoby proszce o informacje, szczeglnie, jeeli dzwonicy prosi o pomoc w uzyskaniu dostpu do poufnych danych.

146

Zalecenia te s szczeglnie istotne dla szkl i uczelni. Jak wiadomo, wielu hakerw rekrutuje si spord studentw. W tej sytuacji naley oczekiwa, e akta studenckie s dla nich akomym kskiem. Tego typu dziaalno rozpowszechnia si na tyle, e niektre firmy uznaj campusy za wrogie rodowiska i konfiguruj firewalle w taki sposb, aby blokoway dostp ze strony jakiejkolwiek instytucji edukacyjnej. W zwizku z tym wszelkie akta studentw i personelu uczelni powinny zosta uznane za gwny potencjalny cel ataku i by w adekwatny sposb chronione.

Wskazwki dotyczce szkolenia

W przypadku wielu atakw socjotechnicznych obrona jest miesznie atwa dla kadego, kto wie, na co zwraca uwag. Z perspektywy firmy istnieje fundamentalna potrzeba dobrego szkolenia. Istnieje te potrzeba znalezienia szeregu sposobw przypominania ludziom o rzeczach, ktrych si nauczyli. Mona w tym celu zastosowa w systemie okna przypominajce o rnych zasadach bezpieczestwa. Powinny one by stworzone w taki sposb, aby znikay dopiero po przyciniciu przycisku potwierdzajcego przeczytanie. Dobr metod jest uywanie krtkich notek w biuletynie informacyjnym firmy. Nie chodzi tu o cay dzia, cho z drugiej strony dzia powicony bezpieczestwu byby wartociowy, ale o krtkie notki, ktre przypominaj reklamy w czasopismach. W ten sposb w kadym wydaniu biuletynu mona przedstawia nowe zagadnienie z zakresu bezpieczestwa w formie, ktra przycignie uwag czytajcego.

9
Odwrotnie ni w dle
do to wedug mnie chyba najlepszy film, ktrego tematem jest operacja socjotechniczna. Przedstawia intryg obfitujc w interesujce szczegy. Przedstawiona tam akcja to przykad pokazujcy, w jaki sposb zawodowi oszuci przeprowadzaj jeden z trzech typw szwindli, ktre nale do grupy tzw. wielkich oszustw. Jeeli chcecie zobaczy, jak grupa profesjonalistw zgarnia ogromne pienidze, powinnimy obejrze ten film. Tradycyjne oszustwa, pomijajc szczegy, przebiegaj wedug pewnego wzorca. Czasami jednak sytuacja zostaje odwrcona atakujcy aranuje wydarzenia tak, aby ofiara sama zwrcia si do niego z pomoc. Jak to dziaa? Wkrtce si przekonamy.

Sztuka agodnej perswazji

Przecitny czowiek, wyobraajc sobie komputerowego hakera, tworzy zwykle negatywny obraz samotnego, introwertycznego mola komputero-

148

wego, ktry nie potrafi rozmawia z ludmi i kontaktuje si ze wiatem tylko za pomoc e-maili. Haker-socjotechnik czy znajomo technologii z talentami interpersonalnymi stale doskonalonymi umiejtnociami wykorzystywania ludzi i manipulowania nimi, ktre pozwalaj mu zdobywa informacje na zupenie nieprawdopodobne sposoby.

Telefon do Angeli
Miejsce: Industrial Federal Bank, filia w Valley. Czas: 11:27. Angela Wisnowski odebraa telefon od mczyzny, ktry powiedzia, e spodziewa si do znacznego spadku i interesuj go informacje o rnych typach rachunkw oszczdnociowych, depozytw i innych bezpiecznych i w miar zyskownych form inwestycji, ktre Angela moe mu zaproponowa. Wyjania, e do wyboru jest kilka moliwych rozwiza i zapytaa, czy nie zechciaby przyj do banku i porozmawia o szczegach. Powiedzia, e wyjeda na wakacje, jak tylko dostanie pienidze, a poza tym ma wiele innych spraw do zaatwienia. Zacza wic sugerowa przez telefon pewne rozwizania, podajc szczegy dotyczce oprocentowania, przedwczesnej likwidacji wkadu itp., starajc si jednoczenie dowiedzie czego o jego oczekiwaniach. Wydawao si, e ju do czego dochodz, kiedy powiedzia: Och, przepraszam, musz odebra drugi telefon. Kiedy mgbym znowu zadzwoni, by dokoczy rozmow i podj jak decyzj? Wychodzi pani na lunch? Powiedziaa, e wychodzi o 12:30. Mczyzna stwierdzi, e sprbuje zadzwoni przed t godzin albo nastpnego dnia.

Telefon do Louisa
Wiksze banki uywaj wewntrznych kodw bezpieczestwa, ktre zmieniaj si kadego dnia. Kiedy osoba z jednej filii potrzebuje informacji z innej, musi udowodni, e jest uprawniona do jej otrzymania poprzez podanie obowizujcego na dany dzie kodu. Dla zwikszenia bezpieczestwa niektre banki stosuj wiksz ilo kodw. W Industrial Federal Bank

149

na komputerze kadego pracownika pojawia si co rano lista piciu kodw oznaczonych literami od A do E. *** Miejsce: Industrial Federal Bank, filia w Valley. Czas: 12:48 tego samego dnia. Telefon, ktry Louis Halpburn odebra, nie wyda mu si podejrzany. Tego typu sprawy zaatwia regularnie kilka razy w tygodniu. Dzie dobry powiedzia rozmwca. Mwi Neil Webster, dzwoni z filii 3182 z Bostonu. Chciabym rozmawia z Angel Wisnowski. Wysza na lunch. W czym mog pomc? Zostawia nam wiadomo. Prosi o wysanie faksu z danymi klienta. Ton rozmwcy wskazywa, e ma zy dzie. Osoba, ktra zwykle si tym u nas zajmuje, jest chora powiedzia. Mam tu jeszcze stos takich faksw, a u nas ju dochodzi 16:00. Powinienem ju dawno wyj, bo za p godziny mam umwion wizyt u lekarza. Manipulacja polegajca na podaniu tych wszystkich powodw, dla ktrych powinno si mu wspczu, miaa na celu zmikczenie ofiary. Nie wiem, kto notowa t wiadomo cign ale numer faksu jest nieczytelny. Zaczyna si od 213 i nie mam pojcia, co dalej. Louis poda numer faksu, a rozmwca powiedzia: Dzikuje bardzo. Zanim to wyl, musz si jeszcze zapyta o kod B. Ale przecie to pan do mnie dzwoni powiedzia Louis na tyle chodno, aby urzdnik z Bostonu mg to wyczu. To nawet dobrze pomyla rozmwca. Nie lubi, kiedy ludzie dajq si od razu wpuci w maliny. Jeeli nie czuj cho odrobiny oporu z drugiej strony, moja robota staje si zbyt atwa i mgbym si rozleniwi. Powiedzia do Louisa: Nasz szef popad w paranoj i wymaga weryfikacji wszystkich osb, do ktrych co wysyamy, ot co. Ale nie ma problemu, nikt panu nie kae si weryfikowa, a mnie nikt nie kae wysya tego faksu. Angela wrci za p godziny powiedzia Louis. Powiem jej, eby do pana zadzwonia. A wtedy ja powiem jej, e nie mogem wysa dzisiaj informacji, bo pan nie chcia poda mi kodu. Jeeli lekarz nie wyle mnie na chorobowe, to jutro moe oddzwoni. Prosz bardzo. Na tym faksie napisane jest pilne. Zreszt mniejsza z tym. Bez wery-

150

fikacji i tak nic nie mog zrobi. Niech pan jej przekae, e naprawd chciaem to wysa, ale pan nie poda mi kodu, dobrze? Louis wreszcie ustpi. Dao si sysze nerwowe sapniecie z jego strony. No dobrze powiedzia. Prosz chwil zaczeka, musz przej do komputera. Ktry kod pan chcia? B odpowiedzia rozmwca. Przeczy telefon na oczekiwanie i za chwil podnis inn suchawk, podajc kod: 3184. To nie jest ten kod. Jak to nie jest? Kod B, numer 3184. Nie powiedziaem B, tylko E. Cholera, moment. Nastpia kolejna przerwa. Szuka kodu. Kod E, numer 9697. 9697. Dobrze. Za chwil wysyam faks. Dzikuj.

Telefon do Waltera
Industrial Federal Bank, mwi Walter. Cze, Walter, tu Bob Grabowski ze Studio City, filia 38 powiedzia rozmwca. Potrzebuj karty wzorw podpisw jednego z klientw. Mgby j dla mnie wycign i przefaksowa? Karta wzorw podpisw zawiera nie tylko podpis klienta, ale rwnie informacje identyfikacyjne, czyli numer ubezpieczenia spoecznego, dat urodzenia, nazwisko panieskie matki, a czasami nawet numer prawa jazdy. akomy ksek dla socjotechnika. Pewnie, e mgbym. Podaj kod C. Kto siedzi teraz przy moim komputerze powiedzia rozmwca. Ale pamitam za to B i E, bo cay czas ich dzi uywam. Zapytaj mnie o ktry z nich. Dobra. Podaj E. 9697. Par chwil pniej Walter wysa faks z kart wzorw podpisw.

151

Telefon do Donny Plaice

Dzie dobry, tu mwi Anselmo. W czym mog panu pomc? Jaki jest numer 0-800, pod ktry powinienem zadzwoni, aby dowiedzie si, czy mj depozyt ju wpyn na konto? Jest pan klientem naszego banku? Tak, ale nie korzystaem z tego numeru przez jaki czas i zgubiem kartk, na ktrej by zapisany. Podaj numer: 0-800-555-8600. Dzikuj.

Opowie Vincea Capelliego

Bdc synem policjanta z maego miasteczka, Spokane, Vince od modoci wiedzia, e nie chce pracowa, ryzykujc ycie za marn pensj. Jego gwnym celem byo wyrwanie si ze Spokane i zaoenie wasnego interesu. miech jego kolegw ze szkoy tylko podsyca te pragnienia wydawao im si zabawne, e tak bardzo chcia zaoy firm, a nie wiedzia nawet, czym miaby si zajmowa. Szczerze mwic, Vince wiedzia, e niestety maj racj. Sprawdza si jedynie jako apacz w szkolnej druynie baseballowej. Nie by ani na tyle zdolny, aby uzyska stypendium do collegeu, ani na tyle dobry, by zosta zawodowym baseballist. Jaki interes mia w takim razie rozkrci? Koledzy z klasy nie zauwayli pewnej istotnej jego cechy: jeeli Vince pragn czego, co naleao do ktrego z nich niewane, czy by to nowy scyzoryk, para ciepych rkawiczek czy nowa seksowna dziewczyna wkrtce to naleao ju do niego. Nie musia wcale kra waciciele oddawali mu wszystko dobrowolnie, a w chwil pniej zastanawiali si, jak to si waciwie stao. Pytanie o to samego Vincea nigdzie by nas nie doprowadzio nie zdawa sobie sprawy z posiadania tego daru. Vince Capelli by od dziecka socjotechnikiem, mimo e nie wiedzia nawet, co to sowo znaczy. Jego koledzy przestali si mia po maturze. Podczas gdy inni zaczli si rozglda po okolicy w poszukiwaniu pracy, ktra nie polega na zadawaniu pyta w stylu: Z frytkami czy bez?, ojciec wysa Vincea do swojego kum-

152

pla, starego policjanta, ktry zwolni si ze suby i zaoy prywatn firm detektywistyczn w San Francisco. Ten szybko dostrzeg talenty drzemice w modym czowieku i zaangaowa go do pomocy. Od tego czasu mino sze lat. Vince nie cierpia zlece polegajcych na zbieraniu dowodw na niewiernych maonkw, co sprowadzao si do wielogodzinnych nudnych obserwacji. Uwielbia za to sprawy polegajce na sprawdzaniu stanu majtkowego rnych ludzi dla adwokatw, ktrzy chcieli wiedzie, czy dany go jest na tyle majtny, e opaca si ciga go po sdach. Zlecenia te daway mu wiele okazji do wykorzystania swoich talentw. Wemy t spraw, kiedy mia sprawdzi stany kont czowieka o nazwisku Joe Markowitz. Joe najprawdopodobniej ubi jaki podejrzany interes z przypadkowym znajomym, ktry chcia si teraz dowiedzie, czy Markowitz mia jakie pienidze, ktre mona by odzyska. Pierwszym krokiem Vincea byo zdobycie co najmniej jednego, a najlepiej dwch bankowych kodw bezpieczestwa na dany dzie. Wydaje si to niemoliwe. Co waciwie mogoby zmusi pracownika banku do ujawnienia podstawowego elementu zapewniajcego bezpieczestwo? Zadajmy sobie to pytanie jeeli chcielibymy zdoby kody, czy przyszedby nam do gowy jaki plan? Dla ludzi takich jak Vince to atwizna. *** Ludzie ufaj nam, jeeli posugujemy si ich argonem. Pokazujemy w ten sposb, e jestemy z zamknitego krgu to prawie haso. Tym razem nie potrzebowaem zbyt dobrej znajomoci argonu. Na pocztku wystarczy mi numer filii. Zadzwoniem do biura Beacon Street w Buffalo. Czowiek, ktry odebra, wyglda na gadu. Mwi Tim Ackerman powiedziaem. Kade nazwisko jest dobre, i tak by go nie zapisa. Jaki jest wasz numer filii? Numer telefonu czy numer oddziau? upewni si rozmwca, co byo do gupie, zwaywszy, e musiaem zna numer telefonu, skoro do niego zadzwoniem. Oddziau. 3182 powiedzia. Tak po prostu. adnego a dlaczego chce pan wiedzie? ani nic z tych rzeczy. W kocu to nie jest poufna informacja: numer ten widnieje prawie na kadym dokumencie, jaki wysyaj. Krok drugi: zadzwoni do filii, w ktrej Markowitz mia otwarty rachu-

153

nek, zdoby nazwisko jednego z pracownikw i dowiedzie si, kiedy ma przerw na lunch. Angela Wisnowski. Wychodzi o 12:30. Jak na razie idzie mi niele. Krok trzeci: zadzwoni do tej samej filii w czasie, gdy Angela bdzie na lunchu, powiedzie, e dzwoni z filii numer taki a taki w Bostonie; Angela potrzebowaa od nas informacji faksem, podaj mi kod. To byo najtrudniejsze kluczowa sprawa w caej rozgrywce. Jeeli miabym przeprowadza egzamin na socjotechnika, musiaby on wybrn z takiej sytuacji: ofiara nabiera uzasadnionych podejrze, a my naciskamy dalej, a zdobdziemy informacj. Nie da si tego zrobi, czytajc przygotowany scenariusz lub uczc si schematw postpowania. Niezbdna jest tu umiejtno wyczuwania psychiki ofiary, odbierania jej stanw emocjonalnych, igrania z ni jak z ryb na haczyku: popuszczamy yk odrobin i zacigamy, popuszczamy, by znowu pocign. I tak dalej, a ryba znajdzie si na dnie naszej dki. Pask! W taki sposb udao mi si zowi kod dnia. Duy krok do przodu. W wikszoci bankw uywaj tylko jednego i miabym ju wszystko, czego potrzebuj. Industrial Federal Bank korzysta z piciu kodw, wic posiadanie jednego to troch za mao. Majc dwa z piciu, miabym wiksz szans przebrn do nastpnej odsony tej sztuki. Uwielbiam ten trik: Nie powiedziaem B, tylko E. Kiedy dziaa, dziaa doskonale, a przewanie dziaa. Najlepiej, gdybym mia jeszcze trzeci. Da si to zrobi podczas jednej rozmowy B, D i E brzmi tak podobnie, e mona jeszcze raz by le zrozumianym. Osoba po drugiej stronie nie moe jednak nalee do zbyt bystrych. Czowiek, z ktrym rozmawiaem, sprawia wraenie rozgarnitego, dlatego wolaem poprzesta na dwch kodach. Z kodami dnia w rku miaem atut, ktry pozwoli mi zdoby kart wzorw podpisw. Dzwoni, go pyta o kod. On chce C, a ja znam tylko B i E. To jeszcze nie koniec wiata. Trzeba trzyma nerwy na wodzy w chwili takiej jak ta, mwi pewnie i naciera dalej. Poszo gadko. Zagraem czym w rodzaju: Kto korzysta z mojego komputera. Zapytaj mnie o kody, ktre znam. Wszyscy pracujemy dla tej samej firmy, jestemy w tym razem, a wic uatwiajmy sobie ycie nawzajem taka myl ma pojawi si w tym momencie w gowie ofiary. Mj rozmwca odegra sw rol zgodnie ze scenariuszem. Wybra spord kodw, ktre mu zasugerowaem. Odpowiedziaem prawidowo, wic wysa mi faks z kart wzorw podpisw. Jestemy prawie w domu. Jeszcze jeden telefon, aby zdoby numer auto-

154

matycznej usugi informujcej o stanie konta. Majc kart, miaem wszystkie numery kont Markovitza i jego PIN bank uywa w tym celu pierwszych piciu lub ostatnich czterech cyfr numeru ubezpieczenia spoecznego. Z owkiem w doni zadzwoniem pod 0-800 i po kilku minutach naciskania guzikw i wybierania opcji spisaem biece stany wszystkich czterech rachunkw i, dla pewnoci, najwiesz histori wpat i wypat. Miaem wszystko, o co prosi mj klient, a nawet wicej. Zawsze dodawaem co od siebie na konto dobrej wsppracy. Klient musi by zadowolony. W kocu podstaw egzystencji kadej firmy s stae zlecenia.

Analiza oszustwa
Kluczem do sprawy byo zdobycie kodw dnia. W tym celu napastnik, Vince, uy kilku technik. Na pocztku werbalnie wzrusza ramionami, kiedy Louis nie chcia poda mu kodu. Podejrzliwo Louisa bya uzasadniona kodw naleao uywa w odwrotnym kierunku. Wiedzia, e to osoba, ktra dzwoni, ma obowizek poda kod. Dla Vincea by to krytyczny moment od tego zaleao wszystko. W obliczu podejrze Louisa Vince wykona zmasowany atak, odwoujc si do wspczucia (id do lekarza), wywierajc nacisk (Mam tu jeszcze stos takich faksw, a u nas ju dochodzi 16:00) i stosujc manipulacj (Niech pan jej przekae, e naprawd chciaem to wysa, ale pan nie poda mi kodu). Vince bezporednio nie grozi, a jedynie sugerowa pewn grob: Jeeli nie podasz mi kodu bezpieczestwa, nie wyl informacji o kliencie, ktrej potrzebuje twoja koleanka z pracy, i powiem jej, e chciaem j wysa, ale ty odmwie mi pomocy. Nie naley w tej historii zbyt pochopnie obarcza win Louisa. W kocu osoba, z ktr rozmawia przez telefon, wiedziaa (albo przynajmniej sprawiaa takie wraenie), e jego koleanka, Angela, prosia o faks. Dzwonicy wiedzia o kodach bezpieczestwa i zna sposb ich oznaczania. Powiedzia, e ich kierownik oddziau wymaga tego ze wzgldw bezpieczestwa. Tak naprawd nie widzia adnej przyczyny, dla ktrej nie miaby podawa kodu. Przypadek Louisa nie jest odosobniony. Wyudzanie kodw bezpieczestwa od pracownikw banku zdarza si na porzdku dziennym. Nieprawdopodobne, ale prawdziwe.

155

Istnieje granica, po przekroczeniu ktrej techniki stosowane przez prywatnych detektyww przestaj by legalne. Zdobycie przez Vincea numeru oddziau byo cakowicie legalne. Nawet przechytrzenie Louisa i wycignicie od niego dwch kodw bezpieczestwa byo legalne. Granica zostaa przekroczona dopiero w momencie, gdy poprosi o przesanie faksu z danymi klienta. Czyn, ktry popeni Vince wraz z osob, ktra go wynaja, jest przestpstwem o niskiej szkodliwoci. Kiedy kradniemy pienidze lub przedmioty, kto zauwaa ich zniknicie. Kiedy kradniemy informacj, w wikszoci przypadkw nikt tego nie dostrzega, poniewa informacja pozostaje dalej w posiadaniu waciciela.

Uwaga Mitnicka
Kody bezpieczestwa przeznaczone do podawania przez telefon, podobnie jak hasa, s wygodnym i skutecznym rodkiem ochrony danych. Pracownicy musz jednak posiada wiedz o trikach, jakie stosuj socjotechnicy, i zosta wyszkoleni tak, aby zbyt atwo nie oddawali kluczy do skarbca.

Policjanci ofiarami socjotechniki

Prywatnemu detektywowi lub socjotechnikowi czsto przydaje si znajomo czyjego numeru prawa jazdy mona dziki temu wcieli si na chwil w t osob, aby uzyska informacj o stanie jej konta. Bez kradziey portfela lub zagldania przez rami zdobycie takiego numeru wydaje si prawie niemoliwe. Jednak dla kadego, kto posiada chociaby przecitne umiejtnoci socjotechniczne, nie jest to adnym problemem. Pewien socjotechnik, nazwijmy go Eric Mantini, musia zdoby numer prawa jazdy i numery rejestracyjne samochodu. Eric doszed do wniosku, e niepotrzebnie zwiksza ryzyko wpadki, dzwonic do Wydziau Transportu i stosujc t sam sztuczk za kadym razem, gdy potrzebowa takiej informacji. Zastanawia si, czy nie daoby si jako uproci tej procedury. Chyba nikomu wczeniej nie przyszo to do gowy. Eric wymyli sposb na uzyskanie informacji od rki, kiedy tylko jej potrzebowa. Wykorzysta w tym celu usug udostpnian przez stanowy Wydzia Transportu. Wiele wydziaw transportu udostpnia poufne dla ogu informacje o kierow-

156

cach firmom ubezpieczeniowym, prywatnym detektywom i innym instytucjom, ktrym prawo stanowe zezwala na dostp do tych informacji dla dobra spoeczestwa. Istniej oczywicie pewne ograniczenia co do typu informacji, jakie mog by udzielane. Firmy ubezpieczeniowe mog uzyska tylko cz informacji z akt, inne ograniczenia stosuje si do prywatnych detektyww itd. Zupenie odmienne reguy dotycz policji i agentw: Wydzia Transportu udostpnia im kad informacj po warunkiem, e si prawidowo zidentyfikuj. W stanie, w ktrym mieszka Eric, identyfikacja polegaa na podaniu kodu instytucji, ktra pyta o dane, i numeru prawa jazdy osoby pytajcej. Pracownik Wydziau Transportu zawsze sprawdza, czy numer prawa jazdy zgadza si z podanym nazwiskiem, i pyta o jedn dodatkow informacj zwykle o dat urodzenia przed udostpnieniem danych. Eric zamierza, ni mniej ni wicej, wcieli si w oficera policji. Jak mu si to udao? Odwrci intryg z da.

Podchody
Na pocztku zadzwoni na informacj i poprosi o numer telefonu do stanowego Wydziau Transportu. Podano mu numer 503-555-5000, ktry oczywicie jest numerem dla petentw. Nastpnie zadzwoni na pobliski posterunek policji i zapyta o biuro dalekopisowe miejsce, z ktrego przesya si i odbiera informacje z innych agencji rzdowych, z krajowego rejestru przestpstw itp. Kiedy zadzwoni do biura, powiedzia, e potrzebuje numeru telefonu, jakiego uywaj agenci do kontaktw z Wydziaem Transportu. Kim pan jest? zapyta policjant z biura dalekopisowego. Mwi Al. Dzwoniem na 503-555-5753 powiedzia. Numer, ktry poda, by wymylony, ale tylko czciowo. Pewne jest, e numer biura do kontaktw z policj bdzie mia ten sam prefiks (503), co numer dla petentw. Prawie pewne byo te to, e kolejne trzy cyfry bd takie same. Potrzebowa jedynie czterech ostatnich. Do biura dalekopisowego nie dzwoni nikt z zewntrz. Poza tym dzwonicy zna ju wiksz cz numeru. Najwyraniej bya to osoba z wewntrz. Podaje numer: 503-555-6127 powiedzia policjant. W ten sposb Eric zdoby specjalny numer do kontaktw policji z Wydziaem Transportu. Jeden numer jednak zupenie go nie satysfakcjonowa. Biuro na pewno ma wicej linii Eric chcia widzie, ile dokadnie i jaki kada z linii ma numer.

157

Centrala
Aby wcieli w ycie swj plan, musia uzyska dostp do centrali telefonicznej, ktra obsugiwaa linie czce policj z Wydziaem Transportu. Zadzwoni do stanowego Wydziau Telekomunikacji i przedstawi si, jako kto, kto dzwoni z firmy Nortel, producenta DMS-100, jednej z najpopularniejszych typw central. Powiedzia: Czy mog rozmawia z jakim inynierem, ktry zajmuje si centralami DMS-100? Gdy go poczono, powiedzia, e dzwoni z dziau pomocy technicznej firmy Nortel w Teksasie i wyjani, e tworzona jest wanie gwna baza danych w celu aktualizacji oprogramowania we wszystkich centralach. Wszystko bdzie si odbywao zdalnie nie bdzie potrzebna asysta inynierw. Potrzebuj jednak numeru do wdzwaniania si na centralk, aby mogli dokonywa aktualizacji bezporednio z ich siedziby. Brzmiao to cakiem wiarygodnie. Monter poda Ericowi numer. Mg teraz dzwoni bezporednio do jednej ze stanowych central telefonicznych. W celu ochrony przed potencjalnymi intruzami centrale tego typu s chronione hasem, podobnie jak firmowe sieci komputerowe. Kady dobry socjotechnik interesujcy si rwnie phreakingiem wie, e centrale firmy Nortel udostpniaj domyln nazw konta dla celw aktualizacji oprogramowania: NTAS (skrt oznaczajcy dzia pomocy technicznej Nortel; niezbyt wyszukane). Jak zdoby haso? Eric wdzwania si kilka razy, za kadym razem prbujc jednego z typowo ustawianych hase. Haso takie samo jak nazwa konta nie dziaao. Inne standardowe hasa te okazay si nietrafne. Sprbowa jeszcze wpisa aktualizacja i... dosta si do systemu. Typowe. Uywanie tak oczywistych hase jest niewiele lepsze od braku zabezpieczenia centrali jakimkolwiek hasem. Nie ma to jak by na bieco z technologi. Eric wiedzia o tej centrali i jej programowaniu prawdopodobnie tyle samo co obsugujcy j inynierowie. Z chwil, kiedy uzyska autoryzowany dostp do centrali, mia pen kontrol nad liniami telefonicznymi, ktre go interesoway. Ze swojego komputera poczy si z central i wprowadzi zapytanie o numer, ktry otrzyma wczeniej, 555-6127. Okazao si, e do tego samego miejsca biegnie 19 linii telefonicznych. Najwyraniej obcienie byo due. Centrala zostaa zaprogramowana, aby dla kadej przychodzcej rozmowy szuka pierwszej wolnej linii. Wybra lini numer 18 i wprowadzi kod przekierowujcy rozmowy z tej

158

Unii. Jako numer przekierowania wpisa numer swojej nowej, taniej komrki jednej z tych, ktrej nie szkoda wyrzuci po wykonaniu zadania. Majc aktywowane przekierowanie na osiemnastej linii, czeka, a natenie rozmw w biurze wzronie na tyle, e jednoczenie bdzie odbywao si siedemnacie rozmw. Nastpny telefon nie zadzwoni ju w biurze Wydziau Transportu bdzie to komrka Erka.

Telefon do Wydziau Transportu

Krtko przed 8:00 tego ranka zadzwonia komrka. Bya to najbardziej wysmakowana cz akcji. Oto Eric, socjotechnik, rozmawia z policjantem, z kim, kto potencjalnie moe go zaaresztowa, przeszuka jego mieszkanie lub poprowadzi obaw w celu zebrania przeciwko niemu dowodw. To nie by pojedynczy telefon. Od tej chwili co jaki czas dzwoni do niego jaki policjant. Jaki czas pniej Eric jad w restauracji lunch z przyjacimi, odbierajc co kilka minut telefon i notujc informacje na skrawku papieru za pomoc poyczonego dugopisu. Do dzisiaj mieje si, wspominajc t scen. Dobrego socjotechnika nie przeraa ani troch rozmowa z policj. Natomiast sam dreszcz wynikajcy z oszukiwania agentw doda sprawie dreszczyku. Wedug Erka, rozmowy przebiegay w nastpujcy sposb: Wydzia Transportu, w czym mog pomc? Mwi detektyw Andrew Cole. Dzie dobry. Co mog dla pana zrobi? Poprosz Soundex na numerze prawa jazdy 005602789 mg powiedzie policjant, uywajc terminu oznaczajcego zapytanie o fotografi jest to przydatne np. w sytuacji, gdy policjant musi aresztowa podejrzanego, ale nie wie, jak ten wyglda.

argon
Soundex system odwzorowania nazw (nazwisk) w kody liczbowe w taki sposb, e podobnie brzmice (w jzyku angielskim) nazwy odwzorowywane s w identyczne kody.

Za chwil znajd te akta mwi Eric. Aha, panie Cole, z jakiej agencji pan dzwoni?

159

 Jefferson County. Potem Eric zadawa najwaniejsze pytania: Prosz poda wasz kod instytucji, Jaki jest paski numer prawa jazdy?, Data urodzenia?. Rozmwca podawa wszystkie osobiste informacje identyfikacyjne. Eric mg w tym momencie udawa, e dokonuje weryfikacji, i za chwil powiedzie, e informacje si zgadzaj, po czym zapyta o szczegy informacji, jak chce uzyska. Eric robi wraenie, e szuka podanego mu nazwiska, pozwalajc, aby rozmwca usysza stukanie w klawiatur komputera i w chwil potem mwi co w rodzaju: O cholera! Znowu si zawiesi. Bardzo pana przepraszam, przez cay tydzie co mi si dzieje z komputerem. Mgby pan zadzwoni jeszcze raz, tak aby odebra inny urzdnik? W ten sposb czysto koczy rozmow, nie wzbudzajc jakichkolwiek podejrze w zwizku z tym, e nie mg pomc policjantowi. Sam w efekcie rozmowy otrzymywa kolejn tosamo szczegowe dane, ktre mg wykorzysta, aby wydoby informacje z Wydziau Transportu, kiedy tylko ich potrzebowa. Po kilkugodzinnym odbieraniu telefonw i zdobyciu kilkudziesiciu kodw instytucji Eric zadzwoni ponownie na central i dezaktywowa przekierowanie rozmw. Po tej akcji przez dugie miesice otrzymywa zlecenia przekazywane mu przez legalne firmy detektywistyczne, ktre nie chciay wiedzie, jak zdobywa takie informacje. Kiedy tylko potrzebowa, dzwoni ponownie na central, uruchamia przekierowanie i zbiera kolejny zapas tosamoci policjantw.

Analiza oszustwa
Przeledmy szczegowo wszystkie podstpy Erica, ktre przyczyniy si do powodzenia akcji. W pierwszym udanym kroku skoni urzdnika z biura dalekopisowego, aby ten poda tajny numer do Wydziau Transportu zupenie nieznajomemu czowiekowi, ktrego, bez uprzedniej weryfikacji, wzi za policjanta. Podobn rzecz zrobia osoba z Wydziau Telekomunikacji, ktra uwierzya, e Eric jest przedstawicielem firmy produkujcej centrale i podaa mu numer dostpowy do centrali telefonicznej, ktra obsuguje Wydzia Transportu.

160

Eric mg dosta si do centrali w duej mierze dziki nikym zabezpieczeniom, stosowanym przez producenta central, ktry wykorzystuje tak sam nazw konta we wszystkich centralach. Dziki takiej beztrosce odgadnicie hasa byo pestk dla socjotechnika, ktry zdaje sobie spraw, e obsuga centrali wymyla haso atwe do zapamitania. Majc dostp do centrali, ustawi przekierowanie z jednej z linii Wydziau Transportowego na wasny telefon komrkowy. Nadszed czas na kulminacyjny punkt caej intrygi: oszukiwanie kolejnych policjantw i pobieranie od nich nie tylko kodw instytucji, ale rwnie ich osobistych danych identyfikacyjnych. Dziki temu Eric mg korzysta z ich tosamoci. Mimo e cay wyczyn wymaga sporej wiedzy technicznej, nie powidby si bez pomocy kilku osb, ktre nie miay pojcia, e rozmawiaj z oszustem. Historia ta jest kolejn ilustracj fenomenu polegajcego na tym, e ludzie nie pytaj: Dlaczego?. Dlaczego urzdnik z biura dalekopisowego wyjawi tajn informacj jakiemu nieznajomemu policjantowi albo tak jak w tym przypadku obcemu podajcemu si za policjanta, zamiast zasugerowa mu, eby zapyta o to koleg lub swojego zwierzchnika? I znowu jedyn odpowiedzi na to pytanie jest ta, e ludzie po prostu rzadko zadaj takie pytania. Moe nie przychodzi im to do gowy? A moe maj skrupuy przed podejrzewaniem rozmwcy o kamstwo i odmawianiem mu pomocy? Moe. Wszelkie dalsze wyjanienia to zgadywanka. Socjotechnika nie interesuje, dlaczego tak si dzieje; interesuje go jedynie to, w jaki sposb fakt ten uatwia zdobycie informacji, ktre byyby trudne do uzyskania, gdyby ludzie zachowywali si inaczej.

Uwaga Mitnicka
Jeeli nasza firma posiada wasn central telefoniczn, zastanwmy si nad nastpujc kwesti: co zrobiaby osoba odpowiedzialna za central, gdyby zadzwoni do niej przedstawiciel producenta i poprosi o numer do centrali? Czy osoba ta zadaa sobie w ogle trud, aby zmieni domylne haso centrali? Czy haso to jest atwym do odgadnicia wyrazem, ktry znajduje si w sowniku?

161

Jak zapobiega?
Kod bezpieczestwa uywany w odpowiedni sposb tworzy wartociow barier ochronn. Nieprawidowo uywany kod bezpieczestwa to rzecz gorsza ni jego brak, poniewa zapewnia on iluzj bezpieczestwa, ktrego w rzeczywistoci nie ma. Po c bowiem kody, jeeli nasi pracownicy nie traktuj ich jak tajemnicy? Firma, ktrej potrzebne s werbalne kody bezpieczestwa, musi jednoznacznie okreli, kiedy i jak z nich korzysta. Gdyby osoba z pierwszej opisanej w tym rozdziale historii bya dobrze wyszkolona, nie musiaaby polega na swoim instynkcie i zbyt atwo da si namwi na podanie kodu bezpieczestwa obcemu czowiekowi. Urzdnik z tego przykadu czu, e nie powinien w tych okolicznociach by pytany o tak informacj, ale nie posiadajc jednoznacznych wytycznych, nie mwic ju o odpowiedniej dozie zdrowego rozsdku, szybko podda si woli rozmwcy. Procedury bezpieczestwa powinny rwnie definiowa kroki, zgodnie z ktrymi naley postpowa w sytuacji, gdy pracownik wymaga od nas kodu w nieadekwatnych okolicznociach. Wszyscy pracownicy powinni natychmiast zgasza wszelkie zapytania o informacje uwierzytelniajce, takie jak kod dnia lub haso, zadane w podejrzanych okolicznociach. Powinni rwnie zgasza wszelkie prby weryfikacji tosamoci pytajcego, ktre nie zakoczyy si pomylnie. Jako minimalny rodek ostronoci pracownicy powinni zanotowa nazwisko dzwonicego, jego numer telefonu oraz biuro lub oddzia, z ktrego dzwoni, i odoy suchawk. Zanim oddzwoni, powinni sprawdzi, czy w podanym biurze pracuje osoba o danym nazwisku i czy numer, ktry podaa, zgadza si z numerem w firmowym spisie telefonw. W wikszoci przypadkw ta prosta taktyka pozwoli na weryfikacj, czy dzwonicy jest tym, za kogo si podaje. Weryfikacja staje si trudniejsza, kiedy firma posuguje si wydrukowanym spisem telefonw zamiast stale aktualizowanej wersji przechowywanej w systemie komputerowym. Cay czas przyjmuje si i zwalnia pracownikw, ludzie zmieniaj stanowiska, wydziay i numery telefonw. Drukowana wersja spisu moe by nieaktualna ju w chwili jej publikacji. Na komputerowych wersjach spisu te nie mona do koca polega, poniewa socjotechnik zna sposoby wprowadzania w nich zmian. Jeeli pracownik nie jest w stanie skonfrontowa numeru telefonu z niezalenym rdem, powinien dokona weryfikacji w inny sposb, np. kontaktujc si ze zwierzchnikiem dzwonicego.

III
Uwaga, intruz!
Na terenie firmy Socjotechnika i technologia Atak w d hierarchii Wyrafinowane intrygi Szpiegostwo przemysowe

10
Na terenie firmy
Dlaczego tak atwo obcemu poda si za pracownika firmy i udawa go w przekonujcy sposb, nabierajc nawet ludzi o duej wiadomoci tego typu zagroe? Dlaczego tak atwo oszuka czowieka w peni wiadomego procedur bezpieczestwa, nawet jeli osoba ta nie ufa ludziom, ktrych nie zna, i dba o ochron zasobw informacyjnych swojej firmy? Zastanwmy si nad powyszymi pytaniami, czytajc historie zawarte w tym rozdziale.

Stranik
Czas: wtorek, 17 padziernika, 2:16 w nocy. Miejsce: Skywatcher Aviation, Inc., zakad produkcyjny firmy na przedmieciach Tucson w stanie Arizona.

164

Historia stranika
Leroy Greene czu si o wiele lepiej, syszc stukanie swoich obcasw o posadzki opuszczonych hal fabrycznych, ni spdzajc dugie nocne godziny na wpatrywaniu si w monitory w biurze stray przemysowej. Nie mg tam robi niczego poza gapieniem si na ekrany. Nie wolno mu byo nawet przeczyta gazety lub zajrze do swojej oprawionej w skr Biblii. Musia siedzie i patrze na zastyge obrazy, na ktrych nigdy nic nie chciao si poruszy. Chodzc po halach, mg przynajmniej rozprostowa nogi, a jeeli pamita by w chd zaangaowa bardziej rce i ramiona, to mia namiastk gimnastyki. Cho trudno uwaa co takiego za gimnastyk dla byego prawego napastnika najlepszej druyny footbalowej w miecie. No c, taka praca. Gdy doszed do rogu, zmieni kierunek marszu i poszed wzdu galerii, z ktrej rozciga si widok na kilkusetmetrowej dugoci hal produkcyjn. Spojrza w d i zauway dwie osoby przechodzce obok rzdu helikopterw bdcych w trakcie produkcji. Po chwili postacie zatrzymay si i zaczy oglda maszyny. Do dziwny widok, biorc pod uwag, e by rodek nocy. Lepiej to sprawdz pomyla. Leroy uda si w kierunku schodw i wszed do hali w taki sposb, eby zaj intruzw od tyu. Nie zauwayli go do momentu, kiedy si odezwa. Dzie dobry. Mog zobaczy panw identyfikatory? powiedzia. Leroy stara si w takich momentach uywa agodnego tonu. Zdawa sobie spraw, e jego suszne rozmiary mogy niejednego wystraszy. Cze Leroy powiedzia jeden z nich, odczytujc imi z identyfikatora. Tom Stilton z dziau marketingu z centrali w Phoenix. Mam tu u was par spotka i chciaem przy okazji pokaza mojemu koledze, jak buduje si najwiksze helikoptery na wiecie. Dobrze. Prosz pokaza identyfikator rzek Leroy. Zauway, e byli bardzo modzi. Go od marketingu wyglda, jakby wanie skoczy liceum, a drugi, z wosami do ramion, na 15 lat. Pierwszy z nich sign do kieszeni po identyfikator, po czym zacz nerwowo przeszukiwa wszystkie swoje kieszenie. Leroy zaczyna podejrzewa, e co tu nie gra. Cholera powiedzia. Musiaem zostawi go w samochodzie. Mog przynie, to mi zajmie dziesi minut. Pjd na parking i wrc. Leroy zdy ju wyj swj notes. Mog jeszcze raz prosi pana nazwisko? zapyta i uwanie zanoto-

165

wa odpowied. Nastpnie poprosi, aby udali si z nim do biura stray przemysowej. Kiedy jechali wind na trzecie pitro, Tom mwi, e pracuje tu dopiero od szeciu miesicy i ma nadziej, e Leroy nie bdzie robi mu problemw w zwizku z tym incydentem. W biurze ochrony Leroy wraz z kolegami zaczli zadawa dwjce pytania. Stilton poda swj numer telefonu i powiedzia, e jego szefem jest Judy Underwood, po czym poda rwnie jej numer telefonu. Informacje zgadzay si z danymi w komputerze. Leroy wzi swoich kolegw na stron, aby naradzi si, co robi w tej sytuacji. Nie chcieli popeni jakiego bdu. Uznali wic, e najlepiej zadzwoni do jego szefowej, nawet gdyby miao to oznacza zbudzenie jej w rodku nocy. Leroy sam zadzwoni do pani Underwood, wyjani kim jest i zapyta, czy pracuje dla niej pan Stilton. Tak odpowiedziaa w pnie. Natknlimy si na niego w hali produkcyjnej o 2:30 w nocy bez identyfikatora. Prosz mi go da do telefonu powiedziaa pani Underwood. Stilton podszed do telefonu i powiedzia: Judy, przykro mi, e stranicy musieli ci obudzi w rodku nocy. Mam nadziej, e nie bdziesz mi miaa tego za ze. Chwil sucha i kontynuowa: To przez to, e i tak musz tu by rano na spotkaniu w zwizku z now publikacj prasow. Przy okazji, odebraa e-mail na temat Thompsona? Musimy si spotka z Jimem w poniedziaek, eby to nie przeszo nam koo nosa. Aha, i jestemy umwieni na lunch we wtorek, tak? Sucha jeszcze chwil, po czym poegna si i odoy suchawk. To zaskoczyo Leroya, bo spodziewa si, e odda mu jeszcze suchawk, a jego szefowa potwierdzi, e wszystko jest w porzdku. Zastanawia si, czy nie zadzwoni do niej jeszcze raz. Pomyla jednak, e ju raz j zbudzi w rodku nocy. Jeeli zadzwoniby po raz drugi, mogaby si zdenerwowa i donie o tym jego szefowi. Nie bd robi zamieszania pomyla. Mog pokaza mojemu koledze reszt linii produkcyjnej? zapyta Stilton Leroya. Moe pan i z nami. Idcie, ogldajcie powiedzia Leroy tylko nastpnym razem prosz nie zapomina o identyfikatorze. I prosz wczeniej informowa ochron, jeeli zamierza pan przebywa na terenie zakadu po godzinach jest taki wymg.

166

 Bd o tym pamita, Leroy powiedzia Stilton i obaj wyszli. Nie mino nawet dziesi minut, kiedy w biurze ochrony odezwa si telefon. Dzwonia pani Underwood. Co to by za facet?! dopytywaa si. Powiedziaa, e prbowaa zadawa mu pytania, a on mwi jakie dziwne rzeczy o lunchu. Nie ma pojcia, kto to by. Ochroniarz zadzwoni do stranikw w korytarzu i na bramie przy parkingu. Obydwaj widzieli wychodzcych kilka minut temu dwch modych mczyzn. Opowiadajc pniej t histori, Leroy mwi zawsze na koniec: Boe, mylaem e mj szef mnie zabije. Mam szczcie, e mnie nie wyrzuci z pracy.

Historia Joe Harpera

Siedemnastoletni Joe Harper od ponad roku zakrada si do rnych budynkw. Czasami w dzie, czasem w nocy za kadym razem chcia przekona si, czy ujdzie mu to na sucho. By synem muzyka i kelnerki obydwoje pracowali na nocne zmiany, a Joe zbyt duo czasu spdza samotnie. Jego opis tych samych wydarze pozwala lepiej zrozumie, co zaszo. *** Mam takiego kumpla, Kennyego, ktry chce by pilotem helikoptera. Zapyta mnie, czy mog wprowadzi go do fabryki Skywatcher, eby pooglda lini produkcyjn helikopterw. Wiedzia, e szwendaem si ju po rnych budynkach. Zakradanie si do miejsc, gdzie wstp jest zabroniony, to nieza dawka adrenaliny. Nie polega to jednak po prostu na wejciu na teren fabryki czy biura. Najpierw trzeba wszystko dokadnie przemyle, zaplanowa i zrobi peny rekonesans obiektu. Trzeba wej na stron internetow firmy, poszuka nazwisk i stanowisk, struktury podlegoci i numerw telefonw. Przeczyta wycinki prasowe i artykuy w magazynach. Metodyczne badania to mj wasny sposb na bezpieczestwo dziki temu mog rozmawia z kadym, podajc si za pracownika. Od czego wic zacz? Na pocztku zajrzaem do Internetu, aby sprawdzi, gdzie znajduj si biura firmy. Okazao si, e gwna siedziba jest w Phoenix. Doskonale. Zadzwoniem tam i poprosiem o poczenie z dziaem mar-

167

ketingu. Kada firma ma taki dzia. Odebraa kobieta, a ja powiedziaem, e dzwoni z firmy Blue Pencil Graphics i chciaem zorientowa si, czy s zainteresowani korzystaniem z naszych usug. Zapytaem, z kim mog na ten temat porozmawia. Powiedziaa, e najlepiej z Tomem Stiltonem. Poprosiem wic o jego numer telefonu, na co odpowiedziaa, e nie udzielaj takich informacji, ale moe mnie z nim poczy. Dodzwoniem si do jego automatycznej sekretarki. Nagrana wiadomo brzmiaa nastpujco: Dzie dobry, tu Tom Stilton, dzia marketingu, wewntrzny 3147, prosz zostawi wiadomo. Dobre! Pono nie udzielaj takich informacji, a tu go zostawi swj wewntrzny na sekretarce. Dla mnie bomba miaem ju nazwisko i numer. Kolejny telefon do tego samego biura. Dzie dobry, szukam Toma Stiltona, ale nie ma go u siebie. Chciabym zapyta o co jego szefa. Szefowej te nie byo, ale zdyem w trakcie rozmowy uzyska jej nazwisko. Ona rwnie zostawia swj numer wewntrzny na sekretarce bardzo adnie! Na pewno udaoby mi si bez specjalnego zachodu przeprowadzi nas obok stranika w korytarzu, ale kiedy przejedaem w pobliu tej fabryki i chyba widziaem tam pot dookoa parkingu. W takim razie na pewno stranik sprawdza tam, kto wjeda na parking. W nocy pewnie spisuj dodatkowo numery rejestracyjne, wic bd musia kupi na pchlim targu jakie stare tablice. Najpierw musz jednak zdoby numer telefonu do budki stranikw. Odczekaem chwil, aby w sytuacji, gdy odbierze ta sama osoba, mj gos nie wyda jej si znajomy. Po jakim czasie zadzwoniem i powiedziaem: Kto nam zgasza, e s problemy z telefonem w budce stranikw przy Ridge Road czy dalej co si dzieje? Moja rozmwczyni powiedziaa, e nie wie, ale poczy mnie z budk. Odebra mczyzna: Brama przy Ridge Road, mwi Ryan. Cze Ryan, tu Ben. Mielicie ostatnio jakie problemy z telefonem? Stranik by chyba przeszkolony, bo zapyta od razu: Jaki Ben? Mog prosi twoje nazwisko? Kto od was zgasza problemy kontynuowaem tak, jakbym nie sysza pytania. Odsunwszy suchawk od ucha, zawoa: Hej, Bruce, Roger, byy jakie problemy z telefonem? Zbliy z powrotem suchawk i powiedzia:

168

 Nie wiemy nic o adnych problemach. Ile macie tam linii telefonicznych? Zdy zapomnie o moim nazwisku. Dwie powiedzia. A na ktrej teraz rozmawiamy? Na 3410. Bingo! I obydwie dziaaj bez problemw? Raczej tak. Dobrze powiedziaem. Tom, jeeli pojawi si u was jakiekolwiek problemy z telefonami, dzwo do nas, do Telecom. Jestemy od tego, eby wam pomaga. Zdecydowalimy z Kennym, e odwiedzimy fabryk jeszcze tej nocy. Pnym popoudniem zadzwoniem do budki straniczej, przedstawiajc si jako pracownik dziau marketingu. Powiedziaem: Dzie dobry, tu Tom Stilton z marketingu. Mamy napity termin i dwch ludzi jedzie do nas z pomoc. Nie dotr wczeniej ni o pierwszej, drugiej w nocy. Bdzie pan wtedy jeszcze na zmianie? Odpowiedzia radonie, e koczy o pnocy. Moe pan zostawi wiadomo dla swojego zmiennika? spytaem. Kiedy pojawi si dwch ludzi i powiedz, e przyszli do Toma Stiltona, prosz ich wpuci, dobrze? Powiedzia, e nie ma sprawy. Zanotowa moje nazwisko, wydzia i numer wewntrzny, po czym powiedzia, e si tym zajmie. Podjechalimy pod bram troch po drugiej. Powiedziaem, e przyjechalimy do Toma Stiltona. Zaspany stranik wskaza tylko drzwi, ktrymi mamy wej, i miejsce do zaparkowania. Po wejciu do budynku natrafilimy na kolejn bramk ochrony w korytarzu i ksik do odnotowywania pobytu po godzinach. Powiedziaem stranikowi, e musz na rano opracowa raport, a kolega chcia po prostu zobaczy fabryk. On ma bzika na punkcie helikopterw powiedziaem. Chce zosta pilotem. Stranik poprosi o mj identyfikator. Signem do kieszeni, po czym signem do paru innych i powiedziaem, e chyba zostawiem go w samochodzie i e zaraz po niego pjd. Dziesi minut powiedziaem. Dobra, nie trzeba. Wystarczy si wpisa powiedzia stranik. Spacer

169

wzdu linii produkcyjnej by niesamowity. Dopki nie zatrzyma nas ten olbrzym Leroy. W biurze stray zdaem sobie spraw, e intruz wygldaby w tym momencie na nerwowego i wystraszonego. Kiedy rzecz stana na ostrzu noa, udawaem oburzenie. Tak jakbym w rzeczywistoci by tym, za kogo si podaj, i wyprowadzi mnie z rwnowagi fakt, e nie chcieli mi uwierzy. Kiedy zaczli mwi o tym, e chyba powinni zadzwoni do mojej szefowej i zaczli szuka w komputerze jej domowego numeru telefonu, staem tam i mylaem: Chyba czas wia. Ale co z bram na parkingu nawet jeeli uda si nam wydosta z budynku, zamkn bram i nas zapi. Kiedy Leroy zadzwoni do kobiety, ktra bya szefow Stiltona, i odda mi suchawk, zacza do mnie wrzeszcze: Kto mwi? Kim pan jest?! A ja po prostu gadaem tak, jakbymy prowadzili normaln rozmow i po jakiej chwili odoyem suchawk. Ile czasu potrzeba, aby w rodku nocy zdoby numer telefonu do fabryki? Szacowaem, e mamy mniej ni kwadrans na to, eby wydosta si stamtd, zanim ta kobieta zadzwoni i zaalarmuje stranikw. Wychodzilimy z fabryki tak szybko, jak si dao, ale eby nie wygldao, e bardzo nam si spieszy. Odetchnem, kiedy stranik przy bramie parkingu tylko machn, ebymy przejechali.

Analiza oszustwa
Warto wspomnie, e bohaterami prawdziwego incydentu, na ktrym oparta jest ta historia, byli nastoletni modziecy. Dla nich to by wygup, przygoda chcieli si przekona, czy im si uda. Jeeli dla pary nastolatkw wejcie na teren firmy okazao si takie proste, to jak proste moe by dla zodziei, szpiegw przemysowych lub terrorystw? Jak to si stao, e trzech dowiadczonych stranikw pozwolio dwm intruzom po prostu wyj z fabryki? Tym bardziej, e ju ich mody wiek powinien by wysoce podejrzany. Leroy mia z pocztku suszne podejrzenia. Dobrze zrobi, zabierajc ich do biura stray przemysowej i sprawdzajc chopaka podajcego si za Toma Stiltona oraz numery telefonw i nazwiska, ktre poda. Z pewnoci suszny by rwnie telefon do jego domniemanego zwierzchnika.

170

W kocu jednak zwioda go pewno siebie i oburzenie modego czowieka. Nie byo to zachowanie, ktrego mg spodziewa si po zodzieju lub intruzie tylko pracownik firmy mg zachowywa si w taki sposb. Tak przynajmniej sdzi. Leroy powinien zosta przeszkolony, aby dziaa, opierajc si na solidnych procedurach identyfikacyjnych, a nie na swojej wasnej ocenie. Dlaczego jego podejrzenia nie wrosy, kiedy chopak odoy suchawk, nie podajc jej z powrotem Leroyowi, aby ten usysza, jak Judy Underwood potwierdza, e jej pracownik ma powd, by przebywa o tej porze w fabryce? Byo to szyte tak grubymi nimi, e trudno uwierzy, i Leroy da si nabra. Spjrzmy jednak na sytuacj z jego perspektywy: ukoczy ledwo liceum, zaleao mu na pracy, nie by pewny, czy nie narazi si, dzwonic drugi raz w rodku nocy do osoby na kierowniczym stanowisku. Czy bdc w jego skrze zdecydowalibymy si na ponowny telefon? Oczywicie drugi telefon to nie byo jedyne wyjcie z sytuacji. Co jeszcze mg zrobi stranik? Jeszcze przed wykonaniem telefonu powinien poprosi obu modziecw o jaki dowd tosamoci ze zdjciem. Skoro przyjechali do fabryki samochodem, przynajmniej jeden z nich powinien mie przy sobie prawo jazdy. W tym momencie fakt podania przez nich faszywych nazwisk staby si oczywisty (profesjonalista zapewne pojawiby si z faszywym dowodem, ale ci chopcy na pewno o tym nie pomyleli). W kadym razie Leroy powinien sprawdzi ich informacje identyfikacyjne i zanotowa je. Jeeli obaj owiadczyliby, e nie maj przy sobie adnych dowodw tosamoci, powinien pj z nimi do samochodu po identyfikator, ktry chopak podajcy si za Toma Stiltona rzekomo tam zostawi. Po rozmowie z szefow jeden z ochroniarzy powinien towarzyszy im do wyjcia, a nastpnie odprowadzi do samochodu i spisa jego numer rejestracyjny. Jeeli byby spostrzegawczy, by moe zauwayby, e jedna z tablic (kupiona na pchlim targu) nie miaa wanej nalepki rejestracyjnej a to ju powd, aby zatrzyma dwjk w celu dalszego dochodzenia ich tosamoci.

Uwaga Mitnicka
Ludzie posiadajcy dar manipulowania innymi zwykle cechuj si bardzo magnetycznym typem osobowoci. Przewanie s to osoby rzutkie i elokwentne. Socjotechnikw wyrnia te umiejtno rozpraszania procesw mylowych swoich rozmwcw, co w efekcie prowadzi

171

do szybkiego nawizania wsppracy z ofiar ataku. Sdzc, e istnieje chocia jedna osoba, ktra nie podda si tego typu manipulacji, nie doceniamy umiejtnoci i instynktu socjotechnikw. Dobry socjotechnik za to nigdy nie pozwala sobie na lekcewaenie swego przeciwnika.

mietnik peen informacji

Zadziwiajca jest ilo informacji, jak mona zdoby, przeszukujc mieci wyrzucane z firmy. Wielu ludzi nie zdaje sobie sprawy z tego, co wyrzuca: rachunki za telefon, wydruki z konta bankowego, opakowania po lekach, materiay zwizane z prac i wiele innych rzeczy. Pracownicy w firmie musz by wiadomi, e s ludzie, ktrzy szukaj w mietnikach informacji, ktre mona wykorzysta. W czasach, gdy byem w liceum, chodziem przeszukiwa kosze na mieci na tyach lokalnej firmy telekomunikacyjnej najczciej sam, a od czasu do czasu z kolegami, ktrzy rwnie interesowali si telekomunikacj. Majc pewne dowiadczenie w zawodzie nurka mietnikowego, uczyem si trikw pozwalajcych unika mieci z rnych nieciekawych miejsc i zakadania rkawiczek. Samo grzebanie w mieciach moe nie jest zbyt zabawne, ale to, co mona tam znale, stanowi rekompensat. Wewntrzne spisy telefonw firmy, dokumentacje programw, listy pracownikw, nieudane wydruki, z ktrych mona byo nauczy si programowania centrali itp. Wystarczyo bra. Planowaem wizyty na mietniku w noce po opublikowaniu nowych dokumentacji, poniewa wyrzucano wtedy beztrosko wiele starych egzemplarzy. Chodziem tam rwnie o rnych przypadkowych porach, szukajc jakich notatek, listw, raportw i tym podobnych rzeczy, ktre mogy zawiera interesujce informacje. Kiedy przychodziem na mietnik, znajdowaem jakie kartony i odkadaem je na bok. Jeeli kto mnie zaczepia, a zdarzao si tak od czasu do czasu, mwiem, e kolega si przeprowadza i szukam dla niego jakich pude, eby mg si spakowa. Stranik zwykle nie zauwaa dokumentw, ktrymi napeniaem kartony przed zabraniem ich do domu. Czasami mwiono mi, ebym si wynosi, wwczas szedem na tyy biura konkurencyjnej fir-

172

my telekomunikacyjnej. Nie wiem, jak wyglda to dzi, ale w tamtych czasach atwo byo rozpozna worki, ktre mogy zawiera co interesujcego. Drobne mieci i odpadki z bufetu wyrzucane byy luzem w duych workach, podczas gdy odpadki z biurowych koszy na mieci wynoszone byy w biaych, plastikowych torbach obwizywanych sznurkiem. Pewnego razu, przeszukujc wraz z kolegami mietnik, znalelimy kilka podartych arkuszy papieru. Podartych to za mao powiedziane: kto zada sobie trud rozdrobnienia ich na zupenie mae skrawki. Wszystkie skrawki znajdoway si w oddzielnym worku. Zabralimy worek do pobliskiego baru, wysypalimy kawaki na st i zaczlimy je ukada. Wszyscy lubilimy puzzle, wic ukadanie skrawkw okazao si dobr zabaw. W nagrod zamiast lizaka otrzymalimy co wicej. Poskadany dokument okaza si list nazw kont i hase do jednego z najwaniejszych systemw komputerowych firmy. Czy cay zachd i ryzyko zwizane z grzebaniem w mietnikach si opaca? Jeszcze jak! Nawet bardziej ni mona by sdzi, poniewa ryzyko jest zerowe. Byo tak wtedy i jest do dzisiaj: o ile nie wchodzimy przy tej okazji na czyj prywatny teren, grzebanie w mietnikach jest stuprocentowo legalne. Oczywicie nie tylko phreakerzy i hakerzy zanurzaj gowy w koszach na mieci. Policja rwnie regularnie zaglda do mietnikw. Gros przestpcw, od zwykych malwersantw do szefw mafii, zostao oskaronych na podstawie dowodw znalezionych w ich mietnikach. Agencje wywiadowcze rwnie od lat stosuj t metod. Nie jest to moe taktyka godna Jamesa Bonda kinomani zapewne wol patrze, jak przechytrza czarny charakter lub uwodzi kolejn pikno, zamiast oglda go zanurzonego po kolana w mieciach. Prawdziwi szpiedzy nie brzydz si jednak, gdy wrd skrek od bananw i kubkw po kawie, starych gazet i podartych list zakupw moe by ukryte co wartociowego. Poza tym szukanie informacji w ten sposb jest bezpieczne.

Fortuna w odpadkach
Korporacje rwnie bawi si w przeszukiwanie mietnikw. W czerwcu 2000 roku gazety poday informacj, e Oracle Corporation (szef tej firmy,

173

Larry Ellison, jest chyba najbardziej zagorzaym wrogiem Microsoftu w USA) wynaja firm detektywistyczn, ktrej pracownicy zostali zapani na gorcym uczynku. Najwyraniej chcieli uzyska dostp do mieci z ACT (grupy lobbyingowej wspieranej przez Microsoft), ale bez naraania si na przyapanie. Wedug doniesie prasowych, firma wysaa do ACT kobiet, ktra oferowaa sprztaczom 60 dolarw za mieci z ACT. Ci odmwili. Nastpnej nocy pojawia si ponownie, podnoszc ofert do 500 dolarw. Sprztacze tym razem nie tylko odmwili, ale postanowili o tym donie. Time zatytuowa swj artyku powicony Ellisonowi z Oracle Larry podgldacz.

Analiza oszustwa
Biorc pod uwag dowiadczenia moje i firmy Oracle, mona by zacz si zastanawia, czy kradzie czyich mieci nie jest ryzykowna. Odpowied powinna chyba brzmie: ryzyko jest niewielkie, a korzyci mog by ogromne. Moe po prostu prba przekupienia osb zajmujcych si sprztaniem zwiksza ryzyko poniesienia konsekwencji. Niewtpliwie jednak kady, kto nie boi si odrobin ubrudzi, powinien poradzi sobie bez dawania apwek. Socjotechnik znajdzie w koszu na mieci wiele interesujcych rzeczy. Moe zdoby tam informacje wystarczajce do zaatakowania firmy, np. pisma, harmonogramy, listy i tym podobne dokumenty, w ktrych pojawiaj si nazwiska, wydziay, stanowiska, numery telefonw i nazwy realizowanych projektw. mieci mog dostarczy nam informacji o strukturze firmy, planach wyjazdw itp. Detale te mog wydawa si mao istotne dla ludzi z wewntrz organizacji, lecz s bardzo wartociowe dla napastnika. Mark Joseph Edwards w swojej ksice Internet Security with Windows NT mwi o caych raportach wyrzucanych z powodu bdw literowych, hasach zapisanych na skrawkach papieru, notatkach typu Gdy Ci nie byo, dzwonili... z numerami telefonw, caych segregatorach wypenionych dokumentami, nie zniszczonych dyskietkach i tamach wszystko to moe pomc potencjalnemu intruzowi. Autor ksiki zapytuje te: A kim s ludzie, ktrzy sprztaj wasze biura? Podjlicie decyzj, e sprztacze nie maj prawa wstpu do pomieszczenia z komputerami? A co z koszami na mieci w innych pomieszczeniach? Agencje federalne przeprowadzaj rutynowe kontrole ludzi, ktrzy maj dostp do ich mietnikw lub niszczarek dokumentw. Moe powinnicie wzi z nich przykad?.

