Główna Sztuka podstępu : łamałem ludzi, nie hasła

Sztuka podstępu : łamałem ludzi, nie hasła

, , , , ,
0 / 0
Jak bardzo podobała Ci się ta książka?
Jaka jest jakość pobranego pliku?
Pobierz książkę, aby ocenić jej jakość
Jaka jest jakość pobranych plików?
Rok:
2016
Wydanie:
Wyd. 2.
Wydawnictwo:
Wydawnictwo Helion
Język:
polish
Strony:
386
ISBN 10:
8328331373
ISBN 13:
9788328331372
Plik:
PDF, 2,50 MB
Ściągnij (pdf, 2,50 MB)

Możesz być zainteresowany Powered by Rec2Me

 

Najbardziej popularne frazy

 
0 comments
 

To post a review, please sign in or sign up
Możesz zostawić recenzję książki i podzielić się swoimi doświadczeniami. Inni czytelnicy będą zainteresowani Twoją opinią na temat przeczytanych książek. Niezależnie od tego, czy książka ci się podoba, czy nie, jeśli powiesz im szczerze i szczegółowo, ludzie będą mogli znaleźć dla siebie nowe książki, które ich zainteresują.
Tytuł oryginału: The Art of Deception: Controlling the Human Element of Security
Tłumaczenie: Jarosław Dobrzański
ISBN: 978-83-246-5145-0
Copyright © 2002 by Kevin D. Mitnick, and William L. Simon
All Rights Reserved. This translation published under license.
Published by Wiley Publishing, Inc., Indianapolis, Indiana
Translation copyright © 2003, 2011 by Helion S.A.
All rights reserved. No part of this book may be reproduced or transmitted in any
form or by any means, electronic or mechanical, including photocopying, recording
or by any information storage retrieval system, without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości
lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione.
Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie
książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie
praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi
bądź towarowymi ich właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte
w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej
odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne
naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION
nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe
z wykorzystania informacji zawartych w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie?artde2_ebook
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Poleć książkę na Facebook.com
• Kup w wersji papierowej
• Oceń książkę

• Księgarnia internetowa
• Lubię to! » Nasza społeczność

Dla Reby Vartanian, Shelly Jaffe, Chickie
Laventhal i Mitchella Mitnicka;  oraz pamięci
Alana Mitnicka, Adama Mitnicka i Jacka Biello.
Dla Arynne, Victorii, Davida, Sheldona,
Vincenta i Eleny.

Socjotechnika
Socjotechnika to wywieranie wpływu na ludzi i stosowanie perswazji
w celu oszukania ich tak, aby uwierzyli, że socjotechnik jest osobą o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji, tożsamości.
Dzięki temu socjotechnik jest w stanie wykorzystać swoich rozmówców,
przy dodatkowym (lub nie) użyciu środków technologicznych, do zdobycia poszukiwanych informacji.

Spis treści
Wstęp do wydania polskiego ...........................................................7
Słowo wstępne .............................................................................11
Przedmowa ..................................................................................13
Wprowadzenie ..............................................................................19

I

Za kulisami

1

Pięta achillesowa systemów bezpieczeństwa ..................................23

II Sztuka ataku

21

35

2

Kiedy nieszkodliwa informacja szkodzi? ..........................................37

3

Bezpośredni atak — wystarczy poprosić .........................................53

4

Budowanie zaufania ......................................................................63

5

Może pomóc? ..............................................................................77

6

Potrzebuję pomocy .......................................................................99

7

Fałszywe witryny i niebezpieczne załączniki ...................................115

8

Współczucie, wina i zastraszenie .................................................129

9

Odwrotnie niż w „Żądle” ..............................................................157

III Uwaga, intruz!

173

10 Na terenie firmy ..........................................................................175
11 Socjotechnika i technologia .........................................................201
12 Atak w dół hierarchii ...................................................................223
13 Wyrafinowane intrygi ...................................................................239
14 Szpiegostwo przemysłowe ...........................................................255

6

Spis treści

IV Podnoszenie poprzeczki

273

15 Bezpieczeństwo informacji — świadomość i szkolenie .....................275
16 Zalecana polityka bezpieczeństwa informacji ................................291

Dodatki

365

Bezpieczeństwo w pigułce ...........................................................367
Źródła ........................................................................................377
Podziękowania ...........................................................................379
Epilog ........................................................................................385

Wstęp do wydania
polskiego
Wyobraź sobie, że odbierasz telefon od pracownika działu płacowego
Twojej firmy. Zostajesz poinformowany, że Twoja wypłata została przelana na niewłaściwe konto bankowe. W zdenerwowaniu próbujesz wyjaśnić kwestię, bez namysłu odpowiadając na kolejne pytania swojego
rozmówcy — bez zająknięcia podajesz swoje dane oraz wszelkie informacje, o które pyta Cię rozmówca. Możesz jednak odetchnąć — okazuje
się bowiem, że najwyraźniej doszło do pomyłki. Z ulgą odkładasz
słuchawkę w poczuciu wyjaśnionej i zamkniętej sprawy... Nie podejrzewasz, że cała rozmowa to skrupulatnie zaplanowana intryga. Nie
zdajesz sobie sprawy z tego, jakie konsekwencje dla Ciebie i Twojej
firmy może mieć fakt, że właśnie ujawniłeś ważne informacje niepożądanej osobie.
W książce Sztuka podstępu Kevin Mitnick i William Simon koncentrują się na zagadnieniach socjotechniki, opisując i przytaczając wiele ciekawych historii, które świetnie oddają sens tytułu książki. Autorzy
przedstawiają metody genialne w swojej prostocie, a dzięki licznym
przykładom uświadamiają Czytelnikowi, jak potężną bronią jest inżynieria społeczna i do czego może doprowadzić umiejętne jej stosowanie
przez intruza. Z drugiej strony, pokazują, jak katastrofalne w skutkach
może być lekceważenie tej wiedzy, zarówno przez duże korporacje, jak
i pojedynczych ludzi.

