Professional Documents
Culture Documents
Umetnost Obmane
Umetnost Obmane
Uploaded by
Kristiano RonaldoCopyright:
Available Formats
You might also like
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4 out of 5 stars4/5 (5835)
- The 7 Habits of Highly Effective PeopleFrom EverandThe 7 Habits of Highly Effective PeopleRating: 4 out of 5 stars4/5 (354)
- The 7 Habits of Highly Effective People Personal WorkbookFrom EverandThe 7 Habits of Highly Effective People Personal WorkbookRating: 4 out of 5 stars4/5 (2516)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4.5 out of 5 stars4.5/5 (20148)
- The Odyssey: (The Stephen Mitchell Translation)From EverandThe Odyssey: (The Stephen Mitchell Translation)Rating: 4 out of 5 stars4/5 (7770)
- How to Win Friends and Influence People: Updated For the Next Generation of LeadersFrom EverandHow to Win Friends and Influence People: Updated For the Next Generation of LeadersRating: 4 out of 5 stars4/5 (2340)
- Pride and Prejudice: Bestsellers and famous BooksFrom EverandPride and Prejudice: Bestsellers and famous BooksRating: 4.5 out of 5 stars4.5/5 (20479)
- Never Split the Difference: Negotiating As If Your Life Depended On ItFrom EverandNever Split the Difference: Negotiating As If Your Life Depended On ItRating: 4.5 out of 5 stars4.5/5 (3335)
- Wuthering Heights Complete Text with ExtrasFrom EverandWuthering Heights Complete Text with ExtrasRating: 4 out of 5 stars4/5 (10020)
- Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyFrom EverandArt of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyRating: 4 out of 5 stars4/5 (3321)
- The Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)From EverandThe Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)Rating: 4 out of 5 stars4/5 (9054)
- Anna Karenina: Bestsellers and famous BooksFrom EverandAnna Karenina: Bestsellers and famous BooksRating: 4 out of 5 stars4/5 (7503)
- American Gods: The Tenth Anniversary EditionFrom EverandAmerican Gods: The Tenth Anniversary EditionRating: 4 out of 5 stars4/5 (12968)
- Habit 1 Be Proactive: The Habit of ChoiceFrom EverandHabit 1 Be Proactive: The Habit of ChoiceRating: 4 out of 5 stars4/5 (2562)
- Habit 3 Put First Things First: The Habit of Integrity and ExecutionFrom EverandHabit 3 Put First Things First: The Habit of Integrity and ExecutionRating: 4 out of 5 stars4/5 (2511)
- Habit 6 Synergize: The Habit of Creative CooperationFrom EverandHabit 6 Synergize: The Habit of Creative CooperationRating: 4 out of 5 stars4/5 (2499)
- Frankenstein: A Guide to Reading and ReflectingFrom EverandFrankenstein: A Guide to Reading and ReflectingRating: 4 out of 5 stars4/5 (8977)
- How To Win Friends And Influence PeopleFrom EverandHow To Win Friends And Influence PeopleRating: 4.5 out of 5 stars4.5/5 (6717)
- The 7 Habits of Highly Effective PeopleFrom EverandThe 7 Habits of Highly Effective PeopleRating: 4 out of 5 stars4/5 (2573)
- The Picture of Dorian Gray: Classic Tales EditionFrom EverandThe Picture of Dorian Gray: Classic Tales EditionRating: 4 out of 5 stars4/5 (9768)
- The Iliad: A New Translation by Caroline AlexanderFrom EverandThe Iliad: A New Translation by Caroline AlexanderRating: 4 out of 5 stars4/5 (5734)
Umetnost Obmane
Umetnost Obmane
Uploaded by
Kristiano RonaldoOriginal Title
Copyright
Available Formats
Share this document
Did you find this document useful?
Is this content inappropriate?
Report this DocumentCopyright:
Available Formats
Umetnost Obmane
Umetnost Obmane
Uploaded by
Kristiano RonaldoCopyright:
Available Formats
UMOB
, November 4, 2003 10:04 am
Predgovor_UMOB.slog, ix str.
predgovor
eki hakeri unitavaju udima datoteke ili celokupan sadraj disko-
va oni su
provalnici
ili
vandali
. Neki hakeri poetnici se ne trude
da naue tehnologiju, ve koriste hakerske alate da bi provalili u
raunarske sisteme oni su
skriptai
. Iskusniji hakeri razvijaju hakerske
programe i objavuju ih na Webu i u diskusionim grupama. A tu su i osobe
koje tehnologija ne zanima, ve raunar koriste samo kao pomono sred-
stvo za krau novca, dobara i usluga.
Uprkos mitu koji su o Kevinu Mitniku ispleli mediji, ja nisam zlona-
meran haker.
Ali, sad vam sve priam unapred.
POECI
Svoj put sam verovatno odabrao rano. Bio sam bezbrino dete, ali sam se
dosaivao. Nakon to nas je otac ostavio kada sam imao tri godine, moja
majka je radila kako konobarica da bi nas izdravala. Poto je morala
naporno da radi po ceo dan, ja sam uglavnom dau bio sam. uvao sam
sam sebe.
Budui da sam odrastao u San Fernando Veliju, mogao sam da istrau-
jem itav Los Aneles, a do svoje dvanaeste godine pronaao sam nain da
putujem besplatno po itavoj teritoriji L.A. Jednog dana, dok sam se vozio
autobusom, shvatio sam da ispravnost karte za gradski prevoz zavisi od ne-
obinog rasporeda izbuenih rupica kojima su vozai oznaavali dan, vreme
i trasu. Jedan ubazan voza odgovorio je na moje paivo formulisano pi-
tae. Objasnio mi je gde da kupim tu vrstu aparata za buee rupica.
Karte za presedae omoguavaju putnicima da meaju autobuse do
odredita, ali ja sam smislio kako da pomou ih besplatno putujem gde
n
UMOB
, November 4, 2003 10:04 am
Predgovor_UMOB.slog, x str.
x
P
r
e
d
g
o
v
o
r
god poelim. Nabaviti neoverene karte za presedae bio je maji kaa.
Kante za otpatke na autobuskim stajalitima bile su uvek pune delimino
ispuenih blokova karata za presedae, koje bi vozai bacili na kraju
smene. S blokom praznih karata i ureajem za buee rupica, mogao sam
da oznaavam sopstvenu trasu i putujem kud god su ili autobusi u Los
Anelesu. Ubrzo sam gotovo napamet znao red voe itavog gradskog
prevoza. (To je bio jedan od prvih primera mog zauujueg pamea
odreenih vrsta informacija: i danas mogu da se setim telefonskih brojeva,
lozinki, i drugih naizgled beznaajnih pojedinosti iz detistva.)
U detistvu sam bio opien opsenarstvom. Kad bih saznao kako se
nov trik izvodi, vebao bih, vebao, i jo malo vebao dok ga ne bih
nauio. U izvesnoj meri, upravo sam kroz maioniarstvo otkrio radost
saznavaa neeg tajanstvenog.
Od prevaranta koji se slui telefonom
do hakera
Moj prvi susret s onim to u kasnije zvati
obmaivae
,
dogodio se u
sredoj koli, kad sam se upoznao s uenikom iji je hobi bio
zloupotre-
bavae telefona
. To je vrsta hakerisaa kojim se istrauje telefonska
mrea. Koriste se telefonski sistemi i iskoriavaju zaposleni u telefonskoj
kompaniji. Pokazao mi je zgodne trikove koje je umeo da izvede preko
telefona, poput dobijaa svih informacija koje telefonska kompanija ima
o bilo kom klijentu, ili upotrebe tajnog probnog broja da bi se besplatno
koristile meugradske veze. (Zapravo, samo je za nas to bilo besplatno.
Mnogo kasnije sam saznao da to uopte nije bio tajni probni broj. Pozivi
su se naplaivali preko MCI rauna neke jadne kompanije.)
To me je uvelo u obmaivae bilo je to, takorei, moje obdanite.
Moj prijate i jo jedan takav prevarant, kojeg sam nedugo zatim upo-
znao, dozvoavali su mi da sluam dok su pod nekim
izgovorom
pozivali
telefonsku kompaniju. uo sam stvari koje su im govorili da bi zvuali
verovatnije; nauio sam neto o razliitim ograncima telefonske kompa-
nije, ihovu terminologiju i procedure. Ta obuka nije dugo trajala; nije ni
bilo potrebno. Uskoro sam sve to radio sam, usput uei, sve dok nisam
postao boi i od sopstvenih prvih uitea.
Put kojim e se moj ivot odvijati tokom sledeih petnaest godina bio
je zacrtan.
UMOB
, November 4, 2003 10:04 am
Predgovor_UMOB.slog, xi str.
xi
P
r
e
d
g
o
v
o
r
U sredoj koli mi je jedna od omienih ala bila da neovlaeno pri-
stupim telefonskoj centrali i izmenim klasu usluge na liniji nekog drugog
prevaranta. Kad bi pokuao da pozove od kue, poruka bi ga obavestila da
treba da ubaci novi jer bi do telefonske centrale stizao signal koji znai
da zove iz telefonske govornice.
Opiavalo me je sve o telefonima ne samo elektronika, centrale i
raunari, ve i organizacija telefonske kompanije, te ihove procedure i
terminologija. Nakon izvesnog vremena, verovatno sam boe poznavao
telefonski sistem od bilo kog zaposlenog. Svoju vetinu obmane razvio
sam do te mere da sam, sa sedamnaest godina, mogao da lino ili tele-
fonom nagovorim veinu zaposlenih u telefonskoj kompaniji da uine
gotovo bilo ta.
Moja hakerska karijera, o kojoj se mnogo govorilo u javnosti, poela je
dok sam bio u sredoj koli. Iako ovde ne mogu opisivati pojedinosti, rei
u da je jedna od linija vodia u mojim ranim hakerskim danima bila da
budem prihvaen u krug ostalih hakera.
U to vreme, nama je izraz
haker
oznaavao osobu koja provodi mnogo
vremena petajui s hardverom i softverom, da bi razvio efikasnije pro-
grame ili da bi zaobiao nepotrebne korake i obavio posao bre. Taj izraz je
sada postao pogrdan, i oznaava zlonamernog kriminalca. U ovoj kizi
ja ga koristim kao i uvek u egovom starijem, dobroudnijem znaeu.
Nakon srede kole, studirao sam informatiku u Centru za raunarsku
obuku u Los Anelesu. Za nekoliko meseci, upravnik raunarske mree u
koli otkrio je da sam pronaao propust u operativnom sistemu i dodelio
sebi ovlaea administratora na ihovom IBM-ovom miniraunaru. Ni
najboi struaci za raunare koji su tamo predavali nisu mogli da shvate
kako sam to uinio. Bio je to moda jedan od najranijih primera unaj-
mivaa hakera ponudu nisam mogao da odbijem. Traili su da za
diplomski rad uradim projekat za unapreivae bezbednosti kolskih
raunara, ili da budem izbaen zbog hakerskog upada u sistem. Naravno,
odabrao sam prvo, pa sam na kraju diplomirao s najveim ocenama.