174

Uwaga Mitnicka
Twoje mieci mog stanowi skarb dla przeciwnika. Zwykle nie przejmujemy si tym, co wyrzucamy do mieci w domu, dlaczego wic mielibymy sdzi, e ludzie zmieni ten nawyk w pracy? Wszystko sprowadza si do edukacji naszych pracownikw i uwiadomienia im zagroe (pozbawieni skrupuw ludzie szukajcy informacji w mietnikach) i celu ataku (poufne informacje, ktre nie zostay zniszczone lub odpowiednio wymazane).

Upokorzony szef
Nikt nie widzia niczego podejrzanego w fakcie, e Harlan Fortis przyby w poniedziaek rano do swojej pracy w Wydziale Drg i powiedzia, i wychodzc z domu w popiechu, zapomnia identyfikatora. Straniczka widywaa go, odkd tu pracowaa, czyli od dwch lat, jak codziennie wchodzi i wychodzi z pracy. Kazaa mu podpisa identyfikator dla tymczasowo zatrudnionego, wrczya mu go i wpucia na teren firmy. Pieko zaczo si dopiero dwa dni pniej. Historia rozesza si po caym wydziale. Wikszo ludzi, ktrzy j syszeli, nie moga w to uwierzy, reszta za nie wiedziaa, czy si mia czy paka nad biednym Georgeem. Bo w istocie George Adamson by litociw osob najlepszy szef wydziau, jakiego mieli. Nie zasugiwa, eby przytrafio si to wanie jemu. Oczywicie przy zaoeniu, e historia bya prawd. Kopoty zaczy si, kiedy ktrego pitku pod koniec dniwki George wezwa Harlana do swojego biura i zakomunikowa mu w jak najagodniejszy sposb, e od przyszego poniedziaku Harlan zostaje przeniesiony do Wydziau Sanitarnego. Dla Harlana to byo tak, jakby zosta zwolniony. A w zasadzie gorzej to byo upokarzajce. Nie mia zamiaru tak po prostu si z tym pogodzi. Tego wieczora usiad na werandzie i obserwowa samochody ludzi wracajcych z pracy do domw. W kocu zauway chopca o imieniu David, ktrego wszyscy nazywali dzieciakiem od gier wojennych jadcego na swoim motorowerze ze szkoy. Zatrzyma go i wrczy mu gr komputerow, ktr kupi specjalnie na t okazj, po czym zaoferowa ukad: najnowsza konsola do gier plus sze gier za odrobin pomocy przy komputerze i zmow milczenia.

175

Kiedy Harlan objani swj plan nie podajc na razie adnych szczegw David zgodzi si i powiedzia, co naley do Harlana. Musia kupi modem, znale w biurze komputer, przy ktrym jest jakie wolne gniazdko telefoniczne, i tam go podczy. Potem mia zostawi modem pod biurkiem, aby nikt go nie zauway. Nastpny krok by ryzykowny. Harlan musia usi przy komputerze, zainstalowa pakiet oprogramowania do zdalnego dostpu i uruchomi go. W kadej chwili osoba, ktra pracowaa w danym pokoju, moga wrci lub kto mg przyj i zobaczy go w nie swoim biurze. By taki spity, e mia trudnoci z odczytaniem instrukcji, ktr napisa mu David. W kocu udao mu si skoczy i wymkn si z budynku niezauwaony.

Podkadanie miny
Tej wieczoru David wpad na kolacj do Harlana. Potem obaj usiedli przy komputerze i w cigu paru minut chopakowi udao si uzyska zdalny dostp do komputera Georgea Adamsona. Zadanie byo proste, poniewa George nigdy nie mia czasu na to, by zmieni haso, a poza tym cigle kogo prosi o pobranie albo wysanie jakiego pliku na jego komputerze. Wkrtce wszyscy w biurze znali haso Georgea. Po krtkim poszukiwaniu odnaleli plik o nazwie Budet2002.ppt chopak pobra go na komputer Harlana. Ten poprosi, by zostawi go samego i przyszed za dwie godziny. Kiedy David wrci, Harlan poprosi o ponowne poczenie z systemem komputerowym Wydziau Drg i umieci pobrany uprzednio plik tam, gdzie go znaleli, zastpujc nim star wersj. Harlan pokaza Davidowi konsol i powiedzia, e jeeli wszystko pjdzie zgodnie z planem, jutro j dostanie.

Niespodzianka dla Georgea

Mona by sdzi, e co tak nudnego jak zebrania budetowe nikogo nie interesuje, ale tym razem sala posiedze Rady Okrgu bya pena dziennikarzy, przedstawicieli rnych grup interesw i zwykych ciekawskich ludzi. Przybyy nawet dwie ekipy telewizyjne. George zawsze czu, e na tych zebraniach ma wiele do stracenia. Rada

176

Okrgu przyznawaa rodki i, jeeli nie by w stanie przedstawi przekonujcych argumentw, jego budet by obcinany, a potem wszyscy narzekali na dziury w jezdniach, nieczynn sygnalizacj, niebezpieczne skrzyowania i obwiniali wanie jego. Dziao si tak przez cay rok. Tego wieczoru, kiedy zosta poproszony o zabranie gosu, czu si pewnie. Przez sze tygodni opracowywa swoj prezentacj w programie Power Point i nawet przetestowa j z pomoc swojej ony, swoich najbliszych wsppracownikw i zaufanych przyjaci. Wszyscy zgadzali si, e bya to najlepsza prezentacja, jak widzieli. Pierwsze trzy slajdy w Power Poincie wietnie speniy swoj rol. Kady czonek rady uwanie wpatrywa si w ekran. Slajdy idealnie wspgray z argumentacj prelegenta. Potem zaczo si dzia co zego. Czwarty slajd powinien przedstawia pikn fotografi nowo otwartego odcinka autostrady o zachodzie soca. Zamiast tego pojawio si co innego. Co bardzo enujcego. Fotografia rodem z Penthousea lub Hustlem. Usysza pomruk widowni i popiesznie nacisn klawisz w swoim laptopie, by przej do nastpnego slajdu. Ten by jeszcze gorszy. Nic nie pozostawiono wyobrani. Wanie chcia wywietli na kolejny slajd, kiedy kto z widowni wycign z prdu wtyczk projektora. W tym czasie przewodniczcy gono uderza drewnianym motkiem w st i przekrzykiwa powstay zgiek, ogaszajc przeoenie spotkania na inny termin.

Analiza oszustwa
Korzystajc z fachowej pomocy nastoletniego hakera, niezadowolony pracownik zdoa dosta si do komputera swojego szefa, pobra wan prezentacj i podmieni par slajdw. Potem umieci z powrotem prezentacj na dysku szefa. Dziki modemowi podczonemu do jednego z komputerw i gniazdka telefonicznego, mody haker by w stanie dosta si do komputera z zewntrz. Dzieciak przygotowa wczeniej oprogramowanie do zdalnego dostpu, aby po wejciu do systemu mie peny dostp do wszystkich plikw przechowywanych w systemie. Poniewa komputer by podczony do sieci firmowej, a login i haso szefa byy oglnie znane, dostp do jego plikw nie stanowi problemu. cznie ze skanowaniem zdj z kolorowych magazynw, caa praca zaj-

177

a tylko par godzin. Szkoda wyrzdzona dobrej reputacji szefa bya niewyobraalna.

Uwaga Mitnicka
Wikszo pracownikw, ktrzy s zwalniani, przenoszeni lub degradowani, nie sprawia problemw. Wystarczy jednak jeden, aby firma przekonaa si po fakcie, e naleao wczeniej podj kroki w celu uniknicia katastrofy. Dowiadczenie i statystyki mwi, e najwiksze zagroenie dla firmy pynie ze strony pracownikw. To oni posiadaj szczegow wiedz o miejscach przechowywania wanych informacji i wiedz, gdzie uderzy, aby spowodowa najwiksze straty.

W oczekiwaniu na awans
Pnym rankiem, pewnego ciepego jesiennego dnia, Peter Milton wkroczy do holu biura regionalnego Honorable Auto Parts w Denver firmy prowadzcej hurtow sprzeda czci zamiennych. Czeka przy kontuarze recepcji, podczas gdy dziewczyna jednoczenie wpisywaa gocia do ksiki, objaniaa komu przez telefon drog i zaatwiaa kuriera z przesyk. Jak pani si nauczya robi tyle rzeczy naraz? powiedzia Peter, kiedy wreszcie znalaza dla niego czas. Umiechna si, najwyraniej cieszc si, e to zauway. Powiedzia jej, e jest z dziau marketingu z Dallas i e umwi si z Mikiem Talbottem z dziau sprzeday w Atlancie. Musimy dzi po poudniu odwiedzi klienta wyjani. Po prostu poczekam na niego tu w holu. Marketing wymwia to sowo z nutk melancholii. Peter umiechn si do niej, czekajc co bdzie dalej. Gdybym posza do collegeu, wybraabym wanie to powiedziaa. Marz o pracy w marketingu. Znowu si umiechn. Kaila zwrci si do niej, odczytujc imi z tabliczki na kontuarze. U nas w Dallas pracowaa dziewczyna, ktra bya sekretark. Potem przesza do marketingu. To byo jakie trzy lata temu, a dzisiaj jest asystentk dyrektora marketingu i zarabia dwa razy tyle, co na pocztku. Kaila rozmarzya si.

178

 Potrafisz korzysta z komputera? zapyta. Pewnie odpowiedziaa. A co by powiedziaa, gdybym zaproponowa twoj kandydatur na stanowisko sekretarki w marketingu? Dla tej pracy mogabym si nawet przenie do Dallas powiedziaa rozpromieniona. Pokochasz Dallas powiedzia. Nie mog ci w tej chwili nic obieca, ale zobacz, co si da zrobi. Pomylaa sobie, e ten miy i zadbany mczyzna w garniturze i krawacie moe duo uczyni dla jej kariery. Peter usiad w holu, otworzy swj laptop i pochona go praca. Po dziesiciu lub pitnastu minutach podszed znw do kontuaru. Wyglda na to, e Mikea co zatrzymao. Czy jest tu jaka sala konferencyjna, gdzie mgbym usi i sprawdzi poczt? Kaila zadzwonia do czowieka, ktry zajmowa si obsad sal konferencyjnych, i poprosia o woln sal dla Petera. Zgodnie z mod zapocztkowan przez firmy z Doliny Krzemowej (Apple bya chyba pierwsz z nich), niektre sale konferencyjne zostay nazwane imionami bohaterw kreskwek, a inne nazwami sieci restauracji, nazwiskami gwiazd filmowych lub bohaterw komiksw. Powiedziano mu, aby szuka sali Myszki Miki. Kaila poprosia go o wpis do ksiki i wskazaa mu drog. Odnalaz sal, rozgoci si i podczy swj laptop do portu sieci Ethernet. Ju wiemy, co si wydarzyo? Dokadnie! Intruz podczy si do sieci firmy, omijajc firewall.

Uwaga Mitnicka
Pracownikw naley wyszkoli, aby nie oceniali ksiki po okadce to, e kto jest dobrze ubrany i ma dobre maniery, nie znaczy, e jest wiarygodny.

Historia Anthonyego
Sdz, e Anthonyego Lakea mona by nazwa leniwym biznesmenem. Cho moe sowo zdeterminowany lepiej oddaje jego nastawienie.

179

Zamiast pracowa dla kogo, zdecydowa, e bdzie pracowa sam dla siebie. Mia zamiar otworzy sklep, w ktrym mgby cay dzie spokojnie siedzie, zamiast cigle goni z miejsca na miejsce. Chcia jednak robi tylko takie interesy, z ktrych bdzie mia pewne dochody. Jaki sklep wybra? To byo akurat do proste. Zna si na naprawie samochodw, wic otworzy sklep z czciami zamiennymi. A co z gwarancj sukcesu? Rozwizanie przyszo mu do gowy momentalnie: przekona hurtowni Honorable Auto Parts, eby sprzedawaa mu wszystkie towary po kosztach. Oczywicie sami z siebie nie bd chcieli tego zrobi. Anthony zna jednak sposoby na przechytrzanie ludzi, a jego kolega, Mickey, wiedzia, jak wamywa si do cudzych komputerw. Wsplnie opracowali sprytny plan. Tego jesiennego dnia przedstawi si przekonujco jako Peter Milton, pracownik firmy, dosta si na teren biur Honorable Auto Parts i udao mu si podczy swj laptop do firmowej sieci. Jak dotd plan dziaa, ale by to ledwie pierwszy krok. To, co musia jeszcze zrobi, nie byo proste, szczeglnie dlatego, e Anthony chcia si zmieci w 15 minutach kada sekunda ponad ten czas zwikszaaby ryzyko jego wykrycia. Wczeniej zdy wykona telefon i, podajc si za serwisanta dostawcy komputerw, odegra mae przedstawienie: Wasza firma wykupia dwuletni abonament serwisowy i chcemy was dopisa do bazy danych, eby wiedzie, kiedy pojawi si nowe wersje lub uzupenienia programu, ktrego uywacie. Dlatego potrzebuj informacji o tym, jakich uywacie aplikacji. W odpowiedzi otrzyma list programw, a jego kolega zidentyfikowa jeden z nich, MAS 90, jako cel ataku program ten przechowuje list sklepw wraz z rabatami i warunkami patnoci dla kadego z nich. Dysponujc t wiedz, uy programu, ktry identyfikuje wszystkie aktywne komputery w sieci. Nie zajo mu duo czasu znalezienie serwera, z ktrego korzysta ksigowo. Z arsenau programw hakerskich drzemicego w laptopie wybra jeden i uy go do identyfikacji wszystkich uprawnionych uytkownikw na serwerze. Za pomoc kolejnego programu uruchomi list typowo instalowanych hase, takich jak blank czy password. To drugie okazao si trafne. Nic dziwnego. Ludzie wydaj si traci kreatywno, kiedy przychodzi do wymylania hase. Upyno dopiero sze minut, a ju by w poowie drogi. Dosta si do serwera. Przez kolejne trzy minuty uwanie dopisywa do listy klientw dane swo-

180

jej nowej firmy: nazw, adres, telefon i nazwisko osoby, z ktr mona si kontaktowa. Nastpnie w kluczowym polu, tym, o ktre chodzio w caej akcji, wprowadzi informacj, e wszystkie towary bd mu sprzedawane z mar w wysokoci 1%. Upora si ze wszystkim w mniej ni dziesi minut. Wychodzc, zatrzyma si na dusz chwil przy recepcji, aby podzikowa Kaili za umoliwienie sprawdzenia poczty. Powiedzia, e skontaktowa si z Mikiem Talbotem, plan si zmieni, jedzie prosto do klienta na spotkanie. Doda, e nie zapomni zarekomendowa jej na to stanowisko w marketingu.

Analiza oszustwa
Intruz podajcy si za Petera Miltona uy dwch technik psychologicznej dywersji pierwsza bya zaplanowana, a druga bya efektem improwizacji. Ubra si tak, by wyglda na kogo z kadry zarzdzajcej, kto niele zarabia. Garnitur, krawat, odpowiednia fryzura wydawa by si mogo, e to detale, ale robi one odpowiednie wraenie. Przekonaem si o tym na wasnej skrze. Krtki czas bdc programist w GTE nie istniejcej ju duej firmie telekomunikacyjnej, ktra miaa siedzib w Kalifornii odkryem, e kiedy przyszedem ktrego dnia do pracy bez identyfikatora, ubrany dobrze, ale swobodnie, powiedzmy w koszulk i baweniane spodnie byem zatrzymywany i pytano mnie o identyfikator i o to, kim jestem i gdzie pracuj. Innego dnia pojawiem si te bez identyfikatora, ale w garniturze i krawacie, wygldajc bardzo reprezentacyjnie. Stara technika polega na wmieszaniu si w tum wchodzcych do budynku lub przechodzcych przez bramk. Przykleiem si do jakich ludzi w chwili, gdy podchodzili do gwnego wejcia, i wchodziem zachowujc si tak, jakbym by jednym z nich. Przeszedem i nawet gdyby stranik zauway, e nie mam identyfikatora, na pewno nie zatrzymywaby mnie, bo wygldaem jak kto z kierownictwa. Wszedem wraz z osobami, ktre miay identyfikatory. Dowiadczenie to uwiadomio mi, jak bardzo przewidywalne jest zachowanie stranikw. Tak jak my wszyscy, dokonuj oni oceny na podstawie wygldu czowieka. Jest to sabo, ktr socjotechnicy bezwzgldnie wykorzystuj. Druga psychologiczna bro pojawia si w rkach napastnika w momen-

181

cie, gdy zauway niezwyk podzielno uwagi recepcjonistki. Zajmowanie si kilkoma rzeczami naraz nie tylko jej nie irytowao, ale jeszcze potrafia da kadej osobie odczu, e powica jej ca uwag. Odebra to jako cech osoby zainteresowanej karier i rozwojem. Potem, kiedy owiadczy, e pracuje w dziale marketingu, obserwowa jej reakcj, szukajc oznak nawizywania si midzy nimi bliszego kontaktu. Chyba si udao. Atakujc w ten sposb, pozyska osob, ktr mg zmanipulowa obietnic pomocy w zdobyciu lepszej pracy (oczywicie, jeeli powiedziaaby, e zawsze chciaa pracowa w ksigowoci, owiadczyby, e posiada w tym dziale kontakty i moe zaatwi jej prac). Intruzi lubi korzysta z jeszcze innej broni psychologicznej. Polega ona na budowaniu zaufania za pomoc dwustopniowego ataku. Napastnik rozpocz od gawdy na temat pracy w marketingu, przy okazji rzucajc nazwiskami innych pracownikw istniejcych naprawd. Nazwisko, ktrego sam uywa, rwnie byo nazwiskiem jednej z zatrudnionych w firmie osb. Po tak rozpocztej rozmowie w zasadzie mg od razu przej do proby o udostpnienie sali konferencyjnej. Zamiast tego usiad jednak na chwil w holu i udawa, e pracuje i czeka na swojego wsppracownika. By to kolejny sposb na oddalenie ewentualnych podejrze intruz raczej nie chciaby przebywa dugo w takim miejscu. Nie siedzia tam co prawda zbyt dugo, ale socjotechnicy dysponuj lepszymi sposobami na to, by pozosta na miejscu zbrodni tak dugo, jak jest to konieczne. Wedug prawa Anthony nie popeni przestpstwa, wchodzc do holu firmy. Nie popeni rwnie przestpstwa, kiedy uy nazwiska innego pracownika. Proba o udostpnienie sali konferencyjnej rwnie nie bya niezgodna z prawem. Samo podpicie do sieci komputerowej i poszukiwanie serwera te nie byo wykroczeniem. Anthony zama prawo dopiero z chwil wamania si do systemu komputerowego firmy.

Uwaga Mitnicka
Dopuszczanie obcych osb do miejsc, gdzie istnieje moliwo podczenia si do sieci firmy, zwiksza ryzyko naruszenia bezpieczestwa. Proba pracownika o skorzystanie z sali konferencyjnej w celu odebrania poczty jest absolutnie uzasadniona, szczeglnie gdy osoba ta przyjechaa z innego oddziau firmy. Jeeli jednak czowiek ten nie jest nam znany, a sie nie jest posegmentowana w taki sposb, aby zapobiega nieautoryzowanym poczeniom, moe okaza si to sabym ogniwem, naraajcym firmowe zasoby informacyjne na atak.

182

Szpiegowanie Mitnicka
Przed wielu laty, gdy pracowaem w niewielkiej firmie, zauwayem co intrygujcego. Za kadym razem, gdy wchodziem do pokoju, ktry dzieliem z trzema kolegami informatykami, jeden z nich (nazwijmy go Joe) szybko przecza ekran na inn aplikacj. Od razu wydao mi si to podejrzane. Kiedy zdarzao si to ju czciej ni dwa razy dziennie, byem pewien, e dzieje si co, o czym powinienem si dowiedzie. C on takiego robi, e chcia to przede mn ukry? Komputer Joego by terminalem dostpowym do minikomputerw firmy. Zainstalowaem wic na minikomputerze VAX program monitorujcy, dziki ktremu mogem podglda, co robi Joe. Program dziaa prawie tak, jakby za plecami Joego ustawi kamer wideo. Widziaem dokadnie to, co on widzia na swoim monitorze. Moje biurko stao tu obok biurka kolegi, obrciem wic monitor w taki sposb, aby zasoni troch obraz. Mimo to Joe mg w kadej chwili spojrze i odkry, e go szpieguj. Nie by to jednak problem by zbyt zaabsorbowany tym, co robi, aby cokolwiek zauway. Kiedy go podejrzaem, opada mi szczka. Patrzyem oniemiay, jak ten dra Joe przeglda moje dane o zarobkach! Pracowaem tam dopiero od paru miesicy i Joe chyba nie mgby cierpie, gdyby si okazao, e zarabiam wicej ni on. Kilka minut pniej widziaem, jak pobiera z sieci narzdzia hakerskie uywane przez mniej dowiadczonych wamywaczy, ktrzy nie znaj si na programowaniu na tyle, by stworzy sobie takie narzdzia samodzielnie. Joe y wic w niewiadomoci nie zdawa sobie sprawy, e obok niego siedzi jeden z najbardziej dowiadczonych hakerw na wiecie. W sumie byo to do zabawne. Nie mogem go powstrzyma, bo zdy ju zdoby informacj o moich zarobkach. Poza tym kady pracownik z dostpem do bazy IRS albo urzdnik pracujcy w ubezpieczeniach spoecznych moe sprawdzi moje dochody. Nie miaem zamiaru dawa mu do zrozumienia, e wiem, co zrobi. Moim gwnym celem byo w tym okresie pozostanie w cieniu. Dobry socjotechnik nie chwali si swoimi umiejtnociami i wiedz. Woli pozosta niedoceniony i nie chce, aby ludzie widzieli w nim zagroenie. Dlatego te odpuciem sobie i miaem si w duchu z tego, i Joemu wydawao si, e co o mnie wie, kiedy byo dokadnie na odwrt. Wiedzc, co robi, miaem nad nim przewag.

183

Wkrtce odkryem, e wszyscy moi wsppracownicy zabawiali si, przegldajc zarobki tej lub innej adnej sekretarki lub (jednym z informatykw bya kobieta) jakiego przystojniaka. Byli w stanie odczytywa zarobki i wszystkie premie kadej osoby w firmie, cznie z czonkami zarzdu.

Analiza oszustwa
Historia ta ilustruje interesujcy problem. Pliki z danymi o zarobkach byy dostpne dla kadego, kto zajmowa si utrzymaniem systemu komputerowego firmy. Wszystko sprowadza si wic do kwestii personalnych, do wyboru zaufanych osb. Czasami informatycy nie mog si powstrzyma od wszenia. Do tego maj odpowiednie uprawnienia umoliwiajce im obejcie zabezpiecze dostpu do plikw. Jednym z moliwych zabezpiecze byoby ledzenie dostpu do szczeglnie poufnych plikw, takich jak lista pac. Oczywicie kady z odpowiednimi uprawnieniami mgby dezaktywowa ledzenie lub usuwa zapisy, ktre pozwoliyby na doprowadzenie do winowajcy, ale kade dodatkowe zabezpieczenie zwiksza wysiek, jaki musi podj pozbawiony skrupuw pracownik, aby nie zosta nakrytym.

Jak zapobiega?
Poczwszy od przetrzsania mietnika, a skoczywszy na wyprowadzeniu w pole stranikw lub recepcjonistki, socjotechnik moe dosta si na teren naszej firmy. Istniej jednak rodki, ktre pomog nam si przed tym uchroni.

Po godzinach
Wszyscy pracownicy, ktrzy pojawiaj si w pracy bez identyfikatora, musz by zatrzymywani w recepcji lub w bramie i otrzyma tymczasowy identyfikator na dany dzie. Incydent przedstawiony w pierwszej historii z tego rozdziau mgby mie zupenie inny fina, gdyby ochrona miaa obo-

184

wizek postpowania zgodnie z procedur przyjt w przypadku zauwaenia osoby nie posiadajcej identyfikatora. W firmach lub na obszarach firm, gdzie zabezpieczenie terenu nie odgrywa tak wielkiej roli, obowizek posiadania identyfikatora moe nie mie tak istotnego znaczenia. W przypadku, gdy na terenie firmy znajduj si obszary niedostpne dla obcych, powinno to jednak by cile przestrzeganym wymogiem. Pracownicy musz by przeszkoleni i zmotywowani do zatrzymywania osb, ktre nie posiadaj identyfikatora, a osoby na wyszych stanowiskach musz tego typu proby ze strony niszych rang pracownikw traktowa normalnie, bez wprawiania ich w zakopotanie. Polityka bezpieczestwa powinna przypomina o karach, jakie obowizuj za notoryczne pojawianie si bez identyfikatora. Kary takie mog polega na zwolnieniu pracownika na jeden dzie do domu i odliczeniu tego dnia od wypaty lub odnotowaniu tego w aktach personalnych. Niektre firmy wprowadzaj system progresywnych kar, wrd ktrych moe si znale poinformowanie zwierzchnika danej osoby lub wrczenie jej pisemnego ostrzeenia. Dodatkowo, dla miejsc, w ktrych istnieje dostp do chronionych informacji, firma powinna ustanowi procedury autoryzacyjne dla osb, ktre chc tam wej po godzinach pracy. Jednym z rozwiza jest wprowadzenie wymogu wczeniejszego poinformowania o takiej potrzebie ochrony lub wyznaczonej w tym celu jednostki organizacyjnej. Jednostka ta powinna wwczas dokona weryfikacji tosamoci osoby proszcej o wstp, wykonujc telefon do jej zwierzchnika lub w inny bezpieczny sposb.

Szacunek dla odpadkw

Historia o mieciach pokazaa, jak mona w niecnych celach wykorzysta dokumenty, ktre lduj na mietniku. Oto dziewi kluczowych zasad postpowania z odpadkami: Sklasyfikuj wszelkie poufne informacje pod wzgldem stopnia ich poufnoci. Ustanw na terenie caej firmy procedury pozbywania si dokumentw zawierajcych takie dane. Nalegaj, aby kady poufny dokument by zniszczony przed wyrzuceniem.

185

Nie korzystaj z tanich niszczarek tncych dokumenty na paski, ktre zdeterminowany owca informacji przy odrobinie cierpliwoci jest w stanie poskada. Istniej lepsze niszczarki, ktre zamieniaj dokument w bezuyteczn miazg. Znajd sposb na niszczenie lub cakowite kasowanie nonikw komputerowych, czyli dyskietek, dyskw ZIP pyt CD i DVD za, wierajcych pliki, tam wymiennych i zuytych dyskw twardych, zanim zostan wyrzucone. Naley pamita, e usuwanie plikw w rzeczywistoci nie kasuje zawartoci nonika moliwe jest wwczas ich odtworzenie o czym z przeraeniem przekonao si kiedy szefostwo firmy Enron, i nie tylko. Zwyke wyrzucanie nonikw do kosza jest zaproszeniem dla okolicznego nurka mieciowego. (W rozdziale 16. zawarte zostay szczegowe dyrektywy dotyczce pozbywania si nonikw i urzdze). Zachowaj odpowiedni poziom kontroli podczas rekrutacji personelu sprztajcego, w razie potrzeby przeprowadzajc odpowiedni wywiad. Przypominaj pracownikom o tym, aby zastanawiali si nad tym, jakie materiay wyrzucaj do kosza. Zamykaj kontenery ze mieciami. Stosuj oddzielne kontenery dla materiaw poufnych i wynajmij firm, ktra specjalizuje si w skutecznym usuwaniu tego typu mieci.

Zwalnianie pracownikw
Ju wczeniej w tym rozdziale wspomniaem o koniecznoci istnienia staych procedur zwalniania pracownikw, ktrzy maj dostp do poufnych informacji, hase, numerw dostpowych itp. Procedury bezpieczestwa powinny kontrolowa na bieco, kto ma dostp do rnych systemw. By moe powstrzymanie zdeterminowanego socjotechnika przed dostaniem si do systemu jest trudne, ale przynajmniej nie uatwiajmy tego zadania byym pracownikom. Nie zapominajmy ponadto, e jeli zwalniany pracownik by uprawniony do odbioru kopii zapasowych od wynajtej do ich tworzenia firmy, naley usun go z listy uprawnionych do odbioru.

186

W rozdziale 16. mona znale szczegowe informacje na ten temat. Tutaj zostan tylko wymienione kluczowe klauzule bezpieczestwa, ktre naley stosowa, aby unikn sytuacji opisanych w ksice: Wyczerpujca i szczegowa lista krokw, jakie naley wykona w podczas zwalniania pracownika, ze specjalnymi klauzulami dotyczcymi osb, ktre miay dostp do poufnych informacji. Nakaz pozbawienia pracownika dostpu do komputera najlepiej jeszcze zanim opuci on budynek. Procedura zdawania wszelkich identyfikatorw oraz kluczy i urzdze elektronicznego dostpu. Klauzule nakazujce danie przez stranikw okazania dowodu tosamoci ze zdjciem przed wpuszczeniem na teren firmy osoby, ktra nie posiada identyfikatora, oraz sprawdzenia jej nazwiska na licie pracownikw w celu weryfikacji, czy faktycznie jest zatrudniona.

Wymienione w dalszej kolejnoci kroki mog by niepotrzebne lub zbyt kosztowne dla niektrych organizacji, dla innych natomiast mog okaza si jak najbardziej odpowiednie. Oto niektre z bardziej rygorystycznych rodkw ostronoci: Elektroniczne identyfikatory wraz z ich czytnikami przy wejciach. Kady z pracownikw przesuwa swj identyfikator przez czytnik, ktry natychmiast rozpoznaje, czy dana osoba jest wci zatrudniona w firmie i czy ma prawo do wejcia na teren budynku. (Naley pamita, e przy stosowaniu takiego systemu stranicy musz by przeszkoleni w celu zwracania uwagi na osoby, ktre prbuj przemkn si przez bramk tu za uprawnionym do wejcia pracownikiem). Wymg nakazujcy wszystkim pracownikom dziau, w ktrym pracowaa osoba odchodzca z pracy (szczeglnie wwczas, gdy zostaa zwolniona) zmian hase. (Przesada? Wiele lat po tym, jak pracowaem krtko w General Telephone, dowiedziaem si, e ludzie zajmujcy si bezpieczestwem w Pacific Bell po usyszeniu, e pracuj dla General Telephone, pokadali si ze miechu. Gdy firma General Telefone dowiedziaa si, e zatrudnia znanego hakera, otrzymaem natychmiast wymwienie, po czym nakazano kademu pracownikowi firmy zmian hasa).

187

Nie chcemy, aby nasza firma przypominaa wizienie, ale z drugiej strony musimy zabezpieczy si przed zwolnionymi osobami, ktre mog powrci z zamiarem wyrzdzenia szkody.

Nie zapominajmy o nikim

Zasady bezpieczestwa czsto nie trafiaj do osb takich jak recepcjonistki, ktre nie maj dostpu do poufnych informacji. Zdylimy ju na pewno zauway podczas lektury ktrego z poprzednich rozdziaw, e recepcjonistki s wygodnym celem ataku. Opisana tu historia wamania do systemu komputerowego hurtowni czci samochodowych jest jeszcze jednym tego przykadem. Mia, dobrze ubrana osoba, podajca si za pracownika firmy z innego oddziau, niekoniecznie jest tym, za kogo si podaje. Recepcjonistki musz nauczy si kulturalnie prosi o identyfikacj, kiedy wymaga tego sytuacja. Tego typu szkolenie musi przej nie tylko sama recepcjonistka, ale rwnie osoby, ktrym zdarza si j zastpowa przy kontuarze. Od gocia z zewntrz powinno si wymaga okazania dowodu tosamoci ze zdjciem i spisywa jego dane z okazanego dokumentu. Zdobycie faszywego dowodu nie jest co prawda trudne, ale procedura ta wprowadza kolejne utrudnienie dla potencjalnego napastnika. W niektrych firmach zasadne jest wprowadzenie obowizku eskortowania goci od bramy i od spotkania do spotkania. Procedury powinny wymaga, aby eskorta, doprowadzajc gocia do pierwszego miejsca spotkania, wyjania, czy osoba ta wesza na teren firmy jako pracownik, czy jako osoba z zewntrz. Dlaczego jest to istotne? Jak widzielimy we wczeniejszych historiach, napastnik czsto przedstawia si jako jedna osoba, by dotrze na pierwsze spotkanie, a potem udaje kogo innego. Zbyt atwo wwczas po prostu podej do recepcji i powiedzie, e ma si spotkanie z, powiedzmy, inynierem. Po tym, jak eskorta zaprowadzi go do inyniera, przedstawi si jako handlowiec, ktry chciaby co firmie sprzeda, a po spotkaniu z inynierem uzyska moliwo penetracji terenu firmy. Przed wpuszczeniem pracownika z innego oddziau firmy na jej teren, naley postpowa zgodnie z odpowiedni procedur weryfikujc, czy osoba ta jest rzeczywicie pracownikiem firmy. Osoby pracujce w recepcji oraz stranicy musz by wiadomi metod, jakich uywaj napastnicy, aby poda si za kogo innego i dosta si na teren firmy.

188

Jak ochroni si przed intruzami, ktrym udaje si dosta do budynku i podpi swj laptop do sieci, omijajc firmowy firewall? W dzisiejszych czasach wymaga to wiele zachodu sale konferencyjne, szkoleniowe i podobne pomieszczenia nie powinny by wyposaone w niezabezpieczone porty sieci wewntrznej. Porty takie musz by chronione firewallami lub routerami. Lepszym jednak sposobem ochrony moe by uycie bezpiecznych metod uwierzytelniajcych dla kadego uytkownika, ktry chce zaogowa si do sieci.

Bezpieczni informatycy
Warto zdawa sobie spraw, e w naszej firmie prawdopodobnie kady informatyk wie lub w kadej chwili moe si dowiedzie, ile zarabiamy (my czy nawet prezes) i kto wybra si na narty subowym samochodem. W niektrych firmach moe si nawet zdarzy, e informatycy lub pracownicy ksigowi bd podwysza swoje pace, wpaca pienidze na konta sfabrykowanych dostawcw, usuwa niechciane zapisy ze swoich akt osobowych. Czasami jedynie strach przed zapaniem sprawia, e pozostaj uczciwi. A wreszcie, ktrego dnia, pojawi si wrd nas czowiek tak chciwy i nieuczciwy, e zignoruje ryzyko i zrobi wszystko, co wedug jego oceny ma szans uj na sucho. Oczywicie s i na to sposoby. Poufne pliki mog by chronione poprzez instalacj odpowiednich narzdzi kontroli dostpu, pozwalajcych na otwieranie ich jedynie upowanionym osobom. Niektre systemy maj narzdzia umoliwiajce ledzenie operacji, ktre mog by skonfigurowane tak, aby przechowywa dzienniki zwizane z pewnymi wydarzeniami, np. kad prb otwarcia przez kogokolwiek chronionego pliku, niezalenie od tego, czy zakoczya si ona powodzeniem czy nie. Jeeli w waszej firmie uwiadomiono sobie ten problem i zastosowano odpowiednie rodki kontroli dostpu i ledzenia operacji na poufnych plikach, mona powiedzie, e wykonano tym samym olbrzymi krok we waciwym kierunku.

11
Socjotechnika i technologia
Socjotechnik wykorzystuje swoj umiejtno manipulowania ludmi w taki sposb, aby pomagali mu w osigniciu jego wasnych celw. Jego sukces zaley te w duej mierze od posiadanej wiedzy w dziedzinie systemw komputerowych i telefonii. Oto przykady typowych oszustw socjotechnicznych, w ktrych powan rol odegraa technologia.

Jak dosta si do wiezienia?

Jakie znamy najbardziej zabezpieczone przed wamaniem obiekty na wiecie? Fort Knox? Oczywicie. Biay Dom? Jak najbardziej. NORAD amerykaska instalacja obrony powietrznej ukryta pod powierzchni gry? Z ca pewnoci.

190

A wizienia i areszty? Te s dobrze zabezpieczone, prawda? Bardzo rzadko kto z nich ucieka, a nawet jeeli ucieknie, szybko zostaje zapany. Mona by sdzi, e obiekty takie s odporne na ataki socjotechniczne... i si pomyli w kocu nikt jeszcze nie opatentowa sposobu na zabezpieczenie czegokolwiek przed ludzk gupot. Par lat temu dwjka zawodowych oszustw wpada w tarapaty. Okazao si, e podwdzili cakiem spor sum pienidzy lokalnemu sdziemu. Od lat miewali od czasu do czasu kopoty z wymiarem sprawiedliwoci, ale tym razem spraw zainteresowali si agenci federalni. Udao im si zapa jednego z oszustw, Charlesa Gondorffa, i umieci go w orodku resocjalizacyjnym koo San Diego. Federalny sdzia pokoju nakaza jego zatrzymanie jako osoby niebezpiecznej dla spoeczestwa. Jego kolega, Johny Hooker, wiedzia, e Charlie bdzie potrzebowa dobrego adwokata, ale skd wzi na to pienidze? Jak wikszo oszustw szybko wydawali wyudzone pienidze: na markowe ubrania, sportowe samochody i kobiety. Johnyemu ledwo starczao teraz na ycie. Pienidze na adwokata musia wic zdoby za pomoc kolejnego oszustwa. Johny nie mia zamiaru robi tego sam. To Charlie Gondorff zawsze obmyla wszystkie intrygi. Nie mg, niestety, odwiedzi go w orodku i pyta, co robi, zwaszcza e FBI wiedziao, i oszustw dokonyway dwie osoby, i chtnie zapaoby t drug. Tym bardziej, e prawo do odwiedzin ma tylko rodzina, co oznaczao, e musiaby poda si za krewnego winia i mie jaki faszywy dowd tosamoci. Posugiwanie si faszywym dokumentem na terenie wizienia federalnego to nie by zbyt dobry pomys. Musia znale jaki inny sposb na kontakt ze wsplnikiem. Nie byo to atwe. aden osadzony nie ma prawa do odbierania telefonw. Przy kadym aparacie telefonicznym przeznaczonym dla winiw widnieje tabliczka z nastpujcym napisem: Uwaga! Wszelkie rozmowy z tego aparatu s monitorowane. Korzystanie z aparatu jest rwnoznaczne ze zgod na monitorowanie prowadzonej rozmowy. Gdyby federalni zdoali podsucha, jak ustalaj telefonicznie szczegy kolejnej akcji, na pewno zafundowaliby obu przymusowy urlop za pastwowe pienidze. Johny wiedzia jednak, e niektre rozmowy nie s podsuchiwane. Na przykad rozmowy z adwokatem, ktrych tajno jest gwarantowana przez konstytucj. Orodek, w ktrym przebywa Gondorff, mia telefony poczone bezporednio do kancelarii obrocw z urzdu. Podniesienie suchawki jednego z takich aparatw powodowao bezporednie poczenie z ktr z linii w kancelarii. Firmy telekomunikacyjne nazywaj co takiego pocze-

191

niem bezporednim. Niczego nie podejrzewajcy stranicy zakadaj, e usuga ta jest bezpieczna, poniewa rozmowy wychodzce mog by skierowane wycznie do kancelarii, a przychodzce s zablokowane. Nawet, jeeli komu z zewntrz uda si jako zdoby numer tego telefonu, nie na wiele si to zda, bowiem numer ten jest ustawiony w centrali na blokowanie pocze.

argon
Poczenie bezporednie takie poczenie telefoniczne, gdzie podniesienie suchawki powoduje wybranie jednego, staego numeru. Blokowanie pocze opcja serwisowa centrali telefonicznej, uniemoliwiajca odbieranie rozmw przychodzcych pod dany numer.

Kady w miar dobry oszust potrafi posugiwa si sztuk manipulacji, tote Johny doszed do wniosku, e problem da si omin. Gondorff prbowa ju raz podnie suchawk telefonu do kancelarii i powiedzie: Mwi Tom, z centrum serwisowego telekomunikacji. Przeprowadzamy test na tej linii i chciaem prosi o wybranie cyfr dziewi, a potem zero i zero. Dziewitka bya wyjciem na miasto, dwa zera pozwalay poczy si z operatorem midzymiastowym. Nie udao si. Osoba, ktra odebraa telefon w kancelarii, znaa ju ten trik. Johnyemu szo troch lepiej. Udao mu si dowiedzie, e w orodku byo dziesi budynkw wiziennych i z kadego z nich biega jedna linia telefoniczna do kancelarii obrocw z urzdu. Zauway po drodze par przeszkd, ale jak przystao na socjotechnika, potrafi te wymyli sposb na ich obejcie. W ktrym budynku by Gondorff? Jaki by numer telefonu do obsugi poczenia bezporedniego dla tego budynku? W jaki sposb da pierwszy cynk Gondorffowi, aby wiadomo nie zostaa przejta przez wadze orodka? To, co dla zwykych ludzi moe wydawa si niemoliwe, np. uzyskanie tajnych numerw telefonw znajdujcych si na terenie instytucji federalnych, czstokro wymaga nie wicej ni kilku telefonw wykonanych przez wytrawnego socjotechnika. Po paru bezsennych, z powodu nadmiaru myli w gowie, nocach, Johny wsta z ka ktrego ranka z gotowym planem. Plan skada si z czterech etapw. Po pierwsze, musia zdoby normalne numery telefonw do kancelarii. Musia dowiedzie si, w ktrym budynku znajduje si Gondorff.

192

Potem trzeba byo odnale numer, ktry odpowiada temu wanie budynkowi. Wreszcie musia przekaza Gondorffowi informacj o tym, kiedy ma spodziewa si telefonu, tak aby ta nie zostaa przechwycona. Buka z masem, pomyla.

Dzwoni z serwisu
Johny zacz od telefonu do biura telekomunikacji i powiedzia, e dzwoni z Gwnej Administracji Usugami agencji odpowiedzialnej za zakup dbr i usug dla rzdu federalnego. Powiedzia, e otrzyma zamwienie na dodatkowe usugi i potrzebuje informacji z billingw dla wszystkich aktualnie uywanych pocze bezporednich wraz numerami tych linii i miesicznymi kosztami dla orodka resocjalizacyjnego w San Diego. Jego rozmwczyni chtnie udzielia mu pomocy. Dla pewnoci sprbowa zadzwoni pod jeden z otrzymanych numerw i usysza komunikat: Linia o tym numerze zostaa zlikwidowana co oczywicie nie byo prawd, ale wiedzia, e komunikat taki pojawia si po zablokowaniu pocze przychodzcych. Dokadnie tego si spodziewa. Dziki swojej rozlegej znajomoci procedur i dziaalnoci firm telekomunikacyjnych wiedzia, e musi dodzwoni si do wydziau zwanego Centrum Autoryzacji Biecych Zmian albo CABZ (Zawsze zastanawiaem si, kto wymyla te nazwy!). Najpierw zadzwoni wic do biura telekomunikacji, powiedzia, e dzwoni z serwisu i potrzebuje numeru do biura CABZ, ktre obsuguje obszar o prefiksie i numerze kierunkowym, jaki poda. Pocztkowe cyfry wystpoway we wszystkich bezporednich liniach orodka resocjalizacyjnego. Bya to rutynowa proba. Informacja ta bya czsto udzielana monterom w terenie, wic urzdniczka podaa numer bez wahania. Zadzwoni do CABZ, poda faszywe nazwisko i ponownie powiedzia, e jest z serwisu. Poprosi kobiet, ktra odebraa telefon, aby sprawdzia jeden z numerw telefonw, ktre wyudzi wczeniej. Czy ten numer ma ustawione blokowanie pocze? zapyta Johny. Tak odpowiedziaa. No tak. To wyjania, dlaczego klient nie odbiera adnych telefonw! powiedzia. Moe pani co dla mnie zrobi? Musz zmieni kod klasy linii i usun blokowanie pocze.

193

Nastpia przerwa, kiedy kobieta sprawdzaa w innym systemie komputerowym, czy wystawione zostao zamwienie serwisowe autoryzujce t zmian. Ta linia powinna obsugiwa jedynie poczenia wychodzce powiedziaa po chwili. Nie ma zamwienia serwisowego na tak zmian. Nie ma, bo nastpia pomyka. Mielimy wystawi to zamwienie wczoraj, ale osoba, ktra zajmuje si kontem tego klienta, posza na chorobowe i zapomniaa przekaza komu innemu, aby si tym zaj. A klient jest ju bardzo zniecierpliwiony. Po chwilowej pauzie, w trakcie ktrej kobieta rozwaaa prob wykraczajc poza standardowe procedury operacyjne, powiedziaa: Dobrze. Sysza jak stuka w klawisze, wprowadzajc zmian. Po kilku sekundach wszystko byo gotowe. Lody zostay przeamane, a ich poczy pewien rodzaj zmowy. Wyczuwajc jej nastawienie i ch pomocy, Johny czym prdzej poszed na cao. Moe mi pani jeszcze powieci par minut? zapyta. Tak odpowiedziaa. A o co chodzi? Mam tu kilka innych linii, ktre nale do tego samego klienta i jest ten sam problem. Odczytam numery, aby pani moga sprawdzi, czy nie s zablokowane, dobrze? Zgodzia si. Kilka minut pniej wszystkie linie byy ju naprawione i mona byo odbiera rozmowy przychodzce.

Poszukiwanie Gondorffa
Teraz trzeba byo odnale budynek, w ktrym przebywa Gondorff. Jest to informacja, ktrej pracownicy wizienia zdecydowanie nie bd chcieli udzieli. Johny znowu musia polega na swoich umiejtnociach socjotechnicznych. Wykona telefon do wizienia federalnego w innymi miecie wybra Miami, ale mg wybra kade inne i owiadczy, e dzwoni z aresztu w Nowym Jorku. Poprosi o poczenie z kim, kto obsuguje Rejestr Aresztowanych baz danych zawierajc informacj o kadym winiu osadzonym w ktrymkolwiek z zakadw penitencjarnych na terenie USA. Kiedy osoba ta odebraa telefon, Johny zacz mwi z brookliskim akcentem.

194

 Dzie dobry powiedzia. Tu mwi Thomas z FDC w Nowym Jorku. Nasze poczenie z Rejestrem Aresztowanych cay czas si przerywa, czy moe pan zlokalizowa dla mnie winia wydaje mi si, e jest osadzony w waszym wizieniu. Poda nazwisko Gondorffa i jego numer rejestracyjny. Nie, nie ma go u nas powiedzia rozmwca po paru chwilach. Jest w orodku resocjalizacyjnym w San Diego. Johny uda zdziwienie. San Diego!? Mia przecie by przeniesiony do Miami samolotem wojskowym w zeszym tygodniu! To na pewno ten sam wizie? Jaka data urodzenia? 12.03.60 mczyzna odczyta z ekranu. Tak. To ten sam facet. W jakim on jest budynku? Dziesity, pnocne skrzydo odpowiedzia gadko na pytanie, mimo e nie byo adnego sensownego powodu, dla ktrego pracownik wizienia w Nowym Jorku mgby si tym interesowa. Johny odblokowa ju linie i dowiedzia si, gdzie jest Gondorff. Teraz wypadao znale numer telefonu prowadzcy do budynku numer 10. To byo troch trudniejsze. Johny zadzwoni pod jeden z numerw. Wiedzia, e dzwonek telefonu jest wyczony i aparat po drugiej stronie bdzie milcza. Rozsiad si i zabra do czytania przewodnika Miasta Europy, suchajc sygnau telefonu. Po jakim czasie kto z drugiej strony podnis suchawk. Jaki wizie najwyraniej chcia skontaktowa si ze swoim obroc z urzdu. Johny by na to przygotowany. Kancelaria obrocw z urzdu odezwa si do suchawki. Kiedy mczyzna zapyta o swojego obroc, Johny powiedzia: Zobacz, czy jest. Z jakiego budynku pan dzwoni? Zanotowa odpowied, nacisn klawisz oczekiwania i nim mino p minuty, wrci do rozmowy i powiedzia: Jest w sdzie, musi pan zadzwoni pniej stwierdzi i odoy suchawk. Czeka przez par godzin, ale nie byo a tak le czwarty rozmwca okaza si dzwoni z budynku numer 10. W ten sposb Johny pozna numer telefonu do budynku, w ktrym przebywa Gondorff.

195

Zsynchronizujmy zegarki
Teraz naleao przekaza Gondorffowi wiadomo, kiedy ma podnie suchawk telefonu, ktry prowadzi bezporednio do kancelarii. Byo to atwiejsze, ni mogoby si wydawa. Johny zadzwoni do orodka i, uywajc oficjalnego tonu, przedstawi si jako pracownik wizienia i poprosi o budynek nr 10. Poczono go. Kiedy oficer podnis suchawk, Johny oszuka go, pomagajc sobie argonowym skrtem dziau przyj i zwolnie jednostki zajmujcej si przyjmowaniem i zwalnianiem winiw: Tu mwi Tyson z PiZu powiedzia. Prosz do telefonu osadzonego Gondorffa. Mamy tu jego rzeczy, ktre musimy odesa, i chcemy zapyta o adres. Mog go prosi do aparatu? Johny usysza, jak stranik woa osadzonego. Po kilku nerwowych minutach usysza w suchawce znajomy gos. Johny odezwa si: Nic nie mw, dopki nie wyjani ci, o co chodzi. Po czym wytumaczy cel rozmowy, aby Gondorff mg udawa, e rozmawiaj o tym, gdzie przesa jego rzeczy. Potem powiedzia: Jeeli moesz si dosta do telefonu do kancelarii obrocw z urzdu dzi o trzynastej, nic nie odpowiadaj. Jeeli nie moesz, podaj godzin, o ktrej moesz tam by. Gondorff nie odpowiedzia. Johny cign dalej: Dobra. Bd o trzynastej, bd dzwoni. Podnie suchawk, a jeeli zacznie czy si z kancelari, naciskaj wideki co dwadziecia sekund. Prbuj tak dugo, a mnie usyszysz. O trzynastej Gondorff podnis suchawk. Johny ju na niego czeka. Uwolnieni od rzdowej inwigilacji rozmawiali dugo i niespiesznie, umawiajc si na nastpne rozmowy, by zaplanowa akcj, ktra przyniesie pienidze na opacenie Gondorffowi adwokata.

Analiza oszustwa
Opisany epizod stanowi pierwszorzdny przykad, jak socjotechnik robi rzeczy niewyobraalne, oszukujc kilka osb, z ktrych kada robi co, co samo w sobie nie budzi adnych podejrze. W rzeczywistoci kada z tych czynnoci stanowi element ukadanki, skadajcy si na ca intryg.

196

Pracownik telekomunikacji myla, e udziela informacji komu z Gwnego Biura Ksigowego rzdu federalnego. Kolejna pracownica telekomunikacji wiedziaa, e nie powinna zmienia klasy usugi, nie majc zamwienia, ale postanowia pomc miemu panu. Dziki temu moliwe stao si dzwonienie na wszystkie dziesi linii przeznaczonych do rozmw winiw ze swoimi obrocami. Dla czowieka z wizienia w Miami proba o pomoc ze strony pracownika innego wizienia federalnego majcego problemy z komputerem wydawaa si cakowicie uzasadniona. Nawet, jeeli nie byo adnego sensownego powodu, dla ktrego miaby pyta o budynek, nie byo te powodu, eby nie odpowiada na to pytanie. A co ze stranikiem w budynku numer 10, ktry uwierzy, e dzwoni do niego pracownik tego samego wizienia w sprawie subowej? Proba bya zupenie normalna, wic poprosi Gondorffa do telefonu. Nic wielkiego. Szereg zaplanowanych akcji zoyo si na peny obraz intrygi.

Szybka kopia
Dziesi lat po ukoczeniu studiw prawniczych Ned Racine spotyka swoich kolegw z roku mieszkajcych w piknych domach z ogrodami, nalecych do klubw, grajcych w golfa raz lub dwa razy w tygodniu, podczas gdy sam prowadzi sprawy ludzi, ktrzy nie mieli pienidzy nawet na to, eby opaci jego rachunki. Czasami zazdro zjada nas od rodka. W kocu Ned mia ju tego wszystkiego do. Jedynym dobrym klientem, jaki mu si trafi, byo mae, ale bardzo prne biuro rachunkowe specjalizujce si w fuzjach i przejciach. Korzystali z usug Neda od niedawna, ale ten zdy si ju zorientowa, e s zaangaowani w transakcje, ktre z chwil przedostania si informacji o nich do prasy wpyn na ceny akcji jednej lub dwch spek notowanych na giedzie. Nie byy to wielkie spki, ale moe to i lepiej may skok ceny mg tu oznacza duy procentowy przyrost zyskw z inwestycji. Musiaby si tylko dosta w jaki sposb do ich plikw i zobaczy, nad czym wanie pracuj... Zna czowieka, ktry z kolei zna czowieka znajcego si na rnych dziwnych rzeczach. Kiedy ten wysucha planu, strasznie si do tego zapali i zgodzi si pomc. Za mniejsz stawk ni zwykle, ale z obietnic procentowego udziau w zyskach z operacji, czowiek ten powiedzia Nedowi, co trze-

197

ba zrobi. Da mu te mae, zgrabne urzdzenie nowo na rynku. Przez par dni z rzdu Ned obserwowa parking maego centrum biznesu, gdzie biuro rachunkowe wynajmowao skromne pomieszczenia. Wikszo osb wychodzia z pracy midzy 17:30 a 18:00. O 19:00 parking by ju pusty. Ekipa sprztajc biura pojawiaa si okoo 19:30. Doskonale. Nastpnej nocy, par minut przed 20:00, Ned zaparkowa na ulicy, naprzeciwko parkingu. Tak jak si spodziewa, parking by pusty, nie liczc samochodu firmy ochroniarskiej. Ned przyoy ucho do drzwi wejciowych i usysza pracujcy odkurzacz. Gono zapuka i czeka, ubrany w garnitur i krawat, trzymajc w rce swj sfatygowany neseser. Nikt nie otwiera, wic zapuka ponownie. Po chwili w drzwiach pojawi si jeden ze sprztaczy. Dzie dobry Ned krzycza przez szklane drzwi, pokazujc wizytwk jednego z wspwacicieli firmy, ktr kiedy dosta. Zatrzasnem kluczyki w samochodzie i musz si dosta do mojego biurka. Mczyzna otworzy drzwi, zamkn je ponownie za Nedem i poszed wzdu korytarza, wczajc wiato, aby Ned mg widzie, gdzie idzie. Dlaczego by nie mia okazj pomc czowiekowi, dziki ktremu ma prac. A przynajmniej mia wszelkie powody, by sdzi, e tak wanie jest. Ned usiad przy komputerze jednego ze wspwacicieli i wczy go. Kiedy komputer si uruchomi, podczy do portu USB urzdzonko, ktre dosta by to przedmiot, ktry mgby suy jako breloczek do kluczy, jednoczenie bdc w stanie pomieci ponad 120 MB danych. Zaogowa si do sieci, uywajc nazwy uytkownika i hasa sekretarki wspwaciciela. Informacje te byy dla wygody przyczepione do monitora na samoprzylepnym skrawku papieru. Nim upyno pi minut, Ned zdoa pobra wszystkie arkusze i dokumenty przechowywane w komputerze i w katalogu sieciowym wsppracownika i ju wraca samochodem do domu.

Uwaga Mitnicka
Szpiedzy przemysowi lub hakerzy czasami prbuj fizycznie dosta si na teren firmy. Zamiast z omu socjotechnik korzysta ze swojej umiejtnoci manipulacji i przekonuje osob po drugiej stronie, aby otworzya mu drzwi.

198

atwa forsa
Podczas moich pierwszych kontaktw z komputerem w liceum, musielimy si czy poprzez modem z jednym gwnym minikomputerem DEC PDP 11 w Los Angeles, ktry suy wszystkim szkoom w miecie. System operacyjny tego komputera nazywa si RSTS/E i by to pierwszy system, w ktrym nauczyem si pracowa. Wtedy, w 1981 roku, DEC sponsorowa co roku konferencj dla uytkownikw swoich produktw. Wyczytaem, e tym razem konferencja ma si odby w Los Angeles. Popularny magazyn dla uytkownikw tego systemu publikowa ogoszenia o nowym produkcie zabezpieczajcym, LOCK-11. By on promowany za pomoc pomysowej kampanii reklamowej, ktra opieraa si na sowach: Jest 3:30 nad ranem. Johny za 336. razem odgad Twj numer dostpowy do sieci, 555-0336. Wanie przeglda Twoje pliki. Zamw LOCK11. Produkt, jak sugerowaa kampania, mia zabezpiecza przed hakerami. Na konferencji miaa si odby jego prezentacja. Bardzo chciaem to zobaczy. Mj wczesny przyjaciel, Vinny, z ktrym przez kilka lat zabawialimy si w hakerw, a ktry pniej zdecydowa si donosi na mnie wadzom federalnym, podziela moje zainteresowanie nowym produktem i namawia mnie, ebym poszed z nim na konferencj.

Gotwka na stole
Kiedy dotarlimy na miejsce, w tumie uczestnikw rozchodziy si nowiny o LOCK-11. Podobno twrcy postawili pienidze na to, e nikomu nie uda si wama do systemu zabezpieczonego przez nowy produkt. Takiemu wyzwaniu nie mogem si oprze. Udalimy si prosto do boksu LOCK-11 i natknlimy si tam na trzech programistw, ktrzy byli autorami wynalazku; ja rozpoznaem ich, a oni mnie mimo e byem jeszcze nastolatkiem, miaem ju reputacj phreakera i hakera za spraw duego artykuu w LA Times opisujcego moje pierwsze spicie z wadzami. Artyku opisywa, jak udao mi si namwi stra, aby w rodku nocy wpuci mnie do budynku Pacific Telephone. Wyszedem stamtd z dokumentacjami programw komputerowych tu przed nosem stranika. (Wyglda na to, e Times chcia z tego zrobi sensacj i dlatego po-

199

stanowili poda moje nazwisko; jako e byem wci nieletni, artyku narusza obyczaj, jeeli nie prawo, zabraniajce publikowania nazwisk osb niepenoletnich oskaronych o popenienie wykroczenia). Kiedy wkroczylimy tam wraz z Vinnim, z obu stron pojawio si zainteresowanie. Zainteresowanie z ich strony wynikao z faktu rozpoznania we mnie hakera, o ktrym czytali, i z zaskoczenia, jakie sprawio moje pojawienie si. Zainteresowanie z naszej strony byo skierowane w stron trzech studolarowych banknotw, zatknitych za konferencyjny identyfikator kadego z nich. Nagroda dla osoby, ktra pokona ich system, wynosia 300 dolarw dla dwch nastolatkw byo to mnstwo pienidzy. Nie moglimy si doczeka, by dano nam szans. LOCK-11 dziaa, wykorzystujc dwa poziomy bezpieczestwa. Uytkownik musia jak zwykle zna prawidowy login i haso, a oprcz tego musiay by one wprowadzone z autoryzowanego terminala. Metoda ta jest okrelana jako identyfikacja terminala. Aby zama to zabezpieczenie, hakerowi nie wystarczy sam login i haso oprcz tego musia wpisa te informacje w odpowiednim miejscu. Metoda ta bya szeroko stosowana i wynalazcy LOCK-11 byli przekonani, e pozwala ona zabezpieczy si przed wamaniami. Postanowilimy da im lekcj i przy okazji zarobi trzysta dolarw.

argon
Identyfikacja terminala zabezpieczenie oparte czciowo na identyfikacji komputera, z ktrego nastpuje prba poczenia. Metoda ta bya popularna w komputerach IBM typu mainframe.

Czowiek, ktrego znaem i ktry uchodzi za guru w sprawach systemu RSTS/E, namawia nas, bymy sprbowali. Przed laty by jednym z tych, ktrzy nakonili mnie do wamania do rodowiska programistycznego DEC. Jego wsplnicy pniej na mnie donieli. Dzisiaj by powaanym programist. Okazao si, e prbowa pokona zabezpieczenie, zanim przyszlimy, ale mu si nie udao. To wydarzenie utwierdzio twrcw w przekonaniu, e ich produkt jest naprawd bezpieczny. Zasady gry byy proste: jeeli uda ci si wama, dostajesz pienidze. Dobra metoda na promocj produktu... do czasu, gdy kto wprawi twrcw w zakopotanie i odbierze nagrod. Byli tak pewni swego i zuchwali, e wydrukowali i powiesili przy wejciu do boksu nazwy kilku kont w systemie wraz z odpowiadajcymi im hasami. Nie byy to zwyke konta uytkownikw, tylko konta o wysokich uprawnieniach w systemie.

200

Nie byo to a takim aktem odwagi, jak mona by sdzi. Wiedziaem, e w tego typu instalacji kady terminal jest podczony jedynie do portu samego komputera. W sali konferencyjnej ustawiono pi terminali dla goci, ktrzy mogli logowa si tylko jako uytkownicy nieuprzywilejowani oznaczao to, e logowanie byo moliwe tylko na konta, ktre nie maj przywilejw administratora systemu. Wygldao na to, e istniej tylko dwie drogi: albo obej jako oprogramowanie zabezpieczajce przed tym wanie chroni LOCK 11; albo obej cay system w sposb, ktry nigdy nie przyszedby do gowy jego twrcom.

