IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

TWJ KOSZYK
DODAJ DO KOSZYKA

Sztuka podstpu.
amaem ludzi, nie hasa
Autorzy: Kevin Mitnick, William L. Simon
Tumaczenie: Jarosaw Dobrzaski
ISBN: 83-7361-116-9
Tytu oryginau: The Art of Deception
Format: A5, stron: 380
Kevin Mitnick
najsynniejszy haker wiata i jego ksika
"Sztuka podstpu. amaem ludzi, nie hasa"
w marcu w Polsce!

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

() Kilka dni pniej Rifkin polecia do Szwajcarii, pobra gotwk i wyoy ponad 8 milionw
dolarw na diamenty z rosyjskiej agencji. Potem wrci do Stanw trzymajc w czasie kontroli
celnej diamenty w pasku na pienidze. Przeprowadzi najwikszy skok na bank w historii, nie
uywajc ani pistoletu, ani komputera. Jego przypadek w kocu dosta si do Ksigi Rekordw
Guinessa w kategorii najwiksze oszustwo komputerowe.
Stanley Rifikin uy sztuki podstpu umiejtnoci i technik, ktre dzi nazywaj si
socjotechnik. Wymagao to tylko dokadnego planu i daru wymowy. ()
Kevina Mitnicka jako superhakera obawiao si tysice Amerykanw. By jedn z najintensywniej
poszukiwanych osb w historii FBI. Po aresztowaniu grozia mu kara kilkuset lat pozbawienia
wolnoci, mimo e nigdy nie oskarono go o czerpanie korzyci finansowych z hakerstwa.
Wyrokiem sdu zakazano mu jakiegokolwiek dostpu do komputera. Sd uzasadni wyrok:
Uzbrojony w klawiatur jest grony dla spoeczestwa.
Po zwolnieniu Mitnick zupenie odmieni swoje ycie. Sta si najbardziej poszukiwanym
ekspertem w Stanach od spraw bezpieczestwa systemw komputerowych.
W Sztuce podstpu odkrywa tajemnice swojego sukcesu, opisuje jak atwo jest pokona
bariery w uzyskiwaniu cile tajnych informacji, jak atwo dokona sabotau przedsibiorstwa,
urzdu czy jakiejkolwiek innej instytucji. Robi to setki razy wykorzystujc przemylne techniki
wywierania wpywu na ludzi. Mitnick udowadnia, jak zudna jest opinia o bezpieczestwie
danych prywatnych i subowych, pokazuje jak omin systemy warte miliony dolarw,
wykorzystujc do tego celu ludzi je obsugujcych.
Sensacyjne historie opisane w ksice pomog w obronie przed najpowaniejszym zagroeniem
bezpieczestwa ludzk natur. Pamitaj, e celem ataku moesz by i Ty.

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Tylko dwie rzeczy s nieskoczone: wszechwiat i ludzka gupota, chocia co do pierwszego

nie mam pewnoci
Albert Einstein

Spis treci
Sowo wstpne ........................................................................................... 7
Przedmowa ................................................................................................. 9
Wprowadzenie........................................................................................... 15

Za kulisami

17

1 Pita achillesowa systemw bezpieczestwa...................................... 19

II Sztuka ataku
2
3
4
5
6
7
8
9

Kiedy nieszkodliwa informacja szkodzi? .............................................. 33

Bezporedni atak wystarczy poprosi ............................................. 49
Budowanie zaufania ............................................................................ 59
Moe pomc?...................................................................................... 73
Potrzebuj pomocy .............................................................................. 95
Faszywe witryny i niebezpieczne zaczniki .......................................111
Wspczucie, wina i zastraszenie ......................................................125
Odwrotnie ni w dle ....................................................................153

III Uwaga, intruz!

10
11
12
13
14

31

169

Na terenie firmy ................................................................................171

Socjotechnika i technologia ..............................................................197
Atak w d hierarchii..........................................................................219
Wyrafinowane intrygi..........................................................................235
Szpiegostwo przemysowe.................................................................251

Spis treci

IV Podnoszenie poprzeczki

269

15 Bezpieczestwo informacji wiadomo i szkolenie .....................271

16 Zalecana polityka bezpieczestwa informacji ....................................287

Dodatki

361

Bezpieczestwo w piguce.......................................................................363
rda .....................................................................................................373
Podzikowania ........................................................................................375

Przedmowa
S na wiecie hakerzy, ktrzy niszcz cudze pliki lub cae dyski twarde
nazywa si ich crakerami lub po prostu wandalami. S rwnie niedowiadczeni hakerzy, ktrzy zamiast uczy si technologii, znajduj
w sieci odpowiednie narzdzia hakerskie, za pomoc ktrych wamuj
si do systemw komputerowych. Mwi si o nich script kiddies. Bardziej dowiadczeni hakerzy sami tworz programy hakerskie, ktre
potem umieszczaj w sieci lub na listach dyskusyjnych. Istniej te takie osoby, ktrych w ogle nie obchodzi technologia, a komputera
uywaj jedynie jako narzdzia pomagajcego im kra pienidze, towary i korzysta za darmo z usug.
Wbrew mitowi o Kevinie Mitnicku, jaki stworzyy media, nigdy jako haker nie miaem zych zamiarw.
Wyprzedzam jednak fakty.

Pocztki
cieka, na ktr wstpiem, miaa zapewne swj pocztek w dziecistwie. Byem beztroskim, ale znudzonym dzieckiem. Mama, po rozstaniu z ojcem (miaem wtedy 3 lata), pracowaa jako kelnerka, by nas
utrzyma. Mona sobie wyobrazi jedynaka wychowywanego przez
wiecznie zabiegan matk chopaka samotnie spdzajcego cae dnie.
Byem swoj wasn niani.

10

Przedmowa

Dorastajc w San Fernando Valley, miaem ca modo na zwiedzanie Los Angeles. W wieku 12 lat znalazem sposb na darmowe
podrowanie po caym okrgu Los Angeles. Ktrego dnia, jadc
autobusem, odkryem, e ukad otworw na bilecie tworzony przez
kierowc podczas kasowania oznacza dzie, godzin i tras przejazdu
autobusu. Przyjanie nastawiony kierowca odpowiedzia na wszystkie
moje dokadnie przemylane pytania, cznie z tym, gdzie mona kupi
kasownik, ktrego uywa.
Bilety te pozwalay na przesiadki i kontynuowanie podry. Wymyliem wtedy, jak ich uywa, aby jedzi wszdzie za darmo. Zdobycie nieskasowanych biletw to bya pestka: kosze na mieci w zajezdniach autobusowych pene byy nie do koca zuytych bloczkw
biletowych, ktrych kierowcy pozbywali si na koniec zmiany. Majc
nieskasowane bilety i kasownik, mogem sam je oznacza w taki sposb, aby dosta si w dowolne miejsce w Los Angeles. Wkrtce znaem
wszystkie ukady tras autobusw na pami. To wczesny przykad mojej zadziwiajcej zdolnoci do zapamitywania pewnego rodzaju informacji. Do dzisiaj pamitam numery telefonw, hasa i tym podobne
szczegy nawet te zapamitane w dziecistwie.
Innym moim zainteresowaniem, jakie ujawnio si do wczenie,
bya fascynacja sztuczkami magicznymi. Po odkryciu, na czym polega
jaka sztuczka, wiczyem tak dugo, a j opanowaem. W pewnym
sensie to dziki magii odkryem rado, jak mona czerpa z wprowadzania ludzi w bd.

Od phreakera do hakera
Moje pierwsze spotkanie z czym, co pniej nauczyem si okrela
mianem socjotechniki, miao miejsce w szkole redniej. Poznaem wtedy
koleg, ktrego pochaniao hobby zwane phreakingiem. Polegao ono
na wamywaniu si do sieci telefonicznych, przy wykorzystaniu do tego
celu pracownikw sub telefonicznych oraz wiedzy o dziaaniu sieci.
Pokaza mi sztuczki, jakie mona robi za pomoc telefonu: zdobywanie
kadej informacji o dowolnym abonencie sieci czy korzystanie z tajnego numeru testowego do dugich darmowych rozmw zamiejscowych
(potem okazao si, e numer wcale nie by testowy rozmowami,
ktre wykonywalimy, obciany by rachunek jakiej firmy).
Takie byy moje pocztki w dziedzinie socjotechniki swojego rodzaju przedszkole. Ten kolega i jeszcze jeden phreaker, ktrego wkrtce
poznaem, pozwolili mi posucha rozmw telefonicznych, jakie prze-