Kako sam poeo da se bavim obmaivaem
Neki udi svakog jutra ustaju iz kreveta uasavajui se rutine svako-
dnevnog posla u rudniku, kako se kae. Ja sam bio te sree da sam uivao
u poslu. Ne moete ni zamisliti izazov, nagradu i zadovostvo koje sam
UMOB
, November 4, 2003 10:04 am
Predgovor_UMOB.slog, xii str.
xii
P
r
e
d
g
o
v
o
r
dobijao za vreme koje sam proveo kao privatni istraite. Brusio sam svoj
talenat u
umetnosti
obmane
(u kojoj se udi navode da ine ono to obino
ne bi uradili za neznanca), i bio sam za to plaen.
Meni nije bilo teko da postanem vrstan obmaiva. Oeva familija se
generacijama bavila trgovinom, pa sam umetnost uticaa i ubeivaa
moda i nasledio. Kad spojite tu crtu s teom za varaem udi, dobijate
tipian profil osobe koja moe da se bavi obmaivaem.
Moglo bi se rei da postoje dve specijalnosti u okviru tog zanimaa.
Onaj ko vara ude i izmamuje od ih novac pripada jednoj potkatego-
riji
varalicama
. Onaj ko obmauje i ubeuje zaposlene u kompanijama,
i utie na ih, obino s ciem da se domogne ihovih informacija, pripa-
da drugoj potkategoriji
obmaivaima
. Jo od vremena kad sam izvodio
svoj trik s kartama za autobus, kad sam bio isuvie mali da bih znao da to
to radim nije u redu, poeo sam u sebi da prepoznajem talenat za
otkrivae tajni koje nije trebalo da saznam. Taj sam talenat nadogradio
koristei se obmanom, poznajui terminologiju, i razvijajui do majstor-
stva vetinu manipulacije.
Jedan od naina na koji sam razvijao vetinu svog zanata, ako ga tako
mogu nazvati, bio je da izaberem neki podatak do kojeg mi nije zaista sta-
lo, i da vidim mogu li nekog s druge strane ice nagovoriti da mi ga oda,
tek da bih se kalio. Kao to sam uvebavao iluzionistike trikove vebao
sam lagae preko telefona. Uskoro sam otkrio da mogu da doem do go-
tovo bilo koje informacije koju poelim.
Kao to sam opisao u svedoeu pred senatorima Libermanom i Tom-
sonom godinama kasnije:
Neovlaeno sam pristupao raunarskim sistemima nekih od najveih
firmi na svetu, i uspeno sam upadao u neke od najotpornijih raunarskih
sistema koji su ikad napraveni. Koristio sam tehnika i ostala sredstva
da bih se domogao izvornog koda raznih operativnih sistema i teleko-
munikacionih ureaja, da bih prouavao ihove slabe take i nain na
koji rade.
Sve to sam inio da bih zadovoio sopstvenu znatieu; da bih video
ta mogu; i da bih otkrio tajne informacije o operativnim sistemima, mo-
bilnim telefonima, i svemu ostalom to bi zagolicalo moju ubopitivost.
UMOB
, November 4, 2003 10:04 am
Predgovor_UMOB.slog, xiii str.
xiii
P
r
e
d
g
o
v
o
r
ZAKLJUAK
Nakon hapea, priznao sam da je to to sam inio nezakonito, i da sam
naruavao tuu privatnost.
Ta krivina dela vrio sam iz radoznalosti. Hteo sam da znam to vie
o tome kako rade telefonske mree, kao i sve pojedinosti o obezbeeu
kompanija. Preao sam put od momka koji voli da prikazuje iluzionistike
trikove, do najozloglaenijeg svetskog hakera, kojeg se plae i kompanije i
vlade. Kad razmislim o svom ivotu u posledih 30 godina, priznajem da
sam doneo neke veoma loe odluke, voen ubopitivou, eom da
nauim neto vie o tehnologiji, kao i potrebom za odgovarajuim intelek-
tualnim izazovima.
Sada sam druga osoba. Koristim svoj talenat i ogromno znae o bez-
bednosti informacija i metodama obmane da bih pomogao dravnim in-
stitucijama, kompanijama i pojedincima da spree i otkriju opasnosti po
bezbednost informacija, i da na to reaguju.
Ova kiga je jo jedan nain da svojim iskustvom pomognem drugima
da se odbrane od zlobnih kradivaca informacija. Smatram da e vam
prie biti zabavne, poune i informativne.
1
deo
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 1 str.
Iza kulisa
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 3 str.
1
poglavlje
Najslabija taka
bezbednosnog sistema
reduzee moe da kupi najboe dostupne bezbednosne tehnologije,
obui ude tako dobro da zakuavaju sve tajne informacije pre
nego to uvee pou kui, i zaposli najboe uvare zgrade.
Takva kompanija je ipak potpuno raiva.
Pojedinci se mogu pridravati svakog visokobezbednosnog pravila koje
preporuuju struaci, revnosno instalirati svaki preporueni proizvod iz
oblasti bezbednosti, i mogu veoma paivo konfigurisati sistem i prime-
ivati bezbednosne zakrpe.
I ti pojedinci su ipak sasvim podloni napadima.
LJUDSKI INILAC
Kad sam svedoio pred Kongresom SAD, objasnio sam da sam esto dola-
zio do lozinki i drugih poverivih informacija pretvarajui se da sam neko
drugi i
jednostavno traei.
Prirodno je da ovek tei oseau apsolutne sigurnosti, usled ega se
mnogi uukuju u lano oseae bezbednosti. Uzmite, na primer, odgo-
vornog i brinog kuevlasnika. Da bi zatitio svoju enu, decu i dom, na
ulazna vrata ugrauje bravu s prekidaem, za koju se misli da se ne moe
obiti. On se sada osea mnogo prijatnije, budui da je egova porodica
p
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 4 str.
4
D
e
o
1
:
I
z
a
k
u
l
i
s
a
mnogo boe zatiena od ueza. Ali ta ako provalnik razbije prozor ili
otkrije ifru sistema za otvarae garanih vrata? ta kaete na to da instali-
rate robustniji bezbednosni sistem? To je boe, ali i dae nema garancija.
Sa skupim bravama ili bez ih, kuevlasnik je i dae podloan napadima.
Zato? Zato to je
udski
inilac zapravo najslabija taka bezbednosnog
sistema.
Bezbednost je suvie esto samo iluzija, iluzija kojoj povremeno idu u
prilog lakovernost, naivnost, ili neznae. Najuveniji svetski naunik dva-
desetog veka, Albert Ajntajn, rekao je: Samo su dve stvari bezgranine,
univerzum i udska glupost, a za ono prvo nisam ni siguran. Dakle, ob-
maivae moe da uspe kada se naie na udsku glupost ili, ee, na
nepoznavae dobrih bezbednosnih pravila. Budui da imaju slian stav
kako i na kuevlasnik koji pazi na bezbednost, mnogi struaci iz oblasti
informacionih tehnologija (IT) ive u zabludi da su u velikoj meri obezbe-
dili preduzee primenom standardnih bezbednosnih proizvoda zatitnih
barijera, sistema za otkrivae upada, ili monijih ureaja za identifikaciju
poput onih sa iframa koje se meaju u vremenskim intervalima, ili bio-
metrikih identifikacionih kartica. Svi koji smatraju da sami bezbednosni
proizvodi nude pravu sigurnost, uukuju se u
iluziju
sigurnosti. Oni ive
u svetu uobrazie: pre ili kasnije, neizbeno e im se dogoditi bezbednosni
incident.
Kao to priznati savetnik za bezbednost Brus najer kae: Bezbednost
se ne dobija od proizvoda; to je proces. tavie, to nije tehnoloki pro-
blem ve problem udi i uprave.
Kako se razvijaju sve boe i boe bezbednosne tehnologije, koje otea-
vaju pronalaee tehnikih propusta, napadai e se sve vie okretati ud-
skom iniocu. Poraavae udskog sigurnosnog bedema je esto lako, ne
zahteva nikakva ulagaa osim jednog telefonskog poziva, i podrazumeva
minimalan rizik.
KLASIAN SLUAJ OBMANE
ta je najvea preta bezbednosti vaeg poslovaa? Odgovor je jednosta-
van; to je obmaiva beskrupulozni maioniar iju levu ruku gledate
dok vam desnom krade tajne informacije. Ta osoba je esto tako prijate-
ski nastrojena, toliko je slatkoreiva i predusretiva, da ste sreni to ste na
u naili.
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 5 str.
5
P
o
g
l
a
v
l
j
e
1
:
N
a
j
s
l
a
b
i
j
a
t
a
k
a
b
e
z
b
e
d
n
o
s
n
o
g
s
i
s
t
e
m
a
Evo primera obmane. Ne seaju se mnogi danas mladog Stenlija Marka
Rifkina i negove male avanture sa sada nepostojeom bankom Security
Pacific National Bank u Los Anelesu. Postoje razne prie o egovim
ludorijama, jer Rifkin (poput mene) nikada nije ispriao sopstvenu verzi-
ju. Pria koja sledi zasniva se na objavenim izvetajima.
Otkrivae ifre
Jednog dana 1978. Rifkin se odetao do prostorije za transakcije banke
Security Pacific. Pristup toj prostoriji bio je dozvoen samo odreenim
zaposlenima. Slubenici su tu slali i primali transakcije ija je ukupna
vrednost dostizala i nekoliko milijardi dolara svakog dana.
Kompanija u kojoj je radio trebalo je da projektuje rezervni sistem za
podatke, u sluaju da se glavni raunar pokvari. Zahvaujui toj ulozi
imao je pristup proceduri rada pri transakcijama, ukuujui i to kako i-
novnici banke au nalog da se novac prebaci na neki raun. Saznao je da
se ovlaenim inovnicima svakog jutra daje pomno uvana dnevna ifra,
koju koriste kad zovu sobu za transakcije.
Zaposleni u prostoriji za transakcije nisu se trudili da zapamte ifru:
pisali su je na papirie i kaili na vidna mesta. Tog novembarskog dana
Rifkin je imao poseban razlog za posetu. eleo je da osmotri taj papiri.
Stigavi u sobu za transakcije, zapisao je neke podatke, navodno da bi
se uverio da e se rezervni sistem vaano uklopiti sa postojeim sistemima.
U meuvremenu, potajno je proitao bezbednosnu ifru s pareta papira i
zapamtio je. Izaao je nakon nekoliko minuta. Kako je kasnije rekao, ose-
ao se kao da je upravo osvojio nagradu na lutriji.
U pitau je taj bankovni raun u vajcarskoj
Napustivi prostoriju oko 3 asa poslepodne, uputio se pravo ka telefon-
skoj govornici u mermernom holu zgrade, Ubacio je novi i okrenuo broj
prostorije za transfere. Potom je preuzeo tu identitet, ne predstavajui
se vie kao Stenli Rifkin, bankarski savetnik, nego kao Majk Hensen, lan
Meunarodnog odseka banke.
Prema jednom izvoru, razgovor se odvijao priblino ovako:
Zdravo, ovde Majk Hensen iz Meunarodnog, rekao je mladoj eni
koja se javila na telefon.
Ona ga je upitala za broj kancelarije. To je bila uobiajena procedura,
pa je on bio spreman: 286, rekao je.