Wyzwanie
Wyszlimy wraz z Vinnim z boksu, by si naradzi. Przyszed nam do gowy pewien plan. Spacerowalimy, nie zwracajc na siebie uwagi i obserwujc boks z dystansu. W porze lunchu, gdy tum si troch rozrzedzi, trzech programistw skorzystao z maego ruchu poszli co zje, zostawiajc w boksie kobiet, ktra moga by on lub dziewczyn jednego z nich. Podeszlimy z powrotem i zajlimy j rozmow o tym i o tamtym (Jak dugo pani ju tu pracuje?, Co jeszcze sprzedajecie? itp.). Tymczasem Vinny znikn z pola widzenia i zabra si do roboty, wykorzystujc umiejtnoci, ktre obaj zdoalimy naby. Poza fascynacj komputerami i wamywaniem si do nich oraz moimi wasnymi zainteresowaniami zwizanymi z magi, obaj interesowalimy si rwnie sposobami otwierania zamkw. Jako dzieciak poszukiwaem w ksigarni na stacji metra ksiek traktujcych o otwieraniu zamkw, wydobywania rk z kajdanek, tworzeniu faszywych tosamoci i tym podobnych rzeczach, ktrymi interesuj si wszystkie dzieci. Vinni podobnie jak ja wiczy si w tej sztuce i wkrtce potrafilimy otworzy kady z popularnych i dostpnych w sklepach zamkw. Kiedy miaem fioa na punkcie kawaw z tym zwizanych, takich jak namierzenie kogo, kto zamyka drzwi na dwa zamki, otwarcie ich i zamienienie jednego z drugim doprowadzao to waciciela do zdumienia i frustracji przy prbie ich otwarcia. Kontynuowaem zajmowanie rozmow modej kobiety w hali wystawowej, podczas gdy Vinny, przykucnwszy za boksem, tak aby nikt go nie zauway, dobiera si do zamka szafki, w ktrej zamknity by minikomputer

201

PDP-11 wraz z kocwkami kabli. Nazywanie szafki zamknit zakrawaoby na dowcip. Bya ona zabezpieczona takim zamkiem, jaki mona spotka w domowych meblach, niezwykle atwym do otwarcia nawet dla do nieporadnych amatorw, takich jak my. Otwarcie szafki zajo Vinniemu okoo minuty. W rodku znalaz dokadnie to, czego si spodziewa: rzd portw przeznaczonych do wpinania terminali uytkownikw i jeden port dla tak zwanego terminala konsoli. Terminal ten by uywany przez operatora lub administratora systemu do sterowania prac wszystkich komputerw. Vinny podczy kabel prowadzcy z portu konsoli do jednego z terminali w holu wystawowym. W tym momencie jeden z komputerw sta si terminalem konsoli. Usiadem przy nim i zaogowaem si za pomoc hasa tak zuchwale udostpnionego przez programistw. Program LOCK-11 rozpozna, e loguj si z autoryzowanego terminala i zezwoli mi na wejcie dostaem si do systemu i miaem przywileje administratora. Dokonaem zmiany w systemie operacyjnym tak, aby z kadego terminala w holu mona byo si dosta do systemu jako uytkownik uprzywilejowany. Po zainstalowaniu mojej tajemniczej nakadki na system Vinny poszed odczy kabel terminala i przyczy go tam, gdzie by poprzednio. Na koniec zdoa jeszcze zamkn szafk. Wylistowaem katalogi, aby zobaczy, jakie pliki znajduj si na komputerze. Gdy szukaem programu LOCK-11 oraz zwizanych z nim plikw, natknem si na co szokujcego: katalog, ktry zdecydowanie nie powinien znale si na tym komputerze. Programici byli do tego stopnia pewni siebie i tego, e ich program jest nie do pokonania, i nie usunli nawet kodu rdowego nowego produktu. Przesiadem si na ssiadujcy terminal, do ktrego podczona bya drukarka i zaczem drukowa fragmenty kodu rdowego na dugich arkuszach papieru w zielone paski, jaki stosowano wwczas w drukarkach. Ledwo Vinny zamkn szafk i doczy do mnie, trjka wrcia z lunchu. Zobaczyli, e siedz przy jednym z terminali i stukam w klawiatur, podczas gdy drukarka rwnomiernie zadrukowywaa arkusze papieru. Co robisz, Kevin? zapyta jeden z nich. A nic, drukuj tylko wasz kod rdowy powiedziaem. Uznali to oczywicie za dobry art. Potem spojrzeli na drukark i zobaczyli swj zazdronie strzeony kod rdowy LOCK-11. Nie wierzyli, e udao mi si zaogowa jako uprzywilejowany uytkownik.

202

 Nacinij control-t powiedzia jeden z nich. Nacisnem. Wywietlona informacja potwierdzaa to, co zrobiem. Zapa si za gow, a Vinny powiedzia tylko: Trzysta dolarw prosz. Zapacili. Do koca dnia przechadzalimy si z Vinnym po hali wystawowej z banknotami studolarowymi zatknitymi za nasze identyfikatory. Kady, kto je widzia, wiedzia, skd si tam wziy. Oczywicie nie pokonalimy ich programu i jeeli przemyleliby bardziej zasady konkursu, uyli lepszego zamka w szafce lub bardziej pilnowali swego sprztu, nie przeyliby najwikszego upokorzenia konferencji upokorzenia z rk pary nastolatkw.

Uwaga Mitnicka
Oto kolejny przykad inteligentnych ludzi, ktrzy nie doceniaj swoich przeciwnikw. Czy bylibymy skonni postawi 300 dolarw na to, e nasz system bezpieczestwa jest nie do przejcia? Czasami sposb obejcia systemu jest zupenie inny, ni moglibymy si spodziewa.

Widziaem pniej, jak programici zatrzymywali si przy banku: owe banknoty studolarowe byy chyba jedynymi pienidzmi, z jakimi pojawili si na konferencji.

Sownik narzdziem ataku

Gdy kto zdobywa nasze haso, jest w stanie wkra si do naszego systemu. W wikszoci przypadkw nie bdziemy tego nawet wiadomi. Mody haker, ktrego nazw Ivan Peters, postawi sobie za cel zdobycie kodu rdowego nowej gry. Bez kopotu dosta si do firmowej sieci WAN, poniewa jego kolega po fachu zdoa ju wczeniej wama si do jednego z jej serwerw sieciowych. Po znalezieniu pewnej saboci w oprogramowaniu serwera w znajomy omal nie spad z krzesa. Okazao si, e system wykorzystywa podwjne poczenie (dual homing), co oznaczao, e mia z tego punktu rwnie dostp do sieci wewntrznej. Jednak po wejciu do sieci wewntrznej Ivan stan przed podobnym problemem, przed jakim staje turysta, ktry chce znale portret Mony Lizy w Luwrze. Bez przewodnika mgby tam kluczy tygodniami. Bya to glo-

203

balna korporacja, z setkami oddziaw i tysicami serwerw, ktra nie udostpniaa w sieci indeksu systemw programistycznych lub innej formy przewodnika po swoich zasobach. Zamiast wic uywa metod technologicznych, w celu odnalezienia serwera, na ktry mia si dosta, Ivan skorzysta z metod socjotechnicznych. Wykona kilka telefonw, bazujc na metodach opisanych ju w tej ksice. Na pocztku zadzwoni do pomocy technicznej w dziale informatyki, przedstawi si jako pracownik firmy i powiedzia, e ma do omwienia pewien problem zwizany z interfejsem dla produktu, nad ktrym pracowaa jego grupa. Poprosi o numer telefonu do szefa projektw w grupie programistw zajmujcych si grami. Nastpnie zadzwoni pod numer, ktry mu podano, udajc pracownika dziau informatyki. Jeszcze dzi wieczorem powiedzia bdziemy wymienia router i musimy si upewni, czy ludzie z pana grupy nie strac cznoci z serwerem. Jakiego serwera uywacie? Sie bya cay czas ulepszana, a podanie nazwy serwera nie moe niczemu zagrozi, prawda? Przecie jest chroniony hasem i sama znajomo jego nazwy nic nikomu nie da. Tak wic szef projektw poda nazw serwera. Nie pokusi si nawet o oddzwonienie i sprawdzenie tej historyjki lub chocia zapisanie nazwiska i numeru telefonu dzwonicego. Po prostu poda nazwy serwerw: ATM5 i ATM6.

Odgadywanie hasa
W tym momencie Ivan znowu przeszed do metod technologicznych, aby zdoby informacje uwierzytelniajce. Pierwszym krokiem w wikszoci technologicznych atakw na systemy jest identyfikacja konta z atwym hasem, ktre pozwala na zdobycie pierwszego przyczka w systemie. Stosowanie narzdzi hakerskich sucych do zdalnej identyfikacji hase moe wymaga pozostania poczonym z sieci firmy przez dugie godziny. Pojawia si tu zagroenie: im duej bdzie podczony do sieci, tym wiksze jest ryzyko wykrycia go i zapania. W pierwszym kroku Ivan zastosowa enumeracj, ktra umoliwia poznanie szczegw systemu. Jak zwykle przydatne w tym celu narzdzia mona znale w Internecie (http://mtsleuth.0catch.com znak po kropce to zero). Ivan odszuka w Sieci kilka oglnie dostpnych narzdzi hakerskich,

204

ktre pozwoliy mu zautomatyzowa proces enumeracji i unikn rcznej roboty, ktra wyduyaby czas operacji, zwikszajc tym samym jej ryzykowno. Wiedzc, e firma w wikszoci przypadkw uywaa serwerw na bazie Windows, pobra kopi NBTEnum narzdzia NetBIOS do enumeracji. Wprowadzi adres IP serwera ATM5 i uruchomi program. Narzdzie enumeracyjne zdoao zidentyfikowa kilka kont istniejcych na serwerze.

argon
Enumeracja proces ujawniajcy usugi dostpne w danym systemie, platform systemow oraz nazwy kont uytkownikw majcych dostp do systemu.

Po identyfikacji istniejcych kont to samo narzdzie enumeracyjne umoliwio uruchomienie w systemie ataku sownikowego. Atak sownikowy to pojcie dobrze znane ludziom zajmujcym si bezpieczestwem systemw komputerowych i oczywicie hakerom. Dla pozostaych ludzi szokiem bywa fakt, e co takiego jest w ogle moliwe. Atak ten ma na celu ustalenie hase uytkownikw poprzez porwnywanie ich z powszechnie uywanymi sowami. Wszyscy jestemy leniwi w pewnych sprawach, ale nigdy nie przestaje zadziwia mnie fakt, e w momencie wybierania hasa ludzka kreatywno i wyobrania wydaj si zanika. Wikszo z nas chce mie haso, ktre daje ochron, ale jednoczenie jest atwe do zapamitania. Zwykle oznacza to zastosowanie jakiego bliskiego nam sowa. Mog to by na przykad nasze inicjay, drugie imi, pseudonim, imi maonka, tytu ulubionej piosenki, filmu lub marka piwa. Poza tym nazwa ulicy, przy ktrej mieszkamy, lub miasta, marka samochodu, ktrym jedzimy, ulubiona miejscowo wypoczynkowa lub nazwa strumienia, gdzie najlepiej bior pstrgi. Czy zauwaamy w tym jak regu? W wikszoci przypadkw s to imiona, nazwy lub wyrazy, ktre mona znale w sowniku. Atak sownikowy porwnuje haso z czsto uywanymi sowami, prbujc kady z wyrazw na jednym lub wikszej iloci kont uytkownikw. Ivan przeprowadzi atak sownikowy w trzech fazach. W pierwszej uy listy 800 najczciej uywanych hase. Lista ta zawiera takie sowa jak secret, work lub password. Oprcz tego program tworzy permutacje tych wyrazw z dodanymi na kocu cyframi lub numerem biecego miesica. Program prbowa kade z hase na wszystkich znalezionych w systemie kontach. Niestety bez powodzenia.

205

W drugiej fazie Ivan otworzy stron przegldarki Google i wpisa haso wordlists dictionaries i znalaz tysice stron zawierajcych listy sw i sowniki dla jzyka angielskiego i innych. Pobra cay elektroniczny sownik jzyka angielskiego. Nastpnie uzupeni go, pobierajc kilka list wyrazw, ktre odnalaza wyszukiwarka. W tym celu uda si pod adres www.outpost9.com/ files/WordLists.html. Ze strony tej udao mu si pobra (cakowicie za darmo) zestaw plikw zawierajcych nazwiska, rzadkie imiona, nazwiska i wyrazy zwizane z polityk, nazwiska aktorw oraz sowa i imiona pochodzce z Biblii. Inna ze stron obejmujca listy wyrazw jest udostpniana przez uniwersytet w Oxfordzie pod adresem ftp://ftp.ox.ac.uk/pub/wordli0sts. Na innych stronach moemy znale listy zawierajce imiona bohaterw kreskwek, sowa z cytatw szekspirowskich, z Odysei, z Tolkiena i Gwiezdnych wojen, a take sowa zwizane z nauk, religi itd. (Jedna z firm internetowych sprzedaje list zawierajc ponad 4 miliony sw i nazw za jedyne 20 dolarw). Program atakujcy moe by rwnie skonfigurowany tak, aby tworzy anagramy na podstawie wyrazw ze sownika jest to kolejna z ulubionych metod uytkownikw na zwikszenie swojego bezpieczestwa.

Szybciej ni mylisz
Po wybraniu list do zastosowania i uruchomieniu programu Ivan przeczy go w tryb automatyczny. Dziki temu mg zaj si czym innym. Mona by sdzi, e taki atak pozwoli hakerowi na ucicie sobie dugiej drzemki i nawet, gdy haker ju si obudzi, postp bdzie niewielki. W rzeczywistoci, w zalenoci od rodzaju atakowanej platformy, konfiguracji systemw zabezpieczajcych i szybkoci poczenia sieciowego, peny zasb sw ze sownika angielskiego moe by przetestowany w czasie krtszym ni 30 minut! W czasie trwania ataku Ivan wczy inny komputer i uruchomi podobny atak na drugim serwerze uywanym przez grup programistw, ATM6. Dwadziecia minut pniej udao si zrobi co, co dla wikszoci ludzi wydaje si niemoliwie: zama haso i odkry, e jeden z uytkownikw wybra haso Frodo, imi jednego z hobbitw, bohatera Wadcy Piercieni. Majc haso, Ivan mg poczy si z serwerem ATM6 za pomoc konta uytkownika.

206

Oczekiway na niego dobre i ze wieci. Dobre to te, e konto, na ktre si wama, miao przywileje administracyjne. Ze wieci polegay na tym, e nigdzie nie mg znale kodu rdowego gry. Wygldao na to, e znajdowa si on na drugim serwerze, ATM5, ktry opar si atakowi sownikowemu. Ivan jednak nie poddawa si wci mia w zanadrzu par trikw. W niektrych systemach operacyjnych Windows i UNIX zaszyfrowane hasa s dostpne dla kadego, kto ma dostp do komputera, na ktrym s przechowywane. Uzasadnieniem tego jest fakt, e zaszyfrowane hasa s nie do odtworzenia, wic nie ma potrzeby ich ochrony. Teoria ta jest bdna. Przy wykorzystaniu kolejnego narzdzia dostpnego w sieci, zwanego pwdump3, pobra zakodowane hasa z serwera ATM6. Typowy plik z zakodowanymi hasami wyglda nastpujco: Administrator:500:344FKGJDJ4JFJ954949FVKRKKKK59599FKFKRJF:NOISLHKRE49FK59FI49IFJ4I::: kowalski:1110:FJ9V5JGOHI54GJKM3FP4JP40T04LGPOG4IF90Y: RR39RKR049FKFOREIEIJFJIEEI::: nowak:1111:4FOGKQ49FLR03959FU439FI49F:FJ49GJ40DF44FGGDDF: D5HDI5IE8TI5YI8Y6Y8U7UUY::: mgala:1112:E9F9IM4F9F043K30FK30FK30GTJKFJGJ4J:GJ4949FJFJG949FJ49FJG949J49G9JG:FJ9::: Majc je na swoim komputerze, Ivan uy kolejnego narzdzia, ktre przeprowadzao tzw. atak siowy. Testuje on kad kombinacj znakw alfanumerycznych i wikszoci symboli specjalnych.

argon
Atak siowy strategia wykrywania hase, polegajca na testowaniu kadej moliwej kombinacji znakw alfanumerycznych i symboli specjalnych.

Ivan zastosowa narzdzie zwane Lophtcrack3 (dostpne pod adresem www.atstake.com; inne rdo wietnych narzdzi do odgadywania hase to www.elcomsoft.com). Administratorzy uywaj Lophtcrack3 do szukania sabych hase, a hakerzy do ich amania. Opcja ataku siowego w tym programie sprawdza hasa z kombinacjami liter, cyfr i wikszoci symboli, w tym !@#$%^&. Systematycznie testuje wszystkie moliwe kombinacje wikszo-

207

ci znakw. (Jeeli jednak zastosowane s znaki niewidoczne, Lophtcrack3 nie bdzie w stanie zama hasa). Program ten dziaa z niewiarygodn szybkoci, ktra moe osign warto 2,8 miliona prb na sekund na komputerze z procesorem 1 GHz. Nawet przy takiej prdkoci, jeeli administrator poprawnie skonfigurowa system Windows (tj. wyczy stosowanie haszowania LANMAN), zamanie hasa moe wci zaj duo czasu. Z tego powodu napastnik czsto pobiera pliki z hasami na swj komputer i uruchamia atak u siebie, nie ryzykujc wykrycia podczas dugiego podtrzymywania poczenia. Ivan nie musia czeka zbyt dugo. Kilka godzin pniej program odnalaz hasa wszystkich czonkw grupy programistycznej. Byy to jednak hasa uytkownikw serwera ATM6, na ktrym nie byo kodu rdowego. Co teraz? Wci nie by w stanie uzyska hase umoliwiajcych dostp do serwera ATM5. Mylc jak haker i zdajc sobie spraw ze zych nawykw wikszoci uytkownikw, doszed do wniosku, e jeden z czonkw grupy mg wybra takie samo haso na obydwu serwerach. Tak wanie byo. Jeden z programistw uywa hasa gamers zarwno na ATM5, jak i na ATM6. Przed Ivanem otwary si drzwi, umoliwiajc mu poszukiwanie kodu. Kiedy go odnalaz i pobra cae drzewo, powzi jeszcze jeden dodatkowy krok, zwykle wykonywany w takich sytuacjach: zmieni haso na upionym koncie, zostawiajc sobie furtk na wypadek, gdyby chcia tu wrci pniej i pobra zaktualizowan wersj programu.

Analiza oszustwa
W tym ataku, ktry penetrowa zarwno ludzkie, jak i technologiczne saboci systemu, napastnik rozpocz od telefonu, by pozna lokalizacj i nazwy serwerw programistycznych, na ktrych znajdoway si zastrzeone informacje. Nastpnie skorzysta z programu w celu identyfikacji istniejcych nazw kont wszystkich uytkownikw serwera. Potem przeprowadzi dwa udane ataki na haso, w tym atak sownikowy, ktry szuka hasa, porwnujc je z list wszystkich wyrazw ze sownika, czasami powikszon o dodatkowe listy sw zawierajce imiona, nazwy miejsc i przedmiotw, ktre s obiektem oglnego zainteresowania.

208

Poniewa zarwno komercyjne, jak i darmowe narzdzia hakerskie s dostpne dla kadego niezalenie od celu, jaki mu przywieca, wane jest zabezpieczenie komputerw firmowych i infrastruktury sieciowej. Skala tego zagroenia jest olbrzymia. Wedug czasopisma Computer World analiza przeprowadzona przez Oppenheimer Funds z Nowego Jorku doprowadzia do zaskakujcego odkrycia. Jeden z wicedyrektorw odpowiedzialnych za bezpieczestwo sieci przeprowadzi atak na hasa pracownikw firmy za pomoc jednego ze standardowych pakietw oprogramowania. Czasopismo podaje, e w cigu trzech minut zdoa zama hasa 800 pracownikw.

Uwaga Mitnicka
Posugujc si terminologi zaczerpnit z gry Frodo mona powiedzie, e, jeeli uyjesz jako hasa wyrazu ze sownika, to: idziesz prosto do wizienia, nie przechodzisz przez lini startu, nie otrzymujesz 200 dolarw. Pracownikw trzeba nauczy, jak wybiera hasa, ktre naprawd chroni zasoby firmy.

Jak temu zapobiec?

Ataki socjotechniczne mog by jeszcze bardziej destrukcyjne, jeeli napastnik uyje dodatkowo rodkw technologicznych. Zapobieganie tego typu atakom zwykle wymaga podjcia krokw dotyczcych zarwno zachowa ludzkich, jak i technologii.

Wystarczy odmwi
W pierwszej historii z tego rozdziau pracownica biura CABZ firmy telekomunikacyjnej nie powinna usuwa statusu blokowania pocze z linii telefonicznych bez autoryzujcego t zmian zamwienia serwisowego. Sama znajomo procedur przez pracownikw to za mao. Musz oni zrozumie, jakie znaczenie maj te zalecenia dla firmy w zakresie ochrony przed zagroeniami z zewntrz. Polityka bezpieczestwa powinna zniechca do odstpowania od proce-

209

dur poprzez system nagrd i kar. Oczywicie polityka musi by realistyczna i nie wymaga od pracownikw wykonywania wielu uciliwych krokw, ktre bd woleli zignorowa. Program szkolenia powinien przekonywa pracownikw, e, o ile wane jest wykonywanie pracy zgodnie z zaoonymi terminami, to wykonywanie pewnych czynnoci na skrty, z pominiciem procedur bezpieczestwa, moe narazi firm lub wsppracownikw na uszczerbek. Podczas udzielania informacji przez telefon obcym osobom, zawsze naley stosowa taki sam stopie ostronoci. Niezalenie od nacisku, statusu lub starszestwa danej osoby w strukturze firmy, nie naley podawa adnej informacji, ktra nie jest okrelona jako oglnodostpna, do momentu pozytywnej weryfikacji tosamoci dzwonicego. Jeeli regua ta byaby cile przestrzegana, taktyki socjotechniczne stosowane w tej historii nie odniosyby skutku, a wizie Gondorff nigdy nie byby w stanie zaplanowa wraz z Johnym nowego oszustwa. Najwaniejszy punkt, do ktrego cay czas powracam na stronach tej ksiki, to weryfikacja, weryfikacja i jeszcze raz weryfikacja. adna proba nie powinna by uwzgldniona bez weryfikacji tosamoci pytajcego.

Sprztanie
Kada firma, ktra nie utrzymuje ochrony 24 godziny na dob, jest naraona na to, e napastnik dostanie si do biura po godzinach pracy. Ekipy sprztajce zwykle bd traktowa z respektem kadego, kto pojawi si u drzwi firmy i bdzie wyglda na pracownika. W kocu osoba taka moe im narobi kopotw lub nawet doprowadzi do zwolnienia. Z tego powodu ekipy sprztajce, czy to wewntrzne czy wynajte, musz zosta przeszkolone w kwestiach bezpieczestwa. Sprztanie biur niekoniecznie wymaga wyszego wyksztacenia. W zasadzie nie wymaga nawet umiejtnoci czytania i pisania, a typowe szkolenie, jeeli w ogle ma miejsce, dotyczy spraw nie zwizanych z bezpieczestwem, lecz wyborem odpowiedniego rodka czystoci. Organizacja musi przewidzie tak sytuacj, jak opisana w tym rozdziale, zanim ta si wydarzy, i odpowiednio wyszkoli ludzi. Z mojego dowiadczenia wynika, e wikszo, jeeli nie wszystkie prywatne przedsibiorstwa, postpuj do swobodnie w kwestiach zwizanych z fizycznym zabezpieczeniem terenu. Mona te sprbowa rozwiza problem inaczej, przerzu-

210

cajc ciar ochrony firmy na pracownikw. W firmie, ktra nie jest chroniona 24 godziny na dob, powinno si wprowadzi zasad, e jeli ludzie chc dosta si na jej teren po godzinach pracy, musz mie wasne klucze lub karty elektroniczne i w adnym wypadku nie mog prosi ekipy sprztajcej o wpuszczenie do rodka. Wwczas wystarczy przekaza firmie sprztajcej, e jej pracownicy pod adnym pozorem nie mog sami wpuszcza nikogo na teren firmy. Jest to prosta regua: nie otwieraj nikomu drzwi. Jeeli jest taka moliwo, mona to zastrzeenie poda jako jeden z warunkw w umowie zawartej z firm sprztajc. Ekipy sprztajce musz by rwnie wyczulone na sytuacj, kiedy osoba nieuprawniona prbuje przej tu za osob uprawnion przez bramk. Sprztaczy naley tak wyszkoli, aby nie wpuszczali nikogo, kto prbuje wej razem z nimi do budynku tylko dlatego, e wydaje si by pracownikiem firmy. Przypominajmy o wiadomociach ze szkolenia, powiedzmy trzy lub cztery razy w roku, poprzez zaaranowanie testu penetracyjnego lub ocen stanu bezpieczestwa firmy. Wylijmy kogo, aby pojawi si u drzwi podczas pracy sprztaczy i sprbowa ich przekona, by wpucili go do budynku. Zamiast wykorzystywa w tym celu wasnych pracownikw, mona wynaj firm, ktra specjalizuje si w tego rodzaju testach.

Wana wiadomo: chrocie swoje hasa

Organizacje coraz wiksz wag przywizuj do umacniania polityki bezpieczestwa poprzez stosowanie rodkw technologicznych, na przykad konfiguracji systemw operacyjnych w sposb wymagajcy stosowania przez uytkownikw zalece dotyczcych hase i ograniczanie liczby nieudanych prb logowania przed zablokowaniem konta. W rzeczywistoci systemy oparte na platformie Windows maj t funkcj wbudowan. Jednak, ze wzgldu na to, e dla uytkownika mog okaza si denerwujce, funkcje zwizane z bezpieczestwem systemu s zwykle domylnie wyczane. Najwyszy czas, aby producenci oprogramowania zaprzestali tego typu praktyk i zaczli domylnie wcza te opcje (podejrzewam, e wkrtce sami na to wpadn). Polityka bezpieczestwa firmy powinna wspiera wszelkie dziaania administratorw systemu zmierzajce do poprawienia bezpieczestwa za pomoc rodkw technologicznych tam, gdzie tylko to jest moliwe. Celem tych dzia-

211

a ma by ograniczenie zawodnego czynnika ludzkiego do bezwzgldnie koniecznych obszarw. To nic trudnego. Wiadomo, e jeeli np. ograniczymy liczb nastpujcych po sobie nieudanych prb logowania na konto, znacznie utrudnimy ycie potencjalnym napastnikom. Kada organizacja boryka si z problemem rwnowagi pomidzy zachowaniem odpowiedniego stopnia bezpieczestwa a produktywnoci. Niektrzy pracownicy skonni s w zwizku z tym ignorowa cz zalece i nie przywizywa wagi do znaczenia, jakie maj one dla ochrony poufnych danych firmy. Jeeli zalecenia te nie obejmuj pewnych tematw, pracownicy mog i po linii najmniejszego oporu i dziaa w sposb wygodny i uatwiajcy im prac. Niektrzy mog opiera si zmianom nawykw i otwarcie lekceway zasady bezpieczestwa. Na pewno zdarzyo si nam spotka osob, ktra postpuje zgodnie z wytycznymi mwicymi o dugoci i zoonoci hasa, ale wymylone haso zapisuje na kartce i przylepia do monitora. Wanym elementem ochrony firmy jest stosowanie trudnych do odgadnicia hase, w poczeniu z konfiguracj sprztu umacniajc bezpieczestwo systemu. Szczegowe omwienie zalece co do hase znajduje si w rozdziale 16.

12
Atak w d hierarchii
Jak pokazuje wiele z opisanych tu zdarze, dobry socjotechnik czsto wybiera sobie jako ofiar osob o niskiej pozycji w hierarchii firmy. atwo jest manipulowa takimi ludmi i wyciga od nich z pozoru bahe informacje, ktre przybliaj napastnika o krok do informacji poufnych. Atakujcy mierzy w osoby na niskich stanowiskach, poniewa s one przewanie niewiadome wagi pewnych informacji i konsekwencji rnego rodzaju dziaa. Poza tym s bardziej podatne na uleganie metodom socjotechnicznym dzwonicy dysponuje autorytetem, wydaje si kim miym i przyjaznym, sprawia wraenie, e zna rnych ludzi w firmie, rzecz, o ktr prosi, jest bardzo pilna, a ofiara zakada, e zdobdzie uznanie lub czyj wdziczno. Oto kilka przykadw atakw na osoby zajmujcych niskie stanowiska w firmie.

213

Stranik przychodzi z pomoc

Socjotechnicy, atakujc takie osoby jak sprztacze czy stranicy, maj nadziej, e trafi na kogo o miym usposobieniu oraz przyjaznym i penym zaufania nastawieniu do ludzi. Ludzie tacy s najbardziej skorzy do pomocy. O to wanie chodzio napastnikowi z poniszej historii.

Oczami Elliota
Czas: 3:26, wtorek rano, luty 1998. Miejsce: zakad produkcyjny Marchand Microsystems, Nashua, New Hampshire. Elliot Staley wiedzia, e nie wolno mu opuszcza dyurki, z wyjtkiem obchodw. By jednak rodek nocy i nie widzia ani jednej podejrzanej osoby, odkd przyszed na zmian. Poza tym i tak zblia si czas obchodu. Ton tego nieszczsnego faceta, ktry zadzwoni, wskazywa, e rzeczywicie potrzebuje pomocy. Czasami dobrze jest co dla kogo zrobi.

Historia Billa
Bill Goodrock mia jasno okrelony cel w yciu. Nie zmieni go, odkd skoczy 12 lat: przej na emerytur w wieku lat 24, nie dotykajc nawet pienidzy z przeznaczonego dla niego funduszu. Chcia pokaza swemu ojcu, wszechmocnemu i surowemu bankierowi, e odniesie sukces bez jego pomocy. Zostay mu ju tylko dwa lata i byo jasne, e w cigu najbliszych 24 miesicy nie dojdzie do fortuny poprzez bycie doskonaym biznesmenem lub rzutkim inwestorem. Raz nawet pomyla o obrabowaniu banku, ale byy to jedynie fantazje bilans zyskw i strat nie wypada tu zbyt korzystnie. Zamiast tego postanowi zrobi to, co kiedy udao si Rifkinowi obrabowa bank elektronicznie. Ostatnim razem, kiedy Bill by z rodzin w Europie, otworzy konto bankowe w Monaco, wpacajc tam 100 frankw. Mia plan, dziki ktremu suma ta moga w szybkim tempie sta si liczb siedmiocyfrow. A przy

214

odrobinie szczcia moe nawet omiocyfrow. Dziewczyna Billa, Annemarie, pracowaa w M&A, duym bostoskim banku. Ktrego dnia, czekajc w banku na jej powrt z przecigajcego si spotkania, uleg ciekawoci i podpi swj laptop do portu sieci Ethernet w sali konferencyjnej, gdzie go usadowiono. Tak! By w ich sieci wewntrznej, podczony do systemu... poza firmowym firewallem. To podsuno mu pewien pomys. Swoim odkryciem podzieli si z koleg z klasy, ktry zna pewn dziewczyn, Juli wietnego informatyka, doktorantk, ktra odbywaa sta w firmie Marchand Microsystems. Julia wydawaa si wietnym rdem istotnych informacji, ktre pozwoliyby im zmieni tosamo. Powiedzieli jej, e pisz scenariusz do filmu. Uwierzya. Pomaganie im w tworzeniu fabuy i podawanie wszelkich detali o tym, w jaki sposb mona przeprowadzi intryg, ktr wymylili, byo dla niej niez zabaw. Sama intryga za bardzo si jej podobaa. Prosia, aby umiecili podzikowanie dla niej w napisach kocowych. Ostrzegli j, e pomysy na scenariusze s bardzo czsto kradzione, i kazali przyrzec, e nikomu o niczym nie opowie. Wyszkolony przez Juli Bill mg sam zaj si ryzykown czci zadania i nie wtpi, e mu si powiedzie. *** Zadzwoniem tam po poudniu i udao mi si dowiedzie, e szef stray na nocnej zmianie nazywa si Isaiah Adams. O 21:30 tego wieczoru zadzwoniem ponownie i rozmawiaem ze stranikiem pilnujcym holu. Miaem nie cierpic zwoki spraw i wydawaem si troch spanikowany: Mam problem z samochodem i nie mog dosta si do firmy powiedziaem. Mam awari komputera i naprawd potrzebuj pana pomocy. Prbowaem dzwoni do szefa stray, Isaiaha, ale nie ma go w domu. Mgby pan co zrobi dla mnie, bybym naprawd wdziczny? Pomieszczenia w budynku byy oznaczone kodami, podaem mu wic kod laboratorium komputerowego i zapytaem, czy wie, gdzie to jest. Powiedzia, e wie, i zgodzi si tam pj. Doda, e dotarcie tam zajmie mu par minut. Powiedziaem wic, e zadzwoni do niego, kiedy ju tam bdzie, tumaczc si, e uywam jedynej dostpnej mi linii i bd prbowa za jej pomoc wej do sieci i rozwiza problem. Gdy zadzwoniem, ju tam czeka. Powiedziaem mu, jak ma szuka konsoli, o ktr mi chodzio. Wisiaa nad ni papierowa wstga z napisem el-

215

mer. By to komputer, na ktrym zgodnie z tym, co powiedziaa Julia tworzono komercyjne wersje systemu operacyjnego oferowanego przez firm. Gdy strowi udao si go odnale, byem ju pewny, e informacje podawane przez Juli nie s zmylone, i troch mi ulyo. Powiedziaem, eby nacisn klawisz Enter kilka razy. Odpowiedzia, e wywietlio si par symboli funta. To oznaczao, e komputer jest zalogowany do sieci z penymi uprawnieniami. Marnie mu szo pisanie na klawiaturze i zdy si spoci, kiedy prbowaem podyktowa mu polecenie, ktre wygldao mniej wicej tak: echo fix:x:0:0::/:/bin/sh >>/etc/passwd W kocu udao mu si to wpisa. Tym samym zaoylimy nowe konto o nazwie fix. Nastpnie poleciem mu wpisa: echo fix::10300:0:0 >>/etc/shadow ustalajc zaszyfrowane haso, ktre podaje si pomidzy podwjnym dwukropkiem. Niepodanie niczego w tym miejscu oznacza, e konto nie bdzie zabezpieczone hasem. Jak wida, za pomoc dwch polece mona zaoy w systemie konto o nazwie fix z pustym hasem. Najlepsze jest jednak to, e konto bdzie miao takie same uprawnienia jak konto administratora. Nastpn rzecz, o ktr poprosiem stranika, byo wprowadzenie polecenia drukujcego dug list nazw plikw. Potem powiedziaem, eby oderwa wydrukowany fragment i zabra go ze sob do strwki, poniewa by moe bd potrzebowa pniej czego z tej kartki. Maestria tej operacji polegaa na tym, e stranik nie mia pojcia, i stworzy nowe konto. Kazaem mu wydrukowa list katalogw i plikw, poniewa musiaem si upewni, e polecenia, ktre wprowadzi, opuszcz pomieszczenie razem z nim. Dziki temu administrator lub operator nic jutro nie zauway i nie wywoa alarmu w zwizku z naruszeniem bezpieczestwa. Miaem teraz konto, haso i pene przywileje. Tu przed pnoc wdzwoniem si do systemu i postpiem zgodnie z instrukcjami, jakie Julia daa nam na potrzeby filmu. Po chwili miaem dostp do jednego z serwerw, ktry zawiera gwn kopi kodu rdowego nowej wersji systemu operacyjnego firmy. Zaadowaem nakadk, ktr napisaa Julia. Z tego, co mwia, mody-

216

fikowaa ona procedur w jednej z bibliotek systemu operacyjnego. Dziki temu utworzone zostay ukryte tylne drzwi umoliwiajce dostp do systemu przy wykorzystaniu sekretnego hasa.

Uwaga
Uyte w tej historii tylne drzwi nie modyfikuj programu logujcego. Ukryte wejcie tworzone jest przez zamian funkcji zawartej w dynamicznych bibliotekach, z ktrej korzysta program logujcy. W typowym ataku intruz czsto zamienia lub zmienia sam program logujcy, ale czujny administrator moe wykry t zmian, porwnujc program z oryginaem, ktry posiada, np. na pycie CD-ROM.

Postpowaem zgodnie z instrukcjami, jakie dla mnie napisaa. Na pocztku zainstalowaem nakadk, nastpnie usunem istniejce konto fix i skasowaem informacje ze wszystkich dziennikw, aby zatrze lady mojej dziaalnoci. Wkrtce firma bdzie dystrybuowaa now aktualizacj systemu do swoich klientw: instytucji finansowych rozsianych po caym wiecie. Kada kopia bdzie wyposaona w tylne drzwi, ktre umieciem w gwnej kopii dystrybucyjnej, zanim zostaa rozesana; umoliwi mi to dostp do systemu komputerowego kadego banku lub biura maklerskiego, ktre zainstalowao aktualizacj.

argon
Aktualizacja (ang. patch) tradycyjnie jest to fragment kodu, ktry po umieszczeniu w skompilowanym pliku programu rozwizuje jaki problem.

Oczywicie nie by to jeszcze koniec zostao mi par rzeczy do zrobienia. Trzeba byo jeszcze uzyska dostp do wewntrznej sieci kadej z instytucji, ktre miaem zamiar odwiedzi. Nastpnie musiaem dowiedzie si, ktry z komputerw jest uywany do przeleww, i zainstalowa programy ledzce, aby dowiedzie si, w jaki sposb dokonuje si tych operacji. Wszystko to mogem zrobi zdalnie, uywajc komputera znajdujcego si w dowolnym miejscu, na przykad takim z widokiem na piaszczyst pla. Zadzwoniem ponownie do stranika, podzikowaem mu za pomoc i powiedziaem, e moe ju wyrzuci wydruk.

217

Analiza oszustwa
Stranik ochrony mia instrukcje dotyczce suby, ale nawet najlepiej przemylana instrukcja nie jest w stanie przewidzie kadej sytuacji. Nikt nie uzmysowi mu, jak szkod moe wyrzdzi, wpisujc par znakw do komputera, ktre podyktowaa mu osoba podajca si za pracownika firmy. Przy wsppracy stranika uzyskanie dostpu do serwera zawierajcego gwn kopi systemu byo stosunkowo proste, niezalenie od faktu, e znajdowa si on za zamknitymi drzwiami laboratorium stranik mia oczywicie klucze do wszystkich drzwi. Nawet najbardziej uczciwego pracownika (w tym przypadku doktorantk i staystk firmy, Juli) mona czasami przekupi lub oszuka, by wyjawi informacj o kluczowym dla socjotechnika znaczeniu, np. gdzie znajduje si interesujcy go system komputerowy oraz (klucz do caego ataku) kiedy ukoczone zostanie nowe uaktualnienie systemu. Byo to bardzo wane dlatego, e tego rodzaju zmiana dokonana zbyt wczenie jest obciona duym ryzykiem wykrycia lub usunicia jej w efekcie odbudowy systemu z innej kopii. By moe zwrcilimy uwag na pewien szczeg: stranik zabra ze sob wydruk, a pniej go wyrzuci. By to istotny element. Napastnik nie chciaby, aby operatorzy systemu, kiedy przyjd na drugi dzie do pracy, odnaleli dowd jego postpku (na drukarce drukujcej wszystkie wydane polecenia lub w koszu na mieci). Podanie stranikowi wiarygodnego powodu, aby zabra wydruk ze sob, pozwolio unikn tego ryzyka.

Uwaga Mitnicka
Jeeli intruz nie ma moliwoci uzyskania fizycznego dostpu do systemu komputerowego lub sieci, bdzie prbowa manipulowa innymi ludmi w taki sposb, aby co za niego zrobili. W przypadkach, gdy bezporedni dostp do komputera jest konieczny, uycie ofiary jako porednika jest nawet lepsze, poniewa napastnik nie naraa si na ryzyko zapania i aresztowania.

218

Nakadka awaryjna
Mona by sdzi, e serwisant komputerowy powinien zdawa sobie spraw z zagroenia, jakie niesie ze sob udzielenie dostpu do komputera osobie z zewntrz. Jeeli osoba ta jest jednak sprytnym socjotechnikiem podajcym si za chtnego do pomocy przedstawiciela producenta oprogramowania, rezultaty mog by nieoczekiwane.

Telefon ratunkowy
Dzwonicy chcia wiedzie, kto zajmuje si komputerami. Telefonistka poczya go z serwisantem, Paulem Ahearnem. Rozmwca przedstawi si: Edward, z SeerWare, producenta waszej bazy danych. Najwyraniej cz naszych klientw nie otrzymaa e-maila o awaryjnej aktualizacji, wic dzwonimy do wybranych w ramach kontroli jakoci i pytamy, czy nie byo problemw z instalacj nakadki. Czy zainstalowa pan ju aktualizacj? Paul powiedzia, e nic nie sysza o aktualizacji. Jest zagroenie nieodwracalnej cakowitej utraty danych, dlatego zalecamy, aby jak najszybciej j pan zainstalowa powiedzia Edward. Paul powiedzia, e oczywicie chciaby to zrobi jak najszybciej. Dobrze odpar rozmwca. Wylemy panu tam lub CDROM z nakadk. Chciaem tylko doda, e sprawa jest naprawd powana dwie firmy utraciy ju dane z kilku dni pracy. Dlatego naprawd powinien pan zainstalowa to tak szybko, jak to tylko moliwe, zanim wam te co takiego si przydarzy. Czy jest moliwo pobrania jej z waszej strony internetowej? zapyta Paul. Wkrtce powinna by; wszyscy serwisanci na razie zajmuj si naprawianiem szkd. Jeeli pan sobie yczy, nasze centrum obsugi klienta zainstaluje to dla pana zdalnie. Moemy si wdzwoni lub dosta do waszego systemu poprzez Telnet. Nie zezwalamy na Telnet, szczeglnie z Internetu to niebezpieczne odpowiedzia Paul. Jeeli moecie uy SSH, bdzie taka moliwo doda, wymieniajc nazw programu do bezpiecznego transferu plikw. Mamy SSH. Jaki jest wasz adres IP? Paul poda adres, a kiedy Edward zapyta, jakiego loginu i hasa moe uywa, otrzyma rwnie i te informacje.

219

Analiza oszustwa
Oczywicie telefon mg rzeczywicie pochodzi od producenta bazy danych. Wtedy jednak opisana historia nie trafiaby do tej ksiki. Wystpujcy tu socjotechnik wpyn na ofiar, budzc w niej strach przed utrat krytycznych danych, po czym zaoferowa natychmiastowe rozwizanie problemu. Kiedy socjotechnik wybiera sobie za cel osob, ktra zna warto informacji, musi posuy si silnymi argumentami i perswazj, aby uzyska zdalny dostp do systemu. Czasami potrzebne jest wprowadzenie elementu pilnoci, aby ofiara rozproszona koniecznoci popiechu podporzdkowaa si, zanim bdzie miaa w ogle szans na przemylenie proby.

Nowa pracownica
Jakie informacje z wntrza firmy mog by obiektem zainteresowania napastnika? Czasami moe to by co, co wydaje si w ogle niewarte ochrony.

Telefon do Sarah
Dzia Kadr, mwi Sarah. Cze Sarah, tu George z parkingu pod budynkiem. Wiesz, e uywamy kart dostpu, aby dosta si na parking i do wind? A wic mamy problem i musimy przeprogramowa karty dla wszystkich osb przyjtych w cigu ostatnich pitnastu dni. A wic potrzebujesz ich nazwisk? I numerw telefonw te. Sprawdz list nowo przyjtych i oddzwoni do ciebie. Jaki masz numer? 73... ale wanie wychodz, mam przerw. To moe ja zadzwoni za p godziny, dobrze? Aha. Dobrze. Kiedy zadzwoni ponownie, powiedziaa: Wic tak, mamy tylko dwoje nowych. Anna Myrtle z Finansw. Jest sekretark. I ten nowy wiceprezes, pan Underwood.

220

 A numery telefonw? Ju... do pana Underwooda 6973, a do Anny Myrtle 2127. Bardzo mi pomoga, dziki.

Telefon do Anny
Finanse. Mwi Anna. Och, ciesz si, e znalazem kogo tak pno. Z tej strony Ron Vittaro. Jestem firmowym wydawc. Chyba nie mielimy okazji by sobie przedstawionymi. Witam now koleank. Dzikuj. Anno, dzwoni z Los Angeles i mam tu duy problem. Musiabym ci zaj dziesi minut. Oczywicie. O co chodzi? Id do gry do mojego pokoju. Wiesz, gdzie jest mj pokj? Nie. Ju ci mwi: pokj na rogu na pitnastym pitrze numer 1502. Zadzwoni tam do ciebie za kilka minut. Kiedy bdziesz w moim pokoju, musisz nacisn przycisk forward na moim telefonie, eby nie wczya si sekretarka, gdy bd telefonowa. Dobrze. Ju id. Dziesi minut pniej bya we wspomnianym pokoju, wyczya sekretark i czekaa na dzwonek telefonu. Ron kaza jej usi przy komputerze i uruchomi Internet Explorera. Kiedy to zrobia, powiedzia, aby wpisaa adres: www.geocities.com/ron_insen/manuscript.doc.exe Gdy pojawio si okno dialogowe, poprosi, by klikna przycisk Otwrz. Komputer zacz pobiera dokument, lecz za chwil ekran sta si czarny. Kiedy powiedziaa, e co tu chyba nie dziaa, odpar: O nie, tylko nie to! Miaem ostatnio problemy z pobieraniem plikw z tej strony, ale mylaem, e to ju naprawili. No nic, trudno, nie martw si. Sprbuj pobra go pniej w jaki inny sposb. Potem poprosi j o zrestartowanie komputera, aby upewni si, e dziaa prawidowo po tym, co si stao. Przeprowadzi j przez etapy ponownego uruchomienia systemu. Kiedy komputer udao si ponownie wczy, podzikowa jej serdecznie i odoy suchawk. Anna wrcia do siebie, aby dokoczy prac.

221

Historia Kurta Dillona

Wydawnictwo Millard-Fenton Publishers byo entuzjastycznie nastawione do nowego autora, z ktrym wanie miao podpisa umow emerytowanego dyrektora jednej z wikszych firm amerykaskich i fascynujcej historii, jak mia do opowiedzenia. Kto poleci mu menedera, ktry pomoe w negocjacjach z wydawnictwem. Meneder ten nie chcia si przyzna, e by zielony w kwestii kontraktw wydawniczych, wic wynaj starego znajomego, by ten pomg mu w zdobyciu potrzebnych informacji. Nie by to jednak zbyt dobry wybr. Rzeczony znajomy, Kurt Dillon, stosowa do nietypowe metody w trakcie swoich bada, nie do koca zgodne z zasadami etyki. Kurt zaoy sobie darmow stron na Geocities na nazwisko Ron Vittaro i umieci tam program monitorujcy. Zmieni nazw pliku z programem na manuscript.doc.exe tak, aby sugerowaa dokument Worda i nie wzbudzaa podejrze. W rzeczywistoci wszystko zadziaao o wiele lepiej, ni Kurt si spodziewa; prawdziwy Vittaro bowiem nigdy nie zmieni jednej z domylnych opcji systemu Windows, ktra powoduje ukrywanie rozszerze dla znanych typw plikw. Dziki temu plik wywietli si jako manuscript.doc. Pniej jego przyjacika zadzwonia do sekretarki Vittaro i zgodnie ze wskazwkami Dillona powiedziaa: Jestem asystentk Paula Spadone, prezesa Ultimate Bookstores z Toronto. Pan Vittaro spotka si z moim szefem jaki czas temu na targach ksiki i prosi go o telefon, eby przedyskutowa pewien projekt, ktrego razem mogliby si podj. Pan Spadone jest czsto w trasie, wic poprosi mnie, bym dowiedziaa si, kiedy bdzie mona zasta pana Vittaro w biurze. Do czasu, gdy udao im si wsplnie ustali jaki termin, przyjacika Kurta zdoaa zdoby wystarczajco duo informacji, by napastnik wiedzia, kiedy pan Vittaro bdzie u siebie, co oznaczao rwnie wiedz o tym, kiedy go nie bdzie. Nie wymagao te jakich specjalnych podchodw uzyskanie informacji, e sekretarka skorzysta z jego nieobecnoci i wybierze si na narty. Przez krtki czas oboje bd wic nieobecni. Doskonale. Pierwszego dnia ich spodziewanej nieobecnoci Kurt wykona dla pewnoci telefon, udajc, e ma piln spraw do pana Vittaro. Recepcjonistka powiedziaa: Pana Vittaro nie ma w biurze. Jego sekretarki rwnie. Nie wrc jutro ani pojutrze. Ju pierwsza prba nakonienia nowego pracownika do postpowania

222

zgodnie z jego planem powioda si. Anna nawet nie mrugna okiem, gdy poprosi j o pobranie manuskryptu, ktry w rzeczywistoci by popularnym i oglnie dostpnym programem monitorujcym zmodyfikowanym w taki sposb, aby nastpowaa cicha instalacja. Dziki tej metodzie program nie zostanie wykryty przez adne oprogramowanie antywirusowe. Z niezrozumiaych powodw producenci oprogramowania antywirusowego nie tworz programw, ktre wykrywayby oglnodostpne programy monitorujce.

argon
Program monitorujcy specjalistyczne oprogramowanie potajemnie monitorujce wydarzenia w ledzonym komputerze. Programy takie uywane s midzy innymi do ledzenia stron odwiedzanych przez kupujcych za porednictwem Internetu, aby publikowane reklamy trafiay w ich zainteresowania. Poza tym moe ono peni rol podsuchu (w tym przypadku podsuchiwany jest komputer). Program taki przechwytuje kad form aktywnoci uytkownika, cznie z wprowadzonymi hasami, nacinitymi klawiszami, poczt elektroniczn, rozmowami na czacie, korzystaniem z bezporednich komunikatorw i wszystkimi odwiedzonymi stronami WWW, a nawet zrzutami ekranu uytkownika. Cicha instalacja metoda instalacji aplikacji w taki sposb, aby uytkownik nie mg zauway, e co takiego miao miejsce.

Natychmiast po tym, jak kobieta cigna program na komputer Rona Vittaro, Kurt wszed na swoj stron w Geocities i podmieni plik manuscript.doc.exe na manuskrypt ksiki, ktry znalaz w Internecie. To na wypadek, gdyby kto wykry podstp i wrci na jego stron, aby doj, co waciwie zaszo znalazby wwczas jedynie niewinny, amatorski i nie nadajcy si do publikacji manuskrypt. Po zainstalowaniu programu i ponownym uruchomieniu komputera monitoring zosta od razu uaktywniony. Ron Vittaro wrci do biura za par dni, zacznie uywa komputera, a program bdzie przekazywa wszystkie nacinite przez niego klawisze, wychodzc poczt i zrzuty ekranu pokazujce tre wywietlanych na monitorze dokumentw. Wszystkie te informacje bd przesyane w regularnych odstpach czasu na darmowy serwer e-mail na Ukrainie. W czasie kilku dni po przybyciu Rona Vittaro, Kurt przedziera si przez dzienniki, zbierajce si w ukraiskiej skrzynce pocztowej, i wkrtce odnalaz poufne e-maile, w ktrych omawiano, jak daleko wydawnictwo Millard-

223

Fenton Publishing moe si posun w negocjacjach z autorem. Wyposaony w t wiedz agent autora bdzie w stanie wynegocjowa o wiele lepsze warunki ni zaoferowane na pocztku, bez ryzyka utraty kontraktu. Wizao si to oczywicie z wysz prowizj dla agenta.

Analiza oszustwa
W tej intrydze napastnik odnis sukces gwnie dziki wykorzystaniu nowego pracownika w roli porednika, liczc na jego wiksz ch pomocy i pokazania si jako dobry wsppracownik, a w mniejszym stopniu dziki posiadanej wiedzy o firmie, jej strukturze i stosowanych praktykach bezpieczestwa, ktre mogyby udaremni atak. Kurt, rozmawiajc z Ann z dziau finansowego, udawa wiceprezesa i wiedzia, e w zwizku z tym jest mao prawdopodobne, i bdzie ona kwestionowaa jego tosamo. Co wicej, moga j cieszy myl, e pomagajc wiceprezesowi, zyska jego uznanie. Cay proces instalacji oprogramowania monitorujcego, przez ktry zostaa przeprowadzona Anna, wyglda z pozoru niewinnie. Nie miaa pojcia, e czynnoci, ktre wykonuje, pomagaj napastnikowi w uzyskaniu wartociowych informacji, ktre mog zosta wykorzystane wbrew interesom przedsibiorstwa. Dlaczego zdecydowa si przekazywa informacje z komputera wiceprezesa na konto e-mail na Ukrainie? Odlegy punkt zrzutu z kilku powodw utrudnia podjcie czynnoci skierowanych przeciwko napastnikowi. Tego typu przestpstwa zwykle nie maj wysokiego priorytetu w krajach takich jak Ukraina, gdzie Milicja czsto nie traktuje przestpstw dokonanych poprzez Internet zbyt powanie. Z tego wzgldu umieszczenie punktu zrzutu kraju, ktry raczej nie bdzie wsppracowa z amerykaskim wymiarem sprawiedliwoci, jest uyteczn strategi.

Jak zapobiega?
Socjotechnik zawsze bdzie wola zaatakowa pracownika, u ktrego proby napastnika raczej nie wzbudz podejrze. Nie tylko uatwia mu to prac, ale naraa go na mniejsze ryzyko co potwierdzaj opisane w tym rozdziale historie.

224

Uwaga Mitnicka
Proba o przysug skierowana do wsppracownika lub podwadnego, to rzecz normalna. Socjotechnik wie, jak wykorzysta nasz naturaln gotowo do pomocy i wsppracy. Napastnik, manipulujc t pozytywn ludzk cech, skania nas do wykonywania czynnoci, ktre przybliaj go do celu. Bardzo istotne jest zrozumienie tej prostej zasady pozwala to uodporni si na tego typu manipulacj.

Wykorzystywanie nieostronoci
Ju wczeniej podkrelaem konieczno wyszkolenia pracownikw w taki sposb, aby nigdy nie dali si przekona obcemu czowiekowi proszcemu o przysug. Wszyscy pracownicy musz te zda sobie spraw z niebezpieczestwa, jakie wie si z wykonywaniem na prob obcego czynnoci na komputerze innej osoby. Powinno by to zabronione, chyba e zwierzchnik w drodze wyjtku wyrazi na to zgod. Wyjtki te mog dotyczy nastpujcych sytuacji: Proba o pomoc pochodzi ze strony osoby, ktr znamy i ktra poprosi nas o to osobicie lub jednoznacznie rozpoznajemy jej gos przez telefon. Po pozytywnej weryfikacji tosamoci proszcego przy zastosowaniu zaaprobowanych procedur. Kiedy proba zostaa potwierdzona przez zwierzchnika lub inn osob na odpowiednim stanowisku, ktra osobicie zna proszcego nas o przysug.

Szkolenie pracownikw musi uczy odmawiania pomocy ludziom nie znanym osobicie, nawet wwczas, gdy osoba proszca podaje si za kogo z kadry zarzdzajcej. Z chwil wprowadzenia procedur weryfikacyjnych kierownictwo musi zacz wspiera pracownikw w stosowaniu si do tych procedur, nawet, jeeli oznacza to odmow pomocy czonkowi kadry zarzdzajcej w chwili, kiedy prbuje on obej procedury bezpieczestwa. Kada firma powinna posiada rwnie procedury, zgodnie z ktrymi pracownicy postpuj w odpowiedzi na proby o wykonanie czynnoci na komputerze lub podobnym sprzcie. W historii o wydawnictwie socjotech-

225

nik wybra sobie za cel nowego pracownika, ktry nie zosta przeszkolony w procedurach i praktykach zwizanych z bezpieczestwem informacji. Aby zapobiec tego typu atakom, kady pracownik, zarwno nowy, jak i ze sporym staem, musi trzyma si prostej zasady: nie wykonuj na komputerze adnych czynnoci na prob nieznajomej osoby. Kropka. Naley pamita, e kady pracownik, ktry dysponuje fizycznym lub elektronicznym dostpem do komputera lub urzdzenia podobnego typu, jest naraony na manipulacj ze strony napastnika namawiajcego go do wykonania pewnych czynnoci. Pracownicy, a w szczeglnoci personel informatyczny, musz zda sobie spraw z tego, e umoliwienie osobie z zewntrz dostpu do sieci firmy to jak podawanie numeru konta firmie telemarketingowej lub numeru karty kredytowej obcej osobie, ktra akurat siedzi w wizieniu. Pracownicy musz zwraca szczegln uwag na to, czy spenienie danej proby moe prowadzi do udostpnienia poufnych informacji lub uatwia wamanie si do systemu komputerowego firmy. Informatycy musz uwaa na nieznajomych rozmwcw podajcych si za przedstawicieli producenta oprogramowania. Firma powinna zastanowi si nad wyznaczeniem ludzi do kontaktw z kadym z takich przedstawicieli z jednoczesnym zastrzeeniem, e inni pracownicy nie mog spenia prb przedstawiciela o informacje na temat stosowanych technologii lub o wprowadzenie zmian w jakimkolwiek sprzcie komputerowym lub telefonicznym. W ten sposb wyznaczeni ludzie zapoznaj si z personelem producenta, ktry dzwoni lub odwiedza firm, i w mniejszym stopniu s naraeni na ataki oszustw. Jeeli dzwoni przedstawiciel producenta, z ktrym firma nie ma podpisanej adnej umowy serwisowej, powinno to rwnie wzbudzi podejrzenia. Kady czonek organizacji musi by wiadomy zagroe bezpieczestwa informacji. Naley pamita, e pracownicy ochrony oprcz normalnego szkolenia z zakresu bezpieczestwa musz zosta wyszkoleni rwnie w zakresie bezpieczestwa informacji. Poniewa ludzie ci czsto maj fizyczny dostp do wszystkich pomieszcze w firmie, musz by w stanie rozpozna typy atakw socjotechnicznych, jakie mog by podjte przeciwko nim. Uwaga na programy monitorujce Komercyjne programy monitorujce byy z pocztku uywane przez rodzicw, chccych sprawdza swoje dzieci surfujce po Internecie, oraz pracodawcw, ktrzy kontrolowali swoich pracownikw, czy buszuj w Internecie zamiast pracowa. Bardziej powanym ich zastosowaniem byo wykry-

226

wanie potencjalnych zodziei informacji lub szpiegw przemysowych. Producenci reklamuj swoje programy monitorujce jako narzdzia pomagajce chroni dzieci, kiedy w rzeczywistoci kupujcymi s ci, ktrzy pragn kogo szpiegowa. Obecnie sprzeda programw monitorujcych napdzana jest gwnie pragnieniem przekonania si, czy maonek lub partner nas nie zdradza. Zanim zaczem na potrzeby tej ksiki pisa histori o programie monitorujcym, osoba, ktra odbiera dla mnie e-maile (ja mam zakaz korzystania z Internetu), natrafia na list zawierajcy reklam produktw monitorujcych. Jeden z nich opisywano w nastpujcy sposb: Nasz faworyt! Musisz go mie. Program monitorujcy, ktry w ukryty sposb przechwytuje wszystkie nacinite klawisze, czas otwarcia i tytu kadego aktywnego okna wprost do pliku tekstowego, pracujc niezauwaony w tle. Pliki tekstowe mog by szyfrowane i automatycznie wysyane na podany adres e-mail lub po prostu zapisywane na dysku twardym. Dostp do programu jest chroniony hasem i mona go ukry tak, aby by niewidoczny nawet w menu CTRL+ALT+DEL. Dziki niemu mona monitorowa wprowadzane adresy URL, sesje czata, korespondencj elektroniczn i inne rzeczy (w tym hasa;-)) Zainstaluj go na DOWOLNYM komputerze PC i przesyaj sobie logi!!! Inny program oferowany w tym samym e-mailu zapewnia przechwytywanie zrzutw ekranu uytkownika, tak jakby za jego plecami bya umieszczona kamera. Niektre z tych produktw nie wymagaj nawet fizycznego dostpu do komputera ofiary. Wystarczy zainstalowa i skonfigurowa aplikacj zdalnie, by otrzyma od razu komputerowy podsuch. FBI musi uwielbia t technologi. W sytuacji, gdy programy monitorujce s oglnie dostpne, firma musi ustanowi dwa poziomy ochrony. Po pierwsze, naley zainstalowa oprogramowanie wykrywajce programy monitorujce, np. SpyCop (dostpny pod adresem www.spycop.com) na wszystkich komputerach i wymaga od pracownikw periodycznego skanowania systemu. Oprcz tego naley wyszkoli pracownikw, aby wystrzegali si manipulatorw prbujcych nakoni ich do pobrania programu lub otwarcia zacznika poczty, ktry mgby zainstalowa program monitorujcy.

227

Dodatkowo, aby unikn zainstalowania programu monitorujcego w czasie chwilowej nieobecnoci pracownika przy biurku, mona wprowadzi obowizek zabezpieczania komputerw wygaszaczami ekranu z hasem lub jak podobn metod zmniejszy to znacznie ryzyko, e nieuprawniona osoba uzyska dostp do komputera ktrego z pracownikw. W ten sposb intruz, ktremu udaoby si wlizgn do pokoju nieobecnego pracownika, nie bdzie mia dostpu do jego plikw i poczty ani moliwoci instalacji programu monitorujcego. Ustawienie hasa na wygaszaczu ekranu nie wymaga adnych nakadw, a zysk polegajcy na ochronie komputerw moe by znaczny. Bilans zyskw i strat w tej sytuacji powinien by oczywisty.