Przedmowa

11

prowadzali z pracownikami firm telekomunikacyjnych. Wszystkie

rzeczy, ktre mwili, brzmiay bardzo wiarygodnie. Dowiedziaem
si o sposobie dziaania rnych firm z tej brany, nauczyem si argonu i procedur, stosowanych przez ich pracownikw. Trening nie
trwa dugo nie potrzebowaem go. Wkrtce sam robiem wszystkie
te rzeczy lepiej ni moi nauczyciele, pogbiajc wiedz w praktyce.
W ten sposb wyznaczona zostaa droga mojego ycia na najblisze
15 lat.
Jeden z moich ulubionych kawaw polega na uzyskaniu dostpu
do centrali telefonicznej i zmianie rodzaju usugi przypisanej do numeru telefonu znajomego phreakera. Kiedy ten prbowa zadzwoni
z domu, sysza w suchawce prob o wrzucenie monety, poniewa
centrala odbieraa informacj, e dzwoni on z automatu.
Absorbowao mnie wszystko, co dotyczyo telefonw. Nie tylko
elektronika, centrale i komputery, ale rwnie organizacja, procedury
i terminologia. Po jakim czasie wiedziaem o sieci telefonicznej chyba
wicej ni jakikolwiek jej pracownik. Rozwinem rwnie swoje umiejtnoci w dziedzinie socjotechniki do tego stopnia, e w wieku 17 lat
byem w stanie wmwi prawie wszystko wikszoci pracownikom firm
telekomunikacyjnych, czy to przez telefon, czy rozmawiajc osobicie.
Moja znana ogowi kariera hakera rozpocza si waciwie w szkole
redniej. Nie mog tu opisywa szczegw, wystarczy, e powiem, i
gwnym motywem moich pierwszych wama bya ch bycia zaakceptowanym przez grup podobnych mi osb.
Wtedy okrelenia haker uywalimy w stosunku do kogo, kto spdza duo czasu na eksperymentowaniu z komputerami i oprogramowaniem, opracowujc bardziej efektywne programy lub znajdujc lepsze sposoby rozwizywania jakich problemw. Okrelenie to dzisiaj
nabrao pejoratywnego charakteru i kojarzy si z gronym przestpc.
Ja uywam go tu jednak w takim znaczeniu, w jakim uywaem go
zawsze czyli tym wczeniejszym, agodniejszym.
Po ukoczeniu szkoy redniej studiowaem informatyk w Computer Learning Center w Los Angeles. Po paru miesicach szkolny
administrator komputerw odkry, e znalazem luk w systemie operacyjnym i uzyskaem pene przywileje administracyjne w systemie.
Najlepsi eksperci spord wykadowcw nie potrafili doj do tego, w jaki
sposb to zrobiem. Nastpi wwczas by moe jeden z pierwszych
przypadkw zatrudnienia hakera dostaem propozycj nie do odrzucenia: albo w ramach pracy zaliczeniowej poprawi bezpieczestwo szkolnego systemu komputerowego, albo zostan zawieszony za
wamanie si do systemu. Oczywicie wybraem to pierwsze i dziki
temu mogem ukoczy szko z wyrnieniem.

12

Przedmowa

Socjotechnik
Niektrzy ludzie wstaj rano z ka, by odbbnia powtarzalne czynnoci w przysowiowym kieracie. Ja miaem to szczcie, e zawsze
lubiem swoj prac. Najwicej wyzwa, sukcesw i zadowolenia
przyniosa mi praca prywatnego detektywa. Szlifowaem tam swoje
umiejtnoci w sztuce zwanej socjotechnik skanianiem ludzi do tego, by robili rzeczy, ktrych zwykle nie robi si dla nieznajomych. Za
to mi pacono.
Stanie si biegym w tej brany nie byo dla mnie trudne. Rodzina
ze strony mojego ojca od pokole zajmowaa si handlem moe
wic umiejtno perswazji i wpywania na innych jest cech dziedziczn.
Poczenie potrzeby manipulowania ludmi z umiejtnoci i talentem
w dziedzinie perswazji i wpywu na innych to cechy idealnego socjotechnika.
Mona powiedzie, e istniej dwie specjalizacje w zawodzie artysty-manipulatora. Kto, kto wyudza od ludzi pienidze, to pospolity
oszust. Z kolei kto, kto stosuje manipulacj i perswazj wobec firm,
zwykle w celu uzyskania informacji, to socjotechnik. Od czasu mojej
pierwszej sztuczki z biletami autobusowymi, kiedy byem jeszcze zbyt
mody, aby uzna, e robi co zego, zaczem rozpoznawa w sobie
talent do dowiadywania si o rzeczach, o ktrych nie powinienem
wiedzie. Rozwijaem ten talent, uywajc oszustw, posugujc si
argonem i rozwinit umiejtnoci manipulacji.
Jednym ze sposobw, w jaki pracowaem nad rozwijaniem umiejtnoci w moim rzemiole (jeeli mona to nazwa rzemiosem), byo
prbowanie uzyskania jakiej informacji, na ktrej nawet mi nie zaleao.
Chodzio o to, czy jestem w stanie skoni osob po drugiej stronie suchawki do tego, by mi jej udzielia ot tak, w ramach wiczenia. W ten
sam sposb, w jaki kiedy wiczyem sztuczki magiczne, wiczyem
teraz sztuk motywowania. Dziki temu wkrtce odkryem, e jestem
w stanie uzyska praktycznie kad informacj, jakiej potrzebuj.
Wiele lat pniej, zeznajc w Kongresie przed senatorami, Liebermanem i Thompsonem, powiedziaem:
Udao mi si uzyska nieautoryzowany dostp do systemw komputerowych paru najwikszych korporacji na tej planecie, spenetrowa najlepiej zabezpieczone z istniejcych systemw komputerowych. Uywaem narzdzi
technologicznych i nie zwizanych z technologi, aby uzyska dostp do kodu
rdowego rnych systemw operacyjnych, urzdze telekomunikacyjnych
i poznawa ich dziaanie oraz sabe strony.

Przedmowa

13

Tak naprawd, zaspakajaem jedynie moj wasn ciekawo, przekonywaem si o moliwociach i wyszukiwaem tajne informacje
o systemach operacyjnych, telefonach komrkowych i wszystkim innym, co budzio moje zainteresowanie.

Podsumowanie
Po aresztowaniu przyznaem, e to, co robiem, byo niezgodne z prawem i e dopuciem si naruszenia prywatnoci.
Moje uczynki byy powodowane ciekawoci pragnem wiedzie
wszystko, co si dao o tym, jak dziaaj sieci telefoniczne oraz podsystemy wejciawyjcia komputerowych systemw bezpieczestwa.
Z dziecka zafascynowanego sztuczkami magicznymi staem si najgroniejszym hakerem wiata, ktrego obawia si rzd i korporacje.
Wracajc pamici do ostatnich trzydziestu lat mojego ycia, musz
przyzna, e dokonaem paru bardzo zych wyborw, sterowany ciekawoci, pragnieniem zdobywania wiedzy o technologiach i dostarczania sobie intelektualnych wyzwa.
Zmieniem si. Dzisiaj wykorzystuj mj talent i wiedz o bezpieczestwie informacji i socjotechnice, jak udao mi si zdoby, aby
pomaga rzdowi, firmom i osobom prywatnym w wykrywaniu, zapobieganiu i reagowaniu na zagroenia bezpieczestwa informacji.
Ksika ta to jeszcze jeden sposb wykorzystania mojego dowiadczenia w pomaganiu innym w radzeniu sobie ze zodziejami informacji. Mam nadziej, e opisane tu przypadki bd zajmujce, otwierajce
oczy i majce jednoczenie warto edukacyjn.

1
Pita achillesowa
systemw
bezpieczestwa
Firma moe dokona zakupu najlepszych i najdroszych technologii
bezpieczestwa, wyszkoli personel tak, aby kada poufna informacja
bya trzymana w zamkniciu, wynaj najlepsz firm chronic obiekty
i wci pozosta niezabezpieczon.
Osoby prywatne mog niewolniczo trzyma si wszystkich najlepszych zasad zalecanych przez ekspertw, zainstalowa wszystkie
najnowsze produkty poprawiajce bezpieczestwo i skonfigurowa odpowiednio system, uruchamiajc wszelkie jego usprawnienia i wci
pozostawa niezabezpieczonymi.

Czynnik ludzki
Zeznajc nie tak dawno temu przed Kongresem, wyjaniem, e czsto
uzyskiwaem hasa i inne poufne informacje od firm, podajc si za
kogo innego i po prostu o nie proszc.
Tsknota za poczuciem absolutnego bezpieczestwa jest naturalna,
ale prowadzi wielu ludzi do faszywego poczucia braku zagroenia.

20

Za kulisam i

Wemy za przykad czowieka odpowiedzialnego i kochajcego, ktry

zainstalowa w drzwiach wejciowych Medico (zamek bbnowy syncy z tego, e nie mona go otworzy wytrychem), aby ochroni swoj
on, dzieci i swj dom. Po zaoeniu zamka poczu si lepiej, poniewa jego rodzina staa si bardziej bezpieczna. Ale co bdzie, jeeli
napastnik wybije szyb w oknie lub zamie kod otwierajcy bram garau? Niezalenie od kosztownych zamkw, domownicy wci nie s
bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system
ochrony? Ju lepiej, ale wci nie bdzie gwarancji bezpieczestwa.
Dlaczego? Poniewa to czynnik ludzki jest pit achillesow systemw bezpieczestwa.
Bezpieczestwo staje si zbyt czsto iluzj. Jeeli do tego dodamy
atwowierno, naiwno i ignorancj, sytuacja dodatkowo si pogarsza.
Najbardziej powaany naukowiec XX wieku, Albert Einstein, podobno
powiedzia: Tylko dwie rzeczy s nieskoczone: wszechwiat i ludzka
gupota, chocia co do pierwszego nie mam pewnoci. W rezultacie
atak socjotechnika udaje si, bo ludzie bywaj gupi. Czciej jednak
ataki takie s skuteczne, poniewa ludzie nie rozumiej sprawdzonych
zasad bezpieczestwa.
Majc podobne podejcie jak uwiadomiony w sprawach bezpieczestwa pan domu, wielu zawodowcw z brany IT ma bdne
mniemanie, e w duym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktw typu firewall, systemw detekcji intruzw i zaawansowanych rozwiza uwierzytelniajcych, takich jak kody zalene od czasu lub karty biometryczne. Kady,
kto uwaa, e same produkty zabezpieczajce zapewniaj realne bezpieczestwo, tworzy jego iluzj. To klasyczny przypadek ycia w wiecie
fantazji: osoby takie mog prdzej czy pniej sta si ofiarami ataku.
Jak ujmuje to znany konsultant ds. bezpieczestwa, Bruce Schneider: Bezpieczestwo to nie produkt to proces. Rozwimy t
myl: bezpieczestwo nie jest problemem technologicznym, tylko problemem zwizanym z ludmi i zarzdzaniem.
W miar wymylania coraz to nowych technologii zabezpieczajcych, utrudniajcych znalezienie technicznych luk w systemie, napastnicy bd zwraca si w stron ludzkich saboci. Zamanie ludzkiej
bariery jest o wiele prostsze i czsto wymaga jedynie inwestycji rzdu
kosztu rozmowy telefonicznej, nie mwic ju o mniejszym ryzyku.