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 6 str.
6
D
e
o
1
:
I
z
a
k
u
l
i
s
a
Devojka je pitala: Koja je ifra?
Rifkin je rekao da mu je u tom trenutku adrenalin pojurio venama a srce
poskoilo. Ravnoduno je odgovorio: 4789. Potom joj je dao nalog za
prenos tano deset miliona i dve stotine hiada dolara od firme Irvin
Trast u Njujorku, na raun u banci Vochud Handels u Cirihu u vajcar-
skoj, gde je prethodno ve otvorio raun.
Devojka potom ree: U redu, zabeleila sam. A sad mi treba meu-
kancelarijski identifikacioni broj.
Rifkina je oblio znoj; bilo je to neoekivano pitae, neto to mu je
promaklo za vreme priprema. Odglumio je da je sve u najboem redu, i
odmah je hladnokrvno odgovorio: Saekajte da proverim; odmah u vas
pozvati. Ponovo je promenio identitet i pozvao drugo odeee u banci,
ovog puta predstavajui se kao zaposleni u prostoriji za transakcije. Do-
bio je meukancelarijski identifikacioni broj i odmah pozvao devojku.
Zapisala je broj i zahvalila mu se. (to je, u tim okolnostima, bilo veo-
ma ironino.)
Privoee kraju
Nekoliko dana kasnije Rifkin je odleteo u vajcarsku i podigao gotovinu.
Od jedne ruske agencije kupio je gomilu dijamanata za preko 8 miliona
dolara. Vratio se avionom, i proao kroz carinu Sjedienih Drava s
draguima skrivenim u pojasu za novac. Uspela mu je najvea paka
banke u istoriji a poinio ju je bez pitoa, pa ak i bez raunara. Zau-
do, egova ludorija je na kraju dospela na stranice
Ginisove kige svetskih
rekorda
u kategoriji najvea raunarska prevara.
Stenli Rifkin je primenio umetnost obmane vetine i tehnike koje se
danas, na engleskom, nazivaju
social engineering
. Detano planirae i na-
darenost za ophoee s udima zapravo je sve to mu je bilo potrebno.
Upravo time se bavi ova kiga metodama obmane (za koje je pisac
ovih redova pravi struak) i nainima odbrane od ih.
PRIRODA PRETNJE
Pria o Rifkinu savreno objaava kako oseaj sigurnosti moe biti
variv. Ovakvi sluajevi moda ne kraa 10 miliona dolara, ali ipak ne-
poeni deavaju se
svakodnevno
. Moda upravo sada gubite novac, ili
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 7 str.
7
P
o
g
l
a
v
l
j
e
1
:
N
a
j
s
l
a
b
i
j
a
t
a
k
a
b
e
z
b
e
d
n
o
s
n
o
g
s
i
s
t
e
m
a
vam neko krade planove o novom proizvodu, a da toga niste ni svesni.
Ako se to vaem preduzeu jo nije dogodilo, ne postava se pitae
da li
e, ve
kada
e to biti.
Sve vea zabrinutost
Institut za raunarsku bezbednost objavio je u svom izvetaju o raunar-
skom kriminalu iz 2001. godine da je 85% ispitanih organizacija otkrilo
naruavae raunarskog bezbednosnog sistema u prethodnih dvanaest
meseci. To je zapaujua cifra: samo petnaest od svakih sto ispitanih orga-
nizacija mogle su da kau da kod ih nije bilo naruavaa bezbednosnog
sistema tokom te godine. Podjednako zapaujui bio je i broj organizacija
koje su prijavile finansijske gubitke usled napada na raunarski sistem: 64
procenta. Vie od pola ispitanih organizacija podleglo je finansijskim gu-
bicima usled toga.
I to samo u jednoj godini
.
Iz sopstvenog iskustva smatram da su brojke u ovakvim izvetajima
pomalo preterane, poto sumam u ispravnost naina anketiraa. Ali to
ne znai da teta nije ogromna ogromna je. Preduzea koja ne planiraju
odbranu od napada sigurno e pretrpeti tetu.
Komercijalni proizvodi za bezbednost sistema, koji se koriste u veini
kompanija, uglavnom tite od ueza amatera, poput devojaka i mladia
koji se nazivaju skriptai. Ti klinci koji bi eleli da postanu hakeri, a ko-
riste softver preuzet s Interneta, uglavnom predstavaju sitnu smetu.
Vee gubitke nanose i pravu pretu predstavaju sofisticirani napadai.
Njih motivie finansijska dobit a mete su im dobro definisane. Oni se us-
meravaju na jednu po jednu metu, umesto da, poput amatera, pokuaju
da provale u to vie sistema. Dok se amateri zadovoavaju kvantitetom,
profesionalci ciaju na kvalitetne i vredne informacije.
Tehnoloke mere poput uvoea ureaja za identifikaciju, kontrole pri-
stupa (za upravae pristupom datotekama i sistemskim resursima), i in-
staliraa sistema za otkrivae upada (elektronski ekvivalent alarma koji
upozoravaju na provalnike) neophodne su stavke u bezbednosnom sistemu
jedne firme. Skoro po pravilu, u danae vreme jedna kompanija troi vie
novca na kafu nego na mere zatite od napada na bezbednosni sistem.
Upravo kao to um kriminalca ne moe da odoli iskueu, um hakera
tei da zaobie mone tehnoloke bezbednosne sisteme. U mnogim slua-
jevima oni to ine usmeravajui se na korisnike tehnologije.
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 8 str.
8
D
e
o
1
:
I
z
a
k
u
l
i
s
a
Naini obmane
Kae se da je bezbedan raunar samo onaj koji je iskuen. Pametno
reeno, ali ipak netano:
obmaiva
nagovori nekoga da ue u kancelariju
i ukui raunar. Neprijate koji eli odreenu informaciju do e moe
doi, obino na jedan od nekoliko naina. To je samo pitae linosti, vre-
mena, strpea i upornosti. A onda umetnost obmane stupa na scenu.
Da bi zaobiao mere bezbednosti, uez, odnosno obmaiva, mora
nai naina da prevari lakovernog korisnika kako bi mu ovaj otkrio infor-
macije, ili da na prevaru navede rtvu, koja nita ne suma, da mu odobri
pristup. Kada neko prevari zaposlene, na ih izvri pritisak, ili ih obmane
da otkriju vane informacije ili stvore rupu u bezbednosnom sistemu, ni-
kakva tehnologija ne moe zatititi poslovae. Struaci ponekad uspeju
da deifruju poruku tako to pronau propust zahvaujui kojem mogu
da zaobiu tehnologiju za ifrirae. Upravo tako i obmaivai pokuava-
ju da prevare zaposlene da bi zaobili bezbednosnu tehnologiju.
ZLOUPOTREBA POVERENJA
U veini sluajeva, uspeni obmaivai umeju dobro da se ophode s u-
dima. armantni su, ubazni i dopadivi a upravo su te osobine potrebne
da bi se brzo uspostavili prisnost i poveree. Iskusan napada moe pri-
stupiti gotovo svakoj informaciji pomou pomenute strategije i taktike.
Savesni struaci za tehnologiju mukotrpno su razvijali bezbednosna
reea kako bi sveli rizike na najmau moguu meru, a ipak su ispustili
najbitniju taku podlonu napadima udski faktor. Uprkos intelektu,
mi udi vi, ja, i svi ostali i dae predstavamo najveu bezbednosnu
pretu jedni drugima.
Neiskvarenost u okviru organizacije
Prisetite se da je ARPANet (mrea Agencije za napredne istraivake pro-
jekte Sekretarijata odbrane), prethodnik Interneta, projektovan za raz-
menu informacija izmeu vlade, istraivakih i obrazovnih institucija. Ci
je bio sloboda informisaa, kao i napredak tehnologije. Mnoge obrazovne
institucije su, dakle, instalirale prve raunarske sisteme uz malu ili nimalu
zatitu. uveni borac za slobodnu upotrebu softvera, Riard Stolman, ak
je odbio da zatiti lozinkom sopstveni nalog.
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 9 str.
9
P
o
g
l
a
v
l
j
e
1
:
N
a
j
s
l
a
b
i
j
a
t
a
k
a
b
e
z
b
e
d
n
o
s
n
o
g
s
i
s
t
e
m
a
No, budui da se Internet koristi za elektronsku trgovinu, opasnosti
od slabe zatite u ovom naem umreenom svetu znatno su se poveale.
Ipak, upotrebom tehnologije nee se reiti problem udskog faktora u
obezbeeu.
Pogledajte samo danae aerodrome. Obezbeee je postalo najbit-
nije, pa ipak nas plae izvetaji u medijima o putnicima koji su uspeli da
zaobiu mere bezbednosti i prenesu potencijalno oruje pored punktova
za proveru. Kako je to mogue u vreme kad su nam aerodromi u takvom
stau pripravnosti? Da li detektori metala ne rade dobro? Ne. Problem
nije u mainama, ve u udskom faktoru: u udima koji ima upravaju.
Aerodromski slubenici mogu dovesti Nacionalnu gardu, instalirati detek-
tore metala i sisteme za prepoznavae lica, ali bi korisnije bilo obuiti
obine slubenike obezbeea da pravilno proveravaju putnike.
Isti problem se java u okviru dravnih institucija, kompanija i obra-
zovnih institucija irom sveta. Uprkos naporima struaka za bezbednost,
informacije su ipak svugde raive, a obmaivai e ih i dae smatrati
poenim metama, sve dok se najslabija karika u lancu obezbeea
udski inilac ne ojaa.
Sada, vie nego ikada ranije, moramo nauiti da raskrstimo s pustim
eama i postanemo svesniji metoda zlonamernika, koji pokuavaju da
narue poverivost, integritet i dostupnost raunarskih sistema i mrea.
Bili smo primorani da prihvatimo opreznu vou; vreme je da prihvatimo
i nauimo oprezan rad na raunaru.
Preta da e neko naruiti vau privatnost ili informacioni sistem vae
kompanije moda se ne ini stvarnom dok se napad zaista ne dogodi. Da
bismo izbegli tako skupo otreee, moramo svi postati svesniji, obrazo-
vaniji, oprezniji; moramo agresivno tititi vredne poslovne informacije,
line podatke, i najbitniju infrastrukturu. Te mere opreza moramo poeti
da sprovodimo danas.
TERORISTI I OBMANA
Naravno, prevara nije jedino sredstvo obmaivaa. Fiziki terorizam je
najvea vest u medijima, te smo shvatili, kao nikada ranije, da je svet
opasan. Civilizovanost je, ipak, samo prividan sjaj.
Nedavno pojaani napori amerike vlade podigli su i nivo nae svesti o
bezbednosti. Moramo biti u stau pripravnosti i razumeti kako teroristi
podlo meaju identitet, preuzimaju ulogu studenata i suseda, i stapaju se u
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 10 str.
10
D
e
o
1
:
I
z
a
k
u
l
i
s
a
masu. Prikrivaju svoja prava uverea dok kuju planove protiv nas; tako ko-
riste trikove obmane sline onima o kojima ete itati na ovim stranicama.