Luka w oprogramowaniu antywirusowym

Oprogramowanie antywirusowe nie wykrywa oglnie dostpnych programw monitorujcych, nie traktujc ich jako niebezpieczne nawet wtedy, gdy uywane s w celu szpiegowania innych ludzi. Tak wic nad komputerowym odpowiednikiem podsuchu przechodzi si do porzdku dziennego. W ten sposb kady z nas jest w kadej chwili zagroony inwigilacj. Oczywicie producenci programw antywirusowych bd twierdzi, e programy monitorujce mog by uywane legalnie i w zwizku z tym nie naley ich traktowa tak samo jak wirusw. Z drugiej strony jednak podobne narzdzia stworzone i uywane wczeniej przez spoeczno hakerw, a pniej udostpnione ogowi jako darmowe lub patne s dalej traktowane jako niebezpieczne. Jest tu pewna niekonsekwencja i zastanawiam si nad jej przyczynami...

13
Wyrafinowane intrygi
Wiemy ju, e kiedy obca osoba dzwoni z prob o udzielenie poufnej informacji lub prosi o co, co moe mie warto dla napastnika, odbierajcy telefon musi by tak przeszkolony, aby zapyta o namiary rozmwcy i oddzwoni do niego w celu weryfikacji, czy rzeczywicie jest tym, za kogo si podaje, np. pracownikiem firmy, pracownikiem firmy wsppracujcej lub serwisantem jednego z dostawcw. Take wtedy, gdy firma wprowadzi procedury szczegowej weryfikacji dzwonicych, wyrafinowani napastnicy bd wci mieli w zanadrzu wiele sposobw na oszukanie swych ofiar i upewnienie ich co do swej tosamoci. Nawet wiadomy niebezpieczestw pracownik moe pa ofiar opisanych poniej metod.

229

Mylca identyfikacja
Kady, kto mia do czynienia z telefonem komrkowym, spotka si z funkcj zwan identyfikacj rozmw przychodzcych na wywietlaczu telefonu ukazuje si numer telefonu osoby, ktra do nas dzwoni. Dla firmy jest to do uyteczna funkcja umoliwia ona pracownikowi natychmiastow orientacj, czy dany telefon pochodzi od wsppracownika z firmy, czy od osoby z zewntrz. Wiele lat temu paru ambitnych phreakerw zaczo si zastanawia nad moliwociami takiej identyfikacji, jeszcze zanim firmy telekomunikacyjne dostay pozwolenie na oferowanie tej usugi dla ogu swoich klientw. Dobr zabaw byo robienie dzwonicym kawaw, polegajcych na zwracaniu si do nich po imieniu, zanim ci zdyli cokolwiek powiedzie. Zamy, e uznajemy opisywan usug za bezpieczny sposb identyfikacji i wprowadzamy praktyki oparte na zaufaniu temu, co pojawi si na wywietlaczu. Wanie na to moe liczy napastnik.

Telefon do Lindy
Czas: wtorek, 23 lipca, 15:12. Miejsce: biuro w dziale finansw firmy Starbeat Aviation. Telefon Lindy Hill zadzwoni w czasie, gdy pisaa notatk dla szefa. Spojrzaa na wywietlacz, ktry pokazywa, e dzwoni Victor Martin z gwnej siedziby firmy w Nowym Jorku nazwisko to nic jej jednak nie mwio. Przez chwil chciaa nie odbiera i pozwoli, aby wczya si poczta gosowa. Nie chciaa przerywa toku myli zwizanego z pisaniem. W kocu jednak ciekawo wzia gr i Linda odebraa telefon. Rozmwca przedstawi si, po czym powiedzia, e dzwoni z dziau Public Relations i e pracuje nad jakim materiaem dla prezesa. Prezes wanie leci do Bostonu na spotkanie z naszymi bankierami i potrzebuje danych finansowych z ostatniego kwartau powiedzia. Jeszcze jedno. Prezes potrzebuje te prognoz finansowych co do projektu Apache doda Victor, uywajc roboczej nazwy produktu, ktrego premiera planowana bya na wiosn. Poprosia o jego adres e-mail, ale on powiedzia, e ma problem z odbiera-

230

niem poczty, nad ktrym wanie pracuje serwisant, i czy mogaby w zwizku tym przesa materiay faksem. Powiedziaa, e owszem, wic poda jej wewntrzny numer faksu. Par minut pniej wysaa materiay. Victor nie pracowa jednak w dziale Public Relations. Nie by nawet pracownikiem firmy.

Historia Jacka
Jack Dawkins ju w modym wieku rozpocz swoj karier zawodow. Jako zodziej kieszonkowy dziaa podczas meczw na stadionie Yankee Stadium, w zatoczonych korytarzach metra i w wieczornym tumie turystw na Time Square. By tak zwinny i sprytny, e potrafi zdj zegarek z czyjej rki i pozosta niezauwaonym. Gdy mia kilkanacie lat i troch podrs, jego sprawno si pogorszya i w kocu zosta zapany. W zakadzie karnym pozna jednak nowy fach, z ktrym wizao si o wiele mniejsze ryzyko wpadki. Najnowsze zlecenie polegao na zdobyciu kwartalnego bilansu zyskw i strat oraz informacji o pynnoci finansowej pewnej firmy, przed ich przekazaniem Komisji Papierw Wartociowych. Jego klient by dentyst, ktry nie chcia wyjawi, do czego potrzebne mu s te informacje. Jacka rozbawiaa ta przesadna ostrono. Zna to na pami facet najwyraniej mia problemy z hazardem albo wymagajc finansowo kochank, ktrej jego ona nie miaa jeszcze okazji pozna. A moe po prostu chcia popisa si przed on swoimi talentami do inwestowania na giedzie i straci pokan sum pienidzy, a teraz chcia postawi duo, ale za to na pewnego konia, wiedzc, co si stanie z cen akcji po ogoszeniu wynikw kwartalnych. Ludzie bywaj zaskoczeni, widzc, w jak szybkim czasie zmylny socjotechnik potrafi znale wyjcie z sytuacji, z ktr nigdy wczeniej si nie spotka. Nim Jack zdy wrci ze spotkania z dentyst, w jego gowie zdy powsta plan. Jego przyjaciel, Charles Bates, pracowa w firmie Panda Importing, ktra miaa wasn central telefoniczn. Centrala bya podczona do cyfrowej usugi, zwanej T1, skonfigurowanej jako interfejs gwny (PRI) sieci ISDN. Oznaczao to, e kademu telefonowi wykonanemu z siedziby firmy Panda towarzyszyo przesanie do centrali firmy, poprzez kana danych, ustawie i innych informacji zwizanych z rozmow. Informacje zawieray numer osoby dzwonicej, ktry (o ile nie by zablokowany) by przesyany do osoby odbierajcej telefon.

231

Przyjaciel Jacka wiedzia, jak zaprogramowa central, aby osoba po drugiej stronie nie widziaa numeru jednego z telefonw w biurze firmy Panda, tylko inny numer taki jaki zostanie zaprogramowany. Trik ten dziaa, poniewa lokalne firmy telekomunikacyjne nie sprawdzaj, czy wywietlajce si numery zgadzaj si z numerami, za ktre opacane s rachunki telefoniczne. Jack Dawkins potrzebowa wic jedynie dostpu do tego rodzaju usugi. Na szczcie jego przyjaciel, i od czasu do czasu wsplnik w przestpstwie, Charles Bates, zawsze chtnie udziela pomocy za sta stawk. Na t okazj Jack i Charles tymczasowo przeprogramowali central firmy tak, aby rozmowy z jednej z linii na terenie firmy wywietlay wewntrzny numer Victora Martina, sprawiajc, e telefon wydawa si pochodzi ze Starbeat Aviation. Numer pojawiajcy si na wywietlaczu rzadko jest kwestionowany, dlatego e mao osb zdaje sobie spraw z moliwoci jego zmiany. W tym przypadku Linda bez zastanowienia wysaa faks z informacjami do czowieka, ktry, jak sdzia, by z dziau Public Relations. Kiedy Jack odoy suchawk, Charles przeprogramowa central na poprzednie ustawienia.

Analiza oszustwa
Niektre firmy nie chc, aby klienci lub dostawcy znali numery telefonw pracownikw. Na przykad Ford mg podj decyzj, e telefony wykonane z centrum obsugi klienta bd wywietlay numer 0-800 do centrum i nazw, np. Ford obsuga klienta, zamiast rzeczywistego bezporedniego numeru konsultanta, ktry dzwoni. Microsoft moe pozostawi swoim pracownikom moliwo podawania numeru do siebie, jednoczenie wyczajc wywietlanie numeru u rozmwcy, aby ten nie mg pozna numeru wewntrznego. W ten sposb firma zachowuje poufno swoich numerw wewntrznych. Ta sama moliwo przeprogramowywania wywietlanych numerw jest narzdziem w rkach dowcipnisiw, telemarketerw i oczywicie socjotechnikw.

232

Telefon od samego prezydenta

Wspprowadzc audycj Ciemna Strona Internetu w KFI Talk Radio w Los Angeles, pracowaem dla dyrektora programowego, Davida, ktry by najbardziej zaangaowan w swoj prac osob, jak znam. By tak zajty, e praktycznie nieosigalny pod telefonem. Nalea do tych ludzi, ktrzy nie odbieraj telefonu, chyba e wywietli si na nim numer osoby, z ktr akurat chc porozmawia. Kiedy dzwoniem do niego z rnych telefonw (mam zablokowane rozmowy wychodzce we wasnej komrce), nie odbiera i wczaa si poczta gosowa. Stao si to dla mnie bardzo frustrujce. Rozmawiaem na ten temat ze starym przyjacielem, ktry jest wspzaoycielem firmy dziaajcej w brany nieruchomoci wynajmuje powierzchni biurow firmom. Razem wpadlimy na pewien plan. On mia dostp do centrali swojej firmy, Meridan, i mg na niej programowa numer osoby dzwonicej w taki sposb, jak ju wczeniej to opisano. Gdy musiaem pilnie skontaktowa si z dyrektorem programowym i nie mogem si do niego dodzwoni, prosiem przyjaciela o zaprogramowanie wybranego przeze mnie numeru jako mojej identyfikacji rozmwcy. Czasami podawaem numer asystenta z biura Davida, a innym razem numer firmy holdingowej, ktra jest wacicielem stacji radiowej. Moj ulubion sztuczk byo jednak zaprogramowanie domowego numeru telefonu Davida, ktry zawsze odbiera. Mimo wszystko, bardzo go ceni. Zawsze wykazywa si poczuciem humoru, kiedy odbierajc telefon, odkrywa, e znowu da si nabra. Najlepsze byo jednak to, e mogem z nim wtedy duej porozmawia, a on stara si rozwiza moje problemy. Kiedy demonstrowaem ten trik w programie Art Bell Show, zmieniem moj identyfikacj tak, aby wywietlaa si nazwa i numer siedziby FBI w Los Angeles. Art by tym do zszokowany i skarci mnie, e to co robi, jest nielegalne. Odparem, e jest to cakowicie legalne, o ile nie zamierzamy popeni oszustwa. Po programie otrzymaem kilkaset e-maili z pytaniami, jak to zrobiem. Teraz ju wiecie, jak. Dla socjotechnika jest to wietne narzdzie do budowania zaufania. Jeeli na przykad na etapie rozpoznania przed atakiem socjotechnicznym okae si, e ofiara posiada identyfikacj rozmwcy i korzysta z niej, napastnik moe zmieni swj numer na numer zaufanej firmy lub pracownika. Zodziej nalenoci (ang. bill collector) moe sprawi, e jego identyfikator bdzie wskazywa np. na urzd skarbowy.

233

argon
Zodziej nalenoci oszust starajcy si dotrze do osb, ktre maj przeterminowane nalenoci wzgldem rnych instytucji lub firm, poda si za przedstawiciela wierzyciela i prbowa przej nalene pienidze.

Zastanwmy si jednak nad implikacjami. Intruz moe zadzwoni do nas do domu, podajc si za informatyka pracujcego w naszej firmie. Dzwonicy pilnie musi zna haso, by przywrci nasze pliki po awarii serwera. Albo wywietla nam si numer naszego banku lub biura maklerskiego dziewczyna o miym gosie prosi tylko o weryfikacj naszego numeru konta i nazwiska panieskiego matki. Dla pewnoci prosi jeszcze o weryfikacj PIN, z powodu jakich problemw z systemem. Wystarczy wykona telefon z giedy papierw wartociowych, aby wydawao si, e rozmwca dzwoni z Citybanku lub z Merril Lynch. Kto, kto poluje na nasze dane osobowe, moe np. zadzwoni z naszego banku i przekona nas do podania numeru karty kredytowej. Osoba planujca na nas zemst moe poda si za inspektora z urzdu skarbowego lub policjanta. Posiadajc dostp do systemu telefonicznego podczonego do PRI oraz odrobin wiedzy na temat jego programowania, ktr da si zapewne zdoby za pomoc strony internetowej dostawcy systemu, mona pata znajomym rne figle. Moe znamy kogo z nadmiernymi aspiracjami politycznymi? Wystarczy zaprogramowa numer 202 456-1414, a identyfikacja rozmwcy spowoduje wywietlenie napisu BIAY DOM. Nasz znajomy pomyli, e dzwoni do niego sam prezydent! Mora z historii jest prosty: nie naley wierzy temu, co wywietla si w naszym telefonie, chyba e dotyczy to numerw wewntrznych. Zarwno w domu, jak i w pracy kady z nas musi zdawa sobie spraw z takiej moliwoci i wiedzie, e identyfikacja rozmwcy nigdy nie moe by uywana do weryfikacji tosamoci dzwonicego.

Niewidzialny pracownik
Shirley Cutlass odkrya nowy fascynujcy sposb zarabiania pienidzy. Koniec spdzania dugich godzin w biurze. Doczya do setek oszustw odpowiedzialnych za najwiksz fal przestpstw dziesiciolecia. Zostaa zodziejem tosamoci.

234

Dzisiaj zamierzaa uzyska poufne informacje z dziau obsugi klienta pewnego banku. Po zebraniu wstpnych informacji zadzwonia i powiedziaa do osoby w centrali, e prosi o poczenie z dziaem telekomunikacyjnym. Po poczeniu si z danym dziaem poprosia do telefonu administratora poczty gosowej. Korzystajc ze zdobytych wczeniej informacji, wyjania, e nazywa si Norma Todd i pracuje w biurze w Cleveland. Stosujc znany ju nam podstp, powiedziaa, e wybiera si do siedziby firmy na tydzie i bdzie potrzebowaa skrzynki w systemie poczty gosowej, aby nie musiaa odsuchiwa jej poprzez poczenia zamiejscowe. Powiedziaa, e nie chce fizycznego poczenia, tylko sam skrzynk. Administrator powiedzia, e si tym zajmie i zadzwoni, kiedy wszystko bdzie gotowe, by poda jej potrzebne informacje. Jestem w drodze na spotkanie, mog sama oddzwoni za godzin? zapytaa uwodzicielskim gosem. Gdy ponownie zadzwonia, wszystko byo ju zaatwione i otrzymaa stosowne informacje: numer wewntrzny i tymczasowe haso. Administrator zapyta, czy wie, jak zmieni haso w poczcie gosowej. Pozwolia si przeprowadzi przez kolejne kroki, mimo e znaa je co najmniej tak dobrze jak on. A przy okazji zapytaa na jaki numer mam dzwoni z hotelu, by odsucha wiadomoci? Administrator poda jej numer. Shirley zadzwonia, zmienia haso i nagraa now wiadomo powitaln.

Shirley atakuje
atwiejsz cz zadania miaa ju za sob. Teraz przyszed czas na uycie sztuki manipulacji. Zadzwonia do firmowego dziau obsugi klienta. Dzwoni z windykacji z biura w Cleveland powiedziaa, po czym zastosowaa jeden z wariantw znanego triku. Mj komputer jest w naprawie i potrzebowaabym pomocy w znalezieniu pewnej informacji. Podyktowaa nazwisko i dat urodzenia osoby, ktrej tosamo miaa zamiar ukra. Nastpnie wymienia informacje, ktrych potrzebuje: adres, nazwisko panieskie matki, numer karty kredytowej, limit kredytu, saldo dostpne i histori patnoci.

235

 Prosz oddzwoni do mnie na ten numer powiedziaa, podajc wewntrzny numer, ktry ustawi dla niej administrator poczty gosowej. I jeeli bd poza zasigiem, prosz zostawi te informacje w poczcie gosowej. Reszt poranka spdzia na zaatwianiu rnych spraw, by wreszcie po poudniu tego samego dnia sprawdzi skrzynk. Wszystko, o co prosia, byo nagrane. Przed odoeniem suchawki Shirley usuna nagrane powitanie. Zostawienie po sobie nagrania z wasnym gosem nie byoby szczytem ostronoci. Kradzie tosamoci staje si coraz bardziej powszechnym przestpstwem w Ameryce, zbrodni XXI wieku. Shirley, majc te informacje, moe zrobi zakupy na koszt swojej ofiary.

Analiza oszustwa
W tej intrydze napastniczka najpierw oszukaa administratora poczty gosowej, podajc si za pracownic firmy i proszc o zaoenie tymczasowej skrzynki poczty gosowej. Jeeli pokusiby si on o sprawdzenie jej wiarygodnoci, okazaoby si, e nazwisko i numer telefonu, ktry podaa, figuruj na licie pracownikw firmy. Reszta polegaa jedynie na podaniu wiarygodnej przyczyny kopotw z komputerem, proby o podane informacje i o ich nagranie. Dlaczego pracownik miaby nie udzieli takiej informacji innemu pracownikowi? Numer telefonu, ktry podaa, by numerem wewntrznym, wic nie byo powodu do podejrze.

Uwaga Mitnicka
Dzwomy od czasu do czasu na swoj wasn poczt gosow. Jeeli syszymy powitanie nagrane przez obc osob, by moe jest to nasze pierwsze spotkanie z socjotechnikiem.

Pomocna sekretarka
Robert Jordan by crackerem i regularnie wamywa si do sieci komputerowej globalnej korporacji Rudolfo Shipping, Inc. W firmie w kocu zdano sobie spraw, e kto wamuje si do serwera i stamtd uzyskuje dostp

236

do wszystkich systemw komputerowych. Aby zabezpieczy swoj sie, firma zdecydowaa si wprowadzi haso dla poczenia dial-up z kadym serwerem. Robert zadzwoni do Centrum Zarzdzania Sieci, udajc adwokata z dziau prawnego i powiedzia, e ma problemy z poczeniem si z systemem. Administrator, na ktrego trafi, wyjani, e z przyczyn bezpieczestwa wszyscy uytkownicy, ktrzy korzystaj z poczenia dial-up, musz uzyska haso na dany miesic od swojego szefa. Robert zastanawia si, w jaki sposb hasa s przekazywane szefom lub jak mogli je uzyska. Okazao si, e haso na nadchodzcy miesic byo przesyane jako notatka w poczcie wewntrzfirmowej do kadego z kierownikw. To uatwio spraw. Robert zrobi may wywiad, zadzwoni do firmy tu po pierwszym dniu miesica i poczy si z sekretark jednego z dziaw, ktra przedstawia si jako Janet. Cze, Janet, tu Randy Goldstein z dziau badawczo-rozwojowego. Wiem, e dostaem notk z hasem na ten miesic do wdzwaniania si spoza firmy, ale nigdzie nie mog jej znale. Dostaa ju moe t notk? Powiedziaa, e dostaa. Zapyta j, czy nie przesaaby mu jej faksem. Zgodzia si. Poda numer faksu do recepcjonistki w holu innego budynku campusu firmy, gdzie wczeniej ju poprosi o odebranie wiadomoci dla niego, by nastpnie przekaza go dalej. Tym razem Robert skorzysta z innej metody przekierowywania faksw. Poda recepcjonistce numer, ktry prowadzi do internetowej usugi odbierajcej faksy. Kiedy usuga ta odbierze faks, jest on automatycznie przekazywany na adres pocztowy subskrybenta. Nowe haso dotaro do zaaranowanego przez Roberta punktu zrzutu darmowego konta e-mail w Chinach. By pewny, e jeli faks zostanie kiedykolwiek wyledzony, prowadzcy spraw bdzie rwa sobie wosy z gowy przy prbie nawizania wsppracy z wadzami chiskimi, ktre niechtnie pomagaj w tego typu sprawach. Najlepsze byo jednak to, e nie musia pokazywa si osobicie w adnym z miejsc, gdzie mona odbiera faksy.

Uwaga Mitnicka
Dobry socjotechnik wykazuje wiele sprytu, wpywajc na innych ludzi w celu nakonienia ich do wywiadczenia mu przysugi. Odebranie faksu i przesanie go dalej wydaje si tak nieszkodliw czynnoci, e namwienie do tego recepcjonistki jest niezwykle atwe. Kiedy obca osoba prosi nas o przysug zwizan z przekazaniem jakiej informacji, a nie mamy moliwoci jej identyfikacji, wystarczy po prostu odmwi.

237

Mandat
Chyba kady, kto dosta kiedy mandat za przekroczenie szybkoci, na pewno zastanawia si, co by tu zrobi, eby problem przesta istnie. Ale nie poprzez zapacenie ustalonej kwoty lub prb przekonania sdu, e radar policyjny nie mia homologacji. Najlepiej, gdyby dao si jako przechytrzy system.

Oszustwo
Mimo e nie polecam takich metod radzenia sobie z mandatami (wszystko co robisz, robisz na wasn odpowiedzialno), to jest to dobry przykad na pokazanie, jak oszustwo staje si narzdziem w rkach socjotechnika. Naszego pirata drogowego moemy nazwa Paul Durea.

Pierwsze kroki
Policja, komenda w Hollenbeck. Dzie dobry, chciabym rozmawia z kim, kto zajmuje si sprawami wiadczenia w rozprawach sdowych. Ja si tym zajmuj. Dobrze. Mwi John Leland, jestem prawnikiem z firmy Meecham and Talbott. Chciabym wezwa na wiadka jednego z waszych ludzi. Ktrego? Czy w waszej komendzie pracuje Kendall? Jaki jest jego numer? 21349. Tak. Na kiedy go pan potrzebuje? Na przyszy miesic, ale wci jeszcze musz wezwa paru innych wiadkw w tej sprawie i dopiero potem ustali kolejny termin. Czy w przyszym miesicu pan Kendall bdzie w ktre dni nieobecny? Zobaczmy... Ma urlop od dwudziestego do dwudziestego trzeciego i szkolenie od smego do szesnastego. Dzikuj. Na razie to wszystko. Zadzwoni, kiedy data rozprawy bdzie ju ustalona.

238

Biuro sdu okrgowego

Paul: Chciabym ustali termin rozprawy w zwizku z tym mandatem. Urzdnik: Dobrze. Mog zaproponowa 26. przyszego miesica. Chciabym si te umwi na wstpne przesuchanie. Chce pan wstpnego przesuchania w sprawie mandatu? Tak. No dobrze. Moemy ustali dat przesuchania na jutro rano lub po poudniu. Kiedy pan woli? Po poudniu. Przesuchanie jutro o 13:30, sala rozpraw numer 6. Dzikuj. Bd na pewno.

Sd okrgowy, sala rozpraw nr 6

Czas: wtorek 13:45. Protokolantka: Panie Durea, prosz przyj na miejsce dla wiadka. Sdzia: Panie Durea, czy zosta pan ju pouczony o swoich prawach? Paul: Tak, wysoki sdzie. Sdzia: Czy chce pan skorzysta z moliwoci odbycia szkolenia w zakresie ruchu drogowego? Paska sprawa bdzie oddalona po ukoczeniu omiogodzinnego kursu. Sprawdziem paskie akta i jest taka moliwo. Paul: Nie, Wysoki Sdzie. Z caym szacunkiem prosz, aby odbya si rozprawa. Jeszcze jedna proba, Wysoki Sdzie, cay czas podruj po kraju, ale bd na miejscu smego i dziewitego. Czy byaby moliwo ustalenia daty mojej rozprawy na ktry z tych dni? Jutro wylatuj w podr subow do Europy i wracam za cztery tygodnie. Sdzia: Dobrze. W takim razie ustalamy dat rozprawy na 8 czerwca, na godzin 8:30. Sala rozpraw nr 4. Paul: Dzikuj, Wysoki Sdzie.

239

Sd okrgowy, sala rozpraw nr 4

Paul dotar do sdu wczeniej, o 8:00. Kiedy pojawi si sdzia, protokolantka daa mu list spraw, na ktre nie dotarli wiadkowie z policji. Sdzia wezwa obrocw, w tym adwokata Paula, i oznajmi im, e ich sprawy s oddalone.

Analiza oszustwa
Kiedy policjant wystawia mandat, podpisuje go swoim nazwiskiem i numerem odznaki. Odnalezienie posterunku, w ktrym pracuje, jest proste. Wystarczy telefon na informacj telefoniczn z zapytaniem o numer telefonu komendy wymienionej na wezwaniu. Po skontaktowaniu si z dyurnym funkcjonariuszem mona zapyta o numer do urzdnika organizujcego stawianie si policjantw jako wiadkw, ktry obsuguje rejon geograficzny, w ktrym dostalimy mandat. Policjanci s wzywani przed sd z regularnoci zalen od danego obszaru. Kiedy prokurator okrgowy lub obroca chce wezwa policjanta na wiadka, wie, jak dziaa system, i w pierwszej kolejnoci upewnia si, e dany policjant bdzie osigalny. W tym celu wystarczy zadzwoni z zapytaniem do urzdnika organizujcego stawianie si policjantw w sdzie. Zwykle podczas takiej rozmowy prawnik pyta urzdnika, czy dany policjant bdzie mg przyby w takim a takim dniu. W tym miejscu Paul potrzebowa troch wyczucia: musia poda wiarygodny powd, dla ktrego miayby go interesowa daty, kiedy policjant bdzie nieobecny. Dlaczego Paul, podczas swej pierwszej wizyty w sdzie nie powiedzia po prostu, jaka data go interesuje? To proste z tego, co wiadomo, urzdnicy sdowi w wikszoci przypadkw nie umoliwiaj stronom wyboru daty rozprawy. Jeeli data, ktr zaproponuje urzdnik, nie odpowiada stronie, moe poda dwa alternatywne terminy i na wicej raczej nie ma co liczy. Z drugiej strony kady, kto wyrazi ch stawienia si na przesuchanie, zwykle ma w tym zakresie wicej szczcia. Paul wiedzia, e mia prawo do proby o przesuchanie. Wiedzia te, e sdziowie czsto dostosowuj si do prb o ustalenie daty rozprawy na okrelony dzie. Delikatnie poprosi wic o dat, ktra kolidowaa ze szkoleniem policjanta, wiedzc, e w tym stanie szkolenie ma pierwszestwo nad stawieniem si w sdzie.

240

Kiedy policjant si nie stawia, sprawa zostaje oddalona. Nie ma kar, i obowizkowego szkolenia ani punktw. I, co najwaniejsze, nasze akta pozostaj czyste! Wydaje mi si, e, gdy policjanci, urzdnicy sdowi, prokuratorzy okrgowi itp. przeczytaj t histori, zgodnie przytakn, e takie oszustwo jest moliwe. Jednak poza tym przytakniciem nic zapewne nie zrobi. Nic si nie zmieni. Jestem gotowy si zaoy. Dopki policja jest skonna udziela informacji o harmonogramie pracy policjanta praktycznie kadej osobie, ktra zadzwoni, dopty istniaa bdzie moliwo unikania mandatw. Czy w naszej organizacji istniej podobne luki w procedurach, ktre pozwalaj zmylnemu socjotechnikowi zdoby informacje, ktrych zdecydowanie nie powinien posiada?

Uwaga Mitnicka
Ludzki umys jest niesamowity. Ciekawe jest to, jak bardzo stajemy si pomysowi, kiedy przychodzi do szukania okrnych drg, aby co zdoby lub wyj cao z jakiej sytuacji. Tej samej pomysowoci naley uywa do zabezpieczania informacji i systemw komputerowych zarwno w sektorze publicznym, jak i prywatnym. Pamitajmy wic, aby, opracowujc polityk bezpieczestwa dla naszej firmy, stara si, by nasze mylenie wyszo poza sztywne ramy.

Zemsta Samanthy
Samantha Gregson bya wcieka. Pracowaa ciko na to, by uzyska tytu magistra ekonomii, nie mwic ju o zacignitych na ten cel kredytach. Zawsze wydawao si jej, e tytu ten oznacza karier zamiast zwykej pracy i przy okazji due pienidze. Niestety, po ukoczeniu collegeu nie moga nigdzie znale dobrej posady. Ucieszya si, gdy dostaa wreszcie propozycj z Lambeck Manufacturing. Co prawda stanowisko sekretarki byo troch upokarzajce, ale pan Cartright mwi, e bardzo im na niej zaley, a praca sekretarki otworzy jej drog do awansu. Dwa miesice pniej syszaa, e jeden z kierownikw produktw od Cartrighta si zwalnia. Tej nocy prawie nie moga zasn, wyobraajc sobie siebie na pitym pitrze, w oddzielnym pokoju, uczszczajc na spotkania i podejmujc decyzje.

241

Nastpnego ranka w pracy od razu skierowaa swoje kroki do pana Cartrighta. Powiedzia, e czuje, i powinna si dowiedzie jeszcze nieco wicej o brany, zanim bdzie gotowa obj takie stanowisko. Po czym zatrudni amatora z zewntrznej firmy, ktry o brany wiedzia zdecydowanie mniej ni ona. Wtedy wanie zaczo jej wita w gowie: firma zatrudnia duo kobiet, ale prawie wszystkie byy sekretarkami. Wygldao na to, e w yciu nie dostanie tu posady kierownika.

Rewan
Obmylanie zemsty zajo jej prawie tydzie. Jaki miesic wczeniej dziennikarz z branowej gazety prbowa j pocign za jzyk, gdy przyjecha na premier nowego produktu. Par tygodni pniej zadzwoni do niej do pracy i powiedzia, e jeeli wyle mu jakie informacje o postpach w pracach nad produktem Cobra 273, to wyle jej kwiaty, a jeeli informacja ta bdzie naprawd sensacyjna, to pofatyguje si specjalnie z Chicago tylko po to, by zaprosi j na obiad. Ktrego dnia bya w pokoju u pana Johannsona, kiedy akurat logowa si do sieci firmy. Nie mylc nawet o tym, obserwowaa jego palce nad klawiatur. Wprowadzi haso marty63. Jej plan zaczyna nabiera ksztatw. Zdoaa zapamita tre jednej z notatek, ktr przepisywaa niedugo po tym, jak zacza pracowa w firmie. Odnalaza jej kopi w pliku i napisaa now wersj, stosujc waciw stylistyk. Jej wersja bya nastpujca: Do: C. Pelton, Informatyk Od: L. Cartright, Dzia rozwoju Martin Johannson bdzie pracowa w moim wydziale w grupie ds. projektw specjalnych. Niniejszym upowaniani go do dostpu do serwerw uywanych przez inynierw. Profil bezpieczestwa pana Johannsona musi by zaktualizowany, aby zapewni mu takie same prawa, jakie maja osoby pracujce nad produktem. Louis Cartright

242

Kiedy wikszo osb wysza na lunch, wycia podpis Cartrighta z poprzedniej notatki i wkleia do nowej, po czym zatuszowaa brzegi wybielaczem. Nastpnie zrobia kopi powstaego dokumentu oraz kopi kopii. Na niej brzegi dookoa podpisu byy ju praktycznie niewidoczne. Wysaa to faksem z aparatu obok biura pana Cartrighta. Trzy dni pniej zostaa po godzinach i zaczekaa, a wszyscy wyjd z pracy. Przesza do biura Johannsona i sprbowaa zaogowa si do sieci uywajc jego nazwy uytkownika i hasa: marty63. Udao si. Kwesti minut byo odnalezienie plikw ze specyfikacj produktu Cobra 273 i zapisanie ich na dysku Zip. Dysk spoczywa bezpiecznie w torebce, gdy sza poprzez chodn wieczorn bryz w stron parkingu. Jeszcze dzisiaj wyle go reporterowi.

Analiza oszustwa
Niezadowolony pracownik, przeszukanie plikw, szybka podmiana podpisu, troch kopiowania i jeden faks. Voila! dostp do poufnych specyfikacji produktu i danych marketingowych jest otwarty. Kilka dni pniej magazyn branowy opublikowa sensacyjne informacje zawierajce specyfikacje i plany marketingowe nowego, rewolucyjnego produktu, ktre tym samym znalazy si w rkach prenumeratorw czasopisma na miesice przed waciw jego premier. Konkurencyjne firmy bd miay par miesicy na rozpoczcie wasnych prac nad nowym produktem i uruchomienie odpowiedniej kampanii, ktra zdeprecjonuje Cobr 273. Oczywici magazyn nigdy nie zdradzi swojego informatora.

Jak zapobiega?
Kiedy pracownicy s proszeni o udzielenie wanych, poufnych lub krytycznych informacji, ktre mogyby przynie korzyci konkurencji lub komukolwiek innemu, musz by wiadomi, e identyfikacja rozmwcy nie moe by narzdziem weryfikacji tosamoci. Naley w takich przypadkach uywa innych rodkw weryfikacji, np. sprawdzanie u szefa danej osoby, czy proba jest przez niego autoryzowana oraz czy proszcy jest uprawniony do otrzymania takiej informacji.

243

Proces weryfikacji wymaga rwnowagi, ktr kada firma musi sobie wypracowa sama: bezpieczestwo kontra produktywno. Jaki priorytet zostanie nadany umacnianiu bezpieczestwa firmy? Czy pracownicy bd wykazywali opr przed stosowaniem si do procedur bezpieczestwa, a nawet omijali je w celu w szybszego wykonania swoich obowizkw? Czy pracownicy rozumiej, dlaczego bezpieczestwo jest tak istotne dla firmy? W celu dostosowania polityki bezpieczestwa do potrzeb i kultury organizacji naley odpowiedzie sobie na powysze pytania. Wikszo ludzi nieuchronnie zaczyna uwaa za irytujce wszystko to, co przeszkadza im w pracy i moe zacz obchodzi wszelkie rodki bezpieczestwa, ktre wydaj si strat czasu. Kluczowe jest wic motywowanie pracownikw poprzez edukacj i uwiadamianie tak, aby mylenie o bezpieczestwie stao si czci codziennych obowizkw. Mimo e identyfikacja rozmwcy nie moe by uywana jako rodek uwierzytelniajcy, moe temu celowi suy inna usuga, zwana automatyczn identyfikacj numeru (ANI). Usuga ta jest dostpna, gdy firma wykupia darmow lini telefoniczn i paci za przychodzce rozmowy. Mona j stosowa jako rodek uwierzytelniajcy. W odrnieniu do identyfikacji rozmwcy, centrala firmy telekomunikacyjnej nie korzysta tu z adnych informacji pochodzcych od klienta do wywietlenia numeru. Numer transmitowany poprzez ANI to numer, za ktry paci rachunki osoba dzwonica. Kilka firm produkujcych modemy dodao do swych urzdze funkcj identyfikacji pocze w celu ochrony sieci firmy i umoliwienia zdalnego dostpu tylko numerom telefonw z autoryzowanej wczeniej listy. Modemy z identyfikacj pocze s akceptowalnym rodkiem autoryzacji w sytuacji niezbyt duego potencjalnego zagroenia bezpieczestwa, ale powinno by jasne, e podmiana numeru jest dla komputerowych intruzw relatywnie prost spraw, dlatego nie naley polega na tej identyfikacji w sytuacjach wikszego obostrzenia zabezpiecze. W celu zapobieenia kradzieom tosamoci, tak jak miao to miejsce w historii z administratorem tworzcym skrzynk poczty gosowej w systemie telefonicznym firmy, naley wprowadzi wymg, e wszelkie usugi telefoniczne, skrzynki poczty gosowej i zmiany w spisie telefonw pracownikw, zarwno wydrukowanym, jak i w wersji elektronicznej, powinny by dokonywane jedynie na pisemn prob zoon na specjalnie stworzonym od tego celu formularzu. Proba powinna zosta podpisana przez zwierzchnika osoby ubiegajcej si o zmian, a administrator powinien ten podpis zweryfikowa.

244

Polityka bezpieczestwa firmy powinna wymaga, aby zakadanie nowych kont komputerowych lub zwikszanie praw dostpu odbywao si tylko po pozytywnej weryfikacji osoby, ktra o nie prosi, np. telefonu do administratora systemu lub jego zastpcy pod numer wymieniony w spisie telefonw firmy. Jeeli firma korzysta z bezpiecznej poczty elektronicznej, gdzie pracownicy mog stosowa elektroniczne podpisy, mona j rwnie wykorzysta jako alternatywn metod weryfikacji. Naley pamita o tym, e kady pracownik, niezalenie o tego, czy ma dostp do systemw komputerowych firmy, moe pa ofiar socjotechnika. Kada osoba musi w zwizku z tym przej szkolenie bezpieczestwa. Asystenci kierownictwa, recepcjonistki, telefonistki i pracownicy ochrony powinni wiedzie, jakie rodzaje atakw socjotechnicznych mog by skierowane przeciwko nim, i w zwizku z tym by lepiej przygotowanymi na ich ewentualne odparcie.

14
Szpiegostwo przemysowe
Zagroenie rzdw, firm i instytucji naukowych atakami, ktrych celem jest kradzie informacji, stao si powszechne. Niemal codziennie media donosz o nowych wirusach komputerowych lub kradziey danych karty kredytowej ze sklepu internetowego. Czytamy te o przypadkach szpiegostwa przemysowego: firma Borland oskarajca Symantec o kradzie tajemnic handlowych, Cadence Design Systems wytaczajca proces przeciwko konkurencji o kradzie kodu rdowego. Wielu ludzi biznesu czyta te historie i myli, e co takiego nie mogoby zdarzy si w ich firmie. Zdarza si. Codziennie.

246

Wariant schematu
Opisany tu podstp stosowany by wiele razy, nawet jeeli wydaje si on przynaleny bardziej filmom sensacyjnym, takim jak Informator, lub powieciom Johna Grishama.

Proces
Wyobramy sobie proces toczcy si przeciwko duej firmie farmaceutycznej Pharmomedic na podstawie zbiorowego aktu oskarenia. W firmie podobno zdawano sobie spraw, e jeden z produkowanych przez ni lekw mia pustoszce organizm dziaanie uboczne, ktre ujawniao si dopiero po jego wieloletnim zaywaniu. Wedug aktu oskarenia producent dysponowa wynikami kilku bada, ktre ujawniy to zagroenie, ale zatai dowody i nigdy nie przekaza ich do FDA (Departament Kontroli ywnoci i Lekw), co jest wymagane. William (Billy) Chaney, adwokat z nowojorskiej kancelarii, ktra wytoczya proces, ma pisemne zeznania dwch lekarzy, ktrzy przyczyli si do oskarenia. Jednak obaj s ju na emeryturze i nie posiadaj adnych akt ani dokumentacji na temat leku, dlatego nie s zbyt przekonujcymi wiadkami. Billy zdawa sobie spraw, e grunt pali mu si pod nogami. Jeeli nie zdobdzie kopii jednego z tych raportw lub jakiej wewntrznej notatki czy innej formy korespondencji midzy szefostwem, to sprawa bdzie przegrana. Wynaj wic firm detektywistyczn, z ktrej usug korzysta ju wczeniej: Anderson and Sons. Billy nie wiedzia i nie chcia wiedzie, w jaki sposb Pete i jego ludzie zdobywaj te wszystkie informacje. Jedyne, czego by pewien, to to, e Pete Anderson jest dobrym detektywem. Anderson tego typu zlecenia nazywa czarn robot. Pierwsza regua polega na tym, e kancelarie prawnicze i firmy, ktre go wynajmuj, nigdy nie dowiaduj si, w jaki sposb zdoby informacje, i w zwizku z tym s czyste. Cae ewentualne ryzyko akcji bierze na siebie. Pienidze, ktre dostawa za due zlecenia, rekompensoway ryzyko. Poza tym mia jeszcze osobist satysfakcj, wyprowadzajc w pole inteligentnych przeciwnikw. Jeeli dokumenty, ktre Chaney chcia zdoby, rzeczywicie istniay i nie zostay zniszczone, powinny znajdowa si gdzie w aktach firmy Pharmomedic. Jednak szukanie ich w ogromnym zbiorze dokumentw wielkiej kor-

247

poracji byoby syzyfow prac. A co, jeeli firma przekazaa kopie dokumentw swojej kancelarii prawniczej, Jenkins and Petry? Jeeli obrocy wiedzieli o istnieniu tych dokumentw i nie ujawnili ich w procesie, naruszyli kanon i etyk swojego zawodu oraz samo prawo. Jeeli tak, Pete mgby dziaa bez adnych skrupuw.

Pete atakuje
Kilkoro ludzi Petea rozpoczo wywiad i po paru dniach wiedzia ju, w ktrej z zewntrznych specjalistycznych firm kancelaria przechowuje kopie zapasowe swoich dokumentw. Wiedzia te, e firma ta posuguje si list nazwisk osb upowanionych przez kancelari do odbioru kaset. Kada z tych osb posiadaa wasne haso. Pete wysa dwie osoby do czarnej roboty. O trzeciej w nocy otworzyli zamek za pomoc jednego z wytrychw zamwionych na stronie www.southord.com. W cigu paru minut wlizgnli si do biura firmy i uruchomili komputery. Kiedy zobaczyli logo Windows 98, na ich twarzach pojawi si umiech robota bdzie prosta. Windows 98 nie wymaga jakiejkolwiek identyfikacji. Po krtkich poszukiwaniach natrafili na baz Microsoft Access zawierajc nazwiska ludzi upowanionych przez kadego z klientw firmy do odbierania kaset. Dodali do listy upowanionych przez firm Jenkins and Petry nazwisko, ktre odpowiadao nazwisku na faszywym prawie jazdy, zdobytym wczeniej przez jednego z nich. Czy mogli si po prostu wama tam, gdzie przechowywane byy tamy, by odnale t, na ktrej im zaley? Oczywicie, e mogli, ale wwczas wszyscy klienci firmy, wraz z kancelari, zostaliby zaalarmowani wamaniem. Napastnicy straciliby wwczas przewag: zawodowcy zawsze lubi zostawia sobie otwarte drzwi na przyszo. Postpujc zgodnie z praktyk szpiegw przemysowych, nakazujc zbieranie dodatkowych informacji, ktre pniej mog si przyda, na wszelki wypadek, skopiowali plik zawierajcy list nazwisk na dyskietk. Nie zrobili tego w adnym konkretnym celu, tylko na zasadzie: Skoro ju tu jestemy, to.... Bya to jedna z tych rzeczy, ktre mog si kiedy okaza przydatne. Nastpnego dnia jeden z dwjki mczyzn zadzwoni do firmy przechowujcej kopie zapasowe, uy dopisanego nazwiska i poda odpowiednie haso. Poprosi o tamy z firmy Jenkins and Petry z ostatniego miesica i po-

248

wiedzia, e przyjedzie po nie firma kurierska. Po poudniu tamy byy ju w rkach Andersona. Jego ludzie odtworzyli dane we wasnym systemie komputerowym i przygotowali do przeszukiwania. Andersen by bardzo zadowolony z faktu, e kancelaria, jak zreszt wikszo firm, nie zatroszczya si o zaszyfrowanie danych na kopiach zapasowych. Tamy zostay zwrcone do przechowujcej je firmy nastpnego dnia. Nikt si nie zorientowa.

Analiza oszustwa
Z powodu sabych fizycznych zabezpiecze, intruzi z atwoci otworzyli zamek w drzwiach firmy i uzyskali dostp do komputerw; zmodyfikowali baz danych zawierajc list ludzi upowanionych do pobierania tam. Dodanie nazwiska do listy umoliwio oszustom poyczenie kopii zapasowych, na ktrych im zaleao, bez koniecznoci wamywania si do pomieszczenia, gdzie byy skadowane. Jako e wikszo firm nie szyfruje danych w kopiach zapasowych, informacje byy podane na tacy. Incydent ten pokazuje, jak firma usugowa, nie stosujca podstawowych zasad bezpieczestwa, moe narazi na kradzie zasoby informacyjne swoich klientw.

Uwaga Mitnicka
Wartociowe informacje musz by chronione niezalenie od postaci, jak przyjmuj, i miejsca ich przechowywania. Lista klientw firmy ma tak sam warto jako wydruk, jako plik i jako tama. Socjotechnicy zawsze atakuj w najatwiejszy do obejcia i najsabiej chroniony punkt. Atak na zewntrzn firm przechowujc kopie zapasowe zawsze bdzie wydawa si mniej ryzykowny. Kada organizacja, ktra przechowuje wartociowe, poufne lub krytyczne dla swojej dziaalnoci dane u osb trzecich, powinna je szyfrowa, chronic tym samym ich tajno.

249

Nowy wsplnik
Socjotechnicy maj jedn wielk przewag nad tradycyjnymi oszustami jest ni dystans. Oszust oszuka nas jedynie, wchodzc w bezporedni kontakt, naraajc si tym samym na zapamitanie jego rysopisu lub nawet na telefon na policj, gdy odpowiednio wczenie zwietrzymy postp. Socjotechnicy zwykle wystrzegaj si bezporedniego kontaktu. Czasami jednak ryzyko z tym zwizane jest usprawiedliwione potencjaln nagrod.

Historia Jessici
Jessica Andover bya zadowolona ze zdobycia posady w nowoczesnej firmie zajmujcej si robotyk. Oczywicie na pocztku nie zarabiaa zbyt duo, ale firma miaa kameraln atmosfer, ludzie byli przyjanie nastawieni i zawsze istniaa szansa, e dziki pracowniczemu pakietowi akcji, ktry otrzymaa, stanie si nagle bogata. No, moe nie bdzie wwczas milionerk tak jak zaoyciele firmy, ale zarobi bardzo duo pienidzy. We wtorek rano Rick Daggot wszed do holu firmy z promiennym umiechem. W swoim drogim garniturze od Armaniego i z nienagann fryzur, poyskujc cikim zotym zegarkiem Rolex President, roztacza wok siebie t sam atmosfer pewnoci siebie, za ktr szalay wszystkie dziewczyny w czasach, gdy Jessica chodzia do liceum. Dzie dobry powiedzia. Jestem Rick Daggot i mam tu spotkanie z Larrym. Umiech znikn z twarzy Jessici. Larry? powiedziaa. Przecie jest cay tydzie na urlopie. Byem z nim umwiony o trzynastej. Wanie przyleciaem z Louisville, eby si z nim spotka powiedzia Rick, po czym wycign swj palmtop, wczy go i pokaza jej dat. Spojrzaa na ni i pokiwaa lekko gow. Dwudziesty powiedziaa. To za tydzie. Rick podnis swj palmtop i zacz si w niego gapi. O, nie! jkn. Nie do wiary, e mogem zrobi co tak gupiego. Mog przynajmniej zarezerwowa lot powrotny? zapytaa ze wspczuciem w gosie.

250

Kiedy dzwonia, Rick wyjawi, e chc razem z Larrym zawrze alians strategiczny. Firma Ricka wytwarzaa produkty dla linii produkcyjnych i montaowych, ktre doskonale uzupeniay ich nowy produkt, C2Alpha. C2Alpha wraz z produktami Ricka tworzyy kompletne rozwizanie, ktre mogo otworzy obu firmom drog do wejcia na wane rynki. Kiedy Jessica skoczya zaatwia rezerwacj na wieczorny lot, Rick powiedzia: Moe przynajmniej porozmawiam ze Steveem, o ile jest w biurze? Wiceprezesa i wsplnika, Stevea, te jednak nie byo. Rick by dla Jessici bardzo miy, a nawet troch z ni flirtowa. Zasugerowa, e skoro ju przyjecha, a lot powrotny ma dopiero wieczorem, chciaby zabra kilka osb na lunch. I doda: Pani, oczywicie te czy jest kto, kto moe tu pani zastpi na czas lunchu? Upojona faktem bycia uwzgldnion, Jessica zapytaa: Kto ma przyj? Spojrza znowu w swj palmtop i wymieni par osb dwch inynierw z dziau badawczo-rozwojowego, nowego czowieka od sprzeday i marketingu oraz osob z finansw, ktra bya zaangaowana w ten projekt. Rick zasugerowa, aby powiedziaa im o jego zwizku z firm i e chciaby si im osobicie przedstawi. Wymieni nazw najlepszej restauracji w okolicy miejsca, gdzie Jessica zawsze chciaa kiedy pj i powiedzia, e sam zarezerwuje stolik na 12:30 i zadzwoni za jaki czas, aby upewni si, e wszystko jest przygotowane. Kiedy spotkali si w restauracji cztery osoby oraz Jessica ich stolik nie by jeszcze gotowy, wic usiedli przy barze, a Rick oznajmi, e on wszystko funduje. Rick by czowiekiem ze stylem i klas, osob, w ktrej towarzystwie wszyscy wietnie si czuli. Tak jakby znali go od lat. Zawsze wiedzia, co powiedzie, rzuca trafne uwagi lub mwi co zabawnego, gdy rozmowa przestawaa si klei; sprawia, e kady czu si przy nim dobrze. Podzieli si wystarczajc iloci szczegw na temat swoich wasnych produktw, aby mogli sobie wyobrazi ide sprzeday wsplnego: rozwizania, ktr wydawa si tak podekscytowany. Wymieni kilka z najwikszych firm w kraju, ktrym ju teraz sprzedawa swoje wyroby; sprawio to, e wszyscy siedzcy przy barze zaczli sobie wyobraa nieuchronny sukces z chwil, kiedy kompletny produkt zejdzie z tamy produkcyjnej. Pniej Rick podszed do Briana, jednego z inynierw. Podczas gdy reszta rozmawiaa midzy sob, Rick podzieli si z nim na osobnoci paroma kon-

251

cepcjami i wydoby par szczegw na temat C2Alpha wraz z opisem tego, co odrnia ten projekt od konkurencyjnych produktw. Brian wspomnia mu o paru szczegach, ktre wedug niego samego s fajne, ale firma raczej je bagatelizuje. Rick dziaa dalej, rozmawiajc z kad z osb na osobnoci. Czowiek od marketingu cieszy si, e mg wreszcie porozmawia o dacie premiery i planach marketingowych. Finansista wycign z kieszeni kopert i napisa na niej szczegy kosztw materiaw i produkcji, sugerowan cen i spodziewan mar oraz to, jakie warunki chce wynegocjowa z kadym z dostawcw, ktrych nazwy wymieni. Do czasu przygotowania stolika Rick zdoa zamieni par sw z kadym z obecnych, zyskujc sobie sojusznikw. Po posiku wszyscy podzikowali Rickowi i ucisnli sobie rce. Rick wymieni wizytwki z kadym z nich, wspominajc przy okazji Brianowi, inynierowi, e chciaby umwi si na dusz rozmow, jak tylko Larry wrci. Nastpnego dnia Brian odebra telefon. Dzwoni Rick, mwi, e wanie przed chwil rozmawia z Larrym. Przyjad znowu w poniedziaek, eby omwi z nim par szczegw powiedzia Rick. Larry chce, ebym by na bieco z waszym produktem. Powiedzia, eby wysa mu pan najnowsze specyfikacje i projekty, a on wybierze z nich rzeczy, ktre powinienem mie, i mi je wysa. Inynier powiedzia, e si tym zajmie. Dobrze odpowiedzia Rick. Larry prosi przekaza, e ma problemy ze ciganiem swojej poczty cign. Zamiast wysya te rzeczy na jego normalne konto, prosz przesa na konto na Yahoo, ktre zaoyli mu w hotelu. Oto adres, pod ktry trzeba przesa pliki: larryrobotics@yahoo.com. W nastpny poniedziaek, kiedy Larry, opalony i zrelaksowany, wszed rano do biura, Jessica nie moga si powstrzyma, eby nie wspomnie o Ricku. Co za wspaniay czowiek. Zaprosi kilkoro z nas na lunch, nawet mnie. Larry wyglda na zdziwionego: Rick? Jaki znowu Rick?! Jak to jaki? Twj nowy wspolnik. Kto!!!??? Wszyscy byli nim zachwyceni. Zadawa takie rzeczowe pytania. Nie znam adnego Ricka...

252

 Co jest z tob, Larry? To jest kawa, tak robisz mnie w konia? Zbierz cay zarzd w sali konferencyjnej. Natychmiast! Niewane, co robi. I wszystkich, ktrzy byli na tym lunchu, cznie z tob. Usiedli wok stou w grobowym nastroju, prawie nic nie mwic. Larry wszed, usiad i powiedzia: Nie znam nikogo o imieniu Rick. Nie mam adnego nowego wsplnika, ktrego miabym przed wami ukrywa. Mylaem, e jest to oczywiste. Jeeli dowcipni, ktry to wymyli, jest w naszym gronie, niech si odezwie. Cisza. Atmosfera w sali stawaa si coraz bardziej ponura. W kocu odezwa si Brian. Dlaczego nie powiedziae czego, kiedy wysyaem ci ten e-mail ze specyfikacjami produktu i kodem rdowym? Jaki e-mail!? O nie Brian zesztywnia. Do rozmowy wtrci si Cliff, drugi inynier: Da nam wszystkim swoje wizytwki. Musimy do niego zadzwoni i wyjani spraw. Brian wycign swj palmtop, wywietli numer i poda go przez st w stron Larryego. Z cieniem nadziei wszyscy patrzyli jak zahipnotyzowani, kiedy Larry wykrca numer. Po chwili nacisn przycisk wczajcy gonik i wszyscy usyszeli sygna zajtej linii. Po kilku dalszych prbach w cigu nastpnych dwudziestu minut, sfrustrowany Larry wykrci numer centrali, eby poprosi o awaryjne przerwanie rozmowy i poczenie go z tym numerem. Kilka chwil pniej operatorka wrcia do telefonu i powiedziaa podniesionym gosem: Prosz pana, skd pan ma ten numer? Larry powiedzia jej, e by na wizytwce czowieka, z ktrym musi si pilnie skontaktowa. Operatorka odpara: Przykro mi. To numer testowy telekomunikacji. Zawsze jest zajty. Larry zacz robi list informacji, jakie zostay udzielone Rickowi. Nie wygldaa zbyt dobrze. Przybyo dwch ledczych z policji, by sporzdzi raport z zajcia. Po wysuchaniu historii stwierdzili, e wedug prawa stanowego nie zostao popenione adne przestpstwo. Nic nie mogli zrobi. Poradzili Larryemu, by skontaktowa si z FBI, poniewa to oni zajmuj si przestpstwami zwizanymi z midzystanow dziaalnoci gospodarcz. Kiedy Rick Daggot poprosi inyniera o przesanie danych, podajc si za kogo innego, by moe popeni przestpstwo federalne, ale eby si przekona, trzeba porozmawia z FBI.

253

Trzy miesice pniej Larry siedzia w kuchni i czyta przy niadaniu porann gazet. W pewnej chwili z wraenia o mao nie wyla kawy. Koszmar, ktrego najbardziej si obawia od chwili, kiedy usysza o Ricku, sta si prawd. Na pierwszej stronie dziau gospodarczego czarno na biaym byo napisane, e firma, o ktrej nigdy nie sysza, ogasza premier nowego produktu, dokadnie takiego samego jak C2Alpha, nad ktrym on pracowa od dwch lat. Przez jedno oszustwo dozna rynkowej poraki. Jego marzenia legy w gruzach. Miliony dolarw zainwestowane w badania i rozwj zostay utracone. Co wicej, najprawdopodobniej nie mg nikomu nic udowodni.

Historia Sama Stanforda

Sam Stanford by na tyle bystry, e mgby zarabia nieze pienidze, pracujc legalnie, ale by te na tyle skrzywiony, e wola utrzymywa si z oszustw. Radzi sobie cakiem niele. Z czasem zauway go pewien szpieg, ktrego zmuszono do przejcia na przedwczesn emerytur z powodu problemw z alkoholem. Zgorzkniay i paajcy odwetem zacz sprzedawa swoje talenty w dziedzinach, w ktrych przez lata pracy dla rzdu sta si ekspertem. Zawsze rozglda si za ludmi, ktrych mona wykorzysta. Na Sama zwrci uwag, gdy pierwszy raz si spotkali. Okazao si, e przeniesienie zainteresowania z ludzkich portfeli na tajemnice firm nie byo dla niego adnym problemem. *** Wikszo ludzi nie miaaby odwagi czego takiego zrobi. Co innego sprbowa oszuka kogo przez telefon lub poprzez Internet, gdzie nikt nie ma szansy nas zobaczy. Kady dobry oszust starej szkoy (do dzi jest ich wielu dookoa nas, wicej ni mogoby si wydawa) potrafi spojrze prosto w oczy, powiedzie bezczelne kamstwo i sprawi, bymy w nie uwierzyli. Znam ze dwch prokuratorw, ktrzy uwaaj to za przestpstwo. Ja myl, e to po prostu talent. Nie mona jednak dziaa w ciemno. Najpierw trzeba oceni sytuacj. Uliczny oszust moe wyczu czowieka po krtkiej przyjaznej rozmowie i paru starannie ubranych w sowa sugestiach. Jeeli czowiek reaguje zgodnie z jego zamiarem, to znaczy, e zapa przynt.

254

Oszukiwanie firm wymaga powaniejszej intrygi. Trzeba si do tego przygotowa, pozna ofiary i ich potrzeby, zaplanowa atak. Naley cierpliwie odrobi zadanie domowe. Okreli swoj rol i nauczy si swoich kwestii. Bez takiego przygotowania lepiej nie zaczyna. Przygotowania do tej roboty zajy mi ponad trzy tygodnie. Przez dwa dni klient uczy mnie, czym zajmuje si moja firma i w jaki sposb opisa wszystkie plusy aliansu strategicznego. Potem miaem szczcie. Zadzwoniem do firmy i powiedziaem, e jestem z kompanii inwestycyjnej i jestemy zainteresowani spotkaniem. onglowaem terminami, aby dowiedzie si, kiedy wszyscy czterej wsplnicy bd osigalni w cigu nastpnych dwch miesicy i czy byy jakie terminy, ktrych powinienem unika, bo Larryego nie bdzie w pracy. Byy. Okazao si, e Larry nie mia urlopu od dwch lat, kiedy to zaoy firm, a jego ona nareszcie wycigaa go na urlop golfowy w pierwszym tygodniu sierpnia. To byo za dwa tygodnie. Tyle mogem poczeka. Tymczasem zdobyem z czasopisma branowego nazw agencji reklamowej obsugujcej interesujc mnie firm. Powiedziaem, e interesuje mnie powierzchnia reklamowa, ktr zwykle wynajmuj dla tej firmy zajmujcej si robotyk, i chciabym rozmawia z osob zajmujc si tym klientem o obsudze mojej firmy. Okazao si, e jest to moda, pena energii dama, ktrej oczywicie zaleao na tym, eby zdoby nowego klienta. Podczas wystawnego lunchu, z troch wiksz iloci alkoholu ni zwyka pi, robia wszystko, eby przekona mnie, e byli, ach, tacy dobrzy w rozumieniu problemw klienta i robieniu dobrych kampanii reklamowych. Byem trudny do przekonania, domagaem si szczegw. Pod delikatnym naciskiem, zanim kelnerzy zdyli uprztn talerze z naszego stolika, wyjawia mi wicej na temat nowego produktu i problemw firmy, ni mogem si spodziewa. Wszystko poszo jak w zegarku. Historyjk z zaenowaniem w zwiku z pomyk co do daty spotkania i e skoro ju tam jestem, to moe spotkam si z zaog, recepcjonistka pokna w caoci. Co wicej, szczerze mi wspczua. Lunch kosztowa mnie 150 dolarw cznie z napiwkiem. Miaem to, co chciaem: numery telefonw, stanowiska i jednego, kluczowego czowieka, ktry uwierzy, e jestem tym, za kogo si podaj. Przyznaj, e Brian troch mnie potem zaskoczy. Wyglda na takiego, ktry bez pytania wyle mi wszystko, o co go poprosz. Jednak, gdy wspomniaem o sprawie, poczuem, e troch si wycofa. Opaca si przewidywa takie rzeczy. Wykorzystaem konto e-mail z imieniem Larryego miaem je przygotowane tak na wszelki wypadek. Ludzie od bezpieczestwa w Yahoo prawdopodobnie do teraz czekaj, a tylko kto skorzysta z niego ponownie, aby go namierzy. Bd musieli dugo czeka. Mam ju nowe zlecenie.