Pita achilleso wa systemw bezpieczest wa

21

Klasyczny przypadek oszustwa

Kto stanowi najwiksze zagroenie bezpieczestwa kapitau firmy? Odpowied jest prosta: socjotechnik pozbawiony skrupuw magik,
ktry, gdy patrzysz na jego lew rk, praw kradnie Twoje tajemnice.
Do tego czsto bywa tak miy, elokwentny i uprzejmy, i naprawd
cieszysz si, e go spotkae.
Spjrzmy na przykad zastosowania socjotechniki. Niewielu dzi
pamita jeszcze modego czowieka, ktry nazywa si Stanley Mark
Rifkin, i jego przygod z nieistniejcym ju Security Pacific National
Bank w Los Angeles. Sprawozdania z jego eskapady rni si midzy
sob, a sam Rifkin (podobnie jak ja) nigdy nie opowiedzia swojej wersji tej historii, dlatego zawarty tu opis opiera si na opublikowanych
informacjach.

amanie kodu
Ktrego dnia roku 1978 Rifkinowi udao si dosta do przeznaczonego
tylko dla personelu pokoju kontrolnego przeleww elektronicznych
banku Security Pacific, z ktrego pracownicy wysyali i odbierali przelewy na czn sum miliarda dolarw dziennie.
Pracowa wtedy dla firmy, ktra podpisaa z bankiem kontrakt na
stworzenie systemu kopii zapasowych w pokoju przeleww na wypadek
awarii gwnego komputera. To umoliwio mu dostp do procedur
transferowych, cznie z tymi, ktre okrelay, w jaki sposb byy one
zlecane przez pracownikw banku. Dowiedzia si, e osoby upowanione do zlecania przeleww otrzymyway kadego ranka pilnie
strzeony kod uywany podczas dzwonienia do pokoju przeleww.
Urzdnikom z pokoju przeleww nie chciao si zapamitywa codziennych kodw, zapisywali wic obowizujcy kod na kartce papieru i umieszczali j w widocznym dla nich miejscu. Tego listopadowego
dnia Rifkin mia szczeglny powd do odwiedzin pomieszczenia.
Chcia rzuci okiem na t kartk.
Po pojawieniu si w pokoju zwrci uwag na procedury operacyjne,
prawdopodobnie w celu upewnienia si, e system kopii zapasowych
bdzie poprawnie wsppracowa z podstawowym systemem, jednoczenie ukradkiem odczytujc kod bezpieczestwa z kartki papieru i zapamitujc go. Po kilku minutach wyszed. Jak pniej powiedzia,
czu si, jakby wanie wygra na loterii.

22

Za kulisam i

Byo sobie konto w szwajcarskim banku

Po wyjciu z pokoju, okoo godziny 15:00, uda si prosto do automatu telefonicznego w marmurowym holu budynku, wrzuci monet
i wykrci numer pokoju przeleww. Ze Stanleya Rifkina, wsppracownika banku, zmieni si w Mikea Hansena pracownika Wydziau Midzynarodowego banku.
Wedug jednego ze rde rozmowa przebiegaa nastpujco:
Dzie dobry, mwi Mike Hansen z midzynarodowego powiedzia do modej pracownicy, ktra odebraa telefon.
Dziewczyna zapytaa o numer jego biura. Bya to standardowa procedura, na ktr by przygotowany.
286 odrzek.
Prosz poda kod powiedziaa wwczas pracownica.
Rifkin stwierdzi pniej, e w tym momencie udao mu si opanowa omot napdzanego adrenalin serca.
4789 odpowiedzia pynnie.
Potem zacz podawa szczegy przelewu: dziesi milionw
dwiecie tysicy dolarw z Irving Trust Company w Nowym Jorku do
Wozchod Handels Bank of Zurich w Szwajcarii, gdzie wczeniej zaoy konto.
Przyjam. Teraz prosz poda kod midzybiurowy.
Rifkin obla si potem. Byo to pytanie, ktrego nie przewidzia,
co, co umkno mu w trakcie poszukiwa. Zachowa jednak spokj,
udajc, e nic si nie stao, i odpowiedzia na poczekaniu, nie robic
nawet najmniejszej pauzy: Musz sprawdzi. Zadzwoni za chwil.
Od razu zadzwoni do innego wydziau banku, tym razem podajc si
za pracownika pokoju przeleww. Otrzyma kod midzybiurowy i zadzwoni z powrotem do dziewczyny w pokoju przeleww.
Zapytaa o kod i powiedziaa: Dzikuj (biorc pod uwag okolicznoci, jej podzikowanie mona by odebra jako ironi).

Dokoczenie zadania
Kilka dni pniej Rifkin polecia do Szwajcarii, pobra gotwk i wyoy ponad 8 milionw dolarw na diamenty z rosyjskiej agencji. Potem
wrci do Stanw, trzymajc w czasie kontroli celnej diamenty w pasku na pienidze. Przeprowadzi najwikszy skok na bank w historii,
nie uywajc ani pistoletu, ani komputera. Jego przypadek w kocu

Pita achilleso wa systemw bezpieczest wa

23

dosta si do Ksigi Rekordw Guinessa w kategorii najwiksze oszustwo komputerowe.

Stanley Rifkin uy sztuki manipulacji umiejtnoci i technik,
ktre dzi nazywa si socjotechnik. Wymagao to tylko dokadnego
planu i daru wymowy.
O tym wanie jest ta ksika o metodach socjotechnicznych
(w ktrych sam jestem biegy) i o sposobach, jakimi jednostki i organizacje mog si przed nimi broni.

Natura zagroenia
Historia Rifkina jest dowodem na to, jak zudne moe by nasze poczucie
bezpieczestwa. Podobne incydenty moe nie dotyczce 10 milionw
dolarw, niemniej jednak szkodliwe zdarzaj si codziennie. By moe w tym momencie tracisz swoje pienidze lub kto kradnie Twoje
plany nowego produktu i nawet o tym nie wiesz. Jeeli co takiego nie
wydarzyo si jeszcze w Twojej firmie, pytanie nie brzmi, czy si wydarzy, ale kiedy.

Rosnca obawa
Instytut Bezpieczestwa Komputerowego w swoich badaniach z 2001 roku, dotyczcych przestpstw komputerowych, stwierdzi, e w cigu
roku 85% ankietowanych organizacji odnotowao naruszenie systemw bezpieczestwa komputerowego. Jest to zdumiewajcy odsetek:
tylko pitnacie z kadych stu firm mogo powiedzie, e nie miao
z tym kopotw. Rwnie szokujca jest ilo organizacji, ktra zgosia
doznanie strat z powodu wama komputerowych 64%. Ponad poowa badanych firm poniosa straty finansowe w cigu jednego roku.
Moje wasne dowiadczenia ka mi sdzi, e liczby w tego typu
raportach s przesadzone. Mam podejrzenia co do trybu przeprowadzania
bada, nie wiadczy to jednak o tym, e straty nie s w rzeczywistoci
wielkie. Nie przewidujc tego typu sytuacji, skazujemy si z gry na
przegran.
Dostpne na rynku i stosowane w wikszoci firm produkty poprawiajce bezpieczestwo su gwnie do ochrony przed atakami ze
strony amatorw, np. dzieciakw zwanych script kiddies, ktre wcielaj
si w hakerw, uywajc programw dostpnych w sieci, i w wikszo-

24

Za kulisam i

ci s jedynie utrapieniem. Najwiksze straty i realne zagroenie pynie ze strony bardziej wyrafinowanych hakerw, ktrzy maj jasno
okrelone zadania, dziaaj z chci zysku i koncentruj si podczas danego ataku na wybranym celu, zamiast infiltrowa tyle systemw, ile
si da, jak to zwykle robi amatorzy. Przecitni wamywacze zwykle
s nastawieni na ilo, podczas gdy profesjonalici s zorientowani na
informacje istotne i wartociowe.
Technologie takie jak uwierzytelnianie (sprawdzanie tosamoci),
kontrola dostpu (zarzdzanie dostpem do plikw i zasobw systemowych) i systemy detekcji intruzw (elektroniczny odpowiednik
alarmw przeciwwamaniowych) s nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dzi jednak wicej na kaw ni na rodki zabezpieczajce przed atakami na systemy
bezpieczestwa.
Podobnie jak umys kleptomana nie moe oprze si pokusie, tak
umys hakera jest owadnity dz obejcia systemw zabezpieczajcych. Hakerzy potwierdzaj w ten sposb swj intelektualny kapita.