Koliko ja znam, teroristi jo nisu primenili lukavstva obmane kako bi se
uvukli u firme, postrojea za navodavae, elektrane ili druge najbitnije
delove nae nacionalne infrastrukture, ali mogunost postoji. Sasvim je la-
ko. Nadam se da e ova kiga poeti da utie na podizae svesti o bez-
bednosti na vii nivo, te da e rukovodstva kompanija insistirati da se u
bezbednosnom sistemu primene opisane procedure.
O OVOJ KNJIZI
Bezbednost preduzea je pitae ravnotee. Usled suvie slabe zatite,
kompanija postaje raiva, ali i preterano naglaavae bezbednosti smeta
pri poslovau koi rast i prosperitet preduzea. Izazov je nai ravnoteu
izmeu bezbednosti i produktivnosti.
Druge kige o bezbednosti kompanija usredsreuju se na hardversku i
softversku tehnologiju, a ne bave se u odgovarajuoj meri najozbinijom
pretom od svih: obmaivaem udi. Ci ove kige je da objasni kako
ste vi, vai saradnici i ostali zaposleni u vaoj kompaniji predmet manipu-
lacije i da informie o bedemima koje moete podii da biste prestali da
budete rtva. Kiga se uglavnom usredsreuje na ne-tehnike metode
koje uezi koriste da bi ukrali informacije, ugrozili celovitost podataka za
koje se veruje da su bezbedni, ili unitili neki proizvod kompanije.
Moj zadatak oteava jednostavna istina: svakog itaoca su ve prevarili
najvei struaci svih vremena iz oblasti obmane egovi roditei. Nali
su naina da vas privole, za sopstveno dobro, da inite ono to su oni
smatrali najboim. Roditei, odlini manipulatori, postupaju kao profe-
sionalni obmaivai koji izmiaju vrlo uverive prie, razloge i oprav-
daa za dostizae sopstvenih cieva. Da, nas su oblikovali roditei, koji
nas dobronamerno (a ponekad i ne tako dobronamerno) obmauju.
Budui da smo vaspitavani uz obmane, postali smo podloni manipu-
laciji. iveli bismo drugaije da smo stalno morali da budemo na oprezu,
nepoverivi prema drugima i zabrinuti da bismo mogli postati naivna
meta nekoga ko pokuava da nas iskoristi. U savrenom svetu podrazume-
valo bi se da verujemo drugima, uvereni da su udi koje sreemo iskreni i
da im se moe verovati. Ali ne ivimo u savrenom svetu, pa moramo da
uvebavamo odreene mere opreza kako bismo spreili pokuaje nepri-
jatea da nas prevare.
UMOB
, November 4, 2003 10:05 am
01_UMOB.slog, 11 str.
11
P
o
g
l
a
v
l
j
e
1
:
N
a
j
s
l
a
b
i
j
a
t
a
k
a
b
e
z
b
e
d
n
o
s
n
o
g
s
i
s
t
e
m
a
Glavne delove ove kige, drugi i trei, saiavaju prie o obmani na
delu. U tim delovima bie rei o sledeem:
O onome to su telefonski prevaranti otkrili pre vie godina: kako od
telefonske kompanije dobiti broj koji ne postoji u imeniku.
O nekoliko razliitih metoda koje napadai primeuju da bi naveli
ak i oprezne, sumiave slubenike da im obelodane svoja kori-
snika imena i lozinke.
O tome kako je jedan upravnik raunarskog centra saraivao s
napadaem i omoguio mu da ukrade informacije o najpoverivijem
proizvodu egovog preduzea.
O postupcima kojima je slubenica navedena da uita softver koji
pijunira svaki en pritisak na taster i elektronskom potom ae
izvetaje napadau.
O tome kako privatni istraitei dolaze do informacija o preduze-
ima i pojedincima, od ega ete se, u to budite uvereni, najeiti.
Dok budete itali neke od pria u drugom i treem delu, moda ete
pomisliti da nisu mogue, da niko ne moe tako lagati, koristiti se pra-
vim trikovima i spletkama. Sutina je da se opisani dogaaji mogu odigrati
i zaista se deavaju; mnogi od ih se svakodnevno zbivaju negde u svetu, a
moda ak i u vaem preduzeu dok itate ovu kigu.
Ova kiga e vam zaista otvoriti oi kad je u pitau zatita poslovaa.
Nauie vas da se branite od obmane na linom planu, da biste zatitili in-
tegritet informacija u privatnom ivotu.
U etvrtom delu kige prei emo na praktine teme. Moj ci je da
vam pomognem da napravite neophodne poslovne pravilnike i podignete
nivo svesti slubenika, kako biste na najmau moguu meru sveli mogu-
nost da va zaposleni bude obmanut. Razumevae strategija, metoda i tak-
tike obmane pripremie vas da upotrebite razumna sredstva za zatitu
informacija, ne dovodei u pitae produktivnost kompanije.
Ukratko, napisao sam ovu kigu da bih podigao nivo svesti o ozbinoj
preti koju obmaivae predstava, kako biste mogli da obezbedite fir-
mu i zaposlene i budete sigurni da vas niko ne moe obmanuti.
Ili bi moda trebalo da kaem da je mnogo mae verovatno da e vas
ikada ponovo
obmanuti.
2
deo
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 13 str.
Umee
napadaa
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 15 str.
2
poglavlje
Kada bezazlena
informacija nije
tako bezazlena
ta veina udi smatra pravom pretom obmane? ta bi vaalo
uiniti da biste bili na oprezu?
Ako je ci napadaa da se domogne neeg veoma vrednog recimo,
izuzetno vane komponente intelektualnog vlasnitva kompanije onda je
moda, figurativno govorei, potreban samo vri sef i jae naoruano
obezbeee. Je li tako?
Naruavae bezbednosnog sistema preduzea, zapravo, obino zapo-
ie tako to se negativac domogne neke informacije ili dokumenta koji
se ine toliko bezazlenim, svakodnevnim i nevanim, da mnogi zaposleni
u organizaciji ne vide zato bi bili zatieni i poverivi.
SKRIVENA VREDNOST INFORMACIJA
Obmaiva smatra veinu naoko bezazlenih informacija vrednim, jer
mogu igrati odluujuu ulogu u egovim pokuajima da se zaodene
velom uverivosti.
Na stranicama koje slede, pokazau vam tehnike obmane tako to u
vam omoguiti da i sami prisustvujete napadima. Ponekad u prikazivati
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 16 str.
16
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
dogaaje iz ugla rtve, pa ete moi da se poistovetite s om i ocenite
kako biste vi (ili moda neko od saradnika ili zaposlenih) reagovali u datoj
situaciji. Veinu tih dogaaja posmatraete i iz ugla napadaa.
U prvoj prii re je o raivosti finansijskog poslovaa.
CREDITCHEX
Britanci su dugo imali veoma krut bankarski sistem. Kao obian, poten
graanin niste mogli da uete u banku i otvorite raun. Ne, banka bi raz-
motrila va zahtev tek kad bi vam ihov pouzdan klijent dao preporuku.
Sasvim je razliito, naravno, prividno otvoreno savremeno bankarstvo.
Lakoa s kojom se u danae moderno vreme posluje, najboe se oituje
u prijateskoj, demokratskoj Americi, gde gotovo svako moe ui u banku
i lako otvoriti tekui raun, je li tako? Pa, ne ba. Banke nerado otvaraju
raune onima koji su moda ranije ispisivali ekove bez pokria, to je i
razumivo u banci je ek bez pokria isto toliko dobrodoao kao i prija-
va zbog pake banke ili optuba za proneveru. Stoga je u svakoj banci
standardna procedura da se brzo proveri novi klijent.
Jedna od glavnih kompanija koju banke unajmuju radi ovakvih infor-
macija jeste CreditChex. Oni svojim klijentima obezbeuju dragocene
usluge, ali poput mnogih preduzea, mogu nesvesno pruiti zgodne usluge
i obmaivaima, koji znaju kako do ih da dou.
Prvi poziv: Kim Endrjuz
Nacionalna banka, Kim je kraj telefona. Da li biste eleli da
otvorite raun?
Zdravo, Kim. Hteo bih neto da vas pitam. Da li vi koristite
usluge firme CreditChex?
Da.
Kad im telefonirate, kako zovete broj koji im saoptite je li to
Identifikacioni broj filijale?
Usledila je stanka; razmatrala je zahtev, pitajui se o emu se
radi i da li treba da odgovori.
Sagovornik je brzo nastavio, ne trepnuvi.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 17 str.
17
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
Vidite, Kim, ja piem kigu o privatnim istraiteima.
Da, ree, odgovarajui na pitae s novosteenom sigurnou,
zadovona to pomae piscu.
Dakle, to se zove identifikacioni broj filijale, je li tako?
A-ha.
Dobro, sjajno. Hteo sam da budem siguran da je to pravi
izraz. Za kigu. Hvala vam na pomoi. Do viea, Kim.
Drugi poziv: Kris Talbert
Nacionalna banka, odsek za nove raune, Kris je kraj telefona.
Zdravo, Kris. Ovde Aleks, ree glas iz slualice. Ja sam iz
odeea za korisnike usluge firme CreditChex. Sprovo-
dimo anketu da bismo poboali uslugu. Moete li da mi
posvetite nekoliko minuta?
Pristala je, pa je nastavio.
U koje vreme je va ogranak otvoren za klijente? Odgovorila
je, i nastavila da odgovara na niz egovih pitaa.
Koliko zaposlenih u vaem ogranku koristi nae usluge?
Koliko esto nam upuujete zahteve?
Koje od naih besplatnih brojeva smo vam dodelili?
Jesu li nai slubenici uvek ubazni?
Koliko brzo reagujemo na vae zahteve?
Koliko dugo radite u ovoj banci?
Koji identifikacioni broj filijale trenutno koristite?
Da li ste ikada naili na nedoslednosti u informacijama koje
smo vam obezbedili?
Kako biste unapredili nau uslugu?
Da li biste popunili upitnike koje bismo poslali vaem
ogranku?
Ona se s tim sloila, jo malo su proaskali, potom je on spu-
stio slualicu, a Kris se vratila svom poslu.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 18 str.
18
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
Trei poziv: Henri Mekinsi
CreditChex, ovde Henri Mekinsi. ta mogu da uinim za vas?
Osoba s druge strane ice predstavila se kao slubenik Nacio-
nalne banke. Dao mu je odgovarajui identifikacioni broj fili-
jale, a potom ime i broj socijalnog osiguraa osobe o kojoj
su mu trebali podaci. Henri je pitao za datum roea, a on
mu je i to rekao.
Nakon nekoliko trenutaka, Henri je proitao podatke koji su mu
se pojavili na ekranu.
Vels Fargo, ispisao je ekove bez pokria 1998. godine, jed-
nom, na sumu od 2066 dolara. ek bez pokria je poznat
bankarski izraz za ekove koji su upotrebeni kad na raunu
nema dovono novca da ispisani iznos pokrije.
Da li je kasnije bilo neeg slinog?
Ne.
Je li bilo drugih provera?
Da vidimo. Da, dvaput, i to oba puta prolog meseca. Zahteve
su uputili Third United Credit Union iz ikaga i Schenectady
Mutual Investments. Spetao se pri potoem nazivu, pa je
morao da izgovori slovo po slovo. Ovi drugi su iz drave
Njujork, dodao je.