8

Sztuka podstępu. Łamałem ludzi, nie hasła

Autorzy niniejszej książki, pomijając zagadnienia techniczne, prezentują szeroki wachlarz różnorodnych sztuczek socjotechnicznych.
Demonstrują skuteczne próby zmiany tożsamości i manipulacji ludźmi,
prowadzące do zdobycia ważnych informacji, wykazując tym samym
powszechną nieostrożność osób poddanych takim atakom. Opisane historie, obfite w dialogi, pozwalają nam wczuć się w rolę ofiary. Dzięki
temu zmuszeni jesteśmy do refleksji i odpowiedzi na pytanie, jak sami
zachowalibyśmy się w tego typu sytuacji i czy popełnilibyśmy podobne błędy, wynikające z braku rozwagi.
Książka odkrywa porażającą prawdę o łatwości zdobywania poufnych danych oraz obnaża skrajnie nieodpowiedzialną politykę większości firm w zakresie ochrony tych danych. Opisane historie dowodzą,
że nakładając odpowiednią maskę, tworząc odpowiednią atmosferę
i umiejętnie kierując rozmową, intruz potrafi zdobyć zaufanie rozmówcy
i w niezauważalny dla niego sposób pozyskać strategiczną informację.
Również w Polsce coraz powszechniejsze stają się ataki socjotechniczne, na przykład w postaci e-maila, w którym intruz (a często całe
zorganizowane grupy przestępcze), podszywając się pod zaufaną instytucję, próbuje wyłudzić nasze prywatne dane, prosząc na przykład
o potwierdzenie numeru karty kredytowej. Takie próby ataków będą
ponawiane dopóty, dopóki ludzie nie uświadomią sobie ryzyka związanego z niefrasobliwym podejściem do poufnych danych.
Działania hakerów nie są domeną jedynie krajów zachodnich. Jedną z najsłynniejszych grup hakerskich w Polsce były tzw. Gumisie —
zespół ludzi, którzy w latach 90. zyskali rozgłos dzięki spektakularnym włamaniom na serwery wielu firm i organizacji, między innymi
na serwery NASK, gdzie zmienili główną stronę Naukowych Akademickich Sieci Komputerowych i rozwinęli skrót NASK w niezbyt pochlebną nazwę — Niezwykle Aktywna Siatka Kretynów. Innymi dokonaniami grupy były włamania na główną stronę Telekomunikacji Polskiej.
Członkowie grupy wykorzystali wówczas możliwość podmiany strony
głównej do przedstawienia protestu przeciwko monopolistycznym
praktykom firmy w tamtych czasach oraz manifestacji swojego niezadowolenia dotyczącego polityki firmy wobec klientów. Należy podkreślić, że głównym celem w podejmowanych przez grupę atakach nie
było działanie na szkodę firmy, a jedynie silna potrzeba kontestowania
rzeczywistości.

Wstęp do wydania polskiego

9

Przytoczone przez autorów przykłady zarówno edukują, jak i ostrzegają Czytelnika — bez względu na to, czy jest nim pracownik biurowy,
szef ochrony hali, czy też zwykły domowy użytkownik internetu. Znakiem naszych czasów są przecież liczne e-maile, wiadomości przesyłane
przez komunikatory lub portale społecznościowe, zachęcające nas do
kliknięcia odsyłacza do zainfekowanej strony, gdzie rzekomo mają na
nas czekać atrakcyjne treści.
Tomasz Gałdyś, hack.pl

Słowo wstępne
Wszyscy ludzie rodzą się z wewnętrzną potrzebą poznawania natury
swojego otoczenia. W czasach młodości zarówno Kevin Mitnick, jak
i ja byliśmy niesamowicie ciekawi świata i pragnęliśmy dowieść swojej
własnej wartości. W dzieciństwie często nagradzano nas za nauczenie
się nowej rzeczy, rozwiązanie zagadki lub wygranie gry. Jednak
w tym samym czasie świat, narzucając nam swoje reguły zachowania,
krępował naszą wewnętrzną potrzebę poznawania. Zarówno dla wybitnych naukowców, technicznych wizjonerów, jak i dla ludzi pokroju
Kevina Mitnicka podążanie za tą potrzebą powodowało największy
możliwy dreszcz emocji, pozwalając na robienie rzeczy, które innym
wydają się niemożliwe.
Kevin Mitnick jest jednym z najwspanialszych ludzi, jakich znam.
Zapytajcie go, a szczerze odpowie Wam, że metoda, której używał, socjotechnika, polega na oszukiwaniu ludzi. Kevin jednak nie jest już socjotechnikiem, a nawet w czasie, kiedy tym zajęciem się parał, motywami jego działania nigdy nie była chęć wzbogacenia się lub wyrządzenia
krzywdy drugiemu człowiekowi. Nie oznacza to jednak, że nie istnieją
groźni i niebezpieczni przestępcy, którzy stosują socjotechnikę, aby
wyrządzić rzeczywiste szkody. To właśnie przed nimi Kevin chce Was
ostrzec w tej książce.
Sztuka podstępu uświadamia, jak bardzo rządy państw, firmy i każdy z nas są nieodporne na atak socjotechnika. W obecnych czasach,
kiedy tak dużo uwagi poświęca się bezpieczeństwu, wydaje ogromne
kwoty na ochronę sieci komputerowych i danych, powinniśmy zdać

12

Słowo wstępne

sobie sprawę z tego, jak łatwo można oszukać ludzi „z wewnątrz”
i obejść wszelkie możliwe zabezpieczenia technologiczne. Książka właśnie to opisuje.
Jeżeli pracujemy w firmie lub instytucji rządowej, pozycja ta jest
nieocenionym drogowskazem, umożliwiającym zrozumienie, w jaki
sposób działają socjotechnicy i co możemy zrobić, aby pokrzyżować
ich plany. Korzystając z fabularyzowanych historii, których czytanie
nie tylko otwiera oczy, ale jest też dobrą rozrywką, Kevin, wraz ze
współautorem, Billem Simonem, opisuje techniki stosowane przez
oszustów. Po każdej z historii otrzymujemy wskazówki pomagające
uchronić się przed przedstawionymi sytuacjami.
W zabezpieczeniach zapewnianych przez technologię istnieje spora
luka, w której uszczelnieniu mogą pomóc ludzie tacy jak Kevin. Po
przeczytaniu tej książki na pewno zdacie sobie sprawę, jak bardzo potrzebujecie tej pomocy.
Steve Wozniak

Przedmowa
Są na świecie hakerzy, którzy niszczą cudze pliki lub całe dyski twarde
— nazywa się ich crakerami lub po prostu wandalami. Są również niedoświadczeni hakerzy, którzy zamiast uczyć się technologii, znajdują
w sieci odpowiednie narzędzia hakerskie, za pomocą których włamują
się do systemów komputerowych. Mówi się o nich script kiddies. Bardziej doświadczeni hakerzy sami tworzą programy hakerskie, które
potem umieszczają w sieci lub na listach dyskusyjnych. Istnieją też takie osoby, których w ogóle nie obchodzi technologia, a komputera
używają jedynie jako narzędzia pomagającego im kraść pieniądze, towary i korzystać za darmo z usług.
Wbrew mitowi o Kevinie Mitnicku, jaki stworzyły media, nigdy jako haker nie miałem złych zamiarów.
Wyprzedzam jednak fakty.

Początki
Ścieżka, na którą wstąpiłem, miała zapewne swój początek w dzieciństwie. Byłem beztroskim, ale znudzonym dzieckiem. Mama, po rozstaniu z ojcem (miałem wtedy 3 lata), pracowała jako kelnerka, by nas
utrzymać. Można sobie wyobrazić jedynaka wychowywanego przez
wiecznie zabieganą matkę — chłopaka samotnie spędzającego całe dnie.
Byłem swoją własną nianią.
Dorastając w San Fernando Valley, miałem całą młodość na zwiedzanie Los Angeles. W wieku 12 lat znalazłem sposób na darmowe

14

Przedmowa

podróżowanie po całym okręgu Los Angeles. Któregoś dnia, jadąc
autobusem, odkryłem, że układ otworów na bilecie tworzony przez
kierowcę podczas kasowania oznacza dzień, godzinę i trasę przejazdu
autobusu. Przyjaźnie nastawiony kierowca odpowiedział na wszystkie
moje dokładnie przemyślane pytania, łącznie z tym, gdzie można kupić
kasownik, którego używa.
Bilety te pozwalały na przesiadki i kontynuowanie podróży. Wymyśliłem wtedy, jak ich używać, aby jeździć wszędzie za darmo. Zdobycie nieskasowanych biletów to była pestka: kosze na śmieci w zajezdniach autobusowych pełne były nie do końca zużytych bloczków
biletowych, których kierowcy pozbywali się na koniec zmiany. Mając
nieskasowane bilety i kasownik, mogłem sam je oznaczać w taki sposób, aby dostać się w dowolne miejsce w Los Angeles. Wkrótce znałem
wszystkie układy tras autobusów na pamięć. To wczesny przykład mojej zadziwiającej zdolności do zapamiętywania pewnego rodzaju informacji. Do dzisiaj pamiętam numery telefonów, hasła i tym podobne
szczegóły — nawet te zapamiętane w dzieciństwie.
Innym moim zainteresowaniem, jakie ujawniło się dość wcześnie,
była fascynacja sztuczkami magicznymi. Po odkryciu, na czym polega
jakaś sztuczka, ćwiczyłem tak długo, aż ją opanowałem. W pewnym
sensie to dzięki magii odkryłem radość, jaką można czerpać z wprowadzania ludzi w błąd.