Metody oszustwa
Popularne jest powiedzenie, e bezpieczny komputer to wyczony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogo do
pjcia do biura i wczenia komputera. Przeciwnik, ktry potrzebuje
informacji, zwykle moe j uzyska na par rnych sposobw. Jest to
tylko kwestia czasu, cierpliwoci, osobowoci i uporu. W takiej chwili
przydaje si znajomo sztuki manipulacji.
Aby pokona zabezpieczenia, napastnik, intruz lub socjotechnik
musi znale sposb na oszukanie zaufanego pracownika w taki sposb, aby ten wyjawi jak informacj, trik lub z pozoru nieistotn
wskazwk umoliwiajc dostanie si do systemu. Kiedy zaufanych
pracownikw mona oszukiwa lub manipulowa nimi w celu ujawnienia poufnych informacji lub kiedy ich dziaania powoduj powstawanie luk w systemie bezpieczestwa, umoliwiajcych napastnikowi
przedostanie si do systemu, wwczas nie ma takiej technologii, ktra
mogaby ochroni firm. Tak jak kryptografowie s czasami w stanie
odszyfrowa tekst zakodowanej wiadomoci dziki odnalezieniu sabych miejsc w kodzie, umoliwiajcych obejcie technologii szyfrujcej,
tak socjotechnicy uywaj oszustwa w stosunku do pracownikw firmy, aby obej technologi zabezpieczajc.

Pita achilleso wa systemw bezpieczest wa

25

Naduywanie zaufania
W wikszoci przypadkw socjotechnicy maj due zdolnoci oddziaywania na ludzi. Potrafi by czarujcy, uprzejmi i atwo ich polubi
posiadaj cechy potrzebne do tego, aby zyska sobie zrozumienie
i zaufanie innych. Dowiadczony socjotechnik jest w stanie uzyska
dostp do praktycznie kadej informacji, uywajc strategii i taktyki
przynalenych jego rzemiosu.
Zmylni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizowa ryzyko zwizane ze stosowaniem
komputerw; zapomnieli jednak o najistotniejszej kwestii czynniku
ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy najwikszym zagroeniem dla swojego bezpieczestwa.

Amerykaska mentalno
Nie jestemy w peni wiadomi zagroe, szczeglnie w wiecie zachodnim. W USA w wikszoci przypadkw ludzie nie s uczeni podejrzliwoci wobec drugiego czowieka. S przyzwyczajani do zasady kochaj ssiada swego, ufaj sobie nawzajem. Organizacje ochrony ssiedzkiej maj
czsto problemy z nakonieniem ludzi do zamykania domw i samochodw. Te rodki ochrony wydaj si oczywiste, jednak wielu Amerykanw
je ignoruje, wybierajc ycie w wiecie marze do pierwszej nauczki.
Zdajemy sobie spraw, e nie wszyscy ludzie s dobrzy i uczciwi,
ale zbyt czsto zachowujemy si, jakby tacy wanie byli. Amerykanie
s tego szczeglnym przypadkiem jako nard stworzyli sobie koncepcj wolnoci polegajc na tym, e najlepsze miejsce do ycia jest
tam, gdzie niepotrzebne s zamki ani klucze.
Wikszo ludzi wychodzi z zaoenia, e nie zostan oszukani
przez innych, poniewa takie przypadki zdarzaj si rzadko. Napastnik, zdajc sobie spraw z panujcego przesdu, formuuje swoje
proby w bardzo przekonujcy, nie wzbudzajcy adnych podejrze
sposb, wykorzystujc zaufanie ofiary.

Naiwno organizacyjna
To swoiste domniemanie niewinnoci, bdce skadnikiem amerykaskiej mentalnoci, ujawnio si szczeglnie w pocztkach istnienia sieci komputerowych. ARPANET, przodek Internetu, zosta

26

Za kulisam i

stworzony do wymiany informacji pomidzy rzdem a instytucjami

badawczymi i naukowymi. Celem bya dostpno informacji i postp technologiczny. Wiele instytucji naukowych tworzyo wczesne
systemy komputerowe z minimalnymi tylko zabezpieczeniami lub
zupenie ich pozbawione. Jeden ze znanych gosicieli wolnoci
oprogramowania, Richard Stallman, zrezygnowa nawet z zabezpieczenia swojego konta hasem. W czasach Internetu uywanego
jako medium handlu elektronicznego zagroenie zwizane ze sabociami systemw bezpieczestwa drastycznie wzroso. Zastosowanie
dodatkowych technologii zabezpieczajcych nigdy nie rozwie jednak kwestii czynnika ludzkiego.
Spjrzmy np. na dzisiejsze porty lotnicze. S dokadnie zabezpieczone, ale co jaki czas syszymy o podrnych, ktrym udao si
przechytrzy ochron i przenie bro przez bramki kontrolne. Jak to
jest moliwe w czasach, kiedy nasze porty lotnicze s praktycznie
w cigym stanie alertu? Problem zwykle nie ley w urzdzeniach zabezpieczajcych, tylko w ludziach, ktrzy je obsuguj. Wadze lotniska mog wspiera si Gwardi Narodow, instalowa detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej pomaga
szkolenie pracownikw ochrony wzmacniajce skuteczno kontroli
pasaerw.
Ten sam problem ma rzd oraz firmy i instytucje edukacyjne na
caym wiecie. Mimo wysikw specjalistw od bezpieczestwa informacja w kadym miejscu jest naraona na atak socjotechnika, jeeli nie
zostanie wzmocniona najwiksza sabo systemu czynnik ludzki.
Dzisiaj bardziej ni kiedykolwiek musimy przesta myle w sposb yczeniowy i uwiadomi sobie, jakie techniki s uywane przez
tych, ktrzy prbuj zaatakowa poufno, integralno i dostpno
naszych systemw komputerowych i sieci. Nauczylimy si ju prowadzi samochody, stosujc zasad ograniczonego zaufania. Najwyszy czas nauczy si podobnego sposobu obsugi komputerw.
Zagroenie naruszenia prywatnoci, danych osobistych lub systemw informacyjnych firmy wydaje si mao realne, dopki faktycznie
co si nie wydarzy. Aby unikn takiego zderzenia z realiami, wszyscy musimy sta si wiadomi, przygotowani i czujni. Musimy te
intensywnie chroni nasze zasoby informacyjne, dane osobiste, a take,
w kadym kraju, krytyczne elementy infrastruktury i jak najszybciej
zacz stosowa opisane rodki ostronoci.

Pita achilleso wa systemw bezpieczest wa

27

Oszustwo narzdziem terrorystw

Oczywicie oszustwo nie jest narzdziem uywanym wycznie przez
socjotechnikw. Opisy aktw terroru stanowi znaczc cz doniesie agencyjnych i przyszo nam zda sobie spraw jak nigdy wczeniej, e wiat nie jest bezpiecznym miejscem. Cywilizacja to w kocu
tylko maska ogady.
Ataki na Nowy Jork i Waszyngton dokonane we wrzeniu 2001 roku
wypeniy serca nie tylko Amerykanw, ale wszystkich cywilizowanych
ludzi naszego globu, smutkiem i strachem. Cywilizacja to delikatny
organizm. Zostalimy zaalarmowani faktem, e po caym wiecie rozsiani s owadnici obsesj terroryci, ktrzy s dobrze wyszkoleni
i czekaj na moliwo ponownego ataku.
Zintensyfikowane ostatnio wysiki rzdu zwikszyy poziom wiadomoci dotyczcej spraw bezpieczestwa. Musimy pozosta w stanie
gotowoci wobec wszelkich przejaww terroryzmu. Musimy uwiadomi sobie, w jaki sposb terroryci tworz swoje faszywe tosamoci, wchodz w rol studentw lub ssiadw, wtapiaj si w tum.
Maskuj swoje prawdziwe zamiary, knujc przeciwko nam intryg,
pomagajc sobie oszustwami podobnymi do opisanych w tej ksice.
Z moich informacji wynika, e dotychczas terroryci nie posunli si
jeszcze do stosowania zasad socjotechniki w celu infiltrowania korporacji,
wodocigw, elektrowni i innych istotnych komponentw infrastruktury
pastwa. W kadej chwili mog jednak to zrobi bo jest to po prostu
atwe. Mam nadziej, e wiadomo i polityka bezpieczestwa zajm
nalene im miejsce i zostan docenione przez kadr zarzdzajc firm po
przeczytaniu tej ksiki. Wkrtce jednak moe okaza si, e to za mao.

3
Bezporedni atak
 wystarczy poprosi
Ataki socjotechnikw bywaj zawie, skadaj si z wielu krokw i gruntownego planowania, czsto czc elementy manipulacji z wiedz
technologiczn.
Zawsze jednak uderza mnie to, e dobry socjotechnik potrafi osign
swj cel prostym, bezporednim atakiem. Jak si przekonamy czasami
wystarczy poprosi o informacj.

MLAC  szybka pika

Interesuje nas czyj zastrzeony numer telefonu? Socjotechnik moe
odszuka go na p tuzina sposobw (cz z nich mona pozna,
czytajc inne historie w tej ksice), ale najprostszy scenariusz to taki,
ktry wymaga tylko jednego telefonu. Oto on.

50

Sztuka ataku

Prosz o numer...
Napastnik zadzwoni do mechanicznego centrum przydziau linii
(MLAC) firmy telekomunikacyjnej i powiedzia do kobiety, ktra odebraa telefon:
Dzie dobry, tu Paul Anthony. Jestem monterem kabli. Prosz
posucha, mam tu spalon skrzynk z centralk. Policja podejrzewa,
e jaki cwaniak prbowa podpali swj dom, eby wyudzi odszkodowanie. Przysali mnie tu, ebym poczy od nowa ca centralk na
200 odczepw. Przydaaby mi si pani pomoc. Ktre urzdzenia powinny dziaa na South Main pod numerem 6723?
W innych wydziaach firmy telekomunikacyjnej, do ktrej zadzwoni,
wiedziano, e jakiekolwiek informacje lokacyjne lub niepublikowane
numery telefonw mona podawa tylko uprawnionym pracownikom
firmy. Ale o istnieniu MLAC wiedz raczej tylko pracownicy firmy. Co
prawda informacje te s zastrzeone, ale kto odmwi udzielenia pomocy pracownikowi majcemu do wykonania cik powan robot?
Rozmwczyni wspczua mu, jej samej rwnie zdarzay si trudne
dni w pracy, wic obesza troch zasady i pomoga koledze z tej samej
firmy, ktry mia problem. Podaa mu oznaczenia kabli, zaciskw
i wszystkie numery przyporzdkowane temu adresowi.