Kako radi privatni istraite
Sva tri puta poziv je uputila ista osoba: privatni istraite kojeg emo zvati
Oskar Grejs. Grejs je imao novog klijenta. S obzirom na to da je do pre
nekoliko meseci bio policajac, ustanovio je da mu ovaj novi posao lei, ali
morao je vie da se potrudi i bude inventivniji. Posao je bio ba izazovan.
Detektivi iz pria Sem Spejd, Filip Marlo i ima slini provodili
su duge none sate u kolima, ekajui da uhvate nevernog suprunika na
delu. I pravi detektivi rade tako. No, oni istrauju za zaraene supruni-
ke i na drugi nain, o kojem se mae pie, a isto toliko je vaan. Ta meto-
da se vie oslaa na vetinu obmane nego na ubijae dosade pri nonom
bdeu.
Oskarov klijent bila je dama koja je, inilo se, imala sasvim pristojan
budet za odeu i nakit. Jednog dana je uetala u egovu kancelariju i sela
na konu stolicu, jedinu na kojoj nisu bili naslagani papiri. Smestila je svoju
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 19 str.
19
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
veliku tanu marke Gui na egov radni sto s logotipom okrenutim prema
emu, i izjavila da planira da trai razvod od mua, ali je priznala da postoji
jedan mali problem.
inilo se da je en mu bio korak ispred. Ve je podigao gotovinu s
ihove tedne kiice, i jo veu sumu s bankovnog rauna. Htela je da
zna gde je skrivena ihova imovina, a en advokat za razvod uopte joj
nije bio od pomoi. Grejs je pretpostavao da je advokat jedan od onih
uspenih savetnika iz boe gradske etvrti, te da nee da pra ruke u po-
trazi za novcem.
Da li Grejs moe da pomogne?
Uverio ju je da nema nikakvih problema, rekao joj cenu, saoptio da e
trokovi biti naplaeni posebno i uzeo ek s prvim delom iznosa.
Tek potom se suoio s problemom. ta uiniti ako se nikad ranije niste
sreli sa slinim problemom i zapravo ne znate odakle da ponete da biste
utvrdili kuda je novac nestao? Krenete korak po korak. Evo Grejsove prie,
onako kako nam je ispriao na izvor.
Znao sam za CreditChex i nain na koji banke koriste tu organizaciju
moja biva ena je nekad radila u banci. Ali nisam znao terminologiju i
procedure, a da sam pitao svoju bivu enu, samo bih izgubio vreme.
Prvi korak: nauite pravilno terminologiju. Kad traite informacije, tru-
dite se da zvuite kao da znate o emu priate. U prvoj banci koju sam naz-
vao, prva gospoica, Kim, bila je podozriva kad sam je upitao kako se
identifikuju kad pozovu CreditChex. Oklevala je; nije znala da li da mi
kae ili ne. Da li je to osujetilo moje namere? Nimalo. Zapravo, eno okle-
vae bilo je za mene vaan signal da treba da pruim verodostojno obra-
zloee. Kad sam joj rekao da istraujem za kigu, prestala je da bude
sumiava. Samo kaete da ste pisac ili scenarista, i svi vam jedu iz ruke.
Imala je ona i druge informacije koje bi mi bile korisne poput poda-
taka koje CreditChex zahteva radi identifikacije osobe koju proveravate,
ta smete da ih pitate, i najvanije, koji je identifikacioni broj ene filijale.
Tako sam hteo da je ispitam, kad me je eno oklevae upozorilo da ne
sram. Poverovala je u priu o istraivau za kigu, ali je prethodno bila
dosta sumiava. Da je od samog poetka bila otvorenija, zatraio bih od
e jo detaa o bankarskim procedurama.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 20 str.
20
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
Morate se voditi instinktom, i sluati paivo ta rtva govori i kako
to izgovara. Ova mi je dama zvuala dovono pametno verovatno bi se
oglasio alarm da sam nastavio da joj postavam suvie neobinih pitaa.
Iako nije znala ko sam, niti s kog broja zovem, u ovom poslu nikako ne
elite da se prouje da neko zove kako bi dobio informacije o poslovau
pa treba biti na oprezu. Razlog je to ne elite da vam se izvor ugasi mo-
da ete ponovo morati da pozovete istu kancelariju neki drugi put.
Uvek obraam pau na male signale. Pomou ih proceujem koli-
ko je osoba spremna za saradu, u opsegu od: Zvui kao prijatna osoba
i sve ti verujem do: Zovite policiju, obavestite Nacionalnu gardu, ovaj
neto gadno smera.
Ocenio sam da je Kim pomalo napeta, pa sam zato pozvao nekoga iz
drugog ogranka. Tokom drugog razgovora, s Kris, trik s anketom upalio je iz
prve. Ovde je taktika da se vana pitaa ubace izmeu nebitnih koja stvara-
ju oseaj uverivosti. Pre nego to sam je pitao o identifikacionom broju i-
hove filijale kod firme CreditChex, testirao sam je u posledem trenutku
postavivi joj pitae line prirode o tome koliko dugo radi u banci.
Pitae line prirode je poput nagazne mine neki ga prekorae nita
ne primetivi, dok drugima eksplodira pa se brzo povuku na sigurno. Dak-
le, ako joj postavim takvo pitae i ona odgovori, a ne promeni ton, to
znai da verovatno nije sumiava. Slobodno mogu da postavim kuno
pitae. Nee posumati i najverovatnije e odgovoriti.
Evo jo neega to dobar privatni istraite zna: nikada ne prekidajte
razgovor nakon to se domognete kune informacije. Postavite jo dva-tri
pitaa, malo proaskajte, i tek onda moete prekinuti. Kasnije e se rtva
verovatno setiti nekoliko posledih pitaa ako se iega seti. Ostalo se
uglavnom zaborava.
RTVA Re je o prevarenoj osobi.
UGASITI IZVOR (engl. burn the source) Kae se da je napada
ugasio izvor kad dozvoli da rtva prepozna da je re o napadu. Kad
rtva postane svesna napada i o tome obavesti ostale zaposlene i
rukovodstvo, izuzetno je teko ponovo upotrebiti isti izvor u buduim
napadima.
terminologija
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 21 str.
21
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
I tako mi je Kris dala identifikacioni broj ihove filijale, kao i telefon-
ski broj koji zovu kad proveravaju potencijalne klijente. Bio bih sreniji da
sam uspeo da je pitam koliko podataka se moe traiti od firme Credit-
Chex, ali sam smatrao da je boe da ne preterujem.
Bilo je to kao da imam neispuen ek kod firme CreditChex. Mogao
sam ih nazvati i dobiti informacije kad god sam eleo. Nisam ak ni morao
da platim za tu uslugu. Kako se ispostavilo, slubenik kompanije Credit-
Chex rado mi je dao upravo one podatke koje sam traio: dve banke kod
kojih je mu moje klijentie nedavno predao molbu da mu se otvori
raun. Pa, gde je bio novac koji trai egova ena, koja e mu uskoro
postati biva? Gde drugde nego u bankama koje je momak iz kompanije
CreditChex naveo.
Analiza prevare
itava ova prevara zasnovana je na jednoj od osnovnih taktika obma-
ivaa: na pristupu informacijama koje zaposleni pogreno smatraju
bezazlenima.
Prva slubenica je potvrdila termin za broj koji se koristi kad se zove
CreditChex: identifikacioni broj filijale. Druga je obelodanila telefonski
broj na koji se zove CreditChex, kao i najbitniju informaciju, identifika-
cioni broj te banke. inilo se da su joj svi ti podaci potpuno bezazleni. Na
kraju krajeva, ona je mislila da razgovara s nekim iz kompanije Credit-
Chex, pa ta kodi ako im se kae broj?
Sve ovo je bilo samo priprema za trei poziv. Grejs je imao sve to mu
treba da bi telefonirao firmi CreditChex, predstavio se kao slubenik jedne
od banaka s kojom sarauju, Nacionalne banke, i zatraio eene infor-
macije.
Grejs je bio vet u krai informacija poput nekog prevaranta koji lako
izmami novac, a imao je i pravog talenta da oceni ude. Znao je da ku-
na pitaa vaa smestiti izmeu nebitnih. Znao je da e pitaem line pri-
rode utvrditi koliko je druga slubenica spremna za saradu, pre nego to
ju je nevino upitao za identifikacioni broj filijale.
Da prva slubenica nije potvrdila izraz za broj koji se koristi pri proveri
kod firme CreditChex, bilo bi gotovo nemogue nastaviti. Taj podatak je
toliko rasprostraen u bankarstvu, da se ini nevanim to je upravo
klasian primer naoko bezazlene informacije. Ali druga slubenica, Kris,
nije trebalo tako olako da odgovara na pitaa, a da prethodno ne proveri
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 22 str.
22
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
da li je sagovornik onaj za koga se izdaje. Trebalo je, u najmau ruku, da
zapie egovo ime i telefonski broj i da ga ona pozove. Ako bi se kasnije
pojavio problem, mogla je imati podatak o tome s kog je telefona osoba
zvala. U tom sluaju bi napadau bilo mnogo tee da se lano predstavi
kao slubenik firme CreditChex.
poruka
mitnikova
Identifikacioni broj filijale je u ovom sluaju isto to i lozinka. Kad bi se
osobe banke prema emu odnosilo kao prema PIN kodu za bankomate,
moda bi shvatili koliko je takva informacija poveriva. Da li i u vaoj orga-
nizaciji postoji interni kd ili broj kojem osobe ne pridaje dovono znaaja?
Jo boe bi bilo da je slubenica pozvala CreditChex koristei broj
kojim se banka inae slui a ne broj koji bi joj sagovornik eventualno dao
kako bi se uverila da on zaista radi u pomenutoj kompaniji, i da oni uisti-
nu sprovode anketu meu svojim klijentima. Meutim, kada se uzme u
obzir da se danas, u realnom svetu, radi toliko da niko nema vika vremena,
previe bi bilo oekivati poziv radi provere, osim u sluaju da zaposleni po-
suma da je u pitau napad.
ZAMKA ZA INENJERE
Svi znaju da agencije za zapoavae koriste metode obmaivaa kako
bi vrbovali talentovane kandidate. Evo primera kako se to radi.
Krajem devedesetih, jedna agencija za zapoavae, koja ba i ne dri
do etike, potpisala je ugovor s novim klijentom, kompanijom koja trai
ineere elektrotehnike s iskustvom u telekomunikacijama. Voa projek-
ta bila je dama obdarena dubokim, seksi glasom koji je nauila da iskoristi
da bi brzo uspostavila poveree i prisnost preko telefona.
Odluila je da izvri pohod na davaoca usluga mobilne telefonije, da
vidi moe li tamo nai neke ineere koji bi se nali u iskueu da preu
na drugu stranu, kod konkurencije. Naravno, nije mogla da pozove
centralu i kae: Spojite me sa svakim ko ima pet godina ineerskog
iskustva. Umesto toga, iz razloga koji e uskoro postati jasni, zapoela je
potragu za talentovanim osobem tako to je zatraila jedan podatak koji
naizgled nije uopte bitan, i koji slubenici te kompanije daju gotovo sva-
kom ko ga zatrai.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 23 str.
