Professional Documents
Culture Documents
Mitnick Kevin - Sztuka Podstepu
Mitnick Kevin - Sztuka Podstepu
Mitnick Kevin - Sztuka Podstepu
Sztuka podstpu
przeoy Jarosaw Dobrzaski
Socjotechnika
Socjotechnika to wywieranie wpywu na ludzi i stosowanie perswazji
w celu oszukania ich tak, aby uwierzyli, e socjotechnik jest osob o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji, tosamoci. Dziki
temu socjotechnik jest w stanie wykorzysta swoich rozmwcw, przy dodatkowym (lub nie) uyciu rodkw technologicznych, do zdobycia poszukiwanych informacji.
Sowo wstpne
Wszyscy ludzie rodz si z wewntrzn potrzeb poznawania natury swojego otoczenia. W czasach modoci zarwno Kevin Mitnick, jak i ja bylimy
niesamowicie ciekawi wiata i pragnlimy dowie swojej wasnej wartoci.
W dziecistwie czsto nagradzano nas za nauczenie si nowej rzeczy, rozwizanie zagadki lub wygranie gry. Jednak w tym samym czasie wiat narzucajc nam swoje reguy zachowania, krpowa nasz wewntrzn potrzeb poznawania. Zarwno dla wybitnych naukowcw, technicznych wizjonerw,
jak i dla ludzi pokroju Kevina Mitnicka podanie za t potrzeb powodowao najwikszy moliwy dreszcz emocji, pozwalajc na robienie rzeczy, ktre
innym wydaj si niemoliwe.
Kevin Mitnick jest jednym z najwspanialszych ludzi, jakich znam. Zapytajcie go, a szczerze odpowie Wam, e metoda, ktrej uywa, socjotechnika,
polega na oszukiwaniu ludzi. Kevin jednak nie jest ju socjotechnikiem, a nawet w czasie, kiedy tym zajciem si para, motywami jego dziaania nigdy
nie bya ch wzbogacenia si lub wyrzdzenia krzywdy drugiemu czowiekowi. Nie oznacza to jednak, e nie istniej groni i niebezpieczni przestpcy,
ktrzy stosuj socjotechnik, aby wyrzdzi rzeczywiste szkody. To wanie
przed nimi Kevin chce Was ostrzec w tej ksice.
Sztuka podstpu uwiadamia, jak bardzo rzdy pastw, firmy i kady
z nas s nieodporne na atak socjotechnika. W obecnych czasach, kiedy tak
duo uwagi powica si bezpieczestwu, wydaje ogromne kwoty na ochron sieci komputerowych i danych, powinnimy zda sobie spraw z tego, jak
atwo mona oszuka ludzi z wewntrz i obej wszelkie moliwe zabezpieczenia technologiczne. Ksika wanie to opisuje.
Jeeli pracujemy w firmie lub instytucji rzdowej, pozycja ta jest nieocenionym drogowskazem, umoliwiajcym zrozumienie, w jaki sposb dziaaj socjotechnicy i co moemy zrobi, aby pokrzyowa ich plany. Korzystajc
z fabularyzowanych historii, ktrych czytanie nie tylko otwiera oczy, ale jest
te dobr rozrywk, Kevin, wraz ze wspautorem, Billem Simonem, opisuje
techniki stosowane przez oszustw. Po kadej z historii otrzymujemy wskazwki pomagajce uchroni si przed przedstawionymi sytuacjami.
W zabezpieczeniach zapewnianych przez technologi istnieje spora luka,
w ktrej uszczelnieniu mog pomc ludzie tacy jak Kevin. Po przeczytaniu tej
ksiki na pewno zdacie sobie spraw, jak bardzo potrzebujecie tej pomocy.
Steve Wozniak
Przedmowa
S na wiecie hakerzy, ktrzy niszcz cudze pliki lub cae dyski twarde nazywa si ich crakerami lub po prostu wandalami. S rwnie niedowiadczeni hakerzy, ktrzy zamiast uczy si technologii, znajduj w sieci
odpowiednie narzdzia hakerskie, za pomoc ktrych wamuj si do systemw komputerowych. Mwi si o nich script kiddies. Bardziej dowiadczeni
hakerzy sami tworz programy hakerskie, ktre potem umieszczaj w sieci
lub na listach dyskusyjnych. Istniej te takie osoby, ktrych w ogle nie obchodzi technologia, a komputera uywaj jedynie jako narzdzia pomagajcego im kra pienidze, towary i korzysta za darmo z usug.
Wbrew mitowi o Kevinie Mitnicku, jaki stworzyy media, nigdy jako haker
nie miaem zych zamiarw.
Wyprzedzam jednak fakty.
Pocztki
cieka, na ktr wstpiem, miaa zapewne swj pocztek w dziecistwie.
Byem beztroskim, ale znudzonym dzieckiem. Mama, po rozstaniu z ojcem
(miaem wtedy 3 lata), pracowaa jako kelnerka, by nas utrzyma. Mona
sobie wyobrazi jedynaka wychowywanego przez wiecznie zabiegan matk
chopaka samotnie spdzajcego cae dnie. Byem swoj wasn niani.
Dorastajc w San Fernando Valley, miaem ca modo na zwiedzanie Los
Angeles. W wieku 12 lat znalazem sposb na darmowe podrowanie po caym okrgu Los Angeles. Ktrego dnia, jadc autobusem, odkryem, e ukad
Od phreakera do hakera
Moje pierwsze spotkanie z czym, co pniej nauczyem si okrela mianem socjotechniki, miao miejsce w szkole redniej. Poznaem wtedy koleg,
ktrego pochaniao hobby zwane phreakingiem. Polegao ono na wamywaniu si do sieci telefonicznych, przy wykorzystaniu do tego celu pracownikw sub telefonicznych oraz wiedzy o dziaaniu sieci. Pokaza mi sztuczki,
jakie mona robi za pomoc telefonu: zdobywanie kadej informacji o dowolnym abonencie sieci czy korzystanie z tajnego numeru testowego do dugich darmowych rozmw zamiejscowych (potem okazao si, e numer wcale nie by testowy rozmowami, ktre wykonywalimy, obciany by rachunek jakiej firmy).
Takie byy moje pocztki w dziedzinie socjotechniki swojego rodzaju przedszkole. Ten kolega i jeszcze jeden phreaker, ktrego wkrtce poznaem, pozwolili mi posucha rozmw telefonicznych, jakie przeprowadzali z pracownikami firm telekomunikacyjnych. Wszystkie rzeczy, ktre mwili, brzmiay bardzo wiarygodnie. Dowiedziaem si o sposobie dziaania
rnych firm z tej brany, nauczyem si argonu i procedur, stosowanych
przez ich pracownikw. Trening nie trwa dugo nie potrzebowaem go.
Wkrtce sam robiem wszystkie te rzeczy lepiej ni moi nauczyciele, pogbiajc wiedz w praktyce.
W ten sposb wyznaczona zostaa droga mojego ycia na najblisze 15
lat.
Jeden z moich ulubionych kawaw polega na uzyskaniu dostpu do centrali telefonicznej i zmianie rodzaju usugi przypisanej do numeru telefonu
znajomego phreakera. Kiedy ten prbowa zadzwoni z domu, sysza w suchawce prob o wrzucenie monety, poniewa centrala odbieraa informacj,
e dzwoni on z automatu.
Absorbowao mnie wszystko, co dotyczyo telefonw. Nie tylko elektronika, centrale i komputery, ale rwnie organizacja, procedury i terminologia.
Po jakim czasie wiedziaem o sieci telefonicznej chyba wicej ni jakikolwiek
jej pracownik. Rozwinem rwnie swoje umiejtnoci w dziedzinie socjotechniki do tego stopnia, e w wieku 17 lat byem w stanie wmwi prawie
wszystko wikszoci pracownikom firm telekomunikacyjnych, czy to przez
telefon, czy rozmawiajc osobicie.
Moja znana ogowi kariera hakera rozpocza si waciwie w szkole
redniej. Nie mog tu opisywa szczegw, wystarczy, e powiem, i gwnym motywem moich pierwszych wama bya ch bycia zaakceptowanym
przez grup podobnych mi osb.
Wtedy okrelenia haker uywalimy w stosunku do kogo, kto spdza
duo czasu na eksperymentowaniu z komputerami i oprogramowaniem,
opracowujc bardziej efektywne programy lub znajdujc lepsze sposoby rozwizywania jakich problemw. Okrelenie to dzisiaj nabrao pejoratywnego charakteru i kojarzy si z gronym przestpc. Ja uywam go tu jednak w takim znaczeniu, w jakim uywaem go zawsze czyli tym wczeniejszym, agodniejszym.
Po ukoczeniu szkoy redniej studiowaem informatyk w Computer Learning Center w Los Angeles. Po paru miesicach szkolny administrator
komputerw odkry, e znalazem luk w systemie operacyjnym i uzyskaem pene przywileje administracyjne w systemie. Najlepsi eksperci spord
wykadowcw nie potrafili doj do tego, w jaki sposb to zrobiem. Nastpi wwczas by moe jeden z pierwszych przypadkw zatrudnienia hakera dostaem propozycj nie do odrzucenia: albo w ramach pracy zaliczeniowej poprawi bezpieczestwo szkolnego systemu komputerowego, albo
zostan zawieszony za wamanie si do systemu. Oczywicie wybraem to
pierwsze i dziki temu mogem ukoczy szko z wyrnieniem.
Socjotechnik
Niektrzy ludzie wstaj rano z ka, by odbbnia powtarzalne czynnoci
w przysowiowym kieracie. Ja miaem to szczcie, e zawsze lubiem swoj
prac. Najwicej wyzwa, sukcesw i zadowolenia przyniosa mi praca prywatnego detektywa. Szlifowaem tam swoje umiejtnoci w sztuce zwanej
socjotechnik skanianiem ludzi do tego, by robili rzeczy, ktrych zwykle
nie robi si dla nieznajomych. Za to mi pacono.
Stanie si biegym w tej brany nie byo dla mnie trudne. Rodzina ze strony mojego ojca od pokole zajmowaa si handlem moe wic umiejtno
perswazji i wpywania na innych jest cech dziedziczn. Poczenie potrzeby manipulowania ludmi z umiejtnoci i talentem w dziedzinie perswazji
i wpywu na innych to cechy idealnego socjotechnika.
Mona powiedzie, e istniej dwie specjalizacje w zawodzie artysty-manipulatora. Kto, kto wyudza od ludzi pienidze, to pospolity oszust. Z kolei kto, kto stosuje manipulacj i perswazj wobec firm, zwykle w celu uzyskania informacji, to socjotechnik. Od czasu mojej pierwszej sztuczki z biletami autobusowymi, kiedy byem jeszcze zbyt mody, aby uzna, e robi
co zego, zaczem rozpoznawa w sobie talent do dowiadywania si o rzeczach, o ktrych nie powinienem wiedzie. Rozwijaem ten talent, uywajc
oszustw, posugujc si argonem i rozwinit umiejtnoci manipulacji.
Jednym ze sposobw, w jaki pracowaem nad rozwijaniem umiejtnoci
w moim rzemiole (jeeli mona to nazwa rzemiosem), byo prbowanie
uzyskania jakiej informacji, na ktrej nawet mi nie zaleao. Chodzio o to,
czy jestem w stanie skoni osob po drugiej stronie suchawki do tego, by mi
jej udzielia ot tak, w ramach wiczenia. W ten sam sposb, w jaki kiedy
wiczyem sztuczki magiczne, wiczyem teraz sztuk motywowania. Dziki temu wkrtce odkryem, e jestem w stanie uzyska praktycznie kad informacj, jakiej potrzebuj.
Wiele lat pniej, zeznajc w Kongresie przed senatorami, Liebermanem
i Thompsonem, powiedziaem:
Udao mi si uzyska nieautoryzowany dostp do systemw komputerowych
paru najwikszych korporacji na tej planecie, spenetrowa najlepiej zabezpieczone z istniejcych systemw komputerowych. Uywaem narzdzi technologicznych i nie zwizanych z technologi, aby uzyska dostp do kodu rdowego
rnych systemw operacyjnych, urzdze telekomunikacyjnych i poznawa ich
dziaanie oraz sabe strony.
Tak naprawd, zaspakajaem jedynie moj wasn ciekawo, przekonywaem si o moliwociach i wyszukiwaem tajne informacje o systemach
operacyjnych, telefonach komrkowych i wszystkim innym, co budzio moje
zainteresowanie.
Podsumowanie
Po aresztowaniu przyznaem, e to, co robiem, byo niezgodne z prawem
i e dopuciem si naruszenia prywatnoci.
Moje uczynki byy powodowane ciekawoci pragnem wiedzie
wszystko, co si dao o tym, jak dziaaj sieci telefoniczne oraz podsystemy
wejcia-wyjcia komputerowych systemw bezpieczestwa. Z dziecka zafascynowanego sztuczkami magicznymi staem si najgroniejszym hakerem
wiata, ktrego obawia si rzd i korporacje. Wracajc pamici do ostatnich trzydziestu lat mojego ycia, musz przyzna, e dokonaem paru bardzo zych wyborw, sterowany ciekawoci, pragnieniem zdobywania wiedzy o technologiach i dostarczania sobie intelektualnych wyzwa.
Zmieniem si. Dzisiaj wykorzystuj mj talent i wiedz o bezpieczestwie
informacji i socjotechnice, jak udao mi si zdoby, aby pomaga rzdowi,
firmom i osobom prywatnym w wykrywaniu, zapobieganiu i reagowaniu
na zagroenia bezpieczestwa informacji.
Ksika ta to jeszcze jeden sposb wykorzystania mojego dowiadczenia
w pomaganiu innym w radzeniu sobie ze zodziejami informacji. Mam nadziej, e opisane tu przypadki bd zajmujce, otwierajce oczy i majce jednoczenie warto edukacyjn.
Wprowadzenie
Ksika ta zawiera bogaty zbir informacji dotyczcych bezpieczestwa
danych i socjotechniki. Oto krtki opis ukadu ksiki, uatwiajcy korzystanie z niej:
W czci pierwszej odkrywam pit achillesow systemw bezpieczestwa
i pokazuj, dlaczego my i nasza firma jestemy naraeni na ataki socjotechnikw.
Cz druga opisuje, w jaki sposb socjotechnicy wykorzystuj nasze zaufanie, ch pomocy, wspczucie oraz naiwno, aby dosta to, czego chc.
Fikcyjne historie demonstrujce typowe ataki uka socjotechnika przywdziewajcego coraz to nowe maski. Jeeli wydaje si nam, e nigdy nie spotkalimy socjotechnika, prawdopodobnie jestemy w bdzie. Niejedna z tych
historii moe nieoczekiwanie wyda si nam znajoma. Jednak po przeczytaniu rozdziaw od 2. do 9. powinnimy dysponowa ju wiedz, ktra pozwoli nam uchroni si przed kolejnym atakiem.
W czci trzeciej gra z socjotechnikiem toczy si o wiksz stawk. Wymylone historie pokazuj, w jaki sposb moe on dosta si na teren firmy,
ukra tajemnic, co moe zrujnowa nasze przedsibiorstwo, lub unicestwi
nasz najnowoczeniejszy technologicznie system bezpieczestwa. Scenariusze przedstawione w tej czci uwiadamiaj nam zagroenia, poczynajc od
zwykej zemsty pracownika, na cyberterroryzmie koczc. Jeeli wane jest
dla nas bezpieczestwo kluczowych informacji, ktre stanowi o status quo
naszej firmy, powinnimy przeczyta rozdziay od 10. do 14. w caoci.
Naley pamita, e o ile nie jest napisane inaczej, historie przedstawione
w tej ksice s czyst fikcj.
11
W czci czwartej opisane zostay sposoby zapobiegania atakom socjotechnicznym w organizacji. Rozdzia 15. przedstawia zarys skutecznego szkolenia dotyczcego bezpieczestwa, a w rozdziale 16. znajdziemy przykad gotowca, czyli kompletny dokument opisujcy polityk bezpieczestwa firmy,
ktry moemy przystosowa do potrzeb naszej firmy i od razu wprowadzi
w ycie, aby zabezpieczy nasze zasoby informacyjne.
Na kocu znajduje si cz zatytuowana Bezpieczestwo w piguce,
ktra podsumowuje kluczowe informacje w formie list i tabel. Mog one stanowi cig dla naszych pracownikw, pomagajc unikn atakw socjotechnicznych. Zawarte tam informacje pomog rwnie podczas tworzenia programu szkolenia dotyczcego bezpieczestwa firmy.
W ksice znajdziemy rwnie uwagi dotyczce argonu, zawierajce definicje terminw uywanych przez hakerw i socjotechnikw, a take dodatkowe uwagi Kevina Mitnicka zawierajce podsumowanie fragmentu tekstu zote myli, ktre pomagaj w formuowaniu strategii bezpieczestwa. Pozostae uwagi i ramki zawieraj interesujce informacje dodatkowe
lub prezentuj okolicznoci danej sprawy.
I
Za kulisami
Pita achillesowa systemw bezpieczestwa
1
Pita achillesowa
systemw
bezpieczestwa
Firma moe dokona zakupu najlepszych i najdroszych technologii bezpieczestwa, wyszkoli personel tak, aby kada poufna informacja bya trzymana w zamkniciu, wynaj najlepsz firm chronic obiekty i wci pozosta niezabezpieczon.
Osoby prywatne mog niewolniczo trzyma si wszystkich najlepszych
zasad zalecanych przez ekspertw, zainstalowa wszystkie najnowsze produkty poprawiajce bezpieczestwo i skonfigurowa odpowiednio system,
uruchamiajc wszelkie jego usprawnienia i wci pozostawa niezabezpieczonymi.
14
Czynnik ludzki
Zeznajc nie tak dawno temu przed Kongresem, wyjaniem, e czsto
uzyskiwaem hasa i inne poufne informacje od firm, podajc si za kogo innego i po prostu o nie proszc.
Tsknota za poczuciem absolutnego bezpieczestwa jest naturalna, ale
prowadzi wielu ludzi do faszywego poczucia braku zagroenia. Wemy
za przykad czowieka odpowiedzialnego i kochajcego, ktry zainstalowa w drzwiach wejciowych Medico (zamek bbnowy syncy z tego, e
nie mona go otworzy wytrychem), aby ochroni swoj on, dzieci i swj
dom. Po zaoeniu zamka poczu si lepiej, poniewa jego rodzina staa si
bardziej bezpieczna. Ale co bdzie, jeeli napastnik wybije szyb w oknie lub
zamie kod otwierajcy bram garau? Niezalenie od kosztownych zamkw, domownicy wci nie s bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system ochrony? Ju lepiej, ale wci nie bdzie gwarancji bezpieczestwa.
Dlaczego? Poniewa to czynnik ludzki jest pit achillesow systemw bezpieczestwa.
Bezpieczestwo staje si zbyt czsto iluzj. Jeeli do tego dodamy atwowierno, naiwno i ignorancj, sytuacja dodatkowo si pogarsza. Najbardziej powaany naukowiec XX wieku, Albert Einstein, podobno powiedzia:
Tylko dwie rzeczy s nieskoczone: wszechwiat i ludzka gupota, chocia
co do pierwszego nie mam pewnoci. W rezultacie atak socjotechnika udaje si, bo ludzie bywaj gupi. Czciej jednak ataki takie s skuteczne, poniewa ludzie nie rozumiej sprawdzonych zasad bezpieczestwa.
Majc podobne podejcie jak uwiadomiony w sprawach bezpieczestwa
pan domu, wielu zawodowcw z brany IT ma bdne mniemanie, e w duym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktw typu firewall, systemw detekcji intruzw i zaawansowanych rozwiza uwierzytelniajcych, takich jak kody zalene od czasu
lub karty biometryczne. Kady, kto uwaa, e same produkty zabezpieczajce zapewniaj realne bezpieczestwo, tworzy jego iluzj. To klasyczny przypadek ycia w wiecie fantazji: osoby takie mog prdzej czy pniej sta si
ofiarami ataku.
Jak ujmuje to znany konsultant ds. bezpieczestwa, Bruce Schneider:
Bezpieczestwo to nie produkt to proces. Rozwimy t myl: bezpieczestwo nie jest problemem technologicznym, tylko problemem zwizanym
z ludmi i zarzdzaniem.
15
amanie kodu
Ktrego dnia roku 1978 Rifkinowi udao si dosta do przeznaczonego
tylko dla personelu pokoju kontrolnego przeleww elektronicznych banku
Security Pacific, z ktrego pracownicy wysyali i odbierali przelewy na czn sum miliarda dolarw dziennie.
Pracowa wtedy dla firmy, ktra podpisaa z bankiem kontrakt na stworzenie systemu kopii zapasowych w pokoju przeleww na wypadek awarii
gwnego komputera. To umoliwio mu dostp do procedur transferowych,
cznie z tymi, ktre okrelay, w jaki sposb byy one zlecane przez pracownikw banku. Dowiedzia si, e osoby upowanione do zlecania przeleww
otrzymyway kadego ranka pilnie strzeony kod uywany podczas dzwonienia do pokoju przeleww.
Urzdnikom z pokoju przeleww nie chciao si zapamitywa codziennych kodw, zapisywali wic obowizujcy kod na kartce papieru i umiesz-
16
czali j w widocznym dla nich miejscu. Tego listopadowego dnia Rifkin mia
szczeglny powd do odwiedzin pomieszczenia. Chcia rzuci okiem na t
kartk.
Po pojawieniu si w pokoju zwrci uwag na procedury operacyjne,
prawdopodobnie w celu upewnienia si, e system kopii zapasowych bdzie
poprawnie wsppracowa z podstawowym systemem, jednoczenie ukradkiem odczytujc kod bezpieczestwa z kartki papieru i zapamitujc go. Po
kilku minutach wyszed. Jak pniej powiedzia, czu si, jakby wanie wygra na loterii.
17
Dokoczenie zadania
Kilka dni pniej Rifkin polecia do Szwajcarii, pobra gotwk i wyoy
ponad 8 milionw dolarw na diamenty z rosyjskiej agencji. Potem wrci do
Stanw, trzymajc w czasie kontroli celnej diamenty w pasku na pienidze.
Przeprowadzi najwikszy skok na bank w historii, nie uywajc ani pistoletu, ani komputera. Jego przypadek w kocu dosta si do Ksigi Rekordw Guinessa w kategorii najwiksze oszustwo komputerowe.
Stanley Rifkin uy sztuki manipulacji umiejtnoci i technik, ktre dzi
nazywa si socjotechnik. Wymagao to tylko dokadnego planu i daru wymowy.
O tym wanie jest ta ksika o metodach socjotechnicznych (w ktrych sam jestem biegy) i o sposobach, jakimi jednostki i organizacje mog
si przed nimi broni.
Natura zagroenia
Historia Rifkina jest dowodem na to, jak zudne moe by nasze poczucie
bezpieczestwa. Podobne incydenty moe nie dotyczce 10 milionw dolarw, niemniej jednak szkodliwe zdarzaj si codziennie. By moe w tym
momencie tracisz swoje pienidze lub kto kradnie Twoje plany nowego produktu i nawet o tym nie wiesz. Jeeli co takiego nie wydarzyo si jeszcze
w Twojej firmie, pytanie nie brzmi, czy si wydarzy, ale kiedy.
Rosnca obawa
Instytut Bezpieczestwa Komputerowego w swoich badaniach z 2001
roku, dotyczcych przestpstw komputerowych, stwierdzi, e w cigu roku
18
85% ankietowanych organizacji odnotowao naruszenie systemw bezpieczestwa komputerowego. Jest to zdumiewajcy odsetek: tylko pitnacie
z kadych stu firm mogo powiedzie, e nie miao z tym kopotw. Rwnie
szokujca jest ilo organizacji, ktra zgosia doznanie strat z powodu wama komputerowych 64%. Ponad poowa badanych firm poniosa straty
finansowe w cigu jednego roku.
Moje wasne dowiadczenia ka mi sdzi, e liczby w tego typu raportach s przesadzone. Mam podejrzenia co do trybu przeprowadzania bada,
nie wiadczy to jednak o tym, e straty nie s w rzeczywistoci wielkie. Nie
przewidujc tego typu sytuacji, skazujemy si z gry na przegran.
Dostpne na rynku i stosowane w wikszoci firm produkty poprawiajce bezpieczestwo su gwnie do ochrony przed atakami ze strony amatorw, np. dzieciakw zwanych script kiddies, ktre wcielaj si w hakerw,
uywajc programw dostpnych w sieci, i w wikszoci s jedynie utrapieniem. Najwiksze straty i realne zagroenie pynie ze strony bardziej wyrafinowanych hakerw, ktrzy maj jasno okrelone zadania, dziaaj z chci zysku i koncentruj si podczas danego ataku na wybranym celu, zamiast
infiltrowa tyle systemw, ile si da, jak to zwykle robi amatorzy. Przecitni wamywacze zwykle s nastawieni na ilo, podczas gdy profesjonalici s
zorientowani na informacje istotne i wartociowe.
Technologie takie jak uwierzytelnianie (sprawdzanie tosamoci), kontrola
dostpu (zarzdzanie dostpem do plikw i zasobw systemowych) i systemy detekcji intruzw (elektroniczny odpowiednik alarmw przeciwwamaniowych) s nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dzi jednak wicej na kaw ni na rodki zabezpieczajce
przed atakami na systemy bezpieczestwa.
Podobnie jak umys kleptomana nie moe oprze si pokusie, tak umys
hakera jest owadnity dz obejcia systemw zabezpieczajcych. Hakerzy
potwierdzaj w ten sposb swj intelektualny kapita.
Metody oszustwa
Popularne jest powiedzenie, e bezpieczny komputer to wyczony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogo do pjcia do biura i wczenia komputera. Przeciwnik, ktry potrzebuje informacji, zwykle moe j uzyska na par rnych sposobw. Jest to tylko kwestia
19
czasu, cierpliwoci, osobowoci i uporu. W takiej chwili przydaje si znajomo sztuki manipulacji.
Aby pokona zabezpieczenia, napastnik, intruz lub socjotechnik musi znale sposb na oszukanie zaufanego pracownika w taki sposb, aby ten wyjawi jak informacj, trik lub z pozoru nieistotn wskazwk umoliwiajc dostanie si do systemu. Kiedy zaufanych pracownikw mona oszukiwa lub manipulowa nimi w celu ujawnienia poufnych informacji lub kiedy
ich dziaania powoduj powstawanie luk w systemie bezpieczestwa, umoliwiajcych napastnikowi przedostanie si do systemu, wwczas nie ma takiej technologii, ktra mogaby ochroni firm. Tak jak kryptografowie s
czasami w stanie odszyfrowa tekst zakodowanej wiadomoci dziki odnalezieniu sabych miejsc w kodzie, umoliwiajcych obejcie technologii szyfrujcej, tak socjotechnicy uywaj oszustwa w stosunku do pracownikw firmy, aby obej technologi zabezpieczajc.
Naduywanie zaufania
W wikszoci przypadkw socjotechnicy maj due zdolnoci oddziaywania na ludzi. Potrafi by czarujcy, uprzejmi i atwo ich polubi posiadaj cechy potrzebne do tego, aby zyska sobie zrozumienie i zaufanie innych.
Dowiadczony socjotechnik jest w stanie uzyska dostp do praktycznie kadej informacji, uywajc strategii i taktyki przynalenych jego rzemiosu.
Zmylni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizowa ryzyko zwizane ze stosowaniem komputerw; zapomnieli jednak o najistotniejszej kwestii czynniku ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy najwikszym zagroeniem
dla swojego bezpieczestwa.
Amerykaska mentalno
Nie jestemy w peni wiadomi zagroe, szczeglnie w wiecie zachodnim. W USA w wikszoci przypadkw ludzie nie s uczeni podejrzliwoci wobec drugiego czowieka. S przyzwyczajani do zasady kochaj ssiada swego, ufaj sobie nawzajem. Organizacje ochrony ssiedzkiej maj czsto problemy z nakonieniem ludzi do zamykania domw i samochodw. Te
20
Naiwno organizacyjna
To swoiste domniemanie niewinnoci, bdce skadnikiem amerykaskiej
mentalnoci, ujawnio si szczeglnie w pocztkach istnienia sieci komputerowych. ARPANET, przodek Internetu, zosta stworzony do wymiany informacji pomidzy rzdem a instytucjami badawczymi i naukowymi. Celem
bya dostpno informacji i postp technologiczny. Wiele instytucji naukowych tworzyo wczesne systemy komputerowe z minimalnymi tylko zabezpieczeniami lub zupenie ich pozbawione. Jeden ze znanych gosicieli wolnoci oprogramowania, Richard Stallman, zrezygnowa nawet z zabezpieczenia
swojego konta hasem. W czasach Internetu uywanego jako medium handlu elektronicznego zagroenie zwizane ze sabociami systemw bezpieczestwa drastycznie wzroso. Zastosowanie dodatkowych technologii zabezpieczajcych nigdy nie rozwie jednak kwestii czynnika ludzkiego.
Spjrzmy np. na dzisiejsze porty lotnicze. S dokadnie zabezpieczone, ale
co jaki czas syszymy o podrnych, ktrym udao si przechytrzy ochron i przenie bro przez bramki kontrolne. Jak to jest moliwe w czasach,
kiedy nasze porty lotnicze s praktycznie w cigym stanie alertu? Problem
zwykle nie ley w urzdzeniach zabezpieczajcych, tylko w ludziach, ktrzy
je obsuguj. Wadze lotniska mog wspiera si Gwardi Narodow, instalowa detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej
pomaga szkolenie pracownikw ochrony wzmacniajce skuteczno kontroli pasaerw.
Ten sam problem ma rzd oraz firmy i instytucje edukacyjne na caym
21
wiecie. Mimo wysikw specjalistw od bezpieczestwa informacja w kadym miejscu jest naraona na atak socjotechnika, jeeli nie zostanie wzmocniona najwiksza sabo systemu czynnik ludzki.
Dzisiaj bardziej ni kiedykolwiek musimy przesta myle w sposb yczeniowy i uwiadomi sobie, jakie techniki s uywane przez tych, ktrzy
prbuj zaatakowa poufno, integralno i dostpno naszych systemw
komputerowych i sieci. Nauczylimy si ju prowadzi samochody, stosujc
zasad ograniczonego zaufania. Najwyszy czas nauczy si podobnego sposobu obsugi komputerw.
Zagroenie naruszenia prywatnoci, danych osobistych lub systemw informacyjnych firmy wydaje si mao realne, dopki faktycznie co si nie
wydarzy. Aby unikn takiego zderzenia z realiami, wszyscy musimy sta
si wiadomi, przygotowani i czujni. Musimy te intensywnie chroni nasze zasoby informacyjne, dane osobiste, a take, w kadym kraju, krytyczne elementy infrastruktury i jak najszybciej zacz stosowa opisane rodki ostronoci.
22
cze do stosowania zasad socjotechniki w celu infiltrowania korporacji, wodocigw, elektrowni i innych istotnych komponentw infrastruktury pastwa. W kadej chwili mog jednak to zrobi bo jest to po prostu atwe.
Mam nadziej, e wiadomo i polityka bezpieczestwa zajm nalene im
miejsce i zostan docenione przez kadr zarzdzajc firm po przeczytaniu
tej ksiki. Wkrtce jednak moe okaza si, e to za mao.
23
Wikszo ksiki (cz druga i trzecia), skada si z historii przedstawiajcych socjotechnikw w akcji. Opisano tam tematy takie jak:
Sprytna metoda uzyskiwania od firmy telekomunikacynej numerw telefonu spoza listy phreakerzy wpadli na to ju dobre par
lat temu.
Kilka metod, jakich uywaj napastnicy do przekonania nawet
najbardziej podejrzliwych pracownikw, aby podali swoje nazwy
uytkownika i hasa.
Kradzie najlepiej strzeonej informacji o produkcie, w ktrej to
kradziey dopomg hakerom meneder z Centrum Operacji.
Metoda, jak haker przekona pewn pani do pobrania programu,
ktry ledzi wszystkie jej poczynania i wysya mu e-maile z informacjami.
Uzyskiwanie przez prywatnych detektyww informacji o firmach
i osobach prywatnych. Gwarantuj ciarki na grzbiecie podczas czytania.
II
Sztuka ataku
Kiedy nieszkodliwa informacja szkodzi?
Bezporedni atak wystarczy poprosi
Budowanie zaufania
Moe pomc? Potrzebuj pomocy
Faszywe witryny i niebezpieczne zaczniki
Wspczucie, wina i zastraszenie
Odwrotnie ni w dle
2
Kiedy nieszkodliwa
informacja szkodzi?
Na czym polega realne zagroenie ze strony socjotechnika? Czego powinnimy si strzec?
Jeeli jego celem jest zdobycie czego wartociowego, powiedzmy czci
kapitau firmy, to by moe potrzebny jest solidniejszy skarbiec i wiksze
strae, czy nie?
Penetracja systemu bezpieczestwa firmy czsto zaczyna si od zdobycia informacji lub dokumentu, ktry wydaje si nie mie znaczenia, jest powszechnie dostpny i niezbyt wany. Wikszo ludzi wewntrz organizacji nie widzi wic powodw, dla ktrych miaby by chroniony lub zastrzeony.
26
CreditChex
Jak daleko sign pamici, Brytyjczycy musieli zmaga si ze starowieckim systemem bankowym. Zwyky, uczciwy obywatel nie moe po prostu
wej tam do banku i zaoy konta. Bank nie bdzie traktowa go jako klienta, dopki osoba ju bdca klientem nie napisze mu listu referencyjnego.
W naszym, z pozoru egalitarnym wiecie bankowoci, wyglda to ju troch inaczej. Nowoczesny, atwy sposb robienia interesw jest najbardziej
widoczny w przyjaznej i demokratycznej Ameryce, gdzie kady moe wej
do banku i bez problemu otworzy rachunek. Chocia nie do koca. W rzeczywistoci banki maj naturalne opory przed otwieraniem rachunku komu, kto mg w przeszoci wystawia czeki bez pokrycia. Klient taki jest
tak samo mile widziany jak raport strat z napadu na bank czy defraudacja rodkw. Dlatego standardow praktyk w wielu bankach jest szybkie
sprawdzanie wiarygodnoci nowego klienta.
Jedn z wikszych firm, ktre banki wynajmuj do takich kontroli, jest
CreditChex. wiadczy ona cenne usugi dla swoich klientw, ale jej pracownicy mog te niewiadomie pomc socjotechnikowi.
27
28
Czy bdzie pani skonna wypenia periodycznie kwestionariusze, ktre przelemy do filii?
Chris ponownie si zgodzia. Przez chwil rozmawiali niezobowizujco.
Po zakoczeniu rozmowy Chris wrcia do swoich zaj.
29
30
stori o pisarzu, ale przez chwil trapiy j podejrzenia. Gdyby odpowiedziaa od razu, poprosibym j o wyjawienie dalszych szczegw dotyczcych
procedur.
Trzeba kierowa si instynktem, uwanie sucha, co mwi i jak mwi.
Ta dziewczyna wydawaa si na tyle bystra, e moga wszcz alarm, gdybym zacz zadawa zbyt wiele dziwnych pyta. Co prawda nie wiedziaa, kim jestem i skd dzwoni, ale samo rozejcie si wieci, eby uwaa na
dzwonicych i wypytujcych o informacje nie byoby wskazane. Lepiej nie
spali rda by moe bdziemy chcieli zadzwoni tu jeszcze raz.
Zawsze zwracam uwag na drobiazgi, z ktrych mog wywnioskowa, na
ile dana osoba jest skonna do wsppracy oceniam to w skali, ktra zaczyna si od: Wydajesz si mi osob i wierz we wszystko, co mwisz,
a koczy na: Dzwocie na policj, ten facet co knuje!.
argon
Spalenie rda mwi si o napastniku, e spali rdo, kiedy dopuci
do tego, e ofiara zorientuje si, i zostaa zaatakowana. Wwczas najprawdopodobniej powiadomi ona innych pracownikw i kierownictwo
o tym, e mia miejsce atak. W tej sytuacji kolejny atak na to samo rdo staje si niezwykle trudny.
31
Tak wic Chris podaa mi swj numer klienta i numer telefonu, ktrego
uywaj do zapyta. Bybym szczliwszy, gdyby udao mi si jeszcze zada
par pyta dotyczcych tego, jakie informacje mona wycign od CreditChex. Lepiej jednak nie naduywa dobrej passy.
To byo tak, jakby CreditCheck wystawi mi czek in blanco mogem teraz dzwoni i otrzymywa informacje, kiedy tylko chciaem. Nie musiaem
nawet paci za usug. Jak si okazao, pracownik CreditChex z przyjemnoci udzieli mi dokadnie tych informacji, ktrych potrzebowaem: poda
dwa miejsca, w ktrych m mojej klientki ubiega si o otwarcie rachunku. Gdzie w takim razie znajdoway si pienidze, ktrych szukaa jego ju
wkrtce bya ona? Gdzieby indziej, jak nie w ujawnionych przez CreditChex instytucjach?
Analiza oszustwa
Cay podstp opiera si na jednej z podstawowych zasad socjotechniki:
uzyskania dostpu do informacji, ktra mylnie jest postrzegana przez pracownika jako nieszkodliwa.
Pierwsza urzdniczka bankowa potwierdzia termin, jakim okrela si numer identyfikacyjny, uywany do kontaktw z CreditChex numer kupca. Druga podaa numer linii telefonicznej uywanej do pocze z CreditChex i najistotniejsz informacj numer kupca przydzielony bankowi
uznaa to za nieszkodliwe. W kocu mylaa, e rozmawia z kim z CreditChex, wic co moe by szkodliwego w podaniu im tego numeru?
Wszystko to stworzyo grunt do trzeciej rozmowy. Grace mia wszystko,
czego potrzebowa, aby zadzwoni do CreditChex, podajc si za pracownika National Bank jednego z ich klientw i po prostu poprosi o informacje, ktrych potrzebowa.
Grace potrafi kra informacje tak jak dobry oszust pienidze, a do tego
mia rozwinity talent wyczuwania charakterw ludzi i tego, o czym w danej chwili myl. Zna powszechn taktyk ukrywania kluczowych pyta
wrd zupenie niewinnych. Wiedzia, e osobiste pytanie pozwoli sprawdzi ch wsppracy drugiej urzdniczki przed niewinnym zadaniem pytania o numer kupca.
Bd pierwszej urzdniczki, polegajcy na potwierdzeniu nazewnictwa
dla numeru identyfikacyjnego CreditChex by w zasadzie nie do uniknicia. Informacja ta jest tak szeroko znana w brany bankowej, e wydaje si
32
Uwaga Mitnicka
W tej sytuacji numer klienta spenia tak sam rol jak haso. Jeeli personel banku traktowaby ten numer w taki sam sposb jak numery PIN swoich kart kredytowych, uwiadomiby sobie poufn natur tej
informacji.
Puapka na inyniera
Wiadomo, e socjotechnika jest czsto stosowana przez owcw gw
w celu rekrutacji utalentowanych pracownikw. Oto przykad.
Pod koniec lat 90. pewna niezbyt uczciwa agencja rekrutacyjna podpisaa
umow z nowym klientem, ktry szuka inynierw elektrykw z dowiadczeniem w brany telekomunikacyjnej. Spraw prowadzia kobieta znana ze
swojego gbokiego gosu i seksownej maniery, ktrej nauczya si, by zdobywa zaufanie i bliski kontakt ze swoimi rozmwcami telefonicznymi.
Zdecydowaa si zaatakowa firm bdc dostawc usug telefonii komrkowej i sprbowa zlokalizowa jakich inynierw, ktrzy mog mie
ochot na przejcie do konkurenci. Nie moga oczywicie zadzwoni na central firmy i powiedzie: Chciaam rozmawia z jak osob z picioletnim
dowiadczeniem na stanowisku inyniera. Zamiast tego, z powodw, ktre
33
za chwil stan si jasne, rozpocza polowanie na pracownikw od poszukiwania pozornie bezwartociowej informacji, takiej, ktr firma jest skonna
poda prawie kademu, kto o ni poprosi.
34
35
argon
Punkt zrzutu w jzyku socjotechnikw miejsce, gdzie ofiara oszustwa
przesya dokumenty lub inne przesyki (moe to by np. skrzynka pocztowa, ktr socjotechnik wynajmuje, zwykle posugujc si faszywym
nazwiskiem).
36
Analiza oszustwa
W tym ataku socjotechnicznym Didi rozpocza od uzyskania numerw
telefonw do trzech oddziaw interesujcej j firmy. Byo to atwe, poniewa numery te nie byy zastrzeone, szczeglnie dla pracownikw. Socjotechnik uczy si rozmawia tak, jakby by pracownikiem firmy Didi potrafia to robi wietnie. Jeden z numerw telefonw doprowadzi j do tego,
e otrzymaa numer centrum kosztw, ktrego z kolei uya, aby otrzyma
kopi spisu telefonw firmy.
Gwne narzdzia, jakich uywaa, to przyjazny ton, uywanie argonu
firmowego i, przy ostatniej ofierze, troch werbalnego trzepotania rzsami.
Jeszcze jednym, jake wanym, narzdziem s zdolnoci socjotechnika do
manipulacji, doskonalone przez dug praktyk i korzystanie z dowiadcze
innych oszustw.
Uwaga Mitnicka
Tak jak w ukadance, osobny fragment informacji moe by sam w sobie nie znaczcy, ale po poczeniu wielu takich klockw w cao otrzymujemy jasny obraz. W tym przypadku obrazem tym bya caa wewntrzna struktura przedsibiorstwa.
37
38
Uwaga Mitnicka
Mora z historii jest taki: nie podawaj nikomu adnych osobistych i wewntrznych informacji lub numerw, chyba e rozpoznajesz gos rozmwcy, a ten tych informacji naprawd potrzebuje.
Zapobieganie oszustwu
Firma jest odpowiedzialna za uwiadomienie pracownikom, jakie mog
by skutki niewaciwego obchodzenia si z niepublicznymi informacjami.
Dobrze przemylana polityka bezpieczestwa informacji, poczona z odpowiedni edukacj i treningiem, powanie zwikszy u pracownikw wiadomo znaczenia informacji firmowych i umiejtno ich chronienia. Polityka
klasyfikacji danych wprowadza odpowiednie rodki sterujce wypywem informacji. Jeeli polityka taka nie istnieje, wszystkie informacje wewntrzne
musz by traktowane jako poufne, chyba e wyranie wskazano inaczej.
W celu uniknicia wypywu pozornie nieszkodliwych informacji z firmy
naley podj nastpujce kroki:
39
40
dopki proba nie zostanie zweryfikowana. Nastpnie, zanim ulegniemy naturalnej chci pomagania innym, postpujemy zgodnie
z procedurami firmy, opisujcymi weryfikacj i udostpnianie niepublicznych informacji. Taki styl moe nie i w parze z naturaln
tendencj do pomocy drugiemu czowiekowi, ale odrobina paranoi
wydaje si konieczna, aby nie sta si kolejn ofiar socjotechnika.
Historie przedstawione w tym rozdziale pokazuj, w jaki sposb pozornie
mao wane informacje mog sta si kluczem do najpilniej strzeonych sekretw firmy.
Uwaga Mitnicka
Jak gosi stare powiedzenie, nawet paranoicy miewaj realnych wrogw. Musimy zaoy, e kada firma ma swoich wrogw, ktrych celem jest dostp do infrastruktury sieci, a w rezultacie do tajemnic firmy.
Czy naprawd chcemy wspomc statystyk przestpstw komputerowych? Najwyszy czas umocni obron, stosujc odpowiednie metody
postpowania przy wykorzystaniu polityki i procedur bezpieczestwa.
3
Bezporedni atak wystarczy poprosi
Ataki socjotechnikw bywaj zawie, skadaj si z wielu krokw i gruntownego planowania, czsto czc elementy manipulacji z wiedz technologiczn.
Zawsze jednak uderza mnie to, e dobry socjotechnik potrafi osign
swj cel prostym, bezporednim atakiem. Jak si przekonamy czasami
wystarczy poprosi o informacj.
42
historie w tej ksice), ale najprostszy scenariusz to taki, ktry wymaga tylko jednego telefonu. Oto on.
Prosz o numer...
Napastnik zadzwoni do mechanicznego centrum przydziau linii (MLAC)
firmy telekomunikacyjnej i powiedzia do kobiety, ktra odebraa telefon:
Dzie dobry, tu Paul Anthony. Jestem monterem kabli. Prosz posucha, mam tu spalon skrzynk z centralk. Policja podejrzewa, e jaki cwaniak prbowa podpali swj dom, eby wyudzi odszkodowanie. Przysali mnie tu, ebym poczy od nowa ca centralk na 200 odczepw. Przydaaby mi si pani pomoc. Ktre urzdzenia powinny dziaa na South Main
pod numerem 6723?
W innych wydziaach firmy telekomunikacyjnej, do ktrej zadzwoni, wiedziano, e jakiekolwiek informacje lokacyjne lub niepublikowane numery telefonw mona podawa tylko uprawnionym pracownikom firmy. Ale o istnieniu MLAC wiedz raczej tylko pracownicy firmy. Co prawda informacje
te s zastrzeone, ale kto odmwi udzielenia pomocy pracownikowi majcemu do wykonania cik powan robot? Rozmwczyni wspczua mu, jej
samej rwnie zdarzay si trudne dni w pracy, wic obesza troch zasady
i pomoga koledze z tej samej firmy, ktry mia problem. Podaa mu oznaczenia kabli, zaciskw i wszystkie numery przyporzdkowane temu adresowi.
Analiza oszustwa
Jak wielokrotnie mona byo zauway w opisywanych historiach, znajomo argonu firmy i jej struktury wewntrznej rnych biur i wydziaw, ich zada i posiadanych przez nie informacji to cz podstawowego zestawu sztuczek, uywanych przez socjotechnikw.
Uwaga Mitnicka
Ludzie z natury ufaj innym, szczeglnie, kiedy proba jest zasadna.
Socjotechnicy uywaj tej wiedzy, by wykorzysta ofiary i osign
swe cele.
43
cigany
Czowiek, ktrego nazwiemy Frank Parsons, od lat ucieka. Wci by poszukiwany przez rzd federalny za udzia w podziemnej grupie antywojennej w latach 60. W restauracjach siada twarz do wejcia i mia nawyk cigego spogldania za siebie, wprowadzajc w zakopotanie innych ludzi. Co
kilka lat zmienia adres.
Ktrego razu Frank wyldowa w obcym miecie i zacz rozglda si za
prac. Dla kogo takiego jak Frank, ktry zna si bardzo dobrze na komputerach (oraz na socjotechnice, ale o tym nie wspomina w swoich listach motywacyjnych), znalezienie dobrej posady nie byo problemem. Poza czasami
recesji, talenty ludzi z du wiedz techniczn dotyczc komputerw zwykle s poszukiwane i nie maj oni problemw z ustawieniem si. Frank szybko odnalaz ofert dobrze patnej pracy w duym domu opieki, blisko miejsca gdzie mieszka.
To jest to pomyla. Ale kiedy zacz brnc przez formularze aplikacyjne, natkn si na przeszkod: pracodawca wymaga od aplikanta kopii
jego akt policyjnych, ktre naleao uzyska z policji stanowej. Stos papierw zawiera odpowiedni formularz proby, ktry zawiera te kratk na odcisk palca. Co prawda wymagany by jedynie odcisk prawego palca wskazujcego, ale jeeli sprawdz jego odcisk z baz danych FBI, prawdopodobnie wkrtce bdzie pracowa, ale w kuchni domu opieki sponsorowanego
przez rzd federalny.
Z drugiej strony, Frank uwiadomi sobie, e by moe w jaki sposb udaoby mu si przemkn. Moe policja stanowa w ogle nie przesaa jego odciskw do FBI. Ale jak si o tym dowiedzie?
Jak? Przecie by socjotechnikiem jak mylicie, w jaki sposb si dowiedzia? Oczywicie wykona telefon na policj: Dzie dobry. Prowadzimy badania dla Departamentu Sprawiedliwoci New Jersey. Badamy wymagania
dla nowego systemu identyfikacji odciskw palcw. Czy mgbym rozmawia z kim, kto jest dobrze zorientowany w waszych zadaniach i mgby
nam pomc?.
Kiedy lokalny ekspert podszed do telefonu, Frank zada szereg pyta
o systemy, jakich uywaj, moliwoci wyszukiwania i przechowywania
odciskw. Czy mieli jakie problemy ze sprztem? Czy korzystaj z wyszukiwarki odciskw NCIC (Narodowego Centrum Informacji o Przestpstwach),
czy mog to robi tylko w obrbie stanu? Czy nauka obsugi sprztu nie bya
44
zbyt trudna?
Chytrze przemyci pord innych pyta jedno kluczowe.
Odpowied bya muzyk dla jego uszu. Nie, nie byli zwizani z NCIC,
sprawdzali tylko ze stanowym CII (Indeks Informacji o Przestpstwach). To
byo wszystko, co Frank chcia wiedzie. Nie by notowany w tym stanie,
wic przesa swoj aplikacj, zosta zatrudniony i nikt nigdy nie pojawi si
u niego ze sowami: Ci panowie s z FBI i mwi, e chcieliby z Tob porozmawia.
Jak sam twierdzi, okaza si idealnym pracownikiem.
Uwaga Mitnicka
Zmylni zodzieje informacji nie obawiaj si dzwonienia do urzdnikw federalnych, stanowych lub przedstawicieli wadzy lokalnej, aby
dowiedzie si czego o procedurach wspomagajcych prawo. Posiadajc takie informacje, socjotechnik jest w stanie obej standardowe zabezpieczenia w firmie.
Na portierni
Niezalenie od wprowadzanej komputeryzacji, firmy wci drukuj codziennie tony papierw. Wane pismo moe by w naszej firmie zagroone
nawet, gdy zastosujemy waciwe rodki bezpieczestwa i opiecztujemy je
jako tajne. Oto historia, ktra pokazuje, jak socjotechnik moe wej w posiadanie najbardziej tajnych dokumentw.
W ptli oszustwa
Kadego roku firma telekomunikacyjna publikuje ksik zwan Spis numerw testowych (a przynajmniej publikowaa, a jako e jestem nadal pod
opiek kuratora, wole nie pyta, czy robi to nadal). Dokument ten stanowi ogromn warto dla phreakerw, poniewa wypeniaa go lista pilnie
strzeonych numerw telefonw, uywanych przez firmowych specjalistw,
technikw i inne osoby do testowania czy midzymiastowych i sprawdzania numerw, ktre byy wiecznie zajte.
Jeden z tych numerw, okrelany w argonie jako ptla, by szczegl-
45
nie przydatny. Phreakerzy uywali go do szukania innych phreakerw i gawdzenia z nimi za darmo. Poza tym tworzyli dziki niemu numery do oddzwaniania, ktre mona byo poda np. w banku. Socjotechnik zostawia
urzdnikowi w banku numer telefonu, pod ktrym mona byo go zasta.
Kiedy bank oddzwania na numer testowy (tworzy ptl), phreaker mg
spokojnie odebra telefon, zabezpieczajc si uyciem numeru, ktry nie by
z nim skojarzony.
Spis numerw testowych udostpnia wiele przydatnych danych, ktre mogyby by uyte przez godnego informacji phreakera. Tak wic kady
nowy spis, publikowany co roku, stawa si obiektem podania modych ludzi, ktrych hobby polegao na eksploracji sieci telefonicznej.
Uwaga Mitnicka
Trening bezpieczestwa, przeprowadzony zgodnie z polityk firmy,
stworzon w celu ochrony zasobw informacyjnych, musi dotyczy
wszystkich jej pracownikw, a w szczeglnoci tych, ktrzy maj elektroniczny lub fizyczny dostp do zasobw informacyjnych firmy.
Szwindel Stevea
Oczywicie firmy telekomunikacyjne nie uatwiaj zdobycia takiego spisu, dlatego phreakerzy musz wykaza si tu kreatywnoci. W jaki sposb
mog tego dokona? Gorliwy modzieniec, ktrego marzeniem jest zdobycie
spisu, mg odegra nastpujcy scenariusz.
***
Pewnego ciepego wieczoru poudniowokalifornijskiej jesieni Steve zadzwoni do biura niewielkiej centrali telekomunikacyjnej. Std biegn linie
telefoniczne do wszystkich domw, biur i szk w okolicy.
Kiedy technik bdcy na subie odebra telefon, Steve owiadczy, e dzwoni z oddziau firmy, ktry zajmuje si publikacj materiaw drukowanych.
Mamy wasz nowy Spis telefonw testowych powiedzia ale
z uwagi na bezpieczestwo nie moemy dostarczy wam nowego spisu, dopki nie odbierzemy starego. Go, ktry odbiera spisy, wanie si spnia.
Gdyby pan zostawi wasz spis na portierni, mgby on szybko wpa, wzi
stary, podrzuci nowy i jecha dalej.
46
Niczego nie podejrzewajcy technik uznaje, e brzmi to rozsdnie. Robi dokadnie to, o co go poproszono, zostawiajc na portierni swoj kopi spisu.
Napisano na niej wielkimi czerwonymi literami tekst ostrzeenia: TAJEMNICA FIRMY Z CHWIL DEZAKTUALIZACJI TEGO DOKUMENTU NALEY GO
ZNISZCZY.
Steve podjeda i rozglda si uwanie dookoa, sprawdzajc, czy nie ma
policji lub ochrony firmy, ktra mogaby zaczai si za drzewami lub obserwowa go z zaparkowanych samochodw. Nikogo nie widzi. Spokojnie odbiera upragnion ksik i odjeda.
Jeszcze jeden przykad na to, jak atwe dla socjotechnika jest otrzymanie
czego, po prostu o to proszc.
Atak na klienta
Nie tylko zasoby firmy mog sta si obiektem ataku socjotechnika. Czasami jego ofiar padaj klienci firmy.
Praca w dziale obsugi klienta przynosi po czci frustracj, po czci
miech, a po czci niewinne bdy niektre z nich mog mie przykre
konsekwencje dla klientw firmy.
47
informacji o kliencie?
Pewnie odpowiedziaa Josie. To cakiem zawiesza komputer?
Straszne.
Tak.
Jak mog pomc? zapytaa Josie.
W tym momencie napastnik powoa si na informacj, ktr zdoby
wczeniej podczas poszukiwa rnych danych pomocnych w uwiarygodnieniu si. Dowiedzia si, e informacja, ktrej poszukiwa, jest przechowywana w tak zwanym systemie informacji o fakturach klienta i dowiedzia
si, jak nazywali go pracownicy (CBIS).
Czy moe pani wywoa konto z CBIS? zapyta.
Tak, jaki jest numer konta?
Nie mam numeru, musimy znale po nazwisku.
Dobrze. Jakie nazwisko?
Heather Marning przeliterowa nazwisko, a Josie je wpisaa.
Ju mam.
wietnie. To jest rachunek biecy?
Mhm, biecy.
Jaki ma numer? zapyta.
Ma pan co do pisania?
Mam.
Konto numer BAZ6573NR27Q.
Odczyta jej zapisany numer i zapyta:
A jaki jest adres obsugi? Podaa mu adres.
A numer telefonu?
Josie posusznie odczytaa rwnie t informacj. Rozmwca podzikowa
jej, poegna si i odwiesi suchawk. Josie odebraa kolejny telefon, nawet
nie mylc o tym, co si stao.