Analiza oszustwa
Jak wielokrotnie mona byo zauway w opisywanych historiach, znajomo argonu firmy i jej struktury wewntrznej rnych biur i wydziaw, ich zada i posiadanych przez nie informacji to cz podstawowego zestawu sztuczek, uywanych przez socjotechnikw.
Uwaga Mitnicka

Ludzie z natury ufaj innym, szczeglnie, kiedy proba jest zasadna. Socjotechnicy uywaj tej wiedzy, by wykorzysta ofiary i osign swe cele.

cigany
Czowiek, ktrego nazwiemy Frank Parsons, od lat ucieka. Wci by
poszukiwany przez rzd federalny za udzia w podziemnej grupie
antywojennej w latach 60. W restauracjach siada twarz do wejcia

Bezporedni atak  wystarczy poprosi

51

i mia nawyk cigego spogldania za siebie, wprowadzajc w zakopotanie innych ludzi. Co kilka lat zmienia adres.
Ktrego razu Frank wyldowa w obcym miecie i zacz rozglda si za prac. Dla kogo takiego jak Frank, ktry zna si bardzo
dobrze na komputerach (oraz na socjotechnice, ale o tym nie wspomina w swoich listach motywacyjnych), znalezienie dobrej posady nie
byo problemem. Poza czasami recesji, talenty ludzi z du wiedz
techniczn dotyczc komputerw zwykle s poszukiwane i nie maj
oni problemw z ustawieniem si. Frank szybko odnalaz ofert dobrze
patnej pracy w duym domu opieki, blisko miejsca gdzie mieszka.
To jest to pomyla. Ale kiedy zacz brn przez formularze
aplikacyjne, natkn si na przeszkod: pracodawca wymaga od aplikanta kopii jego akt policyjnych, ktre naleao uzyska z policji stanowej. Stos papierw zawiera odpowiedni formularz proby, ktry
zawiera te kratk na odcisk palca. Co prawda wymagany by jedynie
odcisk prawego palca wskazujcego, ale jeeli sprawdz jego odcisk
z baz danych FBI, prawdopodobnie wkrtce bdzie pracowa, ale
w kuchni domu opieki sponsorowanego przez rzd federalny.
Z drugiej strony, Frank uwiadomi sobie, e by moe w jaki sposb
udaoby mu si przemkn. Moe policja stanowa w ogle nie przesaa
jego odciskw do FBI. Ale jak si o tym dowiedzie?
Jak? Przecie by socjotechnikiem jak mylicie, w jaki sposb si
dowiedzia? Oczywicie wykona telefon na policj: Dzie dobry.
Prowadzimy badania dla Departamentu Sprawiedliwoci New Jersey.
Badamy wymagania dla nowego systemu identyfikacji odciskw palcw.
Czy mgbym rozmawia z kim, kto jest dobrze zorientowany w waszych zadaniach i mgby nam pomc?.
Kiedy lokalny ekspert podszed do telefonu, Frank zada szereg
pyta o systemy, jakich uywaj, moliwoci wyszukiwania i przechowywania odciskw. Czy mieli jakie problemy ze sprztem? Czy
korzystaj z wyszukiwarki odciskw NCIC (Narodowego Centrum Informacji o Przestpstwach), czy mog to robi tylko w obrbie stanu?
Czy nauka obsugi sprztu nie bya zbyt trudna?
Chytrze przemyci pord innych pyta jedno kluczowe.
Odpowied bya muzyk dla jego uszu. Nie, nie byli zwizani z NCIC,
sprawdzali tylko ze stanowym CII (Indeks Informacji o Przestpstwach). To byo wszystko, co Frank chcia wiedzie. Nie by notowany
w tym stanie, wic przesa swoj aplikacj, zosta zatrudniony i nikt
nigdy nie pojawi si u niego ze sowami: Ci panowie s z FBI i mwi,
e chcieliby z Tob porozmawia.
Jak sam twierdzi, okaza si idealnym pracownikiem.

52

Sztuka ataku
Uwaga Mitnicka

Zmylni zodzieje informacji nie obawiaj si dzwonienia do urzdnikw

federalnych, stanowych lub przedstawicieli wadzy lokalnej, aby dowiedzie si czego o procedurach wspomagajcych prawo. Posiadajc takie informacje, socjotechnik jest w stanie obej standardowe zabezpieczenia w firmie.

Na portierni
Niezalenie od wprowadzanej komputeryzacji, firmy wci drukuj
codziennie tony papierw. Wane pismo moe by w naszej firmie zagroone nawet, gdy zastosujemy waciwe rodki bezpieczestwa i opiecztujemy je jako tajne. Oto historia, ktra pokazuje, jak socjotechnik
moe wej w posiadanie najbardziej tajnych dokumentw.

W ptli oszustwa
Kadego roku firma telekomunikacyjna publikuje ksik zwan Spis
numerw testowych (a przynajmniej publikowaa, a jako e jestem
nadal pod opiek kuratora, wole nie pyta, czy robi to nadal). Dokument
ten stanowi ogromn warto dla phreakerw, poniewa wypeniaa
go lista pilnie strzeonych numerw telefonw, uywanych przez firmowych specjalistw, technikw i inne osoby do testowania czy
midzymiastowych i sprawdzania numerw, ktre byy wiecznie zajte.
Jeden z tych numerw, okrelany w argonie jako ptla, by szczeglnie przydatny. Phreakerzy uywali go do szukania innych phreakerw
i gawdzenia z nimi za darmo. Poza tym tworzyli dziki niemu numery
do oddzwaniania, ktre mona byo poda np. w banku. Socjotechnik
zostawia urzdnikowi w banku numer telefonu, pod ktrym mona
byo go zasta. Kiedy bank oddzwania na numer testowy (tworzy
ptl), phreaker mg spokojnie odebra telefon, zabezpieczajc si
uyciem numeru, ktry nie by z nim skojarzony.
Spis numerw testowych udostpnia wiele przydatnych danych,
ktre mogyby by uyte przez godnego informacji phreakera. Tak
wic kady nowy spis, publikowany co roku, stawa si obiektem podania modych ludzi, ktrych hobby polegao na eksploracji sieci
telefonicznej.

Bezporedni atak  wystarczy poprosi

53

Uwaga Mitnicka

Trening bezpieczestwa, przeprowadzony zgodnie z polityk firmy,

stworzon w celu ochrony zasobw informacyjnych, musi dotyczy
wszystkich jej pracownikw, a w szczeglnoci tych, ktrzy maj elektroniczny lub fizyczny dostp do zasobw informacyjnych firmy.

Szwindel Stevea
Oczywicie firmy telekomunikacyjne nie uatwiaj zdobycia takiego
spisu, dlatego phreakerzy musz wykaza si tu kreatywnoci. W jaki
sposb mog tego dokona? Gorliwy modzieniec, ktrego marzeniem
jest zdobycie spisu, mg odegra nastpujcy scenariusz.
* * *
Pewnego ciepego wieczoru poudniowokalifornijskiej jesieni Steve
zadzwoni do biura niewielkiej centrali telekomunikacyjnej. Std biegn
linie telefoniczne do wszystkich domw, biur i szk w okolicy.
Kiedy technik bdcy na subie odebra telefon, Steve owiadczy,
e dzwoni z oddziau firmy, ktry zajmuje si publikacj materiaw
drukowanych.
Mamy wasz nowy Spis telefonw testowych powiedzia
ale z uwagi na bezpieczestwo nie moemy dostarczy wam nowego
spisu, dopki nie odbierzemy starego. Go, ktry odbiera spisy,
wanie si spnia. Gdyby pan zostawi wasz spis na portierni, mgby on szybko wpa, wzi stary, podrzuci nowy i jecha dalej.
Niczego nie podejrzewajcy technik uznaje, e brzmi to rozsdnie.
Robi dokadnie to, o co go poproszono, zostawiajc na portierni swoj
kopi spisu. Napisano na niej wielkimi czerwonymi literami tekst
ostrzeenia: TAJEMNICA FIRMY Z CHWIL DEZAKTUALIZACJI
TEGO DOKUMENTU NALEY GO ZNISZCZY.
Steve podjeda i rozglda si uwanie dookoa, sprawdzajc, czy
nie ma policji lub ochrony firmy, ktra mogaby zaczai si za drzewami lub obserwowa go z zaparkowanych samochodw. Nikogo nie
widzi. Spokojnie odbiera upragnion ksik i odjeda.
Jeszcze jeden przykad na to, jak atwe dla socjotechnika jest otrzymanie czego, po prostu o to proszc.

54

Sztuka ataku

Atak na klienta
Nie tylko zasoby firmy mog sta si obiektem ataku socjotechnika.
Czasami jego ofiar padaj klienci firmy.
Praca w dziale obsugi klienta przynosi po czci frustracj, po czci miech, a po czci niewinne bdy niektre z nich mog mie
przykre konsekwencje dla klientw firmy.

