KEVIN MITNICK Sztuka podst�pu prze�o�y� Jaros�aw Dobrza�ski Rok wydania oryginalnego 2002 Rok wydania polskiego 2003 Dla Reby Vartanian, Shelly Jaffe, Chickie Laventhal i Mitchella Mitnicka oraz pami�ci Alana Mitnicka, Adama Mitnicka i Jacka Bello. Dla Arynne, Victorii, Davida, Shelldona, Vincenta i Eleny. Socjotechnika Socjotechnika to wywieranie wp�ywu na ludzi i stosowanie perswazji w celu oszukania ich tak, aby uwierzyli, �e socjotechnik jest osob� o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji, to�samo�ci. Dzi�ki temu socjotechnik jest w stanie wykorzysta� swoich rozm�wc�w, przy dodatkowym (lub nie) u�yciu �rodk�w technologicznych, do zdobycia poszukiwanych informacji. 4 S�owo wst�pne Wszyscy ludzie rodz� si� z wewn�trzn� potrzeb� poznawania natury swojego otoczenia. W czasach m�odo�ci zar�wno Kevin Mitnick, jak i ja byli�my niesamowicie ciekawi �wiata i pragn�li�my dowie�� swojej w�asnej warto�ci. W dzieci�stwie cz�sto nagradzano nas za nauczenie si� nowej rzeczy, rozwi�zanie zagadki lub wygranie gry. Jednak w tym samym czasie �wiat narzucaj�c nam swoje regu�y zachowania, kr�powa� nasz� wewn�trzn� potrzeb� poznawania. Zar�wno dla wybitnych naukowc�w, technicznych wizjoner�w, jak i dla ludzi pokroju Kevina Mitnicka pod��anie za t� potrzeb� powodowa�o najwi�kszy mo�liwy dreszcz emocji, pozwalaj�c na robienie rzeczy, kt�re innym wydaj� si� niemo�liwe. Kevin Mitnick jest jednym z najwspanialszych ludzi, jakich znam. Zapytajcie go, a szczerze odpowie Wam, �e metoda, kt�rej u�ywa�, socjotechnika, polega na oszukiwaniu ludzi. Kevin jednak nie jest ju� socjotechnikiem, a nawet w czasie, kiedy tym zaj�ciem si� para�, motywami jego dzia�ania nigdy nie by�a ch�� wzbogacenia si� lub wyrz�dzenia krzywdy drugiemu cz�owiekowi. Nie oznacza to jednak, �e nie istniej� gro�ni i niebezpieczni przest�pcy, kt�rzy stosuj� socjotechnik�, aby wyrz�dzi� rzeczywiste szkody. To w�a�nie przed nimi Kevin chce Was ostrzec w tej ksi��ce. Sztuka podst�pu u�wiadamia, jak bardzo rz�dy pa�stw, firmy i ka�dy z nas s� nieodporne na atak socjotechnika. W obecnych czasach, kiedy tak du�o uwagi po�wi�ca si� bezpiecze�stwu, wydaje ogromne kwoty na ochron� sieci komputerowych i danych, powinni�my zda� sobie spraw� z tego, jak �atwo mo�na oszuka� ludzi �z wewn�trz� i obej�� wszelkie mo�liwe zabezpieczenia technologiczne. Ksi��ka w�a�nie to opisuje. Je�eli pracujemy w firmie lub instytucji rz�dowej, pozycja ta jest nieocenionym drogowskazem, umo�liwiaj�cym zrozumienie, w jaki spos�b dzia�aj� socjotechnicy i co mo�emy zrobi�, aby pokrzy�owa� ich plany. Korzystaj�c z fabularyzowanych historii, kt�rych czytanie nie tylko otwiera oczy, ale jest te� dobr� rozrywk�, Kevin, wraz ze wsp�autorem, Billem Simonem, opisuje techniki stosowane przez oszust�w. Po ka�dej z historii otrzymujemy wskaz�wki pomagaj�ce uchroni� si� przed przedstawionymi sytuacjami. W zabezpieczeniach zapewnianych przez technologi� istnieje spora luka, w kt�rej uszczelnieniu mog� pom�c ludzie tacy jak Kevin. Po przeczytaniu tej ksi��ki na pewno zdacie sobie spraw�, jak bardzo potrzebujecie tej pomocy. Steve Wozniak 6 Przedmowa S� na �wiecie hakerzy, kt�rzy niszcz� cudze pliki lub ca�e dyski twarde � nazywa si� ich crakerami lub po prostu wandalami. S� r�wnie� niedo�wiadczeni hakerzy, kt�rzy zamiast uczy� si� technologii, znajduj� w sieci odpowiednie narz�dzia hakerskie, za pomoc� kt�rych w�amuj� si� do system�w komputerowych. M�wi si� o nich script kiddies. Bardziej do�wiadczeni hakerzy sami tworz� programy hakerskie, kt�re potem umieszczaj� w sieci lub na listach dyskusyjnych. Istniej� te� takie osoby, kt�rych w og�le nie obchodzi technologia, a komputera u�ywaj� jedynie jako narz�dzia pomagaj�cego im kra�� pieni�dze, towary i korzysta� za darmo z us�ug. Wbrew mitowi o Kevinie Mitnicku, jaki stworzy�y media, nigdy jako haker nie mia�em z�ych zamiar�w. Wyprzedzam jednak fakty. Pocz�tki �cie�ka, na kt�r� wst�pi�em, mia�a zapewne sw�j pocz�tek w dzieci�stwie. By�em beztroskim, ale znudzonym dzieckiem. Mama, po rozstaniu z ojcem (mia�em wtedy 3 lata), pracowa�a jako kelnerka, by nas utrzyma�. Mo�na sobie wyobrazi� jedynaka wychowywanego przez wiecznie zabiegan� matk� � ch�opaka samotnie sp�dzaj�cego ca�e dnie. By�em swoj� w�asn� niani�. Dorastaj�c w San Fernando Valley, mia�em ca�� m�odo�� na zwiedzanie Los Angeles. W wieku 12 lat znalaz�em spos�b na darmowe podr�owanie po ca�ym okr�gu Los Angeles. Kt�rego� dnia, jad�c autobusem, odkry�em, �e uk�ad 7 otwor�w na bilecie tworzony przez kierowc� podczas kasowania oznacza dzie�, godzin� i tras� przejazdu autobusu. Przyja�nie nastawiony kierowca odpowiedzia� na wszystkie moje dok�adnie przemy�lane pytania, ��cznie z tym, gdzie mo�na kupi� kasownik, kt�rego u�ywa. Bilety te pozwala�y na przesiadki i kontynuowanie podr�y. Wymy�li�em wtedy, jak ich u�ywa�, aby je�dzi� wsz�dzie za darmo. Zdobycie nieskasowanych bilet�w to by�a pestka: kosze na �mieci w zajezdniach autobusowych pe�ne by�y nie do ko�ca zu�ytych bloczk�w biletowych, kt�rych kierowcy pozbywali si� na koniec zmiany. Maj�c nieskasowane bilety i kasownik, mog�em sam je oznacza� w taki spos�b, aby dosta� si� w dowolne miejsce w Los Angeles. Wkr�tce zna�em wszystkie uk�ady tras autobus�w na pami��. To wczesny przyk�ad mojej zadziwiaj�cej zdolno�ci do zapami�tywania pewnego rodzaju informacji. Do dzisiaj pami�tam numery telefon�w, has�a i tym podobne szczeg�y � nawet te zapami�tane w dzieci�stwie. Innym moim zainteresowaniem, jakie ujawni�o si� do�� wcze�nie, by�a fascynacja sztuczkami magicznymi. Po odkryciu, na czym polega jaka� sztuczka, �wiczy�em tak d�ugo, a� j� opanowa�em. W pewnym sensie to dzi�ki magii odkry�em rado��, jak� mo�na czerpa� z wprowadzania ludzi w b��d. Od phreakera do hakera Moje pierwsze spotkanie z czym�, co p�niej nauczy�em si� okre�la� mianem socjotechniki, mia�o miejsce w szkole �redniej. Pozna�em wtedy koleg�, kt�rego poch�ania�o hobby zwane phreakingiem. Polega�o ono na w�amywaniu si� do sieci telefonicznych, przy wykorzystaniu do tego celu pracownik�w s�u�b telefonicznych oraz wiedzy o dzia�aniu sieci. Pokaza� mi sztuczki, jakie mo�na robi� za pomoc� telefonu: zdobywanie ka�dej informacji o dowolnym abonencie sieci czy korzystanie z tajnego numeru testowego do d�ugich darmowych rozm�w zamiejscowych (potem okaza�o si�, �e numer wcale nie by� testowy � rozmowami, kt�re wykonywali�my, obci��any by� rachunek jakiej� firmy). Takie by�y moje pocz�tki w dziedzinie socjotechniki � swojego rodzaju przedszkole. Ten kolega i jeszcze jeden phreaker, kt�rego wkr�tce pozna�em, pozwolili mi pos�ucha� rozm�w telefonicznych, jakie przeprowadzali z pracownikami firm telekomunikacyjnych. Wszystkie rzeczy, kt�re m�wili, brzmia�y bardzo wiarygodnie. Dowiedzia�em si� o sposobie dzia�ania r�nych firm z tej bran�y, nauczy�em si� �argonu i procedur, stosowanych 8 przez ich pracownik�w. �Trening� nie trwa� d�ugo � nie potrzebowa�em go. Wkr�tce sam robi�em wszystkie te rzeczy lepiej ni� moi nauczyciele, pog��biaj�c wiedz� w praktyce. W ten spos�b wyznaczona zosta�a droga mojego �ycia na najbli�sze 15 lat. Jeden z moich ulubionych kawa��w polega� na uzyskaniu dost�pu do centrali telefonicznej i zmianie rodzaju us�ugi przypisanej do numeru telefonu znajomego phreakera. Kiedy ten pr�bowa� zadzwoni� z domu, s�ysza� w s�uchawce pro�b� o wrzucenie monety, poniewa� centrala odbiera�a informacj�, �e dzwoni on z automatu. Absorbowa�o mnie wszystko, co dotyczy�o telefon�w. Nie tylko elektronika, centrale i komputery, ale r�wnie� organizacja, procedury i terminologia. Po jakim� czasie wiedzia�em o sieci telefonicznej chyba wi�cej ni� jakikolwiek jej pracownik. Rozwin��em r�wnie� swoje umiej�tno�ci w dziedzinie socjotechniki do tego stopnia, �e w wieku 17 lat by�em w stanie wm�wi� prawie wszystko wi�kszo�ci pracownikom firm telekomunikacyjnych, czy to przez telefon, czy rozmawiaj�c osobi�cie. Moja znana og�owi kariera hakera rozpocz�a si� w�a�ciwie w szkole �redniej. Nie mog� tu opisywa� szczeg��w, wystarczy, �e powiem, i� g��wnym motywem moich pierwszych w�ama� by�a ch�� bycia zaakceptowanym przez grup� podobnych mi os�b. Wtedy okre�lenia haker u�ywali�my w stosunku do kogo�, kto sp�dza� du�o czasu na eksperymentowaniu z komputerami i oprogramowaniem, opracowuj�c bardziej efektywne programy lub znajduj�c lepsze sposoby rozwi�zywania jakich� problem�w. Okre�lenie to dzisiaj nabra�o pejoratywnego charakteru i kojarzy si� z �gro�nym przest�pc��. Ja u�ywam go tu jednak w takim znaczeniu, w jakim u�ywa�em go zawsze � czyli tym wcze�niejszym, �agodniejszym. Po uko�czeniu szko�y �redniej studiowa�em informatyk� w Computer Learning Center w Los Angeles. Po paru miesi�cach szkolny administrator komputer�w odkry�, �e znalaz�em luk� w systemie operacyjnym i uzyska�em pe�ne przywileje administracyjne w systemie. Najlepsi eksperci spo�r�d wyk�adowc�w nie potrafili doj�� do tego, w jaki spos�b to zrobi�em. Nast�pi� w�wczas by� mo�e jeden z pierwszych przypadk�w �zatrudnienia� hakera � dosta�em propozycj� nie do odrzucenia: albo w ramach pracy zaliczeniowej poprawi� bezpiecze�stwo szkolnego systemu komputerowego, albo zostan� zawieszony za w�amanie si� do systemu. Oczywi�cie wybra�em to pierwsze i dzi�ki temu mog�em uko�czy� szko�� z wyr�nieniem. 9 Socjotechnik Niekt�rzy ludzie wstaj� rano z ��ka, by odb�bnia� powtarzalne czynno�ci w przys�owiowym kieracie. Ja mia�em to szcz�cie, �e zawsze lubi�em swoj� prac�. Najwi�cej wyzwa�, sukces�w i zadowolenia przynios�a mi praca prywatnego detektywa. Szlifowa�em tam swoje umiej�tno�ci w sztuce zwanej socjotechnik� � sk�anianiem ludzi do tego, by robili rzeczy, kt�rych zwykle nie robi si� dla nieznajomych. Za to mi p�acono. Stanie si� bieg�ym w tej bran�y nie by�o dla mnie trudne. Rodzina ze strony mojego ojca od pokole� zajmowa�a si� handlem � mo�e wi�c umiej�tno�� perswazji i wp�ywania na innych jest cech� dziedziczn�. Po��czenie potrzeby manipulowania lud�mi z umiej�tno�ci� i talentem w dziedzinie perswazji i wp�ywu na innych to cechy idealnego socjotechnika. Mo�na powiedzie�, �e istniej� dwie specjalizacje w zawodzie artysty-manipulatora. Kto�, kto wy�udza od ludzi pieni�dze, to pospolity oszust. Z kolei kto�, kto stosuje manipulacj� i perswazj� wobec firm, zwykle w celu uzyskania informacji, to socjotechnik. Od czasu mojej pierwszej sztuczki z biletami autobusowymi, kiedy by�em jeszcze zbyt m�ody, aby uzna�, �e robi� co� z�ego, zacz��em rozpoznawa� w sobie talent do dowiadywania si� o rzeczach, o kt�rych nie powinienem wiedzie�. Rozwija�em ten talent, u�ywaj�c oszustw, pos�uguj�c si� �argonem i rozwini�t� umiej�tno�ci� manipulacji. Jednym ze sposob�w, w jaki pracowa�em nad rozwijaniem umiej�tno�ci w moim rzemio�le (je�eli mo�na to nazwa� rzemios�em), by�o pr�bowanie uzyskania jakiej� informacji, na kt�rej nawet mi nie zale�a�o. Chodzi�o o to, czy jestem w stanie sk�oni� osob� po drugiej stronie s�uchawki do tego, by mi jej udzieli�a � ot tak, w ramach �wiczenia. W ten sam spos�b, w jaki kiedy� �wiczy�em sztuczki magiczne, �wiczy�em teraz sztuk� motywowania. Dzi�ki temu wkr�tce odkry�em, �e jestem w stanie uzyska� praktycznie ka�d� informacj�, jakiej potrzebuj�. Wiele lat p�niej, zeznaj�c w Kongresie przed senatorami, Liebermanem i Thompsonem, powiedzia�em: Uda�o mi si� uzyska� nieautoryzowany dost�p do system�w komputerowych paru najwi�kszych korporacji na tej planecie, spenetrowa� najlepiej zabezpieczone z istniej�cych system�w komputerowych. U�ywa�em narz�dzi technologicznych i nie zwi�zanych z technologi�, aby uzyska� dost�p do kodu �r�d�owego r�nych system�w operacyjnych, urz�dze� telekomunikacyjnych i poznawa� ich dzia�anie oraz s�abe strony. Tak naprawd�, zaspakaja�em jedynie moj� w�asn� ciekawo��, przekonywa�em si� o mo�liwo�ciach i wyszukiwa�em tajne informacje o systemach operacyjnych, telefonach kom�rkowych i wszystkim innym, co budzi�o moje zainteresowanie. Podsumowanie Po aresztowaniu przyzna�em, �e to, co robi�em, by�o niezgodne z prawem i �e dopu�ci�em si� naruszenia prywatno�ci. Moje uczynki by�y powodowane ciekawo�ci� � pragn��em wiedzie� wszystko, co si� da�o o tym, jak dzia�aj� sieci telefoniczne oraz podsystemy wej�cia-wyj�cia komputerowych system�w bezpiecze�stwa. Z dziecka zafascynowanego sztuczkami magicznymi sta�em si� najgro�niejszym hakerem �wiata, kt�rego obawia si� rz�d i korporacje. Wracaj�c pami�ci� do ostatnich trzydziestu lat mojego �ycia, musz� przyzna�, �e dokona�em paru bardzo z�ych wybor�w, sterowany ciekawo�ci�, pragnieniem zdobywania wiedzy o technologiach i dostarczania sobie intelektualnych wyzwa�. Zmieni�em si�. Dzisiaj wykorzystuj� m�j talent i wiedz� o bezpiecze�stwie informacji i socjotechnice, jak� uda�o mi si� zdoby�, aby pomaga� rz�dowi, firmom i osobom prywatnym w wykrywaniu, zapobieganiu i reagowaniu na zagro�enia bezpiecze�stwa informacji. Ksi��ka ta to jeszcze jeden spos�b wykorzystania mojego do�wiadczenia w pomaganiu innym w radzeniu sobie ze z�odziejami informacji. Mam nadziej�, �e opisane tu przypadki b�d� zajmuj�ce, otwieraj�ce oczy i maj�ce jednocze�nie warto�� edukacyjn�. 