255

Analiza oszustwa
Kady, kto dokonuje oszustwa, stojc twarz w twarz z ofiar, musi prezentowa si w taki sposb, aby zosta zaakceptowanym. Inaczej bdzie wyglda na wycigach konnych, inaczej w lokalnym pubie, a jeszcze inaczej w ekskluzywnej kawiarni hotelowej. To samo dotyczy szpiegw przemysowych. Atak moe wymaga i przebrania si w garnitur i krawat i kupienia drogiego neseseru, jeeli i szpieg ma zamiar wcieli si w prezesa duej firmy, konsultanta lub przedstawiciela handlowego. Innym razem, gdy podaje si za informatyka, technologa lub kogo z obsugi poczty, jego ubir i wygld bd cakiem inne. Wiedzia, e jeeli chce infiltrowa t firm, jego Rick Daggot musi robi wraenie pewnego siebie i kompetentnego i podpiera si szczegow wiedz na temat produktu i brany. Zdobycie informacji, ktrych potrzebowa, zanim zoy wizyt, nie byo trudne. Uy prostego podstpu, by dowiedzie si, kiedy szef bdzie nieobecny. Pewnym wyzwaniem, wci niezbyt wielkim, byo zdobycie tylu informacji o projekcie, aby mg rozmawia o nim jak osoba wtajemniczona. Tego rodzaju informacje czsto s w posiadaniu niektrych dostawcw firmy, jej inwestorw lub przedsibiorstw obracajcych kapitaem, u ktrych nasza firma chciaa ulokowa jakie rodki, jej banku lub kancelarii prawniczej. Napastnik musi jednak uwaa: odnalezienie kogo, kto moe, si podzieli tego typu wiedz, moe by trudne, a z drugiej strony testowanie paru osb z rzdu, by odnale t jedn, ktr mona by przycisn, powoduje powstanie ryzyka, e kto poapie si w grze. I tu pojawia si niebezpieczestwo. Rickowie Dagotowie tego wiata musz starannie wybiera i wykorzystywa ciek informacyjn tylko raz. Lunch by kolejn ryzykown spraw. Pierwszy problem polega na tym, by zaaranowa sprawy w sposb umoliwiajcy porozmawianie z kadym na osobnoci, z dala od uszu reszty. Powiedzia Jessice, e lunch bdzie o 12: 30 w ekskluzywnej restauracji, ale zarezerwowa stolik na 13:00. W zwizku z tym mia nadziej, e, gdy pojawi si na miejscu, podejd do baru, by si czego napi. I tak si wanie stao. Idealna okazja, eby podchodzi do kadego z osobna i zamieni z nim kilka sw. Wci jednak istniao tyle moliwoci wpadki bdna odpowied lub nieprzemylana uwaga mogy ujawni, e jest oszustem. Tylko niesamowicie pewny siebie i przebiegy szpieg przemysowy odwayby si ryzykowa w taki sposb. Lata spdzone na byciu ulicznym cwaniakiem zbudoway jego

256

pewno siebie i wiar, e jeli nawet si polizgnie, bdzie w stanie to zatuszowa na tyle dobrze, by nie budzi adnych podejrze. Bya to najbardziej wymagajca i najniebezpieczniejsza cz operacji, a uniesienie, jakie czu, gdy udao mu si przeprowadzi t godn da intryg, uwiadomio mu, dlaczego nie musi jedzi szybkimi samochodami, skaka ze spadochronem lub zdradza swojej ony wystarczajco duo wrae oferowaa jego praca. Zastanawia si, ilu ludzi przeywa to, co on.

Uwaga Mitnicka
To, e wikszo atakw socjotechnicznych odbywa si przez telefon lub e-mail, nie oznacza, e odwany intruz nigdy nie pojawi si osobicie na terenie naszej firmy. W wikszoci przypadkw oszuci uywaj socjotechniki, eby dosta si do budynku po sfaszowaniu identyfikatora pracownika za pomoc oglnie dostpnych programw, takich jak Photoshop. A wizytwki z numerem testowym telekomunikacji? Telewizyjny program pt. The Rockford Files, ktry prowadzi cykl o prywatnych detektywach, zilustrowa kiedy sprytn i zarazem zabawn technik. Rockford (grany tu przez aktora Jamesa Garnera) ma w samochodzie przenon drukark wizytwek, ktrej uywa, by wydrukowa sobie wizytwk odpowiedni do okazji. W dzisiejszych czasach socjotechnik moe zaopatrzy si w wizytwki w cigu godziny w kadym punkcie ksero lub wydrukowa je sobie w domu na drukarce laserowej.

Uwaga
John Le Carre, autor ksiek Uciec z zimna, Wiemy ogrodnik i wielu innych, wychowa si jako syn wytrawnego oszusta z klas. Jako modzieniec Le Carre ze zdziwieniem odkry, e mimo odziedziczonej po ojcu umiejtnoci oszukiwania innych, bywa naiwny i czsto pada ofiar oszustw lub oszustek, co dowodzi, e praktycznie kady jest naraony na atak socjotechnika nawet inny socjotechnik.

abi skok
Zagadka. Ponisza historia nie dotyczy szpiegostwa przemysowego. W miar czytania prosz sprbowa odpowiedzie na pytanie, dlaczego, mimo to, zdecydowaem si umieci j w tym rozdziale!

257

Harry Tardy po powrocie do domu sta si zgorzkniay. Suba w Marines wydawaa si wielk przygod, dopki nie wyczerpa go poligon. Wrci wic do miasta, ktrego tak nienawidzi, zapisa si na kurs komputerowy w lokalnym collegeu i zastanawia si, jak zemci si na caym wiecie. W kocu wpad na pewien plan. Siedzc przy piwie wraz z koleg z kursu, narzekali na swojego instruktora sarkastycznego, wszystkowiedzcego typka by w kocu wsplnie opracowa sposb, w jaki i mona da mu nauczk: chcieli ukra kod rdowy popularnego notesu elektronicznego (PDA) i przesa go na komputer instruktora, po czym zostawi wyrany lad, prowadzcy do niego, aby firma uznaa go za sprawc kradziey. Nowy kolega, Karl Alexander, powiedzia, e zna kilka sztuczek i powie Harryemu, jak si za to zabra i przy okazji nie zosta i zapanym.

Odrabianie lekcji
Wstpne rozpoznanie wykazao, e produkt by tworzony w Centrum Programistycznym zlokalizowanym w siedzibie producenta notesw za granic. Firma miaa poza tym oddzia badawczo-rozwojowy na terenie USA. Karl zwrci uwag, e dobrze si skada, bo, aby operacja si powioda, musi istnie w USA jaki oddzia, ktry rwnie potrzebuje dostpu do kodu rdowego. W tym momencie Harry by gotw zadzwoni do zagranicznego Centrum Programistycznego. Mia zamiar baga o wspczucie: Rany, mam straszny problem, potrzebuje pomocy, prosz pomcie!. Naturalnie proba miaa by troch bardziej subtelna. Karl napisa Harryemu, co ma mwi, ale ten brzmia zupenie sztucznie, prbujc to odczyta. W kocu wiczy z Karlem tak dugo, a potrafi to powiedzie normalnym tonem. To, co w kocu powiedzia przez telefon, gdy Karl siedzia obok, brzmiao mniej wicej tak: Dzwoni z oddziau badawczo-rozwojowego w Minneapolis. Nasz serwer mia wirusa, ktry zainfekowa cay system komputerowy. Musielimy zainstalowa od nowa system operacyjny i potem, kiedy chcielimy odtworzy dane z kopii zapasowych, adna nie chciaa dziaa. Niestety, to ja jestem odpowiedzialny za utrzymanie kopii zapasowych. Szef na mnie wrzeszczy, a cae kierownictwo stano na baczno w obawie, e utracilimy wszystkie dane. Potrzebuj najnowszej wersji drzewa kodu rdowego tak szybko, jak tylko jest to moliwe. Prosibym o spakowanie i przesanie mi caego kodu.

258

W tym momencie Karl napisa mu co na kartce i Harry powiedzia swojemu rozmwcy, e chce jedynie, aby przetransferowa ten plik wewntrzn sieci do Minneapolis. To byo niezwykle istotne: kiedy prosimy osob o przesanie pliku jedynie do innego oddziau firmy, uspakajamy jej ewentualne wtpliwoci co moe by w rym zego? Rozmwca zgodzi si na spakowanie i przesanie plikw. Krok po kroku, z sekundujcym u boku Karlem, Harry przeprowadzi rozmwc przez pocztek procedury pakowania ogromnej iloci kodu rdowego do jednego zwartego pliku. Oprcz tego zasugerowa mu nazw pliku skompresowanego nowedane, wyjaniajc, e dziki temu uniknie pomieszania dobrego kodu ze starymi, uszkodzonymi plikami. Nastpny krok Karl musia objania Harryemu dwa razy, zanim ten go zrozumia. Krok ten by osi planu. Harry musia zadzwoni do oddziau badawczo-rozwojowego w Minneapolis i powiedzie tam komu: Chc wysa wam plik, ktry wy wylecie dla mnie komu innemu oczywicie wszystko to ubrane w odpowiednie uzasadnienia, ktre nadadz probie wiarygodno. Najbardziej niezrozumiae dla Harryego byo to, e musia powiedzie: Ja zamierzam wysa wam plik, podczas kiedy wysyania adnego pliku nie byo w planie. Musia sprawi, aby czowiek z badawczo-rozwojowego myla, e plik pochodzi od niego, podczas gdy w rzeczywistoci centrum otrzyma zastrzeony kod rdowy z Europy. Jak mam mu powiedzie, e ten plik pochodzi ode mnie, skoro on nadejdzie z zagranicy? zastanawia si Harry. Wanie ten facet jest tu najistotniejszy wyjani Karl. On musi myle, e robi jedynie przysug koledze z innego oddziau na i terenie USA, odbiera plik i po prostu przesya go dalej. Harry w kocu zrozumia. Zadzwoni do oddziau badawczo-rozwojowego i poprosi recepcjonistk o poczenie z centrum komputerowym, gdzie z kolei poprosi o operatora komputera. Do telefonu podszed chopak w wieku Harryego. Harry pozdrowi go i wyjani, e dzwoni z zakadu produkcyjnego firmy w Chicago i e prbuje wysa plik do jednej z firm, ktra uczestniczy w pracach nad ich projektem, ale: mamy jaki problem z routerem i nie moemy dosta si do ich sieci. Mgbym przesa plik do was i kiedy dotrze, zadzwoni jeszcze i raz, eby wytumaczy, gdzie go dalej trzeba przesa?. Na razie wszystko szo zgodnie z planem. Harry zapyta chopaka po drugiej stronie, czy ich centrum komputerowe ma anonimowe konto FTP ktre , umoliwia transfer plikw bez koniecznoci podawania hasa. Tak, anonimowy FTP by dostpny i Harry otrzyma jego adres IP .

259

argon
Anonimowy FTP usuga umoliwiajca dostp do zdalnego komputera, na ktrym nie mamy zaoonego konta FTP (protok transferu plikw). Uzyskanie dostpu do anonimowego FTP nie wymaga podawania hasa, ale zwykle prawa dostpu do niektrych katalogw s ograniczone.

Majc ju adres, Harry zadzwoni z powrotem do zagranicznego Centrum Programistycznego. Do tego czasu spakowany plik by ju gotowy i Harry poda instrukcje, jak dokona transferu pliku na anonimowy FTP Nim . upyno pi minut, spakowany kod rdowy zosta przesany do chopaka z oddziau badawczo-rozwojowego.

Wrabianie ofiary
Byli w poowie drogi do celu. Teraz Harry i Karl musieli chwil odczeka, aby mie pewno, e plik dotar, zanim wykonaj kolejny krok. W tym czasie przeszli na drug stron sali, gdzie sta komputer instruktora, i zadbali o dwa istotne elementy. Pierwszym byo zaoenie anonimowego serwera FTP na komputerze instruktora, ktry byyby docelowym przystankiem w podry pliku przez sie. Drugi krok rozwizywa pewien istotny problem. Nie mogli przecie powiedzie czowiekowi w badawczo-rozwojowym, eby przesa plik na adres typu warren@rms.ca.edu. Domena .edu ujawniaby cay podstp, poniewa nawet pprzytomny informatyk rozpozna j jako adres szkoy. Aby tego unikn, sprawdzili w systemie Windows, jaki jest numeryczny adres IP komputera i w takiej postaci mieli zamiar go poda. Nadszed czas, by zadzwoni ponownie do operatora komputera w dziale badawczo-rozwojowym. Harry poprosi go do telefonu i powiedzia: Wanie przesaem ten plik, o ktrym rozmawialimy. Moesz sprawdzi, czy ju dotar? Plik dotar. Harry poprosi wic, aby sprbowa go przesa dalej, i poda mu adres IP Czeka przy suchawce, kiedy operator prbowa poczy si . i rozpocz transmisj. Z umiechami na twarzach patrzyli w drugi koniec sali, gdzie na komputerze instruktora pomrugiwaa dioda dysku twardego zajtego odbieraniem pliku.

260

Harry wymieni z operatorem par uwag o tym, e by moe w przyszoci komputery stan si bardziej niezawodne, podzikowa mu i poegna si. Harry i Karl skopiowali plik z komputera instruktora na dwie dyskietki ZIP po jednej dla kadego, by mogli do niego pniej zajrze. Przypominao , to kradzie obrazu z muzeum mona nacieszy nim swoje oko tylko w samotnoci, nie mona chwali si nim przed znajomymi. Chocia w tym przypadku skradziony zosta jedynie duplikat, a orygina pozosta w muzeum. Karl przeprowadzi Harryego przez kroki usunicia serwera FTP z komputera instruktora i wymazania ladw ich bytnoci, aby nie pozostawi dowodw na to, co zrobili pozostawili jedynie skradziony plik w widocznym miejscu. Ostatnim krokiem byo przesanie fragmentu kodu rdowego z komputera instruktora na jedn z grup dyskusyjnych. By to jedynie may wycinek, ktry nie mg wyrzdzi szkody firmie, ale zostawia wyrany lad prowadzcy w stron instruktora. Ciekawe, czy na to te bdzie mia gotowe wytumaczenie.

Analiza oszustwa
Caa intryga zadziaaa jako efekt kombinacji kilku elementw, ale nigdy nie powiodaby si bez umiejtnej gry na wspczuciu i chci pomocy drugiej osobie: szef na mnie wrzeszczy, cae kierownictwo stano na baczno itp. To, w poczeniu z jasnym przedstawieniem sposobu, w jaki czowiek po drugiej stronie moe okaza nam pomoc, stanowio istot caego oszustwa. Sprawdzio si to tutaj i w wielu innych sytuacjach. Drugi kluczowy element, czowiek, ktry zdawa sobie spraw z poufnoci pliku, zosta poproszony jedynie o przesanie pliku na wewntrzny adres firmy. Trzeci element ukadanki, operator komputera, widzia, e plik nadszed do niego z wntrza firmy. Oznaczao to albo wydawao si oznacza e czowiek, ktry przesa mu ten plik, mgby go sam przesa; tam, gdzie chcia, jeeli tylko jego sie zewntrzna dziaaaby poprawnie. C w takim razie moe by zego w przesaniu pliku za niego? Dlaczego skompresowanemu plikowi nadano tak, a nie inn nazw? Pozornie drobiazg, ale bardzo istotny. Napastnik nie mg sobie pozwoli, aby

261

plik dotar z nazw, ktra identyfikuje go jako kod rdowy, lub nazw sugerujc produkt. Proba o przesanie pliku o takiej nazwie poza wewntrzn sie firmy mogaby wzbudzi podejrzenia. Zmiana nazwy na zupenie niepozorn bya wic kluczowa. Jak siej okazao, mody czowiek z centrum komputerowego nie mia adnych skrupuw przed przesaniem pliku na zewntrz. Plik o nazwie nowedane, nie sugerujcej w aden sposb jego prawdziwej zawartoci, nie mia prawa wzbudzi w nim adnych podejrze. Wrmy do zagadki. Czy wiadomo ju, dlaczego historia ta zostaa umieszczona w rozdziale dotyczcym szpiegostwa przemysowego? Jeeli nie, oto odpowied: to, co dwch kursantw zrobio dla zoliwego kawau, mogoby by rwnie dobrze przeprowadzone przez zawodowego szpiega przemysowego opacanego przez konkurencj lub rzd innego pastwa. W kadym z tych przypadkw wyrzdzona w ten sposb szkoda mogaby okaza si katastrof dla przedsibiorstwa i wpyn na znaczn obnik wpyww ze sprzeday po pojawieniu si konkurencyjnego produktu. Czy wasza firma jest zabezpieczona przed tego rodzaju atakiem?

Uwaga Mitnicka
Oto podstawowa regua, ktr kady pracownik powinien na zawsze zapamita: bez zgody kierownictwa nigdy nie wysyaj plikw do ludzi, ktrych osobicie nie znasz, nawet, jeeli transfer wydaje si odbywa w ramach wewntrznej sieci firmy.

Jak zapobiega?
Szpiegostwo przemysowe, ktre od dawna jest utrapieniem wielu przedsibiorstw, stao si teraz chlebem powszednim dla tradycyjnych szpiegw, ktrzy po zakoczeniu zimnej wojny koncentruj si na odpatnym wykradaniu tajemnic firm. Zagraniczne korporacje i rzdy korzystaj z usug niezalenych szpiegw przemysowych, by wykrada informacje. Firmy na terenie USA rwnie wynajmuj tzw. handlarzy informacj, ktrzy nie wahaj si przekroczy prawa, aby uzyska dostp do poufnych danych. W wielu przypadkach s to ludzie, ktrzy pracowali wczeniej w subach wywiadowczych i maj odpowiedni wiedz i dowiadczenie, co uatwia im infiltracj organizacji. Dotyczy to szczeglnie tych spord nich, ktre nie zdoay wprowadzi odpowiednich rodkw bezpieczestwa w celu ochrony danych ani wyszkoli w tym zakresie swoich pracownikw.

262

Bezpieczestwo na zewntrz
Co mogoby pomc firmie, ktra wpada w tarapaty w zwizku z przechowywaniem swoich danych na zewntrz? Zagroenia mona unikn poprzez zaszyfrowanie informacji. Oczywicie szyfrowanie wymaga dodatkowego czasu i wydatkw, ale jest warte zachodu. Zaszyfrowane pliki musz by regularnie wyrywkowo sprawdzane, aby upewni si, e metoda szyfrowania dziaa bez problemw. Zawsze istnieje zagroenie, e klucze do szyfru zostan utracone lub jedyna osoba, ktra je zna, zostanie potrcona przez autobus. Jednak poziom tego zagroenia da si zminimalizowa, a kady, kto przechowuje swe poufne informacje poza terenem swojej firmy i nie korzysta z szyfrowania, jest, prosz wybaczy dosadno, idiot. To jak chodzenie w nocy po najgorszej dzielnicy miasta z banknotem dwudziestodolarowym wystajcym z kieszeni sami si prosimy, eby nas okra. Przechowywanie kopii zapasowych w miejscu, gdzie nie ma odpowiedniego nadzoru, jest czstym niedopatrzeniem. Kilka lat temu byem zatrudniony w firmie, ktra mogaby czyni troch wiksze wysiki w celu ochrony danych klienta. Pracownicy zajmujcy si archiwizacj zostawiali kopie zapasowe poza zamknitym pomieszczeniem z komputerami, aby mg je kadego dnia odebra kurier. Praktycznie kady mg stamtd wyj z kopiami zapasowymi zawierajcymi wszystkie dokumenty w formie niezaszyfrowanej. Jeeli firma archiwizuje dane w postaci zaszyfrowanej, ich utrata jest co najwyej kopotem. Jeeli za firma nie szyfruje danych no c, wtedy na pewno sama najlepiej moe oszacowa rozmiar strat. Potrzeba zewntrznej archiwizacji danych w duych firmach jest uzasadniona. Dlatego te procedury bezpieczestwa powinny obejmowa kontrol firmy archiwizujcej, sprawdzajc, na ile skrupulatnie przestrzegane s tam zalecenia zwizane z bezpieczestwem. Jeeli firma ta nie przywizuje takiej wagi do omawianych spraw jak nasze przedsibiorstwo, niweczy tym samym nasze wysiki w tej dziedzinie. Mniejsze firmy maj dobr alternatyw przechowywania kopii zapasowych. Mog przesya codziennie nowe i zmienione pliki do jednej z firm oferujcych archiwizacj on-line. Tutaj rwnie naley pamita, aby dane byy zaszyfrowane. W innym przypadku informacja staje si dostpna nie tylko dla nieuczciwego pracownika firmy archiwizujcej, ale dla kadego intruza, ktry moe si wama do systemu komputerowego teje firmy.

263

Jeeli wprowadzilimy system szyfrowania zabezpieczajcy nasze kopie zapasowe, naley rwnie ustanowi wysoce bezpieczn procedur przechowywania kluczy szyfrujcych lub hase odszyfrowujcych. Tajne klucze szyfrujce powinny by przechowywane w sejfie lub skarbcu firmy. Standardowa procedura powinna rwnie uwzgldnia sytuacj, e pracownik odpowiedzialny za te zasoby zmieni prac lub umrze. Zawsze musz by co najmniej dwie osoby, ktre znaj miejsce przechowywania, procedury szyfrujce i odszyfrowujce. Naley te ustali, kiedy i w jaki sposb bdzie nastpowaa zmiana kluczy. Procedury musz wymaga zmiany kluczy natychmiast po odejciu z pracy osoby, ktra miaa do nich dostp.

Kto tam?
Przykad z tego rozdziau opisujcy sprytnego, wyrafinowanego oszusta, ktry za pomoc osobistego uroku wyciga od pracownikw informacje, jeszcze raz wskazuje na wag weryfikacji tosamoci. Proba o przesanie kodu rdowego na serwer FTP rwnie dowodzi tego, jak wana jest znajomo osoby, ktra o co nas prosi. W rozdziale 16. znajduj si konkretne procedury weryfikacji tosamoci nieznanej nam osoby, ktra prosi o informacj lub wykonanie jakiej czynnoci. Temat weryfikacji powraca w ksice jak bumerang w rozdziale 16. przechodzimy do szczegw tej procedury.

IV
Podnoszenie poprzeczki
Bezpieczestwo informacji wiadomo i szkolenie Zalecana polityka bezpieczestwa informacji

15
Bezpieczestwo informacji - wiadomo i szkolenie
Socjotechnik otrzyma wanie zlecenie zdobycia planw naszego nowego rewelacyjnego produktu, do ktrego premiery pozostay dwa miesice. Co moe go powstrzyma? Nasz firewall? Nie. Zaawansowane urzdzenia uwierzytelniajce? Nie. Systemy detekcji intruzw? Nie Szyfrowanie? Nie. Ograniczona lista numerw telefonw, z ktrych mona si wdzwania do systemu? Nie.

266

Nazwy kodowe serwerw utrudniajce osobie z zewntrz odkrycie, na ktrym serwerze znajduj si plany produktu? Nie. Tak naprawd, nie istnieje taka technologia, ktra mogaby zapobiec atakowi socjotechnicznemu.

Zabezpieczenia i procedury

technologiczne,

szkolenie

Firmy, ktre przeprowadzaj testy penetracyjne systemw bezpieczestwa, podaj, e prby wamania si do systemu komputerowego klienta za pomoc metod socjotechnicznych s prawie w 100% skuteczne. Zabezpieczenia technologiczne mog utrudni takie ataki poprzez minimalizowanie udziau ludzi w procesie decyzyjnym. Jednak jedyn naprawd skuteczn metod osabienia tego zagroenia jest zastosowanie zabezpiecze technologicznych w kombinacji z procedurami bezpieczestwa, ktre ustalaj podstawowe zasady zachowania si pracownikw, oraz odpowiednim teoretycznym i praktycznym ich szkoleniem. Istnieje tylko jeden sposb zabezpieczenia planw naszego produktu: posiadanie wyszkolonych, wiadomych i przytomnych pracownikw. Wie si z tym konieczno szkolenia w zakresie polityki i procedur bezpieczestwa, a oprcz tego, a moe przede wszystkim, staego uwiadamiania. Niektrzy eksperci zalecaj, aby 40% budetu przeznaczonego na bezpieczestwo byo przeznaczone na proces staego uwiadamiania pracownikw o zagroeniach. Pierwszym krokiem jest uwiadomienie kademu czonkowi organizacji, e istniej ludzie pozbawieni skrupuw, ktrzy bd prbowa manipulowa nimi za pomoc oszustwa i metod psychologicznych. Pracownicy musz wiedzie, jakie informacje naley ochrania i jak to robi. Z chwil, gdy zrozumiej, w jaki sposb mog zosta zmanipulowani, bd w stanie odpowiednio wczenie rozpozna atak. wiadomo bezpieczestwa oznacza rwnie edukacj wszystkich pracownikw co do polityki i procedur bezpieczestwa stosowanych w firmie. Jak pokazano w rozdziale 16., polityka taka jest niezbdna jako wyznacznik regu zachowania w celu ochrony systemw informatycznych i poufnych danych. Ten i kolejny rozdzia powicone s tworzeniu systemu bezpieczestwa,

267

ktry uchroni nas przed zgubnymi w skutkach atakami. Jeeli nasi pracownicy nie s wyszkoleni, czujni i nie postpuj zgodnie z przemylanymi procedurami, to utrata informacji na korzy socjotechnika jest tylko kwesti czasu. Nie czekajmy wic, a to si wydarzy, poniewa straty dla firmy i pracownikw mog okaza si niepowetowane.

Jak napastnicy wykorzystuj ludzk natur?

W celu stworzenia udanego programu szkolenia naley w pierwszej kolejnoci zda sobie spraw, dlaczego ludzie s naraeni na ataki. Identyfikujc owe tendencje podczas szkolenia na przykad za pomoc scenek rodzajowych zwracajcych na nie uwag uatwiamy pracownikom uwiadomienie sobie, e wszyscy podlegamy manipulacji socjotechnika. Manipulacja jest przedmiotem studiw socjologw od co najmniej pidziesiciu lat. Artyku Roberta B. Cialdiniego w Scientific American (luty 2001) podsumowuje cay ten dorobek, prezentujc sze podstawowych cech ludzkiej natury, ktre ujawniaj si przy prbie podporzdkowania kogo woli socjotechnika. Na tych wanie szeciu cechach bazuj socjotechnicy (wiadomie lub, czciej, niewiadomie) podczas swoich prb manipulowania innymi.

Wadza
Ludzie maj tendencj do podporzdkowywania si woli osoby, ktra posiada wadz. Jak pokazano w innym miejscu niniejszej ksiki, osoba moe podporzdkowa si probie, jeeli wierzy, e rozmwca ma wadz lub jest upowaniony do proszenia o dan przysug. W swojej ksice Wywieranie wpywu na ludzi. Teoria i praktyka Dr. Cialdini opisuje przypadek trzech szpitali, w ktrych osoba podajca si za lekarza danego szpitala skontaktowaa si niezalenie z 22 dyurkami pielgniarek i podawaa sposoby dawkowania lekw pacjentom na oddziale. Pielgniarki, ktre odbieray polecenia, nie znay rozmwcy. Nie wiedziay nawet, czy w rzeczywistoci by lekarzem (nie by!). Odbieray polecenia dotyczce dawkowania, co byo pogwaceniem regulaminu szpitala. Lek, ktry polecono im podawa, nie by zatwierdzony do stosowania na oddziaach, a dawka, ktr

268

podaway, przekraczaa dwukrotnie maksymaln dzienn dawk tego leku i moga zagrozi yciu pacjentw. Cialdini pisze, e w 95% przypadkw pielgniarka udawaa si w kierunku szafki z lekami, aby pobra zasugerowan jej dawk, po czym kierowaa si w stron pacjenta. Nastpnie oczywicie bya zatrzymywana przez obserwatora, ktry informowa j o eksperymencie. Przykadowe ataki: socjotechnik maskuje si za pomoc otoczki wadzy, mwic, e pracuje w dziale informatyki, jest z zarzdu lub pracuje dla kogo z zarzdu firmy.

Sympatia
Ludzie maj tendencj do podporzdkowywania si, gdy osoba proszca jest w stanie ukaza si jako sympatyczna, majca podobne zainteresowania, pogldy i podejcie do ycia jak ofiara. Przykadowe ataki: w trakcie rozmowy napastnik dowiaduje si o jakim hobby lub zainteresowaniu ofiary, po czym deklaruje swoje zainteresowanie i entuzjazm dla tego samego hobby. Moe rwnie powiedzie, e jest z tego samego stanu lub szkoy albo ma takie same aspiracje. Socjotechnik bdzie prbowa rwnie zachowywa si w sposb podobny do ofiary, aby stworzy pozory bliskoci.

Wzajemno
Moemy automatycznie podporzdkowa si probie, jeli obiecano nam lub dano co wartociowego. Prezent moe by materialny lub moe stanowi np. rad lub pomoc. Kiedy kto zrobi co dla nas, czujemy potrzeb odwzajemnienia. Ta silna potrzeba ujawnia si nawet wtedy, kiedy nie prosilimy o to, co dostalimy. Jednym z najbardziej efektywnych sposobw wpywania na ludzi, tak aby zrobili nam przysug (podporzdkowali si probie), jest podarowanie im prezentu lub pomoc, ktra wywouje poczucie zobligowania. Wyznawcy Hare Krishna byli bardzo skuteczni we wpywaniu na ludzi tak, aby ci czynili datki ofiarowujc im na pocztku ksik lub kwiatek w formie prezentu. Jeeli obdarowany prbowa zwraca prezent, oni odma-

269

wiali jego przyjcia, mwic: To nasz prezent dla ciebie. Wykorzystanie zasady wzajemnoci znacznie zwikszao otrzymywane datki. Przykady ataku: pracownik odbiera telefon od osoby, ktra przedstawia si jako informatyk. Wyjania, e niektre komputery zostay zainfekowane nowym wirusem nierozpoznawalnym przez oprogramowanie antywirusowe, a ktry moe zniszczy wszystkie pliki w komputerze. Potem proponuje przeprowadzenie osoby przez kilka krokw umoliwiajcych zapobieenie problemowi. Tu potem rozmwca prosi ofiar o przetestowanie programu uytkowego, ktry zosta wanie zaktualizowany w taki sposb, e umoliwia uytkownikom zmian swoich hase. Pracownik raczej nie odmwi, poniewa dzwonicy wanie udzieli mu pomocy, chronic go przed wirusem. Odwzajemnia si wic, speniajc prob.

Konsekwencja
Ludzie maj tendencj do podporzdkowywania si, jeeli wczeniej publicznie ogosili swoje poparcie i zaangaowanie w danej sprawie. Jeeli raz obiecalimy, e co zrobimy, nie chcemy wyglda na niegodnych zaufania i postpujemy zgodnie z naszymi wczeniejszymi deklaracjami lub obietnicami. Przykady ataku: napastnik kontaktuje si ze stosunkowo nowym pracownikiem i informuje go o koniecznoci dostosowania si do polityki i procedur bezpieczestwa, ktra jest warunkiem uzyskania dostpu do systemw komputerowych firmy. Po omwieniu kilku praktyk bezpieczestwa rozmwca prosi uytkownika o podanie swojego hasa w celu weryfikacji jego zgodnoci z procedurami nakazujcymi wybr hasa trudnego do odgadnicia. Kiedy osoba wyjawia swoje haso, rozmwca podaje zalecenia co do konstrukcji przyszych hase w taki sposb, aby sam potrafi je atwo odgadn. Ofiara podporzdkowuje si w zwizku ze swoj wczeniejsz zgod na dostosowanie si do firmowych praktyk i zaoeniem, e rozmwca weryfikuje jedynie owo podporzdkowanie.

270

Przyzwolenie spoeczne
Ludzie maj tendencj do speniania prb, kiedy wydaje si to zgodne z zachowaniem innych. Przykad ze strony innych jest traktowany jako przyzwolenie i potwierdzenie, e dane zachowanie jest prawidowe i stosowne. Przykady atakw: rozmwca twierdzi, e przeprowadza ankiet, i wymienia nazwiska innych ludzi z dziau, ktrzy wczeniej zdecydowali si odpowiedzie na pytania. Ofiara, wierzc, e zachowanie innych potwierdza wiarygodno proby, godzi si na udzia w ankiecie. Rozmwca zadaje szereg pyta, wrd ktrych s i pytania o nazw uytkownika i haso ofiary.

Rzadka okazja
Ludzie maj tendencj do podporzdkowywania si, kiedy wierz, e poszukiwany obiekt wystpuje w ograniczonej iloci i jest podany przez innych oraz dostpny tylko przez krtki czas. Przykad ataku: napastnik wysya e-maile oznajmiajce, e pierwszych 500 osb, ktre zarejestruj si na nowej witrynie firmy, wygra darmowe bilety na najnowsz premier filmow. Kiedy niczego nie podejrzewajca osoba rejestruje si na stronie, jest proszona o podanie swojego firmowego adresu oraz wybranie hasa. Wiele osb, dla wygody, ma tendencj do uywania tego samego hasa w kadym systemie komputerowym, z jakiego korzysta. Wykorzystujc to, napastnik moe prbowa wama si do naszych firmowych lub prywatnych systemw komputerowych za pomoc nazwy uytkownika i hasa, jakie wprowadzilimy w procesie rejestracji.

Tworzenie programu szkolenia i uwiadamiania

Opublikowanie broszury o bezpieczestwie informacji lub skierowanie pracownikw na stron w intranecie, ktra opisuje polityk bezpieczestwa firmy, samo w sobie nie powoduje zmniejszenia ryzyka. Kada firma musi nie tylko zdefiniowa zasady w formie pisemnej, ale poczyni dodatkowy

271

wysiek w celu skonienia wszystkich osb, majcych do czynienia z informacj lub systemami komputerowymi, do nauki owych zasad i postpowania zgodnie z nimi. Co wicej, naley si upewni, e wszyscy rozumiej powody, dla ktrych wprowadzone zostay poszczeglne zasady, aby nie prbowali ich, dla wygody, omija. W innym przypadku niewiedza zawsze bdzie dla pracownika dobrym wytumaczeniem, a dla socjotechnika sab stron, ktr chtnie wykorzysta. Gwnym celem kadego programu uwiadamiania jest wpynicie na pracownikw w taki sposb, aby zmienili swoje podejcie i zachowanie, oraz zmotywowanie ich, aby sami chcieli uczestniczy w procesie ochrony dbr informacyjnych firmy. wietn motywacj jest w tym przypadku opisanie korzyci dla firmy oraz dla samych pracownikw, jakie wynikaj z takiej postawy. Jako e firma jest rwnie w posiadaniu czci prywatnych informacji kadego z pracownikw, przyczynianie si do ochrony danych firmy oznacza rwnie przyczynianie si do ochrony osobistych informacji. Program szkolenia z zakresu bezpieczestwa wymaga znacznych nakadw. Szkolenie musi obj kad osob w firmie, ktra ma dostp do poufnych informacji lub systemw komputerowych, a wiadomoci musz by stale odwieane i aktualizowane, aby pracownicy mogli stawi czoa wci pojawiajcym si zagroeniom. Pracownicy musz wiedzie, e wysza kadra zarzdzajca jest w peni zaangaowana w program. Zaangaowanie to musi by prawdziwe i nie ogranicza si do opiecztowania pisma zawierajcego lakoniczne instrukcje. Program musi by poparty odpowiednimi zasobami, aby go rozwija, przekazywa, sprawdza i analizowa postpy.

Cele
Podstawow wytyczn, o ktrej naley pamita podczas tworzenia programu szkolenia i uwiadamiania w sprawach bezpieczestwa, jest koncentracja na zbudowaniu u pracownikw wiadomoci, e atak moe nastpi w kadym momencie. Wie si to z wytworzeniem sytuacji, kiedy kady pracownik ma wiadomo swojej roli w ochronie przed jakkolwiek prb uzyskania dostpu do systemu komputerowego lub kradziey poufnych danych. Poniewa wiele aspektw bezpieczestwa informacji jest zwizanych z technologi, pracownicy zbyt atwo zaczynaj sdzi, e problem ten jest rozwizywany przez firewalle i inne systemy zabezpieczajce. Podstawo-

272

wym celem szkolenia powinno by wykreowanie u ludzi wiadomoci, e to oni sami stanowi gwn lini obrony niezbdn do zapewnienia penego bezpieczestwa w organizacji. Szkolenie musi mie ambitniejszy cel ni tylko zakomunikowanie zasad. Twrca programu szkolenia musi rozpoznawa siln pokus u czci pracownikw, aby pod naciskiem codziennych obowizkw pomija lub ignorowa zalecenia zwizane z bezpieczestwem. Znajomo taktyk stosowanych przez socjotechnikw i sposobw ochrony przed nimi jest wana, ale bdzie miaa warto jedynie wtedy, gdy szkolenie skoncentruje si na motywowaniu pracownikw do korzystania ze zdobytej wiedzy. Mona uzna, e program szkolenia speni podstawowe zaoenie, jeeli wszyscy s jednoznacznie przekonani i zmotywowani przewiadczeniem, i zabezpieczenie informacji stanowi cz ich normalnych obowizkw. Pracownicy musz pogodzi si z faktem, e zagroenie atakiem socjotechnicznym jest realne i e powana strata poufnych informacji moe zagrozi firmie, jej pracownikom i ich posadom. W pewnym sensie beztroskie traktowanie bezpieczestwa informacji jest tosame z beztroskim traktowaniem numeru PIN karty kredytowej. Ta analogia moe pomc w zbudowaniu zrozumienia dla praktyk bezpieczestwa.

Wprowadzenie programu w ycie

Osoba odpowiedzialna za stworzenie programu szkolenia i uwiadamiania w sprawach bezpieczestwa musi zda sobie spraw, e nie moe by ono takie samo dla wszystkich. Szkolenie musi by zaplanowane w taki sposb, by odpowiada specyficznym wymogom rnych grup pracownikw przedsibiorstwa. Podczas gdy wiele z zalece zarysowanych w rozdziale 16. stosuje si do wszystkich zatrudnionych, cz z nich ma ograniczony zakres. Jako niezbdne minimum wikszo firm bdzie potrzebowa programw dostosowanych do nastpujcych grup: kadra zarzdzajca, personel informatyczny, uytkownicy komputerw, pracownicy administracyjni, recepcjonistki i portierzy, pracownicy ochrony (w rozdziale 16. znajduje si wyszczeglnienie zalece w zalenoci od zajmowanych stanowisk). Jako e od pracownikw stray przemysowej zwykle nie wymaga si obsugiwania komputera i praktycznie nie maj oni kontaktu z firmow sieci, nie s zwykle brani pod uwag przy tworzeniu programu. Socjotechnik po-

273

trafi jednak oszuka stranika ochrony tak, aby ten wpuci go na teren budynku lub wykona czynnoci, w ktrych rezultacie nastpi wamanie do systemu. To, e stranicy nie musz przechodzi szkolenia przeznaczonego dla uytkownikw firmowych komputerw, nie oznacza, e naley ich cakowicie pomija przy tworzeniu programu szkolenia. W organizacji prawdopodobnie niewiele jest zagadnie wanych dla wszystkich pracownikw, ktre maj tak istotne znaczenie, a jednoczenie s w tak oczywisty sposb nudne, jak zagadnienia bezpieczestwa. Dobry program szkolenia musi jednoczenie informowa, przyciga uwag i wzbudza zaangaowanie suchaczy. Szkolenie i podtrzymywanie wiadomoci bezpieczestwa musi sta si angaujcym uwag, interaktywnym dowiadczeniem. Stosowane techniki mog polega na demonstracji metod socjotechnicznych przy wykorzystaniu scenek z podziaem na role, przegldzie doniesie medialnych o ostatnich przypadkach atakw na bardziej pechowe firmy i omawianie sposobw, w jaki firma mogaby tego unikn; warto pomyle o projekcji filmu na temat zasad bezpieczestwa, ktry jest jednoczenie zabawny i pouczajcy. Istnieje kilka firm, ktre zajmuj si dystrybucj filmw i materiaw dotyczcych zagadnie zwizanych z bezpieczestwem.

Uwaga
Instytucje, ktre nie maj moliwoci zorganizowania wewntrznego szkolenia z zakresu bezpieczestwa, mog skorzysta z oferty ktrej z firm szkoleniowych, prowadzcych szkolenia z tego zakresu.

Historie opisane w tej ksice stanowi dobry materia objaniajcy metody i taktyki stosowane przez socjotechnikw, zwikszajcy wiadomo zagroenia i demonstrujcy saboci ludzkich zachowa. Mona rozway uycie tych scenariuszy jako podstawy do budowania scenek rodzajowych. Historie te rwnie prowokuj do dyskusji na temat: co mogaby odpowiedzie ofiara, aby unikn ataku. Dobry twrca programu i dobry szkoleniowiec znajdzie obok mnstwa wyzwa wiele sposobw na oywienie szkolenia i w rezultacie motywowanie ludzi, aby stali si czci mechanizmu obrony.

274

Struktura szkolenia
Program podstawowego szkolenia z zakresu bezpieczestwa powinien sta si obowizkowy dla wszystkich pracownikw. Od nowych powinno si wymaga uczszczania na takie szkolenie jako jednego z elementw wdraania do pracy. Zalecam, by dostp do komputera by moliwy dopiero po zaliczeniu takiego kursu. Pocztkowy etap szkolenia powinien by na tyle skoncentrowany, by przyku uwag, i na tyle krtki, aby wane komunikaty zostay zapamitane. Oczywicie ilo zagadnie do poruszenia z ca pewnoci usprawiedliwia dusze szkolenie, ale z drugiej strony konieczno zapewnienia wiadomoci i motywacji oraz przekazania zapamitywanej liczby podstawowych komunikatw przewaa na korzy rezygnacji z parogodzinnych lub caodniowych sesji, po ktrych ludzie s przytoczeni nadmiarem informacji. Nacisk podczas tych sesji musi by pooony na uwiadamianie szkd, jakie moe ponie firma i sami pracownicy, jeeli nie bd przestrzegali odpowiednich zalece dotyczcych bezpieczestwa. Waniejsza od samego nauczenia zasad i praktyk jest motywacja pracownikw, ktra prowadzi do akceptacji swojej wasnej odpowiedzialnoci za bezpieczestwo. W sytuacjach, gdy niektrzy pracownicy nie maj moliwoci od razu rozpocz szkolenia, firma powinna rozway przeprowadzenie szkolenia przy wykorzystaniu innych form, np. filmw instruktaowych, szkolenia opartego na prezentacji komputerowej, kursu internetowego lub materiaw pisemnych. Po pierwszym, pocztkowym etapie szkolenia, kolejne, dusze sesje powinny omawia konkretne saboci i metody ataku odpowiednio do stanowiska osoby szkolonej. Szkolenie odwieajce wiadomoci powinno by organizowane co najmniej raz w roku. Natura zagroenia i stosowane metody ulegaj cigym zmianom, dlatego program szkolenia musi by aktualizowany. Co wicej, czujno zmniejsza si z czasem, dlatego szkolenie musi by powtarzane regularnie, aby wzmocni wiadomo wanoci przestrzegania zasad bezpieczestwa. Tutaj take nacisk musi by pooony na przekonanie ludzi o tym, jak wane s te zasady, i zmotywowanie do ich stosowania poprzez eksponowanie zagroe i metod stosowanych przez socjotechnikw. Kierownictwo musi da swoim podwadnym wystarczajcy czas na zapoznanie si z praktykami i procedurami bezpieczestwa i na uczestnictwo w programie uwiadamiania zagroe. Od pracownikw nie mona oczekiwa poznawania zwizanych z tym praktyk i uczestnictwa w kursach po

275

godzinach pracy. Nowym pracownikom powinno si da wystarczajco duo czasu na zapoznanie si z polityk bezpieczestwa i procedurami, zanim zostan oni wdroeni w swoje normalne obowizki. Pracownicy, ktrzy zmieniaj stanowiska w obrbie jednej organizacji, a ich nowa praca wie si z dostpem do poufnych informacji lub systemw komputerowych, powinni oczywicie by zobligowani do ukoczenia szkolenia z zasad bezpieczestwa dostosowanego do wymogw nowego stanowiska. Na przykad, jeeli operator komputera awansuje na administratora systemu lub recepcjonistka stanie si asystentk, wymagane jest nowe szkolenie.

Uwaga
adne szkolenie dotyczce zasad bezpieczestwa nie jest doskonae, dlatego naley stosowa zabezpieczenia technologiczne, gdzie tylko jest to moliwe, aby stworzy nieprzenikalny system obronny. Oznacza to, e wyznacznikiem bezpieczestwa jest raczej czynnik technologiczny ni czynnik ludzki na przykad wtedy, gdy system operacyjny jest skonfigurowany tak, aby uniemoliwi pracownikom pobieranie programw z Internetu lub wybieranie krtkich, atwych do odgadnicia hase.

Tre szkolenia
Po zredukowaniu do pewnych podstawowych zasad, wszystkie ataki socjotechniczne maj jeden wsplny element: oszustwo. Ofiara zostaje przekonana, e napastnik jest koleg z pracy lub inn osob uprawnion do dostpu do poufnych informacji, ewentualnie kim upowanionym do wydawania polece, ktre wi si z wykonywaniem czynnoci na komputerze lub podobnym sprzcie. Prawie kady z takich atakw mgby by udaremniony, gdyby pracownik bdcy jego celem postpowa zgodnie z nastpujcymi dwoma zasadami: Weryfikacji tosamoci osoby, ktra o co prosi czy osoba jest t, za ktr si podaje? Weryfikacji, czy osoba jest uprawniona czy rzeczywicie potrzebuje tej informacji lub jest w jaki inny sposb uprawniona do jej otrzymania?

276

Jeeli sesje szkoleniowe doprowadziyby do zmiany zachowania pracownikw tak, by kady z nich konsekwentnie konfrontowa kad prob z owymi kryteriami, ryzyko zwizane z atakiem socjotechnika zmniejszyoby si radykalnie. Praktyczny program szkolenia w zakresie bezpieczestwa informacji i wiadomoci zagroe, ktry obejmuje ludzkie zachowania i aspekty socjotechniki, powinien zawiera nastpujce zagadnienia: Opis, w jaki sposb napastnicy uywaj socjotechniki, by oszukiwa ludzi. Metody, jakich uywaj socjotechnicy, aby osign zamierzony cel. Sposoby rozpoznawania ataku socjotechnicznego. Procedura postpowania w przypadku podejrzanej proby. Informacje o tym, gdzie zgasza prby lub udane ataki socjotechniczne. Zwrcenie uwagi na konieczno sprawdzania kadej osoby, ktra kieruje do nas podejrzan prob, niezalenie od jej stanowiska lub miejsca w hierarchii firmy. Uwiadomienie, e nie powinno si z zaoenia wierzy innym bez odpowiedniej weryfikacji, nawet jeeli naturalnym impulsem jest domniemanie niewinnoci. Rola identyfikacji tosamoci kadej osoby, proszcej o informacj lub wykonanie jakiej czynnoci (zobacz: Procedury weryfikacyjne i uwierzytelniajce w rozdziale 16. opisano tam sposoby weryfikowania tosamoci). Procedury ochrony poufnych informacji, cznie ze znajomoci istniejcego systemu klasyfikacji danych. Miejsce, w ktrym mona znale firmowe procedury bezpieczestwa, i ich rola w procesie ochrony informacji i systemw informatycznych. Podsumowanie polityki bezpieczestwa i wyjanienie znaczenia poszczeglnych jej aspektw. Na przykad, kady pracownik powinien by poinstruowany o tym, w jaki sposb stworzy trudne do odgadnicia haso. Obowizek stosowania si do zalece polityki bezpieczestwa i konsekwencje w przypadku niestosowania si do nich.

277

Socjotechnika z definicji obejmuje pewien rodzaj interakcji midzy ludmi. Napastnik bardzo czsto bdzie wykorzystywa wiele metod i technologii komunikacji na drodze do swojego celu. Z tego powodu dobrze opracowany program uwiadamiania zagroe powinien zawiera niektre lub wszystkie z poniszych tematw: Praktyki bezpieczestwa zwizane z hasami umoliwiajcymi dostp do komputera i poczty gosowej. Procedura ujawniania poufnych informacji lub materiaw. Sposb korzystania z poczty elektronicznej, cznie ze rodkami bezpieczestwa chronicymi przed niebezpiecznymi programami: wirusami, komi trojaskimi itp. Fizyczne wymogi bezpieczestwa, takie jak obowizek noszenia identyfikatorw. Obowizek zatrzymywania tych osb przebywajcych na terenie firmy, ktre nie maj identyfikatora. Praktyki bezpieczestwa zwizane z uywaniem poczty gosowej. Klasyfikacja informacji i rodki jej ochrony. Prawidowe sposoby usuwania poufnych dokumentw i nonikw komputerowych, ktre zawieraj lub zawieray kiedykolwiek w przeszoci poufne materiay.

Jeeli firma planuje testy penetracyjne, majce okreli efektywno stosowanych przeciwko atakom socjotechnicznym zabezpiecze, naley o tym uprzedzi pracownikw. Niech wiedz, e w ramach takiego testu mog otrzyma telefon lub e-mail sprawdzajcy ich reakcje. Rezultaty testu nie maj by podstaw wymierzania kar pracownikom, tylko maj suy do okrelenia pewnych dodatkowych obszarw wymagajcych szkolenia. Szczegy dotyczce wszystkich powyszych aspektw mona znale w rozdziale 16.

Sprawdzanie wiedzy
Firma moe chcie sprawdzi, na ile pracownicy opanowali informacje przedstawione na szkoleniu, przed dopuszczeniem ich do komputera. Jeeli tworzymy testy z zamiarem umieszczenia ich w sieci, moemy skorzysta z ktrego z programw wspomagajcych tworzenie takich testw i analizujcych wyniki, ktre pomog nam okreli zagadnienia wymagajce dodatkowego omwienia.

278

Firma moe rwnie przyznawa specjalny certyfikat wiadczcy o ukoczeniu szkolenia z zakresu bezpieczestwa, ktry peni funkcj nagrody i motywatora. Jako rutynowy element szkolenia zaleca si prosi uczestnikw o podpisanie zgody na dostosowanie si do polityki bezpieczestwa i przestrzeganie zasad przekazanych w trakcie szkolenia. Badania dowodz, e osoba, ktra podpisuje takie zobowizanie, czyni wiksze wysiki, by stosowa si do procedur.

Podtrzymywanie wiadomoci
Wikszo z nas zdaje sobie spraw, e ma tendencj do zapominania nawet o wanych rzeczach, jeeli wiedzy tej od czasu do czasu nie odwieymy, a zatem konieczny jest program podtrzymywania wiadomoci. Jedn z metod nadania bezpieczestwu wysokiego priorytetu jest uczynienie kadej osoby w jaki sposb odpowiedzialn za bezpieczestwo informacji. To prowadzi do uwiadomienia jej znaczenia wasnej roli w utrzymaniu bezpieczestwa firmy. W innym przypadku istnieje silna tendencja do mylenia, e bezpieczestwo nie naley do moich obowizkw. Podczas gdy odpowiedzialno za kampani zabezpieczajc informacje jest zwykle przypisana osobie z dziau bezpieczestwa lub informatyki, program uwiadamiania kwestii zwizanych z bezpieczestwem informacji powinien by realizowany wsplnie z dziaem szkole. Program staego podtrzymywania wiadomoci musi wykorzystywa wszelkie moliwoci komunikowania o sprawach bezpieczestwa w taki sposb, aby przekazywana tre bya solidnie zapamitywana i w pracownikach zostay wyrobione waciwe nawyki zwizane z t kwesti. Podobnie jak w reklamie, humor i byskotliwo s tu pomocne. Dziki formuowaniu tych samych komunikatw za kadym razem w inny sposb, unikniemy groby, e z czasem zaczn by ignorowane. Lista rozwiza w zakresie podtrzymywania wiadomoci moe zawiera: Udostpnienie kademu z pracownikw egzemplarza niniejszej ksiki. Zawarcie elementw informacyjnych w wewntrznych publikacjach firmy: artykuach, ramkach (krtkich w treci i przycigajcych uwag) lub np. komiksach.

279

Opublikowanie zdjcia Mistrza Bezpieczestwa na dany miesic. Wieszanie plakatw w miejscach wykonywania pracy. Przesyanie uwag poprzez wewntrzne fora firmy. Doczanie ulotek do kopert zawierajcych np. premi. Wysyanie przypominajcych e-maili. Stosowanie wygaszaczy ekranu o tematyce zwizanej z bezpieczestwem. Zostawianie komunikatw w skrzynkach poczty gosowej pracownikw. Wydrukowanie nalepek na telefony z napisami typu: Czy Twj rozmwca jest na pewno tym, za kogo si podaje?. Wprowadzenie komunikatw przypominajcych, pojawiajcych si na komputerze podczas logowania do systemu, np. Jeeli wysyasz poufn informacj poprzez e-mail, koniecznie j zaszyfruj!. Uwzgldnienie wiadomoci bezpieczestwa jako standardowego elementu skadajcego si na ocen pracownika. Umieszczenie elementw przypominajcych o zasadach bezpieczestwa w intranecie, np. za pomoc kreskwek, humorystycznych obrazkw lub w inny skaniajcy do zainteresowania si nimi. Korzystanie z elektronicznych wywietlaczy np. w stowce lub w firmowym bufecie, ktre od czasu do czasu prezentuj komunikaty dotyczce bezpieczestwa. Dystrybucja broszur. Inne pomysowe chwyty, np. darmowe ciasteczka szczcia zawierajce zamiast wrby ktr z zasad bezpieczestwa.

Zagroenie jest nieustanne, dlatego naley stale o nim przypomina.

A co ja z tego mam?
Oprcz szkole i programu uwiadamiania, zalecam aktywny i dobrze rozpropagowany system nagrd. Naley wyraa uznanie dla pracownikw, ktrzy wykryli atak socjotechniczny i zapobiegli mu lub w inny sposb przyczynili si do sukcesu kampanii bezpieczestwa informacji. Fakt istnie-

280

nia systemu nagrd powinien by komunikowany pracownikom na wszystkich sesjach dotyczcych bezpieczestwa, a wszelkie przypadki naruszenia zasad bezpieczestwa powinny by szeroko rozgaszane w organizacji. Istnieje te druga strona medalu. Ludzie musz by wiadomi konsekwencji niestosowania si do procedur bezpieczestwa z powodu beztroski lub oporu. Wszyscy popeniamy bdy, ale powtarzajce si przypadki naruszenia praktyk bezpieczestwa nie mog by tolerowane.

16
Zalecana polityka bezpieczestwa informacji
Dziewi z kadych dziesiciu wielkich korporacji i agencji rzdowych zostao zaatakowanych przez komputerowych intruzw to wynik bada przeprowadzonych przez FBI i opublikowanych przez Associated Press w kwietniu 2002 roku. Interesujcy jest rwnie fakt, e tylko jedna organizacja na trzy zgosia lub publicznie potwierdzia jakiekolwiek ataki. Powcigliwo w ujawnianiu tego typu informacji ma swoje uzasadnienie. Aby zapobiec utracie zaufania ze strony klientw i kolejnym atakom ze strony intruzw, ktrzy dowiedz si o sabociach firmy, wikszo przedsibiorstw nie podaje do publicznej wiadomoci tego typu incydentw.

282

Wyglda wic na to, e nie istniej statystyki dotyczce atakw socjotechnicznych, a nawet gdyby takowe istniay, nie byyby miarodajne. W wikszoci przypadkw firma nigdy nie dowiaduje si, e zostaa okradziona z informacji, dlatego wikszo atakw pozostaje niezauwaona i nie jest nikomu zgaszana. Przeciwko wikszoci typw atakw socjotechnicznych mona zastosowa rodki zapobiegawcze. Spjrzmy jednak prawdzie w oczy dopki wszyscy czonkowie organizacji nie zrozumiej wagi zabezpiecze, a stosowanie si do regu bezpieczestwa nie stanie si ich osobist spraw, dopty ataki socjotechniczne bd zagraa status quo przedsibiorstwa. W rzeczywistoci, wraz z dostpem do coraz skuteczniejszych technologicznych rodkw zabezpieczajcych, podejcie socjotechniczne wykorzystywanie ludzi do zdobywania zastrzeonej informacji lub wamywania si do firmowej sieci bdzie stosowane coraz czciej i stanie si atrakcyjn metod pracy dla zodziei informacji. Szpieg; przemysowy bdzie chcia oczywicie osign swj cel za pomoc i najatwiejszej i najmniej ryzykownej metody. W istocie, firma, ktra zabezpieczya swoje systemy komputerowe i sie za pomoc najnowszych wyrafinowanych technologii, moe by w zwizku z tym bardziej naraona na ataki ze strony napastnikw uywajcych do osignicia swoich celw metod, strategii i taktyk socjotechnicznych. Rozdzia ten prezentuje zalecane praktyki i procedury stworzone po to, by zminimalizowa ryzyko zwizane z socjotechnik. S one skierowane przeciwko atakom, ktre nie opieraj si cakowicie na wykorzystywaniu luk technologicznych, a dotycz one prb oszukiwania pracownikw i manipulowania nimi w celu uzyskania od nich informacji lub wykonania przez nich czynnoci, ktra umoliwi intruzowi dostp do poufnych informacji firmy lub do firmowej sieci komputerowej.

Czym jest polityka bezpieczestwa?

Polityka bezpieczestwa skada si z jasnych instrukcji, ktre opisuj wytyczne dotyczce zachowania pracownikw w celu ochrony informacji. S one podstawowym budulcem, z ktrego skada si system ochrony przed potencjalnymi zagroeniami. Najwaniejszym zadaniem tych instrukcji jest jednak pomoc w wykrywaniu atakw socjotechnicznych i zapewnienie ochrony przed nimi.

283

Efektywne rodki ochrony s wdraane poprzez szkolenie pracownikw na bazie dobrze opracowanych instrukcji i procedur. Wana jest wiadomo, e wszelkie zalecenia, nawet najskrupulatniej przestrzegane przez wszystkich pracownikw, nie gwarantuj ochrony przed kadym atakiem socjotechnicznym. Realnym celem powinno by zmniejszenie i ryzyka takiego ataku do akceptowalnego poziomu. Instrukcje tu przedstawione opisuj rwnie rodki nie zwizane cile z socjotechnik, a jednak zostay tu opisane, poniewa maj jaki zwizek z technikami stosowanymi podczas atakw. Przykadem mog by instrukcje dotyczce otwierania zacznikw do poczty, ktre mog zawiera konia trojaskiego umoliwiajcego napastnikowi przejcie kontroli nad komputerem ofiary. Jak wida, s one zwizane z jedn z czsto stosowanych przez komputerowych intruzw metod.

Etapy tworzenia programu

Wszechstronny program ochrony informacji zwykle zaczyna si od oceny ryzyka, ktra ma na celu okrelenie: Jakie zasoby informacyjne przedsibiorstwa musz podlega ochronie? Jakie konkretne zagroenia istniej wobec tych zasobw? Jak szkod mogoby spowodowa urzeczywistnienie si potencjalnych zagroe?

Gwnym celem oceny ryzyka jest ustalenie, ktre z zasobw wymagaj natychmiastowego zabezpieczenia i czy zastosowane rodki bezpieczestwa bd opacalne po uwzgldnieniu analizy zyskw i strat. Mwic prosto: ktre zasoby trzeba najpierw zabezpieczy i ile bdzie to kosztowao? Bardzo wane jest, by wysza kadra zarzdzajca silnie popieraa konieczno stworzenia polityki bezpieczestwa i programu ochrony informacji. Podobnie jak w przypadku kadego przedsiwzicia angaujcego ca firm, warunkiem powodzenia takiego programu jest nie tylko poparcie, ale rwnie demonstracja zaangaowania i dawanie przykadu przez kierownictwo. Pracownicy musz by wiadomi, e kadra zarzdzajca wykazuje siln wiar w to, i bezpieczestwo informacji jest niezbdne dla funkcjonowa-

284

nia przedsibiorstwa, e ochrona informacji handlowych jest konieczna dla utrzymania pozycji na rynku i e sukces programu jest uzaleniony od indywidualnej postawy kadego z pracownikw. Osoba, ktrej zlecono napisanie procedur i instrukcji bezpieczestwa, musi mie wiadomo, e w dokumentach tych naley unika argonu technicznego, aby byy jasne dla pracownikw nie obeznanych z technik. Wane jest, aby wyjaniano w nim, dlaczego kade z zalece jest istotne; w innym przypadku pracownicy mog odrzuci niektre zalecenia, uznajc stosowanie si do nich za strat czasu. Osoba piszca powinna stworzy jeden dokument, ktry prezentuje polityk firmy z podziaem na poszczeglne zalecenia, i drugi, ktry zawiera szczegowe procedury. Pierwszy, oglny dokument prawdopodobnie nie bdzie tak czsto ulega zmianom jak dokument zawierajcy procedury. Dodatkowo, twrca tych dokumentw powinien by wiadomy sposobw, na jakie mona wykorzystywa technologie zabezpieczajce w celu wzmocnienia praktyk bezpieczestwa. Na przykad, wikszo systemw operacyjnych moe domaga si od uytkownika, aby jego haso speniao pewne wymagania (np. dugo). W niektrych firmach zakaz pobierania programw moe by kontrolowany poprzez odpowiednie globalne i lokalne ograniczenia zdefiniowane w systemie. Polityka firmy powinna wymaga korzystania z technologii tam, gdzie tylko jest to opacalne, w celu wyeliminowania czynnika ludzkiego z procesu decyzyjnego. Pracownicy musz by poinformowani o konsekwencjach niestosowania si do zalece i procedur. Powinno si stworzy zestaw kar za naruszenie instrukcji i szeroko go rozpropagowa. Oprcz tego mona stworzy system nagrd dla pracownikw dajcych dobry przykad w stosowaniu zasad bezpieczestwa oraz osb, ktre rozpoznay i zgosiy wystpienie ataku. Kade nagrodzenie pracownika za udaremnienie ataku powinno by szeroko rozreklamowane, np. poprzez artyku w wewntrznym biuletynie firmy. Jednym z celw programu uwiadamiania zagroe jest komunikowanie o ogromnej wadze zalece bezpieczestwa i szkodach, jakie moe spowodowa postpowanie niezgodne z nimi. Natura ludzka bdzie czasem skania pracownikw do ignorowania lub omijania zalece, ktre wydaj si bezzasadne lub zbyt czasochonne. Rola kierownictwa polega na dopilnowaniu, aby pracownicy rozumieli istot tych zalece i byli zmotywowani do ich stosowania, zamiast traktowa je jak przeszkody do ominicia. Szczegw polityki bezpieczestwa informacji nie mona wyry na kamiennych tablicach. W miar jak zmieniaj si firmy i rynki, jak pojawiaj

285

si nowe technologie bezpieczestwa i jak ewoluuj zagroenia, naley zmienia rwnie polityk bezpieczestwa. Musi istnie proces regularnego przegldu i aktualizacji treci w niej zawartych. Zalecenia i procedury powinno si udostpni w intranecie lub przechowywa w oglnie dostpnym katalogu. To zwiksza prawdopodobiestwo ich czstego przegldania, a jednoczenie daje wygodn metod szukania odpowiedzi na te pytania zwizane z bezpieczestwem, ktre szczeglnie nurtuj pracownikw. Naley te przeprowadza periodyczne testy penetracyjne i ocen zagroe przy uyciu metod i taktyk socjotechnicznych, aby ujawni wszelkie saboci w procesie szkolenia lub tendencj do nieprzestrzegania pewnych zalece. Przed zastosowaniem taktyk socjotechnicznych na potrzeby testu naley poinformowa pracownikw, e co takiego moe nastpi w kadej chwili.