23
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
Prvi poziv: prijemno odeee
Napada, predstavajui se kao Didi Sends, poziva upravu
kompanije za telekomunikacione usluge. Evo kako je razgovor
tekao.
Slubenica prijemnog odeea
: Dobar dan. Ovde Meri, ta
mogu da uinim za vas?
Didi
: Moete li me spojiti s odeeem za transport?
S:
Nisam sigurna da li tako neto kod nas postoji. Pogledau u
imeniku. Ko zove?
D:
Didi.
S:
Jeste li u zgradi, ili?
D:
Ne, van zgrade sam.
S:
Kako se prezivate?
D:
Sends. Didi Sends. Imala sam lokal transportnog odeea,
ali sam ga zaboravila.
S:
Trenutak.
Da bi odagnala sumu, Didi je nonalantno, radi same kon-
verzacije, postavila pitae osmieno tako da sagovornika
uveri da je ona domaa, da poznaje firmu.
D:
U kojoj se vi zgradi nalazite u Lejkvjuu ili u centrali?
S:
U centrali. (
stanka
) Broj je 805 555 6469.
Da bi obezbedila rezervu u sluaju da putem poziva transport-
nom odeeu ne dobije ono to joj treba, Didi je takoe
zatraila da razgovara s odeeem za nekretnine. Slubenica
joj je dala i taj broj. Kad je Didi zamolila da je spoji s transport-
nim odeeem, ova je to pokuala, ali je veza bila zauzeta.
Tada je Didi zamolila da joj da
trei
telefonski broj, broj ode-
ea za platni promet, smeten u prostorijama firme u Ostinu
u Teksasu. Slubenica ju je zamolila da malo saeka i za tre-
nutak spustila slualicu. Da li je javila obezbeeu da ima
sumiv telefonski poziv i da misli da je u pitau prevara? Ni
sluajno. A ni Didi se nije nimalo brinula. Bila je malo dosadna,
ali je to slubenici bio deo obinog radnog dana. Proao je
otprilike minut, a potom je slubenica ponovo uzela vezu,
pogledala broj odeea za platni promet, pokuala da dobije
vezu i spojila Didi s ima.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 24 str.
24
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
Drugi poziv: Pegi
Sledei poziv je tekao ovako:
Pegi:
Odeee za platni promet, ovde Pegi.
Didi:
Zdravo, Pegi. Ovde Didi iz Tauzend Ouksa.
P:
Zdravo, Didi.
D:
Kako si?
P:
Dobro.
Didi je potom upotrebila poznat izraz za kd kojim se trokovi
dodeuju budetu odreene organizacije ili radne grupe:
D:
Odlino. Kai mi kako da doem do konta za neko
odeee.
P:
Mora se obratiti analitiaru budeta tog odeea.
D:
Zna li ko analizira budet za Tauzend Ouks za upravu?
Pokuavam da ispunim neki obrazac, a ne znam odgovara-
jui konto.
P:
Ja samo znam da onaj kome treba konto zove svog anali-
tiara budeta.
D:
Ima li ti konto svog odseka tu u Teksasu?
P:
Mi imamo svoj konto, ali nam ne daju itav spisak.
D:
Koliko cifara ima? Na primer, koji je va konto?
P:
ekaj, jesi li ti u okviru 9WC ili SAT?
Didi nije imala pojma na koje se odseke ili odeea te skrae-
nice odnose, ali nije bilo ni vano. Odgovorila je:
D:
9WC.
P:
Onda obino ima etiri cifre. Gde ree da radi?
D:
U upravi u Tauzend Ouksu.
P:
Da, evo konta za Tauzend Ouks. 1A5N, N kao Nensi.
Zahvaujui tome to je provela dovono dugo vremena s
nekim ko je spreman da pomogne, Didi je dobila konto koji joj
je bio potreban. A to je jedan od onih podataka koje niko i ne
pomisli da zatiti, jer se ini kao neto to udima van firme ne
moe biti ni najmae vano.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 25 str.
25
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
Trei poziv: koristan pogrean broj
Sledei Didin zadatak bio je da pretvori dobijeni konto u neto
zaista vredno, poput etona za poker.
Otpoela je nazvavi odeee za nekretnine, pretvarajui se
da je dobila pogrean broj. Prvo je rekla: Izvinite to smetam,
ali, a potom izdeklamovala da je koleginica koja je izgubila
telefonski imenik kompanije i pitala koga treba da zove da bi
dobila nov. Muki glas je odgovorio da je tampana verzija
zastarela, jer se imenik moe nai na intranetu.
Didi odvrati da vie voli da koristi tampanu verziju, a on joj na
to ree da pozove Izdavatvo. Potom je ubazno potraio ihov
broj i dao joj ga, a da ga ona to nije ni zamolila moda samo
da bi malo due razgovarao s damom takvog glasa.
etvrti poziv: Bart u Izdavatvu
Nazvavi Izdavatvo, razgovarala je s ovekom po imenu Bart.
Rekla je da radi u Tauzend Ouksu i da imaju novog savetnika
kojem treba tampana kopija telefonskog imenika kompanije.
Rekla je da savetniku tako vie odgovara, bez obzira na to to
je tampana verzija unekoliko zastarela. Bart joj ree da mora
da ispuni obrazac za trebovae i poae ga emu.
Didi odvrati da joj je nestalo obrazaca i da je u guvi, i zamolila
ga da bude tako dobar i ispuni ga umesto e. Pristao je,
nekako isuvie odueveno, a potom mu je Didi izdiktirala
pojedine podatke. to se tie adrese izmienog savetnika,
otegnuto je izdiktirala neto to se u svetu obmane naziva
lana adresa. U ovom sluaju, navela je adresu firme Mail
Boxes Etc., kod koje je ena kompanija iznajmivala potan-
ske sanduie upravo za ovakve prilike.
Prethodni trud se sada isplatio. Slae imenika se naplauje.
U redu Didi mu je dala konto za Tauzend Ouks:
1A5N, N kao Nensi.
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 26 str.
26
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
Nakon nekoliko dana, kad je telefonski imenik kompanije sti-
gao, Didi je shvatila da joj se trud jo vie isplatio nego to je
oekivala u emu se nisu nalazili samo puki spiskovi imena i
telefonskih brojeva, ve je bilo prikazano i ko za koga radi,
dakle poslovna struktura itave organizacije.
Dama promuklog glasa bila je spremna da telefonom vrbuje
kadar. Na prevaru je dola do informacija neophodnih da bi
otpoela s napadom, i to sve zahvaujui svom talentu za
ophoee s udima, koji svaki obmaiva mora da dovede do
perfekcije. Sad je mogla da ubere plodove svog rada.
Analiza prevare
Ovu obmanu Didi je poela tako to je nabavila brojeve tri odeea u
cinoj kompaniji. To je bilo lako, jer brojevi koje je traila nisu tajna, a
pogotovo zaposlenima. Obmaiva naui da zvui kao domai, a Didi
je bila spretna u toj igri. Pomou jednog od tih telefonskih brojeva dola je
do kontnog broja, koji je potom upotrebila kako bi se domogla primerka
firminog telefonskog imenika zaposlenih.
Bilo je potrebno: da zvui prijateski, da koristi odreene poslovne
izraze, i, kod poslede rtve, da ubaci malo verbalnog koketiraa.
Neophodno joj je bilo jo neto to se ne stie lako vetina manipula-
cije, dovedena do visokog nivoa kroz dugu praksu, kao i samouverenost.
poruka
mitnikova
Ba kao i delii slagalice, svaka informacija ponaosob moe biti nebitna.
Meutim, kad se delovi slagalice spoje, dobija se jasna slika. U ovom sluaju,
slika koju je manipulator video bila je itava interna struktura kompanije.
LANA ADRESA (engl. mail drop) U obmaivau, to je izraz za
privremeni potanski fah, uglavnom pod lanim imenom, koji slui da
u ega stiu dokumenta ili paketi koje rtve na prevaru poau.
terminologija
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 27 str.
27
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
JO NEKE BEZVREDNE INFORMACIJE
Osim kontnog broja i internih telefonskih lokala, koje jo naizgled bez-
vredne informacije mogu biti izuzetno vane vaem neprijateu?
Telefonski poziv za Pitera Ejblsa
Zdravo, kae glas s druge strane ice. Ovde Tom iz kompa-
nije Parkharst Trevl. Vae karte za San Francisko su spremne.
Hoete li da vam ih dostavimo, ili ete sami doi po ih?
Za San Francisko? pita Piter. Ja ne putujem u San Francisko.
Da li je to Piter Ejbls?
Da, ali ja ne planiram da putujem.
E pa, kae sagovornik prijazno se nasmejavi, jeste li sigurni
da ne elite da odete u San Francisko?
Ako mislite da moete nagovoriti mog efa odvraa Piter,
nastavajui ovaj prijateski razgovor.
Ovo je izgleda zabuna, kae sagovornik. U naem sistemu
rezerviemo putovaa pod brojem zaposlenih. Moda je
neko dao pogrean broj. Koji je va broj?
Piter mu posluno izdeklamuje broj. A zato da ne? Taj broj se
upisuje na gotovo svaki kadrovski obrazac, i mnogi iz kompa-
nije mu imaju pristup kadrovsko odeee, obraunsko ode-
ee i, oigledno, ova turistika agencija. Niko ne smatra broj
zaposlenog tajnom. Kakve ima veze?
Nije teko proniknuti u odgovor. Moda su za efektno prerua-
vae, odnosno napadaevo preuzimae tueg identiteta,
potrebna samo dva-tri podatka. Ako se domogne imena slu-
benika, egovog telefonskog broja, broja zaposlenog i, bilo bi
dobro, imena i telefonskog broja egovog nadreenog, ak i
mae uspean obmaiva imae gotovo sve to mu je obino
potrebno da zvui uverivo sledeoj rtvi koju pozove.
Da je neko ko se predstavio da radi u drugom odeeu vae
firme jue nazvao, dao vam neki verodostojan razlog i zatraio
va broj zaposlenog, da li biste mu ga nerado dali?
Uzgred budi reeno, koji je va matini broj?
UMOB
, November 4, 2003 10:07 am
02_UMOB.slog, 28 str.
28
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
poruka
mitnikova
Pouka prie je ta da ne treba obelodaivati line podatke niti interne kompa-
nijske informacije ili ifre nikome, ukoliko glas sagovornika ne zvui poznato
ili niste sigurni da li ima pravo da ih zatrai.
SPREAVANJE PREVARE
Kompanija mora objasniti zaposlenima da moe doi do ozbinih posledi-
ca ako se s informacijama, koje nisu javne prirode, ne postupa na pravi
nain. Dobro osmiena politika zatite informacija, zajedno sa odgovara-
juim obrazovaem i uvebavaem, naglo e podii na vii nivo svest
zaposlenih o tome kako se vaa odnositi prema poslovnim informacijama
u okviru kompanije. Klasifikacija podataka pomoi e vam da primenite
odgovarajua pravila kad je u pitau ihovo obelodaivae. Ako takva
klasifikacija ne postoji, svi interni podaci moraju se smatrati poverivima,
ukoliko nije drugaije odreeno.