11 Wprowadzenie Ksi��ka ta zawiera bogaty zbi�r informacji dotycz�cych bezpiecze�stwa danych i socjotechniki. Oto kr�tki opis uk�adu ksi��ki, u�atwiaj�cy korzystanie z niej: W cz�ci pierwszej odkrywam pi�t� achillesow� system�w bezpiecze�stwa i pokazuj�, dlaczego my i nasza firma jeste�my nara�eni na ataki socjotechnik�w. Cz�� druga opisuje, w jaki spos�b socjotechnicy wykorzystuj� nasze zaufanie, ch�� pomocy, wsp�czucie oraz naiwno��, aby dosta� to, czego chc�. Fikcyjne historie demonstruj�ce typowe ataki uka�� socjotechnika przywdziewaj�cego coraz to nowe maski. Je�eli wydaje si� nam, �e nigdy nie spotkali�my socjotechnika, prawdopodobnie jeste�my w b��dzie. Niejedna z tych historii mo�e nieoczekiwanie wyda� si� nam znajoma. Jednak po przeczytaniu rozdzia��w od 2. do 9. powinni�my dysponowa� ju� wiedz�, kt�ra pozwoli nam uchroni� si� przed kolejnym atakiem. W cz�ci trzeciej gra z socjotechnikiem toczy si� o wi�ksz� stawk�. Wymy�lone historie pokazuj�, w jaki spos�b mo�e on dosta� si� na teren firmy, ukra�� tajemnic�, co mo�e zrujnowa� nasze przedsi�biorstwo, lub unicestwi� nasz najnowocze�niejszy technologicznie system bezpiecze�stwa. Scenariusze przedstawione w tej cz�ci u�wiadamiaj� nam zagro�enia, poczynaj�c od zwyk�ej zemsty pracownika, na cyberterroryzmie ko�cz�c. Je�eli wa�ne jest dla nas bezpiecze�stwo kluczowych informacji, kt�re stanowi� o status quo naszej firmy, powinni�my przeczyta� rozdzia�y od 10. do 14. w ca�o�ci. Nale�y pami�ta�, �e o ile nie jest napisane inaczej, historie przedstawione w tej ksi��ce s� czyst� fikcj�. W cz�ci czwartej opisane zosta�y sposoby zapobiegania atakom socjotechnicznym w organizacji. Rozdzia� 15. przedstawia zarys skutecznego szkolenia dotycz�cego bezpiecze�stwa, a w rozdziale 16. znajdziemy przyk�ad �gotowca�, czyli kompletny dokument opisuj�cy polityk� bezpiecze�stwa firmy, kt�ry mo�emy przystosowa� do potrzeb naszej firmy i od razu wprowadzi� w �ycie, aby zabezpieczy� nasze zasoby informacyjne. Na ko�cu znajduje si� cz�� zatytu�owana �Bezpiecze�stwo w pigu�ce�, kt�ra podsumowuje kluczowe informacje w formie list i tabel. Mog� one stanowi� ��ci�g� dla naszych pracownik�w, pomagaj�c� unikn�� atak�w socjotechnicznych. Zawarte tam informacje pomog� r�wnie� podczas tworzenia programu szkolenia dotycz�cego bezpiecze�stwa firmy. W ksi��ce znajdziemy r�wnie� uwagi dotycz�ce �argonu, zawieraj�ce definicje termin�w u�ywanych przez haker�w i socjotechnik�w, a tak�e dodatkowe uwagi Kevina Mitnicka zawieraj�ce podsumowanie fragmentu tekstu � �z�ote my�li�, kt�re pomagaj� w formu�owaniu strategii bezpiecze�stwa. Pozosta�e uwagi i ramki zawieraj� interesuj�ce informacje dodatkowe lub prezentuj� okoliczno�ci danej sprawy. I Za kulisami Pi�ta achillesowa system�w bezpiecze�stwa 14 1 Pi�ta achillesowa system�w bezpiecze�stwa Firma mo�e dokona� zakupu najlepszych i najdro�szych technologii bezpiecze�stwa, wyszkoli� personel tak, aby ka�da poufna informacja by�a trzymana w zamkni�ciu, wynaj�� najlepsz� firm� chroni�c� obiekty i wci�� pozosta� niezabezpieczon�. Osoby prywatne mog� niewolniczo trzyma� si� wszystkich najlepszych zasad zalecanych przez ekspert�w, zainstalowa� wszystkie najnowsze produkty poprawiaj�ce bezpiecze�stwo i skonfigurowa� odpowiednio system, uruchamiaj�c wszelkie jego usprawnienia i wci�� pozostawa� niezabezpieczonymi. 15 Czynnik ludzki Zeznaj�c nie tak dawno temu przed Kongresem, wyja�ni�em, �e cz�sto uzyskiwa�em has�a i inne poufne informacje od firm, podaj�c si� za kogo� innego i po prostu o nie prosz�c. T�sknota za poczuciem absolutnego bezpiecze�stwa jest naturalna, ale prowadzi wielu ludzi do fa�szywego poczucia braku zagro�enia. We�my za przyk�ad cz�owieka odpowiedzialnego i kochaj�cego, kt�ry zainstalowa� w drzwiach wej�ciowych Medico (zamek b�bnowy s�yn�cy z tego, �e nie mo�na go otworzy� wytrychem), aby ochroni� swoj� �on�, dzieci i sw�j dom. Po za�o�eniu zamka poczu� si� lepiej, poniewa� jego rodzina sta�a si� bardziej bezpieczna. Ale co b�dzie, je�eli napastnik wybije szyb� w oknie lub z�amie kod otwieraj�cy bram� gara�u? Niezale�nie od kosztownych zamk�w, domownicy wci�� nie s� bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system ochrony? Ju� lepiej, ale wci�� nie b�dzie gwarancji bezpiecze�stwa. Dlaczego? Poniewa� to czynnik ludzki jest pi�t� achillesow� system�w bezpiecze�stwa. Bezpiecze�stwo staje si� zbyt cz�sto iluzj�. Je�eli do tego dodamy �atwowierno��, naiwno�� i ignorancj�, sytuacja dodatkowo si� pogarsza. Najbardziej powa�any naukowiec XX wieku, Albert Einstein, podobno powiedzia�: �Tylko dwie rzeczy s� niesko�czone: wszech�wiat i ludzka g�upota, chocia� co do pierwszego nie mam pewno�ci�. W rezultacie atak socjotechnika udaje si�, bo ludzie bywaj� g�upi. Cz�ciej jednak ataki takie s� skuteczne, poniewa� ludzie nie rozumiej� sprawdzonych zasad bezpiecze�stwa. Maj�c podobne podej�cie jak u�wiadomiony w sprawach bezpiecze�stwa pan domu, wielu zawodowc�w z bran�y IT ma b��dne mniemanie, �e w du�ym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produkt�w typu firewall, system�w detekcji intruz�w i zaawansowanych rozwi�za� uwierzytelniaj�cych, takich jak kody zale�ne od czasu lub karty biometryczne. Ka�dy, kto uwa�a, �e same produkty zabezpieczaj�ce zapewniaj� realne bezpiecze�stwo, tworzy jego iluzj�. To klasyczny przypadek �ycia w �wiecie fantazji: osoby takie mog� pr�dzej czy p�niej sta� si� ofiarami ataku. Jak ujmuje to znany konsultant ds. bezpiecze�stwa, Bruce Schneider: �Bezpiecze�stwo to nie produkt � to proces�. Rozwi�my t� my�l: bezpiecze�stwo nie jest problemem technologicznym, tylko problemem zwi�zanym z lud�mi i zarz�dzaniem. 