Od phreakera do hakera
Moje pierwsze spotkanie z czymś, co później nauczyłem się określać
mianem socjotechniki, miało miejsce w szkole średniej. Poznałem wtedy
kolegę, którego pochłaniało hobby zwane phreakingiem. Polegało ono
na włamywaniu się do sieci telefonicznych, przy wykorzystaniu do tego
celu pracowników służb telefonicznych oraz wiedzy o działaniu sieci.
Pokazał mi sztuczki, jakie można robić za pomocą telefonu: zdobywanie
każdej informacji o dowolnym abonencie sieci czy korzystanie z tajnego numeru testowego do długich darmowych rozmów zamiejscowych
(potem okazało się, że numer wcale nie był testowy — rozmowami,
które wykonywaliśmy, obciążany był rachunek jakiejś firmy).
Takie były moje początki w dziedzinie socjotechniki — swojego rodzaju przedszkole. Ten kolega i jeszcze jeden phreaker, którego wkrótce
poznałem, pozwolili mi posłuchać rozmów telefonicznych, jakie przeprowadzali z pracownikami firm telekomunikacyjnych. Wszystkie
rzeczy, które mówili, brzmiały bardzo wiarygodnie. Dowiedziałem
się o sposobie działania różnych firm z tej branży, nauczyłem się żar-

Przedmowa

15

gonu i procedur, stosowanych przez ich pracowników. „Trening” nie
trwał długo — nie potrzebowałem go. Wkrótce sam robiłem wszystkie
te rzeczy lepiej niż moi nauczyciele, pogłębiając wiedzę w praktyce.
W ten sposób wyznaczona została droga mojego życia na najbliższe
15 lat.
Jeden z moich ulubionych kawałów polegał na uzyskaniu dostępu
do centrali telefonicznej i zmianie rodzaju usługi przypisanej do numeru telefonu znajomego phreakera. Kiedy ten próbował zadzwonić
z domu, słyszał w słuchawce prośbę o wrzucenie monety, ponieważ
centrala odbierała informację, że dzwoni on z automatu.
Absorbowało mnie wszystko, co dotyczyło telefonów. Nie tylko
elektronika, centrale i komputery, ale również organizacja, procedury
i terminologia. Po jakimś czasie wiedziałem o sieci telefonicznej chyba
więcej niż jakikolwiek jej pracownik. Rozwinąłem również swoje umiejętności w dziedzinie socjotechniki do tego stopnia, że w wieku 17 lat
byłem w stanie wmówić prawie wszystko większości pracownikom firm
telekomunikacyjnych, czy to przez telefon, czy rozmawiając osobiście.
Moja znana ogółowi kariera hakera rozpoczęła się właściwie w szkole
średniej. Nie mogę tu opisywać szczegółów, wystarczy, że powiem, iż
głównym motywem moich pierwszych włamań była chęć bycia zaakceptowanym przez grupę podobnych mi osób.
Wtedy określenia haker używaliśmy w stosunku do kogoś, kto spędzał dużo czasu na eksperymentowaniu z komputerami i oprogramowaniem, opracowując bardziej efektywne programy lub znajdując lepsze sposoby rozwiązywania jakichś problemów. Określenie to dzisiaj
nabrało pejoratywnego charakteru i kojarzy się z „groźnym przestępcą”.
Ja używam go tu jednak w takim znaczeniu, w jakim używałem go
zawsze — czyli tym wcześniejszym, łagodniejszym.
Po ukończeniu szkoły średniej studiowałem informatykę w Computer Learning Center w Los Angeles. Po paru miesiącach szkolny
administrator komputerów odkrył, że znalazłem lukę w systemie operacyjnym i uzyskałem pełne przywileje administracyjne w systemie.
Najlepsi eksperci spośród wykładowców nie potrafili dojść do tego, w jaki
sposób to zrobiłem. Nastąpił wówczas być może jeden z pierwszych
przypadków „zatrudnienia” hakera — dostałem propozycję nie do odrzucenia: albo w ramach pracy zaliczeniowej poprawię bezpieczeństwo szkolnego systemu komputerowego, albo zostanę zawieszony za
włamanie się do systemu. Oczywiście wybrałem to pierwsze i dzięki
temu mogłem ukończyć szkołę z wyróżnieniem.

16

Przedmowa

Socjotechnik
Niektórzy ludzie wstają rano z łóżka, by odbębniać powtarzalne czynności w przysłowiowym kieracie. Ja miałem to szczęście, że zawsze
lubiłem swoją pracę. Najwięcej wyzwań, sukcesów i zadowolenia
przyniosła mi praca prywatnego detektywa. Szlifowałem tam swoje
umiejętności w sztuce zwanej socjotechniką — skłanianiem ludzi do tego, by robili rzeczy, których zwykle nie robi się dla nieznajomych. Za
to mi płacono.
Stanie się biegłym w tej branży nie było dla mnie trudne. Rodzina
ze strony mojego ojca od pokoleń zajmowała się handlem — może
więc umiejętność perswazji i wpływania na innych jest cechą dziedziczną.
Połączenie potrzeby manipulowania ludźmi z umiejętnością i talentem
w dziedzinie perswazji i wpływu na innych to cechy idealnego socjotechnika.
Można powiedzieć, że istnieją dwie specjalizacje w zawodzie artysty-manipulatora. Ktoś, kto wyłudza od ludzi pieniądze, to pospolity
oszust. Z kolei ktoś, kto stosuje manipulację i perswazję wobec firm,
zwykle w celu uzyskania informacji, to socjotechnik. Od czasu mojej
pierwszej sztuczki z biletami autobusowymi, kiedy byłem jeszcze zbyt
młody, aby uznać, że robię coś złego, zacząłem rozpoznawać w sobie
talent do dowiadywania się o rzeczach, o których nie powinienem
wiedzieć. Rozwijałem ten talent, używając oszustw, posługując się
żargonem i rozwiniętą umiejętnością manipulacji.
Jednym ze sposobów, w jaki pracowałem nad rozwijaniem umiejętności w moim rzemiośle (jeżeli można to nazwać rzemiosłem), było
próbowanie uzyskania jakiejś informacji, na której nawet mi nie zależało.
Chodziło o to, czy jestem w stanie skłonić osobę po drugiej stronie słuchawki do tego, by mi jej udzieliła — ot tak, w ramach ćwiczenia. W ten
sam sposób, w jaki kiedyś ćwiczyłem sztuczki magiczne, ćwiczyłem
teraz sztukę motywowania. Dzięki temu wkrótce odkryłem, że jestem
w stanie uzyskać praktycznie każdą informację, jakiej potrzebuję.
Wiele lat później, zeznając w Kongresie przed senatorami, Liebermanem i Thompsonem, powiedziałem:
Udało mi się uzyskać nieautoryzowany dostęp do systemów komputerowych paru największych korporacji na tej planecie, spenetrować najlepiej zabezpieczone z istniejących systemów komputerowych. Używałem narzędzi
technologicznych i nie związanych z technologią, aby uzyskać dostęp do kodu
źródłowego różnych systemów operacyjnych, urządzeń telekomunikacyjnych
i poznawać ich działanie oraz słabe strony.