Preduzmite sledee korake da biste zatitili svoju kompaniju od oda-
vaa naizgled bezazlenih informacija:
Odeee za bezbednost informacija treba da sprovede obuku s ciem
da do pojedinosti razjasne metode obmaivaa. Jedna od metoda,
kao to smo ranije opisali, jeste da se doe do naizgled beznaajnog
podatka, te da se on kasnije upotrebi kao eton za poker kako bi se
uspostavilo kratkotrajno poveree. Svaki zaposleni mora znati da
poznavae kompanijske procedure, terminologije i internih kodova,
ni u kom sluaju nije dovono za identifikaciju sagovornika, niti mu
daje pravo da zahteva podatke. Sagovornik moe biti i bivi zaposleni
ili radnik po ugovoru koji ima potrebne interne informacije. Shodno
tome, svaka firma mora da utvrdi odgovarajue metode identifikacije
koje se primeuju kad zaposleni stupe u kontakt s udima koje lino
ne poznaju ili s ima razgovaraju telefonom.
Osoba ili osobe koje imaju ulogu i odgovornost da osmisle klasifika-
ciju podataka treba da razmotre tipove pojedinosti koje se mogu upo-
trebiti da bi se dolo do poverivih informacija, a koje se zaposlenima
UMOB, November 4, 2003 10:07 am
02_UMOB.slog, 29 str.
29
P
o
g
l
a
v
l
j
e
2
:
K
a
d
a
b
e
z
a
z
l
e
n
a
i
n
f
o
r
m
a
c
i
j
a
n
i
j
e
t
a
k
o
b
e
z
a
z
l
e
n
a
ine bezazlene. Iako nikada ne biste otkrili ifru kreditne kartice, da li
biste ikome rekli koji server koristite za razvoj kompanijskog softvera?
Da li bi tu informaciju mogao upotrebiti prevarant koji se izdaje za
osobu kojoj je odobren pristup kompanijskoj mrei?
Zahvaujui pukom poznavau interne terminologije, ponekad
napada ostava utisak autoritativne osobe koja se razume u posao.
Zahvaujui uvreenom povereu u siguran nastup, prevarant esto
svojim nastupom nagovori rtvu da s im sarauje. Na primer,
identifikacioni broj filijale je izraz koji osobe u odeeu za nove
raune banke nonalantno koristi svakog dana. Ali takav identifika-
tor je potpuno isto to i lozinka. Kad bi svaki zaposleni shvatio
egov znaaj to da se koristi kako bi se podnosilac molbe identi-
fikovao moda bi se prema emu odnosili s vie potovaa.
Nijedna kompanija, ili bar veoma malo ih, ne daje direktne telefon-
ske brojeve svojih generalnih direktora ili lanova upravnog odbora.
Ipak, u najveem broju kompanija se i ne razmia o davau tele-
fonskih brojeva veine odeea i radnih grupa u okviru organizacije
a pogotovo nekome ko je zaposlen ili se tako predstava. Mogua
protivmera bila bi da se uvede zabrana davaa internih telefonskih
brojeva zaposlenih, radnika po ugovoru, savetnika i probnih radnika
bilo kome van firme. to je jo vanije, vaa osmisliti proceduru koja
se sastoji iz vie koraka, a kojom bi se tano mogao utvrditi identitet
sagovornika koji trai telefonske brojeve.
poruka
mitnikova
Kako kae stara izreka ak i pravi paranoici verovatno imaju neprijatee.
Pretpostaviemo da i svaka firma ima svoje neprijatee napadae koji ciaju
na mrenu infrastrukturu da bi ugrozili poslovne tajne. Ne dozvolite da i vi
zavrite kao statistiki podatak o raunarskom kriminalu. Kraje je vreme da
podignete neophodne bedeme tako to ete primeniti odgovarajue, dobro
osmiene bezbednosne pravilnike i procedure.
Brojevi rauna radnih grupa i odeea, kao i primerci telefonskih
imenika kompanija (u tampanoj verziji, u vidu datoteke ili kao elek-
tronski imenik na intranetu) esta su meta prevaranata. Neophodno
UMOB, November 4, 2003 10:07 am
02_UMOB.slog, 30 str.
30
D
e
o
2
:
U
m
e
e
n
a
p
a
d
a
a
je da svaka kompanija ima pisani i distribuirani pravilnik o obeloda-
ivau informacija te vrste. U zatitne mere treba uvrstiti i voee
dnevnika u koji bi se zapisivalo odavae poverivih informacija
udima van firme.
Podaci poput broja zaposlenog ne treba da se samostalno koriste za
identifikaciju. Svakog zaposlenog treba obuiti da utvrdi i identitet
onoga ko informaciju trai i zato je trai.
U okviru obuke o zatiti informacija, razmislite o tome da nauite
zaposlene sledeem: kad god im nepoznata osoba postavi pitae ili ih
zamoli za uslugu, prvo treba ubazno da je odbiju dok se zahtev ne
odobri. A potom pre nego to popuste pred prirodnim nagonom da
budu predusretivi neka prate kompanijski pravilnik i procedure u
vezi sa odobravaem i objavivaem informacija koje nisu javne
prirode. To moe biti malo protivno naem prirodnom nagonu da
pomognemo drugima, ali je moda neophodna mala doza zdrave
paranoje da biste izbegli da ba vi upadnete u obmaivaevu zamku.
Kao to smo u priama iz ovog poglava videli, naizgled bezazlene in-
formacije mogu biti ku do najuvanijih tajni vae kompanije.
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 333 str.
Pregled
bezbednosnih metoda
piskovi i dijagrami koji slede ukratko opisuju metode obmane nave-
dene u poglavima od 3 do 15, i postupke provere iz poglava 16.
Prilagodite ove podatke svojoj organizaciji i dajte ih svim radnicima
da bi ih primenili kada se ukae problem bezbednosti informacija.
PREPOZNAVANJE NAPADA
Naredne tabele i spiskovi e vam pomoi da uoite napad sistematskog
obmaivaa.
Ciklus obmane
POSTUPAK OPIS
Istraivae
Ispituju se i podaci iz javnih izvora kao to su godi-
i izvetaji, marketinke broure, prijave patenata,
iseci iz tampe, struni asopisi i Web lokacije.
Tu spada i kopae po smeu.
Razvijae dobrih
odnosa i poverea
Upotreba internih informacija, lano predstavae,
pomiae osoba koje rtva poznaje, molba za
pomo, ili pozivae na autoritet.
s
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 334 str.
334
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Uobiajene metode obmaivaa
Izdavae za kolegu
Izdavae za zaposlenog u firmi dobavaa usluga, partnerskoj firmi,
ili kriminalistikoj slubi
Izdavae za nekog ko je na viem poloaju
Izdavae za novog zaposlenog kome treba pomo
Izdavae za dobavaa usluga ili proizvoaa sistema koji zove da bi
ponudio sistemsku zakrpu ili najnoviju verziju
Nuee pomoi ako bi nastao problem, potom izazivae problema,
ime se rtva navede da od napadaa zatrai pomo
Slae rtvi besplatnog softvera ili zakrpe da ih instalira
Slae virusa ili trojanskog koa u prilogu elektronske poruke
Upotreba lanog okvira za dijalog u kom se od korisnika trai da se
ponovo prijavi za rad ili da ponovo unese lozinku
Snimae rtvinih pritisaka na tastere pomou raunarskog sistema
ili programa
Ostavae na radnom mestu disketa ili kompakt diskova sa zlo-
namernim softverom
Koriee interne terminologije da bi se zadobilo neije poveree
Nuee nagrade da bi se neko registrovao na Web lokaciji pomou
korisnikog imena i lozinke
Ostavae dokumenata ili datoteka u kompanijskoj prostoriji za
potu radi isporuke u kancelarije
Prilagoavae zaglava faksa tako da se ini da je poslat sa interne
lokacije
Umoavae slubenika prijemnog odeea da primi i prosledi faks
Zahtev da se datoteka prosledi do naizgled interne lokacije
Zloupotreba
poverea
Traee informacija ili usluge od rtve. U obrnutoj
aoci, manipulisae rtvom da od napadaa zatrai
pomo.
Upotreba
informacija
Ako su dobijene informacije samo korak do kona-
nog cia, napada pribegava prethodno pomenu-
tim koracima ciklusa dok ne doe do cia.
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 335 str.
335
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Podeavae glasovne pote tako da pozivaoci pomisle da im je napa-
da kolega
Pretvarae napadaa da dolazi iz drugog ogranka preduzea, i tra-
ee da mu se u sistemu preduzea otvori elektronsko sandue.
Znaci koji upozoravaju na mogui napad
Neko odbija da vam kae broj na koji ga moete pozvati
Neobian zahtev
Naglaavae visokog poloaja
Naglaavae hitnosti sluaja
Preta negativnim posledicama u sluaju odbijaa sarade
Nelagodni razgovor pri ispitivau
Pomiae poznatih osoba
Deee komplimenata ili laskae
Flertovae
Uobiajene mete napada
Faktori koji olakavaju napad na kompanije
Velik broj zaposlenih
Vie ogranaka
Podaci o lokaciji zaposlenih u porukama glasovne pote
TIP RTVE PRIMERI
Neko ko nije
svestan znaaja
informacija
Slubenici prijemnih odeea, slubenici na tele-
fonskoj centrali, sekretarice i pomonici, uvari.
Lica s posebnim
ovlaeima
Informatika ili tehnika podrka korisnicima,
administratori raunarskog sistema, raunarski
operateri, administratori telefonskog sistema.
Proizvoai ili
davaoci usluga
Proizvoai raunarskog hardvera i softvera, proi-
zvoai sistema za glasovnu potu.
Posebna odeea
Raunovodstvo, kadrovsko odeee.
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 336 str.
336
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Objavivae broja lokala
Nepostojae bezbednosne obuke
Nepostojae sistema klasifikacije podataka
Nepostojae plana za prijavivae incidenata i reagovae na ih
PROVERA I KLASIFIKACIJA PODATAKA
Ove tabele i blok-dijagrami e vam pomoi da reagujete na traee infor-
macija ili usluga koji mogu biti meta obmaivaa.
Postupak provere identiteta
POSTUPAK OPIS
Identifikacija
poziva
Proverite da li je poziv interni, i da li ime i broj
lokala odgovaraju identitetu sagovornika.
Uzvraae poziva
Potraite ime podnosioca zahteva u kompanijskom
imeniku i pozovite ga na navedeni broj lokala.
Garantovae
Zatraite od poverivog radnika da garantuje za
identitet podnosioca zahteva.
Deena interna
tajna
Zatraite da vam kae tajnu koju deli itavo
preduzee, kao to je lozinka ili dnevni kd.
Nadzornik
ili pretpostaveni
Stupite u vezu s neposrednim pretpostavenim tog
radnika i zatraite da on potvrdi egov identitet i
status u firmi.
Bezbedna elektron-
ska pota
Zatraite da vam poau digitalno potpisanu
poruku.