16 W miar� wymy�lania coraz to nowych technologii zabezpieczaj�cych, utrudniaj�cych znalezienie technicznych luk w systemie, napastnicy b�d� zwraca� si� w stron� ludzkich s�abo�ci. Z�amanie �ludzkiej� bariery jest o wiele prostsze i cz�sto wymaga jedynie inwestycji rz�du kosztu rozmowy telefonicznej, nie m�wi�c ju� o mniejszym ryzyku. Klasyczny przypadek oszustwa Kto stanowi najwi�ksze zagro�enie bezpiecze�stwa kapita�u firmy? Odpowied� jest prosta: socjotechnik � pozbawiony skrupu��w magik, kt�ry, gdy patrzysz na jego lew� r�k�, praw� kradnie Twoje tajemnice. Do tego cz�sto bywa tak mi�y, elokwentny i uprzejmy, i� naprawd� cieszysz si�, �e go spotka�e�. Sp�jrzmy na przyk�ad zastosowania socjotechniki. Niewielu dzi� pami�ta jeszcze m�odego cz�owieka, kt�ry nazywa� si� Stanley Mark Rifkin, i jego przygod� z nieistniej�cym ju� Security Pacific National Bank w Los Angeles. Sprawozdania z jego eskapady r�ni� si� mi�dzy sob�, a sam Rifkin (podobnie jak ja) nigdy nie opowiedzia� swojej wersji tej historii, dlatego zawarty tu opis opiera si� na opublikowanych informacjach. �amanie kodu Kt�rego� dnia roku 1978 Rifkinowi uda�o si� dosta� do przeznaczonego tylko dla personelu pokoju kontrolnego przelew�w elektronicznych banku Security Pacific, z kt�rego pracownicy wysy�ali i odbierali przelewy na ��czn� sum� miliarda dolar�w dziennie. Pracowa� wtedy dla firmy, kt�ra podpisa�a z bankiem kontrakt na stworzenie systemu kopii zapasowych w pokoju przelew�w na wypadek awarii g��wnego komputera. To umo�liwi�o mu dost�p do procedur transferowych, ��cznie z tymi, kt�re okre�la�y, w jaki spos�b by�y one zlecane przez pracownik�w banku. Dowiedzia� si�, �e osoby upowa�nione do zlecania przelew�w otrzymywa�y ka�dego ranka pilnie strze�ony kod u�ywany podczas dzwonienia do pokoju przelew�w. Urz�dnikom z pokoju przelew�w nie chcia�o si� zapami�tywa� codziennych kod�w, zapisywali wi�c obowi�zuj�cy kod na kartce papieru i umiesz- 17 czali j� w widocznym dla nich miejscu. Tego listopadowego dnia Rifkin mia� szczeg�lny pow�d do odwiedzin pomieszczenia. Chcia� rzuci� okiem na t� kartk�. Po pojawieniu si� w pokoju zwr�ci� uwag� na procedury operacyjne, prawdopodobnie w celu upewnienia si�, �e system kopii zapasowych b�dzie poprawnie wsp�pracowa� z podstawowym systemem, jednocze�nie ukradkiem odczytuj�c kod bezpiecze�stwa z kartki papieru i zapami�tuj�c go. Po kilku minutach wyszed�. Jak p�niej powiedzia�, czu� si�, jakby w�a�nie wygra� na loterii. By�o sobie konto w szwajcarskim banku Po wyj�ciu z pokoju, oko�o godziny 15:00, uda� si� prosto do automatu telefonicznego w marmurowym holu budynku, wrzuci� monet� i wykr�ci� numer pokoju przelew�w. Ze Stanleya Rifkina, wsp�pracownika banku, zmieni� si� w Mike�a Hansena � pracownika Wydzia�u Mi�dzynarodowego banku. Wed�ug jednego ze �r�de� rozmowa przebiega�a nast�puj�co: � Dzie� dobry, m�wi Mike Hansen z mi�dzynarodowego � powiedzia� do m�odej pracownicy, kt�ra odebra�a telefon. Dziewczyna zapyta�a o numer jego biura. By�a to standardowa procedura, na kt�r� by� przygotowany. � 286 � odrzek�. � Prosz� poda� kod � powiedzia�a w�wczas pracownica. Rifkin stwierdzi� p�niej, �e w tym momencie uda�o mu si� opanowa� �omot nap�dzanego adrenalin� serca. � 4789 � odpowiedzia� p�ynnie. Potem zacz�� podawa� szczeg�y przelewu: dziesi�� milion�w dwie�cie tysi�cy dolar�w z Irving Trust Company w Nowym Jorku do Wozchod Handels Bank of Zurich w Szwajcarii, gdzie wcze�niej za�o�y� konto. � Przyj�am. Teraz prosz� poda� kod mi�dzybiurowy. Rifkin obla� si� potem. By�o to pytanie, kt�rego nie przewidzia�, co�, co umkn�o mu w trakcie poszukiwa�. Zachowa� jednak spok�j, udaj�c, �e nic si� nie sta�o, i odpowiedzia� na poczekaniu, nie robi�c nawet najmniejszej pauzy: �Musz� sprawdzi�. Zadzwoni� za chwil�. Od razu zadzwoni� do innego wydzia�u banku, tym razem podaj�c si� za pracownika pokoju przele- 18 w�w. Otrzyma� kod mi�dzybiurowy i zadzwoni� z powrotem do dziewczyny w pokoju przelew�w. Zapyta�a o kod i powiedzia�a: �Dzi�kuj� (bior�c pod uwag� okoliczno�ci, jej podzi�kowanie mo�na by odebra� jako ironi�). Doko�czenie zadania Kilka dni p�niej Rifkin polecia� do Szwajcarii, pobra� got�wk� i wy�o�y� ponad 8 milion�w dolar�w na diamenty z rosyjskiej agencji. Potem wr�ci� do Stan�w, trzymaj�c w czasie kontroli celnej diamenty w pasku na pieni�dze. Przeprowadzi� najwi�kszy skok na bank w historii, nie u�ywaj�c ani pistoletu, ani komputera. Jego przypadek w ko�cu dosta� si� do Ksi�gi Rekord�w Guinessa w kategorii �najwi�ksze oszustwo komputerowe�. Stanley Rifkin u�y� sztuki manipulacji � umiej�tno�ci i technik, kt�re dzi� nazywa si� socjotechnik�. Wymaga�o to tylko dok�adnego planu i daru wymowy. O tym w�a�nie jest ta ksi��ka � o metodach socjotechnicznych (w kt�rych sam jestem bieg�y) i o sposobach, jakimi jednostki i organizacje mog� si� przed nimi broni�. Natura zagro�enia Historia Rifkina jest dowodem na to, jak z�udne mo�e by� nasze poczucie bezpiecze�stwa. Podobne incydenty � mo�e nie dotycz�ce 10 milion�w dolar�w, niemniej jednak szkodliwe � zdarzaj� si� codziennie. By� mo�e w tym momencie tracisz swoje pieni�dze lub kto� kradnie Twoje plany nowego produktu i nawet o tym nie wiesz. Je�eli co� takiego nie wydarzy�o si� jeszcze w Twojej firmie, pytanie nie brzmi, czy si� wydarzy, ale kiedy. Rosn�ca obawa Instytut Bezpiecze�stwa Komputerowego w swoich badaniach z 2001 roku, dotycz�cych przest�pstw komputerowych, stwierdzi�, �e w ci�gu roku 19 85% ankietowanych organizacji odnotowa�o naruszenie system�w bezpiecze�stwa komputerowego. Jest to zdumiewaj�cy odsetek: tylko pi�tna�cie z ka�dych stu firm mog�o powiedzie�, �e nie mia�o z tym k�opot�w. R�wnie szokuj�ca jest ilo�� organizacji, kt�ra zg�osi�a doznanie strat z powodu w�ama� komputerowych � 64%. Ponad po�owa badanych firm ponios�a straty finansowe w ci�gu jednego roku. Moje w�asne do�wiadczenia ka�� mi s�dzi�, �e