Historia Josie Rodriguez

Josie Rodriguez pracowaa od trzech lat na jednym ze stanowisk w biurze obsugi klienta w firmie Hometown Electric Power w Waszyngtonie.
Uwaano j za jedn z lepszych pracownic. Bya bystra i przytomna.
* * *
W tygodniu, w ktrym wypadao wito Dzikczynienia, zadzwoni
telefon. Rozmwca powiedzia:
Mwi Eduardo z dziau fakturowania. Mam pewn pani na
drugiej linii. To sekretarka z dyrekcji, ktra pracuje dla jednego z wiceprezesw. Prosi mnie o pewn informacj, a ja nie mog w tej chwili
skorzysta z komputera. Dostaem e-maila od jednej dziewczyny z kadr
zatytuowanego ILOVEYOU i kiedy otwarem zacznik, komputer si
zawiesi. Wirus. Daem si nabra na gupi wirus. Czy w zwizku z tym,
mogaby pani poszuka dla mnie informacji o kliencie?
Pewnie odpowiedziaa Josie. To cakiem zawiesza komputer?
Straszne.
Tak.
Jak mog pomc? zapytaa Josie.
W tym momencie napastnik powoa si na informacj, ktr zdoby
wczeniej podczas poszukiwa rnych danych pomocnych w uwiarygodnieniu si. Dowiedzia si, e informacja, ktrej poszukiwa, jest
przechowywana w tak zwanym systemie informacji o fakturach
klienta i dowiedzia si, jak nazywali go pracownicy (CBIS).
Czy moe pani wywoa konto z CBIS? zapyta.
Tak, jaki jest numer konta?
Nie mam numeru, musimy znale po nazwisku.
Dobrze. Jakie nazwisko?
Heather Marning przeliterowa nazwisko, a Josie je wpisaa.
Ju mam.
wietnie. To jest rachunek biecy?

Bezporedni atak  wystarczy poprosi

55

Mhm, biecy.
Jaki ma numer? zapyta.
Ma pan co do pisania?
Mam.
Konto numer BAZ6573NR27Q.
Odczyta jej zapisany numer i zapyta:
A jaki jest adres obsugi?
Podaa mu adres.
A numer telefonu?
Josie posusznie odczytaa rwnie t informacj.
Rozmwca podzikowa jej, poegna si i odwiesi suchawk. Josie
odebraa kolejny telefon, nawet nie mylc o tym, co si stao.

Badania Arta Sealyego

Art Sealy porzuci prac jako niezaleny redaktor pracujcy dla maych
wydawnictw, kiedy wpad na to, e moe zarabia, zdobywajc informacje dla pisarzy i firm. Wkrtce odkry, e honoraria, jakie mgby
pobiera, rosn proporcjonalnie do zbliania si do subtelnej granicy linii
oddzielajcej dziaania legalne od nielegalnych. Nie zdajc sobie z tego
sprawy, i oczywicie nie nazywajc rzeczy po imieniu, Art sta si socjotechnikiem uywajcym technik znanych kademu poszukiwaczowi informacji. Okaza si naturalnym talentem w tej brany, dochodzc samemu do metod, ktrych socjotechnicy musz uczy si od innych. Wkrtce
przekroczy wspomnian granic bez najmniejszego poczucia winy.
* * *
Wynaj mnie czowiek, ktry pisa ksik o gabinecie prezydenta
w czasach Nixona i szuka informatora, ktry dostarczyby mu mniej
znanych faktw na temat Williama E. Simona, bdcego Sekretarzem
Skarbu w rzdzie Nixona. Pan Simon zmar, ale autor zna nazwisko
kobiety, ktra dla niego pracowaa. By prawie pewny, e mieszka ona
w Waszyngtonie, ale nie potrafi zdoby jej adresu. Nie miaa rwnie
telefonu, a przynajmniej nie byo go w ksice. Tak wic, kiedy zadzwoni do mnie, powiedziaem mu, e to aden problem.
Jest to robota, ktr mona zaatwi zwykle jednym lub dwoma telefonami, jeeli zrobi si to z gow. Od kadego lokalnego przedsibiorstwa uytecznoci publicznej raczej atwo wycign informacje.
Oczywicie trzeba troch nakama, ale w kocu czym jest jedno mae
niewinne kamstwo?

56

Sztuka ataku

Lubi stosowa za kadym razem inne podejcie wtedy jest ciekawiej. Tu mwi ten-a-ten z biura dyrekcji zawsze niele dziaao.
Albo mam kogo na linii z biura wiceprezesa X, ktre zadziaao te
tym razem.
Trzeba wyrobi w sobie pewnego rodzaju instynkt socjotechnika.
Wyczuwa ch wsppracy w osobie po drugiej stronie. Tym razem
poszczcio mi si trafiem na przyjazn i pomocn pani. Jeden
telefon wystarczy, aby uzyska adres i numer telefonu. Misja zostaa
wykonana.

Analiza oszustwa
Oczywicie Josie zdawaa sobie spraw, e informacja o kliencie jest
poufna. Nigdy nie pozwoliaby sobie na rozmow na temat rachunku
jakiego klienta z innym klientem lub na publiczne ujawnianie prywatnych informacji.
Jednak dla dzwonicego z tej samej firmy stosuje si inne zasady.
Kolega z pracy to czonek tej samej druyny musimy sobie pomaga
w wykonywaniu pracy. Czowiek z dziau fakturowania mg sam sobie sprawdzi te informacje w swoim komputerze, gdyby nie zawiesi
go wirus. Cieszya si, e moga pomc wsppracownikowi.
Art stopniowo dochodzi do kluczowej informacji, ktrej naprawd
szuka, zadajc po drodze pytania o rzeczy dla niego nieistotne, jak numer konta. Jednoczenie informacja o numerze konta stanowia drog
ucieczki gdyby Josie zacza co podejrzewa, wykonaby drugi telefon, z wiksz szans na sukces znajomo numeru konta uczyniaby
go jeszcze bardziej wiarygodnym w oczach kolejnego urzdnika.
Josie nigdy nie zdarzyo si, by kto kama w taki sposb nie przyszoby jej do gowy, e rozmwca mg nie by tak naprawd z dziau
fakturowania. Oczywicie wina nie ley po stronie Josie, ktra nie zostaa
dobrze poinformowana o zasadach upewniania si co do tosamoci
dzwonicego przed omawianiem z nim informacji dotyczcych czyjego
konta. Nikt nigdy nie powiedzia jej o niebezpieczestwie takiego telefonu, jaki wykona Art. Nie stanowio to czci polityki firmy, nie byo elementem szkolenia i jej przeoony nigdy o tym nie wspomnia.
Uwaga Mitnicka

Nigdy nie naley sdzi, e wszystkie ataki socjotechniczne musz by

gruntownie uknut intryg, tak skomplikowan, e praktycznie niewykrywaln. Niektre z nich to szybkie ataki z zaskoczenia, bardzo proste
w formie. Jak wida, czasami wystarczy po prostu zapyta.

Bezporedni atak  wystarczy poprosi

57

Zapobieganie oszustwu
Punkt, ktry naley umieci w planie szkolenia z zakresu bezpieczestwa, dotyczy faktu, e jeli nawet dzwonicy lub odwiedzajcy zna
nazwiska jakich osb z firmy lub zna argon i procedury, nie znaczy to,
e podaje si za tego, kim jest. Zdecydowanie nie czyni go to w aden
sposb uprawnionym do otrzymywania wewntrznych informacji lub
wykonywania operacji na naszym komputerze lub sieci.
Szkolenie takie musi jasno uczy, eby w razie wtpliwoci sprawdza, sprawdza i jeszcze raz sprawdza.
W dawnych czasach dostp do informacji wewntrz firmy by
oznak rangi i przywilejem. Pracownicy otwierali piece, uruchamiali
maszyny, pisali listy, wypeniali raporty. Brygadzista lub szef mwi
im, co robi, kiedy i jak. Tylko brygadzista lub szef wiedzieli, ile elementw musi wyprodukowa dany pracownik na jednej zmianie, jakie
kolory i rozmiary maj by wypuszczone w tym tygodniu, w nastpnym i na koniec miesica.
Pracownicy obsugiwali maszyny, narzdzia i korzystali z materiaw. Szefowie dysponowali informacj, a pracownicy dowiadywali si
jedynie tego, co niezbdne w ich pracy.
Prawda, e dzi wyglda to nieco inaczej? Wielu pracownikw
w fabryce obsuguje jaki komputer lub maszyn sterowan komputerowo. Dla zatrudnionych dostpne s krytyczne informacje, co uatwia
im wykonanie swojej czci pracy w obecnych czasach wikszo
rzeczy, ktre robi, jest zwizana z informacj.
Dlatego te polityka bezpieczestwa firmy musi siga wszdzie,
niezalenie od stanowiska. Kady musi zrozumie, e nie tylko szefowie i dyrekcja s w posiadaniu informacji, ktrych poszukiwa moe
napastnik. Dzi pracownik na kadym szczeblu, nawet nie korzystajcy z komputera, moe sta si obiektem ataku. Nowo zatrudniony
konsultant w dziale obsugi klienta moe stanowi sabe ogniwo, ktre
zostanie wykorzystane przez socjotechnika do swoich celw.
Szkolenie w zakresie bezpieczestwa i polityka bezpieczestwa
firmy musi wzmacnia takie sabe ogniwa.

10
Na terenie firmy
Dlaczego tak atwo obcemu poda si za pracownika firmy i udawa
go w przekonujcy sposb, nabierajc nawet ludzi o duej wiadomoci tego typu zagroe? Dlaczego tak atwo oszuka czowieka w peni
wiadomego procedur bezpieczestwa, nawet jeli osoba ta nie ufa
ludziom, ktrych nie zna, i dba o ochron zasobw informacyjnych
swojej firmy?
Zastanwmy si nad powyszymi pytaniami, czytajc historie zawarte w tym rozdziale.