Przedmowa

17

Tak naprawdę, zaspakajałem jedynie moją własną ciekawość, przekonywałem się o możliwościach i wyszukiwałem tajne informacje
o systemach operacyjnych, telefonach komórkowych i wszystkim innym, co budziło moje zainteresowanie.

Podsumowanie
Po aresztowaniu przyznałem, że to, co robiłem, było niezgodne z prawem i że dopuściłem się naruszenia prywatności.
Moje uczynki były powodowane ciekawością — pragnąłem wiedzieć
wszystko, co się dało o tym, jak działają sieci telefoniczne oraz podsystemy wejścia–wyjścia komputerowych systemów bezpieczeństwa.
Z dziecka zafascynowanego sztuczkami magicznymi stałem się najgroźniejszym hakerem świata, którego obawia się rząd i korporacje.
Wracając pamięcią do ostatnich trzydziestu lat mojego życia, muszę
przyznać, że dokonałem paru bardzo złych wyborów, sterowany ciekawością, pragnieniem zdobywania wiedzy o technologiach i dostarczania sobie intelektualnych wyzwań.
Zmieniłem się. Dzisiaj wykorzystuję mój talent i wiedzę o bezpieczeństwie informacji i socjotechnice, jaką udało mi się zdobyć, aby
pomagać rządowi, firmom i osobom prywatnym w wykrywaniu, zapobieganiu i reagowaniu na zagrożenia bezpieczeństwa informacji.
Książka ta to jeszcze jeden sposób wykorzystania mojego doświadczenia w pomaganiu innym w radzeniu sobie ze złodziejami informacji. Mam nadzieję, że opisane tu przypadki będą zajmujące, otwierające
oczy i mające jednocześnie wartość edukacyjną.

Wprowadzenie
Książka ta zawiera bogaty zbiór informacji dotyczących bezpieczeństwa
danych i socjotechniki. Oto krótki opis układu książki, ułatwiający korzystanie z niej:
W części pierwszej odkrywam piętę achillesową systemów bezpieczeństwa i pokazuję, dlaczego my i nasza firma jesteśmy narażeni na ataki
socjotechników.
Część druga opisuje, w jaki sposób socjotechnicy wykorzystują nasze zaufanie, chęć pomocy, współczucie oraz naiwność, aby dostać to,
czego chcą. Fikcyjne historie demonstrujące typowe ataki ukażą socjotechnika przywdziewającego coraz to nowe maski. Jeżeli wydaje się
nam, że nigdy nie spotkaliśmy socjotechnika, prawdopodobnie jesteśmy w błędzie. Niejedna z tych historii może nieoczekiwanie wydać
się nam znajoma. Jednak po przeczytaniu rozdziałów od 2. do 9. powinniśmy dysponować już wiedzą, która pozwoli nam uchronić się
przed kolejnym atakiem.
W części trzeciej gra z socjotechnikiem toczy się o większą stawkę.
Wymyślone historie pokazują, w jaki sposób może on dostać się na teren firmy, ukraść tajemnicę, co może zrujnować nasze przedsiębiorstwo, lub unicestwić nasz najnowocześniejszy technologicznie system
bezpieczeństwa. Scenariusze przedstawione w tej części uświadamiają
nam zagrożenia, poczynając od zwykłej zemsty pracownika, na cyberterroryzmie kończąc. Jeżeli ważne jest dla nas bezpieczeństwo kluczowych informacji, które stanowią o status quo naszej firmy, powinniśmy
przeczytać rozdziały od 10. do 14. w całości.

20

Wprowadzenie

Należy pamiętać, że o ile nie jest napisane inaczej, historie przedstawione w tej książce są czystą fikcją.
W części czwartej opisane zostały sposoby zapobiegania atakom
socjotechnicznym w organizacji. Rozdział 15. przedstawia zarys skutecznego szkolenia dotyczącego bezpieczeństwa, a w rozdziale 16.
znajdziemy przykład „gotowca”, czyli kompletny dokument opisujący
politykę bezpieczeństwa firmy, który możemy przystosować do potrzeb naszej firmy i od razu wprowadzić w życie, aby zabezpieczyć
nasze zasoby informacyjne.
Na końcu znajduje się część zatytułowana „Bezpieczeństwo w pigułce”, która podsumowuje kluczowe informacje w formie list i tabel.
Mogą one stanowić „ściągę” dla naszych pracowników, pomagającą
uniknąć ataków socjotechnicznych. Zawarte tam informacje pomogą
również podczas tworzenia programu szkolenia dotyczącego bezpieczeństwa firmy.
W książce znajdziemy również uwagi dotyczące żargonu, zawierające
definicje terminów używanych przez hakerów i socjotechników, a także
dodatkowe uwagi Kevina Mitnicka zawierające podsumowanie fragmentu tekstu — „złote myśli”, które pomagają w formułowaniu strategii bezpieczeństwa. Pozostałe uwagi i ramki zawierają interesujące
informacje dodatkowe lub prezentują okoliczności danej sprawy.

I
Za kulisami
Pięta achillesowa systemów bezpieczeństwa

1
Pięta achillesowa
systemów
bezpieczeństwa
Firma może dokonać zakupu najlepszych i najdroższych technologii
bezpieczeństwa, wyszkolić personel tak, aby każda poufna informacja
była trzymana w zamknięciu, wynająć najlepszą firmę chroniącą obiekty
i wciąż pozostać niezabezpieczoną.
Osoby prywatne mogą niewolniczo trzymać się wszystkich najlepszych zasad zalecanych przez ekspertów, zainstalować wszystkie
najnowsze produkty poprawiające bezpieczeństwo i skonfigurować odpowiednio system, uruchamiając wszelkie jego usprawnienia i wciąż
pozostawać niezabezpieczonymi.

Czynnik ludzki
Zeznając nie tak dawno temu przed Kongresem, wyjaśniłem, że często
uzyskiwałem hasła i inne poufne informacje od firm, podając się za
kogoś innego i po prostu o nie prosząc.