liczby w tego typu raportach s� przesadzone. Mam podejrzenia co do trybu przeprowadzania bada�, nie �wiadczy to jednak o tym, �e straty nie s� w rzeczywisto�ci wielkie. Nie przewiduj�c tego typu sytuacji, skazujemy si� z g�ry na przegran�. Dost�pne na rynku i stosowane w wi�kszo�ci firm produkty poprawiaj�ce bezpiecze�stwo s�u�� g��wnie do ochrony przed atakami ze strony amator�w, np. dzieciak�w zwanych script kiddies, kt�re wcielaj� si� w haker�w, u�ywaj�c program�w dost�pnych w sieci, i w wi�kszo�ci s� jedynie utrapieniem. Najwi�ksze straty i realne zagro�enie p�ynie ze strony bardziej wyrafinowanych haker�w, kt�rzy maj� jasno okre�lone zadania, dzia�aj� z ch�ci zysku i koncentruj� si� podczas danego ataku na wybranym celu, zamiast infiltrowa� tyle system�w, ile si� da, jak to zwykle robi� amatorzy. Przeci�tni w�amywacze zwykle s� nastawieni na ilo��, podczas gdy profesjonali�ci s� zorientowani na informacje istotne i warto�ciowe. Technologie takie jak uwierzytelnianie (sprawdzanie to�samo�ci), kontrola dost�pu (zarz�dzanie dost�pem do plik�w i zasob�w systemowych) i systemy detekcji intruz�w (elektroniczny odpowiednik alarm�w przeciww�amaniowych) s� nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dzi� jednak wi�cej na kaw� ni� na �rodki zabezpieczaj�ce przed atakami na systemy bezpiecze�stwa. Podobnie jak umys� kleptomana nie mo�e oprze� si� pokusie, tak umys� hakera jest ow�adni�ty ��dz� obej�cia system�w zabezpieczaj�cych. Hakerzy potwierdzaj� w ten spos�b sw�j intelektualny kapita�. Metody oszustwa Popularne jest powiedzenie, �e bezpieczny komputer to wy��czony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogo� do p�j�cia do biura i w��czenia komputera. Przeciwnik, kt�ry potrzebuje informacji, zwykle mo�e j� uzyska� na par� r�nych sposob�w. Jest to tylko kwestia 20 czasu, cierpliwo�ci, osobowo�ci i uporu. W takiej chwili przydaje si� znajomo�� sztuki manipulacji. Aby pokona� zabezpieczenia, napastnik, intruz lub socjotechnik musi znale�� spos�b na oszukanie zaufanego pracownika w taki spos�b, aby ten wyjawi� jak�� informacj�, trik lub z pozoru nieistotn� wskaz�wk� umo�liwiaj�c� dostanie si� do systemu. Kiedy zaufanych pracownik�w mo�na oszukiwa� lub manipulowa� nimi w celu ujawnienia poufnych informacji lub kiedy ich dzia�ania powoduj� powstawanie luk w systemie bezpiecze�stwa, umo�liwiaj�cych napastnikowi przedostanie si� do systemu, w�wczas nie ma takiej technologii, kt�ra mog�aby ochroni� firm�. Tak jak kryptografowie s� czasami w stanie odszyfrowa� tekst zakodowanej wiadomo�ci dzi�ki odnalezieniu s�abych miejsc w kodzie, umo�liwiaj�cych obej�cie technologii szyfruj�cej, tak socjotechnicy u�ywaj� oszustwa w stosunku do pracownik�w firmy, aby obej�� technologi� zabezpieczaj�c�. Nadu�ywanie zaufania W wi�kszo�ci przypadk�w socjotechnicy maj� du�e zdolno�ci oddzia�ywania na ludzi. Potrafi� by� czaruj�cy, uprzejmi i �atwo ich polubi� � posiadaj� cechy potrzebne do tego, aby zyska� sobie zrozumienie i zaufanie innych. Do�wiadczony socjotechnik jest w stanie uzyska� dost�p do praktycznie ka�dej informacji, u�ywaj�c strategii i taktyki przynale�nych jego rzemios�u. Zmy�lni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizowa� ryzyko zwi�zane ze stosowaniem komputer�w; zapomnieli jednak o najistotniejszej kwestii � czynniku ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy najwi�kszym zagro�eniem dla swojego bezpiecze�stwa. Ameryka�ska mentalno�� Nie jeste�my w pe�ni �wiadomi zagro�e�, szczeg�lnie w �wiecie zachodnim. W USA w wi�kszo�ci przypadk�w ludzie nie s� uczeni podejrzliwo�ci wobec drugiego cz�owieka. S� przyzwyczajani do zasady �kochaj s�siada swego�, ufaj� sobie nawzajem. Organizacje ochrony s�siedzkiej maj� cz�sto problemy z nak�onieniem ludzi do zamykania dom�w i samochod�w. Te 21 �rodki ochrony wydaj� si� oczywiste, jednak wielu Amerykan�w je ignoruje, wybieraj�c �ycie w �wiecie marze� � do pierwszej nauczki. Zdajemy sobie spraw�, �e nie wszyscy ludzie s� dobrzy i uczciwi, ale zbyt cz�sto zachowujemy si�, jakby tacy w�a�nie byli. Amerykanie s� tego szczeg�lnym przypadkiem � jako nar�d stworzyli sobie koncepcj� wolno�ci polegaj�c� na tym, �e najlepsze miejsce do �ycia jest tam, gdzie niepotrzebne s� zamki ani klucze. Wi�kszo�� ludzi wychodzi z za�o�enia, �e nie zostan� oszukani przez innych, poniewa� takie przypadki zdarzaj� si� rzadko. Napastnik, zdaj�c sobie spraw� z panuj�cego przes�du, formu�uje swoje pro�by w bardzo przekonuj�cy, nie wzbudzaj�cy �adnych podejrze� spos�b, wykorzystuj�c zaufanie ofiary. Naiwno�� organizacyjna To swoiste domniemanie niewinno�ci, b�d�ce sk�adnikiem ameryka�skiej mentalno�ci, ujawni�o si� szczeg�lnie w pocz�tkach istnienia sieci komputerowych. ARPANET, przodek Internetu, zosta� stworzony do wymiany informacji pomi�dzy rz�dem a instytucjami badawczymi i naukowymi. Celem by�a dost�pno�� informacji i post�p technologiczny. Wiele instytucji naukowych tworzy�o wczesne systemy komputerowe z minimalnymi tylko zabezpieczeniami lub zupe�nie ich pozbawione. Jeden ze znanych g�osicieli wolno�ci oprogramowania, Richard Stallman, zrezygnowa� nawet z zabezpieczenia swojego konta has�em. W czasach Internetu u�ywanego jako medium handlu elektronicznego zagro�enie zwi�zane ze s�abo�ciami system�w bezpiecze�stwa drastycznie wzros�o. Zastosowanie dodatkowych technologii zabezpieczaj�cych nigdy nie rozwi��e jednak kwestii czynnika ludzkiego. Sp�jrzmy np. na dzisiejsze porty lotnicze. S� dok�adnie zabezpieczone, ale co jaki� czas s�yszymy o podr�nych, kt�rym uda�o si� przechytrzy� ochron� i przenie�� bro� przez bramki kontrolne. Jak to jest mo�liwe w czasach, kiedy nasze porty lotnicze s� praktycznie w ci�g�ym stanie alertu? Problem zwykle nie le�y w urz�dzeniach zabezpieczaj�cych, tylko w ludziach, kt�rzy je obs�uguj�. W�adze lotniska mog� wspiera� si� Gwardi� Narodow�, instalowa� detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej pomaga szkolenie pracownik�w ochrony wzmacniaj�ce skuteczno�� kontroli pasa�er�w. Ten sam problem ma rz�d oraz firmy i instytucje edukacyjne na ca�ym 22 �wiecie. Mimo wysi�k�w specjalist�w od bezpiecze�stwa informacja w ka�dym