Jak korzysta z instrukcji?

Szczegowe instrukcje zaprezentowane w tym rozdziale stanowi tyko cz zestawu niezbdnego do zmniejszenia ryzyka zwizanego z wszystkimi typami zagroe. Dlatego te zawarte tu instrukcje nie powinny by traktowane jako wyczerpujca lista zagadnie. Stanowi one bardziej podstaw do zbudowania wyczerpujcego zbioru zalece i procedur odpowiadajcego specyficznym potrzebom naszej firmy. Twrcy instrukcji w danej firmie powinni wybra te, ktre s zgodne ze specyfik przedsibiorstwa i jego celami. Kada organizacja, majc inne wymogi dotyczce kwestii bezpieczestwa, zalene od swoich potrzeb, wymaga prawnych, kultury i stosowanych systemw informatycznych, zaadaptuje cz z przedstawionych tu instrukcji, a reszt odrzuci. Naley rwnie zastanowi si, jak surowe maj by zalecenia w kadej z kategorii. Mniejsza firma, ulokowana w jednym budynku, gdzie wszyscy si znaj, nie musi si zbytnio przejmowa tym, e napastnik zadzwoni, podajc si za koleg z tej samej firmy (chocia oszust moe rwnie dobrze poda si za dostawc). Poza tym, niezalenie od istniejcych zagroe, organizacja o do lunej i swobodnej strukturze moe chcie przej tylko ograniczony zestaw zalece, by sprosta swoim celom w zakresie bezpieczestwa.

286

Klasyfikacja danych
Polityka klasyfikacji danych stanowi fundament ochrony zasobw informacyjnych przedsibiorstwa i ustala kategorie rzdzce trybem udzielania poufnych informacji. Jest ona szkieletem systemu ochrony danych firmy i uwiadamia pracownikom stopie poufnoci kadej z informacji. Dziaanie bez odgrnej klasyfikacji danych, ktra obecnie stanowi o zachowaniu status quo kadej nowoczesnej organizacji, pozostawia wikszo decyzji w rkach indywidualnych pracownikw. Naturalnie ich decyzje s oparte w wikszej mierze na czynnikach subiektywnych ni na stopniu poufnoci, wagi i wartoci informacji. Informacje wyciekaj z firm rwnie dlatego, e pracownicy nie s wiadomi, i osoba, ktra prosi ich o informacj, moe by napastnikiem. Polityka klasyfikacji danych ustala reguy klasyfikacji wartociowych danych na kilka poziomw. Po przyporzdkowaniu kadej informacji do kategorii, pracownik moe postpowa zgodnie z procedurami udostpniania danych, ktre chroni firm przed nieumylnym i beztroskim ujawnieniem poufnej informacji. Procedury te ograniczaj moliwo oszukania pracownika przez osob nieupowanion do otrzymania informacji. Kady pracownik musi zapozna si na szkoleniu z polityk klasyfikacji danych; dotyczy to rwnie osb, ktre zwykle nie korzystaj z komputerw lub firmowych rodkw komunikacji. Poniewa kady czonek organizacji, cznie z pracownikami ekip sprztajcych, ochron budynku, obsug punktu ksero, a nawet konsultantami, wykonawcami prac zleconych i asystentami, moe mie dostp do poufnych informacji i tym samym sta si celem ataku. Kierownictwo musi wyznaczy posiadaczy informacji odpowiedzialnych za wszystkie moliwie informacje, jakich uywa firma. Posiadacz informacji jest odpowiedzialny midzy innymi za ochron zasobw informacyjnych. Zwykle to on decyduje, do jakiego poziomu naley zakwalifikowa posiadan przez niego informacj w oparciu o stopie potrzebnej ochrony; od czasu do czasu ponownie ocenia kategori poufnoci i decyduje, czy wymagana jest jej zmiana. Posiadacz informacji moe rwnie delegowa swoj odpowiedzialno za ochron danych wyznaczonym osobom.

287

Kategorie klasyfikacji i ich definicje

Informacje powinny by podzielone na rne poziomy w zalenoci od stopnia ich poufnoci. Po ustanowieniu okrelonego systemu klasyfikacji proces ponownej klasyfikacji na nowe kategorie jest kosztowny i czasochonny. W naszym przykadzie stworzone zostay cztery poziomy klasyfikacji, co jest odpowiednim rozwizaniem dla wikszoci rednich i duych przedsibiorstw. W zalenoci od liczby i typw poufnych informacji, firma moe doda wicej kategorii, aby bardziej szczegowo zarzdza rnymi typami informacji. W mniejszych firmach trzystopniowa klasyfikacja powinna okaza si wystarczajca. Naley pamita o tym, e im bardziej skomplikowana klasyfikacja, tym bardziej kosztowne jest szkolenie pracownikw i przestrzeganie ustale. Tajne. Jest to kategoria obejmujca najbardziej poufne informacje. Tajna informacja jest przeznaczona tylko do uytku wewntrz firmy. W wikszoci przypadkw naley j udostpnia bardzo ograniczonej liczbie osb, ktrym jest ona niezbdnie potrzebna. Natura informacji tajnej jest taka, e ujawnienie jej osobie niepowoanej moe mie powany wpyw na firm, jej akcjonariuszy, partnerw oraz klientw. Informacje tajne zwykle nale do jednej z poniszych trzech kategorii: Informacja o tajemnicach handlowych, zastrzeony kod rdowy, specyfikacje techniczne lub funkcjonalne, ktre mog zosta wykorzystane przez konkurenta. Informacja marketingowa lub finansowa zastrzeona dla ogu. Jakakolwiek inna informacja, ktra ma podstawowe znaczenie dla dziaalnoci firmy.

Prywatne. Kategoria ta obejmuje informacje natury osobistej, ktre s przeznaczone do uytku wewntrznego w organizacji. Kade nieuprawnione udostpnienie prywatnej informacji moe mie duy wpyw na pracownika lub firm, jeeli zdobyte zostao przez osob do niej nieupowanion (szczeglnie socjotechnika). Do informacji prywatnych nale wyniki bada lekarskich pracownikw, informacje o koncie bankowym, historia wypat i kade inne osobiste informacje identyfikacyjne, ktre nie s przeznaczone dla ogu.

288

Uwaga
Kategoria informacji wewntrznych czsto bywa te opisywana jako poufne. Wybraem jednak termin wewntrzne, poniewa wyjania on, dla kogo informacje te s przeznaczone. Termin poufne stosowany jest tu jako wygodny sposb odnoszenia si do informacji tajnych, prywatnych i wewntrznych. Innymi sowy, informacje poufne to wszelkie informacje, ktre nie s udostpnione ogowi.

Wewntrzne. Kategoria ta oznacza informacj, ktr wolno udostpnia kadej osobie bdcej pracownikiem firmy. Zwykle udostpnienie informacji wewntrznej osobie nieupowanionej nie moe wyrzdzi duej szkody firmie, udziaowcom, kooperantom, klientom i pracownikom. Jednak osoba biega w socjotechnice moe uy tej informacji, aby wcieli si w upowanionego pracownika, wykonawc usug lub dostawc i oszuka ktrego z pracownikw, wyudzajc od niego informacje o wikszym stopniu poufnoci, ktre w rezultacie mog umoliwi mu, na przykad, dostp do firmowej sieci komputerowej. Przed udostpnieniem informacji wewntrznej osobom trzecim, takim jak przedstawiciele dostawcw, wynajci pracownicy, firmy partnerskie, naley podpisa z nimi stosown umow o poufnoci tych danych. Informacje wewntrzne to wszystko to, co uywane jest w biecej dziaalnoci firmy, a nie powinno by udostpniane na zewntrz, np. struktura organizacyjna, numery dial-up do sieci firmowej, nazwy wewntrznych systemw, procedury zdalnego dostpu, kody ksigowe itp. Publiczne. Informacje, ktre s udostpniane ogowi. Mog one by dowolnie rozpowszechniane. S to np. informacje dla prasy, informacje kontaktowe w sprawie obsugi klienta i broszury produktw. Naley pamita, e kada informacja nie oznaczona jednoznacznie jako publiczna, powinna by traktowana jako poufna.

Terminologia zwizana z klasyfikacja, danych

Waciwie sklasyfikowane dane powinny by przekazywane odpowiednim kategoriom pracownikw. Cz instrukcji w tym rozdziale opisuje udzielanie informacji osobie nie zweryfikowanej. Na potrzeby tych instrukcji pojcie osoby nie zweryfikowanej oznacza kogo, kogo pracownik nie zna osobicie jako obecnego pracownika lub jako upowanionego do otrzymania poufnej informacji, o ktr prosi.

289

Osoba zaufana oznacza tu osob, z ktr pracownik mia okazj zetkn si bezporednio i co do ktrej ma pewno, e jest ona pracownikiem firmy, klientem lub konsultantem o randze, ktra pozwala mu na dostp do danej informacji. Osoba zaufana moe by rwnie pracownikiem firmy posiadajcej trwae zwizki z nasz firm (np. klient, dostawca lub partner strategiczny, ktry podpisa umow o poufnoci). Porczenie osoby trzeciej oznacza sytuacj, kiedy osoba zaufana weryfikuje status lub fakt zatrudnienia osoby i jej prawo do proby o informacj lub wykonanie czynnoci. Naley pamita, e w niektrych przypadkach instrukcje nakazuj dodatkow weryfikacj, czy osoba zaufana wci pozostaje pracownikiem przedsibiorstwa przed udzieleniem informacji pytajcemu. Konto uprzywilejowane jest to konto w systemie komputerowym lub innym z prawami dostpu wykraczajcymi poza podstawowe prawa uytkownika, np. z prawami do administrowania systemem. Pracownicy posiadajcy konta uprzywilejowane zwykle maj moliwo modyfikacji przywilejw innych uytkownikw oraz wykonywania czynnoci zwizanych z administrowaniem systemem. Oglnowydziaowe powitanie w poczcie gosowej to skrzynka poczty gosowej, na ktrej nagrano powitanie oglne dla wydziau firmy. Tego typu nagranie chroni nazwiska i numery wewntrzne osb, pracujcych w danym wydziale.

Procedury weryfikacyjne i autoryzacyjne

Zodzieje informacji przewanie uywaj podstpw, aby uzyska dostp do zastrzeonych informacji firmy udaj pracownikw firmy, podwykonawcw, dostawcw lub partnerw w interesach. Aby zapewni efektywn ochron informacji, pracownik proszony o wykonanie czynnoci lub udzielenie poufnej informacji musi dokona pozytywnej identyfikacji osoby dzwonicej i zweryfikowa, czy jest ona osob upowanion, zanim prob t speni. Zalecane procedury, opisane w tym rozdziale, s stworzone po to, by pomc pracownikowi, ktry otrzymuje prob poprzez ktrykolwiek z kanaw komunikacyjnych, takich jak telefon, e-mail lub faks, w sprawdzeniu, czy proba ta jest uzasadniona.

290

Proba osoby zaufanej

Proba ze strony osoby zaufanej moe wymaga: Weryfikacji, czy firma obecnie zatrudnia t osob lub czy utrzymuje z ni jakie zwizki, ktre upowaniaj do dostpu do danych, o ktre prosi. Dziki temu unikamy sytuacji, kiedy byli pracownicy, dostawcy, wykonawcy itp. podaj si za aktualnie upowanionych. Weryfikacji, czy osoba naprawd potrzebuje tej informacji i czy jest upowaniona do dostpu do niej.

Proba osoby nie zweryfikowanej

Kiedy proba pochodzi ze strony osoby nie zweryfikowanej, naley zastosowa odpowiedni proces weryfikacji, aby jednoznacznie zidentyfikowa osob pytajc jako upowanion do otrzymania danej informacji, szczeglnie, jeeli proba dotyczy komputera lub podobnego sprztu. Proces ten jest podstawowym zabezpieczeniem przed atakami socjotechnicznymi: jeeli pracownicy bd postpowa zgodnie z procedurami weryfikacyjnymi, radykalnie obniy to skuteczno atakw socjotechnicznych. Wane jest, aby proces ten nie by tak skomplikowany, e a nieopacalny lub ignorowany przez pracownikw. Proces weryfikacji skada si z nastpujcych krokw: Weryfikacja, czy osoba jest t, za ktr si podaje. Sprawdzenie, czy pytajcy jest obecnie zatrudniony lub ma jakikolwiek zwizek z firm tumaczcy potrzeb wiedzy. Ustalenie, czy osoba jest upowaniona do otrzymania danej informacji lub do wykonania dla niej danej czynnoci.

Krok pierwszy weryfikacja tosamoci

Zalecane kroki w procesie weryfikacji zostay wymienione poniej w kolejnoci swojej efektywnoci. Im wysza liczba, tym wiksza skuteczno metody. Przy kadej metodzie zostay wymienione jej saboci i sposb, w jaki socjotechnik moe j obej.

291

1. Identyfikacja rozmwcy (przy zaoeniu, e firma ma udostpniony system identyfikacji). Patrzc na wywietlony numer lub nazw upewnij si, czy telefon pochodzi z firmy, czy spoza niej i czy numer ten odpowiada nazwisku podanemu przez dzwonicego. Sabo: Zewntrzny identyfikator moe by sfaszowany przez osob majc dostp do PBX lub centrali poczonej z cyfrow sieci telefoniczn. 2. Oddzwanianie. Wyszukaj rozmwc w spisie telefonw firmy i oddzwo do niego pod podany w spisie numer, aby upewni si, czy jest on jej pracownikiem firmy. Sabo: Napastnik posiadajcy odpowiedni wiedz moe przekierowa rozmow z danego numeru wewntrznego na terenie firmy. Wwczas oddzwonienie pod numer wewntrzny z firmowego spisu telefonw spowoduje przekierowanie rozmowy na numer zewntrzny napastnika. 3. Porczenie. Zaufana osoba, porczajc tosamo, weryfikuje dzwonicego. Sabo: Napastnicy czsto s w stanie przekona jednego z pracownikw co do swojej tosamoci i sprawi, eby ten porczy za niego u innego pracownika. 4. Wsplna tajemnica. Uycie wewntrznej wsplnej tajemnicy firmy, np. hasa lub kodu dnia. Sabo: Jeeli wielu ludzi zna wspln tajemnic, jej poznanie moe by dla napastnika banalnie atwym zadaniem. 5. Szef lub zwierzchnik dzwonicego. Telefon do bezporedniego przeoonego z prob o weryfikacj. Sabo: Jeeli dzwonicy sam poda numer telefonu swojego szefa, osoba, do ktrej si dodzwonimy, moe nie by w rzeczywistoci szefem, tylko wsplnikiem napastnika. 6. Bezpieczny e-mail. Wymagaj wiadomoci pocztowej z podpisem elektronicznym. Sabo: Jeeli napastnik zdy ju wama si do systemu komputerowego i zainstalowa pogram skanujcy nacinite klawisze, by w ten sposb uzyska haso pracownika, moe sam wysa podpisan elektronicznie wiadomo, ktra bdzie wygldaa, jakby pochodzia od pracownika firmy. 7. Identyfikacja gosu. Osoba, do ktrej skierowana jest proba, miaa ju do czynienia z dzwonicym (najlepiej twarz w twarz), a wic wie, e osoba ta jest zaufana i zna j na tyle dobrze, by rozpozna jej gos przez telefon.

292

Sabo: Jest to do bezpieczna metoda, ktrej nie da si atwo obej, jednak nie ma zastosowania w sytuacji, gdy odbierajcy telefon nigdy nie spotka osoby dzwonicej ani z ni nie rozmawia. 8. Hasa dynamiczne. Dzwonicy identyfikuje si za pomoc jednej z technologii udostpniajcej hasa dynamiczne. Sabo: Aby omin to zabezpieczenie, napastnik musi wej w posiadanie jednego z urzdze identyfikujcych i przyporzdkowanego mu kodu PIN waciciela lub zmanipulowa pracownika w taki sposb, aby ten odczyta kod z urzdzenia oraz poda swj PIN. 9. Osoba z identyfikatorem. Osoba majca do nas prob pojawia si osobicie i okazuje identyfikator pracownika lub podobnego rodzaju dokument identyfikujcy, najlepiej ze zdjciem. Sabo: Napastnicy s w stanie ukra identyfikator pracownika lub stworzy faszywy identyfikator, ktry wyglda przekonujco. Napastnicy jednak unikaj takich metod, poniewa pojawianie si osobicie na terenie firmy wie si z ryzykiem identyfikacji i zatrzymania.

Krok drugi: weryfikacja statusu pracownika

Najwiksze zagroenie bezpieczestwa informacji pochodzi nie ze strony profesjonalnego socjotechnika ani ze strony komputerowego hakera, tylko od kogo o wiele bliszego: zwolnionego wanie pracownika, ktry szuka zemsty lub ma nadziej wykorzysta dla siebie informacje skradzione z byej firmy. (Wersja tej procedury moe suy rwnie do weryfikacji, czy dana osoba w dalszym cigu pozostaje w jakim zwizku z firm, np. jest dostawc, konsultantem lub pracownikiem kontraktowym). Przed udzieleniem poufnej informacji innej osobie lub zgod na wykonanie jakiej czynnoci na komputerze lub podobnym sprzcie, naley za pomoc poniszych metod zweryfikowa, czy osoba proszca o interwencj pozostaje pracownikiem firmy: Sprawdzenie listy pracownikw. Jeeli firma udostpnia w wewntrznej sieci spis pracownikw, ktry dokadnie odzwierciedla stan biecy, naley sprawdzi, czy osoba dzwonica jest na tej licie. Weryfikacja ze strony przeoonego. Naley zatelefonowa do przeoonego osoby dzwonicej do nas, korzystajc z numeru telefonu wymienionego w firmowym spisie telefonw, a nie z numeru, ktry poda sam dzwonicy. Weryfikacja ze strony dziau. Naley zadzwoni do dziau, w ktrym pracuje rozmwca, i zapyta dowoln osob tam pracujc, czy dzwonicy jest aktualnie zatrudniony w dziale.

293

Krok trzeci: weryfikacja uprawnienia do informacji

Poza weryfikacj, czy osoba wystpujca do nas z prob jest aktualnie zatrudniona w firmie lub ma z ni powizanie, pozostaje jeszcze kwestia upewnienia si, czy osoba ta jest uprawniona do uzyskania informacji, o ktre prosi, lub czy uprawniona jest do wykonania czynnoci (na komputerze lub podobnym urzdzeniu), o jakie nas prosi. Sprawdzenia mona dokona jedn z poniszych metod: Sprawd listy stanowisk, grup roboczych, zakresw odpowiedzialnoci. Firma moe zapewni dostp do informacji autoryzacyjnych, publikujc listy opisujce uprawnienia poszczeglnych pracownikw do rnych informacji. Listy te mog by zorganizowane wzgldem stanowisk, dziaw, zakresw odpowiedzialnoci lub kombinacji tyche. Listy te naley udostpni w sieci firmowej, co umoliwia ich biec aktualizacj i uatwia dostp. Zwykle posiadaczy informacji czyni si odpowiedzialnymi za stworzenie i utrzymanie listy dostpu do informacji znajdujcych si pod ich kontrol.

Uwaga
Stosowanie takiej listy moe by te zaproszeniem dla socjotechnika. Jeeli napastnik dowie si, e taka lista istnieje, bdzie si usilnie stara wej w jej posiadanie. Dysponujc ni moe otworzy sobie wiele drzwi i narazi firm na powane zagroenie.

Uzyskaj autoryzacj od przeoonego. Pracownik kontaktuje si ze swoim przeoonym lub przeoonym proszcego o informacj, aby uzyska autoryzacj danej proby. Uzyskaj autoryzacj od posiadacza informacji lub osoby przez niego desygnowanej. Posiadacz informacji jest ostateczn wyroczni w kwestii, czy dana osoba ma prawo do informacji, ktr zarzdza. W przypadku proby wicej si z dostpem do komputera, pracownik musi skontaktowa si z bezporednim zwierzchnikiem dzwonicego, by zaaprobowa on prob o dostp na podstawie istniejcych profili stanowisk. Jeeli profile takie nie istniej, obowizkiem zwierzchnika jest skontaktowanie si z posiadaczem informacji, aby uzyska od niego zgod. Naley trzyma si tego acucha polece, aby posiadacz informacji nie by zbyt obciony zapytaniami w sytuacjach, gdy czsto istnieje potrzeba weryfikacji.

294

Uzyskaj autoryzacj za pomoc odpowiedniego oprogramowania firmowego. Dla duej firmy dziaajcej w brany, w ktrej jest silna konkurencja, celowe moe okaza si stworzenie pakietu oprogramowania, ktry umoliwia autoryzacj. Jest to baza danych przechowujca list nazwisk pracownikw wraz z ich prawami dostpu do zastrzeonych informacji. Uytkownicy bazy nie bd mieli moliwoci przegldania uprawnie poszczeglnych osb, ale bd mogli wprowadzi nazwisko osoby i identyfikator informacji, o ktr prosi. Baza udzieli wwczas odpowiedzi, czy dany pracownik jest uprawniony do uzyskania danej informacji. Dziki takiemu rozwizaniu unikamy koniecznoci tworzenia otwartej listy pracownikw wraz z uprawnieniami, ktra mogaby zosta skradziona.

Instrukcje dla kierownictwa

Wymienione tu instrukcje odnosz si do pracownikw na kierowniczych stanowiskach. Zostay one podzielone na zagadnienia klasyfikacji danych, ujawniania informacji, administracji telefonami i pozostae zagadnienia. Jak wida, kada kategoria instrukcji uywa odrbnej struktury numerowania, co uatwia identyfikacj pojedynczych instrukcji.

Instrukcje klasyfikacji danych

Klasyfikacja danych to sposb podziau poufnych informacji w firmie oraz praw dostpu do nich.

1.1. Przyporzdkuj informacje do kategorii

Instrukcja. Wszystkie wartociowe, poufne lub krytyczne dla dziaalnoci firmy informacje musz zosta przyporzdkowane do ktrej z kategorii przez posiadacza informacji lub osob przez niego wyznaczon. Uwagi. Posiadacz informacji lub osoba uprawniona przyporzdkowuj odpowiedni kategori kadej informacji uywanej rutynowo w dziaalnoci firmy. Waciciel ustala te, kto ma dostp do tych informacji i w jaki sposb mona je wykorzystywa. Posiadacz informacji moe zmieni przyporzdkowanie lub ustali czas, po upyniciu ktrego klasyfikacja przestaje obowizywa.

295

Kada informacja nie oznaczona w inny sposb powinna by traktowana jako poufna.

1.2. Opublikuj procedury udostpniania informacji

Instrukcja. Firma musi stworzy procedury rzdzce udostpnianiem informacji w ramach kadej z kategorii. Uwagi. Po utworzeniu klasyfikacji naley utworzy procedury udostpniania informacji pracownikom i osobom z zewntrz, zgodnie z opisem przedstawionym w punkcie Procedury weryfikacyjne i autoryzacyjne wczeniej w tym rozdziale.

1.3. Oznacz wszystkie moliwe noniki informacji

Instrukcja. Zarwno materiay drukowane, jak i media komputerowe zawierajce poufne informacje powinny by wyranie oznaczone nazw kategorii poufnoci, do ktrej przynale. Uwagi. Dokumenty wydrukowane musz mie okadk z wyranym oznaczeniem stopnia poufnoci. Oznaczenie to powinno rwnie znajdowa si w widocznym miejscu na kadej stronie dokumentu, tak aby byo moliwie do odczytania, gdy dokument jest otwarty na ktrej ze stron. Pliki w komputerze, ktrych nie da si atwo opisa (jak pliki baz danych lub pliki binarne), naley chroni poprzez kontrol dostpu, aby zapewni, e tego typu informacja nie zostanie w nieodpowiedni sposb udostpniona, a przy okazji zabezpieczy j przed zmian, zniszczeniem itp. Wszelkie media komputerowe, takie jak dyskietki, tamy i dyski CD-ROM, musz by oznaczone kategori, ktra przypisana jest najbardziej poufnej informacji na nich przechowywanej.

Udostpnianie informacji
Udostpnianie informacji polega na przekazywaniu ich osobie, na podstawie jej tosamoci i uprawnie.

2.1. Procedura weryfikacji pracownikw

Instrukcja. Firma powinna stworzy dokadne procedury postpowania, przeznaczone dla pracownikw, do celw weryfikacji tosamoci, statusu zatrudnienia i upowanienia osoby przed udostpnieniem jej poufnej informacji lub wykonaniem zadania za pomoc komputera.

296

Uwagi. Tam gdzie jest to usprawiedliwione rozmiarami firmy i jej potrzebami w zakresie bezpieczestwa, powinno si stosowa zaawansowane technologie uwierzytelniajce. Najlepszym rozwizaniem jest zastosowanie osobistych urzdze uwierzytelniajcych w poczeniu ze wspln tajemnic firmy do weryfikacji osb. Rozwizanie to na pewno pozwoli zmniejszy ryzyko, ale moe okaza si dla niektrych firm zbyt kosztowne. W takim przypadku firma powinna korzysta ze wsplnej tajemnicy, takiej jak codziennie zmieniane haso lub kod.

2.2. Ujawnianie informacji osobom trzecim

Instrukcja. Naley stworzy zbir procedur udostpniania informacji i przeszkoli personel w zakresie ich stosowania. Uwagi. Odrbne procedury dystrybucji informacji musz by stworzone dla: Udostpniania informacji w obrbie firmy. Udostpniania informacji osobom i pracownikom pozostajcym w jakim zwizku z firm, takim jak konsultanci, pracownicy tymczasowi, pracownicy dostawcw, firm obsugujcych nasze przedsibiorstwo lub firm bdcych strategicznymi partnerami itp. Udostpniania informacji na zewntrz. Udostpniania informacji z kadego poziomu klasyfikacji w przypadkach: udzielania jej osobicie, telefonicznie, poprzez e-mail, faksem, poczt zwyk, przesyk kuriersk lub za pomoc transferu elektronicznego.

2.3. Dystrybucja informacji tajnych

Instrukcja. Informacje tajne, ktre w przypadku dostania si w rce osb niepowoanych mog wyrzdzi powan szkod firmie, mog by przekazywane tylko osobom zaufanym, ktre s uprawnione do ich otrzymania. Uwagi. Informacja tajna w formie materialnej (tzn. wydruk lub przenone medium komputerowe) moe by przekazana: osobicie; poczt wewntrzn, po zapiecztowaniu i oznaczeniu jako tajne;

297

na zewntrz za pomoc godnej zaufania firmy kurierskiej z wymaganiem podpisu odbierajcego lub za pomoc usugi pocztowej umoliwiajcej oznaczenie przesyki jako poufna.

Tajne informacje w formie elektronicznej (pliki, bazy danych, e-maile) mog by przekazywane: w treci zaszyfrowanej wiadomoci e-mail; w zaczniku do poczty jako plik zaszyfrowany; poprzez transfer elektroniczny w obrbie sieci wewntrznej firmy; za porednictwem programu wysyajcego faksy z komputera, o ile osoba odbierajca jako jedyna korzysta z aparatu faksowego, pod ktry informacja jest wysyana. Alternatywnie faksy mona wysya bez obecnoci odbiorcy informacji po drugiej stronie, przy zastosowaniu szyfrowanego cza telefonicznego i przesaniu informacji na serwer faksowy zabezpieczony hasem. Poufne informacje mog by przekazywane osobicie, przez telefon wewntrz firmy, przez telefon zewntrzny (o ile rozmowa jest szyfrowana), poprzez szyfrowane cze satelitarne, szyfrowan wideokonferencj oraz szyfrowany protok transferu gosu poprzez Internet (VoIP). Przy transmisjach za pomoc faksu zalecana metoda wymaga wysania w pierwszej kolejnoci strony tytuowej. Odbiorca po otrzymaniu strony faksuje odpowied potwierdzajc jego obecno przy aparacie. Dopiero wwczas nadawca przesya reszt faksu. Nastpujce rodki komunikacji nie s do zaakceptowania do dystrybucji tajnych danych: nieszyfrowany e-mail, wiadomo zostawiona w poczcie gosowej, poczta zwyka i jakakolwiek forma komunikacji bezprzewodowej (telefony komrkowe, SMS-y itp.).

2.4. Dystrybucja informacji prywatnych

Instrukcja. Informacje prywatne, czyli osobiste dane dotyczce zatrudnionego lub zatrudnionych, w przypadku ujawnienia mogyby zosta uyte do wyrzdzenia szkody firmie lub pracownikom. Mona ich udziela jedynie osobie zaufanej, ktra jest uprawniona do ich otrzymania. Uwagi. Informacje prywatne w formie materialnej (tzn. wydruk lub przenone medium komputerowe) mog by przekazywane:

298

osobicie; poczt wewntrzn, po zapiecztowaniu i oznaczeniu jako tajne; poczt zwyk. Prywatne informacje w formie elektronicznej (pliki, bazy danych, e-maile) mog by przekazywane: wewntrzn poczt elektroniczn; transferem elektronicznym do serwera w obrbie wewntrznej sieci firmy; faksem, o ile adresat informacji jako jedyny korzysta z danego aparatu faksowego lub oczekuje przy danym aparacie na przesanie faksu. Faksy mona te wysya na zabezpieczone hasem serwery faksowe. Alternatywnie faksy mona wysya bez obecnoci odbiorcy informacji po drugiej stronie, przy zastosowaniu szyfrowanego cza telefonicznego i przesaniu informacji na serwer faksowy zabezpieczony hasem.

Informacja prywatna moe by przekazywana osobicie, telefonicznie, przy wykorzystaniu transmisji satelitarnej, cza wideokonferencyjnego lub zaszyfrowanego protokou VoIP . Nastpujce rodki komunikacji nie s do zaakceptowania w przypadku dystrybucji prywatnych danych: nieszyfrowana poczta elektroniczna, wiadomoci poczty gosowej, poczta zwyka i jakakolwiek forma komunikacji bezprzewodowej (telefony komrkowe, SMS-y itp.).

2.5. Dystrybucja informacji wewntrznej

Instrukcja. Wewntrzna informacja to informacja udostpniana tylko w obrbie firmy lub tym zaufanym osobom spoza firmy, ktre podpisay odpowiedni dokument o poufnoci danych. Naley ustanowi odpowiednie dyrektywy opisujce dystrybucj informacji wewntrznych. Uwagi. Informacja wewntrzna moe by przekazywana w kadej formie, cznie z wewntrzn poczt elektroniczn, nie moe jednak wyj poza firm jako niezaszyfrowana wiadomo e-mail.

2.6. Omamianie poufnych spraw przez telefon

Instrukcja. Przed podaniem przez telefon informacji, ktra nie jest oznaczona jako publiczna, osoba j podajca musi rozpoznawa gos pytajcego lub system telefoniczny firmy musi zidentyfikowa numer telefonu pytajcego jako wewntrzny i skojarzony z jego nazwiskiem.

299

Uwagi. Jeeli gos pytajcego nie jest znajomy, naley zadzwoni pod jego numer wewntrzny, aby zweryfikowa jego gos na podstawie nagranej wiadomoci powitalnej, lub poprosi zwierzchnika osoby, z ktr rozmawiamy, o potwierdzenie, e jest ona upowaniona do uzyskania danej informacji.

2.7. Procedury dla personelu recepcji lub portierni

Instrukcja. Personel portierni oraz recepcji musi zobaczy dokument tosamoci ze zdjciem, zanim wyda jakkolwiek przesyk osobie, ktra nie jest rozpoznana jako aktualnie zatrudniony pracownik. Naley prowadzi ksik i zapisywa w niej nazwisko, numer dowodu osobistego, dat urodzenia i czas odbioru przesyki. Uwagi. Instrukcja ta odnosi si rwnie do wydawania jakichkolwiek wychodzcych przesyek kurierom. Firmy kurierskie wydaj swoim pracownikom karty identyfikacyjne, ktre mog pomc w ustaleniu tosamoci kuriera.

2.8. Przesyanie oprogramowania osobom trzecim

Instrukcja. Przed przesaniem lub ujawnieniem jakiegokolwiek programu lub jego dokumentacji naley pozytywnie zweryfikowa tosamo proszcego oraz ustali, czy to udostpnienie jest w zgodzie z klasyfikacj przyporzdkowan informacji, ktr przekazujemy. Zwykle kod rdowy oprogramowania stworzonego w firmie jest uwaany za cile zastrzeony i zaklasyfikowany jako tajny. Uwagi. Okrelenie uprawnie osoby do danego programu zwykle opiera si na ustaleniu, czy osoba ta potrzebuje tego oprogramowania w swojej pracy.

2.9. Klasyfikacja informacji handlowych i marketingowych

Instrukcja. Personel zajmujcy si sprzeda i marketingiem musi zakwalifikowa wszelkie informacje, zanim zacznie podawa wewntrzne numery telefonw, plany produktw, kontakty z grupami pracujcymi nad produktami lub inne poufne informacje jakiemukolwiek potencjalnemu klientowi. Uwagi. Czsto stosowana przez szpiegw taktyka polega na skontaktowaniu si z przedstawicielem handlowym i roztoczeniu przed nim wizji ogromnej transakcji. W ramach stara majcych na celu uzyskanie owego zlecenia przedstawiciele handlowi czsto ujawniaj informacje, ktre mog by uyte przez napastnika jako atut pomocny w dostpie do informacji tajnych.

300

2.10. Transfer plikw lub danych

Instrukcja. Pliki i dane nie powinny by kopiowane na jakiekolwiek przenone media, chyba e prosi o to osoba zaufana, ktrej tosamo zostaa zweryfikowana i ktra ma potrzeb posiadania danych w tym formacie. Uwaga: Socjotechnik potrafi w prosty sposb oszuka pracownika, podajc mu wiarygodny powd, dla ktrego potrzebuje skopiowania poufnych informacji na dyskietk, pyt CD-ROM lub inne przenone medium i przesania mu lub pozostawienia do odebrania w recepcji.

Zarzdzanie rozmowami telefonicznymi

Instrukcje zarzdzania rozmowami telefonicznymi zapewniaj, e pracownicy potrafi zweryfikowa tosamo dzwonicego i ochrania swoje wasne dane kontaktowe przed osobami, ktre dzwoni do firmy.

3.1. Przekierowywanie rozmw na numery dostpowe do sieci lub faksy

Instrukcja. Usugi przekierowujce rozmowy na numery zewntrzne nie mog by przyporzdkowywane jakimkolwiek numerom dostpowym do sieci i faksom na terenie firmy. Uwaga: Wyrafinowani napastnicy mog prbowa oszuka personel firmy telekomunikacyjnej lub pracownikw centrali wewntrznej, aby ci wczyli przekierowywanie wewntrznych numerw na numery zewntrzne, ktre s pod kontrol napastnikw. Taki atak umoliwia intruzowi przejmowanie faksw, formuowanie prb o przesanie poufnej informacji na numer wewntrzny (personel zakada, e przesyanie faksw wewntrz organizacji jest bezpieczne) lub wyudzanie od uytkownikw wdzwaniajcych si z zewntrz do firmowej sieci hasa, poprzez przekierowanie linii dostpowej na komputer, ktry symuluje proces logowania. W zalenoci od typu centrali uywanej w firmie, przekierowywanie moe znajdowa si w gestii operatora zewntrznego, a nie obsugi centrali wewntrznej. W takiej sytuacji naley zada od dostawcy usug telekomunikacyjnych, aby wczenie przekierowywania na numerach faksw lub liniach dostpowych nie byo moliwe.

301

3.2. Identyfikacja rozmwcy

Instrukcja. Firmowy system telefoniczny musi zapewnia identyfikacj rozmwcy na wszystkich wewntrznych aparatach telefonicznych i w miar moliwoci umoliwia przyporzdkowanie innego dzwonka rozmowom nadchodzcym z zewntrz. Uwagi. Jeeli pracownicy mog zweryfikowa tosamo rozmwcw dzwonicych z zewntrz, moe to pomc w zapobieeniu atakowi lub w identyfikacji numeru, spod ktrego dzwoni napastnik.

3.3. Telefony oglnodostpne

Instrukcja. W celu zapobieenia sytuacji, gdy go podaje si za pracownika firmy, wszelkie telefony oglnodostpne powinny jasno wskazywa lokalizacj dzwonicego (np. portiernia, korytarz) na wywietlaczu odbierajcego telefon. Uwagi. Jeeli identyfikacja rozmwcy umoliwia wywietlanie tylko numerw, naley wprowadzi odpowiednie zabezpieczenie dla rozmw wykonywanych z oglnodostpnych telefonw znajdujcych si na terenie firmy. Naley uniemoliwi sytuacj, aby napastnik mg, dzwonic z telefonu oglnodostpnego, poda si za pracownika i sugerowa, e dzwoni z linii wewntrznej.

3.4. Domylne hasa producentw systemw telefonii

Instrukcja. Administrator poczty gosowej musi zmieni wszystkie domylne hasa, ktre byy ustanowione w systemie, zanim przejdzie on w rce personelu firmy. Uwagi. Socjotechnik potrafi zdoby list domylnych hase od producenta i uywa ich, aby dosta si na konta administracyjne.

3.5. Wydziaowe skrzynki poczty gosowej

Instrukcja. Ustanw odrbne skrzynki poczty gosowej dla kadego dziau, ktry ma zwykle kontakty z osobami z zewntrz firmy. Uwagi. Pierwszym krokiem w ataku socjotechnicznym jest gromadzenie informacji o firmie i jej personelu. Poprzez ograniczenie dostpnoci nazwisk i numerw telefonw do pracownikw, utrudniamy socjotechnikowi identyfikacj celw ataku i zdobycie nazwisk pracownikw, za ktrych mgby si podawa wobec innych osb.

302

3.6. Weryfikacja serwisantw systemu telefonicznego

Instrukcja. Nie wolno wyraa zgody na zdalny dostp serwisantw do systemu telefonicznego firmy bez ich pozytywnej identyfikacji i sprawdzenia uprawnie do wykonania takiej czynnoci. Uwaga: Komputerowi intruzi, ktrzy uzyskuj dostp do firmowych systemw telefonicznych, zyskuj moliwo tworzenia skrzynek poczty gosowej, przechwytywania wiadomoci przeznaczonych dla innych osb lub prowadzenia rozmw na koszt firmy.

3.7. Konfiguracja systemu telefonicznego

Instrukcja. Administrator poczty gosowej musi zwikszy bezpieczestwo poprzez konfiguracj odpowiednich parametrw w systemie telefonicznym. Uwagi. Systemy telefoniczne mona ustawi na wikszy lub mniejszy poziom bezpieczestwa dla wiadomoci przekazywanych poczt gosow. Administrator musi by uwiadomiony w kwestiach bezpieczestwa i wsplnie z personelem zajmujcym si bezpieczestwem skonfigurowa system telefoniczny w sposb umoliwiajcy ochron poufnych danych.

3.8. ledzenie rozmowy

Instrukcja. O ile dostawca usug telekomunikacyjnych daje tak moliwo, naley wczy opcj ledzenia rozmowy dla kadego pracownika, aby mg j aktywowa w razie podejrzenia, e dzwonicy jest intruzem. Uwagi. Pracownikw naley przeszkoli w korzystaniu ze ledzenia i wykrywaniu okolicznoci, w ktrych naley je zastosowa. ledzenie powinno by zainicjowane, kiedy rozmwca wyranie prbuje uzyska nieautoryzowany dostp do firmowej sieci komputerowej lub prosi o poufne informacje. Kada aktywacja ledzenia musi by zgoszona przez pracownika do osb, ktrym zgasza si incydenty naruszenia bezpieczestwa.

3.9. Zautomatyzowane systemy telefoniczne

Instrukcja. Jeeli firma uywa zautomatyzowanego telefonicznego sytemu informacyjnego, musi on by zaprogramowany w taki sposb, aby wewntrzne numery telefonw nie byy podawane podczas przekazywania rozmowy do konsultanta z jakiego wydziau firmy.

303

Uwagi. Napastnicy uywaj zautomatyzowanych systemw informacyjnych, by gromadzi nazwiska i numery wewntrzne pracownikw firmy. Znajomo numerw wewntrznych pomaga im w przekonaniu rozmwcw, i s pracownikami tej samej firmy i maj prawa do wewntrznych informacji.

3.10. Blokowanie skrzynek poczty gosowej po kilku nieudanych prbach dostpu

Instrukcja. System telefoniczny naley zaprogramowa w taki sposb, aby nastpowao blokowanie konta poczty gosowej po paru kolejnych nieudanych prbach dostpu do niego. Uwagi. Administrator firmowej sieci telefonicznej musi zablokowa skrzynk poczty gosowej po piciu nastpujcych po sobie nieudanych prbach zaogowania. Zablokowane skrzynki administrator moe odblokowywa tyko manualnie.

3.11. Zastrzeone numery wewntrzne

Instrukcja. Wszystkie numery wewntrzne wydziaw i grup roboczych, ktre zwykle nie otrzymuj telefonw z zewntrz (serwis, serwerownia, pomoc techniczna itp.) powinny by zaprogramowane w taki sposb, aby mona si byo tam dodzwoni jedynie z samej firmy. Opcjonalnie numery te mog by zabezpieczone hasem, ktre osoba dzwonica z zewntrz musi wprowadzi, aby uzyska poczenie. Uwagi. Co prawda zastosowanie tej instrukcji powstrzyma wikszo atakw dokonywanych przez socjotechnikw-amatorw, ale zdeterminowany napastnik potrafi namwi pracownika, aby ten zadzwoni pod zastrzeony numer wewntrzny i poprosi osob, ktra odbierze, o oddzwonienie do napastnika lub po prostu poprosi o wczenie poczenia konferencyjnego z numerem zastrzeonym. Trik ten musi by omwiony podczas szkolenia pracownikw, aby zwikszy ich wiadomo w tym zakresie.

304

Pozostae instrukcje
4.1. Projektowanie identyfikatora
Instrukcja. Identyfikatory pracownikw musz by tak zaprojektowane, aby mieciy du fotografi, ktr mona rozpozna z pewnej odlegoci. Uwagi. Fotografia na standardowo stosowanych identyfikatorach w zasadzie nie spenia swego zadania. Odlego pomidzy osob wchodzc do budynku a stranikiem lub recepcjonistk, ktra ma obowizek sprawdza identyfikatory, jest zwykle na tyle dua, e zdjcie jest zbyt mae, aby rozpozna na nim przechodzc osob. Aby fotografia speniaa swoje zadanie, konieczna jest zmiana projektu identyfikatora.

4.2. Zmiana praw dostpu wraz ze zmian stanowiska lub zakresu odpowiedzialnoci
Instrukcja. Przy kadej zmianie stanowiska lub rozszerzeniu czy zaweniu zakresu odpowiedzialnoci, zwierzchnik danej osoby powinien poinformowa dzia informatyki o zmianie w obowizkach pracownika, aby zosta mu przyporzdkowany odpowiedni nowy profil bezpieczestwa. Uwagi. Zarzdzanie prawami dostpu personelu jest konieczne w celu ograniczenia moliwoci ujawnienia poufnych informacji. Obowizywa ma zasada minimalnych przywilejw, prawa dostpu przypisywane uytkownikom musz stanowi niezbdne minimum konieczne im do wykonywania swoich obowizkw. Wszelkie proby o zmiany, ktrych rezultatem jest rozszerzenie praw dostpu musz by uwzgldniane zgodnie z instrukcj rozszerzania praw dostpu. Zwierzchnik pracownika lub dzia kadr powinien mie obowizek zwracania si do dziau informatyki z prob o odpowiednie ustawienie praw dostpu waciciela danego konta.

4.3. Specjalne identyfikatory dla osb niezatrudnionych w firmie

Instrukcja. Firma powinna wyda specjalne identyfikatory ze zdjciem dla zaufanych dostawcw lub osb, ktre z powodw zwizanych z prac regularnie pojawiaj si na terenie firmy. Uwagi. Osoby niezatrudnione w firmie, ktre regularnie wchodz na jej teren (np. dostawcy ywnoci do bufetw, serwisanci kserokopiarek lub tele-

305

monterzy) mog stanowi dla firmy zagroenie. Oprcz wydania identyfikatorw tym osobom, naley zapewni, aby nasi pracownicy byli wyszkoleni tak, by zwraca uwag na osoby przebywajce na terenie firmy bez identyfikatora i potrafi si odpowiednio zachowa w takiej sytuacji.

4.4. Dezaktywacja kont osb pracujcych na podstawie kontraktw

Instrukcja. Kiedy osoba pracujca na podstawie kontraktu, dla ktrej utworzone zostao konto w systemie komputerowym, zrealizuje swoje zlecenie lub kiedy umowa wyganie, kierownik odpowiedniego dziau powinien powiadomi o tym dzia informatyki, aby zostay dezaktywowane wszelkie jej konta, w tym konta umoliwiajce dostp do bazy danych, zdalny dostp przez telefon lub dostp poprzez Internet ze, zdalnych komputerw. Uwagi. Po ustaniu zatrudnienia pracownika istnieje ryzyko, e wykorzysta on znajomo systemw i firmowych procedur, aby uzyska dostp do danych. Wszelkie konta komputerowe uywane przez pracownika lub znane mu musz by niezwocznie zlikwidowane. Dotyczy to rwnie kont pozwalajcych na dostp do produkcyjnych baz danych umoliwiajcych wdzwanianie si do systemu, i wszelkich kont pozwalajcych na dostp do urzdze zwizanych z komputerami.

4.5. Zgaszanie incydentw

Instrukcja. Naley stworzy struktur, ktra umoliwi zgaszanie incydentw lub, w mniejszych firmach, wyznaczy osob przyjmujc takie zgoszenia oraz jej zastpc. Zgasza naley wszelkie podejrzenia wystpienia incydentw naruszenia bezpieczestwa. Uwagi. Dziki centralizacji raportowania podejrze naruszenia bezpieczestwa firmy mona wykry ataki, ktre w innym przypadku pozostayby niezauwaone. W sytuacji, gdy wykrywane i zgaszane s powtarzajce si ataki, jednostka organizacyjna odbierajca raporty moe prbowa okreli, jakie informacje interesuj napastnika, i poczyni dodatkowe wysiki w celu ich ochrony. Pracownicy wyznaczeni do odbierania raportw o incydentach musz zaznajomi si z metodami i taktykami stosowanymi przez socjotechnikw, co pozwoli im na ocen zgosze i rozpoznanie trwajcego wanie ataku.

306

4.6. Zgaszanie incydentw gorca linia

Instrukcja. Naley stworzy gorc lini do przyjmowania raportw o incydentach, ktra powinna mie atwy do zapamitania numer. Uwagi. Kiedy pracownicy podejrzewaj, e stali si celem ataku socjotechnicznego, musz mie moliwo natychmiastowego poinformowania o tym odpowiednich osb. Aby dodatkowo to usprawni, kada osoba korzystajca z jakiegokolwiek telefonu w firmie musi zna ten numer. Tak stworzony system wczesnego ostrzegania moe wydatnie wspomc wykrywanie trwajcego wanie ataku i obron przed nim. Pracownicy musz by wystarczajco dobrze wyszkoleni, aby po rozpoznaniu ataku natychmiast zadzwoni na gorc lini. Zgodnie z opublikowanymi procedurami, personel odbierajcy raporty o incydentach natychmiast powinien poinformowa grupy bdce obiektem ataku, e atak ten moe by w toku i e naley pozosta czujnym. Aby powiadamianie to nastpowao na czas, numer gorcej linii musi by szeroko rozpowszechniony w caej firmie.

4.7. Zastrzeone obszary musz by ochraniane

Instrukcja. Stranicy ochrony musz monitorowa dostp do zastrzeonych obszarw firmy i wymaga dwch form uwierzytelniania. Uwagi. Jedna z dopuszczalnych metod uwierzytelniajcych wykorzystuje elektroniczne zamki cyfrowe, ktre wymagaj przesunicia przez czytnik identyfikatora pracownika i wpisania kodu dostpu. Najlepsz metod zabezpieczenia zastrzeonych obszarw jest oddelegowanie stranika ochrony, ktry pilnowa bdzie wszystkich wej na obszary zastrzeone. W organizacjach, dla ktrych metoda ta byaby nieopacalna, naley uywa dwch form uwierzytelniania. W zalenoci od moliwoci finansowych i stopnia ryzyka warto wzi pod uwag karty biometryczne.

4.8. Szafki i skrzynki z osprztem sieciowym i telefonicznym

Instrukcja. Szafki, skrzynki i pomieszczenia, w ktrych znajduje si okablowanie telefoniczne, sieciowe lub punkt dostpu do sieci, musz by pilnie strzeone. Uwagi. Tylko upowaniony personel moe posiada dostp do szafek, skrzynek i pomieszcze z osprztem telefonicznym i sieciowym. Kady zewntrzny serwisant musi zosta pozytywnie zidentyfikowany za pomoc procedu-

307

ry opublikowanej przez wydzia odpowiedzialny za bezpieczestwo informacji. Dostp do linii telefonicznych, hubw, switchw, mostkw sieciowych i tym podobnego sprztu mgby zosta wykorzystany przez napastnika w celu wamania si do sieci komputerowej firmy.

4.9. Wewnatrzfirmowe skrzynki pocztowe

Instrukcja. Wewntrzfirmowe skrzynki pocztowe nie mog by zlokalizowane w miejscach oglnie dostpnych. Uwagi. Szpiedzy przemysowi i hakerzy, ktrzy maj dostp do punktw odbioru wewntrznej poczty, mog podrzuci tam sfaszowane pismo autoryzacyjne lub wewntrzne formularze, ktre upowaniaj personel do ujawniania poufnych informacji lub wykonania czynnoci, ktre maj pomc napastnikowi. Poza tym intruz moe pozostawi dyskietk lub inny nonik z instrukcjami instalacji aktualizacji oprogramowania lub otwarcia pliku, ktry zawiera makropolecenia napisane przez napastnika. Oczywicie kada proba odebrania wiadomoci z poczty wewntrznej jest przez pracownika uznawana za autentyczn.

4.10. Tablice informacyjne

Instrukcja. Tablice informacyjne suce pracownikom firmy nie powinny by wieszane w miejscach oglnodostpnych. Uwagi. Wiele firm wiesza na cianach tablice informacyjne zawierajce poufne informacje dotyczce firmy lub personelu, ktre kady moe przeczyta. Ogoszenia pracodawcy, listy pracownikw, wewntrzne pisma, domowe numery kontaktowe pracownikw i tym podobne informacje s czsto wieszane na takich tablicach. Tablice informacyjne mog by umieszczone w okolicy firmowych bufetw, stowek lub wydzielonych miejsc dla palaczy, tam, gdzie osoby z zewntrz nie maj dostpu. Tego rodzaju informacje nie powinny by dostpne dla goci pojawiajcych si w naszej firmie.

4.11. Wejcie do centrum komputerowego

Instrukcja. Pokj z komputerami lub serwerami oraz centrum danych powinny by cay czas zamknite, a personel musi uwierzytelni swoj tosamo przed wejciem do nich.

308

Uwagi. Firma powinna rozway zastosowanie elektronicznych identyfikatorw lub czytnika kart dostpu, aby wszelkie wejcia byy automatycznie odnotowywane i ledzone.

4.12. Zamwienia usug

Instrukcja. Personel odpowiedzialny za skadanie zamwie serwisowych u dostawcw najwaniejszych usug dla firmy musi stworzy konto zabezpieczone hasem, aby zapobiec skadaniu przez osoby nieupowanione zamwie w imieniu firmy. Uwagi. Firmy usugowe i wielu dostawcw pozwalaj klientom na ustalenie hasa do skadania zamwie. Firma powinna ustanowi hasa dla kadego dostawcy usug o krytycznym znaczeniu dla firmy. Instrukcja ta w szczeglnoci odnosi si do usug zwizanych z telekomunikacj i Internetem. W kadym przypadku zagroenia niepowoanym dostpem do moliwoci zlecania usug konieczne jest haso weryfikujce osob zlecajc. Nie naley do tego celu uywa osobistych identyfikatorw typu NIP nazwiska panie, skiego matki itp. Socjotechnik moe na przykad zadzwoni do firmy telekomunikacyjnej i zleci przekierowywanie rozmw na liniach dostpowych do sieci lub poprosi dostawc usug internetowych o zmian informacji translacyjnej, aby przy wyszukiwaniu nazwy hosta przez uytkownika podawany by faszywy adres IP .

4.13. Wydziaowy punkt kontaktowy

Instrukcja. Firma moe wprowadzi program, w ramach ktrego kady wydzia wyznacza osob penic funkcj punktu kontaktowego. Dziki temu cay personel bdzie w stanie atwo zweryfikowa tosamo nieznanych osb podajcych si za pracownikw danego wydziau. Na przykad informatyk moe zadzwoni do takiej osoby z wydziau, aby zweryfikowa tosamo pracownika tego wydziau, telefonujcego z prob o pomoc. Uwagi. Ta metoda weryfikacji tosamoci ogranicza liczb pracownikw, ktrzy s uprawnieni do porczania za osoby zatrudnione w danym dziale, w sytuacji, gdy jedna z tych osb prosi o pomoc w ustawieniu nowego hasa lub w podobnych operacjach dotyczcych jej osobistego konta w systemie komputerowym.

309

Ataki socjotechniczne okazuj si skuteczne po czci dlatego, e personel obsugi technicznej czsto pracuje pod du presj czasu i nie weryfikuje w poprawny sposb tosamoci osb zwracajcych si z prob o pomoc. W wikszych firmach, zatrudniajcych wiele osb, obsuga techniczna zwykle nie jest w stanie osobicie rozpozna wszystkich uprawnionych. Wprowadzenie osoby bdcej punktem kontaktowym ogranicza liczb pracownikw, ktrych obsuga techniczna musi znad, by dokonywa weryfikacji.

4.14. Hasa dla klientw

Instrukcja. Konsultanci z biur obsugi klienta nie mog zna hase klientw ani mie do nich dostpu. Uwagi. Socjotechnicy czsto dzwoni do dziau obsugi klienta i pod jakim pretekstem prbuj uzyska dane uwierzytelniajce ktrego z klientw, takie jak haso lub numer NIP Posiadajc te informacje, socjotechnik moe za. telefonowa do innego konsultanta z biura obsugi klienta, poda si za owego klienta i uzyska dane informacje lub dokona zamwienia w jego imieniu. Aby ograniczy skuteczno takich prb, oprogramowanie stosowane w biurach obsugi klienta musi by stworzone w taki sposb, aby konsultanci mogli wprowadzi jedynie informacje uwierzytelniajce, jakie podaje rozmwca, i otrzyma od systemu odpowied, czy dane te s prawidowe czy nie.

4.15. Testowanie zabezpiecze

Instrukcja. Jeeli firma ma zamiar przeprowadza testy skutecznoci wprowadzonego systemu bezpieczestwa poprzez zastosowanie odpowiednich taktyk socjotechnicznych, pracownicy powinni zosta podczas szkolenia powiadomieni o takiej moliwoci. Uwagi. Nie uprzedzenie personelu o moliwoci przeprowadzania testu penetracyjnego moe doprowadzi do sytuacji, w ktrej pracownik czuje zaenowanie, gniew lub inny uraz emocjonalny wobec bycia testowanym przez innych pracownikw lub osoby wynajte, stosujce metody socjotechniczne. Wspominajc nowym pracownikom o takiej moliwoci podczas ich wdraania do obowizkw, unikamy tego typu spi.

310

4.16. Pokazywanie poufnych informacji

Instrukcja. Informacje, ktre nie s skierowane do ogu, nie powinny by w jakiejkolwiek formie pokazywane w miejscach oglnie dostpnych. Uwagi. Oprcz tajnych informacji o produktach i procedurach, wewntrzne informacje kontaktowe, takie jak listy pracownikw, wewntrzne numery telefonw lub harmonogramy zawierajce listy kierownikw poszczeglnych wydziaw, rwnie musz by umieszczane z dala od oczu osb postronnych.

4.17. Szkolenie wiadomoci bezpieczestwa

Instrukcja. Wszyscy pracownicy firmy w okresie wdraania do pracy musz przej szkolenie z dziedziny bezpieczestwa. Ponadto kady pracownik musi przechodzi kursy odwieajce wiedz w staych odstpach czasowych ustalonych przez wydzia zajmujcy si szkoleniami w zakresie bezpieczestwa, ale nieprzekraczajcych 12 miesicy. Uwagi. Wiele organizacji lekceway problem szkolenia w zakresie bezpieczestwa. Wedug bada dotyczcych bezpieczestwa informacji przeprowadzonych w 2001 roku, tylko 30% badanych organizacji przeznaczyo rodki na szkolenia w tym zakresie dla pracownikw niszego szczebla. Tego typu szkolenie jest niezbdnie wymagane w celu obnienia prawdopodobiestwa udanego ataku socjotechnicznego na firm.

4.18. Szkolenie w zakresie bezpiecznego dostpu do komputerw

Instrukcja. Pracownicy musz ukoczy kurs bezpieczestwa informacji, zanim udzieli si im dostpu do jakiegokolwiek firmowego systemu komputerowego. Uwagi. Socjotechnicy czsto obieraj sobie za cel nowych pracownikw, wiedzc, e generalnie nie s oni jeszcze obeznani z zasadami bezpieczestwa obowizujcymi w firmie i odpowiednimi procedurami opisujcymi obchodzenie si z poufnymi informacjami. Szkolenie powinno dawa pracownikom okazj do zadawania pyta dotyczcych zasad bezpieczestwa. Po ukoczeniu szkolenia waciciel konta w systemie powinien podpisa dokument potwierdzajcy zapoznanie si z zasadami bezpieczestwa i zobowizujcy do ich przestrzegania.

311

4.19. Kolorowe oznaczenia identyfikatorw

Instrukcja. Identyfikatory powinny by oznaczone rnymi kolorami, ktre pozwol odrni pracownika, wykonawc zlecenia, zatrudnionego tymczasowo, dostawc, konsultanta i gocia. Uwagi. Kolorowy identyfikator umoliwia okrelenie z wikszej odlegoci statusu danej osoby. Alternatyw jest stosowanie duych liter opisujcych status, lecz kolory w tym przypadku uniemoliwiaj pomyki i s atwiejsze w zastosowaniu. Typow taktyk, jak stosuj socjotechnicy, aby dosta si na teren firmy, jest przebranie si za dostawc towaru lub osob zatrudnion tymczasowo. Kiedy napastnik ju dostanie si do rodka, bdzie podawa si za pracownika lub w inny sposb faszywie przedstawia swj status, by uzyska pomoc ze strony niczego nie podejrzewajcych pracownikw. Celem tej instrukcji jest zapobieganie sytuacji, kiedy osoba wchodzi na teren firmy legalnie, by potem penetrowa obszary, do ktrych nie powinna mie dostpu. Na przykad osoba, ktra wesza na teren firmy jako monter telefonw, nie bdzie moga podawa si za pracownika, poniewa kolor identyfikatora bdzie jednoznacznie wskazywa, e jest osob spoza firmy.

Instrukcje dla dziau informatyki

Dzia informatyki kadej firmy potrzebuje instrukcji pomagajcych chroni zasoby informacyjne przedsibiorstwa. Aby odzwierciedli typow struktur zada takiego dziau, podzieliem instrukcje na oglne, biura pomocy, administracji systemami i pracy na komputerze.

Oglne
5.1. Osoba bdca punktem kontaktowym w dziale informatyki
Instrukcja. Numery telefonw i adresy e-mail poszczeglnych pracownikw dziau informatyki nie powinny by ujawniane jakiejkolwiek osobie, ktra nie ma wyranego powodu ku temu, by je pozna.

312

Uwagi. Celem tej instrukcji jest unikniecie sytuacji, kiedy socjotechnik wykorzystuje do swoich celw informacje kontaktowe z dziau informatyki. Ujawniajc jedynie oglny numer kontaktowy i adres e-mail dziau informatyki, spowodujemy, e osoby z zewntrz nie bd mogy kontaktowa si z personelem bezporednio. Adresy e-mail na potrzeby kontaktu z administratorem lub webmasterem powinny skada si tylko z nazw oglnych, np. admin@nazwafirmy.com.pl. Upublicznione numery telefonw powinny by poczone z wydziaow skrzynk poczty gosowej, a nie ze skrzynk ktrego z pracownikw. Kiedy dostpne s bezporednie informacje kontaktowe, intruz moe w prosty sposb dotrze do ktrego z pracownikw i zmanipulowa go, wyudzajc informacje przydatne w czasie ataku lub umoliwiajce podawanie si za informatyka wobec innych osb.

5.2. Proby o pomoc techniczn

Instrukcja. Wszelkie proby o pomoc techniczn musz by kierowane do grupy lub osoby, ktra zajmuje si danym problemem. Uwagi. Socjotechnicy mog prbowa dociera do informatykw, ktrzy zwykle nie zajmuj si pomoc techniczn i w zwizku z tym nie s wiadomi odpowiednich procedur, okrelajcych sposb udzielania takiej pomocy. Dlatego te personel informatyczny musi zosta przeszkolony w taki sposb, aby odrzuca tego typu proby i kierowa dzwonicego do grupy lub osoby zajmujcej si tymi sprawami.

Biuro pomocy technicznej

6.1. Procedury zdalnego dostpu Instrukcja. Personel biura pomocy technicznej nie moe wyjawia szczegw lub instrukcji zdalnego dostpu, w tym punktw dostpu do sieci zewntrznej lub numerw dostpowych, jeeli rozmwca nie zosta: zweryfikowany jako uprawniony od otrzymania informacji wewntrznej; zweryfikowany jako uprawniony do czenia si z sieci firmow jako zdalny uytkownik. Jeeli osoba taka nie jest znana pracownikowi osobicie, musi zosta pozytywnie zidentyfikowana, zgodnie z procedurami weryfikacyjnymi i autoryzacyjnymi opisanymi na pocztku tego rozdziau.