48
cym technik znanych kademu poszukiwaczowi informacji. Okaza si naturalnym talentem w tej brany, dochodzc samemu do metod, ktrych socjotechnicy musz uczy si od innych. Wkrtce przekroczy wspomnian granic bez najmniejszego poczucia winy.
***
Wynaj mnie czowiek, ktry pisa ksik o gabinecie prezydenta w czasach Nixona i szuka informatora, ktry dostarczyby mu mniej znanych
faktw na temat Williama E. Simona, bdcego Sekretarzem Skarbu w rzdzie Nixona. Pan Simon zmar, ale autor zna nazwisko kobiety, ktra dla
niego pracowaa. By prawie pewny, e mieszka ona w Waszyngtonie, ale
nie potrafi zdoby jej adresu. Nie miaa rwnie telefonu, a przynajmniej nie
byo go w ksice. Tak wic, kiedy zadzwoni do mnie, powiedziaem mu, e
to aden problem.
Jest to robota, ktr mona zaatwi zwykle jednym lub dwoma telefonami, jeeli zrobi si to z gow. Od kadego lokalnego przedsibiorstwa uytecznoci publicznej raczej atwo wycign informacje. Oczywicie trzeba
troch nakama, ale w kocu czym jest jedno mae niewinne kamstwo?
Lubi stosowa za kadym razem inne podejcie wtedy jest ciekawiej.
Tu mwi ten-a-ten z biura dyrekcji zawsze niele dziaao. Albo mam kogo na linii z biura wiceprezesa X, ktre zadziaao te tym razem.
Trzeba wyrobi w sobie pewnego rodzaju instynkt socjotechnika. Wyczuwa ch wsppracy w osobie po drugiej stronie. Tym razem poszczcio mi
si trafiem na przyjazn i pomocn pani. Jeden telefon wystarczy, aby
uzyska adres i numer telefonu. Misja zostaa wykonana.
Analiza oszustwa
Oczywicie Josie zdawaa sobie spraw, e informacja o kliencie jest poufna. Nigdy nie pozwoliaby sobie na rozmow na temat rachunku jakiego
klienta z innym klientem lub na publiczne ujawnianie prywatnych informacji.
Jednak dla dzwonicego z tej samej firmy stosuje si inne zasady. Kolega
z pracy to czonek tej samej druyny musimy sobie pomaga w wykonywaniu pracy. Czowiek z dziau fakturowania mg sam sobie sprawdzi te
informacje w swoim komputerze, gdyby nie zawiesi go wirus. Cieszya si,
e moga pomc wsppracownikowi.
49
Uwaga Mitnicka
Nigdy nie naley sdzi, e wszystkie ataki socjotechniczne musz by
gruntownie uknut intryg, tak skomplikowan, e praktycznie niewykrywaln. Niektre z nich to szybkie ataki z zaskoczenia, bardzo
proste w formie. Jak wida, czasami wystarczy po prostu zapyta.
Zapobieganie oszustwu
Punkt, ktry naley umieci w planie szkolenia z zakresu bezpieczestwa, dotyczy faktu, e jeli nawet dzwonicy lub odwiedzajcy zna nazwiska jakich osb z firmy lub zna argon i procedury, nie znaczy to, e podaje si za tego, kim jest. Zdecydowanie nie czyni go to w aden sposb uprawnionym do otrzymywania wewntrznych informacji lub wykonywania operacji na naszym komputerze lub sieci.
Szkolenie takie musi jasno uczy, eby w razie wtpliwoci sprawdza,
sprawdza i jeszcze raz sprawdza.
W dawnych czasach dostp do informacji wewntrz firmy by oznak
rangi i przywilejem. Pracownicy otwierali piece, uruchamiali maszyny, pisali listy, wypeniali raporty. Brygadzista lub szef mwi im, co robi, kiedy i jak. Tylko brygadzista lub szef wiedzieli, ile elementw musi wyprodu-
50
4
Budowanie zaufania
Niektre z opisanych tu historii mog sugerowa, e uwaam pracownikw firm za kompletnych idiotw, gotowych, a nawet chtnych, do wyjawienia kadego sekretu. Socjotechnik zdaje sobie spraw, e to nieprawda.
Dlaczego wic ataki socjotechnikw s takie skuteczne? Na pewno nie dlatego, e ludzie s gupi bd pozbawieni zdrowego rozsdku. Jestemy tylko ludmi kadego z nas mona oszuka. Pod wpywem pewnego rodzaju
manipulacji moemy mog le ulokowa nasze zaufanie.
Socjotechnik z gry zakada, e napotka podejrzliwo lub opr, i jest zawsze przygotowany na przeamywanie barier nieufnoci. Dobry socjotechnik planuje swj atak niemal jak parti szachw, przewidujc pytania, jakie
ofiara moe zada, i przygotowujc stosowne odpowiedzi.
Jedn z typowych technik jest budowanie poczucia zaufania u ofiary. Jak
oszust moe zdoby nasze zaufanie? Ma na to swoje sposoby...
52
Uwaga
Opowiadajc o socjotechnikach, phreakerach i oszustach, zwykle uywam rodzaju mskiego. Nie jest to szowinizm, a jedynie odzwierciedlenie prawdy, e wikszo uprawiajcych ten proceder to mczyni.
Mimo e obecnie nie ma wielu kobiet parajcych si socjotechnik, to ich
liczba stale ronie.
Kobiety w roli socjotechnikw s na tyle dojrzae, aby wiedzie, e sam
dwik damskiego gosu nie przeamie adnej bariery. Maj one jednak
znaczc przewag, poniewa mog uywa do przeamywania barier
swojej seksualnoci. Na stronach tej ksiki saba pe jest reprezentowana jednak w niewielkim stopniu.
53
54
55
puci dug pokerowy przez konto baru. Niech teraz oszust si tumaczy przed
swoj on. A co staoby si, gdyby powiedzia bankowi, e to nie jego transakcja? Zastanwmy si chwil. On wie, e znamy jego namiary. Zda sobie
spraw, e jeeli potrafilimy zdoby numer jego karty, to moglibymy pewnie duo wicej. Nie ma obaw.
Analiza oszustwa
Pierwsze telefony Tonniego do Ginny miay po prostu zbudowa zaufanie.
Kiedy przysza pora ataku, Ginny opucia gard i zaakceptowaa Tonniego
jako pracownika innej wypoyczalni tej samej sieci.
Dlaczego nie miaaby go zaakceptowa? Przecie ju go znaa. Oczywicie
rozmawiali tylko telefonicznie, ale zdyli ju nawiza biznesow znajomo, ktra jest podstaw zaufania. Z chwil, kiedy zaakceptowaa go jako
kogo pracujcego dla tej samej firmy, reszta bya ju prosta.
Uwaga Mitnicka
Technika budowania zaufania znana z da jest jedn z bardziej efektywnych taktyk socjotechnicznych. Zawsze trzeba si zastanowi nad
tym, czy naprawd znamy osob, z ktr rozmawiamy. Moe si bowiem zdarzy, e osoba nie jest t, za ktr si podaje. Podobnie naley nauczy si obserwowa, weryfikowa i kwestionowa domniemane
stanowisko lub pozycj rozmwcy.
Niespodzianka, Tato!
Pewnego razu usiadem przy stoliku w restauracji z Henrym i jego ojcem.
W trakcie rozmowy Henry zbeszta swojego ojca za podawanie numeru kar-
56
57
Analiza oszustwa
Zastanwmy si nad wasnym zachowaniem w sytuacji, gdy nieznajoma
osoba prosi nas o przysug. Jeeli do naszych drzwi zapuka obdarty wczga, raczej nie wpucimy go do rodka. Jeeli za na progu pojawi si nieznajomy dobrze ubrany, w wypolerowanych butach, umiechnity i o nienagannych manierach, nasza podejrzliwo bdzie o wiele mniejsza. Moe to
by nawet Jason z filmw Pitek, trzynastego, ale zaufamy mu, o ile wyglda normalnie i nie trzyma w doni tasaka.
Mniej oczywiste jest, e w ten sam sposb oceniamy ludzi przez telefon.
Czy dana osoba zachowuje si, jakby chciaa co sprzeda? Czy jest przyjacielska i otwarta, czy moe da si odczu z jej strony pewn wrogo i prby nacisku? Czy ona lub on wysawia si jak kto wyksztacony? Oceniamy
te aspekty, i pewnie z tuzin innych, zupenie niewiadomie. Jest to wraenie,
ktre odnosimy w kilku pierwszych chwilach rozmowy.
W pracy stale kto od nas czego wymaga. Czy masz adres tego czowieka? Gdzie jest ostatnia wersja listy klientw? Kto jest podwykonawc tej czci projektu? Prosz wysa mi najnowsz wersj projektu. Potrzebuj najnowszej wersji kodu rdowego.
Zdarza si, e ludzi, ktrzy prosz nas o rne rzeczy, nie znamy osobicie, poniewa s to osoby pracujce w innej jednostce organizacyjnej firmy,
a przynajmniej za takie si podaj. Informacje, jakimi dysponuj, sugeruj,
e s z wewntrz (Marianne powiedziaa..., To jest na serwerze K-16...,
...wersja 26 planw nowego produktu). Rozszerzamy wwczas na nich
nasz obszar zaufania i beztrosko dajemy im to, o co prosz.
Oczywicie moemy mie pewne wtpliwoci, zastanawiajc si: Po co
komu z fabryki w Dallas potrzebne s plany nowego produktu? albo: Czy
podawanie nazwy serwera, z ktrego korzystam, nie jest ryzykowne?. Za-
58
dajemy wic jeszcze jedno lub dwa pytania. Jeeli odpowiedzi wydaj si sensowne, a zachowanie rozmwcy nie budzi wtpliwoci, przestajemy si broni i powracamy ku naturalnej inklinacji do ufania wsppracownikom i robienia (w granicach rozsdku) tego, o co nas poprosz.
Nie naley dochodzi do wniosku, e obiektem ataku s jedynie firmy posiadajce systemy komputerowe dostpne z zewntrz. Wemy osob odpowiedzialn za korespondencj firmow: Czy moe pani co dla mnie zrobi
i wrzuci to do firmowej skrytki pocztowej?. Czy osoba przyjmujca przesyk zdawaa sobie spraw, e zawiera ona dyskietk ze specjalnym programem dla sekretarki prezesa? Z chwil jego uruchomienia napastnik otrzymuje kopie maili szefa. Czy to mogoby si wydarzy w naszej firmie? Odpowied brzmi: oczywicie.
Uwaga Mitnicka
W ludzkiej naturze jest myle, e raczej nie zostaniemy oszukani podczas przeprowadzanej wanie transakcji, chyba e mamy konkretne
powody, aby sdzi inaczej. Waymy ryzyko i w wikszoci przypadkw w kocu odrzucamy wtpliwoci. To naturalne zachowanie cywilizowanego czowieka, a przynajmniej cywilizowanego czowieka, ktry nigdy nie zosta oszukany ani zmanipulowany lub nie wyudzono od
niego duej sumy pienidzy.
Gdy bylimy dziemi, nasi rodzice uczyli nas: Nie ufaj nieznajomym!.
Warto stosowa si do tej starej jak wiat zasady.
Komrka za centa
Wielu ludzi, robic zakupy, rozglda si bacznie, dopki nie znajdzie najlepszej oferty. Socjotechnik nie szuka lepszej oferty, tylko sposobu, by uczyni j lepsz. Czasami firma przeprowadza promocj, ktra jest tak atrakcyjna, e wrcz nie mona z niej nie skorzysta. Socjotechnik przyglda si ofercie i zastanawia si, co by tu zrobi, aby staa si dla niego jeszcze bardziej
atrakcyjna.
Jaki czas temu jedna z firm telefonii komrkowej o oglnokrajowym zasigu zorganizowaa promocj, oferujc nowy aparat telefoniczny za jednego centa dla tych, ktrzy wykupi odpowiedni abonament.
Wielu ludzi za pno odkryo, e istnieje wiele pyta, ktre rozwany
59
klient powinien zada przed podpisaniem umowy: czy usuga jest analogowa, cyfrowa czy hybrydowa, jaka jest ilo darmowych minut do wykorzystania w miesicu, czy s dodatkowe opaty za roaming itd. Szczeglnie
istotny jest czas trwania umowy, czyli liczba miesicy lub lat, przez ktre bdziemy musieli opaca abonament.
Wyobramy sobie socjotechnika w Philadelphii, ktrego przycigna
oferta promocyjna telefonii komrkowej, ale odrzuci plan taryfowy, jaki si
z ni wiza. Nie ma problemu. Oto jeden ze sposobw, w jaki mg sobie
z tym poradzi.
60
Analiza oszustwa
Ludzie z natury maj wikszy poziom akceptacji dla kogo, kto podaje si
za wsppracownika i zna procedury oraz argon firmy. Socjotechnik przedstawiony w tej historii wykorzystuje to, szukajc szczegw na temat promocji, identyfikujc pracownika firmy i proszc o przysug w innym oddziale. Dzieje si to w rnych filiach sklepu lub firmy, ktrych pracownicy nie maj ze sob bezporedniego kontaktu, a czsto zaatwiaj sprawy ze
wsppracownikami, ktrych w ogle nie znaj.
61
Wamanie do FBI
Ludzie czsto nie zastanawiaj si nad tym, jakie materiay ich organizacja udostpnia w Internecie. Na potrzeby audycji radiowej, ktr prowadz w KFI Talk Radio w Los Angeles, nasz producent przeszuka sie i znalaz
kopi instrukcji dostpu do bazy danych Narodowego Rejestru Przestpstw
(NCIC). Pniej znalaz t sam instrukcj obsugi rejestru poufny dokument, ktry podaje wszystkie procedury potrzebne do pobierania informacji
z bazy danych FBI.
Instrukcja ta to podrcznik dla pracownikw agencji ds. przestrzegania prawa, ktry podaje kody i formaty waciwe do pobierania informacji o przestpcach i przestpstwach ze wspomnianego rejestru. Agenci w caym kraju mog przeszukiwa t baz w poszukiwaniu informacji przydatnych w ich wasnych dochodzeniach. Podrcznik przedstawia metody uywane w bazie do opisu wszystkiego, poczwszy od rodzajw tatuay, poprzez typu kadubw statkw, a koczc na nominaach skradzionych pienidzy i na kajdankach.
Kady, kto mia dostp do instrukcji, mg poszuka odpowiedniej skadni polece umoliwiajcych cignicie informacji z bazy danych. Nastpnie,
postpujc zgodnie z opisanymi tam procedurami, i przy odrobinie brawury,
mg pobra informacje z Narodowego Rejestru Przestpstw. Podrcznik podaje rwnie numery telefonw, pod ktre mona dzwoni w sprawie pomocy w obsudze systemu. By moe w waszej firmie publikowane s podobne podrczniki z kodami produktw lub kodami umoliwiajcymi pobieranie poufnych informacji. Pracownicy FBI prawie na pewno nigdy nie odkryli, e ich poufne instrukcje i procedury s dostpne w sieci. Myl, e niezbyt
ucieszyliby si z tego faktu. Jedna z kopii zostaa opublikowana przez jedn z instytucji rzdowych stanu Oregon, inna przez agencj ds. przestrzegania prawa z Teksasu. Dlaczego tak si stao? W kadym z przypadkw kto
prawdopodobnie pomyla, e ta informacja nie jest wartociowa dla kogo
obcego i opublikowanie jej nie wyrzdzi adnych szkd. Moe kto po prostu opublikowa je w intranecie dla wygody pracownikw, nie zdajc sobie
sprawy, e udostpni te informacje wszystkim, ktrzy maj dostp do dobrej wyszukiwarki, takiej jak np. Google, w tym zwykym ciekawskim, kandydatom na policjantw, hakerom czy przedstawicielom zorganizowanych
grup przestpczych.
62
Wejcie do systemu
Zasada uycia takich informacji do oszukania urzdnika lub pracownika firmy jest zawsze taka sama poniewa socjotechnik wie, jak dosta si
do okrelonych baz danych czy aplikacji albo zna numery, nazwy serwerw
itp., zdobywa sobie zaufanie.
Z chwil, gdy socjotechnik wejdzie w posiadanie takich kodw, zdobycie
informacji, ktrych potrzebuje, jest ju stosunkowo proste. W tym konkretnym przykadzie mgby rozpocz od telefonu do biura w ktrym znajduje si terminal i zadania pytania dotyczcego jednego z kodw z podrcznika. Mogoby ono brzmie np. tak: Kiedy wpisuj zapytanie OFF w NCIC, pojawia mi si bd system nie dziaa. Czy mgby pan sprbowa to wpisa za
mnie?. Mgby te powiedzie, e prbuje przejrze wpf-(w argonie policji
akta osoby poszukiwanej).
Urzdnik pracujcy przy komputerze po drugiej strome poczenia uzna,
e dzwonicy jest obeznany z procedurami operacyjnymi i poleceniami wydawanymi bazie danych NCIC. Kto poza osobami przeszkolonymi mgby
zna te procedury?
Po tym, gdy osoba obsugujca komputer potwierdzia, e u niej wszystko
dziaa, rozmowa moga przebiega nastpujco:
Mgby mi pan pomc?
A czego pan potrzebuje?
Musz wykona polecenie OFF na nazwisku Martin Reardon, data urodzenia 18.10.66.
Jaki SOSH?
argon
SOSH skrt oznaczajcy w slangu FBI numer ubezpieczenia spoecznego.
700-14-7435.
Jego numer to 2602 mg powiedzie urzdnik po odnalezieniu szukanej osoby.
Napastnik musi teraz jedynie spojrze do podrcznika NCIC, aby odnale
znaczenie tej liczby. Okazao si, e czowiek ten jest oskarony o faszowanie swoich akt osobowych.
63
Analiza oszustwa
Dobry socjotechnik nie wahaby si nawet przez chwil szuka sposobw
na wamanie si do bazy NCIC. Zreszt dlaczego miaby si waha, skoro
uzyskanie potrzebnych informacji wymaga jedynie wykonania telefonu do
lokalnej komendy policji i troch gadkiej gadki, aby zaprezentowa si jako
czowiek z wewntrz? Nastpnym razem zadzwoni w inne miejsce i uyje
tego samego sposobu.
Mona si zastanawia, czy dzwonienie na komend czy te posterunek
policji nie jest niebezpieczne. Czy napastnik nie ryzykuje tutaj zbyt duo?
Odpowied z pewnych specyficznych powodw brzmi: nie. Policjanci, podobnie jak onierze, maj od pierwszego dnia pobytu w akademii zaszczepiony respekt dla rangi. Dopki socjotechnik przedstawia si jako sierant
lub porucznik kto wyszy rang ni osoba, z ktr rozmawia ofiara bdzie postpowa zgodnie z gboko wpojon zasad, ktra mwi, e
nie kwestionuje si tego, co twierdzi osoba wysza stopniem, ktra ma nad
nami wadz. Innymi sowy, stopie daje przywileje, a w szczeglnoci jeden
niemoliwoci bycia sprawdzanym przez osoby bdce niej w hierarchii.
Instytucje policyjne i wojskowe nie s jednak jedynymi miejscami, gdzie
socjotechnik moe wykorzysta respekt przed rang. Socjotechnicy czsto
uywaj autorytetu wynikajcego z pozycji w strukturze organizacji jako
broni w czasie atakw na firmy pokae to kilka historii opisanych w tej
ksice.
Uwaga Mitnicka
Wszyscy powinni by wiadomi, jakie jest modus operandi socjotechnika: zbierz jak najwicej informacji o obiekcie ataku i uyj ich w celu zdobycia zaufania, prezentujc si jako osoba z wewntrz. Nastpnie
uderz w samo serce!
Jak si broni?
Jakie kroki mona podj w Waszej firmie, aby zmniejszy prawdopodobiestwo, e socjotechnik wykorzysta naturalny instynkt pracownikw kacy im ufa innym ludziom? Oto kilka sugestii.
64
Ochrona klientw
W dzisiejszych czasach wiele firm, ktre co sprzedaj, przechowuje wrd
informacji o kliencie rwnie dane jego karty kredytowej. Istnieje ku temu
powd: uwalnia si klienta od kopotliwego podawania danych swojej karty za kadym razem, gdy ponownie odwiedza sklep lub witryn internetow, aby co kupi. Lepiej odstpi od tej praktyki. Jeeli musimy przechowywa numery kart kredytowych, procesowi temu musz towarzyszy klauzule bezpieczestwa, ktre wykraczaj daleko poza szyfrowanie i kontrol
dostpu. Pracownicy musz by przeszkoleni w rozpoznawaniu socjotechnikw takich, jak opisani w tym rozdziale. Rzekomy wsppracownik, ktrego nigdy nie poznalimy osobicie, ale z ktrym zdylimy si zaprzyjani
przez telefon, moe nie by tym, za kogo si podaje. By moe wcale nie ma
takiej potrzeby, aby udostpnia mu poufne informacje. By moe nie jest on
w ogle pracownikiem firmy.
Ufajmy z rozwag
Nie tylko ludzie, ktrzy maj dostp do zdecydowanie poufnych danych,
tacy jak programici czy pracownicy dziaw badawczych, musz broni si
przed intruzami. Prawie kady czonek organizacji wymaga odpowiedniego
szkolenia w zakresie zabezpieczenia firmy przed szpiegami przemysowymi
i zodziejami informacji.
Podstaw do tego powinny by badania zasobw informacyjnych przedsibiorstwa ze specjalnym zwrceniem uwagi na kady z poufnych, krytycznych lub wartociowych zasobw informacyjnych, przy jednoczesnym postawieniu sobie pytania o metody socjotechniczne, jakich mgby uy napastnik w celu uzyskania do nich dostpu. Odpowiednie szkolenie zorganizowane dla osb, ktre posiadaj dostp do takich informacji, powinno
uwzgldnia odpowiedzi udzielone na powysze pytania.
Kiedy osoba, ktrej osobicie nie znamy, prosi o informacje czy materiay
lub o wykonanie jakiej czynnoci na komputerze, pracownicy musz postawi sobie par pyta. Jeeli informacj t otrzymaby nasz najgorszy wrg,
czy mogaby ona zaszkodzi mnie lub mojej firmie? Czy w peni zdaj sobie
spraw z dziaania polece, o ktrych wprowadzenie do komputera zostaem poproszony?
65
Nie chodzi o to, aby traktowa podejrzliwie kad nowo spotkan osob.
Jednak im bardziej jestemy ufni, tym bardziej stajemy si naraeni na to, e
socjotechnik oszuka nas i uzyska dostp do zastrzeonych informacji firmy.
5
Moe pomc?
Wszyscy czujemy wdziczno, gdy kto dysponujcy wiedz, umiejtnociami i dowiadczeniem oferuje nam pomoc w rozwizaniu naszego problemu. Socjotechnik zdaje sobie z tego spraw i wie, jak ten fakt wykorzysta.
Wie on rwnie, jak spowodowa problem, a nastpnie zyska nasz
wdziczno w zamian za jego rozwizanie. Potem moe manipulowa nami,
aby wej w posiadanie informacji albo poprosi o drobn przysug, w wyniku ktrej moemy, my lub nasza firma, ponie straty. Niewykluczone, e
nawet nie bdziemy zdawali sobie sprawy z tego, e utracilimy co wartociowego.
Oto typowe przykady tego, jak socjotechnicy udzielaj pomocy.
Awaria sieci
Czas: poniedziaek, 12 lutego, godzina 15:25.
Miejsce: biura stoczni Starboard.
67
68
69
O! Dziaa! Wspaniale!
To dobrze. Ciesz si, e mogem ci pomc.
Bardzo ci dzikuje.
Suchaj, jeeli chcesz mie pewno, e nie bd ci si zrywa poczenia, mam taki program, ktry powiniene uruchomi. To nam zajmie par
minut.
Nie za bardzo mam teraz czas.
Rozumiem... W kadym razie mogoby to zaoszczdzi nam podobnym
problemw w przyszoci.
No dobrze. Jeli to tylko kilka minut...
Oto co masz zrobi...
W tym momencie Eddie przeprowadzi Toma przez kolejne kroki instalacji maej aplikacji cignitej z Internetu. Po pobraniu programu Eddie powiedzia Tomowi, aby go uruchomi. Tom zrobi to, po czym stwierdzi:
Nie dziaa. Nic si nie dzieje.
Co musi by nie tak z tym programem. Odinstalujmy go, sprbujemy
kiedy indziej Eddie przeprowadzi Toma przez deinstalacj programu tak,
aby nie mona go byo przywrci.
Czas trwania operacji: 12 minut.
Wersja napastnika
Bobbiego Wallacea zawsze bawio, kiedy po zleceniu mu jakiej roboty
klient unika wyjanienia, do czego potrzebna jest mu ta informacja. W tej
sprawie przychodziy mu do gowy tylko dwa moliwe powody. By moe
klient reprezentowa jak grup zainteresowan zakupem firmy Starboard Shipbuilding i chcia zorientowa si w rzeczywistej kondycji finansowej przedsibiorstwa ze szczeglnym uwzgldnieniem tych danych, ktre stocznia chciaaby ukry przed potencjalnym kupujcym. Moliwe te, e
reprezentowa inwestorw, ktrym podejrzany wyda si sposb zarzdzania finansami i ktrzy chcieli sprawdzi, czy kto z zarzdu nie defrauduje
pienidzy firmy.
A moe klient nie chcia poda prawdziwego powodu zlecenia, poniewa
gdyby Bobby dowiedzia si, jak wartociowa jest szukana przez niego informacja, zadaby wicej pienidzy za swoj robot.
Istnieje wiele sposobw na zdobycie najpilniej strzeonych danych firmy.
70
Bobby spdzi kilka dni, zastanawiajc si, jak metod wybra, i sprawdzajc rne moliwoci przed podjciem ostatecznej decyzji. W kocu wybra
metod wymagajc podejcia, ktre szczeglnie lubi stosowa: zmanipulowanie ofiary w taki sposb, aby sama zwrcia si do niego z prob o pomoc.
Na pocztku Bobby kupi w sklepie 7-Eleven telefon komrkowy za 39,95
$. Nastpnie zadzwoni do osoby, ktr upatrzy sobie jako ofiar, przedstawiajc si jako firmowy serwisant, po czym zaaranowa sytuacj tak, aby
czowiek ten zadzwoni na jego komrk w chwili, gdy wystpi jaki problem z sieci komputerow.
Potem przeczeka dwa dni, aby sprawa wygldaa bardziej naturalnie,
i wykona telefon do Centrum Zarzdzania Sieci firmy. Owiadczy, e usuwa problem dla Toma swojej ofiary i poprosi o dezaktywacj jego poczenia sieciowego. Bobby wiedzia, e byo to najtrudniejsz czci caej akcji w wielu firmach serwisanci cile wsppracuj z centrami zarzdzania sieci albo serwis wrcz naley do dziau informatyki. Okazao si jednak, e informatyk potraktowa ten telefon rutynowo i, nie pytajc o nazwisko serwisanta, ktry twierdzi, e rozwizuje jaki problem z sieci, zgodzi
si na dezaktywacj portu. Z chwil, kiedy to zrobi, Tom zosta odcity od
wewntrznej sieci firmy, pozbawiony moliwoci pobierania plikw z serwera, ich wymiany ze wsppracownikami, odbierania poczty, a nawet wydrukowania dokumentu. W dzisiejszym wiecie oznacza to niemale powrt do
jaskini.
Wkrtce, jak spodziewa si Bobby, zadzwoni telefon. Oczywicie by
chtny do okazania pomocy odcitemu od wiata koledze. Zadzwoni do Centrum Zarzdzania Sieci i poprosi o ponown aktywacj portu swojej ofiary.
Nastpnie zadzwoni do Toma jeszcze raz i ponownie zmanipulowa go tak,
aby ten poczu si winny, odmawiajc zrobienia przysugi Bobbiemu. W kocu Tom przemyla propozycj Bobbiego jeszcze raz i zgodzi si na skopiowanie programu z sieci na swj komputer.
Oczywicie nie zdawa sobie sprawy, na co tak naprawd si zgadza. Program, ktry mia zapobiega zrywaniu pocze sieciowych, by w rzeczywistoci koniem trojaskim aplikacj, ktra zadziaaa w komputerze Toma
dokadnie tak samo, jak mitologiczny ko trojaski wpucia wroga do
obozu. Tom stwierdzi po uruchomieniu programu, e nic si nie dzieje. Tak
naprawd aplikacja bya stworzona w taki sposb, e nie wykazywaa adnych objaww dziaania nawet wtedy, gdy instalowaa ukryty program,
umoliwiajcy szpiegowi utajony dostp do komputera.
71
argon
Ko trojaski program zawierajcy kod, ktry niszczy atakowany
komputer lub pliki albo umoliwia dostp do informacji znajdujcych
si na komputerze ofiary lub w sieci lokalnej. Niektre konie trojaskie
ukrywaj si w systemie operacyjnym i skanuj nacinicia klawiszy
lub wykonywane przez pracownika czynnoci. Inne same podejmuj jakie dziaania. Waciciel komputera nie zdaje sobie sprawy z obecnoci
takiego programu w systemie.
Po uruchomieniu programu, Bobby uzyska pen kontrol nad komputerem Toma. Uzyskawszy do niego dostp, przez zdalne okno polece, mg
przeglda i kopiowa dane ksigowe. Nastpnie bez popiechu mg analizowa pobrane pliki w poszukiwaniu informacji, na ktre liczyli jego zleceniodawcy.
argon
Zdalne okno polece interfejs tekstowy, ktry akceptuje polecenia powodujce wykonywanie pewnych funkcji lub uruchamianie programw.
Napastnik, ktry szuka technicznych luk w systemie lub jest w stanie
zainstalowa konia trojaskiego na komputerze ofiary, moe rwnie
uzyska zdalny dostp do powoki polece.
Analiza oszustwa
Napastnik osacza ofiar, przekonujc j, e ma problem, ktry tak naprawd nie istnieje, albo, tak jak w tym przypadku, informuje o problemie,
72
argon
Socjotechnika zwrotna atak socjotechniczny, gdy napastnik kreuje sytuacj, w ktrej ofiara zauwaa jaki problem i kontaktuje si z napastnikiem, proszc o pomoc. Inna forma socjotechniki zwrotnej polega na
odwrceniu rl. Ofiara orientuje si, e zostaa zaatakowana i, korzystajc z wiedzy psychologicznej i wywierajc wpyw na napastnika,
stara si wycign od niego jak najwicej informacji, w celu ochrony
wasnej firmy.
Stosujc tego rodzaju sztuczk, socjotechnik stara si wybra jako ofiar osob z ma znajomoci komputerw. Im wicej ona wie, tym bardziej
prawdopodobne jest to, e zacznie co podejrzewa lub po prostu zorientuje
si, e jest manipulowana. Pracownik, ktremu obsuga komputera sprawia
trudnoci, ktry nie zna procedur ani zasad dziaania, atwiej bdzie poddawa si woli napastnika. Osoba taka atwiej da si nabra na podstp w rodzaju: Czy mgby cign ten may programik?, poniewa nie ma pojcia o potencjalnych szkodach, jakie taki program mgby wyrzdzi. Co wicej, jest o wiele mniejsza szansa, e zdaje ona sobie spraw z wagi informacji,
jakie znajduj si w sieci firmy i z ryzyka zwizanego z ich udostpnieniem.
Uwaga Mitnicka
Jeeli obcy wywiadcza Ci przysug, a nastpnie prosi Ci o przysug,
nie rewanuj si bez zastanowienia si nad tym, o co waciwie zostae poproszony.
73
Pomocna Andrea
Dzia kadr, Andrea Calhoun.
Cze Andrea, mwi Alex z wydziau bezpieczestwa.
Tak?
Jak si dzi miewasz?
Dobrze. W czym mog ci pomc?
Suchaj, opracowujemy program szkolenia z zakresu bezpieczestwa
dla nowych pracownikw i musimy zgromadzi par osb, eby go wyprbowa. Potrzebne mi s nazwiska i numery telefonw wszystkich nowo
przyjtych osb. Moesz mi jako pomc?
OK, ale dopiero dzi po poudniu. Moe by? Jaki jest twj wewntrzny?
Pewnie e moe by, wewntrzny 52... hmm, ale w zasadzie dzi cay
dzie jestem na spotkaniach. Zadzwoni do ciebie, kiedy wrc do biura,
prawdopodobnie po czwartej.
Kiedy Alex zadzwoni okoo 16:30, Amy miaa ju list i odczytaa mu nazwiska oraz numery wewntrzne.
74
Tak.
Cze Rosemary. Mwi Bili Jorday z dziau bezpieczestwa informacji.
Tak?
Czy kto z twojego wydziau omawia z tob praktyki bezpieczestwa?
Raczej nie.
Dobrze. Wic tak: po pierwsze nie wolno nikomu instalowa oprogramowania przyniesionego spoza firmy. To dlatego, e nie chcemy bra odpowiedzialnoci za korzystanie z nielicencjonowanego oprogramowania, a przy
okazji chodzi o uniknicie problemw z wirusami.
Rozumiem.
Czy syszaa o naszych zaleceniach zwizanych z poczt elektroniczn?
Nie.
Jaki jest aktualny adres twojej skrzynki?
Rosemary@ttrzine.net.
Czy wchodzisz na swoje konto poprzez nazw uytkownika Rosemary?
Nie. R-pokrelenie-Morgan.
Dobrze. Chcemy uwiadomi wszystkim nowym pracownikom, e
otwieranie nieoczekiwanych zacznikw jest niebezpieczne. Rozsyanych
jest wiele wirusw, a docieraj one do nas w wiadomociach od znajomych
osb. Dlatego, jeeli otrzymasz wiadomo z zacznikiem, ktrego si nie
spodziewaa, powinna zawsze sprawdzi, czy nadawca rzeczywicie sam
go przesa. Jest to dla ciebie jasne?
Tak. Syszaam o tym.
Dobrze. Zalecamy rwnie zmian hasa co dziewidziesit dni. Kiedy
ostatnio zmieniaa haso?
Pracuje tu dopiero od trzech tygodni i cay czas uywam tego, ktre
wybraam na pocztku.
W porzdku. Moesz poczeka, a upynie reszta z tych 90 dni. Musimy si te upewni, czy ludzie ustalaj hasa, ktre nie s zbyt atwe do odgadnicia. Czy uywasz hasa, ktre zawiera litery i cyfry?
Nie.
W takim razie musimy to poprawi. Jakie jest twoje obecne haso?
To imi mojej crki Annette.
To nie jest bezpieczne haso. Nigdy nie powinna wybiera hase, ktre w jaki sposb s zwizane z danymi osobowymi dotyczcymi ciebie czy
75
czonkw twojej rodziny. Niech pomyl... mogaby robi to samo co ja. Moesz uywa obecnego hasa jako pierwszej czci i potem, za kadym razem,
kiedy je zmieniasz, dodawa numer biecego miesica.
A jeeli zmieni teraz, w marcu, powinnam uy cyfry 3 czy 03?
To zaley od ciebie. Ktry wariant jest dla ciebie wygodniejszy?
Myl, e Annette-trzy.
Dobrze. Czy mam ci poprowadzi przez zmian hasa?
Nie, to ju umiem.
wietnie. Jeszcze jedna rzecz, o ktrej musimy porozmawia. Na twoim
komputerze zainstalowany jest program antywirusowy i wane jest jego aktualizowanie. Nigdy nie powinna wycza automatycznej aktualizacji, nawet gdy twj komputer chwilami zwalnia, dobrze?
Jasne.
To bardzo dobrze. Czy masz u siebie numer telefonu do nas, aby moga dzwoni w sprawie problemw z komputerem?
Nie miaa. Rozmwca poda jej numer telefonu, ktry uwanie zapisaa
i wrcia do pracy, znw zadowolona ze sposobu, w jaki si j tu traktuje.
Analiza oszustwa
W historii tej ponownie zwracam szczegln uwag czytelnika na kwesti przewijajc si przez ca ksik: najbardziej typow informacj, jak
socjotechnik bdzie chcia uzyska od pracownika niezalenie od ostatecznego celu ataku, bd jego dane uwierzytelniajce. Majc nazw uytkownika i haso jednego z pracownikw odpowiedniego dla siebie dziau firmy, napastnik dysponuje podstawowym elementem pomagajcym w dostaniu si
do systemu i zlokalizowaniu podanej informacji. Posiadanie tych danych
to jak posiadanie klucza do bram zamku. Dziki nim mona swobodnie porusza si wewntrz i odnale szukany skarb.
Uwaga Mitnicka
Przed umoliwieniem nowym pracownikom jakiegokolwiek dostpu do
systemu komputerowego firmy, musz oni by przeszkoleni w zakresie
bezpieczestwa. Szczeglny nacisk naley pooy na to, by nigdy nie
wyjawiali swoich hase.
76
77
78
79
80
Poszedem na cao:
Ktry z nich pracuje w grupie SHT-100?
Nie wiedziaa, wic wybraem Scotta Archera jako pierwszego z brzegu i zostaem z nim poczony. Kiedy podnis suchawk, powiedziaem:
Cze, tu Mik z obsugi poczty. Mamy tu przesyk kuriersk adresowan na grup pracujc nad zastawk serca SHT-100. Nie wiesz, komu to dostarczy?. Poda mi nazwisko szefa projektu Jerryego Mendela. Skoniem
go rwnie do tego, by poda mi jego numer telefonu.
Zadzwoniem. Mendela nie byo, ale jego komunikat w poczcie gosowej
informowa, e jest na urlopie do trzynastego, co oznaczao, e jeszcze przez
tydzie bdzie jedzi sobie na nartach i odpoczywa, a kady, kto ma do niego jak spraw, powinien zadzwoni do Michelle pod numer 9137. Jake ci
ludzie bywaj pomocni.
Zadzwoniem zatem do Michelle. Kiedy odebraa, powiedziaem:
Tu Bill Thomas. Jeny powiedzia mi, e mam do pani zadzwoni, kiedy bd mia specyfikacje, ktre maj przejrze ludzie z jego grupy. Pani jest
z grupy pracujcej nad zastawk, tak?
Michelle odpowiedziaa twierdzco.
Teraz przyszed czas na wykonanie najtrudniejszej figury w tacu. Jeeli
wyczubym w jej gosie podejrzliwo, byem gotw tumaczy si, e prbuj jedynie wywiadczy Jerryemu przysug, o ktr mnie prosi.
Na jakim systemie pracujecie? zapytaem.
Systemie?
Jakich serwerw uywa wasza grupa?
Aha powiedziaa. RM22. Cz grupy korzysta te z LC16. Udao
si. Tego wanie potrzebowaem i bya to informacja, ktr mogem uzyska
bez zbytniego wzbudzania podejrze. To przygotowao grunt pod nastpne
pytanie, ktre staraem si zada jak najnaturalniej.
Jerry powiedzia, e pani moe mi da list adresw e-mail czonkw
grupy badawczej powiedziaem i wstrzymaem oddech.
Oczywicie. Lista dystrybucyjna jest za duga, eby j przedyktowa.
Mog j panu przesa e-mailem?
Stop! Kady adres mailowy, ktry nie koczy si na geminimed.com, mg
wczy sygna ostrzegawczy.
A moe mi j pani przefaksowa? spytaem.
Nie widziaa w tym adnego problemu.
Nasz faks chwilowo nie dziaa. Musz zdoby numer drugiego. Zadzwoni jeszcze raz za chwil powiedziaem i odoyem suchawk.
81
Wydawa by si mogo, e mam w tym momencie pewien problem. Rozwizanie go byo jednak bardzo proste. Poczekaem chwil, aby mj gos nie
wyda si znajomy recepcjonistce, zadzwoniem i powiedziaem:
Cze, tu Bill Thomas, nasz faks przesta dziaa, czy mog odebra faks
na waszym aparacie?
Powiedziaa, e nie ma problemu, i daa mi numer.
I wtedy poszedem tam odebra faks? Oczywicie, e nie. Regua numer jeden: nigdy nie skadaj osobistych wizyt w siedzibie firmy, jeeli nie jest to absolutnie konieczne. Nie jest atwo zidentyfikowa kogo, kto jest tylko gosem w telefonie. A jeeli nie mona ci zidentyfikowa, nie mona ci aresztowa. Trudno zaoy rozmwcy telefonicznemu kajdanki. Zadzwoniem wic
za chwil ponownie do recepcjonistki i zapytaem, czy przyszed mj faks.
Tak.
Mam prob powiedziaem. Musz to wysa do naszego konsultanta. Mogaby to dla mnie zrobi?
Zgodzia si. Zreszt dlaczego miaaby si nie zgodzi trudno oczekiwa
od kadej recepcjonistki umiejtnoci rozpoznawania poufnych danych. Podczas gdy wysyaa faks do konsultanta, mogem rozprostowa koci, udajc si do pobliskiego sklepiku, na ktrym widnia szyld: Faksy wysyanie, odbieranie. Spodziewaem si, e mj faks dotrze tam przede mn. Tak
te si stao gdy wkroczyem do sklepu, ju na mnie czeka. Sze stron po
1,75$ kada. Za jeden banknot dziesiciodolarowy i troch drobnych miaem
w rkach list e-maili wszystkich czonkw grupy badawczej.
Wamanie do systemu
Jak na razie rozmawiaem z trzema lub czterema osobami w cigu kilku
godzin i byem o jeden milowy krok bliej dostania si do systemu komputerowego firmy. Potrzebowaem jednak wci paru informacji.
Po pierwsze, numer telefonu do czenia si z serwerem z zewntrz. Zadzwoniem znowu do GeminiMed, poprosiem recepcjonistk o poczenie
z dziaem informatyki i poprosiem czowieka, ktry tam podnis suchawk o poczenie z kim, kto moe mi udzieli pomocy w zwizku z komputerem. Przeczy mnie, a ja zaczem udawa osob zagubion i niezbyt lotn
w kwestiach technicznych.
Jestem w domu, wanie przyniosem z pracy nowy laptop i musz go
82
argon
Haszowanie hasa proces, w wyniku ktrego haso zostaje zamienione
na posta niezrozumia. Proces ten jest z zaoenia nieodwracalny, innymi sowy zakada si, e rekonstrukcja hasa po haszowaniu jest niemoliwa.
Gdy kto chce przesa pliki do komputera, musi si zidentyfikowa, podajc nazw uytkownika i haso. Systemowy program uwierzytelniajcy szyfruje haso i porwnuje wynik z przechowywanym w pliku hase zaszyfrowanym wzorcem. Jeeli dwa cigi s takie same, uytkownik uzyskuje dostp.
Jako e hasa w pliku s zaszyfrowane, sam plik jest udostpniony dla
kadego, zgodnie z zaoeniem, e nikt nie potrafi odszyfrowa zawartych
83
tam hase. mieszne domniemanie pobraem plik i potraktowaem go atakiem sownikowym (w rozdziale 12. mona przeczyta wicej o tej metodzie), by przekona si, e jeden z czonkw zespou badawczego, Steve Cramer, mia konto z hasem Janice. Prbujc szczcia, wpisaem jego nazw
uytkownika i haso na jednym z serwerw badawczych. Jeeli to by zadziaao, oszczdzibym troch czasu i ryzyka. Niestety, nie udao si.
Oznaczao to, e musz tego czowieka jako przechytrzy, aby poda mi
swoj nazw uytkownika i haso. Postanowiem poczeka z tym do weekendu.
Reszt ju znamy. W sobot zadzwoniem do Cramera i opowiedziaem
mu histori o wirusie na serwerach i koniecznoci odzyskania dartych z kopii zapasowych, aby zgasi w nim ewentualne podejrzenia.
A co z bajk, ktr opowiedziaem mu o podawaniu hasa na jednym
z formularzy z chwil przyjmowania si do pracy? Po prostu liczyem na to,
e nie bdzie pamita, e co takiego nigdy nie miao miejsca. Nowo przyjty pracownik wypenia tak wiele formularzy, e po latach trudno przypomnie sobie kad rubryk. Gdyby mi si nie powiodo, i tak dysponowaem
jeszcze dug list nazwisk.
Majc jego nazw uytkownika i haso, dostaem si na serwer, troch powszyem i wkrtce odnalazem pliki z projektem SHT-100. Nie byem pewny, ktre z nich s kluczowe, przetransferowaem wic wszystkie do martwego punktu zrzutu darmowej witryny FTP w Chinach, gdzie mogy by
przechowywane bez wzbudzania wikszych podejrze. Teraz mj klient musia odnale wrd plikw interesujce go informacje.
argon
Martwy punkt zrzutu miejsce przechowywania informacji, trudne do odnalezienia dla innych. W wiecie tradycyjnych szpiegw moga to by
obluzowana cega w cianie w wiecie hakerw jest to zwykle strona
internetowa w odlegym kraju.
Analiza oszustwa
Dla czowieka, ktrego nazywamy tu Craigiem Cogburneem, lub dla kogokolwiek obeznanego w sztuce socjotechniki opisane tu dziaanie jest pra-
84
wie rutynowe. Celem byo zlokalizowanie i pobranie plikw przechowywanych na chronionym przez firewalle i inne systemy zabezpieczajce komputerze firmowym.
Wikszo jego zadania bya prosta jak apanie deszczwki do wiadra. Na
pocztku Craig uda, e jest z obsugi poczty, i mwic o przesyce kurierskiej, nada sprawie posmak pilnoci. To oszustwo doprowadzio go do nazwiska lidera grupy badawczej pracujcej nad zastawk serca, ktry by co
prawda na urlopie, ale zapewne dla wygody zodziei informacji zostawi nagranie z nazwiskiem i numerem telefonu do Michelle. Podczas rozmowy z ni Craig rozwia wszelkie podejrzenia, owiadczajc, e odpowiada na
prob szefa grupy. Jako e szef by na urlopie, Michelle nie miaa moliwoci weryfikacji jego sw. Uwierzya w nie i bez problemu zgodzia si udostpni Craigowi wan i cenn informacj list adresw e-mail czonkw
grupy.
Nie nabraa podejrze nawet wtedy, gdy Craig poprosi o przesanie listy
faksem zamiast poczt elektroniczn, ktry to sposb zwykle jest dla obu
stron wygodniejszy. Dlaczego bya taka naiwna? Poniewa szef po powrocie
z urlopu mgby si dowiedzie, e jego podwadny utrudnia komu wykonanie zleconego przez niego zadania. Poza tym rozmwca powiedzia, e szef
nie tylko popiera jego prob, ale prosi go o pomoc. Kolejny przykad osoby,
ktra chce okaza si dobrym wsppracownikiem i przez to staje si atwym
celem ataku.
Craig unikn ryzyka zwizanego z osobistym pojawieniem si w budynku firmy, sprawiajc, e faks zosta przesany do recepcjonistki (zdawa sobie
spraw z jej chci do pomocy). W kocu recepcjonistkami s zwykle osoby
o czarujcej osobowoci. Drobne przysugi, takie jak przesanie czy odebranie faksu, to dla recepcjonistki rzecz naturalna, z czego skwapliwie skorzysta Craig. To, co zawiera faks, mogo zaalarmowa kadego, kto zna warto tej informacji nie mona jednak wymaga od recepcjonistki umiejtnoci odrniania informacji poufnych od nie majcych wartoci.
Korzystajc z innego sposobu manipulacji, Craig uda zagubionego i naiwnego, aby uzyska od informatyka numer dostpowy do firmowego serwera terminala urzdzenia czcego wszystkie systemy komputerowe wewntrz firmy.
Craig poczy si atwo z sieci, prbujc domylnego hasa, ktre nie zostao zmienione. Jest to jedna z ewidentnych luk, ktre istniej w wielu sieciach wewntrznych zabezpieczonych firewallami. Domylne hasa do wielu
systemw operacyjnych, routerw i podobnych urzdze, cznie z centrala-
85
mi PBX, pozostaj udostpnione. Kady socjotechnik, haker, szpieg przemysowy lub po prostu zwyky ciekawski moe odnale ich list pod adresem
http://www.phenoelit.de/dpl/dpl.html. (To niesamowite, w jaki sposb Internet uatwia ycie tym, ktrzy wiedz, gdzie szuka. Teraz Ty rwnie wiesz
ju, gdzie szuka).
Cogburneowi udao si nastpnie przekona ostronego i podejrzliwego
pracownika (Mgby pan powtrzy swoje nazwisko? Pod kogo pan podlega?), aby ten ujawni mu swoj nazw uytkownika i haso do serwera
uywanego przez grup badawcz pracujc nad zastawk serca. W ten sposb zostawi Craigowi otwarte drzwi i umoliwi mu przegldanie najpilniej
strzeonych sekretw firmy i pobranie planw najnowszego produktu.
A co, gdyby Steve Cramer nabra podejrze w zwizku z telefonem Craiga? Mao prawdopodobne, e zrobiby co w celu powiadomienia kogokolwiek a do pojawienia si w pracy w poniedziaek, kiedy byoby ju za pno na zapobieenie atakowi.
Oto kluczowy element ostatniego oszustwa: Craig z pocztku nie wykazywa adnego zainteresowania problemem Stevea. Potem zmieni podejcie i zacz wykazywa ch pomocy, aby Steve mg ukoczy prac.
W wikszoci przypadkw, kiedy ofiara wierzy, e prbujemy jej pomc, bdzie skonna podzieli si z nami poufnymi informacjami, ktrych w innym
przypadku strzegaby jak oka w gowie.
Uwaga Mitnicka
W pracy dla kadego najwaniejsze jest ukoczenie biecego zadania.
Pod naporem tego argumentu praktyki zwizane z bezpieczestwem
czsto schodz na dalszy plan i s pomijane lub ignorowane. Socjotechnicy potrafi to wykorzysta.
Jak zapobiega?
Jednym z najbardziej skutecznych trikw socjotechnikw jest odwracanie sytuacji. Widzielimy to w tym rozdziale. Socjotechnik tworzy problem,
a nastpnie w magiczny sposb go rozwizuje, wyudzajc od ofiary informacje o dostpie do najpilniej strzeonych sekretw firmy. Czy Twoja firma
daaby si w ten sposb podej? Czy zadalicie sobie trud opisania i wprowadzenia w ycie odpowiednich regu bezpieczestwa, ktre pozwoliyby tego
unikn?
86
87
Uwaga Mitnicka
Osobicie uwaam, e firmy nie powinny dawa adnej moliwoci wymiany hase. O wiele atwiej ustali jednoznaczn zasad, ktra zakazuje personelowi jakiegokolwiek udostpniania tajnych hase. Tak jest bezpiecznej.
Kto pyta?
W wikszoci organizacji powinna funkcjonowa regua mwica, e kada informacja, ktrej udostpnienie moe zaszkodzi firmie lub jej pracownikowi, moe by udzielana tylko znanym osobom, ktrych gos brzmi na tyle
znajomo, e nie ma wtpliwoci co do ich tosamoci.
W sprawach o wysokim stopniu poufnoci uwzgldniane powinny by jedynie zapytania przedstawione osobicie lub z pomoc silnej formy uwierzytelniania na przykad dwch oddzielnych zabezpiecze, takich jak wsplna tajemnica i identyfikator generowany na podstawie czasu.
Procedury klasyfikacji danych musz wspomina o tym, e adna informacja z czci organizacji zajmujcej si poufnymi projektami nie moe by
udzielona osobie nieznanej osobicie lub za ktr kto nie porczy.
88
Uwaga
Trudno uwierzy, ale nawet odnalezienie nazwiska i numeru dzwonicego w firmowej bazie pracownikw i oddzwonienie do niego nie daje
adnych gwarancji socjotechnicy znaj sposoby na wprowadzanie
nazwisk na list pracownikw i przekierowywanie rozmw telefonicznych.
Jak wic odpowiedzie na prob wsppracownika, ktra wydaje si uzasadniona i dotyczy np. listy nazwisk i adresw e-mail ludzi z naszego dziau? Jak zwikszy wiadomo faktu, e tego typu informacja, ktra ma wyranie mniejsze znaczenie ni np. specyfikacja nowego produktu, jest przeznaczona cile do uytku wewntrznego? W duym stopniu pomc tu moe
wyznaczenie osb w kadym wydziale, ktre zajmuj si probami o wydanie informacji poza obrb dziau. Osoby te powinny przej zaawansowane
szkolenie dotyczce bezpieczestwa, uwiadamiajce ich w zakresie procedur
weryfikacyjnych, ktrych powinni si trzyma.
6
Potrzebuj pomocy
Wiemy ju, jak socjotechnicy oszukuj ludzi, oferujc im pomoc. Inne czsto stosowane podejcie odwraca role: socjotechnik manipuluje ludmi, udajc, e potrzebuj od nich pomocy. Wszyscy potrafimy wspczu ludziom,
ktrzy znaleli si w trudnym pooeniu, dlatego podejcie to umoliwia socjotechnikowi dotarcie krok po kroku do swojego celu.
Przybysz
Jedna z historii przedstawionych w rozdziale 3. pokazaa, w jaki sposb
napastnik moe przekona ofiar, aby podaa mu swj numer pracownika.
W poniszym przykadzie ten sam efekt jest osigany inn metod. Ponadto
opisano tu, jak mona wykorzysta zdobyt w ten sposb informacj.
90
91
Dopilnuj, eby si tym zajto. Wkrtce wypata wrci na paskie konto zapewni.
Uwaga Mitnicka
Nie myl, e zabezpieczenia sieci i firewalle ochroni twoje informacje.
Szukaj najsabszego ogniwa. Zwykle okazuje si nim by czowiek.
Na delegacji
Niedugo potem administrator systemu w oddziale firmy w Austin w Teksasie odebra telefon.
Mwi Joe Jones owiadczy rozmwca. Dzwoni z centrali, z Wydziau Rozwoju. Bd u was w miecie przez tydzie, w hotelu Driskill.
Chciabym prosi o zaoenie mi tymczasowego konta, ebym mia dostp do
poczty bez dzwonienia na midzymiastow.
Podaj mi jeszcze raz swoje nazwisko i numer pracownika powiedzia
administrator.
Faszywy Jones poda numer i cign dalej:
Macie numery do czenia si przez modemy?
Chwileczk kolego, najpierw musz ci znale w bazie. Po chwili powiedzia:
Dobrze, Joe. Podaj mi jeszcze numer twojego budynku.
Napastnik odrobi lekcje i mia ju gotow odpowied.
Dobrze powiedzia administrator. Przekonae mnie.
To takie proste. Administrator zweryfikowa nazwisko Joseph Jones, wydzia i numer pracownika, a Joe udzieli poprawnej odpowiedzi na pytanie
testowe.
Twj login bdzie taki sam jak firmowy, jbjones powiedzia administrator. Zakadam ci pocztkowe haso zmien_mnie.
Analiza oszustwa
Kilka telefonw i pitnacie minut wystarczyo, by napastnik uzyska dostp do firmowej sieci WAN. Bya to jedna z wielu firm, ktrych ochrona
92
argon
Cukierkowa ochrona termin ukuty przez Bellovina i Cheswicka z Bell
Labs. Opisuje on system bezpieczestwa, w ktrym zewntrzna bariera, np. firewall, jest silna, a wewntrzna infrastruktura nie posiada adnych zabezpiecze. Okrelenie powstao poprzez porwnanie tego systemu do cukierka M&M, ktry ma tward skorupk i mikkie nadzienie
Wedug moich informacji tego rodzaju podstp zosta przeprowadzony wobec jednego z najwikszych na wiecie producentw oprogramowania komputerowego. Mona by sdzi, e administratorzy systemu w takich
firmach s wyszkoleni, aby wykrywa podobne ataki. Najprawdopodobniej
jednak miao to miejsce, a firma do dzisiaj nie wie, w jaki sposb kto uzyska dostp do ich sieci.