miejscu jest nara�ona na atak socjotechnika, je�eli nie zostanie wzmocniona najwi�ksza s�abo�� systemu � czynnik ludzki. Dzisiaj bardziej ni� kiedykolwiek musimy przesta� my�le� w spos�b �yczeniowy i u�wiadomi� sobie, jakie techniki s� u�ywane przez tych, kt�rzy pr�buj� zaatakowa� poufno��, integralno�� i dost�pno�� naszych system�w komputerowych i sieci. Nauczyli�my si� ju� prowadzi� samochody, stosuj�c zasad� ograniczonego zaufania. Najwy�szy czas nauczy� si� podobnego sposobu obs�ugi komputer�w. Zagro�enie naruszenia prywatno�ci, danych osobistych lub system�w informacyjnych firmy wydaje si� ma�o realne, dop�ki faktycznie co� si� nie wydarzy. Aby unikn�� takiego zderzenia z realiami, wszyscy musimy sta� si� �wiadomi, przygotowani i czujni. Musimy te� intensywnie chroni� nasze zasoby informacyjne, dane osobiste, a tak�e, w ka�dym kraju, krytyczne elementy infrastruktury i jak najszybciej zacz�� stosowa� opisane �rodki ostro�no�ci. Oszustwo narz�dziem terroryst�w Oczywi�cie oszustwo nie jest narz�dziem u�ywanym wy��cznie przez socjotechnik�w. Opisy akt�w terroru stanowi� znacz�c� cz�� doniesie� agencyjnych i przysz�o nam zda� sobie spraw� jak nigdy wcze�niej, �e �wiat nie jest bezpiecznym miejscem. Cywilizacja to w ko�cu tylko maska og�ady. Ataki na Nowy Jork i Waszyngton dokonane we wrze�niu 2001 roku wype�ni�y serca nie tylko Amerykan�w, ale wszystkich cywilizowanych ludzi naszego globu, smutkiem i strachem. Cywilizacja to delikatny organizm. Zostali�my zaalarmowani faktem, �e po ca�ym �wiecie rozsiani s� ow�adni�ci obsesj� terrory�ci, kt�rzy s� dobrze wyszkoleni i czekaj� na mo�liwo�� ponownego ataku. Zintensyfikowane ostatnio wysi�ki rz�du zwi�kszy�y poziom �wiadomo�ci dotycz�cej spraw bezpiecze�stwa. Musimy pozosta� w stanie gotowo�ci wobec wszelkich przejaw�w terroryzmu. Musimy u�wiadomi� sobie, w jaki spos�b terrory�ci tworz� swoje fa�szywe to�samo�ci, wchodz� w rol� student�w lub s�siad�w, wtapiaj� si� w t�um. Maskuj� swoje prawdziwe zamiary, knuj�c przeciwko nam intryg�, pomagaj�c sobie oszustwami podobnymi do opisanych w tej ksi��ce. Z moich informacji wynika, �e dotychczas terrory�ci nie posun�li si� jesz- 23 cze do stosowania zasad socjotechniki w celu infiltrowania korporacji, wodoci�g�w, elektrowni i innych istotnych komponent�w infrastruktury pa�stwa. W ka�dej chwili mog� jednak to zrobi� � bo jest to po prostu �atwe. Mam nadziej�, �e �wiadomo�� i polityka bezpiecze�stwa zajm� nale�ne im miejsce i zostan� docenione przez kadr� zarz�dzaj�c� firm po przeczytaniu tej ksi��ki. Wkr�tce jednak mo�e okaza� si�, �e to za ma�o. O czym jest ta ksi��ka? Bezpiecze�stwo firmy to kwestia r�wnowagi. Zbyt ma�o zabezpiecze� pozostawia firm� w zagro�eniu, a zbyt du�o przeszkadza w prowadzeniu dzia�alno�ci, powstrzymuj�c wzrost zysk�w i pomy�lny rozw�j przedsi�biorstwa. Zadanie polega na odnalezieniu r�wnowagi mi�dzy bezpiecze�stwem a produktywno�ci�. Inne ksi��ki traktuj�ce o bezpiecze�stwie firm koncentruj� si� na sprz�cie i oprogramowaniu, nie po�wi�caj�c nale�nej uwagi najpowa�niejszemu z wszystkich zagro�e� � oszustwu. Celem tej ksi��ki jest dla odmiany pomoc w zrozumieniu, w jaki spos�b ludzie w firmie mog� zosta� zmanipulowani i jakie bariery mo�na wznie��, aby temu zapobiec. Ksi��ka ta koncentruje si� g��wnie na pozatechnologicznych metodach, jakie stosuj� intruzi w celu zdobycia informacji, naruszenia integralno�ci danych, kt�re wydaj�c si� bezpiecznymi nie s� takimi w istocie, lub wr�cz niszczenia efekt�w pracy firmy. Moje zadanie jest jednak utrudnione z jednego prostego powodu: ka�dy czytelnik zosta� zmanipulowany przez najwi�kszych ekspert�w od socjotechniki � swoich rodzic�w. Znale�li oni sposoby, aby sk�oni� nas, by�my �dla naszego w�asnego dobra� robili to, co wed�ug nich jest najlepsze. Rodzice s� w stanie wszystko wyt�umaczy�, w taki sam spos�b jak socjotechnicy umiej�tnie tworz� wiarygodne historie, powody i usprawiedliwienia, aby osi�gn�� swoje cele. W wyniku takich do�wiadcze� wszyscy stali�my si� podatni na manipulacj�. Nasze �ycie sta�oby si� trudne, gdyby�my musieli zawsze sta� na stra�y, nie ufa� innym, bra� pod uwag� mo�liwo��, �e kto� nas wykorzysta. W idealnym �wiecie mo�na by bezwarunkowo ufa� innym i mie� pewno��, �e ludzie, kt�rych spotykamy, b�d� uczciwi i godni zaufania. Nie �yjemy jednak w takim �wiecie, dlatego musimy wy�wiczy� nawyk czujno�ci, aby zdemaskowa� ludzi pr�buj�cych nas oszuka�. Wi�kszo�� ksi��ki (cz�� druga i trzecia), sk�ada si� z historii przedstawiaj�cych socjotechnik�w w akcji. Opisano tam tematy takie jak: � Sprytna metoda uzyskiwania od firmy telekomunikacynej numer�w telefonu spoza listy � phreakerzy wpadli na to ju� dobre par� lat temu. � Kilka metod, jakich u�ywaj� napastnicy do przekonania nawet najbardziej podejrzliwych pracownik�w, aby podali swoje nazwy u�ytkownika i has�a. � Kradzie� najlepiej strze�onej informacji o produkcie, w kt�rej to kradzie�y dopom�g� hakerom mened�er z Centrum Operacji. � Metoda, jak� haker przekona� pewn� pani� do pobrania programu, kt�ry �ledzi wszystkie jej poczynania i wysy�a mu e-maile z informacjami. � Uzyskiwanie przez prywatnych detektyw�w informacji o firmach i osobach prywatnych. Gwarantuj� ciarki na grzbiecie podczas czytania. Po przeczytaniu niekt�rych opowie�ci z cz�ci drugiej i trzeciej mo�na doj�� do wniosku, �e to nie mog�o si� wydarzy�, �e nikomu nie uda�oby si� nic zdzia�a� za pomoc� k�amstw, sztuczek i metod tam opisanych. Historie te s� jednak potencjalnie prawdziwe � przedstawiaj� wydarzenia, kt�re mog� si� zdarzy� i zdarzaj� si�. Wiele z nich ma miejsce ka�dego dnia gdzie� na �wiecie, by� mo�e nawet w Twojej firmie, w chwili, gdy czytasz t� ksi��k�. Materia� tu przedstawiony mo�e nam r�wnie� otworzy� oczy, kiedy przyjdzie nam si� zetrze� z umiej�tno�ciami socjotechnika i chroni� przed nim nasze osobiste dobra informacyjne. W cz�ci czwartej role zostaj� odwr�cone. Staram si� pom�c w stworzeniu nieodzownej polityki bezpiecze�stwa i programu szkolenia minimalizuj�cego szans�, �e kt�ry� z naszych pracownik�w padnie ofiar� socjotechnika. Zrozumienie strategii, metod i taktyk socjotechnika pomo�e zastosowa� odpowiednie �rodki ochrony zasob�w informatycznych bez nara�ania produktywno�ci przedsi�biorstwa. Kr�tko m�wi�c, napisa�em t� ksi��k�, aby zwi�kszy� �wiadomo�� powa�nego zagro�enia, jakie reprezentuje sob� socjotechnik, i pom�c w zmniejszeniu szans wykorzystania przez niego firmy lub kt�rego� z jej pracownik�w. A mo�e powinienem powiedzie� � ponownego wykorzystania. II Sztuka ataku Kiedy nieszkodliwa informacja szkodzi? Bezpo�redni atak � wystarczy poprosi� Budowanie zaufania Mo�e pom�c? Potrzebuj� pomocy Fa�szywe witryny i niebezpieczne za��czniki Wsp�czucie, wina i zastraszenie Odwrotnie ni� w ���dle� 26 2 Kiedy nieszkodliwa informacja szkodzi? Na czym polega realne zagro�enie ze strony socjotechnika? Czego powinni�my si� strzec? Je�eli jego celem jest zdobycie czego� warto�ciowego, powiedzmy cz�ci kapita�u firmy, to by� mo�e potrzebny jest solidniejszy skarbiec i wi�ksze stra�e, czy� nie? Penetracja systemu bezpiecze�stwa firmy cz�sto zaczyna si� od zdobycia informacji lub dokumentu, kt�ry wydaje si� nie mie� znaczenia, jest powszechnie dost�pny i niezbyt wa�ny. Wi�kszo�� ludzi wewn�trz organizacji nie widzi wi�c powod�w, dla kt�rych mia�by by� chroniony lub zastrze�ony. 27 Ukryta warto�� informacji Wiele nieszkodliwie wygl�daj�cych informacji b�d�cych w posiadaniu firmy jest cennych dla socjotechnika, poniewa� mog� one odegra� podstawow� rol� podczas wcielania si� w kogo� innego. Ze stron tej ksi��ki dowiemy si�, jak dzia�aj� socjotechnicy, staj�c si� ��wiadkami� ich atak�w. Czasami przedstawienie sytuacji, w pierwszej kolejno�ci z punktu widzenia ofiary, umo�liwia wcielenie si� w jej rol� i pr�b� analizy, jak my, lub nasi pracownicy, zachowaliby�my si� w takiej sytuacji. W wielu przypadkach te same wydarzenia zostan� przedstawione r�wnie� z punktu widzenia socjotechnika. Pierwsza historia u�wiadamia nam s�abe strony firm dzia�aj�cych w bran�y finansowej. CreditChex Jak daleko si�gn�� pami�ci�, Brytyjczycy musieli zmaga� si� ze staro�wieckim systemem bankowym. Zwyk�y, uczciwy obywatel nie mo�e po prostu wej�� tam do banku i za�o�y� konta. Bank nie b�dzie traktowa� go jako klienta, dop�ki osoba ju� b�d�ca klientem nie napisze mu listu referencyjnego. W naszym, z pozoru egalitarnym �wiecie bankowo�ci, wygl�da to ju� troch� inaczej. Nowoczesny, �atwy spos�b robienia interes�w jest najbardziej widoczny w przyjaznej i demokratycznej Ameryce, gdzie ka�dy mo�e wej�� do banku i bez problemu otworzy� rachunek. Chocia� nie do ko�ca. W rzeczywisto�ci banki maj� naturalne opory przed otwieraniem rachunku komu�, kto m�g� w przesz�o�ci wystawia� czeki bez pokrycia. Klient taki jest tak samo mile widziany jak raport strat z napadu na bank czy defraudacja �rodk�w. Dlatego standardow� praktyk� w wielu bankach jest szybkie sprawdzanie wiarygodno�ci nowego klienta. Jedn� z wi�kszych firm, kt�re banki wynajmuj� do takich kontroli, jest CreditChex. �wiadczy ona cenne us�ugi dla swoich klient�w, ale jej pracownicy mog� te� nie�wiadomie pom�c socjotechnikowi. 28 Pierwsza rozmowa: Kim Andrews � National Bank, tu m�wi Kim. Czy chce pan otworzy� rachunek? � Dzie� dobry, mam pytanie do pani. Czy korzystacie z CreditChex? � Tak. � A jak si� nazywa ten numer, kt�ry trzeba poda�, jak si� dzwoni do CreditChex? Numer kupca? Pauza. Kim rozwa�a pytanie. Czego dotyczy�o i czy powinna odpowiedzie�? Rozm�wca zaczyna m�wi� dalej bez chwili zastanowienia: � Wie pani, pracuj� nad ksi��k� o prywatnych �ledztwach. � Tak � m�wi Kim, odpowiadaj�c na pytanie po znikni�ciu w�tpliwo�ci, zadowolona, �e mog�a pom�c pisarzowi. � A wi�c to si� nazywa numer kupca, tak? � Mhm. � �wietnie. Chcia�em si� po prostu upewni�, czy znam �argon. Na potrzeby ksi��ki. Dzi�kuj� za pomoc. Do widzenia. Druga rozmowa: Chris Walker � National Bank, nowe rachunki, m�wi Chris. � Dzie� dobry, tu Alex � przedstawia si� rozm�wca. � Jestem z obs�ugi klient�w CreditChex. Przeprowadzamy ankiet�, aby polepszy� jako�� naszych us�ug. Czy mo�e pani po�wi�ci� mi par� minut? Chris zgodzi�a si�. Rozm�wca kontynuowa�: � Dobrze, a wi�c jakie s� godziny otwarcia waszej filii? � Chris odpowiada na to pytanie i na szereg nast�pnych. � Ilu pracownik�w waszej filii korzysta z naszych us�ug? � Jak cz�sto dzwonicie do nas z zapytaniem? � Kt�ry z numer�w 0-800 zosta� wam podany do kontakt�w z nami? � Czy nasi przedstawiciele zawsze byli uprzejmi? � Jaki jest nasz czas odpowiedzi? � Jak d�ugo pracuje pani w banku? � Jakim numerem kupca pani si� pos�uguje? � Czy kiedykolwiek nasze informacje okaza�y si� niedok�adne? � Co zasugerowa�aby nam pani w celu poprawienia jako�ci naszych us�ug? 29 � Czy b�dzie pani sk�onna wype�nia� periodycznie kwestionariusze, kt�re prze�lemy do filii? Chris ponownie si� zgodzi�a. Przez chwil� rozmawiali niezobowi�zuj�co. Po zako�czeniu rozmowy Chris wr�ci�a do swoich zaj��. Trzecia rozmowa: Henry Mc Kinsey. � CreditChex, m�wi Henry Mc Kinsey. W czym mog� pom�c? Rozm�wca powiedzia�, �e dzwoni z National Bank. Poda� prawid�owy numer kupca, a nast�pnie nazwisko i numer ubezpieczenia osoby, o kt�rej szuka� informacji. Henry zapyta� o dat� urodzenia. Rozm�wca poda� j�. � Wells Fargo, wyst�pi�o NSF w 1998 na sum� 2066$ � po paru chwilach Henry odczytuje dane z ekranu komputera (NSF oznacza niewystarczaj�ce �rodki. W �argonie bankowym dotyczy to czek�w, kt�re zosta�y wystawione bez pokrycia). � By�y jakie� zdarzenia od tamtego czasu? � Nie by�o. � By�y jakie� inne zapytania? � Sprawd�my. Tak � trzy i wszystkie w ostatnim miesi�cu. Bank of Chicago... Przy wymawianiu kolejnej nazwy � Schenectady Mutual Investments � zaj�kn�� si� i musia� je przeliterowa�. � W stanie Nowy Jork � doda�. Prywatny detektyw na s�u�bie Wszystkie trzy rozmowy przeprowadzi�a ta sama osoba: prywatny detektyw, kt�rego nazwiemy Oscar Grace. Grace zdoby� nowego klienta. Jednego z pierwszych. Jako by�y policjant zauwa�y�, �e cz�� jego nowej pracy przychodzi mu naturalnie, a cz�� stanowi wyzwanie dla jego wiedzy i inwencji. T� robot� m�g� zakwalifikowa� jednoznacznie do kategorii wyzwa�. Twardzi detektywi z powie�ci, tacy jak Sam Spade i Philip Marlowe, przesiadywali d�ugie nocne godziny w swoich samochodach, czyhaj�c na