313

Uwagi. Firmowe biuro pomocy technicznej czsto staje si gwnym celem ataku socjotechnika zarwno z powodu natury jego funkcji sprowadzajcej si do pomagania uytkownikom w sprawach zwizanych z obsug komputera, jak i z powodu zwikszonych przywilejw systemowych, jakie zwykle maj pracownicy biura. Cay personel biura pomocy ma by wyszkolony w taki sposb, aby dziaa jak ludzki firewall, zapobiegajcy ujawnianiu osobom nieupowanionym takich informacji, ktre pomocne s w uzyskaniu dostpu do zasobw firmy. Prost regu jest zakaz ujawniania procedur zdalnego dostpu bez pozytywnej weryfikacji tosamoci.

6.2. Zmiana hase

Instrukcja. Haso na koncie uytkownika moe by zmienione tylko na prob waciciela konta. Uwagi. Najczciej stosowanym przez socjotechnikw chwytem jest zmiana hasa na koncie innej osoby. Napastnik podaje si za pracownika i twierdzi, e zgubi lub zapomnia haso. Aby zmniejszy szans powodzenia takiego ataku, informatyk otrzymujcy prob o zmian hasa musi oddzwoni do pracownika przed wykonaniem jakichkolwiek krokw. Telefon ten naley wykona, korzystajc z numeru danego pracownika znajdujcego si w firmowym spisie telefonw, a nie z numeru podanego przez osob dzwonic. Wicej informacji na temat tej procedury znajduje si w podrozdziale Procedury weryfikacyjne i autoryzacyjne.

6.3. Zmiana przywilejw dostpu

Instrukcja. Wszelkie proby o zwikszenie przywilejw uytkownika lub rozszerzanie praw dostpu musz by zatwierdzone pisemnie przez przeoonego waciciela danego konta. Po dokonaniu zmiany naley przesa potwierdzenie do przeoonego, ktry o ni wystpowa, korzystajc z wewntrznej poczty firmowej. Oprcz tego proba taka musi by zweryfikowana jako autentyczna za pomoc odpowiednich procedur weryfikacji i autoryzacji. Uwagi. Z chwil, kiedy intruzowi uda si dosta na standardowe konto uytkownika, nastpny krokiem bdzie prba zwikszenia swoich przywilejw w celu przejcia kontroli nad caym systemem. Napastnik znajcy proces autoryzacyjny moe sfaszowa autoryzowan prob, kiedy jest ona przekazywana poprzez faks, e-mail lub telefon. Na przykad, napastnik moe zadzwoni do pomocy technicznej i prbowa nakoni konsultanta do udzielenia mu dodatkowych praw dostpu na przejtym wczeniej koncie.

314

6.4. Autroryzacja nowych kont

Instrukcja. Proba o utworzenie nowego konta dla pracownika, wykonawcy zlecenia lub innej upowanionej osoby musi mie form pisemn i by podpisana przez zwierzchnika danej osoby lub przesana za porednictwem bezpiecznego e-maila z elektronicznym podpisem. Proby takie musz by rwnie zweryfikowane poprzez przesanie potwierdzenia utworzenia nowego konta za porednictwem wewntrznej poczty. Uwagi. Jako e hasa i inne informacje pomocne we wamywaniu si do systemw komputerowych s pierwszoplanowymi celami ataku zodziei informacji, konieczne jest zastosowanie pewnych rodkw ochronnych. Celem tej instrukcji jest uniemoliwienie intruzom podawania si za osoby uprawnione lub faszowania prb o utworzenie nowego konta. Z tego wzgldu proby takie musz zosta pozytywnie zweryfikowane za pomoc odpowiednich procedur.

6.5. Rozpowszechnianie nowych hase

Instrukcja. Nowe hasa musz by traktowane jako informacje tajne i rozpowszechniane bezpiecznymi metodami, np. osobicie, listem poleconym lub przesyk kuriersk (patrz: Dystrybucja informacji tajnych). Uwagi. Mona korzysta rwnie z poczty wewntrznej, ale zaleca si wwczas wysyanie hase w zabezpieczonych kopertach, ktre uniemoliwiaj przejrzenie zawartoci. Sugerowan metod jest wyznaczenie w kadym z dziaw osoby, do ktrej obowizkw naley dystrybucja nowych szczegw dotyczcych kont i porczanie tosamoci osb, ktre zgubiy lub zapomniay swoje haso. Dziki temu personel pomocy technicznej bdzie pracowa zawsze z ograniczon liczb osb, ktre moe rozpozna osobicie.

6.6. Blokowanie kont

Instrukcja. Przed zablokowaniem konta uytkownika naley zweryfikowa, czy proba pochodzi od osoby autoryzowanej. Uwagi. Celem tej instrukcji jest zapobieganie nieautoryzowanym probom napastnika o zablokowanie konta. Po zablokowaniu czyjego konta socjotechnik bdzie stara si zdoby zaufanie tej osoby, oferujc pomoc i rozwizujc problem z dostpem do systemu. Kiedy socjotechnik dzwoni do kogo, podajc si za serwisanta i wie, e uytkownik nie moe si zaogowa do sieci, ofiara czsto godzi si na podanie swojego hasa w trakcie usuwania problemu.

315

6.7. Dezaktywacja portw i urzdze sieciowych

Instrukcja. Nie wolno dezaktywowa portw i urzdze sieciowych na podstawie proby ze strony osoby nie zweryfikowanej. Uwagi. Celem tej instrukcji jest zapobieganie nieautoryzowanym probom napastnika o dezaktywacj portu. Po zablokowaniu czyjego portu socjotechnik bdzie stara si zdoby zaufanie tej osoby, oferujc pomoc i rozwizujc problem z dostpem do systemu. Kiedy socjotechnik dzwoni do kogo, podajc si za serwisanta i wie, e uytkownik nie moe si zaogowa do sieci, ofiara czsto godzi si na podanie swojego hasa w trakcie usuwania problemu.

6.8. Ujawnianie procedur dostpu bezprzewodowego

Instrukcja. Nie wolno ujawnia procedur dostpu do systemu firmy poprzez siec bezprzewodow osobom nieuprawnionym do korzystania z takiej formy dostpu. Uwagi. Przed ujawnieniem sposobu bezprzewodowego dostpu do sieci firmowej zawsze naley zacz od uzyskania weryfikacji danej osoby jako uprawnionej do czenia si z sieci firmy jako zdalny uytkownik (patrz: Procedury weryfikacyjne i autoryzacyjne).

6.9. Nazwiska osb zgaszajcych problemy

Instrukcja. Nazwiska osb, ktre zgaszay problemy zwizane z komputerami, nie powinny wychodzi poza dzia informatyki. Uwagi. W typowym ataku socjotechnik bdzie dzwoni do biura pomocy technicznej i prosi o nazwiska osb, ktre zgaszay ostatnio jakie problemy z komputerami. Rozmwca moe podawa si za pracownika lub dostawc. Z chwil, gdy uzyska nazwiska osb, ktre zgaszay problemy, bdzie kontaktowa si z nimi, podajc si za pracownika pomocy technicznej i oferujc pomoc. Podczas rozmowy napastnik wyudza od ofiary potrzebne mu informacje lub poleca wykonanie na komputerze czynnoci, pomagajcych mu w realizacji swoich planw.

316

6.10. Wprowadzanie polece systemowych oraz uruchamianie programw

Instrukcja. Pracownicy zatrudnieni w dziale informatyki, ktrzy posiadaj konta uprzywilejowane, nie powinni wprowadza adnych polece ani uruchamia programw na prob osoby, ktrej osobicie nie znaj. Uwagi. Typowym sposobem, w jaki napastnicy instaluj konia trojaskiego lub inne niebezpieczne oprogramowanie, jest zmiana nazwy programu i telefon do biura pomocy technicznej z informacj, e przy prbie uruchomienia programu pojawia si bd. Napastnik prosi konsultanta, aby ten sam sprbowa uruchomi pogram. Uruchomiony program dziedziczy przywileje uytkownika, ktry go uruchomi, i nadaje napastnikowi takie same przywileje jak konsultantowi. Dziki temu napastnik moe przej kontrol nad systemem komputerowym firmy. Instrukcja ta wprowadza rodek zapobiegawczy przeciwko opisanej taktyce, wymagajcy od konsultantw biura pomocy technicznej weryfikacji statusu dzwonicego pracownika przed uruchomieniem jakiegokolwiek programu na jego prob.

Administrowanie systemami
7.1. Zmiana globalnych praw dostpu
Instrukcja. Proba o zmian globalnych praw dostpu musi zosta zatwierdzona przez grup, ktra zarzdza prawami dostpu do firmowej sieci. Uwagi. Autoryzowany personel powinien dokona analizy kadej tego typu proby, aby okreli, czy zmiana moe spowodowa zagroenie dla bezpieczestwa informacji. Jeeli tak, osoba odpowiedzialna omwi zwizane z tym szczegy i wsplnie podejm decyzj co do wprowadzanych zmian.

7.2. Proby o zdalny dostp

Instrukcja. Zdalny dostp do komputera bdzie udzielany wycznie tym osobom spoza terenu firmy, ktre maj wyran potrzeb korzystania z firmowego systemu komputerowego. Proba o udzielenie takiego dostpu musi by wystosowana przez przeoonego danego pracownika i zweryfikowana

317

zgodnie z procedurami weryfikacji i autoryzacji. Uwagi. Rozpoznawanie rzeczywistej potrzeby zdalnego dostpu i ograniczanie go do osb, ktrym jest niezbdny do pracy, radykalnie zmniejsza ryzyko i upraszcza obsug uytkownikw zewntrznych. Im mniej osb posiada takie przywileje, tym mniejsza jest liczba potencjalnych celw dla napastnika. Nie naley zapomina, e atakujcy mog rwnie dociera do zdalnych uytkownikw z zamiarem przejcia ich poczenia do sieci firmowej lub podawa si za nich, dzwonic do firmy.

7.3. Zmiana hase na kontach uprzywilejowanych

Instrukcja. Proba o zmian hasa na koncie uprzywilejowanym musi by zaaprobowana przez administratora systemu odpowiedzialnego za komputer, w ktrym istnieje dane konto. Nowe haso musi by przesane poprzez poczt wewntrzn lub przekazane osobicie. Uwagi. Konta uprzywilejowane umoliwiaj dostp do wszelkich zasobw systemowych i plikw przechowywanych w danym systemie. Dlatego te konta te wymagaj najwikszego moliwego stopnia ochrony.

7.4. Zdalny dostp dla zewntrznych serwisantw

Instrukcja. Nie wolno umoliwia zdalnego dostpu do systemu komputerowego ani informacji o tym dostpie serwisantom zewntrznym (np. przedstawicielom producenta uywanego przez nas sprztu lub oprogramowania) bez ich weryfikacji i sprawdzenia, czy s upowanieni do wykonywania takich usug. Jeeli serwisant domaga si uprzywilejowanego dostpu do systemu, aby wykona swoje zadanie, haso na zaoonym dla niego koncie powinno zosta zmienione natychmiast po zakoczeniu przez niego pracy. Uwagi. Hakerzy mog podawa si za przedstawicieli dostawcw, aby uzyska dostp do firmowej sieci komputerowej lub telekomunikacyjnej. Dlatego istotne jest zweryfikowanie tosamoci dostawcy oraz jego uprawnie do wykonywania danego zadania w systemie. Co wicej, drzwi do systemu musz zosta zatrzanite natychmiast po zakoczeniu pracy serwisanta poprzez zmian hasa, z ktrego korzysta. Serwisanci nie mog sami wybiera hase dla jakichkolwiek kont, nawet tymczasowo. Niektrzy dostawcy s znani z tego, e uywaj takich samych hase we wszystkich swoich produktach. Na przykad jedna z firm zajmujca si zabezpieczeniami sieci ustanowia uprzywilejowane konta z takim samym hasem we wszystkich systemach swoich klientw, a na domiar zego na konta te mona byo dosta si poprzez Telnet.

318

7.5. Uwierzytelnianie przy zdalnym dostpie do sieci firmowej

Instrukcja. Wszelkie punkty dostpu do sieci firmowej ze zdalnych lokalizacji musz by chronione skutecznymi mechanizmami uwierzytelniajcymi, takimi jak dynamiczne hasa lub urzdzenia biometryczne. Uwagi. Wiele firm opiera si na hasach statycznych jako wystarczajcym rodku uwierzytelniajcym dla uytkownikw zdalnych. Praktyka ta nie jest bezpieczna: hakerzy obieraj sobie za cel jeden ze zdalnych punktw dostpu, ktry moe by sabym ogniwem sieci ofiary. Naley pamita, e nigdy nie mamy pewnoci, czy kto inny nie zna naszego hasa. Dlatego te kady punkt zdalnego dostpu musi by chroniony pewnym narzdziem uwierzytelniajcym, takim jak kody zalene od czasu, specjalne karty lub urzdzenia biometryczne. Dziki temu przejte przez intruza hasa nie bd miay dla niego wartoci. Kiedy uwierzytelnianie oparte na hasach dynamicznych jest rozwizaniem niepraktycznym, uytkownicy musz cile przestrzega instrukcji wybierania trudnych do odgadnicia hase.

7.6. Konfiguracja systemw operacyjnych

Instrukcja. Administratorzy systemu powinni zapewni, aby systemy operacyjne byy w miar moliwoci skonfigurowane tak, aby pozostawa w zgodzie ze wszystkimi odnonymi procedurami i instrukcjami bezpieczestwa. Uwagi. Pisanie i dystrybucja instrukcji bezpieczestwa jest fundamentalnym krokiem w kierunku redukcji ryzyka, ale w wikszoci przypadkw dostosowanie si do nich zaley ju od samych pracownikw. Pewn cz zalece mona uczyni obowizkow poprzez odpowiednie ustawienia systemu operacyjnego, jak np. minimalna dugo hasa. Automatyzacja instrukcji bezpieczestwa przez konfiguracj parametrw systemu operacyjnego w efektywny sposb ogranicza kompetencje czowieka, zwikszajc oglne bezpieczestwo organizacji.

7.7. Wygasanie kont

Instrukcja. Wszelkie konta komputerowe musz automatycznie wygasa po upywie roku. Uwagi. Celem tej instrukcji jest wyeliminowanie kont, ktre nie s ju uywane, poniewa staj si one czstym celem atakw hakerw. Proces ten zapewnia, e jakiekolwiek konta nalece do byych pracownikw lub wsppracownikw firmy, ktre przez niedopatrzenie pozostay w systemie, ulegn automatycznej dezaktywacji.

319

7.8. Wydziaowe adresy e-mail

Instrukcja. Dzia informatyki musi ustali oglny adres e-mail dla kadego wydziau w ramach organizacji, ktry zwykle wykorzystywany jest do komunikowania si ze wiatem zewntrznym. Uwagi. Oglny adres e-mail moe by podawany przez recepcjonistk przez telefon lub umieszczany na witrynie internetowej firmy. Pracownicy powinni podawa swoje indywidualne adresy e-mail tylko wtedy, gdy jest to konieczne. W ramach pierwszej fazy ataku socjotechnicznego napastnik czsto stara si uzyska numery telefonw, nazwiska lub informacje o stanowisku pracownikw. W wikszoci przypadkw informacje te s dostpne dla ogu na stronie internetowej lub s udzielane przez telefon. Tworzenie oglnych skrzynek poczty gosowej i elektronicznej utrudnia skojarzenie nazwisk pracownikw z konkretnymi wydziaami i obowizkami.

7.9. Informacje kontaktowe podczas rejestracji domen

Instrukcja. Podczas rejestracji domen internetowych informacje kontaktowe personelu administracyjnego czy technicznego nie powinny wskazywa nazwisk konkretnych osb, a zamiast tego podawa list adresw oglnych skrzynek e-mail i numer telefonu do centrali firmy. Uwagi. Celem tej instrukcji jest zapobieenie wykorzystaniu informacji kontaktowych przez hakera. Kiedy w informacjach kontaktowych wymienione s nazwiska osb i ich numery telefonw, intruz moe prbowa zmanipulowa ktr z tych osb, wyudzajc od niej informacj lub nakaniajc j do wykonania czynnoci, ktra pomoe mu osign zamierzony cel. Socjotechnik moe te podawa si za osob wymienion z nazwiska, oszukujc w ten sposb personel firmy. Zamiast adresu e-mail indywidualnego pracownika, informacje kontaktowe powinny zawiera adresy w formie np. administrator@firma.com.pl. Personel dziau telekomunikacji moe ustanowi ogln skrzynk poczty gosowej na potrzeby kontaktw w sprawach techniczno-administracyjnych, aby ograniczy zakres ujawnianych informacji, ktre mog przyda si socjotechnikowi.

320

7.10. Instalacja aktualizacji systemw operacyjnych i zabezpiecze

Instrukcja. Wszelkie aktualizacje systemu operacyjnego i uywanych aplikacji powinny by instalowane, gdy tylko si pojawi. Jeeli instrukcja ta koliduje z dziaaniem krytycznych systemw produkcyjnych, aktualizacje powinny by dokonane, kiedy tylko pojawi si taka moliwo. Uwagi. Po wykryciu luki w systemie naley natychmiast skontaktowa si z jego producentem, by dowiedzie si, czy zostaa udostpniona nakadka atajca t luk. Nie zaktualizowany system stanowi jedno z najwikszych zagroe bezpieczestwa w przedsibiorstwie. Jeeli administrator systemu zwleka z instalacj koniecznych aktualizacji, zostawia otwarte drzwi dla hakerw. Dziesitki informacji o lukach w systemach s identyfikowane i publikowane kadego tygodnia w Internecie. Jeeli personel informatyczny firmy nie trzyma rki na pulsie i nie pilnuje jak najsprawniejszej biecej aktualizacji systemu, niezalenie od jego rodzaju, bezpieczestwo sieci firmowej zawsze bdzie zagroone. Bycie na bieco z publikowanymi informacjami o lukach w zabezpieczeniach systemw operacyjnych i wszelkich aplikacji bdcych w codziennym uyciu firmy jest niezwykle istotne.

7.11. Informacje kontaktowe na witrynach internetowych

Instrukcja. Zewntrzna witryna internetowa firmy nie powinna ujawnia adnych szczegw dotyczcych struktury firmy ani wymienia nazwisk pracownikw. Uwagi. Informacje o strukturze firmy, np. struktura organizacyjna, struktura podlegoci, listy pracownikw, struktura raportowania, nazwiska, stanowiska, wewntrzne numery kontaktowe, numery pracownikw itp. nie powinny by udostpniane na zewntrznej witrynie internetowej. Hakerzy czsto uzyskuj wiele uytecznych informacji na stronach firm, ktre zamierzaj zaatakowa. Napastnik uywa tych informacji, podajc si za obeznanego w sprawach firmy pracownika i staraj si za ich pomoc zyska zaufanie rozmwcy. Oprcz tego napastnik moe przeanalizowa te informacje, aby odszuka osoby, ktre warto zaatakowa, poniewa mog posiada dostp do cennych informacji.

321

7.12. Tworzenie kont uprzywilejowanych

Instrukcja. Zabrania si tworzenia uprzywilejowanych kont lub udzielania przywilejw systemowych na ktrymkolwiek z kont bez autoryzacji administratora lub osoby zarzdzajcej systemem. Uwagi. Hakerzy czsto podaj si za dostawcw oprogramowania lub sprztu, prbujc oszuka personel informatyczny i nakoni do stworzenia nowych kont. Celem tej instrukcji jest zablokowanie takich atakw, poprzez ustanowienie wikszej kontroli nad tworzeniem kont uprzywilejowanych. Administrator musi zatwierdzi kad prob o utworzenie konta z przywilejami systemowymi.

7.13. Konta dla goci

Instrukcja. Konta dla goci powinny zosta zlikwidowane we wszystkich systemach komputerowych i urzdzeniach sieciowych, poza zaaprobowanym przez kierownictwo serwerem FTP umoliwiajcym dostp anonimo, wy. Uwagi. Konta dla goci s tworzone, aby umoliwi tymczasowy dostp do systemu osobom, ktre nie musz posiada wasnych kont. Kilka systemw operacyjnych instaluje si domylnie z wczonymi kontami dla goci. Konta te powinny by zawsze wyczane, poniewa uniemoliwiaj one jakkolwiek identyfikacj uytkownika. Informatycy musz mie moliwo przeledzenia kadej operacji wykonanej na komputerze w powizaniu z konkretnym uytkownikiem. Socjotechnicy s w stanie w prosty sposb wykorzysta konta dla goci, aby uzyska dostp do systemu.

7.14. Szyfrowanie kopii zapasowych przechowywanych na zewntrz

Instrukcja. Wszelkie dane przechowywane przez firm na zewntrz powinny by zaszyfrowane, aby uniemoliwi dostp do nich osobom nieupowanionym. Uwagi. Personel odpowiedzialny za szyfrowanie musi si upewni, czy dane da si przywrci na wypadek, gdyby okazay si potrzebne. Wymaga to regularnych testw polegajcych na odszyfrowywaniu wybranych fragmentw zaszyfrowanych plikw i upewnianiu si, czy mona je odzyska. Poza tym klucze stosowane do szyfrowania danych powinny by powierzone zaufanemu kierownikowi na wypadek ich utraty lub zniszczenia.

322

7.15. Dostp dla goci do portw sieci

Instrukcja. Wszelkie udostpnione dla ogu punkty dostpu do sieci Ethernet musz czy si jedynie z segmentem sieci, uniemoliwiajc dostp do sieci wewntrznej. Uwagi. Celem tej instrukcji jest zapobieenie moliwoci podczenia si do sieci firmy gociom przebywajcym na jej terenie. Porty Ethernet zainstalowane w salach konferencyjnych, bufetach, orodkach szkoleniowych i innych obszarach dostpnych dla goci powinny by filtrowane, aby uniemoliwi dostp do firmowych systemw komputerowych osobom nieupowanionym.

7.16. Modemy
Instrukcja. Modemy stosowane do przyjmowania pocze z zewntrz powinny by ustawione tak, aby odbiera poczenie nie wczeniej ni po czwartym sygnale. Uwagi. Jak pokazano to w filmie Gry wojenne, hakerzy uywaj techniki zwanej war-dialing (skanowanie numerw) w celu lokalizacji linii telefonicznych, do ktrych s podpite modemy. Proces rozpoczyna si od identyfikacji prefiksw, jakie maj numery znajdujce si w okolicy firmy. Nastpnie wykorzystuje si program skanujcy, ktry testuje wszystkie numery telefonw zaczynajce si od tego prefiksu. W celu przypieszenia procesu programy te s skonfigurowane tak, aby czeka jeden lub dwa sygnay na odpowied modemu, po czym przechodzi do kolejnego numeru. Jeeli firma ustawi na swoich modemach odpowiadanie po co najmniej czterech sygnaach, program skanujcy nie rozpozna tej linii jako modemowej.

7.17. Programy antywirusowe

Instrukcja. Kady system komputerowy powinien posiada zainstalowane i aktywowane biece wersje programw antywirusowych. Uwagi. W firmach, ktre automatycznie nie rozsyaj oprogramowania antywirusowego i plikw z wzorcami wirusw (umoliwiaj one rozpoznawanie nowych wirusw) do komputerw uytkownikw, sami uytkownicy musz przej odpowiedzialno za instalacj i utrzymanie oprogramowania antywirusowego w swoich systemach, cznie z komputerami, z ktrych korzystaj w celu zdalnego czenia si z sieci firmy.

323

W miar moliwoci, oprogramowanie powinno by skonfigurowane na codzienn automatyczna aktualizacj listy wirusw i koni trojaskich. Jeeli pliki z listami nie s automatycznie przesyane do komputerw uytkownikw, powinni oni by odpowiedzialni za aktualizacj plikw co najmniej raz w tygodniu. Zalecenia ta maj zastosowanie dla wszystkich komputerw stacjonarnych i przenonych, jakie uywane s do dostpu do uzyskiwania systemu komputerowego firmy niezalenie od tego, czy komputer jest firmowy czy prywatny.

7.18. Zaczniki do poczty przychodzcej (dla firm o szczeglnych wymogach w zakresie bezpieczestwa)
Instrukcja. W firmach o szczeglnych wymogach w zakresie bezpieczestwa firewall powinien by skonfigurowany w taki sposb, aby filtrowa wszelkie zaczniki do poczty. Uwagi. Instrukcja ta odnosi si do firm o szczeglnych wymogach w zakresie bezpieczestwa lub tych, ktre nie maj potrzeby odbierania zacznikw za porednictwem poczty elektronicznej.

7.19. Uwierzytelnianie oprogramowania

Instrukcja. Nowe oprogramowanie, nakadki oraz aktualizacje otrzymane na nonikach fizycznych lub pobrane przez Internet musz by przed instalacj zweryfikowane jako autentyczne. Instrukcja ta dotyczy w szczeglnoci dziau informatyki i instalowania programw, ktre wymagaj przywilejw systemowych. Uwagi. Oprogramowanie, o ktrym mowa w tej instrukcji, to komponenty systemu operacyjnego, aplikacje, nakadki i aktualizacje jakichkolwiek programw. Wielu producentw oprogramowania wprowadzio metody, za pomoc ktrych klient moe sprawdzi autentyczno kadej dystrybucji, zwykle za pomoc podpisu elektronicznego. W kadym przypadku, kiedy autentyczno nie moe by zweryfikowana, naley si skontaktowa z producentem, aby j potwierdzi. Hakerzy s znani z tego, e wysyaj ofiarom oprogramowanie, ktre wyglda tak, jakby pochodzio do producenta. Dlatego te kady otrzymany program naley zweryfikowa (szczeglnie, gdy nie by on spodziewany) przed instalacj w firmowych systemach komputerowych.

324

Warto zdawa sobie spraw, e wyrafinowany napastnik mg si dowiedzie, i nasza organizacja zamwia u producenta oprogramowanie. Bdc w posiadaniu takiej informacji, moe anulowa nasze zamwienie u producenta i samodzielnie zamwi program. Po modyfikacji oprogramowania tak, aby spenio zadanie postawione mu przez hakera, zostaje ono przesane do odbiorcy w oryginalnym opakowaniu. Po instalacji oprogramowania napastnik zyskuje kontrol nad systemem.

7.20. Hasa domylne

Instrukcja. Wszelkie urzdzenia sprztowe lub programowe, ktre na pocztku posiaday haso ustawione na warto domyln, musz mie haso zmienione zgodnie z instrukcj dotyczc formuowania hase. Uwagi. Wiele systemw operacyjnych i urzdze majcych zwizek z komputerami jest dostarczanych z ustawionymi hasami domylnymi czyli takimi samymi w kadym sprzedanym egzemplarzy produktu. Niedopilnowanie zmiany hasa domylnego jest powanym bdem, stwarzajcym powane zagroenie dla firmy. Domylne hasa s szeroko rozpowszechnione i dostpne w Internecie. Podczas ataku pierwszym hasem, jakie wyprbuje intruz, jest zwykle haso domylne producenta.

7.21. Blokowanie kont po kilku prbach dostpu (dla firm o przecitnych lub niskich wymogach w zakresie bezpieczestwa)
Instrukcja. Jeeli wystpi sukcesywne nieudane prby dostpu do ktrego z kont, konto takie powinno blokowa si automatycznie po okrelonej liczbie prb na pewien ustalony czas. Uwagi. Wszystkie stacje robocze i serwery firmy musz mie ustalony limit nastpujcych po sobie prb logowania. Instrukcja ta ma zapobiega odgadywaniu hasa metod prb i bdw, atakom sownikowym lub siowym majcym na celu uzyskanie dostpu do systemu. Administrator musi skonfigurowa ustawienia bezpieczestwa tak, aby konto byo blokowane po przekroczeniu dopuszczalnej liczby prb. Zaleca si blokowanie konta po siedmiu kolejnych prbach logowania.

325

7.22. Blokowanie kont po kilku prbach dostpu (dla firm o wysokich wymogach w zakresie bezpieczestwa)
Instrukcja. W organizacji o wysokich wymogach w zakresie bezpieczestwa, po przekroczeniu dopuszczalnej liczby prb logowania konto powinno by zablokowane, z moliwoci odblokowania tylko przez osoby zajmujce si obsug kont. Uwagi. Wszystkie stacje robocze i serwery firmowe musz by ustawione tak, aby ogranicza liczb nastpujcych po sobie prb logowania. Instrukcja ta ma zapobiega prbom odgadywania hasa metod prb i bdw, atakom sownikowym lub siowym majcym na celu uzyskanie dostpu do systemu. Administrator musi skonfigurowa ustawienia bezpieczestwa tak, aby konto byo dezaktywowane po piciu nieudanych prbach logowania. Po takim ataku waciciel konta bdzie musia skontaktowa si z obsug techniczn lub grup odpowiedzialn za zarzdzanie kontami, aby ponownie aktywowa konto. Przed aktywacj odpowiedzialne za to osoby musz dokona pozytywnej identyfikacji waciciela konta, zgodnie z procedurami weryfikacyjnymi i autoryzacyjnymi.

7.23. Periodyczna zmiana hase na kontach uprzywilejowanych

Instrukcja. Hasa na kontach uprzywilejowanych powinno si zmienia co najmniej raz na trzydzieci dni. Uwagi. W zalenoci od ogranicze systemu operacyjnego administrator musi poprze t instrukcj odpowiedni konfiguracj parametrw bezpieczestwa.

7.24. Periodyczna zmiana hase uytkownikw

Instrukcja. Wszyscy posiadacze kont musz zmienia swoje haso co najmniej raz na szedziesit dni. Uwagi. W systemach operacyjnych, ktre to umoliwiaj, administrator powinien poprze t instrukcj odpowiedni konfiguracj parametrw bezpieczestwa.

326

7.25. Ustalanie hasa na nowym koncie

Instrukcja. Nowe konta musz by ustawione z hasem pocztkowym, ktrego termin wanoci ju upyn. Po pierwszym wejciu na takie konto uytkownik zostanie poproszony o zmian hasa. Uwagi. Wymg ten zapewnia, e tylko posiadacz konta bdzie zna swoje haso.

7.26. Haso przy uruchamianiu si systemu

Instrukcja. Wszystkie systemy komputerowe musz by skonfigurowane tak, aby wymaga hasa przy uruchamianiu systemu. Uwagi. Komputery musz by skonfigurowane w taki sposb, by po ich wczeniu, a przed uruchomieniem si systemu operacyjnego, wymagane byo podanie hasa. Zapobiega to sytuacjom, kiedy nieupowaniona osoba korzysta z komputera innej osoby. Instrukcja ta obowizuje wszystkie komputery na terenie firmy.

7.27. Wymagania co do hase na kontach uprzywilejowanych

Instrukcja. Wszystkie uprzywilejowane konta musz posiada haso odpowiadajce poniszym reguom: nie moe by to sowo znajdujce si w sowniku jakiegokolwiek jzyka; naley stosowa zarwno due, jak i mae litery oraz co najmniej jeden symbol i co najmniej jedn cyfr; powinno mie dugo co najmniej 12 znakw; nie moe kojarzy si w aden sposb z firm ani z wacicielem konta.

Uwagi. W wikszoci przypadkw celem hakerw staj si konta, ktre maj przywileje systemowe. Czasami napastnik bdzie szuka innych sabych punktw, aby przej pen kontrol nad systemem. Pierwszymi hasami, jakie sprawdzi intruz, bd proste, powszechnie uywane wyrazy ze sownika. Wybr trudnego do odgadnicia hasa zwiksza bezpieczestwo, redukujc szans, e hakerowi uda si je odgadn metod prb i bdw, wykorzystujc atak sownikowy lub siowy.

327

7.28. Dostp bezprzewodowy

Instrukcja. Wszyscy uytkownicy, ktrzy korzystaj z bezprzewodowego dostpu do sieci, powinni uywa technologii VPN (wirtualna sie prywatna). Uwagi. Sieci bezprzewodowe stay si obiektem atakw za pomoc nowej techniki zwanej war driving. Polega ona na jedeniu samochodem lub chodzeniu z laptopem wyposaonym w kart wykorzystujc protok 802.11B w poszukiwaniu sygnau sieci. Wiele firm zastosowao sieci bezprzewodowe bez aktywowania protokou WEP (wireless equivalency protocol), ktry suy do zabezpieczania pocze bezprzewodowych za pomoc szyfrowania. Jednak nawet w sytuacji, kiedy jest on aktywowany, bieca wersja WEP (z poowy 2002 roku) dziaa w sposb nieefektywny, a kilka stron w Internecie jest powiconych dostarczaniu rodkw umoliwiajcych lokalizacj otwartych systemw bezprzewodowych i amania punktw dostpu zabezpieczonych protokoem WEP . W zwizku z tym bardzo istotne jest dodanie dodatkowej warstwy ochronnej wok protokou 802.11B poprzez zastosowanie technologii VPN.

7.29. Aktualizacja plikw z wzorcami wirusw

Instrukcja. Kady system komputerowy musi by zaprogramowany tak, by automatycznie odwiea pliki z wzorcami wirusw i koni trojaskich. Uwagi. Jako minimum aktualizacja powinna nastpowa raz na tydzie. W firmach, gdzie zostawia si komputery wczone na noc, zaleca si aktualizacj wzorcw co noc. Oprogramowanie antywirusowe jest nieefektywne, jeeli nie jest aktualizowane, aby mogo wykrywa nowe rodzaje niebezpiecznego kodu.

Obsuga komputera
8.1. Uprowadzanie polece lub uruchamianie programw
Instrukcja. Operatorzy komputerw nie mog wprowadza polece ani uruchamia programw na prob nieznanych im osb. Nawet w sytuacji, gdy osoba nie zweryfikowana wydaje si mie rzeczywiste powody uzasadniajce prob, nie naley si do niej stosowa bez uzyskania zgody przeoonego.

328

Uwagi. Operatorzy komputerw s typowymi celami socjotechnikw, poniewa ich praca zwykle wymaga uprzywilejowanego dostpu do systemu, a napastnik spodziewa si, e bd oni mniej dowiadczeni i uwiadomieni w procedurach firmowych ni pozostali pracownicy dziau informatyki. Celem tej instrukcji jest dodanie elementu kontroli, aby zabezpieczy operatorw komputerw przed atakami socjotechnikw.

8.2. Pracownicy posiadajcy konta uprzywilejowane

Instrukcja. Pracownicy posiadajcy konta uprzywilejowane nie mog pomaga ani udziela informacji osobom nie zweryfikowanym. W szczeglnoci odnosi si to do pomocy w obsudze komputera (nauka obsugi aplikacji), dostpu do baz danych, pobierania programw lub ujawniania nazwisk osb, ktre maj uprawnienia do zdalnego dostpu. Uwagi. Socjotechnicy czsto obieraj sobie za cel pracownikw posiadajcych uprzywilejowane konta. Intencj tej instrukcji jest pokierowanie personelem informatycznym w taki sposb, aby radzi sobie z telefonami, ktre mog pochodzi od socjotechnikw.

8.3. Informacja o stosowanych systemach

Instrukcja. Operatorzy komputerw nie mog ujawnia jakichkolwiek informacji zwizanych ze stosowanymi przez firm systemami lub urzdzeniami bez pozytywnej weryfikacji dzwonicego. Uwagi. Hakerzy czsto kontaktuj si z operatorami komputerw, aby uzyska wartociowe informacje, takie jak procedury dostpu do systemu, zewntrzne punkty zdalnego dostpu, numery dostpowe itp. W firmach, ktre zatrudniaj personel zajmujcy si pomoc techniczn, proby o informacje zwizane z systemami komputerowymi lub podobnymi urzdzeniami skierowane do operatorw powinny by traktowane jako podejrzane. Wszelkie proby o informacje powinny by zbadane zgodnie z obowizujc klasyfikacj danych, aby okreli, czy dana osoba jest uprawniona do otrzymania takiej informacji. Jeeli nie mona okreli klasy informacji, powinno si j uzna za wewntrzn. W niektrych przypadkach obsuga techniczna dostawcy potrzebuje kontaktu z osobami, ktre maj dostp do firmowych systemw komputerowych. W takiej sytuacji przedstawiciel dostawcy powinien zna konkretn osob z dziau informatyki, z ktr bdzie si kontaktowa, tak aby mg zosta rozpoznany bez koniecznoci weryfikacji.

329

8.4. Ujawnianie hase

Instrukcja. Operatorzy komputerw nie mog pod adnym pozorem ujawnia swoich hase lub hase im powierzonych bez uprzedniej zgody szefa dziau informatyki. Uwagi. Oglnie rzecz ujmujc, ujawnianie jakichkolwiek hase innej osobie jest surowo zabronione. W instrukcji tej bierze si pod uwag, e czasami w naglcych przypadkach istnieje potrzeba ujawnienia hasa osobie trzeciej. Ten wyjtek od oglnej reguy zabraniajcej ujawniania jakichkolwiek hase wymaga zgody ze strony szefa dziau informatyki. W celu dodatkowej ochrony, odpowiedzialno za ujawnianie informacji uwierzytelniajcych powinna by ograniczona do maej grupy osb, ktre zostay specjalnie przeszkolone w kwestii procedur weryfikacyjnych.

8.5. Media elektroniczne

Instrukcja. Wszelkie media elektroniczne, ktre zawieraj informacje nie przeznaczone dla ogu, powinny by fizycznie zamykane w bezpiecznym miejscu. Uwagi. Celem tej instrukcji jest zapobieenie fizycznej kradziey mediw elektronicznych, zawierajcych poufne informacje.

8.6. Kopie zapasowe

Instrukcja. Operatorzy komputerw powinni przechowywa kopie zapasowe w sejfie firmowym lub innym bezpiecznym miejscu. Uwagi. Noniki kopii zapasowych to kolejny wany cel intruzw komputerowych. Napastnik nie bdzie traci czasu na wamywanie si do systemu firmy, skoro najsabszym ogniwem mog by niezabezpieczone kopie zapasowe. Z chwil kradziey kopii zapasowych napastnik wchodzi w posiadanie wszystkich poufnych danych, jakie s na nich zapisane, chyba e dane te s zaszyfrowane. Dlatego te fizyczne zabezpieczenie nonikw kopii zapasowych jest konieczne dla ochrony poufnych informacji firmy.

330

Instrukcje dla wszystkich pracownikw

Cz instrukcji bezpieczestwa obowizuje wszystkich pracownikw niezalenie od tego, czy pracuj w dziale informatyki, w kadrach, w ksigowoci czy w dziale utrzymania ruchu. Instrukcje te dziel si na nastpujce kategorie: oglne, korzystanie z komputera, korzystanie z poczty elektronicznej, instrukcje dla pracownikw zdalnych, korzystanie z telefonu, korzystanie z faksu, korzystanie z poczty gosowej i hasa.

Oglne
9.1. Zgaszanie podejrzanych telefonw
Instrukcja. Pracownicy, ktrzy podejrzewaj, e mogli sta si ofiar incydentu naruszajcego bezpieczestwo, np. otrzymuj podejrzane proby o ujawnienie informacji lub wykonanie czynnoci na komputerze, musz niezwocznie zgasza takie wydarzenia wyznaczonej osobie lub grupie. Uwagi. Kiedy socjotechnikowi nie uda si nakoni ofiary do postpowania zgodnie z jego yczeniami, zawsze bdzie prbowa dotrze do kolejnej osoby. Zgaszajc podejrzany telefon lub wydarzenie, pracownik podejmuje pierwszy krok w postawieniu firmy w stan gotowoci na wypadek ponownego ataku. Dlatego te poszczeglni pracownicy s na pierwszej linii frontu podczas atakw socjotechnicznych.

9.2. Dokumentowanie podejrzanych telefonw

Instrukcja. W wypadku otrzymania podejrzanego telefonu, ktry sugerowa moe atak socjotechniczny, pracownik powinien stara si uzyska od swojego rozmwcy informacje mogce pomc w odkryciu, co jest rzeczywistym celem ataku, i zanotowa te dane na potrzeby raportu. Uwagi. Po zgoszeniu incydentu grupie odpowiedzialnej szczegy te mog pomc w ustaleniu celu lub wzorca, zgodnie z ktrym przebiega atak.

331

9.3. Ujawnianie numerw dostpowych

Instrukcja. Personel firmy nie moe ujawnia numerw dostpowych do modemw i powinien kierowa osoby proszce o nie do biura pomocy technicznej lub podobnej komrki. Uwagi. Numery telefonw dostpowych musz by traktowane jako informacja wewntrzna, przeznaczona tylko dla pracownikw firmy, ktrym wiedza ta jest potrzebna w wykonywanej pracy. Socjotechnicy czsto docieraj do pracownikw lub dziaw, ktre zwykle w mniejszym stopniu przejmuj si ochron posiadanych informacji. Na przykad napastnik moe zadzwoni do dziau patnoci, podajc si za pracownika firmy telekomunikacyjnej, ktry chce wyjani jak kwesti zwizan z bilingiem. W czasie jej rozwizywania pyta o numer faksu lub numer dostpowy do sieci. Intruz czsto dociera do pracownika, ktry raczej nie zdaje sobie sprawy z niebezpieczestwa zwizanego z ujawnieniem takiej informacji lub nie jest w tym kierunku przeszkolony.

9.4. Identyfikatory firmowe

Instrukcja. Cay personel firmy, cznie z kierownictwem i zarzdem, ma obowizek noszenia identyfikatorw. Uwagi. Wszyscy pracownicy, wczajc czonkw zarzdu, powinni zosta wyszkoleni i zmotywowani w taki sposb, aby zrozumie, e noszenie identyfikatora jest obowizkowe w kadym miejscu na terenie firmy poza wasnymi biurami.

9.5. Zatrzymywanie osb bez identyfikatora

Instrukcja. Wszyscy pracownicy maj obowizek natychmiastowego zatrzymania nieznanej osoby, ktra nie nosi identyfikatora pracownika lub gocia. Uwagi. Z jednej strony, adna firma nie chce doprowadzi do sytuacji, kiedy pracownicy czekaj tylko na okazj, aby przyapa koleg na pojawieniu si poza biurem bez identyfikatora, a z drugiej kada firma, ktrej zaley na ochronie wasnych informacji, musi traktowa powanie niebezpieczestwo pojawienia si socjotechnika na terenie firmy. Motywacj dla pracownikw, ktrzy dowiedli swojego zaangaowania w przestrzeganie zasady noszenia identyfikatorw, mona pobudza na oglnie znane sposoby, takie jak wzmianka w biuletynie firmy lub na tablicach informacyjnych, par godzin wolnego lub list pochwalny zaczony do akt personalnych.

332

9.6. Wlizgiwanie si (przechodzenie przez zabezpieczone bramki)

Instrukcja. Pracownicy wchodzcy na teren firmy nie mog pozwoli, aby nieznana im osoba wesza tam za nimi, kiedy korzystaj z bezpiecznego identyfikatora, takiego jak karta magnetyczna, ktra otwiera bramk. Uwagi. Pracownicy musz uwiadomi sobie, e proba o uwierzytelnienie skierowana do obcej osoby, ktra prbuje wej za nami przez bramk, nie jest bynajmniej objawem braku kultury. Socjotechnicy czsto prbuj przelizgn si przez bramk, czekajc na osob uprawnion do przejcia i wchodzc razem z ni. Wikszo ludzi niechtnie zatrzymuje takie osoby, zakadajc, e najprawdopodobniej s pracownikami firmy. Podobna technika polega na wnoszeniu kilku pude w taki sposb, aby niczego nie podejrzewajcy pracownik otworzy przed nami drzwi.

9.7. Niszczenie poufnych dokumentw

Instrukcja. Poufne dokumenty przeznaczone do wyrzucenia musz by zniszczone za pomoc niszczarki, ktra tnie w dwch paszczyznach. Media, cznie z dyskami twardymi, ktre kiedykolwiek zawieray poufne informacje, musz by zniszczone zgodnie z procedur ustalon przez grup odpowiedzialn za bezpieczestwo informacji. Uwagi. Standardowe niszczarki niezbyt dokadnie niszcz dokumenty. Urzdzenia tnce w dwch paszczyznach zamieniaj je w miazg. Najlepsz praktyk bezpieczestwa jest zaoenie, e szef konkurencyjnej firmy bdzie przeglda materiay, ktre wyrzucamy, szukajc jakichkolwiek informacji mogcych mu pomc. Szpiedzy przemysowi i hakerzy regularnie czerpi poufne informacje z materiaw wyrzucanych na mietnik. Znane s przypadki przekupywania ekip sprztajcych przez firmy konkurencyjne, pragnce uzyska dostp do mieci wyrzucanych z firmy.

9.8. Osobiste dane identyfikacyjne

Instrukcja. Osobiste dane identyfikacyjne, takie jak numer pracownika, numer NIP numer dowodu osobistego, data i miejsce urodzenia, nazwisko pa, nieskie matki nie powinny nigdy suy jako rodki weryfikacji tosamoci. Dane te nie s pilnie strzeone i mona je uzyska na wiele rnych sposobw.

333

Uwagi. Socjotechnik jest w stanie za odpowiedni cen uzyska osobiste dane identyfikacyjne innych osb. Na przekr panujcym pogldom, kady, kto posiada kart kredytow i dostp do Internetu, jest w stanie uzyska te informacje. Jednak niezalenie od oczywistego zagroenia, banki, urzdy i firmy telekomunikacyjne zwykle korzystaj z tych danych. Z tego powodu kradzie tosamoci staa si najbardziej rozwijajc si dziedzin przestpcz w ostatniej dekadzie.

9.9. Schematy organizacyjne

Instrukcja. Szczegy ukazane na schematach organizacyjnych przedsibiorstwa nie powinny by ujawniane nikomu poza pracownikami firmy. Uwagi. Informacje o strukturze organizacyjnej firmy obejmuj schematy organizacyjne, schematy hierarchii, wydziaowe listy pracownikw, struktur raportowania, nazwiska pracownikw, ich stanowiska, wewntrzne numery kontaktowe, numery pracownikw i tym podobne informacje. W pierwszej fazie ataku socjotechnicznego celem napastnika jest zebranie informacji o wewntrznej strukturze przedsibiorstwa. Informacja ta pozwala stworzy strategi ataku. Napastnik moe rwnie przeanalizowa te informacje, by okreli, ktry pracownik moe mie dostp do poszukiwanych przez niego danych. W czasie ataku informacje te pozwol socjotechnikowi uchodzi za wtajemniczonego pracownika, co zwiksza prawdopodobiestwo uzyskania wsppracy rozmwcy.

9.10. Prywatne informacje o pracownikach

Instrukcja. Wszelkie proby o prywatne informacje dotyczce pracownikw musz by kierowane do dziau kadr. Uwagi. Wyjtkiem od tej reguy moe by numer telefonu pracownika, z ktrym trzeba si skontaktowa w zwizku ze sprawami zawodowymi, a ktry jest okrelany jako czowiek na telefon. Mimo to lepiej jednak zanotowa numer pytajcego i poprosi szukanego pracownika, aby do niego oddzwoni.

334

Korzystanie z komputera
10.1. Uprowadzanie polece
Instrukcja. Personel firmy nigdy nie powinien wprowadza polece do komputera na prob innej osoby, chyba e osoba ta zostaa zweryfikowana jako pracownik dziau informatyki. Uwagi. Typow sztuczk stosowan przez socjotechnika jest proba o wpisanie polecenia, ktre wprowadza zmiany w konfiguracji systemu i umoliwia napastnikowi dostp do komputera ofiary bez uwierzytelnienia lub pozwala na uzyskanie informacji potrzebnych do rozpoczcia ataku technologicznego.

10.2. Wewntrzne konwencje nazewnicze

Instrukcja. Pracownicy nie mog ujawnia wewntrznych nazw systemw komputerowych lub baz danych bez uprzedniej weryfikacji, czy osoba pytajca jest pracownikiem firmy. Uwagi. Socjotechnicy czasami prbuj uzyska nazwy firmowych systemw komputerowych. Kiedy znaj ju te nazwy, wykonuj telefon do firmy i podaj si za pracownika majcego problem z dostpem do systemu. Posugujc si wewntrzn nazw systemu, socjotechnik zyskuje zaufanie rozmwcy.

10.3. Proby o uruchomienie programu

Instrukcja. Personel firmy nigdy nie powinien uruchamia jakiejkolwiek aplikacji lub programu na prob innej osoby, o ile nie zostaa ona zweryfikowana jako pracownik z dziau informatyki. Uwagi. adna proba o uruchomienie programu, aplikacji lub wykonanie jakiej czynnoci na komputerze nie moe by uwzgldniona, jeeli pytajcy nie zosta zidentyfikowany jako pracownik dziau informatyki. Jeeli proba wie si z ujawnieniem tajnych informacji zawartych w pliku lub wiadomoci poczty elektronicznej, reakcja na ni musi by zgodna z procedur ujawniania tajnych informacji (patrz: Udostpnianie informacji). Hakerzy namawiaj ludzi do uruchamiania programw, ktre umoliwiaj im przejcie kontroli nad systemem. Kiedy niczego nie podejrzewajcy uytkownik wykonuje program podrzucony przez napastnika, moe otwo-

335

rzy mu dostp do swojego systemu. Inne programy umoliwiaj rejestracj czynnoci wykonywanych przez uytkownika i przesyaj zebrane informacje napastnikowi. Podczas ataku socjotechnicznego osoba jest oszukiwana, by wykona na komputerze polecenie, ktre moe wyrzdzi szkod, natomiast podczas ataku technologicznego oszukiwany jest system operacyjny, ktry wykonuje polecenie wyrzdzajce analogiczne szkody.

10.4. Pobieranie i instalowanie oprogramowania

Instrukcja. Personel firmy nie moe pobiera i instalowa oprogramowania na prob innych osb, jeeli nie zostay one zweryfikowane jako pracownicy dziau informatyki. Uwagi. Pracownicy powinni zachowa ostrono wobec niezwykych prb, ktre dotycz sprztu komputerowego. Powszechnie stosowan taktyk socjotechniczn jest zmanipulowanie ofiary w taki sposb, aby pobraa i zainstalowaa program, ktry pomoe napastnikowi osign cel polegajcy zwykle na wamaniu si do firmowej sieci firmy. W niektrych przypadkach program taki moe potajemnie szpiegowa uytkownika lub umoliwia napastnikowi przejcie kontroli nad systemem komputerowym poprzez zastosowanie zdalnego okna polece.

10.5. Hasa i e-mail

Instrukcja. Nie wolno przesya hase poprzez e-mail w postaci niezaszyfrowanej. Uwagi. Zalecenie to czasami jest lekcewaone przez sklepy internetowe w pewnych szczeglnych okolicznociach, takich jak: przesyanie hasa klientom, ktrzy zarejestrowali si na stronie; przesyanie hasa klientom, ktrzy zgubili lub zapomnieli swoje haso.

10.6. Oprogramowanie zwizane z bezpieczestwem

Instrukcja. Personel firmy nie moe usuwa lub dezaktywowa jakichkolwiek programw antywirusowych, firewalli i innych programw strzegcych bezpieczestwa systemu bez wczeniejszej zgody dziau informatyki. Uwagi. Uytkownicy czasami dezaktywuj oprogramowanie zabezpieczajce komputer z zamiarem przypieszenia jego pracy.

336

Socjotechnik moe by w stanie skoni pracownika do dezaktywacji lub usunicia programu, ktry jest konieczny do ochrony systemu firmy przed zagroeniami bezpieczestwa.

10.7. Instalacja modemw

Instrukcja. Nie mona podcza do komputera adnych modemw bez uprzedniej zgody uzyskanej z dziau informatyki. Uwagi. Wane jest, aby zdawa sobie spraw, e modem podczony do indywidualnego komputera moe stanowi powane zagroenie dla systemu, szczeglnie jeeli komputer ten jest podczony do sieci firmowej. Dlatego te instrukcja ta reguluje procedury podczania modemw. Hakerzy korzystaj z techniki zwanej skanowaniem numerw (war dialing), aby odnale aktywne linie modemowe w danym zakresie numerw telefonw. Ta sama technika moe suy do lokalizacji linii, do ktrej s podczone modemy na terenie firmy. Napastnik moe si w prosty sposb wama do sieci, jeeli zidentyfikuje system komputerowy podczony do modemu, na ktrym uruchamiane jest oprogramowanie zdalnego dostpu zabezpieczone atwym do odgadnicia hasem albo w ogle pozbawione hasa

10.8. Modemy i automatyczna odpowied

Instrukcja. Wszelkie komputery na terenie firmy z podczonymi modemami musz mie wyczon funkcj automatycznej odpowiedzi, aby zapobiec wdzwonieniu si niepowoanej osoby do systemu. Uwagi. Tam gdzie to tylko moliwe, dzia informatyki powinien zastosowa wsplny modem dla tych pracownikw, ktrzy maj potrzeb wdzwaniania si do zewntrznych systemw komputerowych poprzez modem.

10.9 Narzdzia hakerskie

Instrukcja. Zabrania si pracownikom pobierania i uywania jakichkolwiek narzdzi stworzonych w celu pokonywania zabezpiecze systemowych. Uwagi. W Internecie znajduj si dziesitki stron powiconych oprogramowaniu stworzonemu do amania zabezpiecze produktw komercyjnych i programw typu shareware. Korzystanie z tych narzdzi nie tylko narusza prawa autorskie waciciela programu, ale jest niezwykle niebezpieczne. Jako e programy te pochodz z nieznanych rde, mog zawiera ukryty, niebezpieczny kod, ktry jest w stanie wyrzdzi szkody w komputerze uytkownika lub wprowadzi konia trojaskiego, ktry umoliwi autorowi programu dostp do komputera uytkownika.

337

10.10. Umieszczanie informacji o firmie w sieci

Instrukcja. Pracownicy nie powinni ujawnia adnych szczegw dotyczcych sprztu i oprogramowania, z jakiego korzysta firma, na adnych grupach dyskusyjnych, forach itp. ani nie powinni ujawnia informacji kontaktowych innych, ni wskazuje na to odpowiednia procedura. Uwagi. Kada wiadomo przesana do usenetu, forw internetowych i list mailingowych moe by odszukana w celu zebrania informacji na temat firmy lub osoby bdcej celem ataku. W tej fazie ataku napastnik moe przeszukiwa sie w poszukiwaniu jakichkolwiek wiadomoci zawierajcych uyteczne informacje o firmie, produktach lub pracownikach. Niektre wiadomoci zawieraj bardzo uyteczne informacje, ktre napastnik moe wykorzysta w kolejnej fazie ataku. Na przykad administrator sieci moe przesa zapytanie dotyczce konfiguracji filtrw firewalla w okrelonym jego typie. Napastnik, ktry odkryje t wiadomo, znajdzie wartociow informacj o konfiguracji firmowego firewalla, ktra umoliwi mu jego obejcie i dostp do sieci przedsibiorstwa. Problem ten moe by zredukowany lub zlikwidowany poprzez instrukcj nakazujc przesyanie wiadomoci na grupy dyskusyjne z kont anonimowych, ktrych skojarzenie z firm nie jest moliwie. Oczywicie instrukcja ta musi rwnie zakazywa zaczania w wiadomociach jakichkolwiek informacji kontaktowych, ktre mog pomc zidentyfikowa firm.

10.11. Dyskietki i inne noniki danych

Instrukcja. Jeeli media uywane do przechowywania danych, takie jak dyskietki czy pyty CD-ROM, pozostawiono gdzie w biurze lub na biurku pracownika, naley je traktowa jako pochodzce z nieznanego rda i nie wolno ich przeglda na adnym firmowym komputerze. Uwagi. Jedn z metod, jakie stosuj napastnicy, by zainstalowa niebezpieczne oprogramowanie, jest podrzucenie kilku nonikw zawierajcych taki program, a oznaczonych wabic etykiet (np. Firmowa lista pac tajne!). Jeeli jeden z nonikw zostanie odczytany i uytkownik otworzy zawarte na nim pliki, niebezpieczny kod napastnika zostanie tym samym uruchomiony. Moe on utworzy tylne drzwi, ktre umoliwi dostanie si do systemu firmy, lub w inny sposb uszkodzi sie.

338

10.12. Pozbywanie si nonikom danych

Instrukcja. Przed wyrzuceniem nonikw danych, ktre kiedykolwiek zawieray poufne informacje, nawet jeeli informacje te zostay usunite, nonik naley przed wyrzuceniem namagnesowa lub zniszczy. Uwagi. Podczas gdy niszczenie dokumentw stao si dzi normaln praktyk, pracownicy firmy mog nie docenia zagroenia zwizanego z wyrzucaniem nonikw, ktre kiedykolwiek zawieray poufne dane. Hakerzy mog prbowa odzyskiwa dane przechowywane na wyrzuconych nonikach. Pracownicy mog wychodzi z zaoenia, e samo usunicie plikw uniemoliwia ich odzyskanie. Zaoenie to jest cakowicie bdne i moe doprowadzi do sytuacji, kiedy poufne informacje znajd si w niepowoanych rkach. Dlatego te wszelkie media elektroniczne, ktre zawieraj lub kiedy zawieray informacje poufne, musz by skasowane lub zniszczone za pomoc metod zatwierdzonych przez odpowiedzialne za to osoby.

10.13. Wygaszacze ekranu chronione hasem

Instrukcja. Wszyscy uytkownicy komputerw musz ustawi hasa na wygaszaczach ekranu i wczy blokowanie dostpu do komputera po pewnym okresie bezczynnoci. Uwagi. Wszyscy pracownicy s odpowiedzialni za ustawienie hasa na wygaszaczu ekranu i wczenie blokowania po nie wicej ni 10 minutach. Celem tej instrukcji jest zapobieganie korzystaniu przez osoby niepowoane z komputerw innych osb. Dodatkowo, instrukcja ta zabezpiecza system komputerowy firmy, do ktrego mgby si w atwy sposb dosta intruz przebywajcy na jej terenie.

10.14. Owiadczenie dotyczce hase

Instrukcja. Przed utworzeniem nowego konta pracownik lub osoba wykonujca zlecenie powinna podpisa owiadczenie potwierdzajce wiadomo zakazu ujawniania hase i deklaracj przestrzegania tego zalecenia. Uwagi. Pismo powinno zawiera wzmiank o tym, e niezastosowanie si do tych zalece moe pocign za sob kroki dyscyplinarne, ze zwolnieniem wcznie.

339

Korzystanie z poczty elektronicznej

11.1. Zaczniki do wiadomoci
Instrukcja. Zaczniki do poczty nie mog by otwierane, chyba e byy przez nas oczekiwane i pochodz od zaufanej osoby. Uwagi. Wszelkim zacznikom naley si dokadnie przyjrze przed otwarciem. Mona wymaga, by zaufana osoba wysyaa wczeniej informacj, e za chwil wyle zacznik. Pozwoli to zredukowa ryzyko, zwizane z atakami socjotechnicznymi polegajcymi na przesaniu zacznika i namawianiu w treci wiadomoci do jego otwarcia. Jednym ze sposobw wamania si do systemu komputerowego jest zmanipulowanie pracownika w taki sposb, aby uruchomi niebezpieczny program, ktry utworzy wyom w systemie i umoliwi napastnikowi dostp do niego. Wysyajc zacznik do wiadomoci pocztowej, ktry zawiera kod lub makra, napastnik jest w stanie przej kontrol nad komputerem uytkownika. Socjotechnik moe te wysa niebezpieczny zacznik, a nastpnie zadzwoni do ofiary i przekona j telefonicznie, aby go otworzya.

11.2. Automatyczne przekierowywanie poczty na adres zewntrzny

Instrukcja. Automatyczne przekierowywanie poczty na adres zewntrzny jest zabronione. Uwagi. Celem tej instrukcji jest uniemoliwienie intruzowi odbierania poczty przesyanej na wewntrzny adres e-mail. Pracownicy czasami ustawiaj przekierowywanie swojej poczty przychodzcej na zewntrzny adres skrzynki na czas, gdy nie bdzie ich w biurze. Napastnik moe zmanipulowa pracownika tak, aby ten ustawi przekierowanie z wewntrznej skrzynki na zewntrzn. Nastpnie moe udawa jednego z pracownikw i prosi o przesanie mu poufnych informacji, podajc wewntrzny adres skrzynki.

11.3. Przekazywanie poczty

Instrukcja. Wszelkie proby nie zweryfikowanych osb o przekazanie wiadomoci pocztowej innej nie zweryfikowanej osobie wymagaj weryfikacji osoby proszcej o przysug.

340

11.4. Weryfikacja poczty

Instrukcja. Wiadomo pocztowa, ktra wydaje si pochodzi od osoby zaufanej i zawiera prob o udzielenie poufnych informacji lub wykonanie czynnoci na komputerze, wymaga dodatkowej formy uwierzytelnienia (patrz: Procedury weryfikacyjne i autoryzacyjne). Uwagi. Napastnik moe w prosty sposb sfaszowa wiadomo pocztow i jej nagwek tak, by wygldaa na pochodzc spod innego adresu. Napastnik moe rwnie wysa wiadomo z systemu, na ktry wczeniej si wama, zapewniajc sobie faszywe uprawnienia do otrzymywania poufnych informacji i wykonywania czynnoci. Nawet analiza nagwka wiadomoci nie pozwala na wykrycie faktu wysania jej z opanowanego systemu komputerowego.