By moe P.T. Barnum nigdy nie powiedzia, e kadej minuty rodzi si jaki frajer, ale ktokolwiek to powiedzia, trafnie opisa przypadek pracownika firmy, ktrego podszed socjotechnik ze swoim darem wymowy.
93
imi ktrego ze staych klientw (Przysa mnie tu Joe mogo czasami wystarczy). Wwczas bramkarz otwiera drzwi i wpuszcza go do rodka.
Prawdziwy problem polega na znajomoci lokalizacji meliny. Drzwi byy
nieoznakowane, a waciciele niespecjalnie palili si do wieszania neonw informujcych o tym, jak tam trafi. W wikszoci przypadkw wystarczyo po prostu pojawi si w odpowiednim miejscu, aby otwarto przed nami
drzwi. Niestety, ten sam rodzaj zabezpiecze jest czsto stosowany w wiecie
biznesu, ktry cofa si tym samym do czasw prohibicji.
argon
Zabezpieczenie z czasw prohibicji zabezpieczenie to opiera si na tym, e
konieczna jest znajomo miejsca przechowywania informacji oraz sowa lub imienia, ktre umoliwia dostp do niego w systemie komputerowym.
94
95
Uwaga Mitnicka
Zabezpieczenie z czasw prohibicji w aden sposb nie powstrzymuje
atakw socjotechnicznych. Kady system komputerowy ma przynajmniej jednego operatora. Jeeli napastnik potrafi manipulowa ludmi,
ktrzy obsuguj system, ograniczony zasig wiedzy nie stanowi dla
niego adnej przeszkody.
Szukanie fali
Przed laty dla wielu ludzi zajmujc rozrywk byo nastawianie radia
na czstotliwo lokalnej policji lub stray poarnej i suchanie ekscytujcych rozmw o trwajcym napadzie na bank, poncym budynku lub rozwoju wydarze podczas pocigu samochodowego. Czstotliwoci te mona
byo odnale w ksikach dostpnych w pobliskiej ksigarni. Dzisiaj mona
je zdoby w Internecie i z ksiki, ktr mona kupi w sieci sklepw Radio
Shack. Mona tam znale czstotliwoci, na ktrych nadaj agencje lokalne,
stanowe, krajowe, a czasami nawet federalne.
Oczywicie suchali nie tylko ciekawscy. Bandyci rabujcy sklep w rodku nocy mogli sucha, czy w ich okolic zosta wysany jaki radiowz. Dealerzy narkotykowi mogli ledzi dziaania lokalnych sub antynarkotykowych. Piroman mg zwikszy swoj chor rado pync z podpalenia,
suchajc straakw walczcych z zaprszonym ogniem.
W ostatnich latach, wraz z rozwojem technologii komputerowych, mo-
96
liwe stao si szyfrowanie komunikatw gosowych. W miar jak naukowcy znajdowali sposoby upychania coraz wikszej mocy obliczeniowej w jednym maym chipie, dostpne stao si konstruowanie maych radiostacji wykorzystujcych szyfrowanie, ktre uniemoliwiaj zoczycom podsuchiwanie.
Wcibski Danny
W latach 90. entuzjasta podsuchiwania i dowiadczony haker, ktrego
nazwiemy Danny, zdecydowa si podj prb przechwycenia kodu rdowego oprogramowania od producenta bezpiecznych radiostacji. Mia nadziej, e po przestudiowaniu kodu znajdzie sposb na podsuchiwanie sub,
a by moe uyje tej technologii, aby uniemoliwi nawet najpotniejszym
agencjom rzdowym podsuchiwanie jego rozmw z przyjacimi.
Tacy jak on naleeli w mrocznym wiecie hakerw do specjalnej kategorii,
ktra znajduje si gdzie pomidzy niegronymi ciekawskimi a niebezpiecznymi zoczycami. Dysponuj oni wiedz ekspertw poczon z nieokieznanym pragnieniem burzenia cian i amania barykad. Wamuj si jednak
tylko dla samej satysfakcji. Atakuj strony internetowe wycznie dla zabawy i ekscytacji oraz aby udowodni, e potrafi tego dokona. Niczego nie
kradn i nie zarabiaj pienidzy na swojej dziaalnoci. Nie niszcz plikw ani
pocze sieciowych i nie unieruchamiaj systemw komputerowych. Sam
fakt wamania si i dostpu do plikw i e-maili za plecami administratorw
sieci uciera nosa ludziom odpowiedzialnym za trzymanie intruzw z dala.
Wanie to ucieranie nosa stanowi najwiksz przyczyn ich satysfakcji.
Z takim nastawieniem Danny chcia przejrze projekt najpilniej strzeonego produktu firmy, ktr mia na celowniku, aby zaspokoi swoj dze wiedzy i popodziwia ostatnie innowacje wprowadzone do projektu.
Nie trzeba wspomina, e projekty produktu byy pilnie strzeon tajemnic handlow, cenn i chronion jak kada wasno firmy. Danny zdawa
sobie z tego spraw, ale ani troch si tym nie przejmowa. W kocu bya to
jedna z tych wielkich bezimiennych korporacji.
Jak w takim razie zdoby kod rdowy oprogramowania? Jak si okazao, kradzie klejnotw koronnych firmy Secure Communications Group bya
niezwykle prosta, nawet mimo to, e firma bya jedn z tych, ktre stosoway praktyk bezpieczestwa zwan podwjnym uwierzytelnianiem. Jest to
97
argon
Podwjne uwierzytelnianie zastosowanie dwch rnych form uwierzytelniania w celu weryfikacji tosamoci. Na przykad osoba moe zosta uwierzytelniona po zatelefonowaniu z pewnej konkretnej lokalizacji i podaniu hasa
Oto przykad, ktry najprawdopodobniej okae si znajomy: kiedy otrzymujemy now kart kredytow, bank prosi nas o telefon potwierdzajcy, e
jestemy w jej posiadaniu i nie dostaa si w rce kogo, kto np. ukrad kopert z kart ze skrzynki pocztowej. Instrukcja zaczona do karty nakazuje wykonanie telefonu z domu. Kiedy dzwonimy, program komputerowy
w banku analizuje ANI, czyli automatyczn identyfikacj numeru, ktr telekomunikacja przesya w chwili odebrania telefonu z darmowej linii, za wykorzystanie ktrej paci bank.
Program ten porwnuje dane z ANI numeru telefonu, z ktrego dzwonimy, z numerem, jaki zostawilimy bankowi w naszych danych osobowych.
Z chwil, gdy pracownik banku odbiera telefon, na ekranie jego monitora
ukazuje si informacja z bazy danych dotyczca klienta, ktry dzwoni z tego numeru. Urzdnik w tym momencie wie, e klient dzwoni z domu. Jest to
pierwsza forma uwierzytelniania.
Nastpnie pracownik banku wybiera ktr z informacji wywietlonych
na temat klienta najczciej jest to numer ubezpieczenia, data urodzenia
lub nazwisko panieskie matki i pyta klienta o t informacj. Poprawna
odpowied na pytanie to druga forma uwierzytelniania opierajca si na danych, ktre klient powinien zna.
W opisywanej tu firmie produkujcej bezpieczne radiostacje kady pracownik z dostpem do komputera mia normaln nazw uytkownika i haso, a dodatkowo otrzymywa mae urzdzenie elektroniczne zwane tokenem. Wywietla ono kod zaleny od czasu. Istniej dwa typy takich urzdze: pierwszy ma wielko poowy karty kredytowej, ale jest troch grubszy, a drugi jest taki may, e mona go przypi do swojego pku kluczy.
Ten pochodzcy ze wiata kryptografii gadet ma malutkie okienko, ktre
wywietla cig szeciu cyfr. Co szedziesit sekund zawarto ekraniku si
zmienia, pokazujc inne cyfry. Kiedy uprawniona osoba prbuje wej do sie-
98
ci z zewntrz, musi w pierwszej kolejnoci przedstawi si jako autoryzowany uytkownik, wpisujc tajny FIN i cyfry wywietlone na tokenie. Po weryfikacji przez sie wewntrzn musi jeszcze poda swoj nazw uytkownika i haso.
Mody haker, Danny, chcc dosta w swoje rce kod, ktrego tak poda,
musia nie tylko zdoby login i haso ktrego z pracownikw (nic trudnego dla dowiadczonego socjotechnika), ale rwnie obej w jaki sposb kod
zaleny od czasu.
Pokonanie bariery podwjnego uwierzytelniania, czyli bezpiecznej identyfikacji poczonej z tajnym kodem PIN, wydaje si wyzwaniem godnym
bohaterw filmu Mission Impossible. Dla socjotechnika wyzwanie to jednak
przypomina bardziej dziaanie gracza pokerowego, ktry nie majc szczcia
w kartach, dziki swej nadzwyczajnej umiejtnoci odczytywania zachowa
innych ludzi, najczciej i tak odchodzi od stolika z du czci pienidzy innych graczy w kieszeni.
Szturm na fortec
Danny rozpocz od odrobienia lekcji. Wkrtce zebra tyle informacji, aby
mc wcieli si w pracownika firmy. Zna nazwisko pracownika, wydzia,
numer telefonu i numer pracownika, a take nazwisko i numer telefonu jego
szefa.
Nastaa cisza przed burz. Dosownie. Zgodnie z obmylonym planem
Danny potrzebowa teraz jeszcze jednej rzeczy, zanim wykona nastpny
krok, i byo to co, nad czym nie mia kontroli. Potrzebowa burzy nienej.
Czeka na odrobin pomocy od matki natury, a dokadnie na tak z pogod,
ktra uniemoliwi pracownikom dojazd do pracy.
W czasie zimy w Poudniowej Dakocie a tam wanie miaa siedzib rzeczona firma kady, kto mia nadziej na z pogod, nie musia czeka zbyt
dugo. W pitkow noc nadesza burza. niegi szybko przeszed w marzncy deszcz i do rana drogi zdyy si zamieni w lodowiska. Radio i telewizja
ostrzegay ludzi, aby nie wsiada do samochodu, jeeli nie jest to absolutnie
konieczne. Dla Dannyego bya to idealna okazja.
Zadzwoni do firmy i poprosi o poczenie z jednym z informatykw.
Czowiek, ktry podnis suchawk, przedstawi si jako Roger Kowalski.
Podajc nazwisko istniejcego pracownika, na temat ktrego zrobi wcze-
99
100
Billings.
Znam go powiedzia szefowi. Pracuje dla Eda Trentona. Moemy
mu udostpni identyfikator z centrum komputerowego?
Danny trzymajc suchawk, by zadziwiony t niezwyk i niespodziewan form pomocy, jakiej mu udzielono. Nie wierzy wasnym uszom. Po
paru kolejnych chwilach Kowalski wrci do telefonu i powiedzia:
Mj szef chce z panem sam porozmawia po czym poda nazwisko
i numer komrki szefa.
Danny zadzwoni do niego i opowiedzia wszystko jeszcze raz, dodajc
par szczegw o projekcie, nad ktrym pracowa i o tym, dlaczego jego
grupa musi koniecznie dotrzyma terminu.
Prociej by byo, gdyby kto po prostu poszed i przynis mj identyfikator powiedzia. Biurko nie powinno by zamknite, a karta bdzie
chyba w grnej szufladzie.
Myl, e tylko na weekend moemy pozwoli panu korzysta z identyfikatora awaryjnego. Powiem ludziom, ktrzy maj wtedy zmiany, eby
odczytywali kod, gdy bdzie pan dzwoni powiedzia szef, po czym poda
kod PIN, jakiego ma uywa wraz z identyfikatorem.
Przez cay weekend, za kadym razem, gdy Danny chcia dosta si do systemu komputerowego firmy, musia jedynie zadzwoni do centrum komputerowego i poprosi o odczytanie szeciu cyfr wywietlanych w okienku
identyfikatora.
Wewntrzna robota
Tak oto Danny uzyska dostp do systemu komputerowego firmy. Jednak
co dalej? Jak ma teraz znale serwer, na ktrym przechowywany jest algorytm szyfrowania?
By na to przygotowany wczeniej.
Wielu uytkownikw komputerw zna grupy dyskusyjne, potny zbir
forw internatowych, gdzie ludzie przesyaj pytania, na ktre inni odpowiadaj, lub szukaj nowych znajomych, ktrzy take interesuj si muzyk, komputerami bd jednym z tysicy innych dostpnych tematw.
Niewielu ludzi zdaje sobie jednak spraw, e kiedy przesyaj wiadomo
na grup dyskusyjn, wiadomo ta pozostaje dostpna przez lata. Google
przechowuje w tym momencie archiwum siedmiuset milionw wiadomoci.
Niektre z nich zostay wysane nawet przed dwudziestu laty! Danny rozpo-
101
102
Po zaogowaniu na tymczasowe konto Danny mg ju poczy si z systemami programistycznymi Secure Communications Group. Po kolejnej godzinie poszukiwa sabych punktw, ktre pozwoliyby mu dosta si na
gwny serwer programistyczny, udao mu si tego dokona. Najwyraniej
administrator systemu nie by na bieco z najnowszymi sposobami obchodzenia zabezpiecze systemu i zdalnym dostpem do niego, czego nie mona
byo powiedzie o Dannym.
W krtkim czasie odnalaz pliki kodu rdowego, ktrych szuka, i zdalnie przetransferowa je na witryn sklepu internetowego, ktry oferowa
darmowe miejsce na dysku. Na takiej stronie, nawet po odkryciu tam skradzionych plikw, nie da si go namierzy.
Przed opuszczeniem systemu pozostaa jeszcze jedna operacja: metodyczny proces usuwania ladw swojej bytnoci. Wyszed z systemu przed zakoczeniem wieczornej edycji Jay Leno Show. Danny doszed do wniosku, e
weekend nie poszed na marne. Do tego w adnym momencie nie wystawi
si na ryzyko. Przey tylko upojny dreszczyk emocji, lepszy ni zapewnia
snowboard czy skoki na bungee.
Tej nocy Danny upi si nie ginem, piwem ani wdk, tylko poczuciem
wadzy i dominacji, jakie uroso w nim w chwili przegldania skradzionych
plikw, zawierajcych cile poufne oprogramowanie dla radiostacji.
Analiza oszustwa
Podobnie jak w poprzedniej historii, oszustwo zadziaao, poniewa jeden
z pracownikw zbyt pochopnie uwierzy, e osoba dzwonica jest rzeczywicie tym, za kogo si podaje. Z jednej strony, ch pomocy wsppracownikowi zwiksza skuteczno dziaania firmy i jest tym, co sprawia, e z jednymi osobami lubimy wsppracowa, a z innymi nie. Z drugiej jednak strony
nasza ch pomocy moe okaza si saboci, ktr chtnie wykorzysta socjotechnik.
Pewien element manipulacji Dannyego by szczeglnie smakowity: kiedy
prosi, aby kto poszed po jego identyfikator lecy na biurku, uywa sowa
przynie. Przynie to polecenie, jakie wydaje si psu. Nikt nie lubi, gdy
kto kae mu co przynie. Uywajc tego sowa, Danny mg by bardziej pewny, e nikt nie bdzie chcia wypeni tego polecenia i wybierze jakie inne rozwizanie, na czym wanie mu zaleao.
Pracownik centrum komputerowego, Kowalski, da si podej przez Dan-
103
nego, kiedy usysza nazwiska ludzi, ktrych zna. Ale jak to si stao, e szef
Kowalskiego w istocie szef IT firmy umoliwi obcej osobie dostp do
wewntrznej sieci firmy? Po prostu proba o pomoc moe sta si doskonaym narzdziem perswazji w arsenale socjotechnika.
Czy co podobnego mogoby wydarzy si w waszej firmie? Czy moe ju
si wydarzyo?
Uwaga Mitnicka
Opisana historia udowadnia, e kody zalene od czasu i podobne formy uwierzytelniania nie gwarantuj ochrony przed chytrym socjotechnikiem. Jedyn skuteczn ochron jest wiadomy pracownik, ktry postpuje zgodnie z procedurami bezpieczestwa i rozumie, w jaki sposb
inni mog w zych zamiarach wpywa na jego zachowanie.
Jak zapobiega?
Czsto powtarzajcym si elementem w opisywanych w ksice historiach jest napastnik, ktry dostaje si do firmowej sieci z zewntrz, dziki
osobie, ktra nie zadaje sobie trudu weryfikacji, czy dzwonicy jest rzeczywicie tym, za kogo si podaje. Dlaczego wci do tego wracam? Poniewa
w wielu atakach socjotechnicznych jest to podstawowy czynnik powodzenia
operacji. Dla socjotechnika jest to najatwiejszy sposb na osigniecie celu. Po
co napastnik miaby spdza dugie godziny, prbujc wama si do systemu, skoro moe to zrobi za pomoc jednego telefonu?
Jedn z najskuteczniejszych taktyk socjotechnicznych przy tego rodzaju
atakach jest prosty chwyt z prob o pomoc dlatego te jest on czsto stosowany. Na pewno nie chcemy, aby nasi pracownicy przestali w ogle pomaga swoim kolegom lub klientom, dlatego naley wyposay ich w jednoznaczne procedury weryfikacyjne, stosowane w sytuacji, gdy kto prosi o poufne dane lub dostp do komputera. W ten sposb mog oni dalej pomaga tym, ktrzy rzeczywicie tego potrzebuj, chronic jednoczenie dobra i system komputerowy firmy.
Polityka i procedury bezpieczestwa firmy musz jednoznacznie opisywa detale mechanizmu weryfikacji, jaki powinien by stosowany w rnych okolicznociach. W rozdziale 16. mona znale szczegow list procedur, a poniej wymienione zostay pewne wytyczne do rozwaenia:
104
7
Faszywe witryny
i niebezpieczne
zaczniki
Powszechnie wiadomo, e nie ma nic za darmo. Jednak do dzisiaj trik polegajcy na oferowaniu czego za darmo cigle z powodzeniem jest stosowany zarwno przez uczciwe firmy, jak i niezbyt.
Wikszo z nas bywa tak zalepiona moliwoci otrzymania czego za
darmo, e nie zastanawia si trzewo nad ofert i obietnicami w niej zawartymi. Oferty takie czsto pojawiaj si w naszej skrzynce pocztowej. Naley bardzo uwaa na zaczniki do e-maili oraz darmowe oprogramowanie.
Przebiegy napastnik jest zdolny uy wszelkich rodkw, aby wama si do
firmowej sieci komputerowej, cznie z wykorzystaniem naszej saboci do
darmowych prezentw. Oto kilka przykadw.
106
To przyszo w e-mailu
Najprawdopodobniej codziennie otrzymujemy e-maile zawierajce reklamy lub oferujce za darmo co, czego ani nie chcemy, ani nie potrzebujemy.
Znamy je dobrze. Zawieraj obietnice porad inwestycyjnych, rabatw na
komputery, telewizory, kamery, witaminy lub wycieczki, oferuj karty kredytowe, ktrych nie potrzebujemy, urzdzenia pozwalajce oglda telewizj kablow bez pacenia abonamentu, sposoby na popraw zdrowia lub ycia seksualnego itd.
Od czasu do czasu pojawia si jednak w naszej skrzynce oferta, ktra
przyciga uwag. Moe to by darmowa gra, oferta zdj ulubionej gwiazdy,
darmowy program kalendarza lub niedrogi program typu shareware, ktry
zabezpieczy nasz komputer przed wirusami. W kadym z tych przypadkw
e-mail zawiera odnonik do pliku, ktry zawiera oferowany nam produkt.
107
108
Uwaga
Istnieje te odmiana tego programu zwany RAT (ko trojaski ze zdalnym dostpem), ktry umoliwia atakujcemu peny dostp do naszego komputera, tak jakby siedzia przy naszej klawiaturze.
Uwaga Mitnicka
Wystrzegajmy si wszelkich prezentw oferowanych nam w e-mailach, aby naszej firmy nie spotka los podobny do tragedii miasta Troja.
W razie wtpliwoci naley korzysta z programw antywirusowych.
Wiadomo od przyjaciela
Scenariusz moe by jeszcze gorszy, nawet wtedy, gdy zastosowalimy
rodki ostronoci. Wyobramy sobie, e zdecydowalimy si nie dawa hakerom adnych szans. Dlatego nie bdziemy wicej pobiera adnych plikw
109
ze stron, poza tymi, ktre znamy i wiemy e s bezpieczne, np. SecurityFocus.com czy Amazon.com. Nie bdziemy te klika odnonikw w e-mailach
otrzymanych z niewiadomego rda. Nie bdziemy ju otwiera zacznikw do e-maili, ktrych si nie spodziewalimy. Bdziemy sprawdza, czy
w przegldarce pojawia si symbol bezpiecznego poczenia podczas kadej
przeprowadzanej transakcji internetowej lub wymiany poufnych informacji.
Pewnego dnia otrzymujemy jednak e-maila od przyjaciela lub wsppracownika, ktry zawiera zacznik. Czy moe by w nim co niebezpiecznego, jeeli pochodzi od kogo, kogo dobrze znamy? Niby nie, szczeglnie jeeli wiemy, kogo wini, jeeli zniszczone zostan nasze dane.
Otwieramy zacznik i... BUM! Otrzymalimy wirusa lub konia trojaskiego. Jak kto, kogo znamy, mg nam co takiego zrobi? Niektre rzeczy nie s tym, na co wygldaj. Bya ju o tym mowa: wirus, ktry dostaje si do czyjego komputera i wysya si do wszystkich, ktrzy znajduj
si w ksice adresowej. Kada z tych osb otrzymuje wiadomo od kogo,
kogo zna i komu ufa i kada z tych wiadomoci zawiera wirusa, ktry rozprzestrzenia si jak fale na spokojnej wodzie, gdy wrzucimy do niej kamie.
Technika ta jest efektywna, poniewa mamy tu przysowiowe dwie pieczenie przy jednym ogniu: moliwo propagacji do niczego nie podejrzewajcych ofiar i identyfikator nadawcy, ktry sugeruje pochodzenie wiadomoci od zaufanej osoby.
To straszne, ale prawdziwe, e przy obecnym poziomie technologii moemy otrzyma e-maila od kogo bliskiego i zastanawia si, czy jego otwarcie jest bezpieczne.
Uwaga Mitnicka
Czowiek wymyli wiele wspaniaych rzeczy, ktre zmieniy wiat i nasze ycie. Jednak wraz z pojawieniem si jakiejkolwiek nowej technologii, czy to telefonw, czy komputerw, czy Internetu, pojawiaj si
nowe sposoby wykorzystania jej w nieuczciwych zamiarach.
Wariacje na temat
W czasach oglnej dostpnoci Internetu popularne stao si oszustwo polegajce na przekierowaniu uytkownika na faszyw witryn. Zdarza si to
110
Wesoych wit
Emerytowany sprzedawca ubezpiecze imieniem Edgar odebra pewnego
dnia e-mail z PayPal firmy oferujcej szybki i wygodny sposb dokonywania patnoci w sieci. Ten rodzaj usugi jest szczeglnie przydamy, kiedy
osoba z jednej czci kraju (lub wiata) kupuje co od innej osoby, ktrej nie
zna. PayPal obcia kart kredytow kupujcego i przelewa pienidze bezporednio na konto sprzedajcego.
Bdc kolekcjonerem starych pojemnikw szklanych, Edgar przeprowadza duo transakcji, korzystajc z wirtualnego domu aukcyjnego eBay i czsto korzysta z PayPal czasami nawet kilka razy w tygodniu.
Dlatego te zainteresowaa go wiadomo otrzymana okoo Boego Narodzenia 2001, oferujca nagrod za aktualizacj konta w PayPal. Wiadomo
brzmiaa nastpujco:
witeczne pozdrowienia dla staego klienta PayPal;
Nadchodzi Nowy Rok. Aby stary upyn szybciej PayPal
zwikszy stan Paskiego konta o 5$!
Aby otrzyma wspomniany prezent wystarczy zaktualizowa
informacje na swojej bezpiecznej witrynie PayPal do 1 Stycznia 2002. Kady rok przynosi wiele zmian. Aktualizujc informacje na swoim koncie umoliwi nam Pan dalsze wiadczenie
Panu i naszym staym klientom usug jak najwyszej jakoci
usug i pomoe utrzyma porzdek w naszych danych!
Aby zaktualizowa informacje teraz i otrzyma natychmiast
5$ na konto
PayPal wystarczy klikn ten link:
http://www.paypal-secure.com/cgi-bin
Dzikujemy za korzystanie z PayPal i pomoc w utrzymywaniu
pozycji lidera na rynku!
Serdeczne yczenia. Wesoych wit i szczliwego Nowego
Roku.
Zaoga PayPal
111
112
Kady pilot wie, e najniebezpieczniejsza cz lotu to dojazd na lotnisko i powrt z niego. Sam lot nie jest pozbawiony ryzyka, ale statystyki notuj niezmiennie, e latanie jest bezpieczniejsze ni jedenie samochodem. Podobnie jest z zakupami internetowymi: istnieje jakie ryzyko
w zakupach robionych poprzez Internet, ale nie jest ono wcale wiksze
od ryzyka podczas kupowania w zwykym sklepie. Banki oferuj pewien dodatkowy rodzaj ochrony, jeeli uywamy kart w sieci np. jeeli miay miejsce jakie nieautoryzowane zakupy, odpowiadamy jedynie za pierwsze 50$.
Dlatego te moim zdaniem obawy zwizane z zakupami przez Internet
nie s uzasadnione.
Analiza oszustwa
Edgar pad ofiar typowego internatowego oszustwa. Przybiera ono rne
formy. Jedna z nich (opisana w rozdziale 9.) wykorzystuj faszyw stron
uwierzytelniajc stworzon przez socjotechnika, ktra udaje stron jakiej
witryny. Rnica polega na tym, e faszywa strona nie daje dostpu do witryny, na ktr uytkownik prbuje wej, a zamiast tego haker odbiera login i haso uytkownika.
Podstp w przypadku Edgara polega na tym, e oszuci zarejestrowali
domen paypal-secure.com ktra wydaje si bezpieczn stron oficjalnej witryny PayPal, jednak ni nie jest. Z chwil kiedy Edgar wprowadzi na
stronie informacje o sobie, zostay one przejte przez napastnikw.
Uwaga Mitnicka
Za kadym razem, gdy odwiedzamy stron, ktra wymaga od nas podania prywatnych informacji, naley upewni si, czy poczenie jest
uwierzytelnione, a dane szyfrowane. Waniejsze jednak jest to, by nie
klika automatycznie przycisku Tak w pojawiajcych si oknach dialogowych, ktre mog ostrzega nas o nieprawidowym, przedawnionym lub uchylonym certyfikacie bezpieczestwa.
113
Nie przypuszczam, by kto mg udzieli dokadnej odpowiedzi na to pytanie, ale sowo mnstwo powinno zaatwi spraw.
Faszywe cza
Bardzo popularnym trikiem jest wysyanie e-maili oferujcych jaki kuszcy powd, dla ktrego warto odwiedzi dan stron, i zawierajcych bezporednie cze do niej. Niestety, cze zwykle nie prowadzi na stron, ktrej
si spodziewamy, poniewa tylko udaje cze do tej strony. Oto przykad
faszywego cza, ktrego uycie w rzeczywistoci miao miejsce. cze miao z pozoru wskazywa stron firmy PayPal:
www.PayPai.com
Na pierwszy rzut oka napis wyglda na PayPal. Nawet, jeeli uytkownik zauway bd, moe pomyle, e to jaka niedoskonao w sposobie
wywietlania tekstu, ktra sprawia, e l wyglda jak i. Kto jednak zdoaby odgadn, e w adresie:
www.PayPa1.com
uyto cyfry 1 zamiast maej litery l? Jest tylu ludzi, ktrzy nie potrafi dostrzec bdw w pisowni i podobnych bdnych przekierowa, e
sztuczka ta nie przestaje by popularna wrd internetowych zodziei kart
kredytowych. Faszywa strona zwykle wyglda jak strona, na ktr spodziewali si wej, dlatego zostawiaj tam beztrosko swj numer karty kredytowej. Aby zastawi tego typu puapk, napastnik musi jedynie zarejestrowa
faszyw domen, rozesa e-maile i czeka na naiwnych, ktrzy koniecznie
chc by oszukani.
W poowie 2002 roku otrzymaem e-mail, ktry wyglda na wiadomo
z eBay. Nadawca by oznaczony jako Ebay@ebay.com. Poniej przedstawiono
tre wiadomoci.
Temat: Szanowny uytkowniku eBay
Zauwaylimy, e niepowoana osoba korzysta z Paskiego konta eBay i narusza jeden z punktw naszej umowy, ktry przytaczamy:
4. Licytacja i kupowanie
Po zakupie przedmiotu za podan cen lub wygraniu licytacji, poprzez zaoferowanie najwyszej ceny, kupujcy ma obowizek sfinalizowania transakcji. Jeeli w chwili zakoczenia
114
aukcji zaoferowana przez Pastwa cena jest najwysza (wysza od innych cen co najmniej o wielko minimalnego przebicia i wysza od ceny minimalnej) i nasza oferta zostaa zaakceptowana przez sprzedajcego, s Pastwo zobowizani do
dokonania transakcji, o ile nie jest ona niezgodna z prawem
lub niniejsz umow.
Niniejsza wiadomo ma zwrci Pana uwag, e Paskie konto naruszyo interesy innych uytkownikw eBay, dlatego prosimy o natychmiastow jego weryfikacj. W przypadku braku
weryfikacji z Paskiej strony bdziemy zmuszeni zlikwidowa
konto.
Weryfikacji mona dokona pod nastpujcym adresem http:
//error_ebay.tripod.com
*********************************************
Uyte nazwy i znaki handlowe s wasnoci wymienionych
firm. eBay i logo eBay s zastrzeone przez firm eBay Inc.
Ci, ktrzy kliknli to cze, zostali przekierowani na witryn, ktra wygldaa bardzo podobnie jak eBay. Bya ona wietnie dopracowana, zawieraa oryginalne logo eBay, a wszelkie przyciski nawigacyjne typu przegldaj
czy kup kieroway do prawdziwej strony Ebay. Przegldarka wskazywaa,
e poczenie jest bezpieczne. Twrca strony zadba nawet o to, by uy szyfrowania HTML, uniemoliwiajcego wyledzenie miejsca, do ktrego przesane zostay wprowadzone tam dane.
Jest to doskonay przykad ataku socjotechnicznego z wykorzystaniem
komputera. Nie by on jednak pozbawiony pewnych niedoskonaoci.
Wiadomo nie bya zbyt dobrze napisana. W szczeglnoci akapit rozpoczynajcy si od sw: Niniejsza wiadomo ma zwrci Pana uwag, brzmi
do niezdarnie i nieprofesjonalnie (ludzie dopuszczajcy si takich czynw
nigdy nie wynajmuj profesjonalnych copywriterw, co zwykle atwo zauway). Poza tym, co bardziej ostrona osoba mogaby zada sobie pytanie,
dlaczego eBay prosi mnie o informacje z PayPal. Nie ma powodu, dla ktrego
eBay miaby pyta o prywatne informacje zwizane z inn firm.
Dowiadczony uytkownik Internetu zauwayby prawdopodobnie, e hipercze nie prowadzi do domeny Ebay, tylko do tripod.com darmowych
stron internetowych. Jest to oczywisty znak, e strona jest faszywa. Z pewnoci jednak wielu ludzi wprowadzio tam swoje informacje wraz z numerem karty kredytowej.
115
Uwaga Mitnicka
Dlaczego pozwala si ludziom rejestrowa domeny, ktre wygldaj jak
potencjalne puapki? Ot zgodnie z obowizujcym prawem, kady
moe w Internecie zarejestrowa domen.
Niektre firmy staraj si walczy z tym procederem, ale czsto jest to
walka z wiatrakami. General Motors wytoczy proces firmie, ktra zarejestrowaa domen fuckgeneralmotors, wskazujc witryn General
Motors, i przegra spraw.
Bd czujny
Indywidualni uytkownicy Internetu powinni by czujni i podejmowa
rozsdne decyzje o tym, kiedy podawanie swoich danych osobistych, hase,
numerw kont itp. jest uzasadnione i bezpieczne.
Ile znanych nam osb jest w stanie stwierdzi, czy dana strona internetowa spenia wymagania strony bezpiecznej? Jak wielu pracownikw naszej
firmy wie, po czym to pozna?
Kady, kto korzysta z Internetu, powinien zna may symbol, ktry czasami pojawia si na stronie i przypomina kdk. Naley zdawa sobie spraw, e zamknity zatrzask oznacza, e strona posiada certyfikat bezpieczestwa. Kiedy zatrzask jest otwarty lub ikona kdki si nie pojawia, strona nie
zostaa uwierzytelniona jako oficjalna i kada przesana informacja bdzie
niezaszyfrowana.
Z drugiej strony, napastnik, ktry zdoa uzyska przywileje administratora na komputerze firmy, moe zmieni kod systemu operacyjnego w taki
sposb, aby uytkownik nie by wiadomy, co si tak naprawd dzieje. Moe
on na przykad wprowadzi zmiany we fragmencie kodu przegldarki odpowiedzialnym za sprawdzanie, czy dane poczenie posiada certyfikat autentycznoci, tak aby kontrola ta w ogle nie nastpowaa. System moe by
rwnie zmodyfikowany poprzez instalacj tylnych drzwi na poziomie systemu operacyjnego, co jest bardzo trudne do wykrycia.
argon
Tylne drzwi ukryta moliwo wejcia do systemu uytkownika. Trik
ten jest uywany rwnie przez programistw w trakcie pisania programw i umoliwia im atwe wejcie do programu w celach diagnostycznych.
116
argon
SSL (Secure Socket Layer) protok stworzony przez Netscape, ktry
umoliwia uwierzytelnianie na potrzeby bezpiecznej komunikacji poprzez Internet zarwno po stronie klienta, jak i serwera.
Innym elementem zwizanym z bezpieczestwem, najczciej ignorowanym, jest komunikat ostrzeenia, ktry mwi: Ogldana strona nie jest bezpieczna lub wygas jej certyfikat bezpieczestwa. Czy chcesz mimo to j przeglda?. Wielu uytkownikw Internetu nie rozumie tego komunikatu i kiedy si on pojawia, po prostu przyciskaj OK i kontynuuj surfowanie, niewiadomi tego, e by moe znaleli si na niepewnym gruncie. Naley pamita, e bdc na stronie, ktra nie uywa bezpiecznego protokou, nie naley nigdy wprowadza poufnych informacji takich jak haso, ktrego uywamy gdzie indziej, adres lub numer telefonu, karty kredytowej czy konta
bankowego i wszelkich prywatnych informacji.
Thomas Jefferson powiedzia, e zachowanie wolnoci wymaga od nas
wiecznej czujnoci. Zachowanie prywatnoci i bezpieczestwa w spoeczestwie, w ktrym informacja przelicza si na pienidz, wymaga nie
mniejszego wysiku.
117
Uwaga na wirusy
Uwaga specjalna dotyczca oprogramowania antywirusowego: jest ono
niezbdne dla firmowego intranetu oraz dla kadego pracownika, ktry korzysta z komputera. Poza samym posiadaniem oprogramowania antywirusowego zainstalowanego na komputerze musi ono by oczywicie wczone
(czego wielu ludzi nie lubi, bo spowalnia to dziaanie niektrych aplikacji).
Istnieje jeszcze jedna wana procedura zwizana z oprogramowaniem antywirusowym aktualizacja definicji wirusw. Jeeli firma nie posiada systemu dystrybucji aktualizacji poprzez sie do kadego uytkownika, to kady uytkownik musi dopilnowa pobrania najnowszej wersji definicji wirusw. Osobicie zalecam takie ustawienie opcji programu antywirusowego,
aby nowe definicje instaloway si automatycznie codziennie.
Mwic wprost jeeli nie aktualizujemy regularnie definicji wirusw,
jestemy naraeni na niebezpieczestwo. Nawet jeeli to robimy, wci jestemy naraeni na wirusy, o ktrych producent oprogramowania jeszcze nie
wie lub nie zdy stworzy wykrywajcej je procedury.
Wszyscy pracownicy, ktrzy maj zdalny dostp do serwerw firmy ze
swoich laptopw lub komputerw w domu, musz aktualizowa swoje
oprogramowanie antywirusowe i stosowa na swoich komputerach firewalle jako niezbdne minimum. Pierwszym krokiem wyrafinowanego napastnika jest oglny ogld celu, aby odnale najsabszy punkt, a nastpnie go zaatakowa. Odpowiedzialno za firm wymaga staego przypominania pracownikom o stosowaniu firewalli i aktualizacji oprogramowania antywirusowego. Nie mona oczekiwa od wszystkich menederw, przedstawicieli handlowych i innych pracownikw, e bd pamitali o niebezpieczestwach, jakie niesie z sob pozostawienie komputera niezabezpieczonego.
Poza tymi krokami zalecam stosowanie mniej popularnych, ale nie mniej
istotnych pakietw oprogramowania, ktre strzeg nas przed komi trojaskimi. W chwili pisania tej ksiki dwa najbardziej znane to Cleaner
(www.moosoft.com) i Trojan Defense Sweep (www.diamondc.com.au).
Wreszcie najwaniejsza sprawa zwizana z bezpieczestwem firm, ktre
nie skanuj caej poczty przychodzcej z zewntrz pod ktem niebezpiecznej
zawartoci: jako e mamy tendencje do mniejszego przywizywania wagi do
rzeczy niezwizanych bezporednio z nasz prac, naley stale przypomina
pracownikom, aby nie otwierali zacznikw do poczty, chyba e s pewni osoby lub organizacji, ktra j przesaa. Kierownictwo musi rwnie stale przypomina pracownikom o koniecznoci stosowania oprogramowania
antywirusowego i wykrywaczy koni trojaskich nieocenionej ochrony
przed e-mailami, ktre wygldaj na godne zaufania, a zawieraj destrukcyjny adunek.
8
Wspczucie wina
i zastraszenie
W rozdziale 15. opisano, jak socjotechnik wykorzystuje znajomo ludzkiej psychiki, aby podporzdkowa sobie ofiar. Dowiadczeni socjotechnicy
s biegli w tworzeniu sytuacji stymulujcych takie emocje jak strach, podekscytowanie czy poczucie winy. W tym celu korzystaj z tych wewntrznych mechanizmw osobowoci, ktre ka ludziom reagowa na proby
bez gruntownej analizy sytuacji.
Wszyscy dymy do unikania trudnych sytuacji dotyczcych nas samych
lub innych osb. Bazujc na tej pozytywnej cesze, napastnik moe wykorzystywa wspczucie ofiary, sprawi, by czua si winna, lub zastraszy j.
Oto par podstawowych przykadw prezentujcych, jak mona gra na
emocjach.
119
Wizyta w studio
Niektrzy ludzie potrafi przej obok osoby pilnujcej wejcia np. do hotelowej sali bankietowej, gdzie odbywa si jakie prywatne przyjcie lub spotkanie, w taki sposb, e nie zostan nawet zapytani o zaproszenie czy bilet.
Na podobnej zasadzie socjotechnik potrafi tak pokierowa rozmow, e
doprowadzi do wrcz nieprawdopodobnych ustale co obrazuje ponisza
historia.
Telefon
Biuro Rona Hillyarda. Mwi Dorothy.
Dzie dobry, Dorothy. Nazywam si Kyle Bellamy. Jestem nowym pracownikiem i mam pracowa przy animacji w ekipie Briana Glassmana. Wiele rzeczy u was robi si inaczej.
Pewnie tak. Nigdy nie pracowaam w innej firmie, wic trudno mi cokolwiek powiedzie. W czym mog ej pomc?
Prawd mwic, jest mi troch gupio. Dzi po poudniu przychodzi scenarzysta na spotkanie, a ja nawet nie wiem, z kim trzeba rozmawia o wprowadzeniu go do studia. Ludzie z biura Briana s bardzo mili, ale nie chc im
cay czas zawraca gowy pytaniami typu: Jak si robi to?, Jak si robi
tamto?. Czuje si, jakbym by pierwszy dzie w podstawwce i nie umia
znale drogi do ubikacji, znasz pewnie to uczucie?
Dorothy rozemiaa si.
A kiedy ju znajdziesz ubikacj, to nie wiesz, jak potem wrci.
Zamiaa si ponownie na myl o jakim wspomnieniu z przeszoci, po
czym powiedziaa:
Musisz zwrci si do ochrony. Wykr 7, a potem 6138. Jeli odbierze
Laurean, powiedz jej, e Dorothy prosia, eby si tob zaopiekowaa.
Dziki, Dorothy. Jeeli nie bd potrafi znale drogi do mskiej toalety, by moe zadzwoni jeszcze raz! Zamiali si jeszcze na koniec i odoyli suchawki.
120
121
Analiza oszustwa
Kady kiedy by nowym pracownikiem. Wszyscy mamy wspomnienia
z pierwszych dni pracy, szczeglnie z czasw, kiedy bylimy modzi i niedowiadczeni. Gdy nowy pracownik prosi o pomoc, mona si spodziewa, e
wielu ludzi szczeglnie tych na niszych stanowiskach przypomni sobie wasne przeycia z pierwszych dni pracy i poda mu pomocn do. Socjotechnik zdaje sobie z tego spraw i wie, e moe w ten sposb wykorzystywa wspczucie swoich ofiar.
W ten wanie sposb uatwiamy obcym dostanie si na teren biur i zakadw naszej firmy. Mimo stranikw pilnujcych wej i procedur rejestrowania wchodzcych, uycie jednej z wielu wariacji opisanej tu taktyki umoliwi intruzowi uzyskanie identyfikatora gocia i wejcie na teren firmy. A co,
jeeli w naszej firmie obowizuje zasada eskortowania obcych? Sama zasada
jest dobra, ale dziaa jedynie wwczas, jeeli wszyscy pracownicy maj nawyk zatrzymywania kadego, kto ma identyfikator gocia, lub nie ma identyfikatora w ogle, i porusza si sam po terenie firmy, i zadawania mu odpowiednich w tej sytuacji i pyta. Jeeli odpowiedzi wydadz si podejrzane,
pracownik powinien wezwa ochron.
W sytuacji, gdy dostanie si na teren firmy staje si zbyt proste, jej poufne zasoby informacyjne s w niebezpieczestwie. Co wicej, biorc pod uwag dzisiejsze zagroenie atakami terrorystycznymi, naraamy w ten sposb
nie tylko informacje.
Zrb to teraz!
Nie kady, kto uywa metod socjotechniczych, jest typowym socjotechnikiem. Dowolna osoba posiadajca wiedz o strukturze firmy moe okaza si
niebezpieczna. Ryzyko staje si wiksze, jeeli firma przechowuje w swoich
aktach informacje o pracownikach. A jak wiadomo, robi to wikszo przedsibiorstw.
W sytuacji, gdy pracownicy nie s wyszkoleni w rozpoznawaniu socjotechnikw, zdeterminowane osoby, takie jak porzucona dama opisana w nastpnej historii, mog robi rzeczy, ktre uczciwym ludziom wydaj si nieprawdopodobne.
122
Historia Douga
Z Lind sprawy nie ukaday si zbyt dobrze, wic kiedy poznaem Erin,
poczuem, e to ta kobieta jest dla mnie stworzona. Linda jest troch jakby...
moe niezrwnowaona to ze sowo, ale kiedy si zdenerwuje, zdecydowanie za bardzo j ponosi.
W jak najagodniejszy sposb powiedziaem jej, e musi si wyprowadzi,
i pomogem jej si spakowa, a nawet oddaem jej par pyt Queensryche,
ktre tak naprawd byy moje. Jak tylko si wyprowadzia, poszedem do
sklepu kupi nowy zamek do drzwi wejciowych i zaoyem go jeszcze tego
samego wieczora. Nastpnego ranka zadzwoniem do telekomunikacji i poprosiem o zmian numeru telefonu i jego zastrzeenie.
Teraz mogem ju zaj si Erin.
Historia Lindy
Tak czy inaczej byam gotowa si wyprowadzi. Nie wiedziaam tylko kiedy. Nikt jednak nie lubi czu si odrzuconym. Zastanawiaam si, co zrobi,
aby poczu, jaki z niego dure.
atwo byo si zorientowa, o co chodzi. Pojawia si w jego yciu jaka
inna kobieta, w przeciwnym razie nie kazaby mi si tak szybko pakowa.
Odczekaam wic jaki czas i postanowiam dzwoni do niego pnymi popoudniami. Ostatni rzecz, jak chcieliby usysze o tej porze jest dzwonek
telefonu.
Odczekaam do nastpnego weekendu i zadzwoniam okoo 23:00 w sobot wieczorem. Okazao si, e zmieni numer telefonu, a nowy zastrzeg. To
tylko pokazuje, jaki by z niego skurczybyk.
Byam bliska rezygnacji. Zaczam szpera w papierach, ktre udao mi si
zabra do domu tu przed tym, jak przestaam pracowa w firmie telekomunikacyjnej, i znalazam pokwitowanie naprawy telefonu Douga wraz z wydrukiem, ktry podawa numer kabla i pary dla jego aparatu. Numer telefonu mona zmieni w kadej chwili, ale jest wykorzystywany cigle ten sam
kabel, ktry biegnie od domu do centrali telefonicznej. Jeeli wiemy co nieco
o dziaaniu firmy telekomunikacyjnej, numery te wystarcz, by zdoby numer telefonu.
Miaam rwnie list wszystkich central w miecie wraz z adresami i nu-
123
merami telefonw. Znalazam numer do centrali znajdujcej si w ssiedztwie miejsca, w ktrym mieszkaam z tym durniem, Dougiem. Zadzwoniam tam, ale oczywicie nikt nie odebra. Zawsze, kiedy s potrzebni, to
ich nie ma. Po dwudziestu sekundach zastanawiania przyszed mi do gowy
plan. Zaczam dzwoni do innych central i w kocu dowiedziaam si, gdzie
jest operator. By jednak gdzie daleko od centrali i prawdopodobnie nie zrobiby tego, o co chciaam go poprosi. Nadszed wic czas na wcielenie planu
w ycie.
Tu Linda, Centrum Serwisowe powiedziaam. Mamy tu piln
spraw zerwao si poczenie ze szpitalem. Wysalimy tam serwisanta, ale nie moe niczego znale. Musi pan natychmiast pojecha do centrali
w Webster i sprawdzi, czy wychodzi do nich z centrali.
Zadzwoni do pana, kiedy tam dojad dodaam jeszcze, jako e nie
mogam dopuci do tego, by zatelefonowa do Centrum Serwisowego i pyta o mnie.
Wiedziaam, e nie chciao mu si opuszcza ciepego miejsca, w ktrym
przebywa, wychodzi na mrz, zdrapywa lodu z przedniej szyby samochodu i jecha w nocy liskimi drogami. Sprawa bya jednak alarmowa i nie
mg za bardzo wymiga si innymi obowizkami.
Kiedy spotkaam go 45 minut pniej w centrali Webster, powiedziaam
mu, aby sprawdzi kabel 29, par 2481. Podszed do pulpitu, sprawdzi i powiedzia, e jest sygna. Tego akurat nie musia mi mwi.
Powiedziaam wic:
Dobrze, prosz jeszcze zrobi WL skrt ten oznacza weryfikacj linii,
ktra w zasadzie polega na zapytaniu o numer telefonu. Robi si to, dzwonic na specjalny numer, ktry odczytuje numer telefonu znajdujcego si na
drugim kocu kabla. Nie mg wiedzie, e numer ten jest zastrzeony lub e
wanie by zmieniony, wic zrobi, o co go poprosiam, odczytujc numer telefonu. Usyszaam w suchawce jak automat recytuje kolejne cyfry numeru.
Doskonale plan zadziaa.
A wic problem musi by w terenie, skoro na ich kable podawany jest
sygna powiedziaam mu, majc ju numer.
Podzikowaam, powiedziaam, e bdziemy nad tym pracowa, i yczyam mu dobrej nocy.
Tak zakoczya si prba ukrycia si Douga przede mn poprzez zastrzeenie numeru. Teraz dopiero zacznie si zabawa!
124
Analiza oszustwa
Moda kobieta bohaterka tej historii bya w stanie zdoby poszukiwan informacj, aby si zemci, poniewa miaa wiedz o strukturze organizacji: znaa numery telefonw, procedury i argon firmy telekomunikacyjnej. Wiedzc o tym wszystkim, bya w stanie nie tylko zdoby zastrzeony numer, ale dokona tego w rodku zimowej nocy, wysyajc operatora na
przymusow przejadk przez miasto.
Uwaga Mitnicka
Z chwil, kiedy socjotechnik pozna zasady rzdzce firm, moe z powodzeniem nawiza kontakt z jej pracownikiem. Firma musi by
przygotowana na ewentualne ataki socjotechniczne ze strony obecnych
lub byych jej pracownikw. Kontrole wewntrzne mog pomc w pozbyciu si osb majcych inklinacje do takich zachowa. W wikszoci przypadkw bd oni niezwykle trudni do wykrycia. Jedyn sensown ochron jest w tym momencie ulepszenie procedur weryfikacji
tosamoci, a w szczeglnoci sprawdzanie statusu pracownika w firmie przed udostpnieniem jakiejkolwiek informacji. Chodzi o sprawdzenie osoby, co do ktrej nie jestemy pewni, e jest obecnie zatrudniona
w naszej firmie. Przedsibiorstwa musz szkoli swoich pracownikw,
aby potrafili si oprze takiemu podstpowi.
125
Historia Scotta
Scott Abrams.
Scott, tu Christopher Dalbridge. Wanie dostaem telefon od prezesa
Biggleya, ktry by bardzo niezadowolony. Mwi, e dziesie dni temu wysa notatk nakazujc waszym ludziom zebranie wszystkich wynikw bada rynku dla nas do analizy. Nic takiego nie i otrzymalimy.
Badania rynku? Nikt mi o tym nie mwi. Z jakiego pan jest wydziau?
Jestem z firmy konsultingowej wynajtej przez prezesa i mamy ju
due opnienie.
Wanie id na spotkanie. Prosz zostawi mi numer telefonu i...
Napastnik przerwa mu tonem bliskim frustracji:
A co ja mam powiedzie Prezesowi?! Suchaj pan, on potrzebuje naszych
analiz do jutra rana i bdziemy musieli siedzie nad nimi w nocy. Czy mam
powiedzie prezesowi, e nie moemy zrobi analiz, bo nie mamy od was raportw, czy moe sam mu to pan powie?
Zo szefa moe zepsu cay tydzie. Ofiara najczciej zmienia zdanie
i dochodzi do wniosku, e moe lepiej si tym zaj, zanim pjdzie na spotkanie. Socjotechnik znw nacisn odpowiedni przycisk, aby otrzyma oczekiwan odpowied.
Analiza oszustwa
Zastraszanie poprzez odwoanie si do autorytetu dziaa szczeglnie mocno wtedy, gdy ofiara zajmuje stosunkowo nisk pozycj w przedsibiorstwie.
Uycie nazwiska wanej osoby nie tylko redukuje naturalny opr i podejrzliwo, ale wzmaga ch pomocy. Naturalna potrzeba bycia pomocnym wzrasta w sytuacji, kiedy wydaje si nam, e osoba, ktrej pomagamy, jest wana lub wpywowa.
126
Socjotechnik wie, e oszustwo to dziaa najlepiej, kiedy uywamy nazwiska kogo, kto ma wysze stanowisko ni bezporedni zwierzchnik danej osoby. Sztuczka ta jest trudna w przypadku maych organizacji. Nie jest
na rk atakujcemu, kiedy istnieje dua szansa, e jego ofiara bdzie miaa
okazj wspomnie szefowi marketingu: Wysaem ten plan marketingowy
produktu, temu gociowi, ktremu pan kaza to przekaza.
Co oczywicie spowoduje reakcj typu:
Jaki plan marketingowy? Jaki go? ktra szybko doprowadzi do odkrycia ataku na firm.
Uwaga Mitnicka
Zastraszenie powoduje obaw przed kar, co z kolei zwiksza ch
wsppracy. Zastraszenie moe rwnie wzmaga obaw przed omieszeniem lub utrat szansy na awans.
Ludzi naley nauczy, e kwestionowanie autorytetw jest nie tylko
dopuszczalne, ale i wymagane w sytuacji, gdy moe chodzi o bezpieczestwo firmy. Szkolenie dotyczce bezpieczestwa informacji powinno uczy ludzi, jak grzecznie kwestionowa autorytet tak, aby nie powodowao to konfliktw. Co wicej, samo szefostwo musi stale nakania do kwestionowania ich autorytetw. Jeeli pracownik nie bdzie
mia pewnoci, e tego wanie si od niego oczekuje, wkrtce przestanie to robi.
127
128
129
***
Bya to typowa sprawa z rodzaju: Gdzie on ukry pienidze?. Tego typu
pytanie padao czasem z ust bogatej pani, ktra chciaa wiedzie, gdzie m
przechowuje gotwk. Keith Carter od zawsze zadawa sobie pytanie, dlaczego kobiety z pienidzmi wychodz za m za facetw, ktrzy ich nie maj,
ale nigdy nie mg znale na nie dobrej odpowiedzi.
Tym razem m nazywa si Joe Johnson i potrafi obchodzi si z pienidzmi. By to bardzo inteligentny czowiek, ktry zaoy firm dziaajc
w brany nowoczesnych technologii, inwestujc dziesi tysicy dolarw poyczonych od rodziny swojej ony, po czym rozwin t firm, zwikszajc
jej warto do stu milionw dolarw. Wedug prawnika ony zajmujcego si
ich rozwodem majtek zosta skrztnie ukryty i trzeba byo go odnale.
Keith obra sobie jako punkt startowy Urzd Ubezpiecze Spoecznych, stawiajc sobie za cel zdobycie przechowywanych tam akt na nazwisko Johnson, w ktrych mogo znajdowa si mnstwo przydatnych w tej sprawie
informacji. Majc te akta, mg wcieli si w ma i zaatakowa banki, biura
maklerskie i tym podobne instytucje, aby dowiedzie si tego, co trzeba.
Keith ustawi sobie tym razem poprzeczk nieco wyej: chcia nie tylko zdoby informacje o Joe Johnsonie bdce w posiadaniu Urzdu Ubezpiecze Spoecznych, ale rwnie zaaranowa sprawy w taki sposb, aby
mie w oddziale stae rdo informacji, z ktrego mgby korzysta w kadej chwili.
Pierwszy telefon wykona do lokalnego oddziau urzdu, korzystajc z numeru rozpoczynajcego si od 0-800, z ktrego korzystaj wszyscy zwykli
interesanci i ktry wymieniony jest w lokalnej ksice telefonicznej. Kiedy
urzdnik odebra telefon, Keith poprosi o poczenie z kim z dziau zajmujcego si odszkodowaniami. Po chwili oczekiwania usysza gos po drugiej
stronie. W tym momencie zaoy now mask:
Cze powiedzia. Mwi Gregory Adams, urzd okrgowy 329.
Prbuj dodzwoni si do inspektora, do ktrego naley konto z numerem
koczcym si na 6363, ale wcza si tam faks.
To oddzia drugi powiedzia rozmwca, po czym odszuka numer
i poda go Sullyemu.