okazj�, by przy�apa� niewiernego ma��onka. Prawdziwi detektywi robi� to samo. Poza tym zajmuj� si� rzadziej opisywanymi, ale nie mniej istotnymi forma- 30 mi w�szenia na rzecz wojuj�cych ma��onk�w. Opieraj� si� one w wi�kszym stopniu na socjotechnice ni� walce z senno�ci� w czasie nocnego czuwania. Now� klientk� Grace�a by�a kobieta, kt�rej wygl�d wskazywa�, �e nie ma problem�w z bud�etem na ubrania i bi�uteri�. Kt�rego� dnia wesz�a do biura i usiad�a na jedynym sk�rzanym fotelu wolnym od stert papier�w. Po�o�y�a swoj� du�� torebk� od Gucciego na jego biurku, kieruj�c logo w stron� Grace�a, i oznajmi�a, i� zamierza powiedzie� m�owi, �e chce rozwodu, przyznaj�c jednocze�nie, �e ma �pewien ma�y problem�. Wygl�da�o na to, �e m�ulek by� o krok do przodu. Zd��y� pobra� pieni�dze z ich rachunku oszcz�dno�ciowego i jeszcze wi�ksz� sum� z rachunku brokerskiego. Interesowa�o j�, gdzie mog�y znajdowa� si� te pieni�dze, a jej adwokat nie bardzo chcia� w tym pom�c. Grace przypuszcza�, �e by� to jeden z tych wysoko postawionych go�ci, kt�rzy nie chc� brudzi� sobie r�k m�tnymi sprawami pod tytu�em �Gdzie podzia�y si� pieni�dze?�. Zapyta�a Grace�a, czy jej pomo�e. Zapewni� j�, �e to b�dzie pestka, poda� swoj� stawk�, okre�li�, �e to ona pokryje dodatkowe wydatki, i odebra� czek z pierwsz� rat� wynagrodzenia. Potem u�wiadomi� sobie problem. Co zrobi�, kiedy nigdy nie zajmowa�o si� tak� robot� i nie ma si� poj�cia o tym, jak wy�ledzi� drog� przebyt� przez pieni�dze? Trzeba raczkowa�. Oto znana mi wersja historii Grace�a. *** Wiedzia�em o istnieniu CreditChex i o tym, jak banki korzysta�y z jego us�ug. Moja by�a �ona pracowa�a kiedy� w banku. Nie znalem jednak �argonu i procedur, a pr�ba pytania o to mojej by�ej by�aby strat� czasu. Krok pierwszy: ustali� terminologi� i zorientowa� si�, jak sformu�owa� pytanie, by brzmia�o wiarygodnie. W banku, do kt�rego zadzwoni�em, pierwsza moja rozm�wczyni, Kim, by�a podejrzliwa, kiedy zapyta�em, jak identyfikuj� si�, dzwoni�c do CreditChex. Zawaha�a si�. Nie wiedzia�a, co powiedzie�. Czy zbi�o mnie to z tropu? Ani troch�. Tak naprawd�, jej wahanie by�o dla mnie wskaz�wk�, �e musz� umotywowa� swoj� pro�b�, aby brzmia�a dla niej wiarygodnie. Opowiadaj�c historyjk� o badaniach na potrzeby ksi��ki, pozbawi�em Kim podejrze�. Wystarczy powiedzie�, �e jest si� pisarzem lub gwiazd� filmow�, a wszyscy staj� si� bardziej otwarci. Kim mia�a jeszcze wi�cej pomocnej mi wiedzy � na przyk�ad, o jakie informacje pyta CreditChex w celu identyfikacji osoby, w sprawie kt�rej dzwonimy, o co mo�na ich pyta� i najwa�niejsza rzecz: numer klienta. By�em got�w zada� te pytania, ale jej wahanie by�o dla mnie ostrze�eniem. Kupi�a hi- 31 stori� o pisarzu, ale przez chwil� trapi�y j� podejrzenia. Gdyby odpowiedzia�a od razu, poprosi�bym j� o wyjawienie dalszych szczeg��w dotycz�cych procedur. Trzeba kierowa� si� instynktem, uwa�nie s�ucha�, co m�wi� i jak m�wi�. Ta dziewczyna wydawa�a si� na tyle bystra, �e mog�a wszcz�� alarm, gdybym zacz�� zadawa� zbyt wiele dziwnych pyta�. Co prawda nie wiedzia�a, kim jestem i sk�d dzwoni�, ale samo rozej�cie si� wie�ci, �eby uwa�a� na dzwoni�cych i wypytuj�cych o informacje nie by�oby wskazane. Lepiej nie spali� �r�d�a � by� mo�e b�dziemy chcieli zadzwoni� tu jeszcze raz. Zawsze zwracam uwag� na drobiazgi, z kt�rych mog� wywnioskowa�, na ile dana osoba jest sk�onna do wsp�pracy � oceniam to w skali, kt�ra zaczyna si� od: �Wydajesz si� mi�� osob� i wierz� we wszystko, co m�wisz�, a ko�czy na: �Dzwo�cie na policj�, ten facet co� knuje!�. �argon Spalenie �r�d�a � m�wi si� o napastniku, �e spali� �r�d�o, kiedy dopu�ci do tego, �e ofiara zorientuje si�, i� zosta�a zaatakowana. W�wczas najprawdopodobniej powiadomi ona innych pracownik�w i kierownictwo o tym, �e mia� miejsce atak. W tej sytuacji kolejny atak na to samo �r�d�o staje si� niezwykle trudny. Kim by�a gdzie� w �rodku skali, dlatego zadzwoni�em jeszcze do innej filii. W czasie mojej drugiej rozmowy z Chris trik z ankiet� uda� si� doskonale. Taktyka polega�a tu na przemyceniu wa�nych pyta� w�r�d innych, b�ahych, kt�re nadaj� ca�o�ci wiarygodne wra�enie. Zanim zada�em pytanie o numer klienta CreditChex, przeprowadzi�em ostatni test, zadaj�c osobiste pytanie o to, jak d�ugo pracuje w banku. Osobiste pytanie jest jak mina � niekt�rzy ludzie przechodz� obok niej i nawet jej nie zauwa�aj�, a przy innych wybucha, wysy�aj�c sygna� ostrzegawczy. Je�eli wi�c zadam pytanie osobiste, a ona na nie odpowie i ton jej g�osu si� nie zmieni, oznacza to, �e prawdopodobnie nie zdziwi�a jej natura pytania. Mog� teraz zada� nast�pne pytanie bez wzbudzania podejrze� i raczej otrzymam odpowied�, jakiej oczekuj�. Jeszcze jedno. Dobry detektyw nigdy nie ko�czy rozmowy zaraz po uzyskaniu kluczowej informacji. Dwa, trzy dodatkowe pytania, troch� niezobowi�zuj�cej pogaw�dki i mo�na si� po�egna�. Je�eli rozm�wca zapami�ta co� z rozmowy, najprawdopodobniej b�d� to ostatnie pytania. Reszta pozostanie zwykle w pami�ci zamglona. 32 Tak wi�c Chris poda�a mi sw�j numer klienta i numer telefonu, kt�rego u�ywaj� do zapyta�. By�bym szcz�liwszy, gdyby uda�o mi si� jeszcze zada� par� pyta� dotycz�cych tego, jakie informacje mo�na wyci�gn�� od Credit- Chex. Lepiej jednak nie nadu�ywa� dobrej passy. To by�o tak, jakby CreditCheck wystawi� mi czek in blanco � mog�em teraz dzwoni� i otrzymywa� informacje, kiedy tylko chcia�em. Nie musia�em nawet p�aci� za us�ug�. Jak si� okaza�o, pracownik CreditChex z przyjemno�ci� udzieli� mi dok�adnie tych informacji, kt�rych potrzebowa�em: poda� dwa miejsca, w kt�rych m�� mojej klientki ubiega� si� o otwarcie rachunku. Gdzie w takim razie znajdowa�y si� pieni�dze, kt�rych szuka�a jego �ju� wkr�tce by�a �ona�? Gdzie�by indziej, jak nie w ujawnionych przez Credit- Chex instytucjach? Analiza oszustwa Ca�y podst�p opiera� si� na jednej z podstawowych zasad socjotechniki: uzyskania dost�pu do informacji, kt�ra mylnie jest postrzegana przez pracownika jako nieszkodliwa. Pierwsza urz�dniczka bankowa potwierdzi�a termin, jakim okre�la si� numer identyfikacyjny, u�ywany do kontakt�w z CreditChex � �numer kupca�. Druga poda�a numer linii telefonicznej u