24

Za kulisami

Tęsknota za poczuciem absolutnego bezpieczeństwa jest naturalna,
ale prowadzi wielu ludzi do fałszywego poczucia braku zagrożenia.
Weźmy za przykład człowieka odpowiedzialnego i kochającego, który
zainstalował w drzwiach wejściowych Medico (zamek bębnowy słynący z tego, że nie można go otworzyć wytrychem), aby ochronić swoją
żonę, dzieci i swój dom. Po założeniu zamka poczuł się lepiej, ponieważ jego rodzina stała się bardziej bezpieczna. Ale co będzie, jeżeli
napastnik wybije szybę w oknie lub złamie kod otwierający bramę garażu? Niezależnie od kosztownych zamków, domownicy wciąż nie są
bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system
ochrony? Już lepiej, ale wciąż nie będzie gwarancji bezpieczeństwa.
Dlaczego? Ponieważ to czynnik ludzki jest piętą achillesową systemów bezpieczeństwa.
Bezpieczeństwo staje się zbyt często iluzją. Jeżeli do tego dodamy
łatwowierność, naiwność i ignorancję, sytuacja dodatkowo się pogarsza.
Najbardziej poważany naukowiec XX wieku, Albert Einstein, podobno
powiedział: „Tylko dwie rzeczy są nieskończone: wszechświat i ludzka
głupota, chociaż co do pierwszego nie mam pewności”. W rezultacie
atak socjotechnika udaje się, bo ludzie bywają głupi. Częściej jednak
ataki takie są skuteczne, ponieważ ludzie nie rozumieją sprawdzonych
zasad bezpieczeństwa.
Mając podobne podejście jak uświadomiony w sprawach bezpieczeństwa pan domu, wielu zawodowców z branży IT ma błędne
mniemanie, że w dużym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktów typu firewall, systemów detekcji intruzów i zaawansowanych rozwiązań uwierzytelniających, takich jak kody zależne od czasu lub karty biometryczne. Każdy,
kto uważa, że same produkty zabezpieczające zapewniają realne bezpieczeństwo, tworzy jego iluzję. To klasyczny przypadek życia w świecie
fantazji: osoby takie mogą prędzej czy później stać się ofiarami ataku.
Jak ujmuje to znany konsultant ds. bezpieczeństwa, Bruce Schneider:
„Bezpieczeństwo to nie produkt — to proces”. Rozwińmy tę myśl: bezpieczeństwo nie jest problemem technologicznym, tylko problemem
związanym z ludźmi i zarządzaniem.
W miarę wymyślania coraz to nowych technologii zabezpieczających, utrudniających znalezienie technicznych luk w systemie, napastnicy będą zwracać się w stronę ludzkich słabości. Złamanie „ludzkiej”
bariery jest o wiele prostsze i często wymaga jedynie inwestycji rzędu
kosztu rozmowy telefonicznej, nie mówiąc już o mniejszym ryzyku.

Pięta achillesowa systemów bezpieczeństwa

25

Klasyczny przypadek oszustwa
Kto stanowi największe zagrożenie bezpieczeństwa kapitału firmy? Odpowiedź jest prosta: socjotechnik — pozbawiony skrupułów magik,
który, gdy patrzysz na jego lewą rękę, prawą kradnie Twoje tajemnice.
Do tego często bywa tak miły, elokwentny i uprzejmy, iż naprawdę
cieszysz się, że go spotkałeś.
Spójrzmy na przykład zastosowania socjotechniki. Niewielu dziś
pamięta jeszcze młodego człowieka, który nazywał się Stanley Mark
Rifkin, i jego przygodę z nieistniejącym już Security Pacific National
Bank w Los Angeles. Sprawozdania z jego eskapady różnią się między
sobą, a sam Rifkin (podobnie jak ja) nigdy nie opowiedział swojej wersji tej historii, dlatego zawarty tu opis opiera się na opublikowanych
informacjach.

Łamanie kodu
Któregoś dnia roku 1978 Rifkinowi udało się dostać do przeznaczonego
tylko dla personelu pokoju kontrolnego przelewów elektronicznych
banku Security Pacific, z którego pracownicy wysyłali i odbierali przelewy na łączną sumę miliarda dolarów dziennie.
Pracował wtedy dla firmy, która podpisała z bankiem kontrakt na
stworzenie systemu kopii zapasowych w pokoju przelewów na wypadek
awarii głównego komputera. To umożliwiło mu dostęp do procedur
transferowych, łącznie z tymi, które określały, w jaki sposób były one
zlecane przez pracowników banku. Dowiedział się, że osoby upoważnione do zlecania przelewów otrzymywały każdego ranka pilnie
strzeżony kod używany podczas dzwonienia do pokoju przelewów.
Urzędnikom z pokoju przelewów nie chciało się zapamiętywać codziennych kodów, zapisywali więc obowiązujący kod na kartce papieru i umieszczali ją w widocznym dla nich miejscu. Tego listopadowego
dnia Rifkin miał szczególny powód do odwiedzin pomieszczenia.
Chciał rzucić okiem na tę kartkę.
Po pojawieniu się w pokoju zwrócił uwagę na procedury operacyjne,
prawdopodobnie w celu upewnienia się, że system kopii zapasowych
będzie poprawnie współpracował z podstawowym systemem, jednocześnie ukradkiem odczytując kod bezpieczeństwa z kartki papieru i zapamiętując go. Po kilku minutach wyszedł. Jak później powiedział,
czuł się, jakby właśnie wygrał na loterii.

26

Za kulisami

Było sobie konto w szwajcarskim banku
Po wyjściu z pokoju, około godziny 15:00, udał się prosto do automatu telefonicznego w marmurowym holu budynku, wrzucił monetę
i wykręcił numer pokoju przelewów. Ze Stanleya Rifkina, współpracownika banku, zmienił się w Mike’a Hansena — pracownika Wydziału Międzynarodowego banku.
Według jednego ze źródeł rozmowa przebiegała następująco:
— Dzień dobry, mówi Mike Hansen z międzynarodowego — powiedział do młodej pracownicy, która odebrała telefon.
Dziewczyna zapytała o numer jego biura. Była to standardowa procedura, na którą był przygotowany.
— 286 — odrzekł.
— Proszę podać kod — powiedziała wówczas pracownica.
Rifkin stwierdził później, że w tym momencie udało mu się opanować łomot napędzanego adrenaliną serca.
— 4789 — odpowiedział płynnie.
Potem zaczął podawać szczegóły przelewu: dziesięć milionów
dwieście tysięcy dolarów z Irving Trust Company w Nowym Jorku do
Wozchod Handels Bank of Zurich w Szwajcarii, gdzie wcześniej założył konto.
— Przyjęłam. Teraz proszę podać kod międzybiurowy.
Rifkin oblał się potem. Było to pytanie, którego nie przewidział,
coś, co umknęło mu w trakcie poszukiwań. Zachował jednak spokój,
udając, że nic się nie stało, i odpowiedział na poczekaniu, nie robiąc
nawet najmniejszej pauzy: „Muszę sprawdzić. Zadzwonię za chwilę”.
Od razu zadzwonił do innego wydziału banku, tym razem podając się
za pracownika pokoju przelewów. Otrzymał kod międzybiurowy i zadzwonił z powrotem do dziewczyny w pokoju przelewów.
Zapytała o kod i powiedziała: „Dziękuję” (biorąc pod uwagę okoliczności, jej podziękowanie można by odebrać jako ironię).

Dokończenie zadania
Kilka dni później Rifkin poleciał do Szwajcarii, pobrał gotówkę i wyłożył ponad 8 milionów dolarów na diamenty z rosyjskiej agencji. Potem
wrócił do Stanów, trzymając w czasie kontroli celnej diamenty w pasku na pieniądze. Przeprowadził największy skok na bank w historii,
nie używając ani pistoletu, ani komputera. Jego przypadek w końcu
dostał się do Księgi Rekordów Guinessa w kategorii „największe oszustwo komputerowe”.