Sully zadzwoni. Kiedy May Linn odebraa, poda si za urzdnika z biura gwnego inspektora i opowiedzia histori o tym, jak zosta pozbawiony
komputera. May Linn podaa mu informacje, ktrych szuka, i zgodzia si
pomaga mu, jeeli potrzebowaby podobnej pomocy w przyszoci.
130
Analiza oszustwa
Efektywno przedstawionej metody opiera si na grze na wspczuciu
pracownika wywoanym opowieci o tym, jak osoba podajca si za urzdnika zostaa pozbawiona komputera i e mojego szefa nie interesuj takie
wymwki. Ludzie nie okazuj w pracy zbyt czsto swoich uczu. Kiedy jednak to robi, mog zapomnie o stosowaniu standardowych mechanizmw
obronnych zapobiegajcych atakom socjotechnicznym. Emocjonalny chwyt
w stylu Mam kopoty, czy mgby mi pomc? wystarczy, aby wygra t
parti.
Napastnikowi mogoby si nie uda uzyska informacji od jednego z urzdnikw, ktry odbiera telefony z zewntrz. Ten rodzaj ataku, ktrego uy
Sully, dziaa jedynie wwczas, gdy numer osoby po drugiej stronie nie jest
powszechnie dostpny. Osoba taka spodziewa si, e dzwonicy bdzie osob
z wewntrz. To kolejny przykad zabezpieczenia z czasw prohibicji.
Oto elementy, ktre uczyniy ten atak skutecznym:
131
Socjotechnicy wydaj si wiedzie, w jaki sposb formuowa swoje proby, aby nikt nigdy nie pyta: Dlaczego pan dzwoni akurat do mnie? nawet wwczas, gdy logicznym wydawaoby si zatelefonowanie do zupenie
innej osoby w zupenie innym biurze. By moe sam fakt przerwania rutyny
dnia takim telefonem i chwilowe oderwanie si od obowizkw, aby komu
pomc, oddala tego typu spostrzeenia.
Napastnika z opisanego incydentu nie satysfakcjonuje samo uzyskanie
informacji na potrzeby biecej sprawy i chce nawiza kontakt, aby mc
w przyszoci korzysta ze zdobytego rda informacji. W innym przypadku mgby uy zwykego pretekstu dla tego typu ataku, grajc na wspczuciu ofiary, np.: Wylaem kaw na klawiatur. W tej sytuacji to za mao.
Klawiatur mona wymieni w jeden dzie. Std historia o podwadnym korzystajcym z jego komputera, ktr mgby wykorzystywa par tygodni bez wzbudzania podejrze: No tak, mylaem, e dostanie wczoraj swj
komputer. Przywieli jeden, ale dali innemu czowiekowi, ktremu udaa si
jaka transakcja. Tak wic ta ofiara dalej przychodzi na mj komputer.
O ja nieszczsny! Nadal potrzebuj pomocy to zawsze dziaa.
Telefon do Mary H.
Miejsce: ksigowo firmy Mauserby & Storch, Nowy Jork.
Czas: poniedziaek, 23 listopada, godzina 7:49.
Dla wikszoci ludzi praca w ksigowoci to orka. Wpatrywanie si w kolumny cyfr zwykle postrzegane jest jako przynoszce prawie tyle radoci, co
leczenie kanaowe zba. Na szczcie nie kady tak to widzi. Przykadem jest
Mary Harris, ktra jest starsz ksigow i uwaa swoj prac za zajmujc i pewnie czciowo z tego powodu jest uwaana za najbardziej oddanego
132
133
wienia. Peter przeprowadzi j przez kroki instalacji aplikacji, ktra umoliwia uytkownikowi zmian hasa jest to standardowy element systemu
Windows 2000.
Prosz teraz wprowadzi haso powiedzia do niej. Tylko niech
pani go gono nie wymawia.
Kiedy to robia, Peter poprosi:
Kiedy zapyta o nowe haso, prosz na razie wprowadzi test123,
a potem wpisa to jeszcze raz w okienku weryfikacyjnym i nacisn Enter.
Poprowadzi j przez proces nawizywania poczenia z serwerem. Poprosi, aby poczekaa kilka minut i poczya si ponownie, tym razem uywajc
nowego hasa. Wszystko dziaao idealnie, Peter wydawa si bardzo zadowolony i przeprowadzi j ponownie przez procedur zmiany hasa na poprzednie lub cakiem nowe, jeszcze raz przestrzegajc j przed jego podawaniem.
No c powiedzia Peter ciesz si, bo wszystko wydaje si by
w porzdku. W razie problemw prosz dzwoni do nas do Arbuckle. Ja
zwykle pracuj w terenie, ale kady, kto odbierze telefon, bdzie w stanie
pani pomc.
Historia Petera
Plotka o Peterze rozesza si szybko. Kilka osb z jego dzielnicy, ktre chodziy z nim do szkoy, syszao, e sta si kim w rodzaju komputerowego magika i czstokro potrafi znale uyteczne informacje, niemoliwe do
zdobycia przez przecitnego czowieka. Kiedy Alice Conrad przysza do niego z prob o przysug, z pocztku odmwi. Dlaczego miaby jej pomaga?
Kiedy spotka j i prbowa umwi si na randk chodno odmwia.
Jego odmowa wcale jej nie zaskoczya. Powiedziaa, e i tak nie bardzo
wierzya w to, e bdzie w stanie co takiego zrobi. To byo wyzwanie. Poniewa by pewien, e jest w stanie tego dokona, zmieni zdanie i zgodzi
si.
Alice zaproponowano kontrakt na konsulting dla agencji marketingowej,
ale warunki nie wydaway si jej zbyt dobre. Zanim jednak pjdzie prosi
o lepsze, chciaa dowiedzie si, jakie warunki zapisane byy na innych umowach.
Tak opisuje wydarzenia sam Peter:
134
***
Nie powiedziaem Alice, e zwykle odprawiam ludzi, ktrzy chc, abym
co dla nich zrobi, a nie wierz, e mi si uda, cho ja jestem przekonany, e
zadanie jest proste. Albo wykonalne to zadanie nie byo bowiem atwe.
Za to mogem jej pokaza moje umiejtnoci.
Tu po 7:30 w poniedziaek rano zadzwoniem do biura agencji, odebraa
recepcjonistka. Powiedziaem, e jestem z firmy obsugujcej ich plany emerytalne i musz rozmawia z kim z ksigowoci. Zapytaem, czy kto z tego
dziau nie pojawi si ju w pracy. Odpowiedziaa:
Chyba widziaam Mary, jak wchodzia par minut temu. Sprbuj pana
z ni poczy.
Kiedy Mary podniosa suchawk, moja historyjka o problemach komputerowych miaa j wystraszy na tyle, by bya potem chtna do wsppracy.
Gdy tylko przeprowadziem j przez proces zmiany hasa, szybko zaogowaem si w systemie za pomoc tego samego tymczasowego hasa, ktre poleciem jej wprowadzi: test123.
Nadszed czas na mistrzowsk zagrywk zainstalowaem may programik, ktry umoliwi mi dostp do systemu komputerowego firmy w dowolnej chwili poprzez moje wasne haso. Po zakoczenie rozmowy z Mary moim pierwszym krokiem byo wymazanie ladw mojej bytnoci w systemie. To okazao si proste. Po tym, jak udao mi si rozszerzy uprawnienia w systemie, pobraem darmowy program, zwany clearlogs, ktry znalazem na stronie powiconej zagadnieniom bezpieczestwa, pod adresem
www.ntsecurity.nu.
Teraz trzeba byo troch popracowa. Uruchomiem wyszukiwanie dowolnych dokumentw zawierajcych sowo Umowa w tytule i pobraem
znalezione pliki. Szukajc dalej, natrafiem na y zota katalog zawierajcy raporty z wpyww konsultantw. Udao mi si zebra wszystkie pliki
z kontraktami oraz list pac.
Alice moga teraz przejrze umowy i sprawdzi, jakie kwoty s wypacane innym konsultantom. Zreszt niech sama odwala kreci robot. Ja zrobiem to, o co mnie porosia.
Z dyskw, na ktrych zapisaem dane, wydrukowaem cz plikw, aby
udowodni jej, co udao mi si zdoby. Zaprosia mnie na obiad. Powinnicie
zobaczy jej twarz, kiedy przegldaa stos papierw.
Niemoliwe mwia niemoliwe.
Nie zabraem z sob dyskw. Zostawiem je sobie jako przynt. Powiedziaem, eby po nie kiedy wpada. Miaem nadziej, e moe bdzie chciaa
okaza mi wdziczno za to, co dla niej zrobiem.
135
Analiza oszustwa
Telefon Petera do agencji marketingowej to przykad najbardziej podstawowej strategii socjotechnicznej prosta akcja, ktra prawie nie wymaga
przygotowania. Jak wida, zadziaao za pierwszym razem i wymagao jedynie kilku minut.
Co wicej, Mary, ofiara ataku, nie miaa adnego powodu, aby sdzi, e
zostaa w jaki sposb oszukana i napisa raport lub wszcz alarm.
Plan zadziaa dziki zastosowaniu trzech taktyk socjotechnicznych. Po
pierwsze, zyska ch Mary do wsppracy, wzmagajc w niej strach przed
moliw awari komputera. Nastpnie powici jej troch czasu, kac
otwiera dwie aplikacje, aby bya pewna, e wszystko dziaa, a przy okazji nawizujc z ni bliszy kontakt i poczucie wsplnoty. W kocu uzyska
dalsz ch pomocy, wykorzystujc jej wdziczno za pomoc okazan podczas sprawdzania komputera.
Mwic o tym, e nie powinna ujawnia swego hasa nikomu, nawet
jemu, Peter w skuteczny, a zarazem subtelny sposb przekona j, e sam
przejmuje si bezpieczestwem danych firmy. To zwikszyo jej pewno, e
by tym, za kogo si podawa. W kocu chroni j i jej firm.
Uwaga Mitnicka
To niesamowite, w jak prosty sposb socjotechnik nakania ludzi do
zrobienia rnych rzeczy, wyzwalajc w odpowiedniej kolejnoci reakcje emocjonalne. Bazuje przy tym na wyzwalaniu automatycznych reakcji, wynikajcych z zasad psychologii, i wykorzystuje skrty mylowe, jakimi posuguj si ludzie, kiedy sdz, e osoba, z ktr rozmawiaj, jest po ich stronie.
Obawa
Wyobramy sobie tak sytuacj: rzd prbuje zastawi puapk na czowieka o nazwisku Arturo Sanchez, ktry poprzez Internet darmowo rozprowadza filmy. Studia z Hollywood twierdz, e narusza on ich prawa autorskie. Sanchez odpowiada, e prbuje jedynie nakoni ich, aby dostrzegli
w Internecie wartociowy rynek zbytu i poczynili jakie kroki w celu udostpnienia w ten sposb filmw dla osb, ktre chciayby je ogldn. Zwraca uwag (susznie), e mogoby to by dla wytwrni gigantyczne rdo
przychodw, jak dotd kompletnie przez nie ignorowane.
136
137
Uwaga Mitnicka
Jak to si dzieje, e socjotechnicy znaj szczegy dziaania tak wielu instytucji, w tym policji i prokuratury, praktyki firm telekomunikacyjnych, organizacj rnych przedsibiorstw, a szczeglnie dane dotyczce dziedzin przydatnych podczas atakw, czyli telekomunikacji i komputerw? Na tym polega w kocu ich praca. Ta wiedza stanowi o wartoci socjotechnika, poniewa czyni go bardziej skutecznym.
138
Zacieranie ladw
Arturo musia jeszcze zrobi par rzeczy. Zawsze istnieje moliwo, e
kto zwszy podstp i gdy pojedzie na poczt, spotka tam dwch detektyww w cywilu udajcych, e s zajci czym innym do chwili, gdy kto zapyta o ten faks. Odczeka chwil, po czym zadzwoni ponownie do biura protokolantw, aby upewni si, e faks zosta wysany. Na razie wszystko szo
zgodnie z planem.
Potem zadzwoni na inn poczt i opowiedzia histori o tym, jak jest
...zadowolony z usug i e chciabym w zwizku z tym napisa do naczelnika list gratulacyjny. Mona prosi jego nazwisko?. Bdc w posiadaniu
tej informacji zadzwoni na poprzedni poczt i powiedzia, e chce rozmawia z kierownikiem zmiany. Kiedy mczyzna odebra telefon, Arturo powiedzia:
Dzie dobry, tu Edward z urzdu 628 w Hartfield. Nasz naczelnik, pani
Anna, powiedziaa mi, ebym do ciebie zadzwoni. Mamy tu klienta, ktry
jest do zdenerwowany kto poda mu numer faksu na inn poczt. Czeka tu na wany dokument, ale numer, ktry otrzyma, jest numerem waszego urzdu.
Kierownik obieca, e kto z jego ludzi natychmiast odnajdzie faks i wyle
go do Heartfield.
Arturo czeka ju w drugim urzdzie, kiedy faks dotar. Gdy mia go ju
w rkach, zadzwoni z powrotem do biura protokolantw, aby podzikowa
urzdniczce i powiedzie:
Nie musi pani zanosi tych kopii z powrotem na gr. Mona je wyrzuci.
Nastpnie zadzwoni do kierownika zmiany w pierwszym urzdzie i rwnie powiedzia, aby wyrzuci kopi faksu. W ten sposb nie bdzie ladw
tego, co zaszo, w razie, gdyby kto pojawi si tam i zadawa pytania. Socjotechnicy wiedz, e ostronoci nigdy za wiele.
Aranujc sprawy w ten sposb, Arturo nie musia nawet paci na pierwszej poczcie za odebranie faksu i przesanie go do drugiego urzdu. Jeeli okazaoby si, e w pierwszym urzdzie pojawia si policja, Arturo zdyby
odebra faks w drugim i znikn, zanim zdoaliby kogo tam wysa.
Wreszcie zakoczenie historii: owiadczenie pod przysig i nakaz pokazyway, e policja ma dobrze udokumentowane dowody na to, e Arturo kopiowa nielegalnie filmy. To wanie chcia wiedzie. O pnocy tego samego dnia
przekracza ju granic stanu. Ucieka, by w innym miejscu i z now tosamoci rozpocz swoj kampani od nowa.
139
Analiza oszustwa
Ludzie, ktrzy pracuj w biurach prokuratur okrgowych, maj stay
kontakt z oficerami policji. Odpowiadaj na ich pytania, zaatwiaj dla nich
rne sprawy i odbieraj wiadomoci. Osoba, ktra ma do tupetu, aby zadzwoni i poda si za oficera policji, zastpc szeryfa lub podobn person,
najczciej zostanie uznana za swoj. Jeeli zbyt szybko nie ujawni swojej nieznajomoci terminologii, nie wydaje si zdenerwowana, nie waha si
podczas wypowiedzi lub w jaki inny sposb nie jest nieprzekonujca, zwykle nie bdzie musiaa nawet odpowiada na adne pytania weryfikujce. To
wanie miao miejsce w opisanej historii w przypadku dwch rnych pracownikw.
Jak zwykle uzyskanie kodu ksigowego wymagao jednego prostego telefonu. Arturo zagra na wspczuciu, opowiadajc histori o tym, e za pitnacie minut mam spotkanie ze subami specjalnymi w tej sprawie. Ostatnio chodz taki zamylony, e zostawiem ten dokument w domu. Urzdniczce zrobio si go al i chtnie okazaa mu pomoc.
Nastpnie, korzystajc z usug nie jednego, ale dwch urzdw pocztowych, Arturo zapewni sobie dodatkowe zabezpieczenie w momencie odbierania faksu. Inny wariant tej taktyki sprawiby, e namierzenie Artura byoby jeszcze trudniejsze. Zamiast wysya dokument na drug poczt, napastnik mg poda co, co wydaje si by numerem faksu, a w rzeczywistoci
jest darmow usug internetow, umoliwiajc odbieranie faksw i przesyanie ich pod wskazany adres e-mail. W ten sposb faks mg dotrze prosto do komputera napastnika, a ten uniknby koniecznoci pojawiania si
w miejscu, gdzie mgby zosta pniej zidentyfikowany. Adres e-mail i uyty numer faksu mona zlikwidowa po zakoczeniu dziaania.
Uwaga Mitnicka
Prawda jest taka, e nikt z nas nie jest odporny na oszustwa dobrego socjotechnika. W codziennym yciu nie zawsze mamy czas na podejmowanie
przemylanych decyzji, nawet w sprawach, ktre s dla nas wane. Skomplikowane sytuacje, brak czasu, stan emocjonalny lub wyczerpanie umysowe mog nas atwo rozproszy. Uywamy wic skrtw mylowych, podejmujc decyzje bez dokadnej i penej analizy informacji, reagujemy automatycznie. Dotyczy to nawet urzdnikw federalnych i policjantw. Jestemy
wszak tylko ludmi.
140
Zamiana rl
Mody czowiek, ktrego nazwiemy Michael Parker, by jednym z tych,
ktrzy zbyt pno zorientowali si, e szans na lepiej patn prac maj jedynie ludzie z wyszym wyksztaceniem. Mia co prawda moliwo uczszczania do lokalnego collegeu, otrzymujc czciowe dofinansowanie i kredyt naukowy, ale oznaczao to prac w nocy i w weekendy, aby opaci sobie
czynsz, wyywienie, benzyn i ubezpieczenie samochodu. Michael zawsze
lubi jednak szuka drogi na skrty, takiej, ktra szybciej doprowadzi go do
celu przy mniejszym wysiku. Jako e od maego fascynowa si komputerami i zgbia ich tajemnice, wpad na pomys, aby samemu stworzy sobie
dyplom inyniera informatyka.
Absolwent
Pomyla, e mgby si wama do systemu komputerowego uniwersytetu stanowego, znale akta kogo, kto ukoczy studia z wysok redni,
skopiowa je, zamieni dane osobowe na swoje i doda z powrotem do akt
absolwentw z danego roku. Po zastanowieniu doszed do wniosku, e musz przecie istnie jeszcze inne akta studentw, ktrzy przeszli przez uczelni dokumenty wypat stypendiw, zapisy w akademikach i kto wie, jakie jeszcze. Samo stworzenie akt dokumentujcych przebieg nauki moe nie
wystarczy.
Rozumujc tym tokiem, doszed do wniosku, e mgby osign swj cel,
znajdujc absolwenta o takim samym nazwisku jak on, ktry zdoby tytu
inyniera informatyka na przestrzeni ostatnich lat. Jeeli kto taki si znajdzie, wystarczy jedynie wpisywa numer ubezpieczenia spoecznego drugiego Michaela Parkera na formularzach aplikacyjnych. Wwczas kada firma,
ktra sprawdzi, czy osoba o takim nazwisku i numerze ubezpieczenia zdobya tytu inyniera, otrzyma odpowied twierdzc.
(Moe nie jest to dla kadego oczywiste, ale Michael wiedzia, e moe poda numer ubezpieczenia znalezionego absolwenta w formularzu aplikacyjnym, a pniej, jeeli zostanie przyjty, poda swj wasny numer w formularzach, ktre wypenia nowo przyjty pracownik. W wikszoci firm nikomu nie przyjdzie do gowy, by sprawdzi, czy nowa osoba posugiwaa si takim samym numerem podczas procesu rekrutacji).
141
Komputer
Jak odnale Michaela Parkera w aktach uniwersytetu? Nasz bohater zrobi to w nastpujcy sposb:
Po wejciu do gwnej biblioteki w kampusie uniwersytetu, usiad przy
komputerze, wszed do Internetu i otworzy gwn witryn uczelni. Nastpnie zadzwoni do biura ewidencji. Wobec osoby, ktra odebraa telefon,
zastosowa jeden ze znanych ju trikw socjotechnicznych:
Dzwoni z centrum komputerowego. Robimy zmiany w konfiguracji
sieci i chcemy si upewni, czy nie spowodoway u was kopotw z dostpem. Do jakiego serwera jestecie podczeni?
Serwera? zapyta gos z drugiej strony.
Do jakiego komputera podczacie si, kiedy chcecie odszuka informacj o studencie?
Otrzyma odpowied: admin.rnu.edu. Mia ju nazw komputera, na ktrym przechowywane byy akta studentw. By to pierwszy element ukadanki wiedzia ju, gdzie musi si dosta.
Wprowadzi ten adres do komputera i otrzyma odpowied, ktrej si spodziewa firewall blokowa dostp. Uruchomi wic program, by sprawdzi,
czy mona si poczy z jakkolwiek usug dostpn na tym komputerze,
i odnalaz otwarty port z usug Telnet, ktra umoliwia poczenie jednego
komputera z drugim tak, jakby ten pierwszy by zdalnym terminalem drugiego. Teraz potrzebowa jedynie standardowej nazwy uytkownika i hasa.
Ponownie zadzwoni do biura ewidencji, wsuchujc si uwanie, czy telefonu nie odbierze czasem ta sama osoba, z ktr rozmawia poprzednio. Tym
razem bya to jaka kobieta. Znw przedstawi si, e dzwoni z uniwersyteckiego centrum komputerowego. Powiedzia, e instaluj nowy system tworzenia akt. Poprosi swoj rozmwczyni o przysug, ktra miaa polega
na prbie poczenia si z nowym systemem i sprawdzenia, czy funkcjonuje
prawidowy dostp do akt studentw. Poda jej adres IP, z ktrym ma si poczy, i poprowadzi przez cay proces.
W rzeczywistoci by to adres komputera, przy ktrym siedzia Michael
w bibliotece campusu. Uywajc sztuczki opisanej w rozdziale 7., stworzy
faszywy ekran logowania, wygldajcy podobnie do tego, do ktrego kobieta bya przyzwyczajona w czasie wchodzenia do systemu zawierajcego akta
studentw.
Nie dziaa stwierdzia. Cay czas mwi, e login jest nieprawidowy.
142
Symulator zdy pobra dane o klawiszach, ktre nacisna, wpisujc nazw konta i haso, prosto do komputera, przy ktrym siedzia Michael. Misja
zakoczya si pomylnie. Powiedzia:
No tak. Niektre konta nie zostay jeszcze utworzone w nowym systemie. Zrobi to za chwil i oddzwoni do pani.
Zwaajc na to, by caa sprawa zakoczya si gadko, pamita o tym,
aby pniej zadzwoni zgodnie z obietnic i powiedzie, e system testowy
nie dziaa tak, jak trzeba, i e odezw si do niej lub do kogo z jej dziau, kiedy uda im si rozwiza problem.
143
tw z ostatnich dziesiciu lat. Chwil potem wczy wyszukiwanie i odnalaz dwch Michaeli Parkerw. Wybra jednego z nich i odczyta jego numer
ubezpieczenia i pozostae informacje dostpne w bazie na jego temat.
Od tej chwili by Michaelem Parkerem z tytuem inyniera informatyka,
zdobytym po ukoczeniu z wyrnieniem studiw w 1998 roku.
Analiza oszustwa
W ataku tym uyty zosta jeden podstp, ktry nie by jeszcze omawiany: napastnik prosi administratora bazy danych o przeprowadzenie go przez
proces jej obsugi, ktrego nie zna. Niezwykle efektywne odwrcenie rl. To
tak, jakby poprosi sprzedawc w sklepie, aby pomg nam przenie do naszego samochodu pudo, w ktrym znajduj si skradzione ze sklepu towary.
Uwaga Mitnicka
Uytkownicy komputerw czsto nie maj pojcia o zagroeniach
zwizanych ze stosowaniem socjotechniki w wiecie technologii. Maj
dostp do informacji, jednak nie dysponuj wiedz o zagroeniach
bezpieczestwa. Socjotechnik wybiera sobie jako ofiar osob, ktra nie
zna wartoci wyszukiwanej informacji. Osoba taka chtniej co dla nas
zrobi.
Jak zapobiega?
Wspczucie, poczucie winy i zastraszenie to emocje czsto wykorzystywane przez socjotechnikw. Sposb ich wykorzystania demonstruj opisane
tu historie. Co mona zrobi, aby unikn tego typu atakw?
Ochrona danych
Niektre historie z tego rozdziau w szczeglny sposb pokazuj niebezpieczestwo zwizane z wysaniem plikw do osoby, ktrej nie znamy, na-
144
wet gdy osoba ta jest (lub wydaje si nam, e jest) pracownikiem, a dokument jest przesyany wewntrznie na adres e-mail nalecy do domeny firmy lub faks pooony na jej terenie.
Polityka bezpieczestwa firmy musi jednoznacznie definiowa rodki
ochrony podczas udostpniania wartociowych danych osobie, ktrej wysyajcy nie zna osobicie. Musz zosta ustanowione procedury transferu plikw z poufnymi informacjami. Kiedy proba o dane pochodzi od osoby, ktrej nie znamy osobicie, naley okreli kroki, jakie pracownik musi podj
w celu weryfikacji teje osoby, uwzgldniajce rne poziomy owej weryfikacji w zalenoci od stopnia poufnoci danych.
Oto par gotowych rozwiza do rozwaenia:
O hasach
Pracownicy, ktrzy maj dostp do poufnych informacji w dzisiejszych
realiach s to praktycznie wszystkie osoby z dostpem do komputera musz uzmysowi sobie, e nawet chwilowa zmiana hasa moe prowadzi do
powanego zagroenia bezpieczestwa.
Szkolenie w zakresie bezpieczestwa musi podejmowa temat hase,
a w szczeglnoci tego, kiedy i jak je zmienia, z czego skada si dopuszczalne haso i jakie ryzyko wie si z angaowaniem innych osb w ten proces. Szkolenie musi w szczeglnoci zwraca uwag na fakt, e kada proba
zwizana z ich hasem jest podejrzana.
Z pozoru wydaje si, e s to proste do przekazania komunikaty. Samo ich
przekazanie jednak nic nie da, poniewa, aby pracownik zrozumia to przesanie, musi poj, w jaki sposb, na przykad, chwilowa zmiana hasa moe
doprowadzi do naruszenia bezpieczestwa w firmie. Mona powiedzie
dziecku: Zawsze rozgldaj si w obie strony, zanim wejdziesz na jezdni,
145
ale dopki nie zrozumie ono, dlaczego jest to takie wane, bdziemy opierali
si jedynie na lepym posuszestwie. Wszelkie zasady wymagajce wycznie lepego posuszestwa s zwykle ignorowane i zapominane.
Uwaga
Hasa s gwnym obiektem ataku socjotechnikw, dlatego powicono
temu zagadnieniu cz rozdziau 16., w ktrej mona znale zalecane
procedury posugiwania si nimi.
Ochrona sieci
Naley uwiadamia pracownikom, e nazwy serwerw lub podsieci nie
s bah informacj i mog stanowi dla napastnika wane dane, pomocne
w zdobyciu zaufania i odnalezieniu miejsca przechowywania informacji.
W szczeglnoci administratorzy baz danych, ktrzy dysponuj du wiedz, musz dziaa zgodnie ze cisymi reguami i weryfikowa ludzi, ktrzy
dzwoni po informacj lub pomoc.
Ludzie, ktrzy stale udzielaj pomocy zwizanej z komputerami, musz
by dobrze wyszkoleni w kwestii tego, jakie zapytania powinny rodzi podejrzenie, e ma miejsce atak socjotechniczny.
Z drugiej strony, z perspektywy administratora bazy danych przedstawionego w ostatniej historii, dzwonicy spenia wszystkie kryteria wiarygodnoci: dzwoni z campusu i mia dostp do strony, ktra jest zabezpieczona hasem. To tylko jeszcze raz dowodzi, jak istotne jest stosowanie standardowych procedur weryfikujcych osoby proszce o informacje, szczeglnie,
jeeli dzwonicy prosi o pomoc w uzyskaniu dostpu do poufnych danych.
146
9
Odwrotnie ni w dle
do to wedug mnie chyba najlepszy film, ktrego tematem jest operacja socjotechniczna. Przedstawia intryg obfitujc w interesujce szczegy.
Przedstawiona tam akcja to przykad pokazujcy, w jaki sposb zawodowi
oszuci przeprowadzaj jeden z trzech typw szwindli, ktre nale do grupy tzw. wielkich oszustw. Jeeli chcecie zobaczy, jak grupa profesjonalistw zgarnia ogromne pienidze, powinnimy obejrze ten film.
Tradycyjne oszustwa, pomijajc szczegy, przebiegaj wedug pewnego
wzorca. Czasami jednak sytuacja zostaje odwrcona atakujcy aranuje
wydarzenia tak, aby ofiara sama zwrcia si do niego z pomoc.
Jak to dziaa? Wkrtce si przekonamy.
148
wego, ktry nie potrafi rozmawia z ludmi i kontaktuje si ze wiatem tylko za pomoc e-maili. Haker-socjotechnik czy znajomo technologii z talentami interpersonalnymi stale doskonalonymi umiejtnociami wykorzystywania ludzi i manipulowania nimi, ktre pozwalaj mu zdobywa informacje na zupenie nieprawdopodobne sposoby.
Telefon do Angeli
Miejsce: Industrial Federal Bank, filia w Valley.
Czas: 11:27.
Angela Wisnowski odebraa telefon od mczyzny, ktry powiedzia,
e spodziewa si do znacznego spadku i interesuj go informacje o rnych typach rachunkw oszczdnociowych, depozytw i innych bezpiecznych i w miar zyskownych form inwestycji, ktre Angela moe mu zaproponowa. Wyjania, e do wyboru jest kilka moliwych rozwiza i zapytaa, czy nie zechciaby przyj do banku i porozmawia o szczegach. Powiedzia, e wyjeda na wakacje, jak tylko dostanie pienidze, a poza tym
ma wiele innych spraw do zaatwienia. Zacza wic sugerowa przez telefon pewne rozwizania, podajc szczegy dotyczce oprocentowania, przedwczesnej likwidacji wkadu itp., starajc si jednoczenie dowiedzie czego
o jego oczekiwaniach.
Wydawao si, e ju do czego dochodz, kiedy powiedzia:
Och, przepraszam, musz odebra drugi telefon. Kiedy mgbym znowu zadzwoni, by dokoczy rozmow i podj jak decyzj? Wychodzi
pani na lunch?
Powiedziaa, e wychodzi o 12:30. Mczyzna stwierdzi, e sprbuje zadzwoni przed t godzin albo nastpnego dnia.
Telefon do Louisa
Wiksze banki uywaj wewntrznych kodw bezpieczestwa, ktre
zmieniaj si kadego dnia. Kiedy osoba z jednej filii potrzebuje informacji z innej, musi udowodni, e jest uprawniona do jej otrzymania poprzez
podanie obowizujcego na dany dzie kodu. Dla zwikszenia bezpieczestwa niektre banki stosuj wiksz ilo kodw. W Industrial Federal Bank
149
150
fikacji i tak nic nie mog zrobi. Niech pan jej przekae, e naprawd chciaem to wysa, ale pan nie poda mi kodu, dobrze?
Louis wreszcie ustpi. Dao si sysze nerwowe sapniecie z jego strony.
No dobrze powiedzia. Prosz chwil zaczeka, musz przej do
komputera. Ktry kod pan chcia?
B odpowiedzia rozmwca.
Przeczy telefon na oczekiwanie i za chwil podnis inn suchawk, podajc kod:
3184.
To nie jest ten kod.
Jak to nie jest? Kod B, numer 3184.
Nie powiedziaem B, tylko E.
Cholera, moment.
Nastpia kolejna przerwa. Szuka kodu.
Kod E, numer 9697.
9697. Dobrze. Za chwil wysyam faks.
Dzikuj.
Telefon do Waltera
Industrial Federal Bank, mwi Walter.
Cze, Walter, tu Bob Grabowski ze Studio City, filia 38 powiedzia
rozmwca. Potrzebuj karty wzorw podpisw jednego z klientw. Mgby j dla mnie wycign i przefaksowa?
Karta wzorw podpisw zawiera nie tylko podpis klienta, ale rwnie informacje identyfikacyjne, czyli numer ubezpieczenia spoecznego, dat urodzenia, nazwisko panieskie matki, a czasami nawet numer prawa jazdy. akomy ksek dla socjotechnika.
Pewnie, e mgbym. Podaj kod C.
Kto siedzi teraz przy moim komputerze powiedzia rozmwca.
Ale pamitam za to B i E, bo cay czas ich dzi uywam. Zapytaj mnie
o ktry z nich.
Dobra. Podaj E.
9697.
Par chwil pniej Walter wysa faks z kart wzorw podpisw.
151
152
153
154
matycznej usugi informujcej o stanie konta. Majc kart, miaem wszystkie numery kont Markovitza i jego PIN bank uywa w tym celu pierwszych piciu lub ostatnich czterech cyfr numeru ubezpieczenia spoecznego.
Z owkiem w doni zadzwoniem pod 0-800 i po kilku minutach naciskania
guzikw i wybierania opcji spisaem biece stany wszystkich czterech rachunkw i, dla pewnoci, najwiesz histori wpat i wypat.
Miaem wszystko, o co prosi mj klient, a nawet wicej. Zawsze dodawaem co od siebie na konto dobrej wsppracy. Klient musi by zadowolony.
W kocu podstaw egzystencji kadej firmy s stae zlecenia.
Analiza oszustwa
Kluczem do sprawy byo zdobycie kodw dnia. W tym celu napastnik,
Vince, uy kilku technik.
Na pocztku werbalnie wzrusza ramionami, kiedy Louis nie chcia poda
mu kodu. Podejrzliwo Louisa bya uzasadniona kodw naleao uywa w odwrotnym kierunku. Wiedzia, e to osoba, ktra dzwoni, ma obowizek poda kod. Dla Vincea by to krytyczny moment od tego zaleao wszystko.
W obliczu podejrze Louisa Vince wykona zmasowany atak, odwoujc si do wspczucia (id do lekarza), wywierajc nacisk (Mam tu jeszcze stos takich faksw, a u nas ju dochodzi 16:00) i stosujc manipulacj
(Niech pan jej przekae, e naprawd chciaem to wysa, ale pan nie poda
mi kodu). Vince bezporednio nie grozi, a jedynie sugerowa pewn grob:
Jeeli nie podasz mi kodu bezpieczestwa, nie wyl informacji o kliencie,
ktrej potrzebuje twoja koleanka z pracy, i powiem jej, e chciaem j wysa, ale ty odmwie mi pomocy.
Nie naley w tej historii zbyt pochopnie obarcza win Louisa. W kocu
osoba, z ktr rozmawia przez telefon, wiedziaa (albo przynajmniej sprawiaa takie wraenie), e jego koleanka, Angela, prosia o faks. Dzwonicy wiedzia o kodach bezpieczestwa i zna sposb ich oznaczania. Powiedzia, e ich kierownik oddziau wymaga tego ze wzgldw bezpieczestwa.
Tak naprawd nie widzia adnej przyczyny, dla ktrej nie miaby podawa
kodu.
Przypadek Louisa nie jest odosobniony. Wyudzanie kodw bezpieczestwa od pracownikw banku zdarza si na porzdku dziennym. Nieprawdopodobne, ale prawdziwe.
155
Istnieje granica, po przekroczeniu ktrej techniki stosowane przez prywatnych detektyww przestaj by legalne. Zdobycie przez Vincea numeru oddziau byo cakowicie legalne. Nawet przechytrzenie Louisa i wycignicie od niego dwch kodw bezpieczestwa byo legalne. Granica zostaa przekroczona dopiero w momencie, gdy poprosi o przesanie faksu z danymi klienta.
Czyn, ktry popeni Vince wraz z osob, ktra go wynaja, jest przestpstwem o niskiej szkodliwoci. Kiedy kradniemy pienidze lub przedmioty, kto zauwaa ich zniknicie. Kiedy kradniemy informacj, w wikszoci przypadkw nikt tego nie dostrzega, poniewa informacja pozostaje dalej
w posiadaniu waciciela.
Uwaga Mitnicka
Kody bezpieczestwa przeznaczone do podawania przez telefon, podobnie jak hasa, s wygodnym i skutecznym rodkiem ochrony danych.
Pracownicy musz jednak posiada wiedz o trikach, jakie stosuj socjotechnicy, i zosta wyszkoleni tak, aby zbyt atwo nie oddawali kluczy do skarbca.
156
cach firmom ubezpieczeniowym, prywatnym detektywom i innym instytucjom, ktrym prawo stanowe zezwala na dostp do tych informacji dla dobra spoeczestwa.
Istniej oczywicie pewne ograniczenia co do typu informacji, jakie mog
by udzielane. Firmy ubezpieczeniowe mog uzyska tylko cz informacji
z akt, inne ograniczenia stosuje si do prywatnych detektyww itd.
Zupenie odmienne reguy dotycz policji i agentw: Wydzia Transportu
udostpnia im kad informacj po warunkiem, e si prawidowo zidentyfikuj. W stanie, w ktrym mieszka Eric, identyfikacja polegaa na podaniu
kodu instytucji, ktra pyta o dane, i numeru prawa jazdy osoby pytajcej.
Pracownik Wydziau Transportu zawsze sprawdza, czy numer prawa jazdy zgadza si z podanym nazwiskiem, i pyta o jedn dodatkow informacj
zwykle o dat urodzenia przed udostpnieniem danych.
Eric zamierza, ni mniej ni wicej, wcieli si w oficera policji.
Jak mu si to udao? Odwrci intryg z da.
Podchody
Na pocztku zadzwoni na informacj i poprosi o numer telefonu do stanowego Wydziau Transportu. Podano mu numer 503-555-5000, ktry
oczywicie jest numerem dla petentw. Nastpnie zadzwoni na pobliski posterunek policji i zapyta o biuro dalekopisowe miejsce, z ktrego przesya si i odbiera informacje z innych agencji rzdowych, z krajowego rejestru
przestpstw itp. Kiedy zadzwoni do biura, powiedzia, e potrzebuje numeru
telefonu, jakiego uywaj agenci do kontaktw z Wydziaem Transportu.
Kim pan jest? zapyta policjant z biura dalekopisowego.
Mwi Al. Dzwoniem na 503-555-5753 powiedzia. Numer, ktry
poda, by wymylony, ale tylko czciowo. Pewne jest, e numer biura do
kontaktw z policj bdzie mia ten sam prefiks (503), co numer dla petentw. Prawie pewne byo te to, e kolejne trzy cyfry bd takie same. Potrzebowa jedynie czterech ostatnich.
Do biura dalekopisowego nie dzwoni nikt z zewntrz. Poza tym dzwonicy zna ju wiksz cz numeru. Najwyraniej bya to osoba z wewntrz.
Podaje numer: 503-555-6127 powiedzia policjant.
W ten sposb Eric zdoby specjalny numer do kontaktw policji z Wydziaem Transportu. Jeden numer jednak zupenie go nie satysfakcjonowa. Biuro na pewno ma wicej linii Eric chcia widzie, ile dokadnie i jaki kada
z linii ma numer.
157
Centrala
Aby wcieli w ycie swj plan, musia uzyska dostp do centrali telefonicznej, ktra obsugiwaa linie czce policj z Wydziaem Transportu. Zadzwoni do stanowego Wydziau Telekomunikacji i przedstawi si, jako kto,
kto dzwoni z firmy Nortel, producenta DMS-100, jednej z najpopularniejszych typw central. Powiedzia:
Czy mog rozmawia z jakim inynierem, ktry zajmuje si centralami DMS-100?
Gdy go poczono, powiedzia, e dzwoni z dziau pomocy technicznej
firmy Nortel w Teksasie i wyjani, e tworzona jest wanie gwna baza
danych w celu aktualizacji oprogramowania we wszystkich centralach.
Wszystko bdzie si odbywao zdalnie nie bdzie potrzebna asysta inynierw. Potrzebuj jednak numeru do wdzwaniania si na centralk, aby mogli dokonywa aktualizacji bezporednio z ich siedziby.
Brzmiao to cakiem wiarygodnie. Monter poda Ericowi numer. Mg teraz dzwoni bezporednio do jednej ze stanowych central telefonicznych.
W celu ochrony przed potencjalnymi intruzami centrale tego typu s chronione hasem, podobnie jak firmowe sieci komputerowe. Kady dobry socjotechnik interesujcy si rwnie phreakingiem wie, e centrale firmy Nortel
udostpniaj domyln nazw konta dla celw aktualizacji oprogramowania: NTAS (skrt oznaczajcy dzia pomocy technicznej Nortel; niezbyt wyszukane). Jak zdoby haso? Eric wdzwania si kilka razy, za kadym razem
prbujc jednego z typowo ustawianych hase. Haso takie samo jak nazwa
konta nie dziaao. Inne standardowe hasa te okazay si nietrafne.
Sprbowa jeszcze wpisa aktualizacja i... dosta si do systemu. Typowe.
Uywanie tak oczywistych hase jest niewiele lepsze od braku zabezpieczenia
centrali jakimkolwiek hasem.
Nie ma to jak by na bieco z technologi. Eric wiedzia o tej centrali i jej
programowaniu prawdopodobnie tyle samo co obsugujcy j inynierowie.
Z chwil, kiedy uzyska autoryzowany dostp do centrali, mia pen kontrol nad liniami telefonicznymi, ktre go interesoway. Ze swojego komputera poczy si z central i wprowadzi zapytanie o numer, ktry otrzyma
wczeniej, 555-6127. Okazao si, e do tego samego miejsca biegnie 19 linii
telefonicznych. Najwyraniej obcienie byo due.
Centrala zostaa zaprogramowana, aby dla kadej przychodzcej rozmowy szuka pierwszej wolnej linii.
Wybra lini numer 18 i wprowadzi kod przekierowujcy rozmowy z tej
158
Unii. Jako numer przekierowania wpisa numer swojej nowej, taniej komrki jednej z tych, ktrej nie szkoda wyrzuci po wykonaniu zadania.
Majc aktywowane przekierowanie na osiemnastej linii, czeka, a natenie rozmw w biurze wzronie na tyle, e jednoczenie bdzie odbywao si
siedemnacie rozmw. Nastpny telefon nie zadzwoni ju w biurze Wydziau
Transportu bdzie to komrka Erka.
argon
Soundex system odwzorowania nazw (nazwisk) w kody liczbowe
w taki sposb, e podobnie brzmice (w jzyku angielskim) nazwy odwzorowywane s w identyczne kody.
Za chwil znajd te akta mwi Eric. Aha, panie Cole, z jakiej agencji pan dzwoni?
159
Jefferson County.
Potem Eric zadawa najwaniejsze pytania: Prosz poda wasz kod instytucji, Jaki jest paski numer prawa jazdy?, Data urodzenia?.
Rozmwca podawa wszystkie osobiste informacje identyfikacyjne. Eric
mg w tym momencie udawa, e dokonuje weryfikacji, i za chwil powiedzie, e informacje si zgadzaj, po czym zapyta o szczegy informacji, jak chce uzyska. Eric robi wraenie, e szuka podanego mu nazwiska, pozwalajc, aby rozmwca usysza stukanie w klawiatur komputera
i w chwil potem mwi co w rodzaju:
O cholera! Znowu si zawiesi. Bardzo pana przepraszam, przez cay tydzie co mi si dzieje z komputerem. Mgby pan zadzwoni jeszcze raz, tak
aby odebra inny urzdnik?
W ten sposb czysto koczy rozmow, nie wzbudzajc jakichkolwiek podejrze w zwizku z tym, e nie mg pomc policjantowi. Sam w efekcie
rozmowy otrzymywa kolejn tosamo szczegowe dane, ktre mg
wykorzysta, aby wydoby informacje z Wydziau Transportu, kiedy tylko
ich potrzebowa.
Po kilkugodzinnym odbieraniu telefonw i zdobyciu kilkudziesiciu kodw instytucji Eric zadzwoni ponownie na central i dezaktywowa przekierowanie rozmw.
Po tej akcji przez dugie miesice otrzymywa zlecenia przekazywane mu
przez legalne firmy detektywistyczne, ktre nie chciay wiedzie, jak zdobywa takie informacje. Kiedy tylko potrzebowa, dzwoni ponownie na central, uruchamia przekierowanie i zbiera kolejny zapas tosamoci policjantw.
Analiza oszustwa
Przeledmy szczegowo wszystkie podstpy Erica, ktre przyczyniy si
do powodzenia akcji. W pierwszym udanym kroku skoni urzdnika z biura
dalekopisowego, aby ten poda tajny numer do Wydziau Transportu zupenie nieznajomemu czowiekowi, ktrego, bez uprzedniej weryfikacji, wzi
za policjanta.
Podobn rzecz zrobia osoba z Wydziau Telekomunikacji, ktra uwierzya,
e Eric jest przedstawicielem firmy produkujcej centrale i podaa mu numer
dostpowy do centrali telefonicznej, ktra obsuguje Wydzia Transportu.
160
Eric mg dosta si do centrali w duej mierze dziki nikym zabezpieczeniom, stosowanym przez producenta central, ktry wykorzystuje tak sam
nazw konta we wszystkich centralach. Dziki takiej beztrosce odgadnicie
hasa byo pestk dla socjotechnika, ktry zdaje sobie spraw, e obsuga centrali wymyla haso atwe do zapamitania.
Majc dostp do centrali, ustawi przekierowanie z jednej z linii Wydziau
Transportowego na wasny telefon komrkowy.
Nadszed czas na kulminacyjny punkt caej intrygi: oszukiwanie kolejnych
policjantw i pobieranie od nich nie tylko kodw instytucji, ale rwnie ich
osobistych danych identyfikacyjnych. Dziki temu Eric mg korzysta z ich
tosamoci.
Mimo e cay wyczyn wymaga sporej wiedzy technicznej, nie powidby si bez pomocy kilku osb, ktre nie miay pojcia, e rozmawiaj z oszustem.
Historia ta jest kolejn ilustracj fenomenu polegajcego na tym, e ludzie nie pytaj: Dlaczego?. Dlaczego urzdnik z biura dalekopisowego wyjawi tajn informacj jakiemu nieznajomemu policjantowi albo tak jak
w tym przypadku obcemu podajcemu si za policjanta, zamiast zasugerowa mu, eby zapyta o to koleg lub swojego zwierzchnika? I znowu jedyn odpowiedzi na to pytanie jest ta, e ludzie po prostu rzadko zadaj takie pytania. Moe nie przychodzi im to do gowy? A moe maj skrupuy
przed podejrzewaniem rozmwcy o kamstwo i odmawianiem mu pomocy?
Moe. Wszelkie dalsze wyjanienia to zgadywanka. Socjotechnika nie interesuje, dlaczego tak si dzieje; interesuje go jedynie to, w jaki sposb fakt ten
uatwia zdobycie informacji, ktre byyby trudne do uzyskania, gdyby ludzie
zachowywali si inaczej.
Uwaga Mitnicka
Jeeli nasza firma posiada wasn central telefoniczn, zastanwmy si
nad nastpujc kwesti: co zrobiaby osoba odpowiedzialna za central, gdyby zadzwoni do niej przedstawiciel producenta i poprosi o numer do centrali? Czy osoba ta zadaa sobie w ogle trud, aby zmieni
domylne haso centrali? Czy haso to jest atwym do odgadnicia wyrazem, ktry znajduje si w sowniku?
161
Jak zapobiega?
Kod bezpieczestwa uywany w odpowiedni sposb tworzy wartociow barier ochronn. Nieprawidowo uywany kod bezpieczestwa to rzecz
gorsza ni jego brak, poniewa zapewnia on iluzj bezpieczestwa, ktrego w rzeczywistoci nie ma. Po c bowiem kody, jeeli nasi pracownicy nie
traktuj ich jak tajemnicy?
Firma, ktrej potrzebne s werbalne kody bezpieczestwa, musi jednoznacznie okreli, kiedy i jak z nich korzysta. Gdyby osoba z pierwszej opisanej w tym rozdziale historii bya dobrze wyszkolona, nie musiaaby polega na swoim instynkcie i zbyt atwo da si namwi na podanie kodu bezpieczestwa obcemu czowiekowi. Urzdnik z tego przykadu czu, e nie powinien w tych okolicznociach by pytany o tak informacj, ale nie posiadajc jednoznacznych wytycznych, nie mwic ju o odpowiedniej dozie zdrowego rozsdku, szybko podda si woli rozmwcy.
Procedury bezpieczestwa powinny rwnie definiowa kroki, zgodnie
z ktrymi naley postpowa w sytuacji, gdy pracownik wymaga od nas
kodu w nieadekwatnych okolicznociach. Wszyscy pracownicy powinni natychmiast zgasza wszelkie zapytania o informacje uwierzytelniajce, takie jak kod dnia lub haso, zadane w podejrzanych okolicznociach. Powinni rwnie zgasza wszelkie prby weryfikacji tosamoci pytajcego, ktre
nie zakoczyy si pomylnie.
Jako minimalny rodek ostronoci pracownicy powinni zanotowa nazwisko dzwonicego, jego numer telefonu oraz biuro lub oddzia, z ktrego dzwoni, i odoy suchawk. Zanim oddzwoni, powinni sprawdzi, czy
w podanym biurze pracuje osoba o danym nazwisku i czy numer, ktry podaa, zgadza si z numerem w firmowym spisie telefonw. W wikszoci
przypadkw ta prosta taktyka pozwoli na weryfikacj, czy dzwonicy jest
tym, za kogo si podaje.
Weryfikacja staje si trudniejsza, kiedy firma posuguje si wydrukowanym spisem telefonw zamiast stale aktualizowanej wersji przechowywanej w systemie komputerowym. Cay czas przyjmuje si i zwalnia pracownikw, ludzie zmieniaj stanowiska, wydziay i numery telefonw. Drukowana wersja spisu moe by nieaktualna ju w chwili jej publikacji. Na komputerowych wersjach spisu te nie mona do koca polega, poniewa socjotechnik zna sposoby wprowadzania w nich zmian. Jeeli pracownik nie jest
w stanie skonfrontowa numeru telefonu z niezalenym rdem, powinien
dokona weryfikacji w inny sposb, np. kontaktujc si ze zwierzchnikiem
dzwonicego.
III
Uwaga, intruz!
Na terenie firmy
Socjotechnika i technologia
Atak w d hierarchii
Wyrafinowane intrygi
Szpiegostwo przemysowe
10
Na terenie firmy
Dlaczego tak atwo obcemu poda si za pracownika firmy i udawa go
w przekonujcy sposb, nabierajc nawet ludzi o duej wiadomoci tego
typu zagroe? Dlaczego tak atwo oszuka czowieka w peni wiadomego
procedur bezpieczestwa, nawet jeli osoba ta nie ufa ludziom, ktrych nie
zna, i dba o ochron zasobw informacyjnych swojej firmy?
Zastanwmy si nad powyszymi pytaniami, czytajc historie zawarte
w tym rozdziale.
Stranik
Czas: wtorek, 17 padziernika, 2:16 w nocy.
Miejsce: Skywatcher Aviation, Inc., zakad produkcyjny firmy na przedmieciach Tucson w stanie Arizona.
164
Historia stranika
Leroy Greene czu si o wiele lepiej, syszc stukanie swoich obcasw o posadzki opuszczonych hal fabrycznych, ni spdzajc dugie nocne godziny na
wpatrywaniu si w monitory w biurze stray przemysowej. Nie mg tam
robi niczego poza gapieniem si na ekrany. Nie wolno mu byo nawet przeczyta gazety lub zajrze do swojej oprawionej w skr Biblii. Musia siedzie
i patrze na zastyge obrazy, na ktrych nigdy nic nie chciao si poruszy.
Chodzc po halach, mg przynajmniej rozprostowa nogi, a jeeli pamita by w chd zaangaowa bardziej rce i ramiona, to mia namiastk gimnastyki. Cho trudno uwaa co takiego za gimnastyk dla byego prawego
napastnika najlepszej druyny footbalowej w miecie. No c, taka praca.
Gdy doszed do rogu, zmieni kierunek marszu i poszed wzdu galerii,
z ktrej rozciga si widok na kilkusetmetrowej dugoci hal produkcyjn. Spojrza w d i zauway dwie osoby przechodzce obok rzdu helikopterw bdcych w trakcie produkcji. Po chwili postacie zatrzymay si i zaczy oglda maszyny. Do dziwny widok, biorc pod uwag, e by rodek nocy.
Lepiej to sprawdz pomyla.
Leroy uda si w kierunku schodw i wszed do hali w taki sposb, eby
zaj intruzw od tyu. Nie zauwayli go do momentu, kiedy si odezwa.
Dzie dobry. Mog zobaczy panw identyfikatory? powiedzia. Leroy stara si w takich momentach uywa agodnego tonu. Zdawa sobie
spraw, e jego suszne rozmiary mogy niejednego wystraszy.
Cze Leroy powiedzia jeden z nich, odczytujc imi z identyfikatora. Tom Stilton z dziau marketingu z centrali w Phoenix. Mam tu u was
par spotka i chciaem przy okazji pokaza mojemu koledze, jak buduje si
najwiksze helikoptery na wiecie.
Dobrze. Prosz pokaza identyfikator rzek Leroy. Zauway, e byli
bardzo modzi. Go od marketingu wyglda, jakby wanie skoczy liceum, a drugi, z wosami do ramion, na 15 lat.
Pierwszy z nich sign do kieszeni po identyfikator, po czym zacz nerwowo przeszukiwa wszystkie swoje kieszenie. Leroy zaczyna podejrzewa,
e co tu nie gra.
Cholera powiedzia. Musiaem zostawi go w samochodzie. Mog
przynie, to mi zajmie dziesi minut. Pjd na parking i wrc.
Leroy zdy ju wyj swj notes.
Mog jeszcze raz prosi pana nazwisko? zapyta i uwanie zanoto-
165
wa odpowied. Nastpnie poprosi, aby udali si z nim do biura stray przemysowej. Kiedy jechali wind na trzecie pitro, Tom mwi, e pracuje tu dopiero od szeciu miesicy i ma nadziej, e Leroy nie bdzie robi mu problemw w zwizku z tym incydentem.
W biurze ochrony Leroy wraz z kolegami zaczli zadawa dwjce pytania. Stilton poda swj numer telefonu i powiedzia, e jego szefem jest Judy
Underwood, po czym poda rwnie jej numer telefonu. Informacje zgadzay
si z danymi w komputerze. Leroy wzi swoich kolegw na stron, aby naradzi si, co robi w tej sytuacji. Nie chcieli popeni jakiego bdu. Uznali wic, e najlepiej zadzwoni do jego szefowej, nawet gdyby miao to oznacza zbudzenie jej w rodku nocy.
Leroy sam zadzwoni do pani Underwood, wyjani kim jest i zapyta, czy
pracuje dla niej pan Stilton.
Tak odpowiedziaa w pnie.
Natknlimy si na niego w hali produkcyjnej o 2:30 w nocy bez identyfikatora.
Prosz mi go da do telefonu powiedziaa pani Underwood. Stilton
podszed do telefonu i powiedzia:
Judy, przykro mi, e stranicy musieli ci obudzi w rodku nocy. Mam
nadziej, e nie bdziesz mi miaa tego za ze.
Chwil sucha i kontynuowa:
To przez to, e i tak musz tu by rano na spotkaniu w zwizku z now publikacj prasow. Przy okazji, odebraa e-mail na temat Thompsona?
Musimy si spotka z Jimem w poniedziaek, eby to nie przeszo nam koo
nosa. Aha, i jestemy umwieni na lunch we wtorek, tak?
Sucha jeszcze chwil, po czym poegna si i odoy suchawk.