Korzystanie z telefonu
12.1. Udzia w ankietach telefonicznych
Instrukcja. Pracownicy nie mog uczestniczy w ankietach telefonicznych i odpowiada na pytania jakichkolwiek zewntrznych organizacji lub osb. Tego typu proby naley kierowa do dziau public relations lub wyznaczonej w tym celu osoby. Uwagi. Jedn z metod stosowanych przez socjotechnikw podczas ataku na przedsibiorstwo jest telefon do pracownika z prob o udzia w ankiecie. To zaskakujce, jak wielu ludzi chtnie udziela informacji na temat swj lub firmy, w ktrej pracuj, zupenie obcym osobom, gdy tylko uwierz, e chodzi o ankiet. Pord niewinnych pyta rozmwca przemyci par pyta kluczowych dla siebie. Zdobyte w ten sposb informacje mog pomc mu w dostaniu si do sieci firmy.

12.2. Ujawnianie wewntrznych numerw telefonw

Instrukcja. Jeeli osoba nie zweryfikowana prosi pracownika o jego wewntrzny numer telefonu, pracownik musi dokona oceny, czy podanie numeru jest w danej sytuacji konieczne.

341

Uwagi. Celem tej instrukcji jest wymaganie od pracownikw przemylanych decyzji w sprawie koniecznoci ujawniania numeru telefonu. Kiedy proba o numer kontaktowy pada ze strony osoby, ktra nie ma szczeglnej potrzeby poznania numeru wewntrznego, najbezpieczniej poprosi o czenie si przez central.

12.3. Zostawianie hase w poczcie gosowej

Instrukcja. Zostawianie w poczcie gosowej wiadomoci zawierajcych informacje o hasach jest zabronione. Uwagi. Socjotechnik czsto jest w stanie uzyska dostp do skrzynki poczty gosowej pracownika, poniewa jest ona sabo zabezpieczona atwym do odgadnicia kodem dostpu. Wyrafinowany haker jest w stanie stworzy wasn faszyw skrzynk poczty gosowej i nakoni pracownika, aby ten zostawi mu w niej informacje dotyczce hase. Instrukcja ta uniemoliwia stosowanie takich podstpw.

Korzystanie z faksu
13.1. Przekazywanie faksw
Instrukcja. Zabrania si odbierania i przekazywania faksw osobom trzecim bez weryfikacji tosamoci osoby zwracajcej si z tak prob. Uwagi. Zodzieje informacji mog nakoni pracownika do wysania poufnych informacji na faks znajdujcy si na terenie firmy. Przed podaniem numeru faksu swojej ofierze, oszust dzwoni do niczego nie podejrzewajcej sekretarki lub asystentki i pyta, czy moe liczy na odebranie faksu dla niego. Zaraz po tym, gdy sekretarka odbierze faks, napastnik dzwoni do niej i prosi o przesanie faksu dalej, twierdzc, na przykad, e pilnie potrzebuje go na wane spotkanie. Poniewa osoba, ktra jest proszona o przesanie faksu dalej, zwykle nie zdaje sobie sprawy z wartoci informacji, jakie ten zawiera, zwykle bez pytania wykonuje to, o co zostaa poproszona.

13.2. Weryfikacja instrukcji otrzymanych faksem

Instrukcja. Przed wykonaniem jakiejkolwiek instrukcji otrzymanej faksem nadawca musi zosta zweryfikowany jako pracownik lub inna zaufana osoba. Wykonanie telefonu do nadawcy w celu weryfikacji instrukcji jest zwykle wystarczajce.

342

Uwagi. Pracownicy musz stale pamita o zwracaniu uwagi na nietypowe proby otrzymywane za porednictwem faksu, np. proby o wprowadzenie polece do komputera lub ujawnienie informacji. Dane w nagwku faksu mog zosta sfaszowane poprzez zmian ustawie faksu, z ktrego nadawany jest dokument. Dlatego te nagwek faksu nie moe stanowi narzdzia ustalania tosamoci nadawcy.

13.3. Przesyanie poufnych informacji faksem

Instrukcja. Przed wysaniem poufnych informacji na faks, ktry znajduje si w miejscu dostpnym dla innych pracownikw, wysyajcy powinien przesa stron tytuow. Odbierajcy po otrzymaniu strony tytuowej przesya odpowied, udowadniajc, e jest fizycznie obecny przy aparacie. Dopiero wwczas nadawca wysya reszt. Uwagi. Ta procedura potwierdzajca upewnia nadawc, e odbiorca jest fizycznie obecny po drugiej stronie. Oprcz tego proces ten suy sprawdzeniu, czy numer faksu nie zosta przekierowany na inn lokalizacj.

13.4. Zakaz faksowania hase

Instrukcja. Pod adnym pozorem nie wolno przesya faksem hase. Uwagi. Przesyanie informacji uwierzytelniajcych za porednictwem faksu nie jest bezpieczne. Do wikszoci aparatw dostp ma wiksza grupa osb. Poza tym korzystaj one z publicznej centrali telefonicznej, w ktrej mona wprowadzi zmiany przekierowujce numer aparatu odbierajcego tak, aby faksy dostaway si w rce napastnika.

Korzystanie z poczty gosowej

14.1. Hasa do skrzynek poczty gosowej
Instrukcja. Hasa zabezpieczajce skrzynki poczty gosowej nie mog by ujawniane pod adnym pozorem. Dodatkowo hasa te musz by zmieniane przynajmniej raz na 50 dni. Uwagi. Wiadomoci zostawione w poczcie gosowej mog zawiera poufne informacje. W celu ich ochrony pracownicy powinni czsto zmienia swoje hasa i nikomu ich nie ujawnia. Oprcz tego, uytkownicy poczty gosowej nie powinni ponownie korzysta z tego samego lub podobnego hasa wczeniej ni po upywie 12 miesicy od ostatniego jego zastosowania.

343

14.2. Hasa do wielu systemw

Instrukcja. Uytkownicy poczty gosowej nie powinni stosowa tego samego hasa w jakimkolwiek innym systemie telefonicznym lub komputerowym, czy to firmowym czy prywatnym. Uwagi. Korzystanie z podobnych lub identycznych hase w wielu systemach, np. w skrzynce poczty gosowej i w komputerze, uatwia socjotechnikowi odgadnicie pozostaych hase uytkownika po odgadniciu jednego.

14.3. Wybieranie hasa do skrzynki poczty gosowej

Instrukcja. Uytkownicy i administratorzy poczty gosowej musz wybiera hasa, ktre s trudne do odgadnicia. Nie mog si one w aden sposb kojarzy z osob, ktra ich uywa, ani te z firm i nie powinny zawiera atwych do odgadnicia wzorcw. Uwagi. Hasa nie mog zawiera sekwencji lub powtarzajcych si cyfr (np. 1111, 1234, 1010), nie mog by takie same lub podobne do numeru wewntrznego skrzynki i nie mog nawizywa do adresu, kodu pocztowego, daty urodzenia, tablic rejestracyjnych, numeru telefonu, wagi, wspczynnika IQ i innych informacji osobistych.

14.4. Wiadomoci pocztowe oznaczone jako zachowane

Instrukcja. W sytuacji, gdy nie odsuchiwane wczeniej wiadomoci nie s oznaczone jako nowe, administrator poczty musi zosta powiadomiony o podejrzeniu wamania do skrzynki, a haso powinno zosta niezwocznie zmienione. Uwagi. Socjotechnicy mog uzyska dostp do skrzynek poczty gosowej na kilka rnych sposobw. Pracownik, ktry zauway, e wiadomoci, ktre syszy po raz pierwszy, nie s oznaczane jako nowe, musi zaoy, e kto uzyska dostp do jego skrzynki i wczeniej odsucha wiadomoci.

14.5. Powitanie w poczcie gosowej

Instrukcja. Pracownicy firmy powinni ograniczy ujawnianie informacji w nagrywanych powitaniach poczty gosowej. Informacje zwizane z rozkadem dnia lub planami podry nie powinny by ujawniane.

344

Uwagi. Zewntrzne powitanie (odtwarzane dzwonicym z zewntrz) nie powinno zawiera nazwiska, numeru wewntrznego, powodu nieobecnoci (podr subowa, urlop, rozkad dnia), bowiem napastnik moe wykorzysta tak informacj do stworzenia przekonujcej historii na potrzeby manipulowania innymi osobami.

14.6. Hasa o ustalonych wzorcach

Instrukcja. Uytkownicy poczty gosowej nie powinni wybiera hase, w ktrych jedna cz pozostaje niezmienna, a inna zmienia si zgodnie z przewidywalnym wzorcem. Uwagi. Na przykad, nie naley stosowa kolejno hase 743501, 743502, 743503 itd., gdzie ostatnie dwie cyfry odpowiadaj numerowi biecemu miesica.

14.7. Informacje tajne lub prywatne

Instrukcja. Informacje tajne i prywatne nie mog by przekazywane poprzez poczt gosow. Uwagi. System telefoniczny firmy jest zwykle gorzej zabezpieczony ni system komputerowy. Hasa s przewanie cigami cyfr, co znacznie ogranicza ilo moliwych kombinacji. Co wicej, w niektrych organizacjach hasa mog by udostpniane sekretarkom lub personelowi administracyjnemu, ktry ma obowizek odbierania wiadomoci przeznaczonych dla szefa. W zwizku z tym nie powinno si pozostawia tajnych informacji w poczcie gosowej.

Hasa
15.1. Hasa i telefony
Instrukcja. Pod adnym pozorem nie wolno ujawnia hase przez telefon. Uwagi. Napastnicy mog znale sposb na podsuchiwanie rozmw osobicie lub za porednictwem jakiego rozwizania technologicznego.

345

15.2. Ujawnianie hase dostpu do komputera

Instrukcja. Uytkownik komputera nie moe nikomu pod adnym pozorem ujawni swojego hasa bez pisemnej zgody odpowiedzialnego kierownika z dziau informatyki. Uwagi. Celem wielu atakw socjotechnicznych jest zmanipulowanie pracownika w taki sposb, aby ujawni swoj nazw uytkownika i haso. Instrukcja ta stanowi ogromny krok w kierunku ograniczenia groby udanego ataku socjotechnicznego na firm. Dlatego te musi by cile przestrzegana w caej firmie.

15.3. Hasa w Internecie

Instrukcja. Pracownicy nie mog uywa na stronach internetowych takich samych lub podobnych hase jak w systemie komputerowym firmy. Uwagi. Oszuci mog stworzy w Internecie stron, na ktrej zapewniaj o atrakcyjnej ofercie i moliwoci wygrania nagrd. W celach rejestracyjnych go musi poda adres e-mail, nazw uytkownika i haso. Jako e wiele osb uywa takiej samej lub podobnej informacji podczas rejestracji na rnych stronach, autor strony bdzie prbowa uy wybranego hasa lub jego wariacji podczas ataku na domowy lub firmowy system komputerowy danej osoby. System komputerowy, ktrym osoba ta posuguje si w pracy, mona czasami zidentyfikowa za pomoc adresu e-mail podanego przez ni w czasie rejestracji.

15.4. Hasa w wielu systemach

Instrukcja. Personel firmy nigdy nie moe stosowa tego samego lub podobnego hasa w wikszej liczbie systemw. Instrukcja ta odnosi si do rnych typw urzdze (komputer, poczta gosowa), rnych lokalizacji urzdze (praca, dom), rnych urzdze systemowych (router, firewall) oraz rnych programw (baza danych, aplikacja). Uwagi. Napastnicy, wamujc si do systemw komputerowych i sieci, wykorzystuj cechy natury ludzkiej. Wiedz, e aby unikn kopotw z zapamitaniem kilku hase, wiele osb uywa takich samych lub podobnych hase w kadym z systemw, do ktrego maj dostp. Na pocztku intruz bdzie prbowa zama haso na jednym z systemw, w ktrym dana osoba ma konto. Bardzo prawdopodobne jest, e to samo haso lub jego wariacja otworzy dostp do innych urzdze i systemw, z ktrych osoba ta korzysta.

346

15.5. Ponowne uywanie tych samych hase

Instrukcja. aden uytkownik nie moe uywa ponownie tego samego lub podobnego hasa wczeniej ni po upywie osiemnastu miesicy od jego ostatniego uycia. Uwagi. Jeeli napastnikowi uda si odkry haso uytkownika, jego czste zmiany zmniejszaj rozmiar potencjalnych szkd. Nowe hasa nie majce adnego zwizku z poprzednimi s trudniejsze do odgadnicia.

15.6. Hasa o ustalonych wzorcach

Instrukcja. Pracownicy nie mog wybiera hase, w ktrych jedna cz pozostaje niezmienna, a druga zmienia si zgodnie z przewidywalnym wzorcem. Uwagi. Nie mona na przykad uywa hase takich jak: Roman01, Roman02, Roman03 itd., gdzie dwie ostatnie cyfry oznaczaj numer biecego miesica.

15.7. Wybieranie hase

Instrukcja. Uytkownicy komputerw powinni wybiera hasa, ktre odpowiadaj poniszym wymaganiom. Musi skada si z co najmniej omiu znakw w przypadku standardowych kont uytkownikw i co najmniej dwunastu na kontach uprzywilejowanych. Musi zawiera co najmniej jedn cyfr, co najmniej jeden symbol (np. $, _, %,!), co najmniej jedn ma liter i co najmniej jedn du liter (pod warunkiem, e pozwala na to system operacyjny). Nie moe by wyrazem ze sownika dowolnego jzyka, wyrazem zwizanym z rodzin, hobby, samochodem, prac, numerami rejestracyjnymi, numerem NIP adresem, telefonem, imieniem psa, dat urodzenia lub fraz za, wierajc te wyrazy. Nie moe by wariacj poprzedniego hasa z jednym elementem niezmiennym, a drugim zmieniajcym si, np. Roman0l, Roman02, Roman03 lub RomanSty, RomanLut. Uwagi. Haso stworzone przy przestrzeganiu powyszych wytycznych bdzie trudne do odgadnicia dla socjotechnika. Inn moliwoci jest stosowanie metody spgoska-samogoska, dziki ktrej otrzymujemy atwe do wymwienia i zapamitania haso. Aby skonstruowa takie haso, naley posugiwa si wzorcem XYXYXY, gdzie w miejsce X wstawiamy spgoski, a w miejsce Y samogoski. Przykadami mog by SOFEKA albo WACUNE.

347

15.8. Notowanie hase

Instrukcja. Pracownicy mog notowa hasa tylko wtedy, gdy przechowuj je w bezpiecznym miejscu z dala od komputera i innych chronionych hasem urzdze. Uwagi. Pracownikw naley odwodzi od notowania hase. Niekiedy jest to niestety konieczne, na przykad wwczas, gdy pracownik ma wiele kont w rnych systemach. Kade zapisane haso musi by przechowywane w bezpiecznym miejscu z dala od komputera. W adnym przypadku nie wolno przechowywa hase pod klawiatur lub przyklejonych do monitora.

15.9. Hasa jako zwyky tekst

Instrukcja. Hasa w formie niezaszyfrowanego tekstu nie powinny by przechowywane w adnym pliku w komputerze albo jako tekst przywoywany naciniciem klawisza funkcyjnego. W razie koniecznoci hasa mona zapisywa za pomoc narzdzia szyfrujcego zaaprobowanego przez dzia informatyki i tym samym unikn groby poznania ich przez nieupowanione osoby. Uwagi. Hasa mog by atwo zdobyte przez napastnika, jeeli s przechowywane w formie niezaszyfrowanej w plikach danych, plikach wsadowych, dostpne pod klawiszami funkcyjnymi, w plikach logujcych, makrach, skryptach lub plikach danych zawierajcych hasa do stron WWW.

Instrukcje dla uytkownikw zdalnych

Uytkownicy zdalni znajduj si poza ochron firmowego firewalla i tym samym s bardziej naraeni na ataki. Opisane tu instrukcje powinny uniemoliwi socjotechnikom wykorzystywanie pracownikw zdalnych jako swoistej furtki do zasobw firmy.

16.1. Ubogi klient

Instrukcja. Wszyscy pracownicy upowanieni do korzystania ze zdalnego dostpu powinni czy si za pomoc ubogich klientw.

348

Uwagi. Kiedy napastnik wybiera strategi ataku, moe zdecydowa si na prb identyfikacji uytkownikw ze zdalnym dostpem. S oni pierwszym celem ataku. Ich komputery zwykle nie s tak dobrze zabezpieczone i mog okaza si sabym ogniwem, umoliwiajcym dostp do sieci firmy. Kademu komputerowi, ktry czy si z zaufan sieci, mona podrzuci program skanujcy klawiatur lub przej jego uwierzytelnione poczenie. Aby tego unikn, mona stosowa strategi ubogiego klienta. Ubogi klient przypomina stacj robocz nie wyposaon we wasny dysk lub lepy terminal. Komputer zdalny nie posiada moliwoci przechowywania programw system operacyjny oraz wszystkie aplikacje rezyduj w sieci firmowej. Dostp do sieci poprzez ubogiego klienta znacznie zmniejsza ryzyko, jakie stwarza korzystanie z niezaatanych systemw operacyjnych i niebezpieczny kod. Zgodnie z powyszym, zarzdzanie bezpieczestwem uytkownikw zdalnych jest atwiejsze i efektywniejsze dziki centralizacji sterowania nim. Zamiast liczy na to, e niedowiadczeni uytkownicy zdalni bd w stanie zadba o bezpieczestwo swojego systemu, lepiej przenie t odpowiedzialno na odpowiednio wyszkolonych administratorw sieci.

16.2. Oprogramowanie zabezpieczajce dla uytkownikw zdalnych

Instrukcja. W kadym zewntrznym systemie komputerowym, ktry suy do czenia si z sieci firmy, musi by zainstalowane oprogramowanie antywirusowe i wykrywajce konie trojaskie oraz firewall (programowy lub sprztowy). Wzorce wirusw musz by aktualizowane przynajmniej raz w tygodniu. Uwagi. Zwykle uytkownicy zdalni nie s wyszkoleni w sprawach bezpieczestwa i mog nieumylnie lub lekcewaco pozostawi swoje systemy naraonymi na wszelkie ataki. Dlatego wanie uytkownicy zdalni stanowi due zagroenie dla bezpieczestwa firmy, jeeli nie s odpowiednio przeszkoleni. Oprcz instalacji oprogramowania antywirusowego i wykrywajcego konie trojaskie w celu ochrony przed niebezpiecznym kodem konieczny jest firewall, aby zablokowa wrogim uytkownikom dostp do usug udostpnionych w systemie uytkownika zdalnego. Jak dowodzi atak na firm Microsoft, nie naley lekceway ryzyka zwizanego z niezastosowaniem minimalnych rodkw bezpieczestwa w celu uniknicia propagacji niebezpiecznego kodu. System komputerowy jednego ze zdalnych uytkownikw wewntrznej sieci firmy Microsoft zosta zainfekowany koniem trojaskim. Intruz lub intruzi byli w stanie uywa poczenia owego zdalnego uytkownika z systemem programistycznym do kradziey kodu rdowego.

349

Instrukcje dla dziau kadr

Na zatrudnionych w dziale kadr ciy szczeglny obowizek ochrony pracownikw przed osobami prbujcymi uzyska ich dane osobowe. Specjalici od zarzdzania kadrami odpowiadaj rwnie za ochron firmy przed niezadowolonymi byymi pracownikami.

17.1. Odejcie pracownikw z firmy

Instrukcja. Kiedy pracownik odchodzi z firmy, dzia kadr niezwocznie musi: usun nazwisko tej osoby z udostpnianego w wewntrznej sieci spisu telefonw pracownikw i zablokowa lub przekierowa jego poczt gosow; poinformowa personel pilnujcy wej do budynkw firmy; doda nazwisko pracownika do listy odchodzcych, ktra powinna by rozsyana do wszystkich pracownikw nie rzadziej ni raz na tydzie.

Uwagi. Pracownicy, ktrzy pilnuj wej do budynkw, powinni by poinformowani, aby nie wpuszcza byego pracownika na teren firmy. Poinformowanie pozostaego personelu moe udaremni prby udawania wci zatrudnionego i sabotau przy niewiadomej pomocy zatrudnionych. W pewnych wypadkach konieczne jest polecenie wszystkim pracownikom dziau zwalnianej osoby dokonania zmiany hase. (Kiedy zostaem zwolniony z GTE z powodu mojej reputacji hakera, firma polecia zmian hase wszystkim pracownikom firmy).

17.2. Informowanie dziau informatyki

Instrukcja. Za kadym razem, gdy firma kogo zwalnia, kadry powinny niezwocznie powiadomi o tym dzia informatyki, aby zlikwidowane zostay jego konta, w tym konta uywane do korzystania z baz danych, do czenia si przez modem lub Internet ze zdalnych lokalizacji. Uwagi. Bardzo istotne jest dezaktywowanie wszelkiego rodzaju moliwoci dostpu byego pracownika do systemw komputerowych firmy, urzdze sieciowych, baz danych i innych z chwil jego zwolnienia. Nie robic tego, firma zostawia otwarte drzwi niezadowolonym pracownikom, ktrzy mog dosta si do systemu i wyrzdzi w nim znaczne szkody.

350

17.3. Tajne informacje wykorzystywane w procesie rekrutacyjnym

Instrukcja. Ogoszenia i inne formy publicznej rekrutacji kandydatw na wolne miejsca pracy powinny w miar moliwoci unika identyfikacji sprztu komputerowego i oprogramowania uywanego przez firm. Uwagi. Kierownictwo oraz personel dziau kadr powinny ujawnia tylko tyle informacji na temat stosowanego przez firm sprztu i oprogramowania, ile jest niezbdne, aby otrzyma aplikacje od odpowiednio wykwalifikowanych kandydatw. Hakerzy czytaj gazety, informacje publikowane przez firmy i odwiedzaj strony internetowe w poszukiwaniu ofert pracy. Czsto firmy ujawniaj wiele informacji o stosowanym sprzcie i oprogramowaniu, aby zachci potencjalnych kandydatw. Intruz wyposaony w wiedz na temat systemw informatycznych firmy jest gotowy do drugiej fazy ataku. Na przykad wiedzc, e firma korzysta z systemu VMS, napastnik moe wykona telefon, aby wyudzi numer stosowanej wersji systemu, a nastpnie przesa faszywy awaryjny pakiet aktualizacyjny wydajcy si pochodzi od producenta. Po jego zainstalowaniu napastnik jest ju w rodku

17.4. Osobiste dane pracownika

Instrukcja. Dzia kadr nie moe ujawnia informacji osobistych dotyczcych aktualnie zatrudnionych lub byych pracownikw, osb wykonujcych zlecenia, konsultantw czy zatrudnionych tymczasowo, chyba e pracownik lub szef dziau kadr wyrazi wczeniej pisemn zgod. Uwagi. owcy gw, prywatni detektywi i zodzieje tosamoci poszukuj czsto danych pracownika, takich jak numer pracownika, numer NIP data , urodzenia, historia zarobkw, dane finansowe cznie z informacjami o depozytach, dane ubezpieczeniowe. Socjotechnik dziki tym informacjom moe podawa si za dan osob. Poza tym nazwiska nowo zatrudnionych mog by niezwykle cennym upem dla zodziei informacji. Nowi pracownicy zwykle podporzdkowuj si probom osb z wikszym staem i wadz oraz kadej osobie, ktra owiadczy, e zajmuje si sprawami bezpieczestwa.

17.5. Wywiad na temat pracownikw

Instrukcja. Wymagane jest dokonanie wywiadu na temat kadego nowo przyjtego pracownika, wykonawcy zlecenia, konsultanta i pracownika tymczasowego przed zaoferowaniem staej umowy o prac lub kontraktu.

351

Uwagi. Z uwagi na koszty, wymaganie przeprowadzenia wywiadu mona ograniczy do pewnych stanowisk, na ktrych musz znale si ludzie godni zaufania. Z drugiej strony, naley pamita, e kada osoba, ktrej udzielamy fizycznego dostpu do biur firmy, stanowi potencjalne zagroenie. Na przykad ekipy sprztajce maj dostp do biur pracownikw, a tym samym do znajdujcych si tam systemw komputerowych. Napastnik posiadajcy fizyczny dostp do komputera moe zainstalowa sprztowy skaner klawiatury do przechwytywania hase w czasie krtszym ni minuta. Intruzi komputerowi czasami s gotowi postara si o zatrudnienie w firmie, aby uzyska dostp do systemw komputerowych i sieci. Napastnik moe w prosty sposb zdoby nazw firmy wykonujcej tam usugi zwizane ze sprztaniem pomieszcze. Moe, na przykad, zadzwoni do osoby odpowiedzialnej za te sprawy i poda si za przedstawiciela podobnej firmy usugowej szukajcej zlece, by otrzyma nazw firmy, ktra bieco zajmuje si tym w interesujcym go przedsibiorstwie.

Instrukcje dotyczce bezpieczestwa fizycznego

Co prawda socjotechnicy staraj si nie pojawia osobicie w firmach, ktre zamierzaj zaatakowa, jednak zdarzaj si wyjtki. Opisane tu instrukcje pomog zabezpieczy teren firmy przed zagroeniami.

18.1. Identyfikacja osb niezatrudnionych

Instrukcja. Dostawcy oraz inne osoby niezatrudnione, ktre maj potrzeb regularnego wchodzenia na teren firmy, musz posiada specjalne identyfikatory lub inne formy identyfikacji zgodne z instrukcj ustanowion przez ochron firmy. Uwagi. Osobom niezatrudnionym, ktre musz regularnie wchodzi na teren firmy (na przykad dostawcy jedzenia i napojw do bufetw, serwisanci kserokopiarek lub telemonterzy), powinno si wyda specjalnie stworzone do tego celu identyfikatory. Inne osoby, ktre maj potrzeb wchodzenia na teren firmy od czasu do czasu lub jednorazowego wejcia, musz by traktowane jako gocie i powinny by kadorazowo eskortowane.

352

18.2. Identyfikacja goci

Instrukcja. Kady go musi okaza dowd osobisty lub inny dokument ze zdjciem, aby zosta wpuszczonym na teren firmy. Uwagi. Pracownicy ochrony lub recepcjonistka powinni zrobi kopi dokumentu przed wydaniem identyfikatora. Kopia powinna by przechowywana w dzienniku goci. Alternatywnie, stranik lub recepcjonistka mog zapisywa informacje identyfikacyjne w dzienniku goci. Nie wolno zezwala gociom na wasnorczne wpisywanie swoich danych do dziennika. Socjotechnicy szukajcy moliwoci wejcia do budynku zawsze bd zapisywa faszywe dane w dzienniku. Mimo e zdobycie faszywej tosamoci i zapamitanie nazwiska pracownika, ktrego odwiedzamy, nie jest trudne, wymg rejestracji osb wchodzcych dodaje jeszcze jeden element systemu bezpieczestwa.

18.3. Eskortowanie goci

Instrukcja. Gocie musz by cay czas eskortowani lub przebywa w towarzystwie pracownika firmy. Uwagi. Jednym z popularnych podstpw stosowanych przez socjotechnikw jest umwienie si na wizyt u jednego z pracownikw (na przykad u inyniera produktu, podajc si za pracownika strategicznego partnera firmy). Po tym, jak eskorta doprowadzi nas na miejsce spotkania, socjotechnik zapewnia swojego gospodarza, e sam znajdzie drog do wyjcia. W ten sposb uzyskuje swobod poruszania si po budynkach firmy i moliwo uzyskania poufnych informacji.

18.4. Identyfikatory tymczasowe

Instrukcja. Pracownicy firmy z innego oddziau, ktrzy nie maj ze sob identyfikatora, musz okaza wany dowd osobisty lub inny dokument ze zdjciem, aby otrzyma tymczasowy identyfikator gocia. Uwagi. Napastnicy czsto podaj si za pracownikw z innego oddziau firmy, aby dosta si na jej teren.

18.5. Ewakuacja
Instrukcja. W kadej sytuacji zagroenia lub podczas wicze ewakuacyjnych ochrona musi upewni si, e wszyscy opucili teren firmy.

353

Uwagi. Personel odpowiedzialny za bezpieczestwo musi dopilnowa, czy w biurach lub toaletach nie pozostali jacy maruderzy. Po uzyskaniu zgody stray poarnej lub innej osoby odpowiedzialnej za przebieg ewakuacji, ochrona musi sprawdzi, czy kto nie opuszcza budynku dugo po ewakuacji. Szpiedzy przemysowi lub wyrafinowani hakerzy s w stanie uprawia dywersj, aby uzyska dostp do zabezpieczonych obszarw firmy. Jedn ze stosowanych form dywersji jest rozpylanie w powietrzu nieszkodliwego rodka chemicznego, ktry wywouje wraenie, e ulatnia si gaz. Z chwil, gdy personel zacznie si ewakuowa, napastnik bdzie prbowa ukra jakie informacje lub dosta si do systemu komputerowego firmy. Inn taktyk jest pozostanie w ukryciu, np. w toalecie lub w szafie, w czasie zaplanowanych wicze ewakuacyjnych bd po odpaleniu flary lub zrobieniu podobnej rzeczy, ktra moe spowodowa ewakuacj ludzi z budynku.

18.6. Gocie w pokoju pocztowym

Instrukcja. Nie wolno wpuszcza goci firmy do pokoju pocztowego bez nadzoru pracownika firmy. Uwaga: Celem tej instrukcji jest zapobieenie podmianie, podrzuceniu lub kradziey korespondencji wewntrznej firmy.

18.7. Numery rejestracyjne samochodw

Instrukcja. Jeeli firma posiada strzeony parking, stranicy powinni notowa numery rejestracyjne samochodw wjedajcych na jego teren.

18.8. Kontenery na mieci

Instrukcja. Kontenery na mieci musz pozostawa cay czas na terenie firmy i nie powinny by oglnie dostpne. Uwaga: Hakerzy i szpiedzy przemysowi potrafi uzyska wartociowe informacje z firmowych kontenerw na mieci. Sdy amerykaskie utrzymuj, e mieci s porzucon wasnoci i ich przeszukiwanie jest cakowicie legalne. Z tego powodu wane jest, aby pojemniki na odpadki znajdoway si na terenie firmy, gdzie ma ona prawo chroni je wraz z zawartoci.

354

Instrukcje dla recepcjonistek

Recepcjonistki czsto s na pierwszej linii w kontaktach z socjotechnikiem, jednak rzadko s szkolone, by rozpoznawa i zatrzymywa intruzw. Zastosowanie opisanych tu instrukcji pozwoli recepcjonistkom lepiej ochrania firm i jej dane.

19.1. Wewntrzny spis telefonw

Instrukcja. Ujawnianie informacji zawartych w wewntrznym spisie telefonw firmy powinno by ograniczone tylko do jej pracownikw. Uwagi. Wszystkie nazwiska, stanowiska, numery telefonw i adresy zawarte w spisie telefonw powinny by traktowane jako informacja wewntrzna i powinny by ujawniane zgodnie z instrukcj opisujc klasyfikacj danych i informacje wewntrzne. Dodatkowo, osoba dzwonica musi zna nazwisko lub numer wewntrzny pracownika, z ktrym chce si skontaktowa. Recepcjonistka moe co prawda przeczy rozmow do kogo, kogo osoba dzwonica nie zna, ale nie moe wtedy podawa jej numeru wewntrznego. (Ciekawskim, ktrzy wol uczy si na konkretnych przykadach, polecam w celu dowiadczenia tej procedury wykonanie telefonu do jednej z instytucji rzdowych i poproszenie operatora o jaki numer wewntrzny).

19.2. Numery telefonw do dziaw lub grup roboczych

Instrukcja. Pracownicy nie powinni nikomu podawa bezporednich numerw do biura pomocy technicznej, dziau telekomunikacyjnego, operatorw komputerw lub administratora systemu bez weryfikacji rzeczywistej potrzeby kontaktu z tymi osobami. Recepcjonistka, przeczajc rozmow do ktrej z tych osb, powinna poda nazwisko osoby dzwonicej. Uwagi. Mimo e dla niektrym instrukcja ta moe wydawa si zbyt restrykcyjna, to utrudnia ona socjotechnikowi podawanie si za pracownika firmy i nakanianie kolejnych rozmwcw, aby przeczali go dalej ze swoich aparatw (w niektrych systemach telefonicznych rozmowa taka jest odbierana jako telefon z wewntrz) oraz demonstrowanie swojej wiedzy i sprawianie wraenia autentycznoci, poprzez posugiwanie si numerami wewntrznymi.

355

19.3. Przekazywanie informacji

Instrukcja. Telefonistki i recepcjonistki nie powinny przyjmowa wiadomoci lub przekazywa informacji w imieniu nieznanych osb. Uwagi. Socjotechnicy s zdolni tak zmanipulowa osob, aby nieumylnie porczaa za ich tosamo. Jeden z typowych trikw polega na zdobyciu numeru telefonu recepcjonistki i poproszeniu jej, by przyjmowaa wiadomoci, ktre mog dla nas nadej. Pniej, w czasie rozmowy telefonicznej z ofiar, napastnik podaje si za pracownika, prosi o poufne informacje lub wykonanie jakiego zadania i podaje numer centrali jako numer zwrotny. Napastnik dzwoni pniej do recepcjonistki i odbiera wiadomoci, jakie zostawia dla niego niczego niepodejrzewajca ofiara podstpu.

19.4. Rzeczy do odebrania

Instrukcja. Przed wydaniem jakiejkolwiek rzeczy kurierowi lub innej nie zweryfikowanej osobie, recepcjonistka lub stranik musi zobaczy dowd tosamoci ze zdjciem i wpisa dane z dowodu do rejestru rzeczy odebranych, zgodnie z zatwierdzonymi procedurami. Uwagi. Jedn z taktyk socjotechnicznych jest namwienie pracownika do przekazania poufnych informacji innemu, przypuszczalnie uprawnionemu, pracownikowi poprzez ich pozostawienie do odebrania u recepcjonistki. Oczywicie recepcjonistka lub stranik zakadaj, e przesyk naley wyda temu, kto si po ni zgosi. Socjotechnik albo zgasza si osobicie, albo korzysta z usugi firmy kurierskiej, ktra odbiera dla niego przesyk.

Instrukcje dla grupy przyjmujcej zgoszenia incydentw

Kada firma powinna wyznaczy scentralizowan grup, ktra ma by powiadamiana w przypadku identyfikacji jakiej formy zagroenia bezpieczestwa firmy. Poniej opisano pewne wytyczne co do formowania grupy i wyznaczania jej zada.

356

20.1. Punkt zgaszania incydentw

Instrukcja. Naley wyznaczy osob lub grup, do ktrej zgaszane maj by wszelkie incydenty naruszajce bezpieczestwo firmy. Wszyscy pracownicy powinni zosta wyposaeni w informacje kontaktowe tej grupy. Uwagi. Pracownicy musz zrozumie, jak identyfikowa zagroenie bezpieczestwa, i by tak przeszkoleni, aby zgaszali wszelkie zaistniae zagroenia do punktu zgaszania incydentw. Rwnie wane jest stworzenie procedur opisujcych dziaanie grupy w przypadku otrzymania informacji o zagroeniu.

20.2. Trwajce ataki

Instrukcja. Jeeli punkt zgaszania incydentw odbiera informacje o trwajcym ataku socjotechnicznym, powinien niezwocznie rozpocz procedury alarmujce wszystkich pracownikw, ktrzy nale do zagroonych atakiem grup. Uwagi. Grupa, do ktrej zgaszane s incydenty, lub odpowiedzialny za to kierownik, powinna podj decyzj, czy ogosi alert w caej firmie. W sytuacji, kiedy odpowiedzialne osoby s przekonane, e przeprowadzany jest atak, priorytetem musi by zapobieenie ewentualnym szkodom, poprzez zaalarmowanie pracownikw, aby spodziewali si ataku.

Dodatki
Bezpieczestwo w piguce rda Skorowidz

Bezpieczestwo w piguce
Ponisze listy i tabele stanowi przegld metod socjotechnicznych omawianych w rozdziaach od 2. do 14. i procedur weryfikacyjnych wyszczeglnionych w rozdziale 16. Informacje te naley zmodyfikowa pod ktem wasnej organizacji i udostpni pracownikom, aby mogli z nich korzysta w odpowiedniej sytuacji.

Identyfikacja ataku
Przedstawione tutaj tabele i listy pomog ustali, czy ma miejsce atak socjotechniczny.

359

Cykl socjotechniczny
Dziaanie Rozpoznanie Opis Moe zacz si od oglnej analizy powszechnie dostpnych informacji, jak wyniki finansowe, katalogi, zgoszenia do urzdu patentowego, wzmianki prasowe, artykuy w prasie fachowej, zawarto strony internetowej, a take zawartoci mietnikw Uycie wewntrznych informacji, podawanie si za kogo innego, wspominanie nazwisk osb znanych ofierze, zgoszenie potrzeby pomocy lub zasugerowanie posiadania wadzy. Proba o informacj lub dziaanie skierowana do ofiary. Zmanipulowanie ofiary tak, aby sama poprosia o pomoc. Jeeli uzyskana informacja jest tylko kolejnym krokiem zbliajcym napastnika do celu, wraca on do poprzednich krokw cyklu, a do osignicia sukcesu.

Budowanie wizi i zaufania

Wykorzystanie zaufania

Wykorzystanie informacji

Typowe metody socjotechniczne

Udawanie pracownika tej samej firmy. Udawanie przedstawiciela dostawcy, firmy partnerskiej lub agencji rzdowej. Udawanie kogo, kto ma wadz. Udawanie nowego pracownika proszcego o pomoc. Udawanie przedstawiciela producenta systemu operacyjnego zalecajcego piln aktualizacj. Oferowanie pomocy w razie wystpienia jakiego problemu, sprawienie, by problem wystpi, i manipulacja ofiar w taki sposb, aby sama zadzwonia z prob o pomoc. Wysanie darmowego programu do aktualizacji lub zainstalowania. Wysanie wirusa lub konia trojaskiego w zaczniku do poczty. Uycie faszywego okna dialogowego wywietlajcego prob o powtrne zaogowanie si lub wprowadzenie hasa. Przechwytywanie nacinitych klawiszy za pomoc specjalnego programu.

360

Podrzucenie w okolicach stanowiska pracy ofiary dyskietki lub pyty CD-ROM zawierajcej niebezpieczny kod. Uywanie wewntrznej terminologii i argonu w celu zbudowania zaufania. Oferowanie nagrody za rejestracj, poprzez wprowadzenie nazwy uytkownika i hasa na stronie internetowej. Podrzucenie dokumentu lub pliku w pomieszczeniu poczty wewntrznej firmy, aby dotar do miejsca przeznaczenia jako korespondencja wewntrzna. Zmiana ustawie nagwka w faksie tak, aby wydawa si pochodzi z wewntrz. Proba do recepcjonistki o odebranie i przesanie faksu dalej. Proba o transfer pliku do lokalizacji, ktra wydaje si wewntrzna. Ustawienie skrzynki poczty gosowej w taki sposb, e w trakcie oddzwaniania napastnik jest identyfikowany jako osoba z wewntrz. Podawanie si za pracownika z innego oddziau i proba o tymczasowe otwarcie konta e-mail.

Atak znaki ostrzegawcze

Odmowa podania numeru zwrotnego. Nietypowa proba. Okazywanie posiadania wadzy. Podkrelanie pilnoci sprawy. Groenie konsekwencjami niepodporzdkowania si probie. Okazywanie niechci w przypadku zadawania pyta. Wymienianie wielu nazwisk. Komplementy lub pochlebstwa. Flirtowanie.

Typowe cele ataku

Typ celu Niewiadomy wartoci informacji Posiadajcy Specjalne przywileje Producent Okrelone wydziay Przykady Recepcjonistka, telefonistka, pracownicy administracji, pracownicy ochrony. Pomoc techniczna, administratorzy systemw komputerowych, operatorzy komputerw, administratorzy systemw telefonicznych. Producenci sprztu, oprogramowania, systemw poczty gosowej. Ksigowo, kadr.

361

Czynniki uatwiajce atak

Dua liczba pracownikw. Wiele lokalizacji. Informacje o poczynaniach pracownikw zostawiane w poczcie gosowej. Udostpnianie numerw wewntrznych. Brak szkolenia w zakresie bezpieczestwa. Brak systemu klasyfikacji danych. Brak punktu zgaszania incydentw i planw reakcji.

Weryfikacja i klasyfikacja danych

Przedstawione tutaj tabele maj za zadanie pomc w reagowaniu na proby o informacje lub czynnoci, ktre mog okaza si atakiem socjotechnicznym.

Procedura weryfikacji tosamoci

rodek identyfikacji Identyfikacja rozmwcy Opis Sprawd, czy rozmowa pochodzi z wewntrz i czy wywietlony numer odpowiada osobie, ktra dzwoni. Znajd dzwonicego w firmowym spisie telefonw i zadzwo pod podany tam numer wewntrzny. Popro zaufanego pracownika o porczenie tosamoci dzwonicego. Popro o podanie wsplnej tajemnicy firmowej, takiej jak haso lub kod dnia. Skontaktuj si z bezporednim zwierzchnikiem pracownika i poro o weryfikacj jego tosamoci i statusu. Popro o wiadomo podpisan elektroicznie. Jeeli znasz rozmwc, rozpoznaj go po gosie po gosie.

Oddzwanianie

Porczenie Wsplna tajemnica Zwierzchnik lub szef

Bezpieczny e-mail Rozpoznawanie

362

Hasa dynamiczne

Dokonaj weryfikacji poprzez odpowiednie urzdzenie generujce dynamiczne hasa lub zastosuj podobne rozwizanie uwierzytelniajce. Popro rozmwc o osobiste pojawienie si ze swoim identyfikatorem pracownika.

Osobicie

Procedura weryfikacji statusu pracownika

rodek weryfikacji Lista pracownikw Szef Wydzia Opis Sprawd, czy dzwonicy znajduje si na licie pracownikw. Zadzwo do szefa firmy, uywajc numeru z listy pracownikw. Zadzwo do wydziau, w ktrym pracuje rozmwca, i zapytaj, czy osoba ta jest pracownikiem firmy.

Procedura weryfikacji potrzeby wiedzy

Czynno Sprawd stanowisko Opis Sprawd w opublikowanych listach, grup i zakres ktrzy pracownicy s uprawnieni do odpowiedzialnoci otrzymywania okrelonych tajnych informacji. Skontaktuj si ze swoim szefem lub od szefa szefem osoby dzwonicej z prob. Zapytaj posiadacza informacji, od waciciela informacji czy pytajcemu jest potrzebna lub osoby wyznaczonej informacja, o ktr prosi przez niego Sprawd w specjalnej bazie danych od specjalnego systemu weryfikujcej dostp osb do informacji.

Uzyskaj potwierdzenie Uzyskaj potwierdzenie

Uzyskaj potwierdzenie

363

Kryteria weryfikacji osb nie bdcych pracownikami

Kryterium Powizanie Dziaanie Sprawd, czy firma, ktr reprezentuje dana osoba, jest dostawc, partnerem strategicznym lub ma inne odpowiednie powizania. Zweryfikuj tosamo osoy i status zatrudnienia w jej firmie. Sprawd, czy osoba podpisaa zobowizanie do nie ujawniania otrzymanych informacji. Jeeli informacja jest sklasyfikowana jako bardziej poufna ni wewntrzna, przeka spraw kierownictwu.

Tosamo Tajemnica Dostp

Klasyfikacja danych
Klasyfikacja Publiczne Wewntrzne Opis Oglnie dostpne. Procedura Nie ma potrzeby weryfikacji.

Do uytku we- Zweryfikuj tosamo osoby pywntrznego firmy tajcej jako zatrudnionej w firmie, a w przypadku osoby z zewntrz sprawd istnienie zobowizania do ni ujawniania tajemnic i zgod kierownictwa. Informacje natury osobistej, przeznaczone do uytku tylko w ramach organizacji Udzielane tylko osobom z bezwzgldn potrzeb wiedzy, w ramach organizacji Zweryfikuj tosamo osoby pytajcej jako zatrudnionej lub uprawnionej osoby z zewntrz, Zanim udzielisz informacji prywatnej, skonsultuj si z dziaem kadr Zweryfikuj tosamo osoby pytajcej i potrzeb wiedzy (u waciciela danej informacji). Udzielaj informacji tylko wtedy, gdy posiadasz pisemn zgod szefa, waciciela informacji lub jego przedstawiciela. Sprawd istnienie pisemnego zobowizania do zachowania tajemnicy. Tylko kadra kierownicza moe udziela takich informacje osobom nie bdcym pracownikami fir.

Prywatne

Tajne

364

365

366

rda
Buck Bloom Becker, Spectacular Computer Crimes: What they Are and How They Cost American Business Half a Billion Dollars a Year, [b. m.] 1990. Littman Jonathan, The Fugitive Game: Online with Kevin Mitnick, [b. m.] 1997. Peneberg Adam L., The Demonizing of a Hacker, Forbes, 19 kwietnia 1999. Cialdini Robert B., Wywieranie wpywu na ludzi. Teoria i praktyka, Gdask 1999. Cialdini Robert B., The Science of Persuasion, Scientific American, luty 2001.

Podzikowania
Od Kevina Mitnicka
Prawdziwa przyja bywa okrelana jako jeden umys w dwch ciaach; niewielu ludzi, ktrych spotykamy w naszym yciu, zasuguje na miano prawdziwych przyjaci. Jack Biello by yczliw i troskliw osob, ktra odwaya si wystpi przeciwko sposobowi, w jaki zostaem potraktowany przez nieetycznych dziennikarzy i zbyt fanatycznie nastawionych oskarycieli. To on sta na czele ruchu na rzecz mojego uwolnienia i by autorem artykuw ujawniajcych informacje, ktre nie byy wygodne dla rzdu. Jack zawsze by gotw odwanie wypowiada si w moim imieniu i wsppracowa ze mn, przygotowujc przemowy i artykuy, by w pewnym momencie sta si moim rzecznikiem prasowym. Ksik t dedykuj mojemu najdroszemu przyjacielowi, Jackowi Biello, ktry, umierajc na raka niedugo po tym, jak ukoczyem rkopis, pozostawi mnie w poczuciu straty i gbokim smutku. Napisanie tej ksiki nie byoby moliwe bez wsparcia ze strony mojej rodziny. Mio i pomoc mojej mamy, Shelly Jaffe, i babci, Reby Vartatian, towarzyszy mi przez cae ycie. To wielkie szczcie by wychowanym przez tak kochajc i oddan matk, ktr uwaam rwnie za najlepszego przyjaciela. Moja babcia bya mi drug matk, okazujc mio i opiek. Te cudowne, wspczujce osoby nauczyy mnie, jak troszczy si o innych i wyciga pomocn do do tych, ktrym si nie udao. Tak wic, kroczc cie-

368

k dawania i wspczucia innym, w pewnym sensie podam drog, ktr obie mi wyznaczaj. Mam nadziej, e wybacz mi, i w czasie pisania nieco je zaniedbaem i nie odwiedzaem, tumaczc si nawaem pracy i napitymi terminami. Powstanie tej ksiki nie byoby moliwe bez ich nieustannej mioci i wsparcia na zawsze pozostan bliskie mojemu sercu. Jake bym chcia, by mj ojciec, Alan Mitnick, i brat, Adam Mitnick, doyli tej chwili i mogli si napi ze mn szampana w dniu, w ktrym ksika ta ukae si w ksigarniach. Mj ojciec przedsibiorca i handlowiec nauczy mnie wielu rzeczy, ktrych nigdy nie zapomn. Przez ostatnie miesice jego ycia miaem szczcie by u jego boku i dodawa mu otuchy najlepiej jak mogem. Jego mier to bardzo bolesne dowiadczenie, po ktrym do dzi jeszcze si nie otrzsnem. Moja ciotka, Chickie Laventhal, bdzie zawsze zajmowaa specjalne miejsce w moim sercu. Mimo e zawiodem j kilkoma gupimi bdami, ktre popeniem, zawsze bya przy mnie ze swoj mioci i wsparciem. Rwnie brat mojego ojca zdecydowanie zasuguje na wspomnienie. By moe odziedziczyem moje talenty socjotechniczne wanie po wuju Mitchellu, ktry zawsze wiedzia, jak manipulowa ludmi i wiatem na takie sposoby, jakich pewnie nigdy nie zrozumiem, a ju na pewno nie opanuj. Na swoje szczcie nie zainteresowa si komputerami w czasie, gdy uywa swej czarujcej osobowoci do wywierania wpywu na ludzi. Tytu wielkiego mistrza socjotechniki bdzie zawsze nalee do niego. Piszc te podzikowania, zdaem sobie spraw, e jest wiele osb, ktrym chciaby podzikowa i okaza wdziczno za mio, przyja i wsparcie. Nie jestem w stanie pamita nazwisk caej masy wspaniaych ludzi, ktrych spotkaem w ostatnich latach nie sposb ich wszystkich wymieni. Wiele osb z caego wiata pisao do mnie sowa zachty, uznania i wsparcia. Sowa te wiele dla mnie znaczyy, szczeglnie w chwilach, w ktrych najbardziej ich potrzebowaem. Szczeglnie wdziczny jestem swoim zwolennikom, ktrzy stanli po mojej strome i powicili swj cenny czas i energi, by da wyraz troski o mnie i sprzeciwi si temu, w jaki sposb byem traktowany. To niezwyke szczcie mie za wsppracownika autora bestsellerw Billa Simona. Pracowalimy rami w rami niezalenie od rnic, jakie istniej midzy nami. Bill jest niezwykle zorganizowany, wczenie wstaje i dziaa w przemylany i zaplanowany sposb. Jestem mu wdziczny, e dostosowa si do mojego nocnego trybu ycia. Moje zaangaowanie w ten projekt i przeciganie godzin pracy sprawiay, e czasem koczyem o poranku. Nie byo to zgodne z normalnym trybem ycia Billa.

369

Bill potrafi przeksztaci moje pomysy w zdania godne dojrzaego czytelnika i okazywa (prawie zawsze) cierpliwo, borykajc si z moim (przez pryzmat programisty) sposobem widzenia szczegw. W kocu udao si. W tym miejscu chciabym przeprosi Billa i powiedzie, e zawsze bd aowa wasnego podejcia do pracy, poniewa to moja pedanteria w przedstawianiu szczegw doprowadzia do tego, e pierwszy raz w swojej dugiej karierze pisarskiej nie dotrzyma umwionego terminu. W kocu zrozumiaem, na czym polega praca pisarza, i doceniem j. Mam nadziej, e uda si nam napisa wsplnie kolejne ksiki. Pobyt w domu Billa Simona w Rancho Santa Fe, aby pracowa i by rozpieszczanym przez jego on, Arynne, traktuj jako najmilszy aspekt pisania. Rozmowy z Arynne i jej umiejtnoci kulinarne walcz ze sob o pierwsze miejsce w mojej pamici. Mj podziw budzi jej wielka klasa, mdro i poczucie humoru. Stworzya dom peen pikna i ciepa. Poza tym, wci nie mog si napi dietetycznej coli, nie syszc w gowie gosu Arynne przypominajcego mi o szkodliwoci aspartamu. Wiele dla mnie znaczy Stacey Kirkland. Powicia wiele godzin swojego czasu, aby pomc mi w stworzeniu na Macintoshu tabel i schematw, ktre pomagay wizualizowa moje pomysy. Podziwiam jej wspaniay charakter. Jest prawdziwie kochajc i wspczujc osob, ktra zasuguje w yciu na samo dobro. Usyszaem od niej wiele sw zachty i jest osob, na ktrej bardzo mi zaley. Pragn podzikowa jej za mio, wsparcie i powicony mi czas. Alex Kasper, Nexspace, to nie tylko mj najlepszy kumpel, ale rwnie wsplnik w interesach. Razem prowadzilimy popularny radiowy talk show Ciemna Strona Internetu w radiu KFI AM 640 w Los Angeles, pod sprawnym kierownictwem dyrektora programowego, Davida G. Halla. Alex udzieli mi bezcennej pomocy i da mi wiele rad w zwizku z ksik. Jego wpyw na mnie by zawsze pozytywny, a jego uprzejmo i gocinno nie koczya si nawet w pnych godzinach nocnych. Wraz z Alexem ukoczylimy ostatnio prac nad filmem, ktry ma pomc firmom w szkoleniu swoich pracownikw tak, aby zapobiega atakom socjotechnicznym. Paul Dryman jest przyjacielem rodziny i nie tylko. Ten cieszcy si uznaniem i zaufaniem prywatny detektyw pomg mi zrozumie, na czym polega prawdziwe ledztwo. Wiedza i dowiadczenie Paula uatwiy mi stworzenie zalece dotyczcych bezpieczestwa, ktre znalazy si w 4. czci tej ksiki.

370

Candi Layman stale okazywaa mi wsparcie i mio. Jest wspania osob, ktra zasuguje w yciu na same dobre rzeczy. W czasie tragicznych chwil mojego ycia Candi zawsze dawaa mi pociech i przyja. Mam szczcie, e mogem spotka tak wspania, pen troski i wspczucia osob. Chciabym jej podzikowa za bycie przy mnie. Moimi pierwszymi pienidzmi zarobionymi na sprzeday tej ksiki zapewne pokryj rachunki za dugie rozmowy z Erin Finn. Bez wtpienia jest ona moj bratni dusz. Jestemy podobni do siebie na tyle rnych sposobw, e a mona si przerazi. Oboje kochamy technologi, lubimy to samo jedzenie, muzyk i filmy. AT&T zdecydowanie traci, dajc mi w ramach taryfy darmowe rozmowy w nocy i w weekendy, kiedy to dzwoni do niej do Chicago. Ale pewnie pracownicy tej firmy s zadowoleni, e nie korzystam ju z Planu Taryfowego Kevina Mitnicka. Entuzjazm Erin i przekonanie o wanoci pracy nad t ksik podnosiy mnie na duchu. Ciesz si, e moemy by przyjacimi. Chciabym podzikowa wszystkim osobom, ktre pomagaj mi w mojej karierze zawodowej. Organizacj prelekcji i wykadw zajmuje si Amy Gray (uczciwa i troskliwa osoba, ktr doceniam i uwielbiam). David Fugate z Wateside Productions to mj agent, ktry wystpowa w mojej obronie wielokrotnie przed i po podpisaniu kontraktu na ksik. Gregory Vinson to prawnik z Los Angeles, ktry by jednym z moich obrocw w czasie wieloletniej batalii z rzdem. Na pewno mgby sobie porozmawia z Billem na temat zrozumienia i cierpliwoci, jak naley okazywa mojej drobiazgowoci, bo przey to samo, piszc w moim imieniu rne pisma i podania. Miaem rne dowiadczenia z prawnikami, ale chciabym podzikowa tym, ktrzy w czasie mojej batalii z wymiarem sprawiedliwoci zaoferowali mi swoj pomoc. Desperacko jej wtedy potrzebowaem. Spotkaem wielu prawnikw, ktrzy zaprzeczaj stereotypowi egocentrycznego adwokata poczwszy od miych sw, ktre od nich usyszaem, a skoczywszy na gbokim zaangaowaniu w moj spraw. Szanuj ich i podziwiam, jak rwnie doceniam yczliwo i wsparcie moralne, jakiego udzielio mi bezinteresownie tak wielu z nich. Kada z tych osb zasuguje na powiecenie jej akapitu. Chciabym je tutaj przynajmniej wymieni: Greg Aclin, Bob Carmen, John Dusenbury, Sherman Ellison, Omar Figueroa, Carolyn Hagin, Rob Hale, Alvin Michaelson, Ralph Peretz, Vicky Podberesky, Donald C. Randolph, Dave Roberts, Alan Rubin, Steven Sadowski, Tony Serra, Richard Sherman, Skip Slates, Karen Smith, Richard Steingard, czcigodny Robert Talcott, Barry Tarlow, John Yzurdiaga i Gregory Vinson.

371

Doceniam szans, jak dao mi, jako autorowi tej ksiki, wydawnictwo John Wiley & Sons. Pragn podzikowa nastpujcym osobom z wydawnictwa, ktre zaufay debiutantowi i pozwoliy urzeczywistni moje marzenie: Ellen Gerstein, Bob Ipsen, Carol Long (mj redaktor) oraz Nancy Stevenson. Chciabym podzikowa take osobom z rodziny, przyjacioom i wsppracownikom, ktrzy okazali mi wsparcie, udzielali porad i wycigali pomocn do. S to: J. J. Abrams, David Agger, Bob Arkow, Stephen Barnes, Dr. Robert Berkowitz, Dale Coddington, Eric Corley, Delin Cormeny, Ed Cummings, Art Davis, Michelle Delio, Sam Downing, John Draper, Paul Dryman, Nick Duva, Roy Eskapa, Alex Fielding, Lisa Flores, Brock Frank, Steve Gibson, Jeny Greenblatt, Greg Grunberg, Bili Handle, David G. Hall, Dave Harrison, Leslie Herman, Jim Hill, Dan Howard, Steve Hunt, Rez Johar, Steve Knittle, Gary Kremen, Barry Krugel, Earl Krugel, Adrian Lamo, Leo Laporte, Mitch Leventhal, Cynthia Levin, CJ Little, Jonathann Littman, Mark Maifrett, Brian Martin, Forest Mc Donald, Kerry Mc Elwee, Alan McSwain, Elliot Moore, Michael Morris, Eddie Munoz, Patrick Norton, Shawn Nunley, Brenda Parker, Chris Pelton, Kevin Poulsen, Scott Press, Linda i Art Pryor, Jennifer Reade, Israel i Rachel Rosencrantz, Mark Ross, William Royer, Irv Rubin, Ryan Russel, Neil Saavedra, Wunn Schwartu, Pete Shipley, John Siff, Dan Sokol, Trudy Spector, Matt Spergel, Eliza Armadea Sultan, Douglas Thomas, Roy Tucker, Brian Turbow, Ron Wetzel, Don David Wilson, Darci Wood, Kevin Wortman, Steve Wozniak i wszyscy znajomi z kanau W6NUT (147.453 MHz) z Los Angeles. Na specjalne podzikowania zasuguje mj kurator, Larry Hawley, za uatwienie mi pracy nad ksik. W kocu dzikuj wszystkim policjantom. Nie ywi do nich adnej urazy, poniewa wykonuj oni jedynie swoj prac. Wierze, e powicanie wasnego ycia subie i przedkadanie interesu publicznego nad wasny jest czym, co zasuguje na szacunek. Cho czasami bywaem dla was arogancki, chciabym, abycie wiedzieli, e kocham ten kraj i zrobi wszystko, co w mojej mocy, aby uczyni go najbezpieczniejszym miejscem na ziemi. Dlatego wanie napisaem t ksik.

Od Billa Simona
Wydaje mi si, e dla kadego istnieje gdzie ta jedyna osoba. Problem w tym, e nie kady ma na tyle szczcia, aby j odnale. Niektrzy maj.

372

Mnie poszczcio si dawno temu i zdyem przey wiele lat (a licz na jeszcze wicej) z jednym z cudw wiata moj on, Arynne. Jeeli kiedykolwiek zapomn na chwil, jakie szczcie mnie spotkao, wystarczy, e zauwa, jak wielu ludzi szuka jej towarzystwa i ceni je. Arynne dzikuj za to, e idziesz ze mn przez ycie. W czasie pisania tej ksiki korzystaem z pomocy grupy lojalnych przyjaci, ktrzy pomagali mi oceni, czy wraz z Kevinem zmierzamy do zaoonego celu mikstury faktu i fascynacji, z jakiej skada si ta niezwyka ksika. Kada z tych osb jest dla mnie niezwykle wartociowa i wiem, e mog znowu oczekiwa pomocy, kiedy przyjdzie czas na tworzenie nastpnej. W kolejnoci alfabetycznej s to: Jean Claude Beneventi, Linda Brown, Walt Brown, Lt. Gen. Don Johnson, Dorothy Ryan, Guri Stark, Chris Steep, Michael Steep i John Votaw. Szczeglne wyrazy uznania pragn przekaza Johnowi Lucichowi, szefowi Grupy Bezpieczestwa Sieciowego, ktry zgodzi si powieci swj czas na prob kolegi kolegi, oraz Gordonowi Garbowi, ktry cierpliwie znosi niezliczone telefony z pytaniami dotyczcymi funkcjonowania dziau informatyki. Czasami jestemy wdziczni znajomym, e poznali nas z osobami, ktre stay si potem naszymi wielkimi przyjacimi. David Fugate z agencji literackiej Waterside Productions z Cardiff w Kalifornii by pomysodawc ksiki. On wanie pozna mnie ze wspautorem, ktry sta si moim przyjacielem Kevinem. Dzikuj Ci, David. Dzikuj szefowi Waterside, niezrwnanemu Billowi Gladstoneowi, ktry zarzuca mnie nowymi pomysami ciesz si, e Ci mam. W domu i w moim domowym biurze Arynne jest wspomagana przez kompetentny personel, ktry skada si z asystentki Jessici Dudgeon i gosposi Josie Rodriguez. Dzikuj moim rodzicom, Marjorie i I. B. Simonom. Gdyby yli, na pewno cieszyliby si moj karier pisarsk. Dzikuj rwnie mojej crce, Victorii. Kiedy jestem z ni, uwiadamiam sobie, jak bardzo j podziwiam, szanuj i jak dumny jestem z tego, kim jest.

SPIS TRECI
Sowo wstpne Przedmowa Wprowadzenie 4 6 11

I. Za kulisami
Pita achillesowa systemw bezpieczestwa

13
14

II. Sztuka ataku

Kiedy nieszkodliwa informacja szkodzi? Bezporedni atak - wystarczy poprosi Budowanie zaufania Moe pomc? Potrzebuj pomocy Faszywe witryny i niebezpieczne zaczniki Wspczucie wina i zastraszenie Odwrotnie ni w dle

25
26 42 52 67 90 106 119 148

III. Uwaga, intruz!

Na terenie firmy Socjotechnika i technologia Atak w d hierarchii Wyrafinowane intrygi Szpiegostwo przemysowe

163
164 190 213 229 246

IV. Podnoszenie poprzeczki

Bezpieczestwo informacji - wiadomo i szkolenie Zalecana polityka bezpieczestwa informacji

265
266 282

Dodatki
Bezpieczestwo w piguce rda Podzikowania

358
359 367 368