Pięta achillesowa systemów bezpieczeństwa

27

Stanley Rifkin użył sztuki manipulacji — umiejętności i technik,
które dziś nazywa się socjotechniką. Wymagało to tylko dokładnego
planu i daru wymowy.
O tym właśnie jest ta książka — o metodach socjotechnicznych
(w których sam jestem biegły) i o sposobach, jakimi jednostki i organizacje mogą się przed nimi bronić.

Natura zagrożenia
Historia Rifkina jest dowodem na to, jak złudne może być nasze poczucie
bezpieczeństwa. Podobne incydenty — może nie dotyczące 10 milionów
dolarów, niemniej jednak szkodliwe — zdarzają się codziennie. Być może w tym momencie tracisz swoje pieniądze lub ktoś kradnie Twoje
plany nowego produktu i nawet o tym nie wiesz. Jeżeli coś takiego nie
wydarzyło się jeszcze w Twojej firmie, pytanie nie brzmi, czy się wydarzy, ale kiedy.

Rosnąca obawa
Instytut Bezpieczeństwa Komputerowego w swoich badaniach z 2001 roku, dotyczących przestępstw komputerowych, stwierdził, że w ciągu
roku 85% ankietowanych organizacji odnotowało naruszenie systemów bezpieczeństwa komputerowego. Jest to zdumiewający odsetek:
tylko piętnaście z każdych stu firm mogło powiedzieć, że nie miało
z tym kłopotów. Równie szokująca jest ilość organizacji, która zgłosiła
doznanie strat z powodu włamań komputerowych — 64%. Ponad połowa badanych firm poniosła straty finansowe w ciągu jednego roku.
Moje własne doświadczenia każą mi sądzić, że liczby w tego typu
raportach są przesadzone. Mam podejrzenia co do trybu przeprowadzania
badań, nie świadczy to jednak o tym, że straty nie są w rzeczywistości
wielkie. Nie przewidując tego typu sytuacji, skazujemy się z góry na
przegraną.
Dostępne na rynku i stosowane w większości firm produkty poprawiające bezpieczeństwo służą głównie do ochrony przed atakami ze
strony amatorów, np. dzieciaków zwanych script kiddies, które wcielają
się w hakerów, używając programów dostępnych w sieci, i w większości są jedynie utrapieniem. Największe straty i realne zagrożenie płynie ze strony bardziej wyrafinowanych hakerów, którzy mają jasno
określone zadania, działają z chęci zysku i koncentrują się podczas da-

28

Za kulisami

nego ataku na wybranym celu, zamiast infiltrować tyle systemów, ile
się da, jak to zwykle robią amatorzy. Przeciętni włamywacze zwykle
są nastawieni na ilość, podczas gdy profesjonaliści są zorientowani na
informacje istotne i wartościowe.
Technologie takie jak uwierzytelnianie (sprawdzanie tożsamości),
kontrola dostępu (zarządzanie dostępem do plików i zasobów systemowych) i systemy detekcji intruzów (elektroniczny odpowiednik
alarmów przeciwwłamaniowych) są nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dziś jednak więcej na kawę niż na środki zabezpieczające przed atakami na systemy
bezpieczeństwa.
Podobnie jak umysł kleptomana nie może oprzeć się pokusie, tak
umysł hakera jest owładnięty żądzą obejścia systemów zabezpieczających. Hakerzy potwierdzają w ten sposób swój intelektualny kapitał.

Metody oszustwa
Popularne jest powiedzenie, że bezpieczny komputer to wyłączony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogoś do
pójścia do biura i włączenia komputera. Przeciwnik, który potrzebuje
informacji, zwykle może ją uzyskać na parę różnych sposobów. Jest to
tylko kwestia czasu, cierpliwości, osobowości i uporu. W takiej chwili
przydaje się znajomość sztuki manipulacji.
Aby pokonać zabezpieczenia, napastnik, intruz lub socjotechnik
musi znaleźć sposób na oszukanie zaufanego pracownika w taki sposób, aby ten wyjawił jakąś informację, trik lub z pozoru nieistotną
wskazówkę umożliwiającą dostanie się do systemu. Kiedy zaufanych
pracowników można oszukiwać lub manipulować nimi w celu ujawnienia poufnych informacji lub kiedy ich działania powodują powstawanie luk w systemie bezpieczeństwa, umożliwiających napastnikowi
przedostanie się do systemu, wówczas nie ma takiej technologii, która
mogłaby ochronić firmę. Tak jak kryptografowie są czasami w stanie
odszyfrować tekst zakodowanej wiadomości dzięki odnalezieniu słabych miejsc w kodzie, umożliwiających obejście technologii szyfrującej,
tak socjotechnicy używają oszustwa w stosunku do pracowników firmy, aby obejść technologię zabezpieczającą.

Pięta achillesowa systemów bezpieczeństwa

29

Nadużywanie zaufania
W większości przypadków socjotechnicy mają duże zdolności oddziaływania na ludzi. Potrafią być czarujący, uprzejmi i łatwo ich polubić
— posiadają cechy potrzebne do tego, aby zyskać sobie zrozumienie
i zaufanie innych. Doświadczony socjotechnik jest w stanie uzyskać
dostęp do praktycznie każdej informacji, używając strategii i taktyki
przynależnych jego rzemiosłu.
Zmyślni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizować ryzyko związane ze stosowaniem
komputerów; zapomnieli jednak o najistotniejszej kwestii — czynniku
ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy największym zagrożeniem dla swojego bezpieczeństwa.

Amerykańska mentalność
Nie jesteśmy w pełni świadomi zagrożeń, szczególnie w świecie zachodnim. W USA w większości przypadków ludzie nie są uczeni podejrzliwości wobec drugiego człowieka. Są przyzwyczajani do zasady „kochaj sąsiada swego”, ufają sobie nawzajem. Organizacje ochrony sąsiedzkiej mają
często problemy z nakłonieniem ludzi do zamykania domów i samochodów. Te środki ochrony wydają się oczywiste, jednak wielu Amerykanów
je ignoruje, wybierając życie w świecie marzeń — do pierwszej nauczki.
Zdajemy sobie sprawę, że nie wszyscy ludzie są dobrzy i uczciwi,
ale zbyt często zachowujemy się, jakby tacy właśnie byli. Amerykanie
są tego szczególnym przypadkiem — jako naród stworzyli sobie koncepcję wolności polegającą na tym, że najlepsze miejsce do życia jest
tam, gdzie niepotrzebne są zamki ani klucze.
Większość ludzi wychodzi z założenia, że nie zostaną oszukani
przez innych, ponieważ takie przypadki zdarzają się rzadko. Napastnik, zdając sobie sprawę z panującego przesądu, formułuje swoje
prośby w bardzo przekonujący, nie wzbudzający żadnych podejrzeń
sposób, wykorzystując zaufanie ofiary.