To zaskoczyo Leroya, bo spodziewa si, e odda mu jeszcze suchawk,
a jego szefowa potwierdzi, e wszystko jest w porzdku. Zastanawia si,
czy nie zadzwoni do niej jeszcze raz. Pomyla jednak, e ju raz j zbudzi
w rodku nocy. Jeeli zadzwoniby po raz drugi, mogaby si zdenerwowa
i donie o tym jego szefowi.
Nie bd robi zamieszania pomyla.
Mog pokaza mojemu koledze reszt linii produkcyjnej? zapyta
Stilton Leroya. Moe pan i z nami.
Idcie, ogldajcie powiedzia Leroy tylko nastpnym razem prosz nie zapomina o identyfikatorze. I prosz wczeniej informowa ochron, jeeli zamierza pan przebywa na terenie zakadu po godzinach jest
taki wymg.
166
167
168
169
wzdu linii produkcyjnej by niesamowity. Dopki nie zatrzyma nas ten olbrzym Leroy.
W biurze stray zdaem sobie spraw, e intruz wygldaby w tym momencie na nerwowego i wystraszonego. Kiedy rzecz stana na ostrzu noa,
udawaem oburzenie. Tak jakbym w rzeczywistoci by tym, za kogo si podaj, i wyprowadzi mnie z rwnowagi fakt, e nie chcieli mi uwierzy.
Kiedy zaczli mwi o tym, e chyba powinni zadzwoni do mojej szefowej i zaczli szuka w komputerze jej domowego numeru telefonu, staem
tam i mylaem: Chyba czas wia. Ale co z bram na parkingu nawet jeeli uda si nam wydosta z budynku, zamkn bram i nas zapi.
Kiedy Leroy zadzwoni do kobiety, ktra bya szefow Stiltona, i odda mi
suchawk, zacza do mnie wrzeszcze:
Kto mwi? Kim pan jest?!
A ja po prostu gadaem tak, jakbymy prowadzili normaln rozmow i po
jakiej chwili odoyem suchawk.
Ile czasu potrzeba, aby w rodku nocy zdoby numer telefonu do fabryki?
Szacowaem, e mamy mniej ni kwadrans na to, eby wydosta si stamtd, zanim ta kobieta zadzwoni i zaalarmuje stranikw.
Wychodzilimy z fabryki tak szybko, jak si dao, ale eby nie wygldao,
e bardzo nam si spieszy. Odetchnem, kiedy stranik przy bramie parkingu tylko machn, ebymy przejechali.
Analiza oszustwa
Warto wspomnie, e bohaterami prawdziwego incydentu, na ktrym
oparta jest ta historia, byli nastoletni modziecy. Dla nich to by wygup,
przygoda chcieli si przekona, czy im si uda. Jeeli dla pary nastolatkw
wejcie na teren firmy okazao si takie proste, to jak proste moe by dla
zodziei, szpiegw przemysowych lub terrorystw?
Jak to si stao, e trzech dowiadczonych stranikw pozwolio dwm intruzom po prostu wyj z fabryki? Tym bardziej, e ju ich mody wiek powinien by wysoce podejrzany.
Leroy mia z pocztku suszne podejrzenia. Dobrze zrobi, zabierajc ich do
biura stray przemysowej i sprawdzajc chopaka podajcego si za Toma
Stiltona oraz numery telefonw i nazwiska, ktre poda. Z pewnoci suszny by rwnie telefon do jego domniemanego zwierzchnika.
170
W kocu jednak zwioda go pewno siebie i oburzenie modego czowieka. Nie byo to zachowanie, ktrego mg spodziewa si po zodzieju lub intruzie tylko pracownik firmy mg zachowywa si w taki sposb. Tak
przynajmniej sdzi. Leroy powinien zosta przeszkolony, aby dziaa, opierajc si na solidnych procedurach identyfikacyjnych, a nie na swojej wasnej ocenie.
Dlaczego jego podejrzenia nie wrosy, kiedy chopak odoy suchawk,
nie podajc jej z powrotem Leroyowi, aby ten usysza, jak Judy Underwood potwierdza, e jej pracownik ma powd, by przebywa o tej porze w fabryce?
Byo to szyte tak grubymi nimi, e trudno uwierzy, i Leroy da si nabra. Spjrzmy jednak na sytuacj z jego perspektywy: ukoczy ledwo liceum, zaleao mu na pracy, nie by pewny, czy nie narazi si, dzwonic
drugi raz w rodku nocy do osoby na kierowniczym stanowisku. Czy bdc
w jego skrze zdecydowalibymy si na ponowny telefon?
Oczywicie drugi telefon to nie byo jedyne wyjcie z sytuacji. Co jeszcze
mg zrobi stranik?
Jeszcze przed wykonaniem telefonu powinien poprosi obu modziecw o jaki dowd tosamoci ze zdjciem. Skoro przyjechali do fabryki samochodem, przynajmniej jeden z nich powinien mie przy sobie prawo jazdy. W tym momencie fakt podania przez nich faszywych nazwisk staby si
oczywisty (profesjonalista zapewne pojawiby si z faszywym dowodem,
ale ci chopcy na pewno o tym nie pomyleli). W kadym razie Leroy powinien sprawdzi ich informacje identyfikacyjne i zanotowa je. Jeeli obaj
owiadczyliby, e nie maj przy sobie adnych dowodw tosamoci, powinien pj z nimi do samochodu po identyfikator, ktry chopak podajcy si
za Toma Stiltona rzekomo tam zostawi.
Po rozmowie z szefow jeden z ochroniarzy powinien towarzyszy im do
wyjcia, a nastpnie odprowadzi do samochodu i spisa jego numer rejestracyjny. Jeeli byby spostrzegawczy, by moe zauwayby, e jedna z tablic
(kupiona na pchlim targu) nie miaa wanej nalepki rejestracyjnej a to ju
powd, aby zatrzyma dwjk w celu dalszego dochodzenia ich tosamoci.
Uwaga Mitnicka
Ludzie posiadajcy dar manipulowania innymi zwykle cechuj si bardzo magnetycznym typem osobowoci. Przewanie s to osoby rzutkie i elokwentne. Socjotechnikw wyrnia te umiejtno rozpraszania procesw mylowych swoich rozmwcw, co w efekcie prowadzi
171
172
my telekomunikacyjnej.
Nie wiem, jak wyglda to dzi, ale w tamtych czasach atwo byo rozpozna worki, ktre mogy zawiera co interesujcego. Drobne mieci i odpadki z bufetu wyrzucane byy luzem w duych workach, podczas gdy odpadki
z biurowych koszy na mieci wynoszone byy w biaych, plastikowych torbach obwizywanych sznurkiem.
Pewnego razu, przeszukujc wraz z kolegami mietnik, znalelimy kilka podartych arkuszy papieru. Podartych to za mao powiedziane: kto zada sobie trud rozdrobnienia ich na zupenie mae skrawki. Wszystkie skrawki znajdoway si w oddzielnym worku. Zabralimy worek do pobliskiego
baru, wysypalimy kawaki na st i zaczlimy je ukada.
Wszyscy lubilimy puzzle, wic ukadanie skrawkw okazao si dobr
zabaw. W nagrod zamiast lizaka otrzymalimy co wicej. Poskadany dokument okaza si list nazw kont i hase do jednego z najwaniejszych systemw komputerowych firmy.
Czy cay zachd i ryzyko zwizane z grzebaniem w mietnikach si opaca? Jeszcze jak! Nawet bardziej ni mona by sdzi, poniewa ryzyko jest
zerowe. Byo tak wtedy i jest do dzisiaj: o ile nie wchodzimy przy tej okazji
na czyj prywatny teren, grzebanie w mietnikach jest stuprocentowo legalne.
Oczywicie nie tylko phreakerzy i hakerzy zanurzaj gowy w koszach
na mieci. Policja rwnie regularnie zaglda do mietnikw. Gros przestpcw, od zwykych malwersantw do szefw mafii, zostao oskaronych na
podstawie dowodw znalezionych w ich mietnikach. Agencje wywiadowcze
rwnie od lat stosuj t metod.
Nie jest to moe taktyka godna Jamesa Bonda kinomani zapewne wol
patrze, jak przechytrza czarny charakter lub uwodzi kolejn pikno, zamiast oglda go zanurzonego po kolana w mieciach. Prawdziwi szpiedzy
nie brzydz si jednak, gdy wrd skrek od bananw i kubkw po kawie,
starych gazet i podartych list zakupw moe by ukryte co wartociowego.
Poza tym szukanie informacji w ten sposb jest bezpieczne.
Fortuna w odpadkach
Korporacje rwnie bawi si w przeszukiwanie mietnikw. W czerwcu
2000 roku gazety poday informacj, e Oracle Corporation (szef tej firmy,
173
Analiza oszustwa
Biorc pod uwag dowiadczenia moje i firmy Oracle, mona by zacz si
zastanawia, czy kradzie czyich mieci nie jest ryzykowna.
Odpowied powinna chyba brzmie: ryzyko jest niewielkie, a korzyci mog by ogromne. Moe po prostu prba przekupienia osb zajmujcych si sprztaniem zwiksza ryzyko poniesienia konsekwencji. Niewtpliwie jednak kady, kto nie boi si odrobin ubrudzi, powinien poradzi sobie
bez dawania apwek.
Socjotechnik znajdzie w koszu na mieci wiele interesujcych rzeczy. Moe
zdoby tam informacje wystarczajce do zaatakowania firmy, np. pisma,
harmonogramy, listy i tym podobne dokumenty, w ktrych pojawiaj si
nazwiska, wydziay, stanowiska, numery telefonw i nazwy realizowanych
projektw. mieci mog dostarczy nam informacji o strukturze firmy, planach wyjazdw itp. Detale te mog wydawa si mao istotne dla ludzi z wewntrz organizacji, lecz s bardzo wartociowe dla napastnika.
Mark Joseph Edwards w swojej ksice Internet Security with Windows NT
mwi o caych raportach wyrzucanych z powodu bdw literowych, hasach zapisanych na skrawkach papieru, notatkach typu Gdy Ci nie byo,
dzwonili... z numerami telefonw, caych segregatorach wypenionych dokumentami, nie zniszczonych dyskietkach i tamach wszystko to moe
pomc potencjalnemu intruzowi.
Autor ksiki zapytuje te: A kim s ludzie, ktrzy sprztaj wasze biura? Podjlicie decyzj, e sprztacze nie maj prawa wstpu do pomieszczenia z komputerami? A co z koszami na mieci w innych pomieszczeniach?
Agencje federalne przeprowadzaj rutynowe kontrole ludzi, ktrzy maj dostp do ich mietnikw lub niszczarek dokumentw. Moe powinnicie wzi
z nich przykad?.
174
Uwaga Mitnicka
Twoje mieci mog stanowi skarb dla przeciwnika. Zwykle nie przejmujemy si tym, co wyrzucamy do mieci w domu, dlaczego wic mielibymy sdzi, e ludzie zmieni ten nawyk w pracy? Wszystko sprowadza si do edukacji naszych pracownikw i uwiadomienia im zagroe (pozbawieni skrupuw ludzie szukajcy informacji w mietnikach)
i celu ataku (poufne informacje, ktre nie zostay zniszczone lub odpowiednio wymazane).
Upokorzony szef
Nikt nie widzia niczego podejrzanego w fakcie, e Harlan Fortis przyby
w poniedziaek rano do swojej pracy w Wydziale Drg i powiedzia, i wychodzc z domu w popiechu, zapomnia identyfikatora. Straniczka widywaa go, odkd tu pracowaa, czyli od dwch lat, jak codziennie wchodzi
i wychodzi z pracy. Kazaa mu podpisa identyfikator dla tymczasowo zatrudnionego, wrczya mu go i wpucia na teren firmy.
Pieko zaczo si dopiero dwa dni pniej. Historia rozesza si po caym
wydziale. Wikszo ludzi, ktrzy j syszeli, nie moga w to uwierzy, reszta za nie wiedziaa, czy si mia czy paka nad biednym Georgeem.
Bo w istocie George Adamson by litociw osob najlepszy szef wydziau, jakiego mieli. Nie zasugiwa, eby przytrafio si to wanie jemu.
Oczywicie przy zaoeniu, e historia bya prawd.
Kopoty zaczy si, kiedy ktrego pitku pod koniec dniwki George wezwa Harlana do swojego biura i zakomunikowa mu w jak najagodniejszy
sposb, e od przyszego poniedziaku Harlan zostaje przeniesiony do Wydziau Sanitarnego. Dla Harlana to byo tak, jakby zosta zwolniony. A w zasadzie gorzej to byo upokarzajce. Nie mia zamiaru tak po prostu si
z tym pogodzi.
Tego wieczora usiad na werandzie i obserwowa samochody ludzi wracajcych z pracy do domw. W kocu zauway chopca o imieniu David, ktrego wszyscy nazywali dzieciakiem od gier wojennych jadcego na swoim
motorowerze ze szkoy. Zatrzyma go i wrczy mu gr komputerow, ktr kupi specjalnie na t okazj, po czym zaoferowa ukad: najnowsza konsola do gier plus sze gier za odrobin pomocy przy komputerze i zmow
milczenia.
175
Kiedy Harlan objani swj plan nie podajc na razie adnych szczegw David zgodzi si i powiedzia, co naley do Harlana. Musia kupi
modem, znale w biurze komputer, przy ktrym jest jakie wolne gniazdko telefoniczne, i tam go podczy. Potem mia zostawi modem pod biurkiem, aby nikt go nie zauway. Nastpny krok by ryzykowny. Harlan musia usi przy komputerze, zainstalowa pakiet oprogramowania do zdalnego dostpu i uruchomi go. W kadej chwili osoba, ktra pracowaa w danym pokoju, moga wrci lub kto mg przyj i zobaczy go w nie swoim biurze. By taki spity, e mia trudnoci z odczytaniem instrukcji, ktr
napisa mu David. W kocu udao mu si skoczy i wymkn si z budynku niezauwaony.
Podkadanie miny
Tej wieczoru David wpad na kolacj do Harlana. Potem obaj usiedli przy
komputerze i w cigu paru minut chopakowi udao si uzyska zdalny dostp do komputera Georgea Adamsona. Zadanie byo proste, poniewa George nigdy nie mia czasu na to, by zmieni haso, a poza tym cigle kogo
prosi o pobranie albo wysanie jakiego pliku na jego komputerze. Wkrtce
wszyscy w biurze znali haso Georgea.
Po krtkim poszukiwaniu odnaleli plik o nazwie Budet2002.ppt chopak pobra go na komputer Harlana. Ten poprosi, by zostawi go samego
i przyszed za dwie godziny.
Kiedy David wrci, Harlan poprosi o ponowne poczenie z systemem
komputerowym Wydziau Drg i umieci pobrany uprzednio plik tam, gdzie
go znaleli, zastpujc nim star wersj. Harlan pokaza Davidowi konsol
i powiedzia, e jeeli wszystko pjdzie zgodnie z planem, jutro j dostanie.
176
Okrgu przyznawaa rodki i, jeeli nie by w stanie przedstawi przekonujcych argumentw, jego budet by obcinany, a potem wszyscy narzekali na dziury w jezdniach, nieczynn sygnalizacj, niebezpieczne skrzyowania i obwiniali wanie jego. Dziao si tak przez cay rok. Tego wieczoru, kiedy zosta poproszony o zabranie gosu, czu si pewnie. Przez sze tygodni
opracowywa swoj prezentacj w programie Power Point i nawet przetestowa j z pomoc swojej ony, swoich najbliszych wsppracownikw i zaufanych przyjaci. Wszyscy zgadzali si, e bya to najlepsza prezentacja,
jak widzieli.
Pierwsze trzy slajdy w Power Poincie wietnie speniy swoj rol. Kady czonek rady uwanie wpatrywa si w ekran. Slajdy idealnie wspgray
z argumentacj prelegenta.
Potem zaczo si dzia co zego. Czwarty slajd powinien przedstawia
pikn fotografi nowo otwartego odcinka autostrady o zachodzie soca.
Zamiast tego pojawio si co innego. Co bardzo enujcego. Fotografia rodem z Penthousea lub Hustlem. Usysza pomruk widowni i popiesznie nacisn klawisz w swoim laptopie, by przej do nastpnego slajdu.
Ten by jeszcze gorszy. Nic nie pozostawiono wyobrani.
Wanie chcia wywietli na kolejny slajd, kiedy kto z widowni wycign z prdu wtyczk projektora. W tym czasie przewodniczcy gono uderza drewnianym motkiem w st i przekrzykiwa powstay zgiek, ogaszajc przeoenie spotkania na inny termin.
Analiza oszustwa
Korzystajc z fachowej pomocy nastoletniego hakera, niezadowolony pracownik zdoa dosta si do komputera swojego szefa, pobra wan prezentacj i podmieni par slajdw. Potem umieci z powrotem prezentacj na
dysku szefa.
Dziki modemowi podczonemu do jednego z komputerw i gniazdka telefonicznego, mody haker by w stanie dosta si do komputera z zewntrz.
Dzieciak przygotowa wczeniej oprogramowanie do zdalnego dostpu, aby
po wejciu do systemu mie peny dostp do wszystkich plikw przechowywanych w systemie. Poniewa komputer by podczony do sieci firmowej,
a login i haso szefa byy oglnie znane, dostp do jego plikw nie stanowi
problemu.
cznie ze skanowaniem zdj z kolorowych magazynw, caa praca zaj-
177
a tylko par godzin. Szkoda wyrzdzona dobrej reputacji szefa bya niewyobraalna.
Uwaga Mitnicka
Wikszo pracownikw, ktrzy s zwalniani, przenoszeni lub degradowani, nie sprawia problemw. Wystarczy jednak jeden, aby firma przekonaa si po fakcie, e naleao wczeniej podj kroki w celu uniknicia katastrofy.
Dowiadczenie i statystyki mwi, e najwiksze zagroenie dla firmy
pynie ze strony pracownikw. To oni posiadaj szczegow wiedz
o miejscach przechowywania wanych informacji i wiedz, gdzie uderzy, aby spowodowa najwiksze straty.
W oczekiwaniu na awans
Pnym rankiem, pewnego ciepego jesiennego dnia, Peter Milton wkroczy do holu biura regionalnego Honorable Auto Parts w Denver firmy
prowadzcej hurtow sprzeda czci zamiennych. Czeka przy kontuarze
recepcji, podczas gdy dziewczyna jednoczenie wpisywaa gocia do ksiki,
objaniaa komu przez telefon drog i zaatwiaa kuriera z przesyk.
Jak pani si nauczya robi tyle rzeczy naraz? powiedzia Peter, kiedy
wreszcie znalaza dla niego czas. Umiechna si, najwyraniej cieszc si, e
to zauway. Powiedzia jej, e jest z dziau marketingu z Dallas i e umwi
si z Mikiem Talbottem z dziau sprzeday w Atlancie.
Musimy dzi po poudniu odwiedzi klienta wyjani. Po prostu
poczekam na niego tu w holu.
Marketing wymwia to sowo z nutk melancholii.
Peter umiechn si do niej, czekajc co bdzie dalej.
Gdybym posza do collegeu, wybraabym wanie to powiedziaa.
Marz o pracy w marketingu.
Znowu si umiechn.
Kaila zwrci si do niej, odczytujc imi z tabliczki na kontuarze.
U nas w Dallas pracowaa dziewczyna, ktra bya sekretark. Potem przesza do marketingu. To byo jakie trzy lata temu, a dzisiaj jest asystentk
dyrektora marketingu i zarabia dwa razy tyle, co na pocztku.
Kaila rozmarzya si.
178
Uwaga Mitnicka
Pracownikw naley wyszkoli, aby nie oceniali ksiki po okadce
to, e kto jest dobrze ubrany i ma dobre maniery, nie znaczy, e jest
wiarygodny.
Historia Anthonyego
Sdz, e Anthonyego Lakea mona by nazwa leniwym biznesmenem.
Cho moe sowo zdeterminowany lepiej oddaje jego nastawienie.
179
Zamiast pracowa dla kogo, zdecydowa, e bdzie pracowa sam dla siebie. Mia zamiar otworzy sklep, w ktrym mgby cay dzie spokojnie siedzie, zamiast cigle goni z miejsca na miejsce. Chcia jednak robi tylko takie interesy, z ktrych bdzie mia pewne dochody.
Jaki sklep wybra? To byo akurat do proste. Zna si na naprawie samochodw, wic otworzy sklep z czciami zamiennymi.
A co z gwarancj sukcesu? Rozwizanie przyszo mu do gowy momentalnie: przekona hurtowni Honorable Auto Parts, eby sprzedawaa mu
wszystkie towary po kosztach.
Oczywicie sami z siebie nie bd chcieli tego zrobi. Anthony zna jednak
sposoby na przechytrzanie ludzi, a jego kolega, Mickey, wiedzia, jak wamywa si do cudzych komputerw. Wsplnie opracowali sprytny plan.
Tego jesiennego dnia przedstawi si przekonujco jako Peter Milton, pracownik firmy, dosta si na teren biur Honorable Auto Parts i udao mu si
podczy swj laptop do firmowej sieci. Jak dotd plan dziaa, ale by to ledwie pierwszy krok. To, co musia jeszcze zrobi, nie byo proste, szczeglnie
dlatego, e Anthony chcia si zmieci w 15 minutach kada sekunda ponad ten czas zwikszaaby ryzyko jego wykrycia.
Wczeniej zdy wykona telefon i, podajc si za serwisanta dostawcy
komputerw, odegra mae przedstawienie:
Wasza firma wykupia dwuletni abonament serwisowy i chcemy was
dopisa do bazy danych, eby wiedzie, kiedy pojawi si nowe wersje lub
uzupenienia programu, ktrego uywacie. Dlatego potrzebuj informacji
o tym, jakich uywacie aplikacji.
W odpowiedzi otrzyma list programw, a jego kolega zidentyfikowa jeden z nich, MAS 90, jako cel ataku program ten przechowuje list sklepw
wraz z rabatami i warunkami patnoci dla kadego z nich.
Dysponujc t wiedz, uy programu, ktry identyfikuje wszystkie aktywne komputery w sieci. Nie zajo mu duo czasu znalezienie serwera,
z ktrego korzysta ksigowo. Z arsenau programw hakerskich drzemicego w laptopie wybra jeden i uy go do identyfikacji wszystkich uprawnionych uytkownikw na serwerze. Za pomoc kolejnego programu uruchomi list typowo instalowanych hase, takich jak blank czy password. To
drugie okazao si trafne. Nic dziwnego. Ludzie wydaj si traci kreatywno, kiedy przychodzi do wymylania hase.
Upyno dopiero sze minut, a ju by w poowie drogi. Dosta si do serwera.
Przez kolejne trzy minuty uwanie dopisywa do listy klientw dane swo-
180
jej nowej firmy: nazw, adres, telefon i nazwisko osoby, z ktr mona si
kontaktowa. Nastpnie w kluczowym polu, tym, o ktre chodzio w caej
akcji, wprowadzi informacj, e wszystkie towary bd mu sprzedawane
z mar w wysokoci 1%.
Upora si ze wszystkim w mniej ni dziesi minut. Wychodzc, zatrzyma si na dusz chwil przy recepcji, aby podzikowa Kaili za umoliwienie sprawdzenia poczty. Powiedzia, e skontaktowa si z Mikiem Talbotem,
plan si zmieni, jedzie prosto do klienta na spotkanie. Doda, e nie zapomni
zarekomendowa jej na to stanowisko w marketingu.
Analiza oszustwa
Intruz podajcy si za Petera Miltona uy dwch technik psychologicznej dywersji pierwsza bya zaplanowana, a druga bya efektem improwizacji.
Ubra si tak, by wyglda na kogo z kadry zarzdzajcej, kto niele zarabia. Garnitur, krawat, odpowiednia fryzura wydawa by si mogo, e
to detale, ale robi one odpowiednie wraenie. Przekonaem si o tym na wasnej skrze. Krtki czas bdc programist w GTE nie istniejcej ju duej
firmie telekomunikacyjnej, ktra miaa siedzib w Kalifornii odkryem, e
kiedy przyszedem ktrego dnia do pracy bez identyfikatora, ubrany dobrze,
ale swobodnie, powiedzmy w koszulk i baweniane spodnie byem zatrzymywany i pytano mnie o identyfikator i o to, kim jestem i gdzie pracuj.
Innego dnia pojawiem si te bez identyfikatora, ale w garniturze i krawacie, wygldajc bardzo reprezentacyjnie. Stara technika polega na wmieszaniu si w tum wchodzcych do budynku lub przechodzcych przez bramk. Przykleiem si do jakich ludzi w chwili, gdy podchodzili do gwnego
wejcia, i wchodziem zachowujc si tak, jakbym by jednym z nich. Przeszedem i nawet gdyby stranik zauway, e nie mam identyfikatora, na
pewno nie zatrzymywaby mnie, bo wygldaem jak kto z kierownictwa.
Wszedem wraz z osobami, ktre miay identyfikatory.
Dowiadczenie to uwiadomio mi, jak bardzo przewidywalne jest zachowanie stranikw. Tak jak my wszyscy, dokonuj oni oceny na podstawie
wygldu czowieka. Jest to sabo, ktr socjotechnicy bezwzgldnie wykorzystuj.
Druga psychologiczna bro pojawia si w rkach napastnika w momen-
181
Uwaga Mitnicka
Dopuszczanie obcych osb do miejsc, gdzie istnieje moliwo podczenia si do sieci firmy, zwiksza ryzyko naruszenia bezpieczestwa.
Proba pracownika o skorzystanie z sali konferencyjnej w celu odebrania poczty jest absolutnie uzasadniona, szczeglnie gdy osoba ta przyjechaa z innego oddziau firmy. Jeeli jednak czowiek ten nie jest nam
znany, a sie nie jest posegmentowana w taki sposb, aby zapobiega
nieautoryzowanym poczeniom, moe okaza si to sabym ogniwem,
naraajcym firmowe zasoby informacyjne na atak.
182
Szpiegowanie Mitnicka
Przed wielu laty, gdy pracowaem w niewielkiej firmie, zauwayem co
intrygujcego. Za kadym razem, gdy wchodziem do pokoju, ktry dzieliem z trzema kolegami informatykami, jeden z nich (nazwijmy go Joe) szybko przecza ekran na inn aplikacj. Od razu wydao mi si to podejrzane. Kiedy zdarzao si to ju czciej ni dwa razy dziennie, byem pewien,
e dzieje si co, o czym powinienem si dowiedzie. C on takiego robi, e
chcia to przede mn ukry?
Komputer Joego by terminalem dostpowym do minikomputerw firmy.
Zainstalowaem wic na minikomputerze VAX program monitorujcy, dziki
ktremu mogem podglda, co robi Joe. Program dziaa prawie tak, jakby
za plecami Joego ustawi kamer wideo. Widziaem dokadnie to, co on widzia na swoim monitorze.
Moje biurko stao tu obok biurka kolegi, obrciem wic monitor w taki
sposb, aby zasoni troch obraz. Mimo to Joe mg w kadej chwili spojrze i odkry, e go szpieguj. Nie by to jednak problem by zbyt zaabsorbowany tym, co robi, aby cokolwiek zauway.
Kiedy go podejrzaem, opada mi szczka. Patrzyem oniemiay, jak ten
dra Joe przeglda moje dane o zarobkach!
Pracowaem tam dopiero od paru miesicy i Joe chyba nie mgby cierpie, gdyby si okazao, e zarabiam wicej ni on.
Kilka minut pniej widziaem, jak pobiera z sieci narzdzia hakerskie
uywane przez mniej dowiadczonych wamywaczy, ktrzy nie znaj si na
programowaniu na tyle, by stworzy sobie takie narzdzia samodzielnie. Joe
y wic w niewiadomoci nie zdawa sobie sprawy, e obok niego siedzi jeden z najbardziej dowiadczonych hakerw na wiecie. W sumie byo to
do zabawne.
Nie mogem go powstrzyma, bo zdy ju zdoby informacj o moich
zarobkach. Poza tym kady pracownik z dostpem do bazy IRS albo urzdnik pracujcy w ubezpieczeniach spoecznych moe sprawdzi moje dochody. Nie miaem zamiaru dawa mu do zrozumienia, e wiem, co zrobi. Moim
gwnym celem byo w tym okresie pozostanie w cieniu. Dobry socjotechnik
nie chwali si swoimi umiejtnociami i wiedz. Woli pozosta niedoceniony
i nie chce, aby ludzie widzieli w nim zagroenie.
Dlatego te odpuciem sobie i miaem si w duchu z tego, i Joemu wydawao si, e co o mnie wie, kiedy byo dokadnie na odwrt. Wiedzc, co
robi, miaem nad nim przewag.
183
Wkrtce odkryem, e wszyscy moi wsppracownicy zabawiali si, przegldajc zarobki tej lub innej adnej sekretarki lub (jednym z informatykw bya kobieta) jakiego przystojniaka. Byli w stanie odczytywa zarobki
i wszystkie premie kadej osoby w firmie, cznie z czonkami zarzdu.
Analiza oszustwa
Historia ta ilustruje interesujcy problem. Pliki z danymi o zarobkach byy
dostpne dla kadego, kto zajmowa si utrzymaniem systemu komputerowego firmy. Wszystko sprowadza si wic do kwestii personalnych, do wyboru zaufanych osb. Czasami informatycy nie mog si powstrzyma od
wszenia. Do tego maj odpowiednie uprawnienia umoliwiajce im obejcie
zabezpiecze dostpu do plikw.
Jednym z moliwych zabezpiecze byoby ledzenie dostpu do szczeglnie poufnych plikw, takich jak lista pac. Oczywicie kady z odpowiednimi uprawnieniami mgby dezaktywowa ledzenie lub usuwa zapisy, ktre pozwoliyby na doprowadzenie do winowajcy, ale kade dodatkowe zabezpieczenie zwiksza wysiek, jaki musi podj pozbawiony skrupuw pracownik, aby nie zosta nakrytym.
Jak zapobiega?
Poczwszy od przetrzsania mietnika, a skoczywszy na wyprowadzeniu w pole stranikw lub recepcjonistki, socjotechnik moe dosta si na teren naszej firmy. Istniej jednak rodki, ktre pomog nam si przed tym
uchroni.
Po godzinach
Wszyscy pracownicy, ktrzy pojawiaj si w pracy bez identyfikatora,
musz by zatrzymywani w recepcji lub w bramie i otrzyma tymczasowy
identyfikator na dany dzie. Incydent przedstawiony w pierwszej historii
z tego rozdziau mgby mie zupenie inny fina, gdyby ochrona miaa obo-
184
wizek postpowania zgodnie z procedur przyjt w przypadku zauwaenia osoby nie posiadajcej identyfikatora.
W firmach lub na obszarach firm, gdzie zabezpieczenie terenu nie odgrywa tak wielkiej roli, obowizek posiadania identyfikatora moe nie mie tak
istotnego znaczenia. W przypadku, gdy na terenie firmy znajduj si obszary niedostpne dla obcych, powinno to jednak by cile przestrzeganym wymogiem. Pracownicy musz by przeszkoleni i zmotywowani do zatrzymywania osb, ktre nie posiadaj identyfikatora, a osoby na wyszych stanowiskach musz tego typu proby ze strony niszych rang pracownikw
traktowa normalnie, bez wprawiania ich w zakopotanie.
Polityka bezpieczestwa powinna przypomina o karach, jakie obowizuj za notoryczne pojawianie si bez identyfikatora. Kary takie mog polega na zwolnieniu pracownika na jeden dzie do domu i odliczeniu tego
dnia od wypaty lub odnotowaniu tego w aktach personalnych. Niektre firmy wprowadzaj system progresywnych kar, wrd ktrych moe si znale poinformowanie zwierzchnika danej osoby lub wrczenie jej pisemnego
ostrzeenia.
Dodatkowo, dla miejsc, w ktrych istnieje dostp do chronionych informacji, firma powinna ustanowi procedury autoryzacyjne dla osb, ktre chc tam wej po godzinach pracy. Jednym z rozwiza jest wprowadzenie wymogu wczeniejszego poinformowania o takiej potrzebie ochrony
lub wyznaczonej w tym celu jednostki organizacyjnej. Jednostka ta powinna
wwczas dokona weryfikacji tosamoci osoby proszcej o wstp, wykonujc telefon do jej zwierzchnika lub w inny bezpieczny sposb.
185
Zwalnianie pracownikw
Ju wczeniej w tym rozdziale wspomniaem o koniecznoci istnienia staych procedur zwalniania pracownikw, ktrzy maj dostp do poufnych informacji, hase, numerw dostpowych itp. Procedury bezpieczestwa powinny kontrolowa na bieco, kto ma dostp do rnych systemw. By
moe powstrzymanie zdeterminowanego socjotechnika przed dostaniem si
do systemu jest trudne, ale przynajmniej nie uatwiajmy tego zadania byym
pracownikom.
Nie zapominajmy ponadto, e jeli zwalniany pracownik by uprawniony do odbioru kopii zapasowych od wynajtej do ich tworzenia firmy, naley usun go z listy uprawnionych do odbioru.
186
W rozdziale 16. mona znale szczegowe informacje na ten temat. Tutaj zostan tylko wymienione kluczowe klauzule bezpieczestwa, ktre naley stosowa, aby unikn sytuacji opisanych w ksice:
187
Nie chcemy, aby nasza firma przypominaa wizienie, ale z drugiej strony
musimy zabezpieczy si przed zwolnionymi osobami, ktre mog powrci
z zamiarem wyrzdzenia szkody.
188
Bezpieczni informatycy
Warto zdawa sobie spraw, e w naszej firmie prawdopodobnie kady informatyk wie lub w kadej chwili moe si dowiedzie, ile zarabiamy (my
czy nawet prezes) i kto wybra si na narty subowym samochodem.
W niektrych firmach moe si nawet zdarzy, e informatycy lub pracownicy ksigowi bd podwysza swoje pace, wpaca pienidze na konta
sfabrykowanych dostawcw, usuwa niechciane zapisy ze swoich akt osobowych. Czasami jedynie strach przed zapaniem sprawia, e pozostaj uczciwi. A wreszcie, ktrego dnia, pojawi si wrd nas czowiek tak chciwy
i nieuczciwy, e zignoruje ryzyko i zrobi wszystko, co wedug jego oceny ma
szans uj na sucho.
Oczywicie s i na to sposoby. Poufne pliki mog by chronione poprzez
instalacj odpowiednich narzdzi kontroli dostpu, pozwalajcych na otwieranie ich jedynie upowanionym osobom. Niektre systemy maj narzdzia umoliwiajce ledzenie operacji, ktre mog by skonfigurowane tak,
aby przechowywa dzienniki zwizane z pewnymi wydarzeniami, np. kad prb otwarcia przez kogokolwiek chronionego pliku, niezalenie od tego,
czy zakoczya si ona powodzeniem czy nie.
Jeeli w waszej firmie uwiadomiono sobie ten problem i zastosowano odpowiednie rodki kontroli dostpu i ledzenia operacji na poufnych plikach,
mona powiedzie, e wykonano tym samym olbrzymi krok we waciwym
kierunku.
11
Socjotechnika
i technologia
Socjotechnik wykorzystuje swoj umiejtno manipulowania ludmi
w taki sposb, aby pomagali mu w osigniciu jego wasnych celw. Jego
sukces zaley te w duej mierze od posiadanej wiedzy w dziedzinie systemw komputerowych i telefonii.
Oto przykady typowych oszustw socjotechnicznych, w ktrych powan
rol odegraa technologia.
190
A wizienia i areszty? Te s dobrze zabezpieczone, prawda? Bardzo rzadko kto z nich ucieka, a nawet jeeli ucieknie, szybko zostaje zapany. Mona
by sdzi, e obiekty takie s odporne na ataki socjotechniczne... i si pomyli w kocu nikt jeszcze nie opatentowa sposobu na zabezpieczenie czegokolwiek przed ludzk gupot.
Par lat temu dwjka zawodowych oszustw wpada w tarapaty. Okazao
si, e podwdzili cakiem spor sum pienidzy lokalnemu sdziemu. Od lat
miewali od czasu do czasu kopoty z wymiarem sprawiedliwoci, ale tym razem spraw zainteresowali si agenci federalni. Udao im si zapa jednego
z oszustw, Charlesa Gondorffa, i umieci go w orodku resocjalizacyjnym
koo San Diego. Federalny sdzia pokoju nakaza jego zatrzymanie jako osoby niebezpiecznej dla spoeczestwa.
Jego kolega, Johny Hooker, wiedzia, e Charlie bdzie potrzebowa dobrego adwokata, ale skd wzi na to pienidze? Jak wikszo oszustw szybko
wydawali wyudzone pienidze: na markowe ubrania, sportowe samochody
i kobiety. Johnyemu ledwo starczao teraz na ycie.
Pienidze na adwokata musia wic zdoby za pomoc kolejnego oszustwa. Johny nie mia zamiaru robi tego sam. To Charlie Gondorff zawsze
obmyla wszystkie intrygi. Nie mg, niestety, odwiedzi go w orodku i pyta, co robi, zwaszcza e FBI wiedziao, i oszustw dokonyway dwie osoby,
i chtnie zapaoby t drug. Tym bardziej, e prawo do odwiedzin ma tylko
rodzina, co oznaczao, e musiaby poda si za krewnego winia i mie jaki faszywy dowd tosamoci. Posugiwanie si faszywym dokumentem
na terenie wizienia federalnego to nie by zbyt dobry pomys.
Musia znale jaki inny sposb na kontakt ze wsplnikiem.
Nie byo to atwe. aden osadzony nie ma prawa do odbierania telefonw.
Przy kadym aparacie telefonicznym przeznaczonym dla winiw widnieje
tabliczka z nastpujcym napisem: Uwaga! Wszelkie rozmowy z tego aparatu s monitorowane. Korzystanie z aparatu jest rwnoznaczne ze zgod na
monitorowanie prowadzonej rozmowy. Gdyby federalni zdoali podsucha,
jak ustalaj telefonicznie szczegy kolejnej akcji, na pewno zafundowaliby
obu przymusowy urlop za pastwowe pienidze.
Johny wiedzia jednak, e niektre rozmowy nie s podsuchiwane. Na
przykad rozmowy z adwokatem, ktrych tajno jest gwarantowana przez
konstytucj. Orodek, w ktrym przebywa Gondorff, mia telefony poczone bezporednio do kancelarii obrocw z urzdu. Podniesienie suchawki jednego z takich aparatw powodowao bezporednie poczenie z ktr
z linii w kancelarii. Firmy telekomunikacyjne nazywaj co takiego pocze-
191
niem bezporednim. Niczego nie podejrzewajcy stranicy zakadaj, e usuga ta jest bezpieczna, poniewa rozmowy wychodzce mog by skierowane wycznie do kancelarii, a przychodzce s zablokowane. Nawet, jeeli komu z zewntrz uda si jako zdoby numer tego telefonu, nie na wiele si to
zda, bowiem numer ten jest ustawiony w centrali na blokowanie pocze.
argon
Poczenie bezporednie takie poczenie telefoniczne, gdzie podniesienie
suchawki powoduje wybranie jednego, staego numeru.
Blokowanie pocze opcja serwisowa centrali telefonicznej, uniemoliwiajca odbieranie rozmw przychodzcych pod dany numer.
192
Potem trzeba byo odnale numer, ktry odpowiada temu wanie budynkowi.
Wreszcie musia przekaza Gondorffowi informacj o tym, kiedy ma spodziewa si telefonu, tak aby ta nie zostaa przechwycona.
Buka z masem, pomyla.
Dzwoni z serwisu
Johny zacz od telefonu do biura telekomunikacji i powiedzia, e dzwoni
z Gwnej Administracji Usugami agencji odpowiedzialnej za zakup dbr
i usug dla rzdu federalnego. Powiedzia, e otrzyma zamwienie na dodatkowe usugi i potrzebuje informacji z billingw dla wszystkich aktualnie
uywanych pocze bezporednich wraz numerami tych linii i miesicznymi kosztami dla orodka resocjalizacyjnego w San Diego. Jego rozmwczyni
chtnie udzielia mu pomocy.
Dla pewnoci sprbowa zadzwoni pod jeden z otrzymanych numerw
i usysza komunikat: Linia o tym numerze zostaa zlikwidowana co
oczywicie nie byo prawd, ale wiedzia, e komunikat taki pojawia si po
zablokowaniu pocze przychodzcych. Dokadnie tego si spodziewa.
Dziki swojej rozlegej znajomoci procedur i dziaalnoci firm telekomunikacyjnych wiedzia, e musi dodzwoni si do wydziau zwanego Centrum
Autoryzacji Biecych Zmian albo CABZ (Zawsze zastanawiaem si, kto wymyla te nazwy!). Najpierw zadzwoni wic do biura telekomunikacji, powiedzia, e dzwoni z serwisu i potrzebuje numeru do biura CABZ, ktre obsuguje obszar o prefiksie i numerze kierunkowym, jaki poda. Pocztkowe cyfry wystpoway we wszystkich bezporednich liniach orodka resocjalizacyjnego. Bya to rutynowa proba. Informacja ta bya czsto udzielana monterom w terenie, wic urzdniczka podaa numer bez wahania.
Zadzwoni do CABZ, poda faszywe nazwisko i ponownie powiedzia, e
jest z serwisu. Poprosi kobiet, ktra odebraa telefon, aby sprawdzia jeden
z numerw telefonw, ktre wyudzi wczeniej.
Czy ten numer ma ustawione blokowanie pocze? zapyta Johny.
Tak odpowiedziaa.
No tak. To wyjania, dlaczego klient nie odbiera adnych telefonw!
powiedzia. Moe pani co dla mnie zrobi? Musz zmieni kod klasy linii i usun blokowanie pocze.
193
Nastpia przerwa, kiedy kobieta sprawdzaa w innym systemie komputerowym, czy wystawione zostao zamwienie serwisowe autoryzujce t
zmian.
Ta linia powinna obsugiwa jedynie poczenia wychodzce powiedziaa po chwili. Nie ma zamwienia serwisowego na tak zmian.
Nie ma, bo nastpia pomyka. Mielimy wystawi to zamwienie
wczoraj, ale osoba, ktra zajmuje si kontem tego klienta, posza na chorobowe i zapomniaa przekaza komu innemu, aby si tym zaj. A klient jest
ju bardzo zniecierpliwiony.
Po chwilowej pauzie, w trakcie ktrej kobieta rozwaaa prob wykraczajc poza standardowe procedury operacyjne, powiedziaa:
Dobrze.
Sysza jak stuka w klawisze, wprowadzajc zmian. Po kilku sekundach
wszystko byo gotowe.
Lody zostay przeamane, a ich poczy pewien rodzaj zmowy. Wyczuwajc jej nastawienie i ch pomocy, Johny czym prdzej poszed na cao.
Moe mi pani jeszcze powieci par minut? zapyta.
Tak odpowiedziaa. A o co chodzi?
Mam tu kilka innych linii, ktre nale do tego samego klienta i jest ten
sam problem. Odczytam numery, aby pani moga sprawdzi, czy nie s zablokowane, dobrze?
Zgodzia si.
Kilka minut pniej wszystkie linie byy ju naprawione i mona byo
odbiera rozmowy przychodzce.
Poszukiwanie Gondorffa
Teraz trzeba byo odnale budynek, w ktrym przebywa Gondorff. Jest
to informacja, ktrej pracownicy wizienia zdecydowanie nie bd chcieli
udzieli. Johny znowu musia polega na swoich umiejtnociach socjotechnicznych.
Wykona telefon do wizienia federalnego w innymi miecie wybra
Miami, ale mg wybra kade inne i owiadczy, e dzwoni z aresztu
w Nowym Jorku. Poprosi o poczenie z kim, kto obsuguje Rejestr Aresztowanych baz danych zawierajc informacj o kadym winiu osadzonym w ktrymkolwiek z zakadw penitencjarnych na terenie USA.
Kiedy osoba ta odebraa telefon, Johny zacz mwi z brookliskim akcentem.
194
Dzie dobry powiedzia. Tu mwi Thomas z FDC w Nowym Jorku. Nasze poczenie z Rejestrem Aresztowanych cay czas si przerywa, czy
moe pan zlokalizowa dla mnie winia wydaje mi si, e jest osadzony
w waszym wizieniu.
Poda nazwisko Gondorffa i jego numer rejestracyjny.
Nie, nie ma go u nas powiedzia rozmwca po paru chwilach. Jest
w orodku resocjalizacyjnym w San Diego.
Johny uda zdziwienie.
San Diego!? Mia przecie by przeniesiony do Miami samolotem wojskowym w zeszym tygodniu! To na pewno ten sam wizie? Jaka data urodzenia?
12.03.60 mczyzna odczyta z ekranu.
Tak. To ten sam facet. W jakim on jest budynku?
Dziesity, pnocne skrzydo odpowiedzia gadko na pytanie, mimo
e nie byo adnego sensownego powodu, dla ktrego pracownik wizienia
w Nowym Jorku mgby si tym interesowa.
Johny odblokowa ju linie i dowiedzia si, gdzie jest Gondorff. Teraz wypadao znale numer telefonu prowadzcy do budynku numer 10.
To byo troch trudniejsze. Johny zadzwoni pod jeden z numerw. Wiedzia, e dzwonek telefonu jest wyczony i aparat po drugiej stronie bdzie
milcza. Rozsiad si i zabra do czytania przewodnika Miasta Europy, suchajc sygnau telefonu. Po jakim czasie kto z drugiej strony podnis suchawk. Jaki wizie najwyraniej chcia skontaktowa si ze swoim obroc z urzdu. Johny by na to przygotowany.
Kancelaria obrocw z urzdu odezwa si do suchawki. Kiedy mczyzna zapyta o swojego obroc, Johny powiedzia:
Zobacz, czy jest. Z jakiego budynku pan dzwoni? Zanotowa odpowied, nacisn klawisz oczekiwania i nim mino p minuty, wrci do rozmowy i powiedzia:
Jest w sdzie, musi pan zadzwoni pniej stwierdzi i odoy suchawk.
Czeka przez par godzin, ale nie byo a tak le czwarty rozmwca
okaza si dzwoni z budynku numer 10. W ten sposb Johny pozna numer
telefonu do budynku, w ktrym przebywa Gondorff.
195
Zsynchronizujmy zegarki
Teraz naleao przekaza Gondorffowi wiadomo, kiedy ma podnie suchawk telefonu, ktry prowadzi bezporednio do kancelarii. Byo to atwiejsze, ni mogoby si wydawa.
Johny zadzwoni do orodka i, uywajc oficjalnego tonu, przedstawi
si jako pracownik wizienia i poprosi o budynek nr 10. Poczono go. Kiedy oficer podnis suchawk, Johny oszuka go, pomagajc sobie argonowym skrtem dziau przyj i zwolnie jednostki zajmujcej si przyjmowaniem i zwalnianiem winiw:
Tu mwi Tyson z PiZu powiedzia. Prosz do telefonu osadzonego Gondorffa. Mamy tu jego rzeczy, ktre musimy odesa, i chcemy zapyta o adres. Mog go prosi do aparatu?
Johny usysza, jak stranik woa osadzonego. Po kilku nerwowych minutach usysza w suchawce znajomy gos. Johny odezwa si:
Nic nie mw, dopki nie wyjani ci, o co chodzi.
Po czym wytumaczy cel rozmowy, aby Gondorff mg udawa, e rozmawiaj o tym, gdzie przesa jego rzeczy. Potem powiedzia:
Jeeli moesz si dosta do telefonu do kancelarii obrocw z urzdu
dzi o trzynastej, nic nie odpowiadaj. Jeeli nie moesz, podaj godzin, o ktrej moesz tam by.
Gondorff nie odpowiedzia. Johny cign dalej:
Dobra. Bd o trzynastej, bd dzwoni. Podnie suchawk, a jeeli zacznie czy si z kancelari, naciskaj wideki co dwadziecia sekund. Prbuj
tak dugo, a mnie usyszysz.
O trzynastej Gondorff podnis suchawk. Johny ju na niego czeka.
Uwolnieni od rzdowej inwigilacji rozmawiali dugo i niespiesznie, umawiajc si na nastpne rozmowy, by zaplanowa akcj, ktra przyniesie pienidze na opacenie Gondorffowi adwokata.
Analiza oszustwa
Opisany epizod stanowi pierwszorzdny przykad, jak socjotechnik robi
rzeczy niewyobraalne, oszukujc kilka osb, z ktrych kada robi co, co
samo w sobie nie budzi adnych podejrze. W rzeczywistoci kada z tych
czynnoci stanowi element ukadanki, skadajcy si na ca intryg.
196
Pracownik telekomunikacji myla, e udziela informacji komu z Gwnego Biura Ksigowego rzdu federalnego.
Kolejna pracownica telekomunikacji wiedziaa, e nie powinna zmienia
klasy usugi, nie majc zamwienia, ale postanowia pomc miemu panu.
Dziki temu moliwe stao si dzwonienie na wszystkie dziesi linii przeznaczonych do rozmw winiw ze swoimi obrocami.
Dla czowieka z wizienia w Miami proba o pomoc ze strony pracownika innego wizienia federalnego majcego problemy z komputerem wydawaa si cakowicie uzasadniona. Nawet, jeeli nie byo adnego sensownego
powodu, dla ktrego miaby pyta o budynek, nie byo te powodu, eby nie
odpowiada na to pytanie.
A co ze stranikiem w budynku numer 10, ktry uwierzy, e dzwoni do
niego pracownik tego samego wizienia w sprawie subowej? Proba bya
zupenie normalna, wic poprosi Gondorffa do telefonu. Nic wielkiego.
Szereg zaplanowanych akcji zoyo si na peny obraz intrygi.
Szybka kopia
Dziesi lat po ukoczeniu studiw prawniczych Ned Racine spotyka swoich kolegw z roku mieszkajcych w piknych domach z ogrodami, nalecych do klubw, grajcych w golfa raz lub dwa razy w tygodniu, podczas
gdy sam prowadzi sprawy ludzi, ktrzy nie mieli pienidzy nawet na to,
eby opaci jego rachunki. Czasami zazdro zjada nas od rodka. W kocu
Ned mia ju tego wszystkiego do.
Jedynym dobrym klientem, jaki mu si trafi, byo mae, ale bardzo prne biuro rachunkowe specjalizujce si w fuzjach i przejciach. Korzystali z usug Neda od niedawna, ale ten zdy si ju zorientowa, e s zaangaowani w transakcje, ktre z chwil przedostania si informacji o nich do
prasy wpyn na ceny akcji jednej lub dwch spek notowanych na giedzie.
Nie byy to wielkie spki, ale moe to i lepiej may skok ceny mg tu
oznacza duy procentowy przyrost zyskw z inwestycji. Musiaby si tylko
dosta w jaki sposb do ich plikw i zobaczy, nad czym wanie pracuj...
Zna czowieka, ktry z kolei zna czowieka znajcego si na rnych
dziwnych rzeczach. Kiedy ten wysucha planu, strasznie si do tego zapali
i zgodzi si pomc. Za mniejsz stawk ni zwykle, ale z obietnic procentowego udziau w zyskach z operacji, czowiek ten powiedzia Nedowi, co trze-
197
Uwaga Mitnicka
Szpiedzy przemysowi lub hakerzy czasami prbuj fizycznie dosta si
na teren firmy. Zamiast z omu socjotechnik korzysta ze swojej umiejtnoci manipulacji i przekonuje osob po drugiej stronie, aby otworzya mu drzwi.
198
atwa forsa
Podczas moich pierwszych kontaktw z komputerem w liceum, musielimy si czy poprzez modem z jednym gwnym minikomputerem DEC
PDP 11 w Los Angeles, ktry suy wszystkim szkoom w miecie. System
operacyjny tego komputera nazywa si RSTS/E i by to pierwszy system,
w ktrym nauczyem si pracowa.
Wtedy, w 1981 roku, DEC sponsorowa co roku konferencj dla uytkownikw swoich produktw. Wyczytaem, e tym razem konferencja ma si odby w Los Angeles. Popularny magazyn dla uytkownikw tego systemu publikowa ogoszenia o nowym produkcie zabezpieczajcym, LOCK-11. By on
promowany za pomoc pomysowej kampanii reklamowej, ktra opieraa si
na sowach: Jest 3:30 nad ranem. Johny za 336. razem odgad Twj numer
dostpowy do sieci, 555-0336. Wanie przeglda Twoje pliki. Zamw LOCK11. Produkt, jak sugerowaa kampania, mia zabezpiecza przed hakerami.
Na konferencji miaa si odby jego prezentacja.
Bardzo chciaem to zobaczy. Mj wczesny przyjaciel, Vinny, z ktrym
przez kilka lat zabawialimy si w hakerw, a ktry pniej zdecydowa si
donosi na mnie wadzom federalnym, podziela moje zainteresowanie nowym produktem i namawia mnie, ebym poszed z nim na konferencj.
Gotwka na stole
Kiedy dotarlimy na miejsce, w tumie uczestnikw rozchodziy si nowiny o LOCK-11. Podobno twrcy postawili pienidze na to, e nikomu nie uda
si wama do systemu zabezpieczonego przez nowy produkt. Takiemu wyzwaniu nie mogem si oprze.
Udalimy si prosto do boksu LOCK-11 i natknlimy si tam na trzech
programistw, ktrzy byli autorami wynalazku; ja rozpoznaem ich, a oni
mnie mimo e byem jeszcze nastolatkiem, miaem ju reputacj phreakera i hakera za spraw duego artykuu w LA Times opisujcego moje pierwsze spicie z wadzami. Artyku opisywa, jak udao mi si namwi stra,
aby w rodku nocy wpuci mnie do budynku Pacific Telephone. Wyszedem
stamtd z dokumentacjami programw komputerowych tu przed nosem
stranika. (Wyglda na to, e Times chcia z tego zrobi sensacj i dlatego po-
199
stanowili poda moje nazwisko; jako e byem wci nieletni, artyku narusza obyczaj, jeeli nie prawo, zabraniajce publikowania nazwisk osb niepenoletnich oskaronych o popenienie wykroczenia).
Kiedy wkroczylimy tam wraz z Vinnim, z obu stron pojawio si zainteresowanie. Zainteresowanie z ich strony wynikao z faktu rozpoznania we
mnie hakera, o ktrym czytali, i z zaskoczenia, jakie sprawio moje pojawienie si. Zainteresowanie z naszej strony byo skierowane w stron trzech studolarowych banknotw, zatknitych za konferencyjny identyfikator kadego z nich. Nagroda dla osoby, ktra pokona ich system, wynosia 300 dolarw dla dwch nastolatkw byo to mnstwo pienidzy. Nie moglimy si
doczeka, by dano nam szans.
LOCK-11 dziaa, wykorzystujc dwa poziomy bezpieczestwa. Uytkownik musia jak zwykle zna prawidowy login i haso, a oprcz tego musiay by one wprowadzone z autoryzowanego terminala. Metoda ta jest okrelana jako identyfikacja terminala. Aby zama to zabezpieczenie, hakerowi
nie wystarczy sam login i haso oprcz tego musia wpisa te informacje w odpowiednim miejscu. Metoda ta bya szeroko stosowana i wynalazcy
LOCK-11 byli przekonani, e pozwala ona zabezpieczy si przed wamaniami. Postanowilimy da im lekcj i przy okazji zarobi trzysta dolarw.
argon
Identyfikacja terminala zabezpieczenie oparte czciowo na identyfikacji
komputera, z ktrego nastpuje prba poczenia. Metoda ta bya popularna w komputerach IBM typu mainframe.