Stranik
Czas: wtorek, 17 padziernika, 2:16 w nocy.
Miejsce: Skywatcher Aviation, Inc., zakad produkcyjny firmy na
przedmieciach Tucson w stanie Arizona.

Historia stranika
Leroy Greene czu si o wiele lepiej, syszc stukanie swoich obcasw
o posadzki opuszczonych hal fabrycznych, ni spdzajc dugie nocne
godziny na wpatrywaniu si w monitory w biurze stray przemysowej. Nie mg tam robi niczego poza gapieniem si na ekrany. Nie
wolno mu byo nawet przeczyta gazety lub zajrze do swojej oprawionej w skr Biblii. Musia siedzie i patrze na zastyge obrazy, na
ktrych nigdy nic nie chciao si poruszy.

172

Uwaga, intruz!

Chodzc po halach, mg przynajmniej rozprostowa nogi, a jeeli

pamita by w chd zaangaowa bardziej rce i ramiona, to mia namiastk gimnastyki. Cho trudno uwaa co takiego za gimnastyk
dla byego prawego napastnika najlepszej druyny footbalowej w miecie. No c, taka praca.
Gdy doszed do rogu, zmieni kierunek marszu i poszed wzdu
galerii, z ktrej rozciga si widok na kilkusetmetrowej dugoci hal
produkcyjn. Spojrza w d i zauway dwie osoby przechodzce
obok rzdu helikopterw bdcych w trakcie produkcji. Po chwili postacie zatrzymay si i zaczy oglda maszyny. Do dziwny widok,
biorc pod uwag, e by rodek nocy.
Lepiej to sprawdz pomyla.
Leroy uda si w kierunku schodw i wszed do hali w taki sposb,
eby zaj intruzw od tyu. Nie zauwayli go do momentu, kiedy si
odezwa.
Dzie dobry. Mog zobaczy panw identyfikatory? powiedzia. Leroy stara si w takich momentach uywa agodnego tonu.
Zdawa sobie spraw, e jego suszne rozmiary mogy niejednego wystraszy.
Cze Leroy powiedzia jeden z nich, odczytujc imi z identyfikatora. Tom Stilton z dziau marketingu z centrali w Phoenix.
Mam tu u was par spotka i chciaem przy okazji pokaza mojemu
koledze, jak buduje si najwiksze helikoptery na wiecie.
Dobrze. Prosz pokaza identyfikator rzek Leroy. Zauway,
e byli bardzo modzi. Go od marketingu wyglda, jakby wanie
skoczy liceum, a drugi, z wosami do ramion, na 15 lat.
Pierwszy z nich sign do kieszeni po identyfikator, po czym zacz nerwowo przeszukiwa wszystkie swoje kieszenie. Leroy zaczyna
podejrzewa, e co tu nie gra.
Cholera powiedzia. Musiaem zostawi go w samochodzie. Mog przynie, to mi zajmie dziesi minut. Pjd na parking
i wrc.
Leroy zdy ju wyj swj notes.
Mog jeszcze raz prosi pana nazwisko? zapyta i uwanie
zanotowa odpowied. Nastpnie poprosi, aby udali si z nim do biura stray przemysowej. Kiedy jechali wind na trzecie pitro, Tom
mwi, e pracuje tu dopiero od szeciu miesicy i ma nadziej, e Leroy nie bdzie robi mu problemw w zwizku z tym incydentem.
W biurze ochrony Leroy wraz z kolegami zaczli zadawa dwjce
pytania. Stilton poda swj numer telefonu i powiedzia, e jego szefem jest Judy Underwood, po czym poda rwnie jej numer telefonu.

Na terenie firmy

173

Informacje zgadzay si z danymi w komputerze. Leroy wzi swoich

kolegw na stron, aby naradzi si, co robi w tej sytuacji. Nie chcieli
popeni jakiego bdu. Uznali wic, e najlepiej zadzwoni do jego
szefowej, nawet gdyby miao to oznacza zbudzenie jej w rodku nocy.
Leroy sam zadzwoni do pani Underwood, wyjani kim jest i zapyta, czy pracuje dla niej pan Stilton.
Tak odpowiedziaa w pnie.
Natknlimy si na niego w hali produkcyjnej o 2:30 w nocy bez
identyfikatora.
Prosz mi go da do telefonu powiedziaa pani Underwood.
Stilton podszed do telefonu i powiedzia:
Judy, przykro mi, e stranicy musieli ci obudzi w rodku nocy.
Mam nadziej, e nie bdziesz mi miaa tego za ze.
Chwil sucha i kontynuowa:
To przez to, e i tak musz tu by rano na spotkaniu w zwizku
z now publikacj prasow. Przy okazji, odebraa e-mail na temat
Thompsona? Musimy si spotka z Jimem w poniedziaek, eby to nie
przeszo nam koo nosa. Aha, i jestemy umwieni na lunch we wtorek, tak?
Sucha jeszcze chwil, po czym poegna si i odoy suchawk.
To zaskoczyo Leroya, bo spodziewa si, e odda mu jeszcze suchawk, a jego szefowa potwierdzi, e wszystko jest w porzdku. Zastanawia si, czy nie zadzwoni do niej jeszcze raz. Pomyla jednak,
e ju raz j zbudzi w rodku nocy. Jeeli zadzwoniby po raz drugi,
mogaby si zdenerwowa i donie o tym jego szefowi.
Nie bd robi zamieszania pomyla.
Mog pokaza mojemu koledze reszt linii produkcyjnej? zapyta Stilton Leroya. Moe pan i z nami.
Idcie, ogldajcie powiedzia Leroy tylko nastpnym razem prosz nie zapomina o identyfikatorze. I prosz wczeniej informowa ochron, jeeli zamierza pan przebywa na terenie zakadu po
godzinach jest taki wymg.
Bd o tym pamita, Leroy powiedzia Stilton i obaj wyszli.
Nie mino nawet dziesi minut, kiedy w biurze ochrony odezwa
si telefon. Dzwonia pani Underwood.
Co to by za facet?! dopytywaa si. Powiedziaa, e prbowaa zadawa mu pytania, a on mwi jakie dziwne rzeczy o lunchu.
Nie ma pojcia, kto to by.
Ochroniarz zadzwoni do stranikw w korytarzu i na bramie przy
parkingu. Obydwaj widzieli wychodzcych kilka minut temu dwch
modych mczyzn.

174

Uwaga, intruz!

Opowiadajc pniej t histori, Leroy mwi zawsze na koniec:

Boe, mylaem e mj szef mnie zabije. Mam szczcie, e mnie
nie wyrzuci z pracy.

Historia Joe Harpera

Siedemnastoletni Joe Harper od ponad roku zakrada si do rnych
budynkw. Czasami w dzie, czasem w nocy za kadym razem
chcia przekona si, czy ujdzie mu to na sucho. By synem muzyka
i kelnerki obydwoje pracowali na nocne zmiany, a Joe zbyt duo
czasu spdza samotnie. Jego opis tych samych wydarze pozwala lepiej zrozumie, co zaszo.
* * *
Mam takiego kumpla, Kennyego, ktry chce by pilotem helikoptera.
Zapyta mnie, czy mog wprowadzi go do fabryki Skywatcher, eby
pooglda lini produkcyjn helikopterw. Wiedzia, e szwendaem
si ju po rnych budynkach. Zakradanie si do miejsc, gdzie wstp
jest zabroniony, to nieza dawka adrenaliny.
Nie polega to jednak po prostu na wejciu na teren fabryki czy biura.
Najpierw trzeba wszystko dokadnie przemyle, zaplanowa i zrobi
peny rekonesans obiektu. Trzeba wej na stron internetow firmy,
poszuka nazwisk i stanowisk, struktury podlegoci i numerw telefonw. Przeczyta wycinki prasowe i artykuy w magazynach. Metodyczne badania to mj wasny sposb na bezpieczestwo dziki
temu mog rozmawia z kadym, podajc si za pracownika.
Od czego wic zacz? Na pocztku zajrzaem do Internetu, aby
sprawdzi, gdzie znajduj si biura firmy. Okazao si, e gwna siedziba jest w Phoenix. Doskonale. Zadzwoniem tam i poprosiem o poczenie z dziaem marketingu. Kada firma ma taki dzia. Odebraa
kobieta, a ja powiedziaem, e dzwoni z firmy Blue Pencil Graphics
i chciaem zorientowa si, czy s zainteresowani korzystaniem z naszych usug. Zapytaem, z kim mog na ten temat porozmawia. Powiedziaa, e najlepiej z Tomem Stiltonem. Poprosiem wiec o jego
numer telefonu, na co odpowiedziaa, e nie udzielaj takich informacji,
ale moe mnie z nim poczy. Dodzwoniem si do jego automatycznej
sekretarki. Nagrana wiadomo brzmiaa nastpujco: Dzie dobry,
tu Tom Stilton, dzia marketingu, wewntrzny 3147, prosz zostawi
wiadomo. Dobre! Pono nie udzielaj takich informacji, a tu go
zostawi swj wewntrzny na sekretarce. Dla mnie bomba miaem
ju nazwisko i numer.

Na terenie firmy

175

Kolejny telefon do tego samego biura.