Naiwność organizacyjna
To swoiste domniemanie niewinności, będące składnikiem amerykańskiej mentalności, ujawniło się szczególnie w początkach istnienia sieci komputerowych. ARPANET, przodek Internetu, został
stworzony do wymiany informacji pomiędzy rządem a instytucjami
badawczymi i naukowymi. Celem była dostępność informacji i po-

30

Za kulisami

stęp technologiczny. Wiele instytucji naukowych tworzyło wczesne
systemy komputerowe z minimalnymi tylko zabezpieczeniami lub
zupełnie ich pozbawione. Jeden ze znanych głosicieli wolności
oprogramowania, Richard Stallman, zrezygnował nawet z zabezpieczenia swojego konta hasłem. W czasach Internetu używanego
jako medium handlu elektronicznego zagrożenie związane ze słabościami systemów bezpieczeństwa drastycznie wzrosło. Zastosowanie
dodatkowych technologii zabezpieczających nigdy nie rozwiąże jednak kwestii czynnika ludzkiego.
Spójrzmy np. na dzisiejsze porty lotnicze. Są dokładnie zabezpieczone, ale co jakiś czas słyszymy o podróżnych, którym udało się
przechytrzyć ochronę i przenieść broń przez bramki kontrolne. Jak to
jest możliwe w czasach, kiedy nasze porty lotnicze są praktycznie
w ciągłym stanie alertu? Problem zwykle nie leży w urządzeniach zabezpieczających, tylko w ludziach, którzy je obsługują. Władze lotniska mogą wspierać się Gwardią Narodową, instalować detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej pomaga
szkolenie pracowników ochrony wzmacniające skuteczność kontroli
pasażerów.
Ten sam problem ma rząd oraz firmy i instytucje edukacyjne na
całym świecie. Mimo wysiłków specjalistów od bezpieczeństwa informacja w każdym miejscu jest narażona na atak socjotechnika, jeżeli nie
zostanie wzmocniona największa słabość systemu — czynnik ludzki.
Dzisiaj bardziej niż kiedykolwiek musimy przestać myśleć w sposób życzeniowy i uświadomić sobie, jakie techniki są używane przez
tych, którzy próbują zaatakować poufność, integralność i dostępność
naszych systemów komputerowych i sieci. Nauczyliśmy się już prowadzić samochody, stosując zasadę ograniczonego zaufania. Najwyższy czas nauczyć się podobnego sposobu obsługi komputerów.
Zagrożenie naruszenia prywatności, danych osobistych lub systemów informacyjnych firmy wydaje się mało realne, dopóki faktycznie
coś się nie wydarzy. Aby uniknąć takiego zderzenia z realiami, wszyscy musimy stać się świadomi, przygotowani i czujni. Musimy też
intensywnie chronić nasze zasoby informacyjne, dane osobiste, a także,
w każdym kraju, krytyczne elementy infrastruktury i jak najszybciej
zacząć stosować opisane środki ostrożności.

Pięta achillesowa systemów bezpieczeństwa

31

Oszustwo narzędziem terrorystów
Oczywiście oszustwo nie jest narzędziem używanym wyłącznie przez
socjotechników. Opisy aktów terroru stanowią znaczącą część doniesień agencyjnych i przyszło nam zdać sobie sprawę jak nigdy wcześniej, że świat nie jest bezpiecznym miejscem. Cywilizacja to w końcu
tylko maska ogłady.
Ataki na Nowy Jork i Waszyngton dokonane we wrześniu 2001 roku
wypełniły serca nie tylko Amerykanów, ale wszystkich cywilizowanych
ludzi naszego globu, smutkiem i strachem. Cywilizacja to delikatny
organizm. Zostaliśmy zaalarmowani faktem, że po całym świecie rozsiani są owładnięci obsesją terroryści, którzy są dobrze wyszkoleni
i czekają na możliwość ponownego ataku.
Zintensyfikowane ostatnio wysiłki rządu zwiększyły poziom świadomości dotyczącej spraw bezpieczeństwa. Musimy pozostać w stanie
gotowości wobec wszelkich przejawów terroryzmu. Musimy uświadomić sobie, w jaki sposób terroryści tworzą swoje fałszywe tożsamości, wchodzą w rolę studentów lub sąsiadów, wtapiają się w tłum.
Maskują swoje prawdziwe zamiary, knując przeciwko nam intrygę,
pomagając sobie oszustwami podobnymi do opisanych w tej książce.
Z moich informacji wynika, że dotychczas terroryści nie posunęli się
jeszcze do stosowania zasad socjotechniki w celu infiltrowania korporacji,
wodociągów, elektrowni i innych istotnych komponentów infrastruktury
państwa. W każdej chwili mogą jednak to zrobić — bo jest to po prostu
łatwe. Mam nadzieję, że świadomość i polityka bezpieczeństwa zajmą
należne im miejsce i zostaną docenione przez kadrę zarządzającą firm po
przeczytaniu tej książki. Wkrótce jednak może okazać się, że to za mało.

O czym jest ta książka?
Bezpieczeństwo firmy to kwestia równowagi. Zbyt mało zabezpieczeń
pozostawia firmę w zagrożeniu, a zbyt dużo przeszkadza w prowadzeniu działalności, powstrzymując wzrost zysków i pomyślny rozwój
przedsiębiorstwa. Zadanie polega na odnalezieniu równowagi między
bezpieczeństwem a produktywnością.
Inne książki traktujące o bezpieczeństwie firm koncentrują się na
sprzęcie i oprogramowaniu, nie poświęcając należnej uwagi najpoważniejszemu z wszystkich zagrożeń — oszustwu. Celem tej książki
jest dla odmiany pomoc w zrozumieniu, w jaki sposób ludzie w firmie
mogą zostać zmanipulowani i jakie bariery można wznieść, aby temu

32

Za kulisami

zapobiec. Książka ta koncentruje się głównie na pozatechnologicznych
metodach, jakie stosują intruzi w celu zdobycia informacji, naruszenia
integralności danych, które wydając się bezpiecznymi nie są takimi
w istocie, lub wręcz niszczenia efektów pracy firmy.
Moje zadanie jest jednak utrudnione z jednego prostego powodu:
każdy czytelnik został zmanipulowany przez największych ekspertów
od socjotechniki — swoich rodziców. Znaleźli oni sposoby, aby skłonić
nas, byśmy „dla naszego własnego dobra” robili to, co według nich
jest najlepsze. Rodzice są w stanie wszystko wytłumaczyć, w taki sam
sposób jak socjotechnicy umiejętnie tworzą wiarygodne historie, powody i usprawiedliwienia, aby osiągnąć swoje cele.
W wyniku takich doświadczeń wszyscy staliśmy się podatni na
manipulację. Nasze życie stałoby się trudne, gdybyśmy musieli zawsze
stać na straży, nie ufać innym, brać pod uwagę możliwość, że ktoś nas
wykorzysta. W idealnym świecie można by bezwarunkowo ufać innym
i mieć pewność, że ludzie, których spotykamy, będą uczciwi i godni
zaufania. Nie żyjemy jednak w takim świecie, dlatego musimy wyćwiczyć
nawyk czujności, aby zdemaskować ludzi próbujących nas oszukać.
Większość książki (część druga i trzecia), składa się z historii przedstawiających socjotechników w akcji. Opisano tam tematy takie jak:
♦

Sprytna metoda uzyskiwania od firmy telekomunikacynej
numerów telefonu spoza listy — phreakerzy wpadli na to
już dobre parę lat temu.

♦

Kilka metod, jakich używają napastnicy do przekonania
nawet najbardziej podejrzliwych pracowników, aby podali
swoje nazwy użytkownika i hasła.

♦

Kradzież najlepiej strzeżonej informacji o produkcie, w której
to kradzieży dopomógł hakerom menedżer z Centrum Operacji.

♦

Metoda, jaką haker przekonał pewną panią do pobrania
programu, który śledzi wszystkie jej poczynania i wysyła
mu e-maile z informacjami.