Lino prepozna-
vae glasa
Ako neki zaposleni lino poznaje onoga za koga se
sagovonik izdaje, pozovite ga da proveri da li je to
egov glas.
Izmenive lozinke
Koristite vremenski eton kao to je Secure ID, ili
neko drugo pouzdano sredstvo za identifikaciju.
Lino
Zatraite od podnosioca zahteva da lino doe sa
propusnicom za zaposlene ili nekim drugim doku-
mentom za identifikaciju.
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 337 str.
337
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Postupak provere statusa zaposlenog
Postupak utvrivaa ovlaea
za posedovae informacija
Kriterijumi za proveru osoba koje nisu
zaposlene u firmi
POSTUPAK OPIS
Provera u kompanijskom
imeniku
Proverite da li se ime zaposlenog nalazi
u imeniku na mrei.
Potvrda od pretpostavenog
podnosioca zahteva
Pozovite egovog pretpostavenog na
broj naveden u kompanijskom imeniku.
Potvrda od odeea ili
radnog tima podnosioca
zahteva
Pozovite odeee ili radni tim podno-
sioca zahteva i proverite da li je jo uvek
zaposlen u firmi.
POSTUPAK OPIS
Pogledajte spisak odgovor-
nosti radnih mesta/timova
Pogledajte objavene spiskove osoba
koje su ovlaene da poseduju odreene
poverive informacije.
Zatraite odobree od svog
pretpostavenog
Pozovite svog pretpostavenog, ili pret-
postavenog podnosioca zahteva, i zatra-
ite odobree da mu ispunite zahtev.
Zatraite odobree od osobe
zaduene za informacije ili
egovog zamenika
Pitajte osobu zaduenu za informacije
da li je podnosilac zahteva ovlaen da
poseduje date podatke.
Proverite ovlaee pomou
automatskog alata
Proverite ovlaea u posebnoj bazi
podataka.
KRITERIJUM POSTUPAK
Odnos
Proverite da li je firma koja podnosi zahtev davalac
usluga, strateki partner, ili neka druga firma koja je u
odgovarajuem odnosu s vaom.
Identitet
Proverite identitet i status zaposlenog u partnerskoj firmi.
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 338 str.
338
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Klasifikacija podataka
uvae tajne
Proverite da li je podnosilac zahteva potpisao ugovor
o uvau poverivih informacija vae firme.
Pristup
Uputite zahtev pretpostavenom kada su podaci kla-
sifikovani kao osetiviji od internih.
KLASIFIKACIJA OPIS POSTUPAK
Javni
Mogu se slobo-
dno saoptavati
u javnosti.
Nema potrebe proveravati.
Interni
Za upotrebu u
okviru firme.
Proverite da li je podnosilac zahteva
i dae zaposlen u vaoj firmi, a ako
nije, da li je potpisao ugovor o uva-
u informacija, i da li ga je ruko-
vodstvo ovlastilo.
Privatni
Podaci line
prirode name-
eni za upotre-
bu iskuivo
u okviru
organizacije.
Proverite da li je podnosilac zahteva
i dae zaposlen u vaoj firmi, a ako
nije, da li je ovlaen da poseduje te
informacije. Proverite sa kadrovskim
odeeem da li smete da saoptite
line podatke ovlaenim zaposleni-
ma ili drugim podnosiocima zahteva.
Poverivi
Znaju ih samo
ona lica u okviru
organizacije
kojima je to
neophodno
za rad.
Kod osobe zaduene za informacije
proverite identitet podnosioca za-
hteva i egova ovlaea. Saoptite
ih samo uz prethodno pismeno odo-
bree pretpostavenog, osobe zadu-
ene za informacije, ili ihovog za-
menika. Proverite da li je podnosilac
zahteva potpisao ugovor o uvau
podataka. Samo uprava sme da ob-
javuje poverive informacije licima
koje firma ne zapoava.
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 339 str.
339
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Kako reagovati kad vam neko trai informacije
Sve informacije se smatraju osetivima ukoliko nisu posebno nameene za javnu upotrebu.
PRIMERI
Struktura odgovornosti,
imena i zvaa zaposlenih
Bilo kakve lozinke
Da
Ne
Pojedinosti
strukture
organizacije
Da
Ne
Kompanijski
telefonski
imenik
Da
Ne
Line podatke
Da
Ne
Postupke
i informacije
o raunarskim
sistemima
Da
Ne
Poverive ili line
informacije
Da
Zlatna pitanja
NIKADA nemojte
saoptavati svoju
lozinku ni pod
kojim uslovima.
Sledite postupke
rada s internim
informacijama.
Sledite postupke
rada s internim
informacijama.
Sledite postupke
rada s internim
informacijama.
Sledite postupke
rada s internim
informacijama.
Proverite klasu
podataka; sledite
odgovarajue
postupke za tu
klasu.
Interni telefonski brojevi
dodeeni zaposlenima,
interni faks brojevi, interni
brojevi zgrada i spiskovi
odeea
Lini telefonski brojevi (kuni
ili mobilni), broj socijalnog
osiguraa, kuna adresa,
istorijat radnih mesta i plata
Tip operativnog sistema,
postupci za dainski pristup,
telefonski brojevi za dainski
pristup i nazivi pojedinih
raunarskih sistema
Postupci proizvode,
strateki planovi, izvorni kd
programa, spiskovi kupaca
i poslovne tajne
Kako da znam da li je ova osoba ona za koju se izdaje?
Kako da znam da je ova osoba ovlaena da zahteva tako neto?
Osoba zahteva sledee informacije:
UMOB
, November 4, 2003 10:08 am
Bezbednost_UMOB.slog, 340 str.
340
P
r
e
g
l
e
d
b
e
z
b
e
d
n
o
s
n
i
h
m
e
t
o
d
a
Kako reagovati kada neko zatrai da neto uradite
Sve to preduzmete na tu zahtev moe nakoditi vaoj firmi. Proveravajte. Proveravajte.
NAPOMENE
Da
otvorite
datoteku priloenu
uz elektronsku
poruku
Da
Ne
Da izmenite lozinku
Da
Ne
Da
elektronski
prosledite interne
informacije
Da unesete
naredbe u raunar
Da
Ne
Da
Ne
Da
preuzmete,
instalirate, uklonite,
ili iskuite
softver
Da
Ne
Da
izmenite
parametre raunarskog
sistema
ili mree
Da
Zlatna pravila
Ne otvarajte prilo-
enu datoteku uko-
liko je unapred ne
oekujete. Proverite
sve takve datoteke
pomou antiviru-
snog softvera.
NIKADA ne
meajte lozinku u
neto poznato dru-
gom licu, ak ni za
trenutak!
Proverite klasu
podataka; sledite
odgovarajue
postupke za tu
klasu.
Podnosilac zahteva
mora biti iskuivo
iz informatikog
odeea; prime-
nite postupke pro-
vere zaposlenog.
Sledite postupke
rada s internim
informacijama.
Podnosilac zahteva
mora biti iskuivo
iz informatikog
odeea; primenite
postupke provere
zaposlenog.
Izvorni kd programa, poslo-
vne tajne, postupak proizvo-
de, formule, specifikacije
proizvoda, marketinki podaci
ili poslovni planovi
Nikada nemojte unositi
nepoznate naredbe i nikada
ne pokreite programe na
zahtev druge osobe ukoliko
to posebno ne odobri
informatiko odeee
Instalirajte samo softver iz
proverenih izvora koji se
moe proveriti pomou
digitalnog potpisa
Ne meajte nikakve parametre
u BIOS-u, operativnom sistemu,
niti bilo kojoj aplikaciji (ukuu-
jui i linu zatitnu barijeru ili
antivirusne programe) ukoliko
to posebno ne odobri informa-
tiko odeee
Nikome nemojte verovati dok ne proverite egov identitet.
Poeno je proveravati ispravnost zahteva.
Osoba od vas trai sledeu uslugu:
You might also like
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4 out of 5 stars4/5 (5835)
- The 7 Habits of Highly Effective PeopleFrom EverandThe 7 Habits of Highly Effective PeopleRating: 4 out of 5 stars4/5 (354)
- The 7 Habits of Highly Effective People Personal WorkbookFrom EverandThe 7 Habits of Highly Effective People Personal WorkbookRating: 4 out of 5 stars4/5 (2516)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4.5 out of 5 stars4.5/5 (20148)
- The Odyssey: (The Stephen Mitchell Translation)From EverandThe Odyssey: (The Stephen Mitchell Translation)Rating: 4 out of 5 stars4/5 (7770)
- How to Win Friends and Influence People: Updated For the Next Generation of LeadersFrom EverandHow to Win Friends and Influence People: Updated For the Next Generation of LeadersRating: 4 out of 5 stars4/5 (2340)
- Pride and Prejudice: Bestsellers and famous BooksFrom EverandPride and Prejudice: Bestsellers and famous BooksRating: 4.5 out of 5 stars4.5/5 (20479)
- Never Split the Difference: Negotiating As If Your Life Depended On ItFrom EverandNever Split the Difference: Negotiating As If Your Life Depended On ItRating: 4.5 out of 5 stars4.5/5 (3335)
- Wuthering Heights Complete Text with ExtrasFrom EverandWuthering Heights Complete Text with ExtrasRating: 4 out of 5 stars4/5 (10020)
- Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyFrom EverandArt of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyRating: 4 out of 5 stars4/5 (3321)
- The Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)From EverandThe Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)Rating: 4 out of 5 stars4/5 (9054)
- Anna Karenina: Bestsellers and famous BooksFrom EverandAnna Karenina: Bestsellers and famous BooksRating: 4 out of 5 stars4/5 (7503)
- American Gods: The Tenth Anniversary EditionFrom EverandAmerican Gods: The Tenth Anniversary EditionRating: 4 out of 5 stars4/5 (12968)
- Habit 1 Be Proactive: The Habit of ChoiceFrom EverandHabit 1 Be Proactive: The Habit of ChoiceRating: 4 out of 5 stars4/5 (2562)
- Habit 3 Put First Things First: The Habit of Integrity and ExecutionFrom EverandHabit 3 Put First Things First: The Habit of Integrity and ExecutionRating: 4 out of 5 stars4/5 (2511)
- Habit 6 Synergize: The Habit of Creative CooperationFrom EverandHabit 6 Synergize: The Habit of Creative CooperationRating: 4 out of 5 stars4/5 (2499)
- Frankenstein: A Guide to Reading and ReflectingFrom EverandFrankenstein: A Guide to Reading and ReflectingRating: 4 out of 5 stars4/5 (8977)
- How To Win Friends And Influence PeopleFrom EverandHow To Win Friends And Influence PeopleRating: 4.5 out of 5 stars4.5/5 (6717)
- The 7 Habits of Highly Effective PeopleFrom EverandThe 7 Habits of Highly Effective PeopleRating: 4 out of 5 stars4/5 (2573)
- The Picture of Dorian Gray: Classic Tales EditionFrom EverandThe Picture of Dorian Gray: Classic Tales EditionRating: 4 out of 5 stars4/5 (9768)
- The Iliad: A New Translation by Caroline AlexanderFrom EverandThe Iliad: A New Translation by Caroline AlexanderRating: 4 out of 5 stars4/5 (5734)