Dzie dobry, szukam Toma Stiltona, ale nie ma go u siebie.
Chciabym zapyta o co jego szefa.
Szefowej te nie byo, ale zdyem w trakcie rozmowy uzyska jej
nazwisko. Ona rwnie zostawia swj numer wewntrzny na sekretarce bardzo adnie!
Na pewno udaoby mi si bez specjalnego zachodu przeprowadzi
nas obok stranika w korytarzu, ale kiedy przejedaem w pobliu
tej fabryki i chyba widziaem tam pot dookoa parkingu. W takim razie na pewno stranik sprawdza tam, kto wjeda na parking. W nocy
pewnie spisuj dodatkowo numery rejestracyjne, wic bd musia
kupi na pchlim targu jakie stare tablice.
Najpierw musz jednak zdoby numer telefonu do budki stranikw.
Odczekaem chwil, aby w sytuacji, gdy odbierze ta sama osoba, mj
gos nie wyda jej si znajomy. Po jakim czasie zadzwoniem i powiedziaem:
Kto nam zgasza, e s problemy z telefonem w budce stranikw
przy Ridge Road czy dalej co si dzieje?
Moja rozmwczyni powiedziaa, e nie wie, ale poczy mnie z budk.
Odebra mczyzna:
Brama przy Ridge Road, mwi Ryan.
Cze Ryan, tu Ben. Mielicie ostatnio jakie problemy z telefonem?
Stranik by chyba przeszkolony, bo zapyta od razu:
Jaki Ben? Mog prosi twoje nazwisko?
Kto od was zgasza problemy kontynuowaem tak, jakbym
nie sysza pytania.
Odsunwszy suchawk od ucha, zawoa:
Hej, Bruce, Roger, byy jakie problemy z telefonem?
Zbliy z powrotem suchawk i powiedzia:
Nie wiemy nic o adnych problemach.
Ile macie tam linii telefonicznych?
Zdy zapomnie o moim nazwisku.
Dwie powiedzia.
A na ktrej teraz rozmawiamy?
Na 3410.
Bingo!
I obydwie dziaaj bez problemw?
Raczej tak.

176

Uwaga, intruz!

Dobrze powiedziaem. Tom, jeeli pojawi si u was jakiekolwiek problemy z telefonami, dzwo do nas, do Telecom. Jestemy
od tego, eby wam pomaga.
Zdecydowalimy z Kennym, e odwiedzimy fabryk jeszcze tej nocy.
Pnym popoudniem zadzwoniem do budki straniczej, przedstawiajc si jako pracownik dziau marketingu. Powiedziaem:
Dzie dobry, tu Tom Stilton z marketingu. Mamy napity termin
i dwch ludzi jedzie do nas z pomoc. Nie dotr wczeniej ni o pierwszej, drugiej w nocy. Bdzie pan wtedy jeszcze na zmianie?
Odpowiedzia radonie, e koczy o pnocy.
Moe pan zostawi wiadomo dla swojego zmiennika? spytaem. Kiedy pojawi si dwch ludzi i powiedz, e przyszli do
Toma Stiltona, prosz ich wpuci, dobrze?
Powiedzia, e nie ma sprawy. Zanotowa moje nazwisko, wydzia
i numer wewntrzny, po czym powiedzia, e si tym zajmie.
Podjechalimy pod bram troch po drugiej. Powiedziaem, e
przyjechalimy do Toma Stiltona. Zaspany stranik wskaza tylko
drzwi, ktrymi mamy wej, i miejsce do zaparkowania.
Po wejciu do budynku natrafilimy na kolejn bramk ochrony
w korytarzu i ksik do odnotowywania pobytu po godzinach. Powiedziaem stranikowi, e musz na rano opracowa raport, a kolega
chcia po prostu zobaczy fabryk.
On ma bzika na punkcie helikopterw powiedziaem. Chce
zosta pilotem.
Stranik poprosi o mj identyfikator. Signem do kieszeni, po
czym signem do paru innych i powiedziaem, e chyba zostawiem
go w samochodzie i e zaraz po niego pjd.
Dziesi minut powiedziaem.
Dobra, nie trzeba. Wystarczy si wpisa powiedzia stranik.
Spacer wzdu linii produkcyjnej by niesamowity. Dopki nie zatrzyma nas ten olbrzym Leroy.
W biurze stray zdaem sobie spraw, e intruz wygldaby w tym
momencie na nerwowego i wystraszonego. Kiedy rzecz stana na
ostrzu noa, udawaem oburzenie. Tak jakbym w rzeczywistoci by
tym, za kogo si podaj, i wyprowadzi mnie z rwnowagi fakt, e nie
chcieli mi uwierzy.
Kiedy zaczli mwi o tym, e chyba powinni zadzwoni do mojej
szefowej i zaczli szuka w komputerze jej domowego numeru telefonu, staem tam i mylaem: Chyba czas wia. Ale co z bram na
parkingu nawet jeeli uda si nam wydosta z budynku, zamkn
bram i nas zapi.

Na terenie firmy

177

Kiedy Leroy zadzwoni do kobiety, ktra bya szefow Stiltona, i odda

mi suchawk, zacza do mnie wrzeszcze:
Kto mwi? Kim pan jest?!
A ja po prostu gadaem tak, jakbymy prowadzili normaln rozmow i po jakiej chwili odoyem suchawk.
Ile czasu potrzeba, aby w rodku nocy zdoby numer telefonu do
fabryki? Szacowaem, e mamy mniej ni kwadrans na to, eby wydosta si stamtd, zanim ta kobieta zadzwoni i zaalarmuje stranikw.
Wychodzilimy z fabryki tak szybko, jak si dao, ale eby nie wygldao, e bardzo nam si spieszy. Odetchnem, kiedy stranik przy
bramie parkingu tylko machn, ebymy przejechali.

Analiza oszustwa
Warto wspomnie, e bohaterami prawdziwego incydentu, na ktrym oparta jest ta historia, byli nastoletni modziecy. Dla nich to
by wygup, przygoda chcieli si przekona, czy im si uda. Jeeli dla pary nastolatkw wejcie na teren firmy okazao si takie
proste, to jak proste moe by dla zodziei, szpiegw przemysowych lub terrorystw?
Jak to si stao, e trzech dowiadczonych stranikw pozwolio
dwm intruzom po prostu wyj z fabryki? Tym bardziej, e ju ich
mody wiek powinien by wysoce podejrzany.
Leroy mia z pocztku suszne podejrzenia. Dobrze zrobi, zabierajc ich do biura stray przemysowej i sprawdzajc chopaka podajcego si za Toma Stiltona oraz numery telefonw i nazwiska, ktre poda. Z pewnoci suszny by rwnie telefon do jego domniemanego
zwierzchnika.
W kocu jednak zwioda go pewno siebie i oburzenie modego
czowieka. Nie byo to zachowanie, ktrego mg spodziewa si po
zodzieju lub intruzie tylko pracownik firmy mg zachowywa si
w taki sposb. Tak przynajmniej sdzi. Leroy powinien zosta przeszkolony, aby dziaa, opierajc si na solidnych procedurach identyfikacyjnych, a nie na swojej wasnej ocenie.
Dlaczego jego podejrzenia nie wrosy, kiedy chopak odoy suchawk, nie podajc jej z powrotem Leroyowi, aby ten usysza, jak Judy Underwood potwierdza, e jej pracownik ma powd, by przebywa o tej porze w fabryce?
Byo to szyte tak grubymi nimi, e trudno uwierzy, i Leroy da
si nabra. Spjrzmy jednak na sytuacj z jego perspektywy: ukoczy

178

Uwaga, intruz!

ledwo liceum, zaleao mu na pracy, nie by pewny, czy nie narazi si,
dzwonic drugi raz w rodku nocy do osoby na kierowniczym stanowisku. Czy bdc w jego skrze zdecydowalibymy si na ponowny
telefon?
Oczywicie drugi telefon to nie byo jedyne wyjcie z sytuacji. Co
jeszcze mg zrobi stranik?
Jeszcze przed wykonaniem telefonu powinien poprosi obu modziecw o jaki dowd tosamoci ze zdjciem. Skoro przyjechali do
fabryki samochodem, przynajmniej jeden z nich powinien mie przy
sobie prawo jazdy. W tym momencie fakt podania przez nich faszywych nazwisk staby si oczywisty (profesjonalista zapewne pojawiby
si z faszywym dowodem, ale ci chopcy na pewno o tym nie pomyleli). W kadym razie Leroy powinien sprawdzi ich informacje
identyfikacyjne i zanotowa je. Jeeli obaj owiadczyliby, e nie maj
przy sobie adnych dowodw tosamoci, powinien pj z nimi do
samochodu po identyfikator, ktry chopak podajcy si za Toma
Stiltona rzekomo tam zostawi.
Po rozmowie z szefow jeden z ochroniarzy powinien towarzyszy
im do wyjcia, a nastpnie odprowadzi do samochodu i spisa jego
numer rejestracyjny. Jeeli byby spostrzegawczy, by moe zauwayby, e jedna z tablic (kupiona na pchlim targu) nie miaa wanej
nalepki rejestracyjnej a to ju powd, aby zatrzyma dwjk w celu
dalszego dochodzenia ich tosamoci.
Uwaga Mitnicka

Ludzie posiadajcy dar manipulowania innymi zwykle cechuj si bardzo

magnetycznym typem osobowoci. Przewanie s to osoby rzutkie i elokwentne. Socjotechnikw wyrnia te umiejtno rozpraszania procesw
mylowych swoich rozmwcw, co w efekcie prowadzi do szybkiego
nawizania wsppracy z ofiar ataku. Sdzc, e istnieje chocia jedna
osoba, ktra nie podda si tego typu manipulacji, nie doceniamy umiejtnoci i instynktu socjotechnikw.
Dobry socjotechnik za to nigdy nie pozwala sobie na lekcewaenie swego
przeciwnika.