200
Wyzwanie
Wyszlimy wraz z Vinnim z boksu, by si naradzi. Przyszed nam do gowy pewien plan. Spacerowalimy, nie zwracajc na siebie uwagi i obserwujc boks z dystansu. W porze lunchu, gdy tum si troch rozrzedzi, trzech
programistw skorzystao z maego ruchu poszli co zje, zostawiajc
w boksie kobiet, ktra moga by on lub dziewczyn jednego z nich. Podeszlimy z powrotem i zajlimy j rozmow o tym i o tamtym (Jak dugo pani ju tu pracuje?, Co jeszcze sprzedajecie? itp.).
Tymczasem Vinny znikn z pola widzenia i zabra si do roboty, wykorzystujc umiejtnoci, ktre obaj zdoalimy naby. Poza fascynacj komputerami i wamywaniem si do nich oraz moimi wasnymi zainteresowaniami zwizanymi z magi, obaj interesowalimy si rwnie sposobami otwierania zamkw. Jako dzieciak poszukiwaem w ksigarni na stacji metra ksiek traktujcych o otwieraniu zamkw, wydobywania rk z kajdanek, tworzeniu faszywych tosamoci i tym podobnych rzeczach, ktrymi interesuj si wszystkie dzieci.
Vinni podobnie jak ja wiczy si w tej sztuce i wkrtce potrafilimy otworzy kady z popularnych i dostpnych w sklepach zamkw. Kiedy miaem
fioa na punkcie kawaw z tym zwizanych, takich jak namierzenie kogo,
kto zamyka drzwi na dwa zamki, otwarcie ich i zamienienie jednego z drugim doprowadzao to waciciela do zdumienia i frustracji przy prbie ich
otwarcia.
Kontynuowaem zajmowanie rozmow modej kobiety w hali wystawowej, podczas gdy Vinny, przykucnwszy za boksem, tak aby nikt go nie zauway, dobiera si do zamka szafki, w ktrej zamknity by minikomputer
201
PDP-11 wraz z kocwkami kabli. Nazywanie szafki zamknit zakrawaoby na dowcip. Bya ona zabezpieczona takim zamkiem, jaki mona spotka
w domowych meblach, niezwykle atwym do otwarcia nawet dla do nieporadnych amatorw, takich jak my.
Otwarcie szafki zajo Vinniemu okoo minuty. W rodku znalaz dokadnie to, czego si spodziewa: rzd portw przeznaczonych do wpinania terminali uytkownikw i jeden port dla tak zwanego terminala konsoli. Terminal ten by uywany przez operatora lub administratora systemu do sterowania prac wszystkich komputerw. Vinny podczy kabel prowadzcy
z portu konsoli do jednego z terminali w holu wystawowym.
W tym momencie jeden z komputerw sta si terminalem konsoli. Usiadem przy nim i zaogowaem si za pomoc hasa tak zuchwale udostpnionego przez programistw. Program LOCK-11 rozpozna, e loguj si z autoryzowanego terminala i zezwoli mi na wejcie dostaem si do systemu
i miaem przywileje administratora. Dokonaem zmiany w systemie operacyjnym tak, aby z kadego terminala w holu mona byo si dosta do systemu jako uytkownik uprzywilejowany.
Po zainstalowaniu mojej tajemniczej nakadki na system Vinny poszed
odczy kabel terminala i przyczy go tam, gdzie by poprzednio. Na koniec zdoa jeszcze zamkn szafk.
Wylistowaem katalogi, aby zobaczy, jakie pliki znajduj si na komputerze. Gdy szukaem programu LOCK-11 oraz zwizanych z nim plikw, natknem si na co szokujcego: katalog, ktry zdecydowanie nie powinien
znale si na tym komputerze. Programici byli do tego stopnia pewni siebie
i tego, e ich program jest nie do pokonania, i nie usunli nawet kodu rdowego nowego produktu. Przesiadem si na ssiadujcy terminal, do ktrego podczona bya drukarka i zaczem drukowa fragmenty kodu rdowego na dugich arkuszach papieru w zielone paski, jaki stosowano wwczas w drukarkach.
Ledwo Vinny zamkn szafk i doczy do mnie, trjka wrcia z lunchu.
Zobaczyli, e siedz przy jednym z terminali i stukam w klawiatur, podczas
gdy drukarka rwnomiernie zadrukowywaa arkusze papieru.
Co robisz, Kevin? zapyta jeden z nich.
A nic, drukuj tylko wasz kod rdowy powiedziaem. Uznali to
oczywicie za dobry art. Potem spojrzeli na drukark i zobaczyli swj zazdronie strzeony kod rdowy LOCK-11.
Nie wierzyli, e udao mi si zaogowa jako uprzywilejowany uytkownik.
202
Uwaga Mitnicka
Oto kolejny przykad inteligentnych ludzi, ktrzy nie doceniaj swoich
przeciwnikw. Czy bylibymy skonni postawi 300 dolarw na to, e
nasz system bezpieczestwa jest nie do przejcia? Czasami sposb obejcia systemu jest zupenie inny, ni moglibymy si spodziewa.
203
balna korporacja, z setkami oddziaw i tysicami serwerw, ktra nie udostpniaa w sieci indeksu systemw programistycznych lub innej formy
przewodnika po swoich zasobach.
Zamiast wic uywa metod technologicznych, w celu odnalezienia serwera, na ktry mia si dosta, Ivan skorzysta z metod socjotechnicznych.
Wykona kilka telefonw, bazujc na metodach opisanych ju w tej ksice.
Na pocztku zadzwoni do pomocy technicznej w dziale informatyki, przedstawi si jako pracownik firmy i powiedzia, e ma do omwienia pewien
problem zwizany z interfejsem dla produktu, nad ktrym pracowaa jego
grupa. Poprosi o numer telefonu do szefa projektw w grupie programistw
zajmujcych si grami.
Nastpnie zadzwoni pod numer, ktry mu podano, udajc pracownika
dziau informatyki.
Jeszcze dzi wieczorem powiedzia bdziemy wymienia router
i musimy si upewni, czy ludzie z pana grupy nie strac cznoci z serwerem. Jakiego serwera uywacie?
Sie bya cay czas ulepszana, a podanie nazwy serwera nie moe niczemu
zagrozi, prawda? Przecie jest chroniony hasem i sama znajomo jego nazwy nic nikomu nie da. Tak wic szef projektw poda nazw serwera. Nie
pokusi si nawet o oddzwonienie i sprawdzenie tej historyjki lub chocia zapisanie nazwiska i numeru telefonu dzwonicego. Po prostu poda nazwy
serwerw: ATM5 i ATM6.
Odgadywanie hasa
W tym momencie Ivan znowu przeszed do metod technologicznych, aby
zdoby informacje uwierzytelniajce. Pierwszym krokiem w wikszoci technologicznych atakw na systemy jest identyfikacja konta z atwym hasem,
ktre pozwala na zdobycie pierwszego przyczka w systemie.
Stosowanie narzdzi hakerskich sucych do zdalnej identyfikacji hase
moe wymaga pozostania poczonym z sieci firmy przez dugie godziny.
Pojawia si tu zagroenie: im duej bdzie podczony do sieci, tym wiksze
jest ryzyko wykrycia go i zapania.
W pierwszym kroku Ivan zastosowa enumeracj, ktra umoliwia poznanie szczegw systemu. Jak zwykle przydatne w tym celu narzdzia mona znale w Internecie (http://mtsleuth.0catch.com znak po kropce to
zero). Ivan odszuka w Sieci kilka oglnie dostpnych narzdzi hakerskich,
204
argon
Enumeracja proces ujawniajcy usugi dostpne w danym systemie,
platform systemow oraz nazwy kont uytkownikw majcych dostp do systemu.
Po identyfikacji istniejcych kont to samo narzdzie enumeracyjne umoliwio uruchomienie w systemie ataku sownikowego. Atak sownikowy to
pojcie dobrze znane ludziom zajmujcym si bezpieczestwem systemw
komputerowych i oczywicie hakerom. Dla pozostaych ludzi szokiem bywa
fakt, e co takiego jest w ogle moliwe. Atak ten ma na celu ustalenie hase
uytkownikw poprzez porwnywanie ich z powszechnie uywanymi sowami.
Wszyscy jestemy leniwi w pewnych sprawach, ale nigdy nie przestaje zadziwia mnie fakt, e w momencie wybierania hasa ludzka kreatywno i wyobrania wydaj si zanika. Wikszo z nas chce mie haso, ktre daje ochron, ale jednoczenie jest atwe do zapamitania. Zwykle oznacza
to zastosowanie jakiego bliskiego nam sowa. Mog to by na przykad nasze inicjay, drugie imi, pseudonim, imi maonka, tytu ulubionej piosenki, filmu lub marka piwa. Poza tym nazwa ulicy, przy ktrej mieszkamy, lub
miasta, marka samochodu, ktrym jedzimy, ulubiona miejscowo wypoczynkowa lub nazwa strumienia, gdzie najlepiej bior pstrgi. Czy zauwaamy w tym jak regu? W wikszoci przypadkw s to imiona, nazwy lub
wyrazy, ktre mona znale w sowniku. Atak sownikowy porwnuje haso z czsto uywanymi sowami, prbujc kady z wyrazw na jednym lub
wikszej iloci kont uytkownikw.
Ivan przeprowadzi atak sownikowy w trzech fazach. W pierwszej uy
listy 800 najczciej uywanych hase. Lista ta zawiera takie sowa jak secret, work lub password. Oprcz tego program tworzy permutacje tych wyrazw z dodanymi na kocu cyframi lub numerem biecego miesica. Program prbowa kade z hase na wszystkich znalezionych w systemie kontach. Niestety bez powodzenia.
205
Szybciej ni mylisz
Po wybraniu list do zastosowania i uruchomieniu programu Ivan przeczy go w tryb automatyczny. Dziki temu mg zaj si czym innym. Mona by sdzi, e taki atak pozwoli hakerowi na ucicie sobie dugiej drzemki
i nawet, gdy haker ju si obudzi, postp bdzie niewielki. W rzeczywistoci,
w zalenoci od rodzaju atakowanej platformy, konfiguracji systemw zabezpieczajcych i szybkoci poczenia sieciowego, peny zasb sw ze sownika angielskiego moe by przetestowany w czasie krtszym ni 30 minut!
W czasie trwania ataku Ivan wczy inny komputer i uruchomi podobny atak na drugim serwerze uywanym przez grup programistw, ATM6.
Dwadziecia minut pniej udao si zrobi co, co dla wikszoci ludzi wydaje si niemoliwie: zama haso i odkry, e jeden z uytkownikw wybra
haso Frodo, imi jednego z hobbitw, bohatera Wadcy Piercieni.
Majc haso, Ivan mg poczy si z serwerem ATM6 za pomoc konta
uytkownika.
206
argon
Atak siowy strategia wykrywania hase, polegajca na testowaniu
kadej moliwej kombinacji znakw alfanumerycznych i symboli specjalnych.
207
Analiza oszustwa
W tym ataku, ktry penetrowa zarwno ludzkie, jak i technologiczne saboci systemu, napastnik rozpocz od telefonu, by pozna lokalizacj i nazwy serwerw programistycznych, na ktrych znajdoway si zastrzeone
informacje.
Nastpnie skorzysta z programu w celu identyfikacji istniejcych nazw
kont wszystkich uytkownikw serwera. Potem przeprowadzi dwa udane
ataki na haso, w tym atak sownikowy, ktry szuka hasa, porwnujc je
z list wszystkich wyrazw ze sownika, czasami powikszon o dodatkowe
listy sw zawierajce imiona, nazwy miejsc i przedmiotw, ktre s obiektem oglnego zainteresowania.
208
Poniewa zarwno komercyjne, jak i darmowe narzdzia hakerskie s dostpne dla kadego niezalenie od celu, jaki mu przywieca, wane jest zabezpieczenie komputerw firmowych i infrastruktury sieciowej.
Skala tego zagroenia jest olbrzymia. Wedug czasopisma Computer World
analiza przeprowadzona przez Oppenheimer Funds z Nowego Jorku doprowadzia do zaskakujcego odkrycia. Jeden z wicedyrektorw odpowiedzialnych za bezpieczestwo sieci przeprowadzi atak na hasa pracownikw firmy za pomoc jednego ze standardowych pakietw oprogramowania. Czasopismo podaje, e w cigu trzech minut zdoa zama hasa 800 pracownikw.
Uwaga Mitnicka
Posugujc si terminologi zaczerpnit z gry Frodo mona powiedzie, e, jeeli uyjesz jako hasa wyrazu ze sownika, to: idziesz prosto do wizienia, nie przechodzisz przez lini startu, nie otrzymujesz
200 dolarw. Pracownikw trzeba nauczy, jak wybiera hasa, ktre
naprawd chroni zasoby firmy.
Wystarczy odmwi
W pierwszej historii z tego rozdziau pracownica biura CABZ firmy telekomunikacyjnej nie powinna usuwa statusu blokowania pocze z linii telefonicznych bez autoryzujcego t zmian zamwienia serwisowego. Sama
znajomo procedur przez pracownikw to za mao. Musz oni zrozumie,
jakie znaczenie maj te zalecenia dla firmy w zakresie ochrony przed zagroeniami z zewntrz.
Polityka bezpieczestwa powinna zniechca do odstpowania od proce-
209
dur poprzez system nagrd i kar. Oczywicie polityka musi by realistyczna i nie wymaga od pracownikw wykonywania wielu uciliwych krokw, ktre bd woleli zignorowa. Program szkolenia powinien przekonywa pracownikw, e, o ile wane jest wykonywanie pracy zgodnie z zaoonymi terminami, to wykonywanie pewnych czynnoci na skrty, z pominiciem procedur bezpieczestwa, moe narazi firm lub wsppracownikw na uszczerbek.
Podczas udzielania informacji przez telefon obcym osobom, zawsze naley stosowa taki sam stopie ostronoci. Niezalenie od nacisku, statusu
lub starszestwa danej osoby w strukturze firmy, nie naley podawa adnej informacji, ktra nie jest okrelona jako oglnodostpna, do momentu
pozytywnej weryfikacji tosamoci dzwonicego. Jeeli regua ta byaby cile przestrzegana, taktyki socjotechniczne stosowane w tej historii nie odniosyby skutku, a wizie Gondorff nigdy nie byby w stanie zaplanowa wraz
z Johnym nowego oszustwa.
Najwaniejszy punkt, do ktrego cay czas powracam na stronach tej
ksiki, to weryfikacja, weryfikacja i jeszcze raz weryfikacja. adna proba
nie powinna by uwzgldniona bez weryfikacji tosamoci pytajcego.
Sprztanie
Kada firma, ktra nie utrzymuje ochrony 24 godziny na dob, jest naraona na to, e napastnik dostanie si do biura po godzinach pracy. Ekipy sprztajce zwykle bd traktowa z respektem kadego, kto pojawi si
u drzwi firmy i bdzie wyglda na pracownika. W kocu osoba taka moe
im narobi kopotw lub nawet doprowadzi do zwolnienia. Z tego powodu
ekipy sprztajce, czy to wewntrzne czy wynajte, musz zosta przeszkolone w kwestiach bezpieczestwa.
Sprztanie biur niekoniecznie wymaga wyszego wyksztacenia. W zasadzie nie wymaga nawet umiejtnoci czytania i pisania, a typowe szkolenie, jeeli w ogle ma miejsce, dotyczy spraw nie zwizanych z bezpieczestwem, lecz wyborem odpowiedniego rodka czystoci.
Organizacja musi przewidzie tak sytuacj, jak opisana w tym rozdziale, zanim ta si wydarzy, i odpowiednio wyszkoli ludzi. Z mojego dowiadczenia wynika, e wikszo, jeeli nie wszystkie prywatne przedsibiorstwa,
postpuj do swobodnie w kwestiach zwizanych z fizycznym zabezpieczeniem terenu. Mona te sprbowa rozwiza problem inaczej, przerzu-
210
cajc ciar ochrony firmy na pracownikw. W firmie, ktra nie jest chroniona 24 godziny na dob, powinno si wprowadzi zasad, e jeli ludzie chc
dosta si na jej teren po godzinach pracy, musz mie wasne klucze lub karty elektroniczne i w adnym wypadku nie mog prosi ekipy sprztajcej
o wpuszczenie do rodka. Wwczas wystarczy przekaza firmie sprztajcej,
e jej pracownicy pod adnym pozorem nie mog sami wpuszcza nikogo na
teren firmy. Jest to prosta regua: nie otwieraj nikomu drzwi. Jeeli jest taka
moliwo, mona to zastrzeenie poda jako jeden z warunkw w umowie
zawartej z firm sprztajc.
Ekipy sprztajce musz by rwnie wyczulone na sytuacj, kiedy osoba nieuprawniona prbuje przej tu za osob uprawnion przez bramk. Sprztaczy naley tak wyszkoli, aby nie wpuszczali nikogo, kto prbuje wej razem z nimi do budynku tylko dlatego, e wydaje si by pracownikiem firmy.
Przypominajmy o wiadomociach ze szkolenia, powiedzmy trzy lub cztery razy w roku, poprzez zaaranowanie testu penetracyjnego lub ocen stanu bezpieczestwa firmy. Wylijmy kogo, aby pojawi si u drzwi podczas
pracy sprztaczy i sprbowa ich przekona, by wpucili go do budynku. Zamiast wykorzystywa w tym celu wasnych pracownikw, mona wynaj
firm, ktra specjalizuje si w tego rodzaju testach.
211
a ma by ograniczenie zawodnego czynnika ludzkiego do bezwzgldnie koniecznych obszarw. To nic trudnego. Wiadomo, e jeeli np. ograniczymy
liczb nastpujcych po sobie nieudanych prb logowania na konto, znacznie
utrudnimy ycie potencjalnym napastnikom.
Kada organizacja boryka si z problemem rwnowagi pomidzy zachowaniem odpowiedniego stopnia bezpieczestwa a produktywnoci. Niektrzy pracownicy skonni s w zwizku z tym ignorowa cz zalece i nie
przywizywa wagi do znaczenia, jakie maj one dla ochrony poufnych danych firmy.
Jeeli zalecenia te nie obejmuj pewnych tematw, pracownicy mog i
po linii najmniejszego oporu i dziaa w sposb wygodny i uatwiajcy im
prac. Niektrzy mog opiera si zmianom nawykw i otwarcie lekceway
zasady bezpieczestwa. Na pewno zdarzyo si nam spotka osob, ktra postpuje zgodnie z wytycznymi mwicymi o dugoci i zoonoci hasa, ale
wymylone haso zapisuje na kartce i przylepia do monitora.
Wanym elementem ochrony firmy jest stosowanie trudnych do odgadnicia hase, w poczeniu z konfiguracj sprztu umacniajc bezpieczestwo systemu.
Szczegowe omwienie zalece co do hase znajduje si w rozdziale 16.
12
Atak w d hierarchii
Jak pokazuje wiele z opisanych tu zdarze, dobry socjotechnik czsto wybiera sobie jako ofiar osob o niskiej pozycji w hierarchii firmy. atwo jest
manipulowa takimi ludmi i wyciga od nich z pozoru bahe informacje,
ktre przybliaj napastnika o krok do informacji poufnych.
Atakujcy mierzy w osoby na niskich stanowiskach, poniewa s one
przewanie niewiadome wagi pewnych informacji i konsekwencji rnego
rodzaju dziaa. Poza tym s bardziej podatne na uleganie metodom socjotechnicznym dzwonicy dysponuje autorytetem, wydaje si kim miym
i przyjaznym, sprawia wraenie, e zna rnych ludzi w firmie, rzecz, o ktr prosi, jest bardzo pilna, a ofiara zakada, e zdobdzie uznanie lub czyj
wdziczno.
Oto kilka przykadw atakw na osoby zajmujcych niskie stanowiska
w firmie.
213
Oczami Elliota
Czas: 3:26, wtorek rano, luty 1998.
Miejsce: zakad produkcyjny Marchand Microsystems, Nashua, New
Hampshire.
Elliot Staley wiedzia, e nie wolno mu opuszcza dyurki, z wyjtkiem
obchodw. By jednak rodek nocy i nie widzia ani jednej podejrzanej osoby,
odkd przyszed na zmian. Poza tym i tak zblia si czas obchodu. Ton tego
nieszczsnego faceta, ktry zadzwoni, wskazywa, e rzeczywicie potrzebuje pomocy. Czasami dobrze jest co dla kogo zrobi.
Historia Billa
Bill Goodrock mia jasno okrelony cel w yciu. Nie zmieni go, odkd
skoczy 12 lat: przej na emerytur w wieku lat 24, nie dotykajc nawet
pienidzy z przeznaczonego dla niego funduszu. Chcia pokaza swemu ojcu,
wszechmocnemu i surowemu bankierowi, e odniesie sukces bez jego pomocy.
Zostay mu ju tylko dwa lata i byo jasne, e w cigu najbliszych 24
miesicy nie dojdzie do fortuny poprzez bycie doskonaym biznesmenem lub
rzutkim inwestorem. Raz nawet pomyla o obrabowaniu banku, ale byy to
jedynie fantazje bilans zyskw i strat nie wypada tu zbyt korzystnie. Zamiast tego postanowi zrobi to, co kiedy udao si Rifkinowi obrabowa
bank elektronicznie.
Ostatnim razem, kiedy Bill by z rodzin w Europie, otworzy konto bankowe w Monaco, wpacajc tam 100 frankw. Mia plan, dziki ktremu
suma ta moga w szybkim tempie sta si liczb siedmiocyfrow. A przy
214
215
216
Uwaga
Uyte w tej historii tylne drzwi nie modyfikuj programu logujcego. Ukryte wejcie tworzone jest przez zamian funkcji zawartej w dynamicznych bibliotekach, z ktrej korzysta program logujcy. W typowym ataku intruz czsto zamienia lub zmienia sam program logujcy,
ale czujny administrator moe wykry t zmian, porwnujc program
z oryginaem, ktry posiada, np. na pycie CD-ROM.
Postpowaem zgodnie z instrukcjami, jakie dla mnie napisaa. Na pocztku zainstalowaem nakadk, nastpnie usunem istniejce konto fix i skasowaem informacje ze wszystkich dziennikw, aby zatrze lady mojej dziaalnoci.
Wkrtce firma bdzie dystrybuowaa now aktualizacj systemu do swoich klientw: instytucji finansowych rozsianych po caym wiecie. Kada kopia bdzie wyposaona w tylne drzwi, ktre umieciem w gwnej kopii
dystrybucyjnej, zanim zostaa rozesana; umoliwi mi to dostp do systemu
komputerowego kadego banku lub biura maklerskiego, ktre zainstalowao aktualizacj.
argon
Aktualizacja (ang. patch) tradycyjnie jest to fragment kodu, ktry po
umieszczeniu w skompilowanym pliku programu rozwizuje jaki problem.
217
Analiza oszustwa
Stranik ochrony mia instrukcje dotyczce suby, ale nawet najlepiej
przemylana instrukcja nie jest w stanie przewidzie kadej sytuacji. Nikt
nie uzmysowi mu, jak szkod moe wyrzdzi, wpisujc par znakw do
komputera, ktre podyktowaa mu osoba podajca si za pracownika firmy.
Przy wsppracy stranika uzyskanie dostpu do serwera zawierajcego
gwn kopi systemu byo stosunkowo proste, niezalenie od faktu, e znajdowa si on za zamknitymi drzwiami laboratorium stranik mia oczywicie klucze do wszystkich drzwi.
Nawet najbardziej uczciwego pracownika (w tym przypadku doktorantk i staystk firmy, Juli) mona czasami przekupi lub oszuka, by wyjawi informacj o kluczowym dla socjotechnika znaczeniu, np. gdzie znajduje si interesujcy go system komputerowy oraz (klucz do caego ataku) kiedy ukoczone zostanie nowe uaktualnienie systemu. Byo to bardzo wane
dlatego, e tego rodzaju zmiana dokonana zbyt wczenie jest obciona duym ryzykiem wykrycia lub usunicia jej w efekcie odbudowy systemu z innej kopii.
By moe zwrcilimy uwag na pewien szczeg: stranik zabra ze sob
wydruk, a pniej go wyrzuci. By to istotny element. Napastnik nie chciaby, aby operatorzy systemu, kiedy przyjd na drugi dzie do pracy, odnaleli dowd jego postpku (na drukarce drukujcej wszystkie wydane polecenia
lub w koszu na mieci). Podanie stranikowi wiarygodnego powodu, aby zabra wydruk ze sob, pozwolio unikn tego ryzyka.
Uwaga Mitnicka
Jeeli intruz nie ma moliwoci uzyskania fizycznego dostpu do systemu komputerowego lub sieci, bdzie prbowa manipulowa innymi ludmi w taki sposb, aby co za niego zrobili. W przypadkach, gdy
bezporedni dostp do komputera jest konieczny, uycie ofiary jako porednika jest nawet lepsze, poniewa napastnik nie naraa si na ryzyko zapania i aresztowania.
218
Nakadka awaryjna
Mona by sdzi, e serwisant komputerowy powinien zdawa sobie spraw z zagroenia, jakie niesie ze sob udzielenie dostpu do komputera osobie
z zewntrz. Jeeli osoba ta jest jednak sprytnym socjotechnikiem podajcym
si za chtnego do pomocy przedstawiciela producenta oprogramowania, rezultaty mog by nieoczekiwane.
Telefon ratunkowy
Dzwonicy chcia wiedzie, kto zajmuje si komputerami. Telefonistka poczya go z serwisantem, Paulem Ahearnem. Rozmwca przedstawi si:
Edward, z SeerWare, producenta waszej bazy danych. Najwyraniej
cz naszych klientw nie otrzymaa e-maila o awaryjnej aktualizacji, wic
dzwonimy do wybranych w ramach kontroli jakoci i pytamy, czy nie byo
problemw z instalacj nakadki. Czy zainstalowa pan ju aktualizacj?
Paul powiedzia, e nic nie sysza o aktualizacji.
Jest zagroenie nieodwracalnej cakowitej utraty danych, dlatego zalecamy, aby jak najszybciej j pan zainstalowa powiedzia Edward.
Paul powiedzia, e oczywicie chciaby to zrobi jak najszybciej.
Dobrze odpar rozmwca. Wylemy panu tam lub CDROM z nakadk. Chciaem tylko doda, e sprawa jest naprawd powana dwie firmy utraciy ju dane z kilku dni pracy. Dlatego naprawd powinien pan zainstalowa to tak szybko, jak to tylko moliwe, zanim wam te co takiego
si przydarzy.
Czy jest moliwo pobrania jej z waszej strony internetowej? zapyta Paul.
Wkrtce powinna by; wszyscy serwisanci na razie zajmuj si naprawianiem szkd. Jeeli pan sobie yczy, nasze centrum obsugi klienta zainstaluje to dla pana zdalnie. Moemy si wdzwoni lub dosta do waszego systemu poprzez Telnet.
Nie zezwalamy na Telnet, szczeglnie z Internetu to niebezpieczne odpowiedzia Paul. Jeeli moecie uy SSH, bdzie taka moliwo
doda, wymieniajc nazw programu do bezpiecznego transferu plikw.
Mamy SSH. Jaki jest wasz adres IP?
Paul poda adres, a kiedy Edward zapyta, jakiego loginu i hasa moe uywa, otrzyma rwnie i te informacje.
219
Analiza oszustwa
Oczywicie telefon mg rzeczywicie pochodzi od producenta bazy danych. Wtedy jednak opisana historia nie trafiaby do tej ksiki.
Wystpujcy tu socjotechnik wpyn na ofiar, budzc w niej strach przed
utrat krytycznych danych, po czym zaoferowa natychmiastowe rozwizanie problemu.
Kiedy socjotechnik wybiera sobie za cel osob, ktra zna warto informacji, musi posuy si silnymi argumentami i perswazj, aby uzyska zdalny dostp do systemu. Czasami potrzebne jest wprowadzenie elementu pilnoci, aby ofiara rozproszona koniecznoci popiechu podporzdkowaa si,
zanim bdzie miaa w ogle szans na przemylenie proby.
Nowa pracownica
Jakie informacje z wntrza firmy mog by obiektem zainteresowania napastnika? Czasami moe to by co, co wydaje si w ogle niewarte ochrony.
Telefon do Sarah
Dzia Kadr, mwi Sarah.
Cze Sarah, tu George z parkingu pod budynkiem. Wiesz, e uywamy kart dostpu, aby dosta si na parking i do wind? A wic mamy problem
i musimy przeprogramowa karty dla wszystkich osb przyjtych w cigu
ostatnich pitnastu dni.
A wic potrzebujesz ich nazwisk?
I numerw telefonw te.
Sprawdz list nowo przyjtych i oddzwoni do ciebie. Jaki masz numer?
73... ale wanie wychodz, mam przerw. To moe ja zadzwoni za p
godziny, dobrze?
Aha. Dobrze.
Kiedy zadzwoni ponownie, powiedziaa:
Wic tak, mamy tylko dwoje nowych. Anna Myrtle z Finansw. Jest sekretark. I ten nowy wiceprezes, pan Underwood.
220
A numery telefonw?
Ju... do pana Underwooda 6973, a do Anny Myrtle 2127.
Bardzo mi pomoga, dziki.
Telefon do Anny
Finanse. Mwi Anna.
Och, ciesz si, e znalazem kogo tak pno. Z tej strony Ron Vittaro.
Jestem firmowym wydawc. Chyba nie mielimy okazji by sobie przedstawionymi. Witam now koleank.
Dzikuj.
Anno, dzwoni z Los Angeles i mam tu duy problem. Musiabym ci zaj dziesi minut.
Oczywicie. O co chodzi?
Id do gry do mojego pokoju. Wiesz, gdzie jest mj pokj?
Nie.
Ju ci mwi: pokj na rogu na pitnastym pitrze numer 1502. Zadzwoni tam do ciebie za kilka minut. Kiedy bdziesz w moim pokoju, musisz nacisn przycisk forward na moim telefonie, eby nie wczya si sekretarka, gdy bd telefonowa.
Dobrze. Ju id.
Dziesi minut pniej bya we wspomnianym pokoju, wyczya sekretark i czekaa na dzwonek telefonu. Ron kaza jej usi przy komputerze
i uruchomi Internet Explorera. Kiedy to zrobia, powiedzia, aby wpisaa adres: www.geocities.com/ron_insen/manuscript.doc.exe
Gdy pojawio si okno dialogowe, poprosi, by klikna przycisk Otwrz.
Komputer zacz pobiera dokument, lecz za chwil ekran sta si czarny.
Kiedy powiedziaa, e co tu chyba nie dziaa, odpar:
O nie, tylko nie to! Miaem ostatnio problemy z pobieraniem plikw
z tej strony, ale mylaem, e to ju naprawili. No nic, trudno, nie martw si.
Sprbuj pobra go pniej w jaki inny sposb.
Potem poprosi j o zrestartowanie komputera, aby upewni si, e dziaa prawidowo po tym, co si stao. Przeprowadzi j przez etapy ponownego uruchomienia systemu.
Kiedy komputer udao si ponownie wczy, podzikowa jej serdecznie
i odoy suchawk. Anna wrcia do siebie, aby dokoczy prac.
221
222
zgodnie z jego planem powioda si. Anna nawet nie mrugna okiem, gdy
poprosi j o pobranie manuskryptu, ktry w rzeczywistoci by popularnym i oglnie dostpnym programem monitorujcym zmodyfikowanym w taki sposb, aby nastpowaa cicha instalacja. Dziki tej metodzie program nie
zostanie wykryty przez adne oprogramowanie antywirusowe. Z niezrozumiaych powodw producenci oprogramowania antywirusowego nie tworz
programw, ktre wykrywayby oglnodostpne programy monitorujce.
argon
Program monitorujcy specjalistyczne oprogramowanie potajemnie monitorujce wydarzenia w ledzonym komputerze. Programy takie uywane s midzy innymi do ledzenia stron odwiedzanych przez kupujcych za porednictwem Internetu, aby publikowane reklamy trafiay w ich zainteresowania. Poza tym moe ono peni rol podsuchu (w
tym przypadku podsuchiwany jest komputer). Program taki przechwytuje kad form aktywnoci uytkownika, cznie z wprowadzonymi hasami, nacinitymi klawiszami, poczt elektroniczn, rozmowami na czacie, korzystaniem z bezporednich komunikatorw
i wszystkimi odwiedzonymi stronami WWW, a nawet zrzutami ekranu uytkownika.
Cicha instalacja metoda instalacji aplikacji w taki sposb, aby uytkownik nie mg zauway, e co takiego miao miejsce.
223
Analiza oszustwa
W tej intrydze napastnik odnis sukces gwnie dziki wykorzystaniu
nowego pracownika w roli porednika, liczc na jego wiksz ch pomocy
i pokazania si jako dobry wsppracownik, a w mniejszym stopniu dziki
posiadanej wiedzy o firmie, jej strukturze i stosowanych praktykach bezpieczestwa, ktre mogyby udaremni atak.
Kurt, rozmawiajc z Ann z dziau finansowego, udawa wiceprezesa
i wiedzia, e w zwizku z tym jest mao prawdopodobne, i bdzie ona kwestionowaa jego tosamo. Co wicej, moga j cieszy myl, e pomagajc
wiceprezesowi, zyska jego uznanie.
Cay proces instalacji oprogramowania monitorujcego, przez ktry zostaa przeprowadzona Anna, wyglda z pozoru niewinnie. Nie miaa pojcia,
e czynnoci, ktre wykonuje, pomagaj napastnikowi w uzyskaniu wartociowych informacji, ktre mog zosta wykorzystane wbrew interesom
przedsibiorstwa.
Dlaczego zdecydowa si przekazywa informacje z komputera wiceprezesa na konto e-mail na Ukrainie? Odlegy punkt zrzutu z kilku powodw
utrudnia podjcie czynnoci skierowanych przeciwko napastnikowi. Tego
typu przestpstwa zwykle nie maj wysokiego priorytetu w krajach takich
jak Ukraina, gdzie Milicja czsto nie traktuje przestpstw dokonanych poprzez Internet zbyt powanie. Z tego wzgldu umieszczenie punktu zrzutu kraju, ktry raczej nie bdzie wsppracowa z amerykaskim wymiarem
sprawiedliwoci, jest uyteczn strategi.
Jak zapobiega?
Socjotechnik zawsze bdzie wola zaatakowa pracownika, u ktrego
proby napastnika raczej nie wzbudz podejrze. Nie tylko uatwia mu to
prac, ale naraa go na mniejsze ryzyko co potwierdzaj opisane w tym
rozdziale historie.
224
Uwaga Mitnicka
Proba o przysug skierowana do wsppracownika lub podwadnego,
to rzecz normalna. Socjotechnik wie, jak wykorzysta nasz naturaln gotowo do pomocy i wsppracy. Napastnik, manipulujc t pozytywn ludzk cech, skania nas do wykonywania czynnoci, ktre
przybliaj go do celu. Bardzo istotne jest zrozumienie tej prostej zasady pozwala to uodporni si na tego typu manipulacj.
Wykorzystywanie nieostronoci
Ju wczeniej podkrelaem konieczno wyszkolenia pracownikw w taki sposb, aby nigdy nie dali si przekona obcemu czowiekowi proszcemu
o przysug. Wszyscy pracownicy musz te zda sobie spraw z niebezpieczestwa, jakie wie si z wykonywaniem na prob obcego czynnoci na
komputerze innej osoby. Powinno by to zabronione, chyba e zwierzchnik
w drodze wyjtku wyrazi na to zgod. Wyjtki te mog dotyczy nastpujcych sytuacji:
Proba o pomoc pochodzi ze strony osoby, ktr znamy i ktra poprosi nas o to osobicie lub jednoznacznie rozpoznajemy jej gos
przez telefon.
Po pozytywnej weryfikacji tosamoci proszcego przy zastosowaniu zaaprobowanych procedur.
Kiedy proba zostaa potwierdzona przez zwierzchnika lub inn
osob na odpowiednim stanowisku, ktra osobicie zna proszcego
nas o przysug.
Szkolenie pracownikw musi uczy odmawiania pomocy ludziom nie znanym osobicie, nawet wwczas, gdy osoba proszca podaje si za kogo z kadry zarzdzajcej. Z chwil wprowadzenia procedur weryfikacyjnych kierownictwo musi zacz wspiera pracownikw w stosowaniu si do tych
procedur, nawet, jeeli oznacza to odmow pomocy czonkowi kadry zarzdzajcej w chwili, kiedy prbuje on obej procedury bezpieczestwa.
Kada firma powinna posiada rwnie procedury, zgodnie z ktrymi
pracownicy postpuj w odpowiedzi na proby o wykonanie czynnoci na
komputerze lub podobnym sprzcie. W historii o wydawnictwie socjotech-
225
nik wybra sobie za cel nowego pracownika, ktry nie zosta przeszkolony
w procedurach i praktykach zwizanych z bezpieczestwem informacji. Aby
zapobiec tego typu atakom, kady pracownik, zarwno nowy, jak i ze sporym staem, musi trzyma si prostej zasady: nie wykonuj na komputerze
adnych czynnoci na prob nieznajomej osoby. Kropka.
Naley pamita, e kady pracownik, ktry dysponuje fizycznym lub
elektronicznym dostpem do komputera lub urzdzenia podobnego typu,
jest naraony na manipulacj ze strony napastnika namawiajcego go do
wykonania pewnych czynnoci.
Pracownicy, a w szczeglnoci personel informatyczny, musz zda sobie spraw z tego, e umoliwienie osobie z zewntrz dostpu do sieci firmy
to jak podawanie numeru konta firmie telemarketingowej lub numeru karty kredytowej obcej osobie, ktra akurat siedzi w wizieniu. Pracownicy musz zwraca szczegln uwag na to, czy spenienie danej proby moe prowadzi do udostpnienia poufnych informacji lub uatwia wamanie si do
systemu komputerowego firmy.
Informatycy musz uwaa na nieznajomych rozmwcw podajcych si
za przedstawicieli producenta oprogramowania. Firma powinna zastanowi
si nad wyznaczeniem ludzi do kontaktw z kadym z takich przedstawicieli
z jednoczesnym zastrzeeniem, e inni pracownicy nie mog spenia prb
przedstawiciela o informacje na temat stosowanych technologii lub o wprowadzenie zmian w jakimkolwiek sprzcie komputerowym lub telefonicznym. W ten sposb wyznaczeni ludzie zapoznaj si z personelem producenta, ktry dzwoni lub odwiedza firm, i w mniejszym stopniu s naraeni na
ataki oszustw. Jeeli dzwoni przedstawiciel producenta, z ktrym firma nie
ma podpisanej adnej umowy serwisowej, powinno to rwnie wzbudzi podejrzenia.
Kady czonek organizacji musi by wiadomy zagroe bezpieczestwa
informacji. Naley pamita, e pracownicy ochrony oprcz normalnego
szkolenia z zakresu bezpieczestwa musz zosta wyszkoleni rwnie w zakresie bezpieczestwa informacji. Poniewa ludzie ci czsto maj fizyczny
dostp do wszystkich pomieszcze w firmie, musz by w stanie rozpozna
typy atakw socjotechnicznych, jakie mog by podjte przeciwko nim.
Uwaga na programy monitorujce
Komercyjne programy monitorujce byy z pocztku uywane przez rodzicw, chccych sprawdza swoje dzieci surfujce po Internecie, oraz pracodawcw, ktrzy kontrolowali swoich pracownikw, czy buszuj w Internecie zamiast pracowa. Bardziej powanym ich zastosowaniem byo wykry-
226
wanie potencjalnych zodziei informacji lub szpiegw przemysowych. Producenci reklamuj swoje programy monitorujce jako narzdzia pomagajce chroni dzieci, kiedy w rzeczywistoci kupujcymi s ci, ktrzy pragn
kogo szpiegowa. Obecnie sprzeda programw monitorujcych napdzana jest gwnie pragnieniem przekonania si, czy maonek lub partner nas
nie zdradza.
Zanim zaczem na potrzeby tej ksiki pisa histori o programie monitorujcym, osoba, ktra odbiera dla mnie e-maile (ja mam zakaz korzystania z Internetu), natrafia na list zawierajcy reklam produktw monitorujcych. Jeden z nich opisywano w nastpujcy sposb:
Nasz faworyt! Musisz go mie. Program monitorujcy, ktry w ukryty sposb przechwytuje wszystkie nacinite
klawisze, czas otwarcia i tytu kadego aktywnego okna
wprost do pliku tekstowego, pracujc niezauwaony w tle.
Pliki tekstowe mog by szyfrowane i automatycznie wysyane na podany adres e-mail lub po prostu zapisywane na
dysku twardym. Dostp do programu jest chroniony hasem
i mona go ukry tak, aby by niewidoczny nawet w menu
CTRL+ALT+DEL. Dziki niemu mona monitorowa wprowadzane adresy URL, sesje czata, korespondencj elektroniczn i inne rzeczy (w tym hasa;-))
Zainstaluj go na DOWOLNYM komputerze PC i przesyaj sobie logi!!!
Inny program oferowany w tym samym e-mailu zapewnia przechwytywanie zrzutw ekranu uytkownika, tak jakby za jego plecami bya umieszczona kamera. Niektre z tych produktw nie wymagaj nawet fizycznego
dostpu do komputera ofiary. Wystarczy zainstalowa i skonfigurowa aplikacj zdalnie, by otrzyma od razu komputerowy podsuch. FBI musi uwielbia t technologi.
W sytuacji, gdy programy monitorujce s oglnie dostpne, firma musi
ustanowi dwa poziomy ochrony. Po pierwsze, naley zainstalowa oprogramowanie wykrywajce programy monitorujce, np. SpyCop (dostpny pod
adresem www.spycop.com) na wszystkich komputerach i wymaga od pracownikw periodycznego skanowania systemu. Oprcz tego naley wyszkoli pracownikw, aby wystrzegali si manipulatorw prbujcych nakoni
ich do pobrania programu lub otwarcia zacznika poczty, ktry mgby zainstalowa program monitorujcy.
227
13
Wyrafinowane intrygi
Wiemy ju, e kiedy obca osoba dzwoni z prob o udzielenie poufnej informacji lub prosi o co, co moe mie warto dla napastnika, odbierajcy
telefon musi by tak przeszkolony, aby zapyta o namiary rozmwcy i oddzwoni do niego w celu weryfikacji, czy rzeczywicie jest tym, za kogo si
podaje, np. pracownikiem firmy, pracownikiem firmy wsppracujcej lub
serwisantem jednego z dostawcw.
Take wtedy, gdy firma wprowadzi procedury szczegowej weryfikacji
dzwonicych, wyrafinowani napastnicy bd wci mieli w zanadrzu wiele sposobw na oszukanie swych ofiar i upewnienie ich co do swej tosamoci. Nawet wiadomy niebezpieczestw pracownik moe pa ofiar opisanych poniej metod.
229
Mylca identyfikacja
Kady, kto mia do czynienia z telefonem komrkowym, spotka si
z funkcj zwan identyfikacj rozmw przychodzcych na wywietlaczu
telefonu ukazuje si numer telefonu osoby, ktra do nas dzwoni. Dla firmy
jest to do uyteczna funkcja umoliwia ona pracownikowi natychmiastow orientacj, czy dany telefon pochodzi od wsppracownika z firmy,
czy od osoby z zewntrz.
Wiele lat temu paru ambitnych phreakerw zaczo si zastanawia nad
moliwociami takiej identyfikacji, jeszcze zanim firmy telekomunikacyjne
dostay pozwolenie na oferowanie tej usugi dla ogu swoich klientw. Dobr zabaw byo robienie dzwonicym kawaw, polegajcych na zwracaniu
si do nich po imieniu, zanim ci zdyli cokolwiek powiedzie.
Zamy, e uznajemy opisywan usug za bezpieczny sposb identyfikacji i wprowadzamy praktyki oparte na zaufaniu temu, co pojawi si na
wywietlaczu. Wanie na to moe liczy napastnik.
Telefon do Lindy
Czas: wtorek, 23 lipca, 15:12.
Miejsce: biuro w dziale finansw firmy Starbeat Aviation.
Telefon Lindy Hill zadzwoni w czasie, gdy pisaa notatk dla szefa. Spojrzaa na wywietlacz, ktry pokazywa, e dzwoni Victor Martin z gwnej
siedziby firmy w Nowym Jorku nazwisko to nic jej jednak nie mwio.
Przez chwil chciaa nie odbiera i pozwoli, aby wczya si poczta gosowa. Nie chciaa przerywa toku myli zwizanego z pisaniem. W kocu jednak ciekawo wzia gr i Linda odebraa telefon. Rozmwca przedstawi
si, po czym powiedzia, e dzwoni z dziau Public Relations i e pracuje nad
jakim materiaem dla prezesa.
Prezes wanie leci do Bostonu na spotkanie z naszymi bankierami i potrzebuje danych finansowych z ostatniego kwartau powiedzia. Jeszcze jedno. Prezes potrzebuje te prognoz finansowych co do projektu Apache
doda Victor, uywajc roboczej nazwy produktu, ktrego premiera planowana bya na wiosn.
Poprosia o jego adres e-mail, ale on powiedzia, e ma problem z odbiera-
230
niem poczty, nad ktrym wanie pracuje serwisant, i czy mogaby w zwizku tym przesa materiay faksem. Powiedziaa, e owszem, wic poda jej
wewntrzny numer faksu.
Par minut pniej wysaa materiay.
Victor nie pracowa jednak w dziale Public Relations. Nie by nawet pracownikiem firmy.
Historia Jacka
Jack Dawkins ju w modym wieku rozpocz swoj karier zawodow.
Jako zodziej kieszonkowy dziaa podczas meczw na stadionie Yankee Stadium, w zatoczonych korytarzach metra i w wieczornym tumie turystw
na Time Square. By tak zwinny i sprytny, e potrafi zdj zegarek z czyjej
rki i pozosta niezauwaonym. Gdy mia kilkanacie lat i troch podrs,
jego sprawno si pogorszya i w kocu zosta zapany. W zakadzie karnym pozna jednak nowy fach, z ktrym wizao si o wiele mniejsze ryzyko wpadki.
Najnowsze zlecenie polegao na zdobyciu kwartalnego bilansu zyskw
i strat oraz informacji o pynnoci finansowej pewnej firmy, przed ich przekazaniem Komisji Papierw Wartociowych. Jego klient by dentyst, ktry
nie chcia wyjawi, do czego potrzebne mu s te informacje. Jacka rozbawiaa ta przesadna ostrono. Zna to na pami facet najwyraniej mia problemy z hazardem albo wymagajc finansowo kochank, ktrej jego ona
nie miaa jeszcze okazji pozna. A moe po prostu chcia popisa si przed
on swoimi talentami do inwestowania na giedzie i straci pokan sum
pienidzy, a teraz chcia postawi duo, ale za to na pewnego konia, wiedzc,
co si stanie z cen akcji po ogoszeniu wynikw kwartalnych.
Ludzie bywaj zaskoczeni, widzc, w jak szybkim czasie zmylny socjotechnik potrafi znale wyjcie z sytuacji, z ktr nigdy wczeniej si nie spotka. Nim Jack zdy wrci ze spotkania z dentyst, w jego gowie zdy
powsta plan. Jego przyjaciel, Charles Bates, pracowa w firmie Panda Importing, ktra miaa wasn central telefoniczn.
Centrala bya podczona do cyfrowej usugi, zwanej T1, skonfigurowanej jako interfejs gwny (PRI) sieci ISDN. Oznaczao to, e kademu telefonowi wykonanemu z siedziby firmy Panda towarzyszyo przesanie do centrali firmy, poprzez kana danych, ustawie i innych informacji zwizanych
z rozmow. Informacje zawieray numer osoby dzwonicej, ktry (o ile nie
by zablokowany) by przesyany do osoby odbierajcej telefon.
231
Przyjaciel Jacka wiedzia, jak zaprogramowa central, aby osoba po drugiej stronie nie widziaa numeru jednego z telefonw w biurze firmy Panda,
tylko inny numer taki jaki zostanie zaprogramowany. Trik ten dziaa, poniewa lokalne firmy telekomunikacyjne nie sprawdzaj, czy wywietlajce si numery zgadzaj si z numerami, za ktre opacane s rachunki telefoniczne.
Jack Dawkins potrzebowa wic jedynie dostpu do tego rodzaju usugi.
Na szczcie jego przyjaciel, i od czasu do czasu wsplnik w przestpstwie,
Charles Bates, zawsze chtnie udziela pomocy za sta stawk. Na t okazj
Jack i Charles tymczasowo przeprogramowali central firmy tak, aby rozmowy z jednej z linii na terenie firmy wywietlay wewntrzny numer Victora Martina, sprawiajc, e telefon wydawa si pochodzi ze Starbeat Aviation.
Numer pojawiajcy si na wywietlaczu rzadko jest kwestionowany, dlatego e mao osb zdaje sobie spraw z moliwoci jego zmiany. W tym
przypadku Linda bez zastanowienia wysaa faks z informacjami do czowieka, ktry, jak sdzia, by z dziau Public Relations.
Kiedy Jack odoy suchawk, Charles przeprogramowa central na poprzednie ustawienia.
Analiza oszustwa
Niektre firmy nie chc, aby klienci lub dostawcy znali numery telefonw
pracownikw. Na przykad Ford mg podj decyzj, e telefony wykonane
z centrum obsugi klienta bd wywietlay numer 0-800 do centrum i nazw, np. Ford obsuga klienta, zamiast rzeczywistego bezporedniego
numeru konsultanta, ktry dzwoni. Microsoft moe pozostawi swoim pracownikom moliwo podawania numeru do siebie, jednoczenie wyczajc wywietlanie numeru u rozmwcy, aby ten nie mg pozna numeru wewntrznego. W ten sposb firma zachowuje poufno swoich numerw wewntrznych.
Ta sama moliwo przeprogramowywania wywietlanych numerw jest
narzdziem w rkach dowcipnisiw, telemarketerw i oczywicie socjotechnikw.
232
233
argon
Zodziej nalenoci oszust starajcy si dotrze do osb, ktre maj przeterminowane nalenoci wzgldem rnych instytucji lub firm, poda
si za przedstawiciela wierzyciela i prbowa przej nalene pienidze.
Niewidzialny pracownik
Shirley Cutlass odkrya nowy fascynujcy sposb zarabiania pienidzy.
Koniec spdzania dugich godzin w biurze. Doczya do setek oszustw odpowiedzialnych za najwiksz fal przestpstw dziesiciolecia. Zostaa zodziejem tosamoci.
234
Shirley atakuje
atwiejsz cz zadania miaa ju za sob. Teraz przyszed czas na uycie
sztuki manipulacji.
Zadzwonia do firmowego dziau obsugi klienta.
Dzwoni z windykacji z biura w Cleveland powiedziaa, po czym zastosowaa jeden z wariantw znanego triku. Mj komputer jest w naprawie i potrzebowaabym pomocy w znalezieniu pewnej informacji.
Podyktowaa nazwisko i dat urodzenia osoby, ktrej tosamo miaa zamiar ukra. Nastpnie wymienia informacje, ktrych potrzebuje: adres, nazwisko panieskie matki, numer karty kredytowej, limit kredytu, saldo dostpne i histori patnoci.
235
Prosz oddzwoni do mnie na ten numer powiedziaa, podajc wewntrzny numer, ktry ustawi dla niej administrator poczty gosowej.
I jeeli bd poza zasigiem, prosz zostawi te informacje w poczcie gosowej.
Reszt poranka spdzia na zaatwianiu rnych spraw, by wreszcie po
poudniu tego samego dnia sprawdzi skrzynk. Wszystko, o co prosia,
byo nagrane. Przed odoeniem suchawki Shirley usuna nagrane powitanie. Zostawienie po sobie nagrania z wasnym gosem nie byoby szczytem
ostronoci.
Kradzie tosamoci staje si coraz bardziej powszechnym przestpstwem
w Ameryce, zbrodni XXI wieku. Shirley, majc te informacje, moe zrobi
zakupy na koszt swojej ofiary.
Analiza oszustwa
W tej intrydze napastniczka najpierw oszukaa administratora poczty gosowej, podajc si za pracownic firmy i proszc o zaoenie tymczasowej
skrzynki poczty gosowej. Jeeli pokusiby si on o sprawdzenie jej wiarygodnoci, okazaoby si, e nazwisko i numer telefonu, ktry podaa, figuruj na licie pracownikw firmy.
Reszta polegaa jedynie na podaniu wiarygodnej przyczyny kopotw
z komputerem, proby o podane informacje i o ich nagranie. Dlaczego pracownik miaby nie udzieli takiej informacji innemu pracownikowi? Numer
telefonu, ktry podaa, by numerem wewntrznym, wic nie byo powodu
do podejrze.
Uwaga Mitnicka
Dzwomy od czasu do czasu na swoj wasn poczt gosow. Jeeli
syszymy powitanie nagrane przez obc osob, by moe jest to nasze
pierwsze spotkanie z socjotechnikiem.
Pomocna sekretarka
Robert Jordan by crackerem i regularnie wamywa si do sieci komputerowej globalnej korporacji Rudolfo Shipping, Inc. W firmie w kocu zdano sobie spraw, e kto wamuje si do serwera i stamtd uzyskuje dostp
236
do wszystkich systemw komputerowych. Aby zabezpieczy swoj sie, firma zdecydowaa si wprowadzi haso dla poczenia dial-up z kadym serwerem.
Robert zadzwoni do Centrum Zarzdzania Sieci, udajc adwokata z dziau prawnego i powiedzia, e ma problemy z poczeniem si z systemem.
Administrator, na ktrego trafi, wyjani, e z przyczyn bezpieczestwa
wszyscy uytkownicy, ktrzy korzystaj z poczenia dial-up, musz uzyska haso na dany miesic od swojego szefa. Robert zastanawia si, w jaki
sposb hasa s przekazywane szefom lub jak mogli je uzyska. Okazao si,
e haso na nadchodzcy miesic byo przesyane jako notatka w poczcie wewntrzfirmowej do kadego z kierownikw.
To uatwio spraw. Robert zrobi may wywiad, zadzwoni do firmy tu
po pierwszym dniu miesica i poczy si z sekretark jednego z dziaw,
ktra przedstawia si jako Janet.
Cze, Janet, tu Randy Goldstein z dziau badawczo-rozwojowego.
Wiem, e dostaem notk z hasem na ten miesic do wdzwaniania si spoza
firmy, ale nigdzie nie mog jej znale. Dostaa ju moe t notk?
Powiedziaa, e dostaa.
Zapyta j, czy nie przesaaby mu jej faksem. Zgodzia si. Poda numer
faksu do recepcjonistki w holu innego budynku campusu firmy, gdzie wczeniej ju poprosi o odebranie wiadomoci dla niego, by nastpnie przekaza go dalej. Tym razem Robert skorzysta z innej metody przekierowywania
faksw. Poda recepcjonistce numer, ktry prowadzi do internetowej usugi
odbierajcej faksy. Kiedy usuga ta odbierze faks, jest on automatycznie przekazywany na adres pocztowy subskrybenta.
Nowe haso dotaro do zaaranowanego przez Roberta punktu zrzutu
darmowego konta e-mail w Chinach. By pewny, e jeli faks zostanie kiedykolwiek wyledzony, prowadzcy spraw bdzie rwa sobie wosy z gowy
przy prbie nawizania wsppracy z wadzami chiskimi, ktre niechtnie
pomagaj w tego typu sprawach. Najlepsze byo jednak to, e nie musia pokazywa si osobicie w adnym z miejsc, gdzie mona odbiera faksy.
Uwaga Mitnicka
Dobry socjotechnik wykazuje wiele sprytu, wpywajc na innych ludzi
w celu nakonienia ich do wywiadczenia mu przysugi. Odebranie faksu i przesanie go dalej wydaje si tak nieszkodliw czynnoci, e namwienie do tego recepcjonistki jest niezwykle atwe. Kiedy obca osoba
prosi nas o przysug zwizan z przekazaniem jakiej informacji, a nie
mamy moliwoci jej identyfikacji, wystarczy po prostu odmwi.
237
Mandat
Chyba kady, kto dosta kiedy mandat za przekroczenie szybkoci, na
pewno zastanawia si, co by tu zrobi, eby problem przesta istnie. Ale
nie poprzez zapacenie ustalonej kwoty lub prb przekonania sdu, e radar policyjny nie mia homologacji. Najlepiej, gdyby dao si jako przechytrzy system.
Oszustwo
Mimo e nie polecam takich metod radzenia sobie z mandatami (wszystko
co robisz, robisz na wasn odpowiedzialno), to jest to dobry przykad na
pokazanie, jak oszustwo staje si narzdziem w rkach socjotechnika.
Naszego pirata drogowego moemy nazwa Paul Durea.
Pierwsze kroki
Policja, komenda w Hollenbeck.
Dzie dobry, chciabym rozmawia z kim, kto zajmuje si sprawami
wiadczenia w rozprawach sdowych.
Ja si tym zajmuj.
Dobrze. Mwi John Leland, jestem prawnikiem z firmy Meecham and
Talbott. Chciabym wezwa na wiadka jednego z waszych ludzi.
Ktrego?
Czy w waszej komendzie pracuje Kendall?
Jaki jest jego numer?
21349.
Tak. Na kiedy go pan potrzebuje?
Na przyszy miesic, ale wci jeszcze musz wezwa paru innych
wiadkw w tej sprawie i dopiero potem ustali kolejny termin. Czy w przyszym miesicu pan Kendall bdzie w ktre dni nieobecny?
Zobaczmy... Ma urlop od dwudziestego do dwudziestego trzeciego
i szkolenie od smego do szesnastego.
Dzikuj. Na razie to wszystko. Zadzwoni, kiedy data rozprawy bdzie ju ustalona.
238
239
Analiza oszustwa
Kiedy policjant wystawia mandat, podpisuje go swoim nazwiskiem i numerem odznaki. Odnalezienie posterunku, w ktrym pracuje, jest proste.
Wystarczy telefon na informacj telefoniczn z zapytaniem o numer telefonu komendy wymienionej na wezwaniu. Po skontaktowaniu si z dyurnym
funkcjonariuszem mona zapyta o numer do urzdnika organizujcego stawianie si policjantw jako wiadkw, ktry obsuguje rejon geograficzny,
w ktrym dostalimy mandat.
Policjanci s wzywani przed sd z regularnoci zalen od danego obszaru. Kiedy prokurator okrgowy lub obroca chce wezwa policjanta na
wiadka, wie, jak dziaa system, i w pierwszej kolejnoci upewnia si, e
dany policjant bdzie osigalny. W tym celu wystarczy zadzwoni z zapytaniem do urzdnika organizujcego stawianie si policjantw w sdzie.
Zwykle podczas takiej rozmowy prawnik pyta urzdnika, czy dany policjant bdzie mg przyby w takim a takim dniu. W tym miejscu Paul potrzebowa troch wyczucia: musia poda wiarygodny powd, dla ktrego
miayby go interesowa daty, kiedy policjant bdzie nieobecny.
Dlaczego Paul, podczas swej pierwszej wizyty w sdzie nie powiedzia po
prostu, jaka data go interesuje? To proste z tego, co wiadomo, urzdnicy sdowi w wikszoci przypadkw nie umoliwiaj stronom wyboru daty
rozprawy. Jeeli data, ktr zaproponuje urzdnik, nie odpowiada stronie,
moe poda dwa alternatywne terminy i na wicej raczej nie ma co liczy.
Z drugiej strony kady, kto wyrazi ch stawienia si na przesuchanie, zwykle ma w tym zakresie wicej szczcia.
Paul wiedzia, e mia prawo do proby o przesuchanie. Wiedzia te, e
sdziowie czsto dostosowuj si do prb o ustalenie daty rozprawy na
okrelony dzie. Delikatnie poprosi wic o dat, ktra kolidowaa ze szkoleniem policjanta, wiedzc, e w tym stanie szkolenie ma pierwszestwo nad
stawieniem si w sdzie.
240
Kiedy policjant si nie stawia, sprawa zostaje oddalona. Nie ma kar, i obowizkowego szkolenia ani punktw. I, co najwaniejsze, nasze akta pozostaj czyste!
Wydaje mi si, e, gdy policjanci, urzdnicy sdowi, prokuratorzy okrgowi itp. przeczytaj t histori, zgodnie przytakn, e takie oszustwo jest
moliwe. Jednak poza tym przytakniciem nic zapewne nie zrobi. Nic si nie
zmieni. Jestem gotowy si zaoy. Dopki policja jest skonna udziela informacji o harmonogramie pracy policjanta praktycznie kadej osobie, ktra
zadzwoni, dopty istniaa bdzie moliwo unikania mandatw. Czy w naszej organizacji istniej podobne luki w procedurach, ktre pozwalaj zmylnemu socjotechnikowi zdoby informacje, ktrych zdecydowanie nie powinien posiada?
Uwaga Mitnicka
Ludzki umys jest niesamowity. Ciekawe jest to, jak bardzo stajemy si
pomysowi, kiedy przychodzi do szukania okrnych drg, aby co
zdoby lub wyj cao z jakiej sytuacji. Tej samej pomysowoci naley uywa do zabezpieczania informacji i systemw komputerowych
zarwno w sektorze publicznym, jak i prywatnym. Pamitajmy wic,
aby, opracowujc polityk bezpieczestwa dla naszej firmy, stara si,
by nasze mylenie wyszo poza sztywne ramy.
Zemsta Samanthy
Samantha Gregson bya wcieka.
Pracowaa ciko na to, by uzyska tytu magistra ekonomii, nie mwic
ju o zacignitych na ten cel kredytach. Zawsze wydawao si jej, e tytu
ten oznacza karier zamiast zwykej pracy i przy okazji due pienidze. Niestety, po ukoczeniu collegeu nie moga nigdzie znale dobrej posady.
Ucieszya si, gdy dostaa wreszcie propozycj z Lambeck Manufacturing.
Co prawda stanowisko sekretarki byo troch upokarzajce, ale pan Cartright mwi, e bardzo im na niej zaley, a praca sekretarki otworzy jej drog do awansu.
Dwa miesice pniej syszaa, e jeden z kierownikw produktw od Cartrighta si zwalnia. Tej nocy prawie nie moga zasn, wyobraajc sobie
siebie na pitym pitrze, w oddzielnym pokoju, uczszczajc na spotkania
i podejmujc decyzje.
241
Nastpnego ranka w pracy od razu skierowaa swoje kroki do pana Cartrighta. Powiedzia, e czuje, i powinna si dowiedzie jeszcze nieco wicej
o brany, zanim bdzie gotowa obj takie stanowisko. Po czym zatrudni
amatora z zewntrznej firmy, ktry o brany wiedzia zdecydowanie mniej
ni ona.
Wtedy wanie zaczo jej wita w gowie: firma zatrudnia duo kobiet,
ale prawie wszystkie byy sekretarkami. Wygldao na to, e w yciu nie dostanie tu posady kierownika.
Rewan
Obmylanie zemsty zajo jej prawie tydzie. Jaki miesic wczeniej dziennikarz z branowej gazety prbowa j pocign za jzyk, gdy przyjecha na
premier nowego produktu. Par tygodni pniej zadzwoni do niej do pracy
i powiedzia, e jeeli wyle mu jakie informacje o postpach w pracach nad
produktem Cobra 273, to wyle jej kwiaty, a jeeli informacja ta bdzie naprawd sensacyjna, to pofatyguje si specjalnie z Chicago tylko po to, by zaprosi j na obiad.
Ktrego dnia bya w pokoju u pana Johannsona, kiedy akurat logowa si
do sieci firmy. Nie mylc nawet o tym, obserwowaa jego palce nad klawiatur. Wprowadzi haso marty63.
Jej plan zaczyna nabiera ksztatw. Zdoaa zapamita tre jednej z notatek, ktr przepisywaa niedugo po tym, jak zacza pracowa w firmie.
Odnalaza jej kopi w pliku i napisaa now wersj, stosujc waciw stylistyk. Jej wersja bya nastpujca:
Do: C. Pelton, Informatyk
Od: L. Cartright, Dzia rozwoju
Martin Johannson bdzie pracowa w moim wydziale w grupie ds. projektw specjalnych.
Niniejszym upowaniani go do dostpu do serwerw uywanych przez inynierw. Profil bezpieczestwa pana Johannsona musi by zaktualizowany, aby zapewni mu takie same
prawa, jakie maja osoby pracujce nad produktem.
Louis Cartright
242
Kiedy wikszo osb wysza na lunch, wycia podpis Cartrighta z poprzedniej notatki i wkleia do nowej, po czym zatuszowaa brzegi wybielaczem. Nastpnie zrobia kopi powstaego dokumentu oraz kopi kopii. Na
niej brzegi dookoa podpisu byy ju praktycznie niewidoczne.
Wysaa to faksem z aparatu obok biura pana Cartrighta.
Trzy dni pniej zostaa po godzinach i zaczekaa, a wszyscy wyjd z pracy. Przesza do biura Johannsona i sprbowaa zaogowa si do sieci uywajc jego nazwy uytkownika i hasa: marty63. Udao si.
Kwesti minut byo odnalezienie plikw ze specyfikacj produktu Cobra
273 i zapisanie ich na dysku Zip.
Dysk spoczywa bezpiecznie w torebce, gdy sza poprzez chodn wieczorn bryz w stron parkingu. Jeszcze dzisiaj wyle go reporterowi.
Analiza oszustwa
Niezadowolony pracownik, przeszukanie plikw, szybka podmiana podpisu, troch kopiowania i jeden faks. Voila! dostp do poufnych specyfikacji
produktu i danych marketingowych jest otwarty.
Kilka dni pniej magazyn branowy opublikowa sensacyjne informacje
zawierajce specyfikacje i plany marketingowe nowego, rewolucyjnego produktu, ktre tym samym znalazy si w rkach prenumeratorw czasopisma
na miesice przed waciw jego premier. Konkurencyjne firmy bd miay
par miesicy na rozpoczcie wasnych prac nad nowym produktem i uruchomienie odpowiedniej kampanii, ktra zdeprecjonuje Cobr 273.
Oczywici magazyn nigdy nie zdradzi swojego informatora.
Jak zapobiega?
Kiedy pracownicy s proszeni o udzielenie wanych, poufnych lub krytycznych informacji, ktre mogyby przynie korzyci konkurencji lub komukolwiek innemu, musz by wiadomi, e identyfikacja rozmwcy nie
moe by narzdziem weryfikacji tosamoci. Naley w takich przypadkach
uywa innych rodkw weryfikacji, np. sprawdzanie u szefa danej osoby,
czy proba jest przez niego autoryzowana oraz czy proszcy jest uprawniony do otrzymania takiej informacji.
243
244
Polityka bezpieczestwa firmy powinna wymaga, aby zakadanie nowych kont komputerowych lub zwikszanie praw dostpu odbywao si tylko po pozytywnej weryfikacji osoby, ktra o nie prosi, np. telefonu do administratora systemu lub jego zastpcy pod numer wymieniony w spisie telefonw firmy. Jeeli firma korzysta z bezpiecznej poczty elektronicznej, gdzie
pracownicy mog stosowa elektroniczne podpisy, mona j rwnie wykorzysta jako alternatywn metod weryfikacji.
Naley pamita o tym, e kady pracownik, niezalenie o tego, czy ma
dostp do systemw komputerowych firmy, moe pa ofiar socjotechnika.
Kada osoba musi w zwizku z tym przej szkolenie bezpieczestwa. Asystenci kierownictwa, recepcjonistki, telefonistki i pracownicy ochrony powinni wiedzie, jakie rodzaje atakw socjotechnicznych mog by skierowane przeciwko nim, i w zwizku z tym by lepiej przygotowanymi na ich
ewentualne odparcie.
14
Szpiegostwo
przemysowe
Zagroenie rzdw, firm i instytucji naukowych atakami, ktrych celem
jest kradzie informacji, stao si powszechne. Niemal codziennie media donosz o nowych wirusach komputerowych lub kradziey danych karty kredytowej ze sklepu internetowego.
Czytamy te o przypadkach szpiegostwa przemysowego: firma Borland
oskarajca Symantec o kradzie tajemnic handlowych, Cadence Design Systems wytaczajca proces przeciwko konkurencji o kradzie kodu rdowego. Wielu ludzi biznesu czyta te historie i myli, e co takiego nie mogoby
zdarzy si w ich firmie.
Zdarza si. Codziennie.
246
Wariant schematu
Opisany tu podstp stosowany by wiele razy, nawet jeeli wydaje si on
przynaleny bardziej filmom sensacyjnym, takim jak Informator, lub powieciom Johna Grishama.
Proces
Wyobramy sobie proces toczcy si przeciwko duej firmie farmaceutycznej Pharmomedic na podstawie zbiorowego aktu oskarenia. W firmie
podobno zdawano sobie spraw, e jeden z produkowanych przez ni lekw
mia pustoszce organizm dziaanie uboczne, ktre ujawniao si dopiero po
jego wieloletnim zaywaniu. Wedug aktu oskarenia producent dysponowa wynikami kilku bada, ktre ujawniy to zagroenie, ale zatai dowody
i nigdy nie przekaza ich do FDA (Departament Kontroli ywnoci i Lekw),
co jest wymagane.
William (Billy) Chaney, adwokat z nowojorskiej kancelarii, ktra wytoczya proces, ma pisemne zeznania dwch lekarzy, ktrzy przyczyli si do
oskarenia. Jednak obaj s ju na emeryturze i nie posiadaj adnych akt ani
dokumentacji na temat leku, dlatego nie s zbyt przekonujcymi wiadkami.
Billy zdawa sobie spraw, e grunt pali mu si pod nogami. Jeeli nie zdobdzie kopii jednego z tych raportw lub jakiej wewntrznej notatki czy innej
formy korespondencji midzy szefostwem, to sprawa bdzie przegrana.
Wynaj wic firm detektywistyczn, z ktrej usug korzysta ju wczeniej: Anderson and Sons. Billy nie wiedzia i nie chcia wiedzie, w jaki sposb Pete i jego ludzie zdobywaj te wszystkie informacje. Jedyne, czego by
pewien, to to, e Pete Anderson jest dobrym detektywem.
Anderson tego typu zlecenia nazywa czarn robot. Pierwsza regua polega na tym, e kancelarie prawnicze i firmy, ktre go wynajmuj, nigdy nie
dowiaduj si, w jaki sposb zdoby informacje, i w zwizku z tym s czyste.
Cae ewentualne ryzyko akcji bierze na siebie. Pienidze, ktre dostawa za
due zlecenia, rekompensoway ryzyko. Poza tym mia jeszcze osobist satysfakcj, wyprowadzajc w pole inteligentnych przeciwnikw.
Jeeli dokumenty, ktre Chaney chcia zdoby, rzeczywicie istniay i nie
zostay zniszczone, powinny znajdowa si gdzie w aktach firmy Pharmomedic. Jednak szukanie ich w ogromnym zbiorze dokumentw wielkiej kor-
247
poracji byoby syzyfow prac. A co, jeeli firma przekazaa kopie dokumentw swojej kancelarii prawniczej, Jenkins and Petry? Jeeli obrocy wiedzieli o istnieniu tych dokumentw i nie ujawnili ich w procesie, naruszyli kanon i etyk swojego zawodu oraz samo prawo. Jeeli tak, Pete mgby dziaa bez adnych skrupuw.
Pete atakuje
Kilkoro ludzi Petea rozpoczo wywiad i po paru dniach wiedzia ju,
w ktrej z zewntrznych specjalistycznych firm kancelaria przechowuje kopie zapasowe swoich dokumentw. Wiedzia te, e firma ta posuguje si list nazwisk osb upowanionych przez kancelari do odbioru kaset. Kada
z tych osb posiadaa wasne haso. Pete wysa dwie osoby do czarnej roboty.
O trzeciej w nocy otworzyli zamek za pomoc jednego z wytrychw zamwionych na stronie www.southord.com. W cigu paru minut wlizgnli
si do biura firmy i uruchomili komputery. Kiedy zobaczyli logo Windows
98, na ich twarzach pojawi si umiech robota bdzie prosta. Windows
98 nie wymaga jakiejkolwiek identyfikacji. Po krtkich poszukiwaniach natrafili na baz Microsoft Access zawierajc nazwiska ludzi upowanionych
przez kadego z klientw firmy do odbierania kaset. Dodali do listy upowanionych przez firm Jenkins and Petry nazwisko, ktre odpowiadao nazwisku na faszywym prawie jazdy, zdobytym wczeniej przez jednego z nich.
Czy mogli si po prostu wama tam, gdzie przechowywane byy tamy, by
odnale t, na ktrej im zaley? Oczywicie, e mogli, ale wwczas wszyscy
klienci firmy, wraz z kancelari, zostaliby zaalarmowani wamaniem. Napastnicy straciliby wwczas przewag: zawodowcy zawsze lubi zostawia
sobie otwarte drzwi na przyszo.
Postpujc zgodnie z praktyk szpiegw przemysowych, nakazujc zbieranie dodatkowych informacji, ktre pniej mog si przyda, na wszelki
wypadek, skopiowali plik zawierajcy list nazwisk na dyskietk. Nie zrobili
tego w adnym konkretnym celu, tylko na zasadzie: Skoro ju tu jestemy,
to.... Bya to jedna z tych rzeczy, ktre mog si kiedy okaza przydatne.
Nastpnego dnia jeden z dwjki mczyzn zadzwoni do firmy przechowujcej kopie zapasowe, uy dopisanego nazwiska i poda odpowiednie haso. Poprosi o tamy z firmy Jenkins and Petry z ostatniego miesica i po-
248
Analiza oszustwa
Z powodu sabych fizycznych zabezpiecze, intruzi z atwoci otworzyli zamek w drzwiach firmy i uzyskali dostp do komputerw; zmodyfikowali baz danych zawierajc list ludzi upowanionych do pobierania tam.
Dodanie nazwiska do listy umoliwio oszustom poyczenie kopii zapasowych, na ktrych im zaleao, bez koniecznoci wamywania si do pomieszczenia, gdzie byy skadowane. Jako e wikszo firm nie szyfruje danych
w kopiach zapasowych, informacje byy podane na tacy.
Incydent ten pokazuje, jak firma usugowa, nie stosujca podstawowych
zasad bezpieczestwa, moe narazi na kradzie zasoby informacyjne swoich klientw.
Uwaga Mitnicka
Wartociowe informacje musz by chronione niezalenie od postaci, jak przyjmuj, i miejsca ich przechowywania. Lista klientw firmy ma tak sam warto jako wydruk, jako plik i jako tama. Socjotechnicy zawsze atakuj w najatwiejszy do obejcia i najsabiej chroniony punkt. Atak na zewntrzn firm przechowujc kopie zapasowe
zawsze bdzie wydawa si mniej ryzykowny. Kada organizacja, ktra przechowuje wartociowe, poufne lub krytyczne dla swojej dziaalnoci dane u osb trzecich, powinna je szyfrowa, chronic tym samym
ich tajno.
249
Nowy wsplnik
Socjotechnicy maj jedn wielk przewag nad tradycyjnymi oszustami
jest ni dystans. Oszust oszuka nas jedynie, wchodzc w bezporedni kontakt, naraajc si tym samym na zapamitanie jego rysopisu lub nawet na
telefon na policj, gdy odpowiednio wczenie zwietrzymy postp.
Socjotechnicy zwykle wystrzegaj si bezporedniego kontaktu. Czasami
jednak ryzyko z tym zwizane jest usprawiedliwione potencjaln nagrod.
Historia Jessici
Jessica Andover bya zadowolona ze zdobycia posady w nowoczesnej firmie zajmujcej si robotyk. Oczywicie na pocztku nie zarabiaa zbyt duo,
ale firma miaa kameraln atmosfer, ludzie byli przyjanie nastawieni i zawsze istniaa szansa, e dziki pracowniczemu pakietowi akcji, ktry otrzymaa, stanie si nagle bogata. No, moe nie bdzie wwczas milionerk tak
jak zaoyciele firmy, ale zarobi bardzo duo pienidzy.
We wtorek rano Rick Daggot wszed do holu firmy z promiennym umiechem. W swoim drogim garniturze od Armaniego i z nienagann fryzur,
poyskujc cikim zotym zegarkiem Rolex President, roztacza wok siebie t sam atmosfer pewnoci siebie, za ktr szalay wszystkie dziewczyny w czasach, gdy Jessica chodzia do liceum.
Dzie dobry powiedzia. Jestem Rick Daggot i mam tu spotkanie
z Larrym.
Umiech znikn z twarzy Jessici.
Larry? powiedziaa. Przecie jest cay tydzie na urlopie.
Byem z nim umwiony o trzynastej. Wanie przyleciaem z Louisville, eby si z nim spotka powiedzia Rick, po czym wycign swj palmtop, wczy go i pokaza jej dat.
Spojrzaa na ni i pokiwaa lekko gow.
Dwudziesty powiedziaa. To za tydzie.
Rick podnis swj palmtop i zacz si w niego gapi.
O, nie! jkn. Nie do wiary, e mogem zrobi co tak gupiego.
Mog przynajmniej zarezerwowa lot powrotny? zapytaa ze wspczuciem w gosie.
250
Kiedy dzwonia, Rick wyjawi, e chc razem z Larrym zawrze alians strategiczny. Firma Ricka wytwarzaa produkty dla linii produkcyjnych i montaowych, ktre doskonale uzupeniay ich nowy produkt, C2Alpha. C2Alpha wraz z produktami Ricka tworzyy kompletne rozwizanie, ktre mogo
otworzy obu firmom drog do wejcia na wane rynki.
Kiedy Jessica skoczya zaatwia rezerwacj na wieczorny lot, Rick powiedzia:
Moe przynajmniej porozmawiam ze Steveem, o ile jest w biurze?
Wiceprezesa i wsplnika, Stevea, te jednak nie byo.
Rick by dla Jessici bardzo miy, a nawet troch z ni flirtowa. Zasugerowa, e skoro ju przyjecha, a lot powrotny ma dopiero wieczorem, chciaby
zabra kilka osb na lunch. I doda:
Pani, oczywicie te czy jest kto, kto moe tu pani zastpi na
czas lunchu?
Upojona faktem bycia uwzgldnion, Jessica zapytaa:
Kto ma przyj?
Spojrza znowu w swj palmtop i wymieni par osb dwch inynierw z dziau badawczo-rozwojowego, nowego czowieka od sprzeday i marketingu oraz osob z finansw, ktra bya zaangaowana w ten
projekt. Rick zasugerowa, aby powiedziaa im o jego zwizku z firm i e
chciaby si im osobicie przedstawi. Wymieni nazw najlepszej restauracji w okolicy miejsca, gdzie Jessica zawsze chciaa kiedy pj i powiedzia, e sam zarezerwuje stolik na 12:30 i zadzwoni za jaki czas, aby upewni si, e wszystko jest przygotowane.
Kiedy spotkali si w restauracji cztery osoby oraz Jessica ich stolik
nie by jeszcze gotowy, wic usiedli przy barze, a Rick oznajmi, e on wszystko funduje. Rick by czowiekiem ze stylem i klas, osob, w ktrej towarzystwie wszyscy wietnie si czuli. Tak jakby znali go od lat. Zawsze wiedzia,
co powiedzie, rzuca trafne uwagi lub mwi co zabawnego, gdy rozmowa
przestawaa si klei; sprawia, e kady czu si przy nim dobrze.
Podzieli si wystarczajc iloci szczegw na temat swoich wasnych
produktw, aby mogli sobie wyobrazi ide sprzeday wsplnego: rozwizania, ktr wydawa si tak podekscytowany. Wymieni kilka z najwikszych firm w kraju, ktrym ju teraz sprzedawa swoje wyroby; sprawio to,
e wszyscy siedzcy przy barze zaczli sobie wyobraa nieuchronny sukces
z chwil, kiedy kompletny produkt zejdzie z tamy produkcyjnej.
Pniej Rick podszed do Briana, jednego z inynierw. Podczas gdy reszta
rozmawiaa midzy sob, Rick podzieli si z nim na osobnoci paroma kon-
251
252
253
Trzy miesice pniej Larry siedzia w kuchni i czyta przy niadaniu porann gazet. W pewnej chwili z wraenia o mao nie wyla kawy. Koszmar, ktrego najbardziej si obawia od chwili, kiedy usysza o Ricku, sta si
prawd. Na pierwszej stronie dziau gospodarczego czarno na biaym byo
napisane, e firma, o ktrej nigdy nie sysza, ogasza premier nowego produktu, dokadnie takiego samego jak C2Alpha, nad ktrym on pracowa od
dwch lat.
Przez jedno oszustwo dozna rynkowej poraki. Jego marzenia legy
w gruzach. Miliony dolarw zainwestowane w badania i rozwj zostay
utracone. Co wicej, najprawdopodobniej nie mg nikomu nic udowodni.
254
Oszukiwanie firm wymaga powaniejszej intrygi. Trzeba si do tego przygotowa, pozna ofiary i ich potrzeby, zaplanowa atak. Naley cierpliwie
odrobi zadanie domowe. Okreli swoj rol i nauczy si swoich kwestii.
Bez takiego przygotowania lepiej nie zaczyna.
Przygotowania do tej roboty zajy mi ponad trzy tygodnie. Przez dwa
dni klient uczy mnie, czym zajmuje si moja firma i w jaki sposb opisa
wszystkie plusy aliansu strategicznego.
Potem miaem szczcie. Zadzwoniem do firmy i powiedziaem, e jestem
z kompanii inwestycyjnej i jestemy zainteresowani spotkaniem. onglowaem terminami, aby dowiedzie si, kiedy wszyscy czterej wsplnicy bd
osigalni w cigu nastpnych dwch miesicy i czy byy jakie terminy, ktrych powinienem unika, bo Larryego nie bdzie w pracy. Byy. Okazao si,
e Larry nie mia urlopu od dwch lat, kiedy to zaoy firm, a jego ona nareszcie wycigaa go na urlop golfowy w pierwszym tygodniu sierpnia.
To byo za dwa tygodnie. Tyle mogem poczeka.
Tymczasem zdobyem z czasopisma branowego nazw agencji reklamowej obsugujcej interesujc mnie firm. Powiedziaem, e interesuje mnie
powierzchnia reklamowa, ktr zwykle wynajmuj dla tej firmy zajmujcej si robotyk, i chciabym rozmawia z osob zajmujc si tym klientem
o obsudze mojej firmy. Okazao si, e jest to moda, pena energii dama,
ktrej oczywicie zaleao na tym, eby zdoby nowego klienta. Podczas wystawnego lunchu, z troch wiksz iloci alkoholu ni zwyka pi, robia
wszystko, eby przekona mnie, e byli, ach, tacy dobrzy w rozumieniu problemw klienta i robieniu dobrych kampanii reklamowych. Byem trudny do
przekonania, domagaem si szczegw. Pod delikatnym naciskiem, zanim
kelnerzy zdyli uprztn talerze z naszego stolika, wyjawia mi wicej na
temat nowego produktu i problemw firmy, ni mogem si spodziewa.
Wszystko poszo jak w zegarku. Historyjk z zaenowaniem w zwiku
z pomyk co do daty spotkania i e skoro ju tam jestem, to moe spotkam
si z zaog, recepcjonistka pokna w caoci. Co wicej, szczerze mi wspczua. Lunch kosztowa mnie 150 dolarw cznie z napiwkiem. Miaem to,
co chciaem: numery telefonw, stanowiska i jednego, kluczowego czowieka, ktry uwierzy, e jestem tym, za kogo si podaj.
Przyznaj, e Brian troch mnie potem zaskoczy. Wyglda na takiego,
ktry bez pytania wyle mi wszystko, o co go poprosz. Jednak, gdy wspomniaem o sprawie, poczuem, e troch si wycofa. Opaca si przewidywa
takie rzeczy. Wykorzystaem konto e-mail z imieniem Larryego miaem je
przygotowane tak na wszelki wypadek. Ludzie od bezpieczestwa w Yahoo
prawdopodobnie do teraz czekaj, a tylko kto skorzysta z niego ponownie,
aby go namierzy. Bd musieli dugo czeka. Mam ju nowe zlecenie.
255
Analiza oszustwa
Kady, kto dokonuje oszustwa, stojc twarz w twarz z ofiar, musi prezentowa si w taki sposb, aby zosta zaakceptowanym. Inaczej bdzie wyglda na wycigach konnych, inaczej w lokalnym pubie, a jeszcze inaczej
w ekskluzywnej kawiarni hotelowej.
To samo dotyczy szpiegw przemysowych. Atak moe wymaga i przebrania si w garnitur i krawat i kupienia drogiego neseseru, jeeli i szpieg
ma zamiar wcieli si w prezesa duej firmy, konsultanta lub przedstawiciela handlowego. Innym razem, gdy podaje si za informatyka, technologa lub
kogo z obsugi poczty, jego ubir i wygld bd cakiem inne.
Wiedzia, e jeeli chce infiltrowa t firm, jego Rick Daggot musi robi
wraenie pewnego siebie i kompetentnego i podpiera si szczegow wiedz
na temat produktu i brany.
Zdobycie informacji, ktrych potrzebowa, zanim zoy wizyt, nie byo
trudne. Uy prostego podstpu, by dowiedzie si, kiedy szef bdzie nieobecny. Pewnym wyzwaniem, wci niezbyt wielkim, byo zdobycie tylu informacji o projekcie, aby mg rozmawia o nim jak osoba wtajemniczona. Tego
rodzaju informacje czsto s w posiadaniu niektrych dostawcw firmy, jej
inwestorw lub przedsibiorstw obracajcych kapitaem, u ktrych nasza
firma chciaa ulokowa jakie rodki, jej banku lub kancelarii prawniczej.
Napastnik musi jednak uwaa: odnalezienie kogo, kto moe, si podzieli
tego typu wiedz, moe by trudne, a z drugiej strony testowanie paru osb
z rzdu, by odnale t jedn, ktr mona by przycisn, powoduje powstanie ryzyka, e kto poapie si w grze. I tu pojawia si niebezpieczestwo. Rickowie Dagotowie tego wiata musz starannie wybiera i wykorzystywa ciek informacyjn tylko raz.
Lunch by kolejn ryzykown spraw. Pierwszy problem polega na tym,
by zaaranowa sprawy w sposb umoliwiajcy porozmawianie z kadym
na osobnoci, z dala od uszu reszty. Powiedzia Jessice, e lunch bdzie o 12:
30 w ekskluzywnej restauracji, ale zarezerwowa stolik na 13:00. W zwizku z tym mia nadziej, e, gdy pojawi si na miejscu, podejd do baru, by
si czego napi. I tak si wanie stao. Idealna okazja, eby podchodzi do
kadego z osobna i zamieni z nim kilka sw.
Wci jednak istniao tyle moliwoci wpadki bdna odpowied lub
nieprzemylana uwaga mogy ujawni, e jest oszustem. Tylko niesamowicie pewny siebie i przebiegy szpieg przemysowy odwayby si ryzykowa
w taki sposb. Lata spdzone na byciu ulicznym cwaniakiem zbudoway jego
256
pewno siebie i wiar, e jeli nawet si polizgnie, bdzie w stanie to zatuszowa na tyle dobrze, by nie budzi adnych podejrze. Bya to najbardziej
wymagajca i najniebezpieczniejsza cz operacji, a uniesienie, jakie czu,
gdy udao mu si przeprowadzi t godn da intryg, uwiadomio mu,
dlaczego nie musi jedzi szybkimi samochodami, skaka ze spadochronem
lub zdradza swojej ony wystarczajco duo wrae oferowaa jego praca. Zastanawia si, ilu ludzi przeywa to, co on.
Uwaga Mitnicka
To, e wikszo atakw socjotechnicznych odbywa si przez telefon
lub e-mail, nie oznacza, e odwany intruz nigdy nie pojawi si osobicie na terenie naszej firmy. W wikszoci przypadkw oszuci uywaj socjotechniki, eby dosta si do budynku po sfaszowaniu identyfikatora pracownika za pomoc oglnie dostpnych programw, takich
jak Photoshop.
A wizytwki z numerem testowym telekomunikacji? Telewizyjny program pt. The Rockford Files, ktry prowadzi cykl o prywatnych detektywach, zilustrowa kiedy sprytn i zarazem zabawn technik. Rockford (grany tu przez aktora Jamesa Garnera) ma w samochodzie przenon drukark wizytwek, ktrej uywa, by wydrukowa sobie wizytwk odpowiedni do okazji. W dzisiejszych czasach socjotechnik
moe zaopatrzy si w wizytwki w cigu godziny w kadym punkcie
ksero lub wydrukowa je sobie w domu na drukarce laserowej.
Uwaga
John Le Carre, autor ksiek Uciec z zimna, Wiemy ogrodnik i wielu innych, wychowa si jako syn wytrawnego oszusta z klas. Jako modzieniec Le Carre ze zdziwieniem odkry, e mimo odziedziczonej po
ojcu umiejtnoci oszukiwania innych, bywa naiwny i czsto pada
ofiar oszustw lub oszustek, co dowodzi, e praktycznie kady jest
naraony na atak socjotechnika nawet inny socjotechnik.
abi skok
Zagadka. Ponisza historia nie dotyczy szpiegostwa przemysowego.
W miar czytania prosz sprbowa odpowiedzie na pytanie, dlaczego,
mimo to, zdecydowaem si umieci j w tym rozdziale!
257
Odrabianie lekcji
Wstpne rozpoznanie wykazao, e produkt by tworzony w Centrum
Programistycznym zlokalizowanym w siedzibie producenta notesw za granic. Firma miaa poza tym oddzia badawczo-rozwojowy na terenie USA.
Karl zwrci uwag, e dobrze si skada, bo, aby operacja si powioda, musi
istnie w USA jaki oddzia, ktry rwnie potrzebuje dostpu do kodu rdowego.
W tym momencie Harry by gotw zadzwoni do zagranicznego Centrum
Programistycznego. Mia zamiar baga o wspczucie: Rany, mam straszny problem, potrzebuje pomocy, prosz pomcie!. Naturalnie proba miaa
by troch bardziej subtelna. Karl napisa Harryemu, co ma mwi, ale ten
brzmia zupenie sztucznie, prbujc to odczyta. W kocu wiczy z Karlem
tak dugo, a potrafi to powiedzie normalnym tonem.
To, co w kocu powiedzia przez telefon, gdy Karl siedzia obok, brzmiao
mniej wicej tak:
Dzwoni z oddziau badawczo-rozwojowego w Minneapolis. Nasz serwer mia wirusa, ktry zainfekowa cay system komputerowy. Musielimy
zainstalowa od nowa system operacyjny i potem, kiedy chcielimy odtworzy dane z kopii zapasowych, adna nie chciaa dziaa. Niestety, to ja jestem
odpowiedzialny za utrzymanie kopii zapasowych. Szef na mnie wrzeszczy,
a cae kierownictwo stano na baczno w obawie, e utracilimy wszystkie
dane. Potrzebuj najnowszej wersji drzewa kodu rdowego tak szybko, jak
tylko jest to moliwe. Prosibym o spakowanie i przesanie mi caego kodu.
258
W tym momencie Karl napisa mu co na kartce i Harry powiedzia swojemu rozmwcy, e chce jedynie, aby przetransferowa ten plik wewntrzn
sieci do Minneapolis. To byo niezwykle istotne: kiedy prosimy osob o przesanie pliku jedynie do innego oddziau firmy, uspakajamy jej ewentualne
wtpliwoci co moe by w rym zego?
Rozmwca zgodzi si na spakowanie i przesanie plikw. Krok po kroku, z sekundujcym u boku Karlem, Harry przeprowadzi rozmwc przez
pocztek procedury pakowania ogromnej iloci kodu rdowego do jednego zwartego pliku. Oprcz tego zasugerowa mu nazw pliku skompresowanego nowedane, wyjaniajc, e dziki temu uniknie pomieszania dobrego
kodu ze starymi, uszkodzonymi plikami.
Nastpny krok Karl musia objania Harryemu dwa razy, zanim ten go
zrozumia. Krok ten by osi planu. Harry musia zadzwoni do oddziau badawczo-rozwojowego w Minneapolis i powiedzie tam komu: Chc wysa
wam plik, ktry wy wylecie dla mnie komu innemu oczywicie wszystko to ubrane w odpowiednie uzasadnienia, ktre nadadz probie wiarygodno. Najbardziej niezrozumiae dla Harryego byo to, e musia powiedzie:
Ja zamierzam wysa wam plik, podczas kiedy wysyania adnego pliku
nie byo w planie. Musia sprawi, aby czowiek z badawczo-rozwojowego
myla, e plik pochodzi od niego, podczas gdy w rzeczywistoci centrum
otrzyma zastrzeony kod rdowy z Europy.
Jak mam mu powiedzie, e ten plik pochodzi ode mnie, skoro on nadejdzie z zagranicy? zastanawia si Harry.
Wanie ten facet jest tu najistotniejszy wyjani Karl. On musi
myle, e robi jedynie przysug koledze z innego oddziau na i terenie USA,
odbiera plik i po prostu przesya go dalej.
Harry w kocu zrozumia. Zadzwoni do oddziau badawczo-rozwojowego i poprosi recepcjonistk o poczenie z centrum komputerowym, gdzie
z kolei poprosi o operatora komputera. Do telefonu podszed chopak w wieku Harryego. Harry pozdrowi go i wyjani, e dzwoni z zakadu produkcyjnego firmy w Chicago i e prbuje wysa plik do jednej z firm, ktra
uczestniczy w pracach nad ich projektem, ale: mamy jaki problem z routerem i nie moemy dosta si do ich sieci. Mgbym przesa plik do was i kiedy dotrze, zadzwoni jeszcze i raz, eby wytumaczy, gdzie go dalej trzeba
przesa?.
Na razie wszystko szo zgodnie z planem. Harry zapyta chopaka po drugiej stronie, czy ich centrum komputerowe ma anonimowe konto FTP, ktre
umoliwia transfer plikw bez koniecznoci podawania hasa. Tak, anonimowy FTP by dostpny i Harry otrzyma jego adres IP.
259
argon
Anonimowy FTP usuga umoliwiajca dostp do zdalnego komputera, na ktrym nie mamy zaoonego konta FTP (protok transferu plikw). Uzyskanie dostpu do anonimowego FTP nie wymaga podawania hasa, ale zwykle prawa dostpu do niektrych katalogw s ograniczone.
Wrabianie ofiary
Byli w poowie drogi do celu. Teraz Harry i Karl musieli chwil odczeka,
aby mie pewno, e plik dotar, zanim wykonaj kolejny krok. W tym czasie przeszli na drug stron sali, gdzie sta komputer instruktora, i zadbali o dwa istotne elementy. Pierwszym byo zaoenie anonimowego serwera FTP na komputerze instruktora, ktry byyby docelowym przystankiem
w podry pliku przez sie.
Drugi krok rozwizywa pewien istotny problem. Nie mogli przecie powiedzie czowiekowi w badawczo-rozwojowym, eby przesa plik na adres typu warren@rms.ca.edu. Domena .edu ujawniaby cay podstp, poniewa nawet pprzytomny informatyk rozpozna j jako adres szkoy. Aby
tego unikn, sprawdzili w systemie Windows, jaki jest numeryczny adres IP
komputera i w takiej postaci mieli zamiar go poda.
Nadszed czas, by zadzwoni ponownie do operatora komputera w dziale
badawczo-rozwojowym. Harry poprosi go do telefonu i powiedzia:
Wanie przesaem ten plik, o ktrym rozmawialimy. Moesz sprawdzi, czy ju dotar?
Plik dotar. Harry poprosi wic, aby sprbowa go przesa dalej, i poda
mu adres IP. Czeka przy suchawce, kiedy operator prbowa poczy si
i rozpocz transmisj. Z umiechami na twarzach patrzyli w drugi koniec
sali, gdzie na komputerze instruktora pomrugiwaa dioda dysku twardego
zajtego odbieraniem pliku.
260
Harry wymieni z operatorem par uwag o tym, e by moe w przyszoci komputery stan si bardziej niezawodne, podzikowa mu i poegna
si.
Harry i Karl skopiowali plik z komputera instruktora na dwie dyskietki
ZIP, po jednej dla kadego, by mogli do niego pniej zajrze. Przypominao
to kradzie obrazu z muzeum mona nacieszy nim swoje oko tylko w samotnoci, nie mona chwali si nim przed znajomymi. Chocia w tym przypadku skradziony zosta jedynie duplikat, a orygina pozosta w muzeum.
Karl przeprowadzi Harryego przez kroki usunicia serwera FTP z komputera instruktora i wymazania ladw ich bytnoci, aby nie pozostawi dowodw na to, co zrobili pozostawili jedynie skradziony plik w widocznym
miejscu.
Ostatnim krokiem byo przesanie fragmentu kodu rdowego z komputera instruktora na jedn z grup dyskusyjnych. By to jedynie may wycinek,
ktry nie mg wyrzdzi szkody firmie, ale zostawia wyrany lad prowadzcy w stron instruktora. Ciekawe, czy na to te bdzie mia gotowe wytumaczenie.
Analiza oszustwa
Caa intryga zadziaaa jako efekt kombinacji kilku elementw, ale nigdy
nie powiodaby si bez umiejtnej gry na wspczuciu i chci pomocy drugiej osobie: szef na mnie wrzeszczy, cae kierownictwo stano na baczno
itp. To, w poczeniu z jasnym przedstawieniem sposobu, w jaki czowiek po
drugiej stronie moe okaza nam pomoc, stanowio istot caego oszustwa.
Sprawdzio si to tutaj i w wielu innych sytuacjach.
Drugi kluczowy element, czowiek, ktry zdawa sobie spraw z poufnoci pliku, zosta poproszony jedynie o przesanie pliku na wewntrzny adres
firmy.
Trzeci element ukadanki, operator komputera, widzia, e plik nadszed
do niego z wntrza firmy. Oznaczao to albo wydawao si oznacza e
czowiek, ktry przesa mu ten plik, mgby go sam przesa; tam, gdzie
chcia, jeeli tylko jego sie zewntrzna dziaaaby poprawnie. C w takim
razie moe by zego w przesaniu pliku za niego?
Dlaczego skompresowanemu plikowi nadano tak, a nie inn nazw? Pozornie drobiazg, ale bardzo istotny. Napastnik nie mg sobie pozwoli, aby
261
plik dotar z nazw, ktra identyfikuje go jako kod rdowy, lub nazw sugerujc produkt. Proba o przesanie pliku o takiej nazwie poza wewntrzn sie firmy mogaby wzbudzi podejrzenia. Zmiana nazwy na zupenie
niepozorn bya wic kluczowa. Jak siej okazao, mody czowiek z centrum komputerowego nie mia adnych skrupuw przed przesaniem pliku na zewntrz. Plik o nazwie nowedane, nie sugerujcej w aden sposb
jego prawdziwej zawartoci, nie mia prawa wzbudzi w nim adnych podejrze.
Wrmy do zagadki. Czy wiadomo ju, dlaczego historia ta zostaa umieszczona w rozdziale dotyczcym szpiegostwa przemysowego? Jeeli nie, oto
odpowied: to, co dwch kursantw zrobio dla zoliwego kawau, mogoby by rwnie dobrze przeprowadzone przez zawodowego szpiega przemysowego opacanego przez konkurencj lub rzd innego pastwa. W kadym
z tych przypadkw wyrzdzona w ten sposb szkoda mogaby okaza si
katastrof dla przedsibiorstwa i wpyn na znaczn obnik wpyww ze
sprzeday po pojawieniu si konkurencyjnego produktu.
Czy wasza firma jest zabezpieczona przed tego rodzaju atakiem?
Uwaga Mitnicka
Oto podstawowa regua, ktr kady pracownik powinien na zawsze
zapamita: bez zgody kierownictwa nigdy nie wysyaj plikw do ludzi,
ktrych osobicie nie znasz, nawet, jeeli transfer wydaje si odbywa
w ramach wewntrznej sieci firmy.
Jak zapobiega?
Szpiegostwo przemysowe, ktre od dawna jest utrapieniem wielu przedsibiorstw, stao si teraz chlebem powszednim dla tradycyjnych szpiegw,
ktrzy po zakoczeniu zimnej wojny koncentruj si na odpatnym wykradaniu tajemnic firm. Zagraniczne korporacje i rzdy korzystaj z usug niezalenych szpiegw przemysowych, by wykrada informacje. Firmy na terenie USA rwnie wynajmuj tzw. handlarzy informacj, ktrzy nie wahaj si przekroczy prawa, aby uzyska dostp do poufnych danych. W wielu przypadkach s to ludzie, ktrzy pracowali wczeniej w subach wywiadowczych i maj odpowiedni wiedz i dowiadczenie, co uatwia im infiltracj organizacji. Dotyczy to szczeglnie tych spord nich, ktre nie zdoay
wprowadzi odpowiednich rodkw bezpieczestwa w celu ochrony danych
ani wyszkoli w tym zakresie swoich pracownikw.
262
Bezpieczestwo na zewntrz
Co mogoby pomc firmie, ktra wpada w tarapaty w zwizku z przechowywaniem swoich danych na zewntrz? Zagroenia mona unikn poprzez zaszyfrowanie informacji. Oczywicie szyfrowanie wymaga dodatkowego czasu i wydatkw, ale jest warte zachodu. Zaszyfrowane pliki musz
by regularnie wyrywkowo sprawdzane, aby upewni si, e metoda szyfrowania dziaa bez problemw.
Zawsze istnieje zagroenie, e klucze do szyfru zostan utracone lub jedyna osoba, ktra je zna, zostanie potrcona przez autobus. Jednak poziom
tego zagroenia da si zminimalizowa, a kady, kto przechowuje swe poufne informacje poza terenem swojej firmy i nie korzysta z szyfrowania, jest,
prosz wybaczy dosadno, idiot. To jak chodzenie w nocy po najgorszej
dzielnicy miasta z banknotem dwudziestodolarowym wystajcym z kieszeni
sami si prosimy, eby nas okra.
Przechowywanie kopii zapasowych w miejscu, gdzie nie ma odpowiedniego nadzoru, jest czstym niedopatrzeniem. Kilka lat temu byem zatrudniony w firmie, ktra mogaby czyni troch wiksze wysiki w celu ochrony
danych klienta. Pracownicy zajmujcy si archiwizacj zostawiali kopie zapasowe poza zamknitym pomieszczeniem z komputerami, aby mg je kadego dnia odebra kurier. Praktycznie kady mg stamtd wyj z kopiami
zapasowymi zawierajcymi wszystkie dokumenty w formie niezaszyfrowanej. Jeeli firma archiwizuje dane w postaci zaszyfrowanej, ich utrata jest co
najwyej kopotem. Jeeli za firma nie szyfruje danych no c, wtedy na
pewno sama najlepiej moe oszacowa rozmiar strat.
Potrzeba zewntrznej archiwizacji danych w duych firmach jest uzasadniona. Dlatego te procedury bezpieczestwa powinny obejmowa kontrol firmy archiwizujcej, sprawdzajc, na ile skrupulatnie przestrzegane s
tam zalecenia zwizane z bezpieczestwem. Jeeli firma ta nie przywizuje
takiej wagi do omawianych spraw jak nasze przedsibiorstwo, niweczy tym
samym nasze wysiki w tej dziedzinie.
Mniejsze firmy maj dobr alternatyw przechowywania kopii zapasowych. Mog przesya codziennie nowe i zmienione pliki do jednej z firm oferujcych archiwizacj on-line. Tutaj rwnie naley pamita, aby dane byy
zaszyfrowane. W innym przypadku informacja staje si dostpna nie tylko
dla nieuczciwego pracownika firmy archiwizujcej, ale dla kadego intruza,
ktry moe si wama do systemu komputerowego teje firmy.
263
Kto tam?
Przykad z tego rozdziau opisujcy sprytnego, wyrafinowanego oszusta, ktry za pomoc osobistego uroku wyciga od pracownikw informacje, jeszcze raz wskazuje na wag weryfikacji tosamoci. Proba o przesanie
kodu rdowego na serwer FTP rwnie dowodzi tego, jak wana jest znajomo osoby, ktra o co nas prosi.
W rozdziale 16. znajduj si konkretne procedury weryfikacji tosamoci
nieznanej nam osoby, ktra prosi o informacj lub wykonanie jakiej czynnoci. Temat weryfikacji powraca w ksice jak bumerang w rozdziale
16. przechodzimy do szczegw tej procedury.
IV
Podnoszenie
poprzeczki
Bezpieczestwo informacji wiadomo i szkolenie
Zalecana polityka bezpieczestwa informacji
15
Bezpieczestwo
informacji - wiadomo
i szkolenie
Socjotechnik otrzyma wanie zlecenie zdobycia planw naszego nowego
rewelacyjnego produktu, do ktrego premiery pozostay dwa miesice. Co
moe go powstrzyma?
Nasz firewall? Nie.
Zaawansowane urzdzenia uwierzytelniajce? Nie.
Systemy detekcji intruzw? Nie
Szyfrowanie? Nie.
Ograniczona lista numerw telefonw, z ktrych mona si wdzwania do
systemu? Nie.
266
Zabezpieczenia
i procedury
technologiczne,
szkolenie
Firmy, ktre przeprowadzaj testy penetracyjne systemw bezpieczestwa, podaj, e prby wamania si do systemu komputerowego klienta
za pomoc metod socjotechnicznych s prawie w 100% skuteczne. Zabezpieczenia technologiczne mog utrudni takie ataki poprzez minimalizowanie udziau ludzi w procesie decyzyjnym. Jednak jedyn naprawd skuteczn metod osabienia tego zagroenia jest zastosowanie zabezpiecze technologicznych w kombinacji z procedurami bezpieczestwa, ktre ustalaj podstawowe zasady zachowania si pracownikw, oraz odpowiednim teoretycznym i praktycznym ich szkoleniem.
Istnieje tylko jeden sposb zabezpieczenia planw naszego produktu: posiadanie wyszkolonych, wiadomych i przytomnych pracownikw. Wie
si z tym konieczno szkolenia w zakresie polityki i procedur bezpieczestwa, a oprcz tego, a moe przede wszystkim, staego uwiadamiania. Niektrzy eksperci zalecaj, aby 40% budetu przeznaczonego na bezpieczestwo byo przeznaczone na proces staego uwiadamiania pracownikw
o zagroeniach.
Pierwszym krokiem jest uwiadomienie kademu czonkowi organizacji,
e istniej ludzie pozbawieni skrupuw, ktrzy bd prbowa manipulowa nimi za pomoc oszustwa i metod psychologicznych. Pracownicy musz wiedzie, jakie informacje naley ochrania i jak to robi. Z chwil, gdy
zrozumiej, w jaki sposb mog zosta zmanipulowani, bd w stanie odpowiednio wczenie rozpozna atak.
wiadomo bezpieczestwa oznacza rwnie edukacj wszystkich pracownikw co do polityki i procedur bezpieczestwa stosowanych w firmie.
Jak pokazano w rozdziale 16., polityka taka jest niezbdna jako wyznacznik regu zachowania w celu ochrony systemw informatycznych i poufnych danych.
Ten i kolejny rozdzia powicone s tworzeniu systemu bezpieczestwa,
267
ktry uchroni nas przed zgubnymi w skutkach atakami. Jeeli nasi pracownicy nie s wyszkoleni, czujni i nie postpuj zgodnie z przemylanymi procedurami, to utrata informacji na korzy socjotechnika jest tylko kwesti
czasu. Nie czekajmy wic, a to si wydarzy, poniewa straty dla firmy i pracownikw mog okaza si niepowetowane.
Wadza
Ludzie maj tendencj do podporzdkowywania si woli osoby, ktra posiada wadz. Jak pokazano w innym miejscu niniejszej ksiki, osoba moe
podporzdkowa si probie, jeeli wierzy, e rozmwca ma wadz lub jest
upowaniony do proszenia o dan przysug.
W swojej ksice Wywieranie wpywu na ludzi. Teoria i praktyka Dr. Cialdini opisuje przypadek trzech szpitali, w ktrych osoba podajca si za lekarza
danego szpitala skontaktowaa si niezalenie z 22 dyurkami pielgniarek
i podawaa sposoby dawkowania lekw pacjentom na oddziale. Pielgniarki, ktre odbieray polecenia, nie znay rozmwcy. Nie wiedziay nawet, czy
w rzeczywistoci by lekarzem (nie by!). Odbieray polecenia dotyczce dawkowania, co byo pogwaceniem regulaminu szpitala. Lek, ktry polecono im
podawa, nie by zatwierdzony do stosowania na oddziaach, a dawka, ktr
268
Sympatia
Ludzie maj tendencj do podporzdkowywania si, gdy osoba proszca
jest w stanie ukaza si jako sympatyczna, majca podobne zainteresowania,
pogldy i podejcie do ycia jak ofiara.
Przykadowe ataki: w trakcie rozmowy napastnik dowiaduje si o jakim
hobby lub zainteresowaniu ofiary, po czym deklaruje swoje zainteresowanie
i entuzjazm dla tego samego hobby. Moe rwnie powiedzie, e jest z tego
samego stanu lub szkoy albo ma takie same aspiracje. Socjotechnik bdzie
prbowa rwnie zachowywa si w sposb podobny do ofiary, aby stworzy pozory bliskoci.
Wzajemno
Moemy automatycznie podporzdkowa si probie, jeli obiecano nam
lub dano co wartociowego. Prezent moe by materialny lub moe stanowi np. rad lub pomoc. Kiedy kto zrobi co dla nas, czujemy potrzeb odwzajemnienia. Ta silna potrzeba ujawnia si nawet wtedy, kiedy nie prosilimy o to, co dostalimy. Jednym z najbardziej efektywnych sposobw wpywania na ludzi, tak aby zrobili nam przysug (podporzdkowali si probie), jest podarowanie im prezentu lub pomoc, ktra wywouje poczucie zobligowania.
Wyznawcy Hare Krishna byli bardzo skuteczni we wpywaniu na ludzi
tak, aby ci czynili datki ofiarowujc im na pocztku ksik lub kwiatek
w formie prezentu. Jeeli obdarowany prbowa zwraca prezent, oni odma-
269
wiali jego przyjcia, mwic: To nasz prezent dla ciebie. Wykorzystanie zasady wzajemnoci znacznie zwikszao otrzymywane datki.
Przykady ataku: pracownik odbiera telefon od osoby, ktra przedstawia si
jako informatyk. Wyjania, e niektre komputery zostay zainfekowane
nowym wirusem nierozpoznawalnym przez oprogramowanie antywirusowe, a ktry moe zniszczy wszystkie pliki w komputerze. Potem proponuje przeprowadzenie osoby przez kilka krokw umoliwiajcych zapobieenie
problemowi.
Tu potem rozmwca prosi ofiar o przetestowanie programu uytkowego, ktry zosta wanie zaktualizowany w taki sposb, e umoliwia uytkownikom zmian swoich hase. Pracownik raczej nie odmwi, poniewa
dzwonicy wanie udzieli mu pomocy, chronic go przed wirusem. Odwzajemnia si wic, speniajc prob.
Konsekwencja
Ludzie maj tendencj do podporzdkowywania si, jeeli wczeniej publicznie ogosili swoje poparcie i zaangaowanie w danej sprawie. Jeeli raz
obiecalimy, e co zrobimy, nie chcemy wyglda na niegodnych zaufania
i postpujemy zgodnie z naszymi wczeniejszymi deklaracjami lub obietnicami.
Przykady ataku: napastnik kontaktuje si ze stosunkowo nowym pracownikiem i informuje go o koniecznoci dostosowania si do polityki i procedur bezpieczestwa, ktra jest warunkiem uzyskania dostpu do systemw
komputerowych firmy. Po omwieniu kilku praktyk bezpieczestwa rozmwca prosi uytkownika o podanie swojego hasa w celu weryfikacji jego
zgodnoci z procedurami nakazujcymi wybr hasa trudnego do odgadnicia. Kiedy osoba wyjawia swoje haso, rozmwca podaje zalecenia co do konstrukcji przyszych hase w taki sposb, aby sam potrafi je atwo odgadn.
Ofiara podporzdkowuje si w zwizku ze swoj wczeniejsz zgod na dostosowanie si do firmowych praktyk i zaoeniem, e rozmwca weryfikuje jedynie owo podporzdkowanie.
270
Przyzwolenie spoeczne
Ludzie maj tendencj do speniania prb, kiedy wydaje si to zgodne z zachowaniem innych. Przykad ze strony innych jest traktowany jako przyzwolenie i potwierdzenie, e dane zachowanie jest prawidowe i stosowne.
Przykady atakw: rozmwca twierdzi, e przeprowadza ankiet, i wymienia
nazwiska innych ludzi z dziau, ktrzy wczeniej zdecydowali si odpowiedzie na pytania. Ofiara, wierzc, e zachowanie innych potwierdza wiarygodno proby, godzi si na udzia w ankiecie. Rozmwca zadaje szereg pyta, wrd ktrych s i pytania o nazw uytkownika i haso ofiary.
Rzadka okazja
Ludzie maj tendencj do podporzdkowywania si, kiedy wierz, e poszukiwany obiekt wystpuje w ograniczonej iloci i jest podany przez innych oraz dostpny tylko przez krtki czas.
Przykad ataku: napastnik wysya e-maile oznajmiajce, e pierwszych 500
osb, ktre zarejestruj si na nowej witrynie firmy, wygra darmowe bilety na najnowsz premier filmow. Kiedy niczego nie podejrzewajca osoba rejestruje si na stronie, jest proszona o podanie swojego firmowego adresu oraz wybranie hasa. Wiele osb, dla wygody, ma tendencj do uywania
tego samego hasa w kadym systemie komputerowym, z jakiego korzysta.
Wykorzystujc to, napastnik moe prbowa wama si do naszych firmowych lub prywatnych systemw komputerowych za pomoc nazwy uytkownika i hasa, jakie wprowadzilimy w procesie rejestracji.
271
wysiek w celu skonienia wszystkich osb, majcych do czynienia z informacj lub systemami komputerowymi, do nauki owych zasad i postpowania
zgodnie z nimi. Co wicej, naley si upewni, e wszyscy rozumiej powody, dla ktrych wprowadzone zostay poszczeglne zasady, aby nie prbowali ich, dla wygody, omija. W innym przypadku niewiedza zawsze bdzie
dla pracownika dobrym wytumaczeniem, a dla socjotechnika sab stron,
ktr chtnie wykorzysta.
Gwnym celem kadego programu uwiadamiania jest wpynicie na
pracownikw w taki sposb, aby zmienili swoje podejcie i zachowanie, oraz
zmotywowanie ich, aby sami chcieli uczestniczy w procesie ochrony dbr
informacyjnych firmy. wietn motywacj jest w tym przypadku opisanie
korzyci dla firmy oraz dla samych pracownikw, jakie wynikaj z takiej
postawy. Jako e firma jest rwnie w posiadaniu czci prywatnych informacji kadego z pracownikw, przyczynianie si do ochrony danych firmy
oznacza rwnie przyczynianie si do ochrony osobistych informacji.
Program szkolenia z zakresu bezpieczestwa wymaga znacznych nakadw. Szkolenie musi obj kad osob w firmie, ktra ma dostp do poufnych informacji lub systemw komputerowych, a wiadomoci musz by
stale odwieane i aktualizowane, aby pracownicy mogli stawi czoa wci
pojawiajcym si zagroeniom. Pracownicy musz wiedzie, e wysza kadra zarzdzajca jest w peni zaangaowana w program. Zaangaowanie to
musi by prawdziwe i nie ogranicza si do opiecztowania pisma zawierajcego lakoniczne instrukcje. Program musi by poparty odpowiednimi zasobami, aby go rozwija, przekazywa, sprawdza i analizowa postpy.
Cele
Podstawow wytyczn, o ktrej naley pamita podczas tworzenia programu szkolenia i uwiadamiania w sprawach bezpieczestwa, jest koncentracja na zbudowaniu u pracownikw wiadomoci, e atak moe nastpi
w kadym momencie. Wie si to z wytworzeniem sytuacji, kiedy kady
pracownik ma wiadomo swojej roli w ochronie przed jakkolwiek prb
uzyskania dostpu do systemu komputerowego lub kradziey poufnych danych.
Poniewa wiele aspektw bezpieczestwa informacji jest zwizanych
z technologi, pracownicy zbyt atwo zaczynaj sdzi, e problem ten jest
rozwizywany przez firewalle i inne systemy zabezpieczajce. Podstawo-
272
273
trafi jednak oszuka stranika ochrony tak, aby ten wpuci go na teren budynku lub wykona czynnoci, w ktrych rezultacie nastpi wamanie do
systemu. To, e stranicy nie musz przechodzi szkolenia przeznaczonego
dla uytkownikw firmowych komputerw, nie oznacza, e naley ich cakowicie pomija przy tworzeniu programu szkolenia.
W organizacji prawdopodobnie niewiele jest zagadnie wanych dla
wszystkich pracownikw, ktre maj tak istotne znaczenie, a jednoczenie s
w tak oczywisty sposb nudne, jak zagadnienia bezpieczestwa. Dobry program szkolenia musi jednoczenie informowa, przyciga uwag i wzbudza zaangaowanie suchaczy.
Szkolenie i podtrzymywanie wiadomoci bezpieczestwa musi sta si
angaujcym uwag, interaktywnym dowiadczeniem. Stosowane techniki mog polega na demonstracji metod socjotechnicznych przy wykorzystaniu scenek z podziaem na role, przegldzie doniesie medialnych o ostatnich przypadkach atakw na bardziej pechowe firmy i omawianie sposobw,
w jaki firma mogaby tego unikn; warto pomyle o projekcji filmu na temat zasad bezpieczestwa, ktry jest jednoczenie zabawny i pouczajcy. Istnieje kilka firm, ktre zajmuj si dystrybucj filmw i materiaw dotyczcych zagadnie zwizanych z bezpieczestwem.
Uwaga
Instytucje, ktre nie maj moliwoci zorganizowania wewntrznego
szkolenia z zakresu bezpieczestwa, mog skorzysta z oferty ktrej
z firm szkoleniowych, prowadzcych szkolenia z tego zakresu.
Historie opisane w tej ksice stanowi dobry materia objaniajcy metody i taktyki stosowane przez socjotechnikw, zwikszajcy wiadomo
zagroenia i demonstrujcy saboci ludzkich zachowa. Mona rozway
uycie tych scenariuszy jako podstawy do budowania scenek rodzajowych.
Historie te rwnie prowokuj do dyskusji na temat: co mogaby odpowiedzie ofiara, aby unikn ataku.
Dobry twrca programu i dobry szkoleniowiec znajdzie obok mnstwa
wyzwa wiele sposobw na oywienie szkolenia i w rezultacie motywowanie ludzi, aby stali si czci mechanizmu obrony.
274
Struktura szkolenia
Program podstawowego szkolenia z zakresu bezpieczestwa powinien
sta si obowizkowy dla wszystkich pracownikw. Od nowych powinno si
wymaga uczszczania na takie szkolenie jako jednego z elementw wdraania do pracy. Zalecam, by dostp do komputera by moliwy dopiero po zaliczeniu takiego kursu.
Pocztkowy etap szkolenia powinien by na tyle skoncentrowany, by
przyku uwag, i na tyle krtki, aby wane komunikaty zostay zapamitane. Oczywicie ilo zagadnie do poruszenia z ca pewnoci usprawiedliwia dusze szkolenie, ale z drugiej strony konieczno zapewnienia wiadomoci i motywacji oraz przekazania zapamitywanej liczby podstawowych
komunikatw przewaa na korzy rezygnacji z parogodzinnych lub caodniowych sesji, po ktrych ludzie s przytoczeni nadmiarem informacji.
Nacisk podczas tych sesji musi by pooony na uwiadamianie szkd, jakie moe ponie firma i sami pracownicy, jeeli nie bd przestrzegali odpowiednich zalece dotyczcych bezpieczestwa. Waniejsza od samego nauczenia zasad i praktyk jest motywacja pracownikw, ktra prowadzi do akceptacji swojej wasnej odpowiedzialnoci za bezpieczestwo.
W sytuacjach, gdy niektrzy pracownicy nie maj moliwoci od razu
rozpocz szkolenia, firma powinna rozway przeprowadzenie szkolenia
przy wykorzystaniu innych form, np. filmw instruktaowych, szkolenia
opartego na prezentacji komputerowej, kursu internetowego lub materiaw
pisemnych.
Po pierwszym, pocztkowym etapie szkolenia, kolejne, dusze sesje powinny omawia konkretne saboci i metody ataku odpowiednio do stanowiska osoby szkolonej. Szkolenie odwieajce wiadomoci powinno by
organizowane co najmniej raz w roku. Natura zagroenia i stosowane metody ulegaj cigym zmianom, dlatego program szkolenia musi by aktualizowany. Co wicej, czujno zmniejsza si z czasem, dlatego szkolenie musi by
powtarzane regularnie, aby wzmocni wiadomo wanoci przestrzegania
zasad bezpieczestwa. Tutaj take nacisk musi by pooony na przekonanie
ludzi o tym, jak wane s te zasady, i zmotywowanie do ich stosowania poprzez eksponowanie zagroe i metod stosowanych przez socjotechnikw.
Kierownictwo musi da swoim podwadnym wystarczajcy czas na zapoznanie si z praktykami i procedurami bezpieczestwa i na uczestnictwo
w programie uwiadamiania zagroe. Od pracownikw nie mona oczekiwa poznawania zwizanych z tym praktyk i uczestnictwa w kursach po
275
Uwaga
adne szkolenie dotyczce zasad bezpieczestwa nie jest doskonae,
dlatego naley stosowa zabezpieczenia technologiczne, gdzie tylko
jest to moliwe, aby stworzy nieprzenikalny system obronny.
Oznacza to, e wyznacznikiem bezpieczestwa jest raczej czynnik
technologiczny ni czynnik ludzki na przykad wtedy, gdy system
operacyjny jest skonfigurowany tak, aby uniemoliwi pracownikom
pobieranie programw z Internetu lub wybieranie krtkich, atwych do
odgadnicia hase.
Tre szkolenia
Po zredukowaniu do pewnych podstawowych zasad, wszystkie ataki socjotechniczne maj jeden wsplny element: oszustwo. Ofiara zostaje przekonana, e napastnik jest koleg z pracy lub inn osob uprawnion do dostpu do poufnych informacji, ewentualnie kim upowanionym do wydawania polece, ktre wi si z wykonywaniem czynnoci na komputerze lub
podobnym sprzcie.
Prawie kady z takich atakw mgby by udaremniony, gdyby pracownik bdcy jego celem postpowa zgodnie z nastpujcymi dwoma zasadami:
276
Jeeli sesje szkoleniowe doprowadziyby do zmiany zachowania pracownikw tak, by kady z nich konsekwentnie konfrontowa kad prob
z owymi kryteriami, ryzyko zwizane z atakiem socjotechnika zmniejszyoby si radykalnie.
Praktyczny program szkolenia w zakresie bezpieczestwa informacji
i wiadomoci zagroe, ktry obejmuje ludzkie zachowania i aspekty socjotechniki, powinien zawiera nastpujce zagadnienia:
277
Socjotechnika z definicji obejmuje pewien rodzaj interakcji midzy ludmi. Napastnik bardzo czsto bdzie wykorzystywa wiele metod i technologii
komunikacji na drodze do swojego celu. Z tego powodu dobrze opracowany
program uwiadamiania zagroe powinien zawiera niektre lub wszystkie
z poniszych tematw:
Jeeli firma planuje testy penetracyjne, majce okreli efektywno stosowanych przeciwko atakom socjotechnicznym zabezpiecze, naley o tym
uprzedzi pracownikw. Niech wiedz, e w ramach takiego testu mog
otrzyma telefon lub e-mail sprawdzajcy ich reakcje. Rezultaty testu nie
maj by podstaw wymierzania kar pracownikom, tylko maj suy do
okrelenia pewnych dodatkowych obszarw wymagajcych szkolenia.
Szczegy dotyczce wszystkich powyszych aspektw mona znale
w rozdziale 16.
Sprawdzanie wiedzy
Firma moe chcie sprawdzi, na ile pracownicy opanowali informacje
przedstawione na szkoleniu, przed dopuszczeniem ich do komputera. Jeeli tworzymy testy z zamiarem umieszczenia ich w sieci, moemy skorzysta
z ktrego z programw wspomagajcych tworzenie takich testw i analizujcych wyniki, ktre pomog nam okreli zagadnienia wymagajce dodatkowego omwienia.
278
Firma moe rwnie przyznawa specjalny certyfikat wiadczcy o ukoczeniu szkolenia z zakresu bezpieczestwa, ktry peni funkcj nagrody
i motywatora.
Jako rutynowy element szkolenia zaleca si prosi uczestnikw o podpisanie zgody na dostosowanie si do polityki bezpieczestwa i przestrzeganie
zasad przekazanych w trakcie szkolenia. Badania dowodz, e osoba, ktra
podpisuje takie zobowizanie, czyni wiksze wysiki, by stosowa si do procedur.
Podtrzymywanie wiadomoci
Wikszo z nas zdaje sobie spraw, e ma tendencj do zapominania nawet o wanych rzeczach, jeeli wiedzy tej od czasu do czasu nie odwieymy,
a zatem konieczny jest program podtrzymywania wiadomoci.
Jedn z metod nadania bezpieczestwu wysokiego priorytetu jest uczynienie kadej osoby w jaki sposb odpowiedzialn za bezpieczestwo informacji. To prowadzi do uwiadomienia jej znaczenia wasnej roli w utrzymaniu bezpieczestwa firmy. W innym przypadku istnieje silna tendencja do
mylenia, e bezpieczestwo nie naley do moich obowizkw.
Podczas gdy odpowiedzialno za kampani zabezpieczajc informacje
jest zwykle przypisana osobie z dziau bezpieczestwa lub informatyki, program uwiadamiania kwestii zwizanych z bezpieczestwem informacji powinien by realizowany wsplnie z dziaem szkole.
Program staego podtrzymywania wiadomoci musi wykorzystywa
wszelkie moliwoci komunikowania o sprawach bezpieczestwa w taki
sposb, aby przekazywana tre bya solidnie zapamitywana i w pracownikach zostay wyrobione waciwe nawyki zwizane z t kwesti. Podobnie jak w reklamie, humor i byskotliwo s tu pomocne. Dziki formuowaniu tych samych komunikatw za kadym razem w inny sposb, unikniemy groby, e z czasem zaczn by ignorowane.
Lista rozwiza w zakresie podtrzymywania wiadomoci moe zawiera:
279
A co ja z tego mam?
Oprcz szkole i programu uwiadamiania, zalecam aktywny i dobrze
rozpropagowany system nagrd. Naley wyraa uznanie dla pracownikw, ktrzy wykryli atak socjotechniczny i zapobiegli mu lub w inny sposb
przyczynili si do sukcesu kampanii bezpieczestwa informacji. Fakt istnie-
280
nia systemu nagrd powinien by komunikowany pracownikom na wszystkich sesjach dotyczcych bezpieczestwa, a wszelkie przypadki naruszenia
zasad bezpieczestwa powinny by szeroko rozgaszane w organizacji.
Istnieje te druga strona medalu. Ludzie musz by wiadomi konsekwencji niestosowania si do procedur bezpieczestwa z powodu beztroski lub
oporu. Wszyscy popeniamy bdy, ale powtarzajce si przypadki naruszenia praktyk bezpieczestwa nie mog by tolerowane.
16
Zalecana polityka
bezpieczestwa
informacji
Dziewi z kadych dziesiciu wielkich korporacji i agencji rzdowych
zostao zaatakowanych przez komputerowych intruzw to wynik bada przeprowadzonych przez FBI i opublikowanych przez Associated Press
w kwietniu 2002 roku. Interesujcy jest rwnie fakt, e tylko jedna organizacja na trzy zgosia lub publicznie potwierdzia jakiekolwiek ataki. Powcigliwo w ujawnianiu tego typu informacji ma swoje uzasadnienie. Aby zapobiec utracie zaufania ze strony klientw i kolejnym atakom ze strony intruzw, ktrzy dowiedz si o sabociach firmy, wikszo przedsibiorstw
nie podaje do publicznej wiadomoci tego typu incydentw.
282
Wyglda wic na to, e nie istniej statystyki dotyczce atakw socjotechnicznych, a nawet gdyby takowe istniay, nie byyby miarodajne. W wikszoci przypadkw firma nigdy nie dowiaduje si, e zostaa okradziona z informacji, dlatego wikszo atakw pozostaje niezauwaona i nie jest nikomu zgaszana.
Przeciwko wikszoci typw atakw socjotechnicznych mona zastosowa rodki zapobiegawcze. Spjrzmy jednak prawdzie w oczy dopki
wszyscy czonkowie organizacji nie zrozumiej wagi zabezpiecze, a stosowanie si do regu bezpieczestwa nie stanie si ich osobist spraw, dopty
ataki socjotechniczne bd zagraa status quo przedsibiorstwa.
W rzeczywistoci, wraz z dostpem do coraz skuteczniejszych technologicznych rodkw zabezpieczajcych, podejcie socjotechniczne wykorzystywanie ludzi do zdobywania zastrzeonej informacji lub wamywania
si do firmowej sieci bdzie stosowane coraz czciej i stanie si atrakcyjn metod pracy dla zodziei informacji. Szpieg; przemysowy bdzie chcia
oczywicie osign swj cel za pomoc i najatwiejszej i najmniej ryzykownej metody. W istocie, firma, ktra zabezpieczya swoje systemy komputerowe i sie za pomoc najnowszych wyrafinowanych technologii, moe by
w zwizku z tym bardziej naraona na ataki ze strony napastnikw uywajcych do osignicia swoich celw metod, strategii i taktyk socjotechnicznych.
Rozdzia ten prezentuje zalecane praktyki i procedury stworzone po to, by
zminimalizowa ryzyko zwizane z socjotechnik. S one skierowane przeciwko atakom, ktre nie opieraj si cakowicie na wykorzystywaniu luk
technologicznych, a dotycz one prb oszukiwania pracownikw i manipulowania nimi w celu uzyskania od nich informacji lub wykonania przez nich
czynnoci, ktra umoliwi intruzowi dostp do poufnych informacji firmy
lub do firmowej sieci komputerowej.
283
Gwnym celem oceny ryzyka jest ustalenie, ktre z zasobw wymagaj natychmiastowego zabezpieczenia i czy zastosowane rodki bezpieczestwa bd opacalne po uwzgldnieniu analizy zyskw i strat. Mwic prosto: ktre zasoby trzeba najpierw zabezpieczy i ile bdzie to kosztowao?
Bardzo wane jest, by wysza kadra zarzdzajca silnie popieraa konieczno stworzenia polityki bezpieczestwa i programu ochrony informacji. Podobnie jak w przypadku kadego przedsiwzicia angaujcego ca firm,
warunkiem powodzenia takiego programu jest nie tylko poparcie, ale rwnie demonstracja zaangaowania i dawanie przykadu przez kierownictwo. Pracownicy musz by wiadomi, e kadra zarzdzajca wykazuje siln wiar w to, i bezpieczestwo informacji jest niezbdne dla funkcjonowa-
284
285
si nowe technologie bezpieczestwa i jak ewoluuj zagroenia, naley zmienia rwnie polityk bezpieczestwa. Musi istnie proces regularnego przegldu i aktualizacji treci w niej zawartych. Zalecenia i procedury powinno
si udostpni w intranecie lub przechowywa w oglnie dostpnym katalogu. To zwiksza prawdopodobiestwo ich czstego przegldania, a jednoczenie daje wygodn metod szukania odpowiedzi na te pytania zwizane
z bezpieczestwem, ktre szczeglnie nurtuj pracownikw.
Naley te przeprowadza periodyczne testy penetracyjne i ocen zagroe
przy uyciu metod i taktyk socjotechnicznych, aby ujawni wszelkie saboci w procesie szkolenia lub tendencj do nieprzestrzegania pewnych zalece.
Przed zastosowaniem taktyk socjotechnicznych na potrzeby testu naley poinformowa pracownikw, e co takiego moe nastpi w kadej chwili.
286
Klasyfikacja danych
Polityka klasyfikacji danych stanowi fundament ochrony zasobw informacyjnych przedsibiorstwa i ustala kategorie rzdzce trybem udzielania
poufnych informacji. Jest ona szkieletem systemu ochrony danych firmy
i uwiadamia pracownikom stopie poufnoci kadej z informacji. Dziaanie
bez odgrnej klasyfikacji danych, ktra obecnie stanowi o zachowaniu status
quo kadej nowoczesnej organizacji, pozostawia wikszo decyzji w rkach
indywidualnych pracownikw. Naturalnie ich decyzje s oparte w wikszej
mierze na czynnikach subiektywnych ni na stopniu poufnoci, wagi i wartoci informacji. Informacje wyciekaj z firm rwnie dlatego, e pracownicy nie s wiadomi, i osoba, ktra prosi ich o informacj, moe by napastnikiem.
Polityka klasyfikacji danych ustala reguy klasyfikacji wartociowych danych na kilka poziomw. Po przyporzdkowaniu kadej informacji do kategorii, pracownik moe postpowa zgodnie z procedurami udostpniania danych, ktre chroni firm przed nieumylnym i beztroskim ujawnieniem poufnej informacji. Procedury te ograniczaj moliwo oszukania pracownika
przez osob nieupowanion do otrzymania informacji.
Kady pracownik musi zapozna si na szkoleniu z polityk klasyfikacji
danych; dotyczy to rwnie osb, ktre zwykle nie korzystaj z komputerw lub firmowych rodkw komunikacji. Poniewa kady czonek organizacji, cznie z pracownikami ekip sprztajcych, ochron budynku, obsug
punktu ksero, a nawet konsultantami, wykonawcami prac zleconych i asystentami, moe mie dostp do poufnych informacji i tym samym sta si celem ataku.
Kierownictwo musi wyznaczy posiadaczy informacji odpowiedzialnych
za wszystkie moliwie informacje, jakich uywa firma. Posiadacz informacji jest odpowiedzialny midzy innymi za ochron zasobw informacyjnych.
Zwykle to on decyduje, do jakiego poziomu naley zakwalifikowa posiadan przez niego informacj w oparciu o stopie potrzebnej ochrony; od czasu do czasu ponownie ocenia kategori poufnoci i decyduje, czy wymagana jest jej zmiana. Posiadacz informacji moe rwnie delegowa swoj odpowiedzialno za ochron danych wyznaczonym osobom.
287
Prywatne. Kategoria ta obejmuje informacje natury osobistej, ktre s przeznaczone do uytku wewntrznego w organizacji. Kade nieuprawnione
udostpnienie prywatnej informacji moe mie duy wpyw na pracownika
lub firm, jeeli zdobyte zostao przez osob do niej nieupowanion (szczeglnie socjotechnika). Do informacji prywatnych nale wyniki bada lekarskich pracownikw, informacje o koncie bankowym, historia wypat i kade
inne osobiste informacje identyfikacyjne, ktre nie s przeznaczone dla ogu.
288
Uwaga
Kategoria informacji wewntrznych czsto bywa te opisywana jako
poufne. Wybraem jednak termin wewntrzne, poniewa wyjania
on, dla kogo informacje te s przeznaczone. Termin poufne stosowany
jest tu jako wygodny sposb odnoszenia si do informacji tajnych, prywatnych i wewntrznych. Innymi sowy, informacje poufne to wszelkie
informacje, ktre nie s udostpnione ogowi.
289
290
Weryfikacji, czy firma obecnie zatrudnia t osob lub czy utrzymuje z ni jakie zwizki, ktre upowaniaj do dostpu do danych,
o ktre prosi. Dziki temu unikamy sytuacji, kiedy byli pracownicy, dostawcy, wykonawcy itp. podaj si za aktualnie upowanionych.
Weryfikacji, czy osoba naprawd potrzebuje tej informacji i czy jest
upowaniona do dostpu do niej.
291
1. Identyfikacja rozmwcy (przy zaoeniu, e firma ma udostpniony system identyfikacji). Patrzc na wywietlony numer lub nazw upewnij
si, czy telefon pochodzi z firmy, czy spoza niej i czy numer ten odpowiada nazwisku podanemu przez dzwonicego.
Sabo: Zewntrzny identyfikator moe by sfaszowany przez osob
majc dostp do PBX lub centrali poczonej z cyfrow sieci telefoniczn.
2. Oddzwanianie. Wyszukaj rozmwc w spisie telefonw firmy i oddzwo
do niego pod podany w spisie numer, aby upewni si, czy jest on jej
pracownikiem firmy.
Sabo: Napastnik posiadajcy odpowiedni wiedz moe przekierowa rozmow z danego numeru wewntrznego na terenie firmy. Wwczas oddzwonienie pod numer wewntrzny z firmowego spisu telefonw spowoduje przekierowanie rozmowy na numer zewntrzny napastnika.
3. Porczenie. Zaufana osoba, porczajc tosamo, weryfikuje dzwonicego.
Sabo: Napastnicy czsto s w stanie przekona jednego z pracownikw co do swojej tosamoci i sprawi, eby ten porczy za niego u innego pracownika.
4. Wsplna tajemnica. Uycie wewntrznej wsplnej tajemnicy firmy, np.
hasa lub kodu dnia.
Sabo: Jeeli wielu ludzi zna wspln tajemnic, jej poznanie moe by
dla napastnika banalnie atwym zadaniem.
5. Szef lub zwierzchnik dzwonicego. Telefon do bezporedniego przeoonego
z prob o weryfikacj.
Sabo: Jeeli dzwonicy sam poda numer telefonu swojego szefa, osoba, do ktrej si dodzwonimy, moe nie by w rzeczywistoci szefem,
tylko wsplnikiem napastnika.
6. Bezpieczny e-mail. Wymagaj wiadomoci pocztowej z podpisem elektronicznym.
Sabo: Jeeli napastnik zdy ju wama si do systemu komputerowego i zainstalowa pogram skanujcy nacinite klawisze, by w ten
sposb uzyska haso pracownika, moe sam wysa podpisan elektronicznie wiadomo, ktra bdzie wygldaa, jakby pochodzia od pracownika firmy.
7. Identyfikacja gosu. Osoba, do ktrej skierowana jest proba, miaa ju do
czynienia z dzwonicym (najlepiej twarz w twarz), a wic wie, e osoba ta jest zaufana i zna j na tyle dobrze, by rozpozna jej gos przez telefon.
292
293
Uwaga
Stosowanie takiej listy moe by te zaproszeniem dla socjotechnika.
Jeeli napastnik dowie si, e taka lista istnieje, bdzie si usilnie stara wej w jej posiadanie. Dysponujc ni moe otworzy sobie wiele
drzwi i narazi firm na powane zagroenie.
294
295
Udostpnianie informacji
Udostpnianie informacji polega na przekazywaniu ich osobie, na podstawie jej tosamoci i uprawnie.
296
Uwagi. Tam gdzie jest to usprawiedliwione rozmiarami firmy i jej potrzebami w zakresie bezpieczestwa, powinno si stosowa zaawansowane technologie uwierzytelniajce. Najlepszym rozwizaniem jest zastosowanie osobistych urzdze uwierzytelniajcych w poczeniu ze wspln tajemnic firmy do weryfikacji osb. Rozwizanie to na pewno pozwoli zmniejszy ryzyko, ale moe okaza si dla niektrych firm zbyt kosztowne. W takim przypadku firma powinna korzysta ze wsplnej tajemnicy, takiej jak codziennie
zmieniane haso lub kod.
osobicie;
poczt wewntrzn, po zapiecztowaniu i oznaczeniu jako tajne;
297
na zewntrz za pomoc godnej zaufania firmy kurierskiej z wymaganiem podpisu odbierajcego lub za pomoc usugi pocztowej
umoliwiajcej oznaczenie przesyki jako poufna.
Poufne informacje mog by przekazywane osobicie, przez telefon wewntrz firmy, przez telefon zewntrzny (o ile rozmowa jest szyfrowana), poprzez szyfrowane cze satelitarne, szyfrowan wideokonferencj oraz szyfrowany protok transferu gosu poprzez Internet (VoIP).
Przy transmisjach za pomoc faksu zalecana metoda wymaga wysania w pierwszej kolejnoci strony tytuowej. Odbiorca po otrzymaniu strony faksuje odpowied potwierdzajc jego obecno przy aparacie. Dopiero
wwczas nadawca przesya reszt faksu.
Nastpujce rodki komunikacji nie s do zaakceptowania do dystrybucji tajnych danych: nieszyfrowany e-mail, wiadomo zostawiona w poczcie
gosowej, poczta zwyka i jakakolwiek forma komunikacji bezprzewodowej
(telefony komrkowe, SMS-y itp.).
298
osobicie;
poczt wewntrzn, po zapiecztowaniu i oznaczeniu jako tajne;
poczt zwyk.
Prywatne informacje w formie elektronicznej (pliki, bazy danych,
e-maile) mog by przekazywane:
wewntrzn poczt elektroniczn;
transferem elektronicznym do serwera w obrbie wewntrznej sieci firmy;
faksem, o ile adresat informacji jako jedyny korzysta z danego aparatu faksowego lub oczekuje przy danym aparacie na przesanie
faksu. Faksy mona te wysya na zabezpieczone hasem serwery faksowe. Alternatywnie faksy mona wysya bez obecnoci odbiorcy informacji po drugiej stronie, przy zastosowaniu szyfrowanego cza telefonicznego i przesaniu informacji na serwer faksowy zabezpieczony hasem.
299
Uwagi. Jeeli gos pytajcego nie jest znajomy, naley zadzwoni pod jego
numer wewntrzny, aby zweryfikowa jego gos na podstawie nagranej wiadomoci powitalnej, lub poprosi zwierzchnika osoby, z ktr rozmawiamy,
o potwierdzenie, e jest ona upowaniona do uzyskania danej informacji.
300
301
302
303
Uwagi. Napastnicy uywaj zautomatyzowanych systemw informacyjnych, by gromadzi nazwiska i numery wewntrzne pracownikw firmy.
Znajomo numerw wewntrznych pomaga im w przekonaniu rozmwcw, i s pracownikami tej samej firmy i maj prawa do wewntrznych informacji.
304
Pozostae instrukcje
4.1. Projektowanie identyfikatora
Instrukcja. Identyfikatory pracownikw musz by tak zaprojektowane,
aby mieciy du fotografi, ktr mona rozpozna z pewnej odlegoci.
Uwagi. Fotografia na standardowo stosowanych identyfikatorach w zasadzie nie spenia swego zadania. Odlego pomidzy osob wchodzc do
budynku a stranikiem lub recepcjonistk, ktra ma obowizek sprawdza
identyfikatory, jest zwykle na tyle dua, e zdjcie jest zbyt mae, aby rozpozna na nim przechodzc osob. Aby fotografia speniaa swoje zadanie, konieczna jest zmiana projektu identyfikatora.
305
monterzy) mog stanowi dla firmy zagroenie. Oprcz wydania identyfikatorw tym osobom, naley zapewni, aby nasi pracownicy byli wyszkoleni
tak, by zwraca uwag na osoby przebywajce na terenie firmy bez identyfikatora i potrafi si odpowiednio zachowa w takiej sytuacji.
306
307
ry opublikowanej przez wydzia odpowiedzialny za bezpieczestwo informacji. Dostp do linii telefonicznych, hubw, switchw, mostkw sieciowych
i tym podobnego sprztu mgby zosta wykorzystany przez napastnika
w celu wamania si do sieci komputerowej firmy.
308
Uwagi. Firma powinna rozway zastosowanie elektronicznych identyfikatorw lub czytnika kart dostpu, aby wszelkie wejcia byy automatycznie
odnotowywane i ledzone.
309
Ataki socjotechniczne okazuj si skuteczne po czci dlatego, e personel obsugi technicznej czsto pracuje pod du presj czasu i nie weryfikuje w poprawny sposb tosamoci osb zwracajcych si z prob o pomoc.
W wikszych firmach, zatrudniajcych wiele osb, obsuga techniczna zwykle nie jest w stanie osobicie rozpozna wszystkich uprawnionych. Wprowadzenie osoby bdcej punktem kontaktowym ogranicza liczb pracownikw, ktrych obsuga techniczna musi znad, by dokonywa weryfikacji.
310
311
Oglne
5.1. Osoba bdca punktem kontaktowym w dziale informatyki
Instrukcja. Numery telefonw i adresy e-mail poszczeglnych pracownikw
dziau informatyki nie powinny by ujawniane jakiejkolwiek osobie, ktra
nie ma wyranego powodu ku temu, by je pozna.
312
Uwagi. Celem tej instrukcji jest unikniecie sytuacji, kiedy socjotechnik wykorzystuje do swoich celw informacje kontaktowe z dziau informatyki.
Ujawniajc jedynie oglny numer kontaktowy i adres e-mail dziau informatyki, spowodujemy, e osoby z zewntrz nie bd mogy kontaktowa si
z personelem bezporednio. Adresy e-mail na potrzeby kontaktu z administratorem lub webmasterem powinny skada si tylko z nazw oglnych, np.
admin@nazwafirmy.com.pl. Upublicznione numery telefonw powinny by
poczone z wydziaow skrzynk poczty gosowej, a nie ze skrzynk ktrego z pracownikw.
Kiedy dostpne s bezporednie informacje kontaktowe, intruz moe
w prosty sposb dotrze do ktrego z pracownikw i zmanipulowa go,
wyudzajc informacje przydatne w czasie ataku lub umoliwiajce podawanie si za informatyka wobec innych osb.
313
314
315
316
Administrowanie systemami
7.1. Zmiana globalnych praw dostpu
Instrukcja. Proba o zmian globalnych praw dostpu musi zosta zatwierdzona przez grup, ktra zarzdza prawami dostpu do firmowej sieci.
Uwagi. Autoryzowany personel powinien dokona analizy kadej tego typu
proby, aby okreli, czy zmiana moe spowodowa zagroenie dla bezpieczestwa informacji. Jeeli tak, osoba odpowiedzialna omwi zwizane
z tym szczegy i wsplnie podejm decyzj co do wprowadzanych zmian.
317
318
319
320
321
322
7.16. Modemy
Instrukcja. Modemy stosowane do przyjmowania pocze z zewntrz powinny by ustawione tak, aby odbiera poczenie nie wczeniej ni po
czwartym sygnale.
Uwagi. Jak pokazano to w filmie Gry wojenne, hakerzy uywaj techniki
zwanej war-dialing (skanowanie numerw) w celu lokalizacji linii telefonicznych, do ktrych s podpite modemy. Proces rozpoczyna si od identyfikacji prefiksw, jakie maj numery znajdujce si w okolicy firmy. Nastpnie
wykorzystuje si program skanujcy, ktry testuje wszystkie numery telefonw zaczynajce si od tego prefiksu. W celu przypieszenia procesu programy te s skonfigurowane tak, aby czeka jeden lub dwa sygnay na odpowied modemu, po czym przechodzi do kolejnego numeru.
Jeeli firma ustawi na swoich modemach odpowiadanie po co najmniej
czterech sygnaach, program skanujcy nie rozpozna tej linii jako modemowej.
323
324
Warto zdawa sobie spraw, e wyrafinowany napastnik mg si dowiedzie, i nasza organizacja zamwia u producenta oprogramowanie. Bdc
w posiadaniu takiej informacji, moe anulowa nasze zamwienie u producenta i samodzielnie zamwi program. Po modyfikacji oprogramowania
tak, aby spenio zadanie postawione mu przez hakera, zostaje ono przesane
do odbiorcy w oryginalnym opakowaniu. Po instalacji oprogramowania napastnik zyskuje kontrol nad systemem.
325
326
327
Obsuga komputera
8.1. Uprowadzanie polece lub uruchamianie programw
Instrukcja. Operatorzy komputerw nie mog wprowadza polece ani uruchamia programw na prob nieznanych im osb. Nawet w sytuacji, gdy
osoba nie zweryfikowana wydaje si mie rzeczywiste powody uzasadniajce
prob, nie naley si do niej stosowa bez uzyskania zgody przeoonego.
328
Uwagi. Operatorzy komputerw s typowymi celami socjotechnikw, poniewa ich praca zwykle wymaga uprzywilejowanego dostpu do systemu,
a napastnik spodziewa si, e bd oni mniej dowiadczeni i uwiadomieni
w procedurach firmowych ni pozostali pracownicy dziau informatyki. Celem tej instrukcji jest dodanie elementu kontroli, aby zabezpieczy operatorw komputerw przed atakami socjotechnikw.
329
330
Oglne
9.1. Zgaszanie podejrzanych telefonw
Instrukcja. Pracownicy, ktrzy podejrzewaj, e mogli sta si ofiar incydentu naruszajcego bezpieczestwo, np. otrzymuj podejrzane proby
o ujawnienie informacji lub wykonanie czynnoci na komputerze, musz
niezwocznie zgasza takie wydarzenia wyznaczonej osobie lub grupie.
Uwagi. Kiedy socjotechnikowi nie uda si nakoni ofiary do postpowania zgodnie z jego yczeniami, zawsze bdzie prbowa dotrze do kolejnej
osoby. Zgaszajc podejrzany telefon lub wydarzenie, pracownik podejmuje
pierwszy krok w postawieniu firmy w stan gotowoci na wypadek ponownego ataku. Dlatego te poszczeglni pracownicy s na pierwszej linii frontu
podczas atakw socjotechnicznych.
331
332
333
334
Korzystanie z komputera
10.1. Uprowadzanie polece
Instrukcja. Personel firmy nigdy nie powinien wprowadza polece do komputera na prob innej osoby, chyba e osoba ta zostaa zweryfikowana jako
pracownik dziau informatyki.
Uwagi. Typow sztuczk stosowan przez socjotechnika jest proba o wpisanie polecenia, ktre wprowadza zmiany w konfiguracji systemu i umoliwia napastnikowi dostp do komputera ofiary bez uwierzytelnienia lub pozwala na uzyskanie informacji potrzebnych do rozpoczcia ataku technologicznego.
335
rzy mu dostp do swojego systemu. Inne programy umoliwiaj rejestracj czynnoci wykonywanych przez uytkownika i przesyaj zebrane informacje napastnikowi. Podczas ataku socjotechnicznego osoba jest oszukiwana, by wykona na komputerze polecenie, ktre moe wyrzdzi szkod, natomiast podczas ataku technologicznego oszukiwany jest system operacyjny,
ktry wykonuje polecenie wyrzdzajce analogiczne szkody.
336
337
338
339
340
Korzystanie z telefonu
12.1. Udzia w ankietach telefonicznych
Instrukcja. Pracownicy nie mog uczestniczy w ankietach telefonicznych
i odpowiada na pytania jakichkolwiek zewntrznych organizacji lub osb.
Tego typu proby naley kierowa do dziau public relations lub wyznaczonej w tym celu osoby.
Uwagi. Jedn z metod stosowanych przez socjotechnikw podczas ataku na
przedsibiorstwo jest telefon do pracownika z prob o udzia w ankiecie. To
zaskakujce, jak wielu ludzi chtnie udziela informacji na temat swj lub firmy, w ktrej pracuj, zupenie obcym osobom, gdy tylko uwierz, e chodzi
o ankiet. Pord niewinnych pyta rozmwca przemyci par pyta kluczowych dla siebie. Zdobyte w ten sposb informacje mog pomc mu w dostaniu si do sieci firmy.
341
Uwagi. Celem tej instrukcji jest wymaganie od pracownikw przemylanych decyzji w sprawie koniecznoci ujawniania numeru telefonu. Kiedy
proba o numer kontaktowy pada ze strony osoby, ktra nie ma szczeglnej
potrzeby poznania numeru wewntrznego, najbezpieczniej poprosi o czenie si przez central.
Korzystanie z faksu
13.1. Przekazywanie faksw
Instrukcja. Zabrania si odbierania i przekazywania faksw osobom trzecim
bez weryfikacji tosamoci osoby zwracajcej si z tak prob.
Uwagi. Zodzieje informacji mog nakoni pracownika do wysania poufnych informacji na faks znajdujcy si na terenie firmy. Przed podaniem numeru faksu swojej ofierze, oszust dzwoni do niczego nie podejrzewajcej sekretarki lub asystentki i pyta, czy moe liczy na odebranie faksu dla niego.
Zaraz po tym, gdy sekretarka odbierze faks, napastnik dzwoni do niej i prosi o przesanie faksu dalej, twierdzc, na przykad, e pilnie potrzebuje go na
wane spotkanie. Poniewa osoba, ktra jest proszona o przesanie faksu dalej, zwykle nie zdaje sobie sprawy z wartoci informacji, jakie ten zawiera,
zwykle bez pytania wykonuje to, o co zostaa poproszona.
342
343
344
Hasa
15.1. Hasa i telefony
Instrukcja. Pod adnym pozorem nie wolno ujawnia hase przez telefon.
Uwagi. Napastnicy mog znale sposb na podsuchiwanie rozmw osobicie lub za porednictwem jakiego rozwizania technologicznego.
345
346
347
348
349
Uwagi. Pracownicy, ktrzy pilnuj wej do budynkw, powinni by poinformowani, aby nie wpuszcza byego pracownika na teren firmy. Poinformowanie pozostaego personelu moe udaremni prby udawania wci zatrudnionego i sabotau przy niewiadomej pomocy zatrudnionych.
W pewnych wypadkach konieczne jest polecenie wszystkim pracownikom
dziau zwalnianej osoby dokonania zmiany hase. (Kiedy zostaem zwolniony z GTE z powodu mojej reputacji hakera, firma polecia zmian hase
wszystkim pracownikom firmy).
350
351
352
18.5. Ewakuacja
Instrukcja. W kadej sytuacji zagroenia lub podczas wicze ewakuacyjnych ochrona musi upewni si, e wszyscy opucili teren firmy.
353
354
355
356
Dodatki
Bezpieczestwo w piguce
rda Skorowidz
Bezpieczestwo w piguce
Ponisze listy i tabele stanowi przegld metod socjotechnicznych omawianych w rozdziaach od 2. do 14. i procedur weryfikacyjnych wyszczeglnionych w rozdziale 16. Informacje te naley zmodyfikowa pod ktem wasnej organizacji i udostpni pracownikom, aby mogli z nich korzysta w odpowiedniej sytuacji.
Identyfikacja ataku
Przedstawione tutaj tabele i listy pomog ustali, czy ma miejsce atak socjotechniczny.
359
Cykl socjotechniczny
Dziaanie
Opis
Rozpoznanie
Moe zacz si od oglnej analizy powszechnie dostpnych informacji, jak wyniki finansowe, katalogi, zgoszenia do urzdu patentowego, wzmianki prasowe, artykuy w prasie fachowej, zawarto strony internetowej, a take
zawartoci mietnikw
Wykorzystanie zaufania
Proba o informacj lub dziaanie skierowana do ofiary. Zmanipulowanie ofiary tak, aby
sama poprosia o pomoc.
Wykorzystanie informacji
360
Przykady
Niewiadomy
wartoci informacji
Posiadajcy
Specjalne przywileje
Producent
Okrelone wydziay
Ksigowo, kadr.
361
Opis
Identyfikacja rozmwcy
Oddzwanianie
Znajd dzwonicego w firmowym spisie telefonw i zadzwo pod podany tam numer wewntrzny.
Porczenie
Wsplna tajemnica
Popro o podanie wsplnej tajemnicy firmowej, takiej jak haso lub kod dnia.
Bezpieczny e-mail
Rozpoznawanie
362
Hasa dynamiczne
Osobicie
Opis
Lista pracownikw
Szef
Wydzia
Zadzwo do wydziau, w ktrym pracuje rozmwca, i zapytaj, czy osoba ta jest pracownikiem firmy.
Opis
Sprawd stanowisko
Uzyskaj potwierdzenie
Uzyskaj potwierdzenie
Uzyskaj potwierdzenie
363
Dziaanie
Powizanie
Tosamo
Tajemnica
Dostp
Jeeli informacja jest sklasyfikowana jako bardziej poufna ni wewntrzna, przeka spraw kierownictwu.
Klasyfikacja danych
Klasyfikacja
Opis
Procedura
Publiczne
Oglnie dostpne.
Wewntrzne
Do
uytku
we- Zweryfikuj tosamo osoby pywntrznego firmy
tajcej jako zatrudnionej w firmie,
a w przypadku osoby z zewntrz
sprawd istnienie zobowizania do
ni ujawniania tajemnic i zgod kierownictwa.
Prywatne
Informacje natury
osobistej, przeznaczone do uytku tylko w ramach organizacji
Zweryfikuj tosamo osoby pytajcej jako zatrudnionej lub uprawnionej osoby z zewntrz, Zanim
udzielisz informacji prywatnej,
skonsultuj si z dziaem kadr
Tajne
Zweryfikuj tosamo osoby pytajcej i potrzeb wiedzy (u waciciela danej informacji). Udzielaj informacji tylko wtedy, gdy posiadasz
pisemn zgod szefa, waciciela
informacji lub jego przedstawiciela.
Sprawd istnienie pisemnego zobowizania do zachowania tajemnicy. Tylko kadra kierownicza moe
udziela takich informacje osobom
nie bdcym pracownikami fir.
364
365
366
rda
Buck Bloom Becker, Spectacular Computer Crimes: What they Are and How
They Cost American Business Half a Billion Dollars a Year, [b. m.] 1990.
Littman Jonathan, The Fugitive Game: Online with Kevin Mitnick, [b. m.]
1997.
Peneberg Adam L., The Demonizing of a Hacker, Forbes, 19 kwietnia
1999.
Cialdini Robert B., Wywieranie wpywu na ludzi. Teoria i praktyka, Gdask
1999.
Cialdini Robert B., The Science of Persuasion, Scientific American, luty
2001.
Podzikowania
Od Kevina Mitnicka
Prawdziwa przyja bywa okrelana jako jeden umys w dwch ciaach;
niewielu ludzi, ktrych spotykamy w naszym yciu, zasuguje na miano
prawdziwych przyjaci. Jack Biello by yczliw i troskliw osob, ktra
odwaya si wystpi przeciwko sposobowi, w jaki zostaem potraktowany
przez nieetycznych dziennikarzy i zbyt fanatycznie nastawionych oskarycieli. To on sta na czele ruchu na rzecz mojego uwolnienia i by autorem artykuw ujawniajcych informacje, ktre nie byy wygodne dla rzdu.
Jack zawsze by gotw odwanie wypowiada si w moim imieniu i wsppracowa ze mn, przygotowujc przemowy i artykuy, by w pewnym momencie sta si moim rzecznikiem prasowym.
Ksik t dedykuj mojemu najdroszemu przyjacielowi, Jackowi Biello,
ktry, umierajc na raka niedugo po tym, jak ukoczyem rkopis, pozostawi mnie w poczuciu straty i gbokim smutku.
Napisanie tej ksiki nie byoby moliwe bez wsparcia ze strony mojej rodziny. Mio i pomoc mojej mamy, Shelly Jaffe, i babci, Reby Vartatian, towarzyszy mi przez cae ycie. To wielkie szczcie by wychowanym przez
tak kochajc i oddan matk, ktr uwaam rwnie za najlepszego przyjaciela. Moja babcia bya mi drug matk, okazujc mio i opiek. Te cudowne, wspczujce osoby nauczyy mnie, jak troszczy si o innych i wyciga pomocn do do tych, ktrym si nie udao. Tak wic, kroczc cie-
368
369
Bill potrafi przeksztaci moje pomysy w zdania godne dojrzaego czytelnika i okazywa (prawie zawsze) cierpliwo, borykajc si z moim (przez
pryzmat programisty) sposobem widzenia szczegw. W kocu udao si.
W tym miejscu chciabym przeprosi Billa i powiedzie, e zawsze bd aowa wasnego podejcia do pracy, poniewa to moja pedanteria w przedstawianiu szczegw doprowadzia do tego, e pierwszy raz w swojej dugiej
karierze pisarskiej nie dotrzyma umwionego terminu. W kocu zrozumiaem, na czym polega praca pisarza, i doceniem j. Mam nadziej, e uda si
nam napisa wsplnie kolejne ksiki.
Pobyt w domu Billa Simona w Rancho Santa Fe, aby pracowa i by rozpieszczanym przez jego on, Arynne, traktuj jako najmilszy aspekt pisania.
Rozmowy z Arynne i jej umiejtnoci kulinarne walcz ze sob o pierwsze
miejsce w mojej pamici. Mj podziw budzi jej wielka klasa, mdro i poczucie humoru. Stworzya dom peen pikna i ciepa. Poza tym, wci nie mog
si napi dietetycznej coli, nie syszc w gowie gosu Arynne przypominajcego mi o szkodliwoci aspartamu.
Wiele dla mnie znaczy Stacey Kirkland. Powicia wiele godzin swojego
czasu, aby pomc mi w stworzeniu na Macintoshu tabel i schematw, ktre pomagay wizualizowa moje pomysy. Podziwiam jej wspaniay charakter. Jest prawdziwie kochajc i wspczujc osob, ktra zasuguje w yciu
na samo dobro. Usyszaem od niej wiele sw zachty i jest osob, na ktrej bardzo mi zaley. Pragn podzikowa jej za mio, wsparcie i powicony mi czas.
Alex Kasper, Nexspace, to nie tylko mj najlepszy kumpel, ale rwnie
wsplnik w interesach. Razem prowadzilimy popularny radiowy talk show
Ciemna Strona Internetu w radiu KFI AM 640 w Los Angeles, pod sprawnym
kierownictwem dyrektora programowego, Davida G. Halla. Alex udzieli mi
bezcennej pomocy i da mi wiele rad w zwizku z ksik. Jego wpyw na
mnie by zawsze pozytywny, a jego uprzejmo i gocinno nie koczya si
nawet w pnych godzinach nocnych. Wraz z Alexem ukoczylimy ostatnio prac nad filmem, ktry ma pomc firmom w szkoleniu swoich pracownikw tak, aby zapobiega atakom socjotechnicznym.
Paul Dryman jest przyjacielem rodziny i nie tylko. Ten cieszcy si uznaniem i zaufaniem prywatny detektyw pomg mi zrozumie, na czym polega prawdziwe ledztwo. Wiedza i dowiadczenie Paula uatwiy mi stworzenie zalece dotyczcych bezpieczestwa, ktre znalazy si w 4. czci tej
ksiki.
370
371
Doceniam szans, jak dao mi, jako autorowi tej ksiki, wydawnictwo
John Wiley & Sons. Pragn podzikowa nastpujcym osobom z wydawnictwa, ktre zaufay debiutantowi i pozwoliy urzeczywistni moje marzenie:
Ellen Gerstein, Bob Ipsen, Carol Long (mj redaktor) oraz Nancy Stevenson.
Chciabym podzikowa take osobom z rodziny, przyjacioom i wsppracownikom, ktrzy okazali mi wsparcie, udzielali porad i wycigali pomocn do. S to: J. J. Abrams, David Agger, Bob Arkow, Stephen Barnes,
Dr. Robert Berkowitz, Dale Coddington, Eric Corley, Delin Cormeny, Ed Cummings, Art Davis, Michelle Delio, Sam Downing, John Draper, Paul Dryman,
Nick Duva, Roy Eskapa, Alex Fielding, Lisa Flores, Brock Frank, Steve Gibson,
Jeny Greenblatt, Greg Grunberg, Bili Handle, David G. Hall, Dave Harrison,
Leslie Herman, Jim Hill, Dan Howard, Steve Hunt, Rez Johar, Steve Knittle,
Gary Kremen, Barry Krugel, Earl Krugel, Adrian Lamo, Leo Laporte, Mitch
Leventhal, Cynthia Levin, CJ Little, Jonathann Littman, Mark Maifrett, Brian
Martin, Forest Mc Donald, Kerry Mc Elwee, Alan McSwain, Elliot Moore, Michael Morris, Eddie Munoz, Patrick Norton, Shawn Nunley, Brenda Parker,
Chris Pelton, Kevin Poulsen, Scott Press, Linda i Art Pryor, Jennifer Reade,
Israel i Rachel Rosencrantz, Mark Ross, William Royer, Irv Rubin, Ryan Russel, Neil Saavedra, Wunn Schwartu, Pete Shipley, John Siff, Dan Sokol, Trudy Spector, Matt Spergel, Eliza Armadea Sultan, Douglas Thomas, Roy Tucker, Brian Turbow, Ron Wetzel, Don David Wilson, Darci Wood, Kevin Wortman, Steve Wozniak i wszyscy znajomi z kanau W6NUT (147.453 MHz)
z Los Angeles.
Na specjalne podzikowania zasuguje mj kurator, Larry Hawley, za uatwienie mi pracy nad ksik.
W kocu dzikuj wszystkim policjantom. Nie ywi do nich adnej urazy,
poniewa wykonuj oni jedynie swoj prac. Wierze, e powicanie wasnego ycia subie i przedkadanie interesu publicznego nad wasny jest czym,
co zasuguje na szacunek. Cho czasami bywaem dla was arogancki, chciabym, abycie wiedzieli, e kocham ten kraj i zrobi wszystko, co w mojej
mocy, aby uczyni go najbezpieczniejszym miejscem na ziemi. Dlatego wanie napisaem t ksik.
Od Billa Simona
Wydaje mi si, e dla kadego istnieje gdzie ta jedyna osoba. Problem
w tym, e nie kady ma na tyle szczcia, aby j odnale. Niektrzy maj.
372
SPIS TRECI
Sowo wstpne
Przedmowa
Wprowadzenie
11
I. Za kulisami
13
14
25
26
42
Budowanie zaufania
52
Moe pomc?
67
Potrzebuj pomocy
90
106
119
Odwrotnie ni w dle
148
163
Na terenie firmy
164
Socjotechnika i technologia
190
Atak w d hierarchii
213
Wyrafinowane intrygi
229
Szpiegostwo przemysowe
246
265
266
282
Dodatki
358
Bezpieczestwo w piguce
359
rda
367
Podzikowania
368