Uzyskiwanie przez prywatnych detektywów informacji
o firmach i osobach prywatnych. Gwarantuję ciarki
na grzbiecie podczas czytania.
Po przeczytaniu niektórych opowieści z części drugiej i trzeciej można
dojść do wniosku, że to nie mogło się wydarzyć, że nikomu nie udałoby
się nic zdziałać za pomocą kłamstw, sztuczek i metod tam opisanych.
Historie te są jednak potencjalnie prawdziwe — przedstawiają wydarzenia, które mogą się zdarzyć i zdarzają się. Wiele z nich ma miejsce
♦

Pięta achillesowa systemów bezpieczeństwa

33

każdego dnia gdzieś na świecie, być może nawet w Twojej firmie,
w chwili, gdy czytasz tę książkę.
Materiał tu przedstawiony może nam również otworzyć oczy, kiedy przyjdzie nam się zetrzeć z umiejętnościami socjotechnika i chronić
przed nim nasze osobiste dobra informacyjne.
W części czwartej role zostają odwrócone. Staram się pomóc w stworzeniu nieodzownej polityki bezpieczeństwa i programu szkolenia minimalizującego szansę, że któryś z naszych pracowników padnie ofiarą
socjotechnika. Zrozumienie strategii, metod i taktyk socjotechnika pomoże
zastosować odpowiednie środki ochrony zasobów informatycznych
bez narażania produktywności przedsiębiorstwa.
Krótko mówiąc, napisałem tę książkę, aby zwiększyć świadomość
poważnego zagrożenia, jakie reprezentuje sobą socjotechnik, i pomóc
w zmniejszeniu szans wykorzystania przez niego firmy lub któregoś z jej
pracowników.
A może powinienem powiedzieć — ponownego wykorzystania.

II
Sztuka ataku
Kiedy nieszkodliwa informacja szkodzi?
Bezpośredni atak — wystarczy poprosić
Budowanie zaufania
Może pomóc?
Potrzebuję pomocy
Fałszywe witryny i niebezpieczne załączniki
Współczucie, wina i zastraszenie
Odwrotnie niż w „Żądle”

2
Kiedy nieszkodliwa
informacja szkodzi?
Na czym polega realne zagrożenie ze strony socjotechnika? Czego powinniśmy się strzec?
Jeżeli jego celem jest zdobycie czegoś wartościowego, powiedzmy
części kapitału firmy, to być może potrzebny jest solidniejszy skarbiec
i większe straże, czyż nie?
Penetracja systemu bezpieczeństwa firmy często zaczyna się od
zdobycia informacji lub dokumentu, który wydaje się nie mieć znaczenia,
jest powszechnie dostępny i niezbyt ważny. Większość ludzi wewnątrz
organizacji nie widzi więc powodów, dla których miałby być chroniony
lub zastrzeżony.

Ukryta wartość informacji
Wiele nieszkodliwie wyglądających informacji będących w posiadaniu
firmy jest cennych dla socjotechnika, ponieważ mogą one odegrać
podstawową rolę podczas wcielania się w kogoś innego.
Ze stron tej książki dowiemy się, jak działają socjotechnicy, stając
się „świadkami” ich ataków. Czasami przedstawienie sytuacji, w pierwszej kolejności z punktu widzenia ofiary, umożliwia wcielenie się w jej

38

Sztuka ataku

rolę i próbę analizy, jak my, lub nasi pracownicy, zachowalibyśmy się
w takiej sytuacji. W wielu przypadkach te same wydarzenia zostaną
przedstawione również z punktu widzenia socjotechnika.
Pierwsza historia uświadamia nam słabe strony firm działających
w branży finansowej.

CreditChex
Jak daleko sięgnąć pamięcią, Brytyjczycy musieli zmagać się ze staroświeckim systemem bankowym. Zwykły, uczciwy obywatel nie może
po prostu wejść tam do banku i założyć konta. Bank nie będzie traktować go jako klienta, dopóki osoba już będąca klientem nie napisze
mu listu referencyjnego.
W naszym, z pozoru egalitarnym świecie bankowości, wygląda to
już trochę inaczej. Nowoczesny, łatwy sposób robienia interesów jest
najbardziej widoczny w przyjaznej i demokratycznej Ameryce, gdzie
każdy może wejść do banku i bez problemu otworzyć rachunek. Chociaż nie do końca. W rzeczywistości banki mają naturalne opory przed
otwieraniem rachunku komuś, kto mógł w przeszłości wystawiać czeki bez pokrycia. Klient taki jest tak samo mile widziany jak raport strat
z napadu na bank czy defraudacja środków. Dlatego standardową
praktyką w wielu bankach jest szybkie sprawdzanie wiarygodności
nowego klienta.
Jedną z większych firm, które banki wynajmują do takich kontroli,
jest CreditChex. Świadczy ona cenne usługi dla swoich klientów, ale jej
pracownicy mogą też nieświadomie pomóc socjotechnikowi.

Pierwsza rozmowa: Kim Andrews
— National Bank, tu mówi Kim. Czy chce pan otworzyć rachunek?
— Dzień dobry, mam pytanie do pani. Czy korzystacie z CreditChex?
— Tak.
— A jak się nazywa ten numer, który trzeba podać, jak się dzwoni
do CreditChex? Numer kupca?
Pauza. Kim rozważa pytanie. Czego dotyczyło i czy powinna odpowiedzieć? Rozmówca zaczyna mówić dalej bez chwili zastanowienia:
— Wie pani, pracuję nad książką o prywatnych śledztwach.

Kiedy nieszkodliwa informacja szkodzi?

39

— Tak — mówi Kim, odpowiadając na pytanie po zniknięciu wątpliwości, zadowolona, że mogła pomóc pisarzowi.
— A więc to się nazywa numer kupca, tak?
— Mhm.
— Świetnie. Chciałem się po prostu upewnić, czy znam żargon.
Na potrzeby książki. Dziękuję za pomoc. Do widzenia.

Druga rozmowa: Chris Walker
— National Bank, nowe rachunki, mówi Chris.
— Dzień dobry, tu Alex — przedstawia się rozmówca. — Jestem
z obsługi klientów CreditChex. Przeprowadzamy ankietę, aby polepszyć jakość naszych usług. Czy może pani poświęcić mi parę minut?
Chris zgodziła się. Rozmówca kontynuował:
— Dobrze, a więc jakie są godziny otwarcia waszej filii? — Chris
odpowiada na to pytanie i na szereg następnych.
— Ilu pracowników waszej filii korzysta z naszych usług?
— Jak często dzwonicie do nas z zapytaniem?
— Który z numerów 0-800 został wam podany do kontaktów z nami?
— Czy nasi przedstawiciele zawsze byli uprzejmi?
— Jaki jest nasz czas odpowiedzi?
— Jak długo pracuje pani w banku?
— Jakim numerem kupca pani się posługuje?
— Czy kiedykolwiek nasze informacje okazały się niedokładne?
— Co zasugerowałaby nam pani w celu poprawienia jakości naszych usług?
— Czy będzie pani skłonna wypełniać periodycznie kwestionariusze,
które prześlemy do filii?
Chris ponownie się zgodziła. Przez chwilę rozmawiali niezobowiązująco. Po zakończeniu rozmowy Chris wróciła do swoich zajęć.

Trzecia rozmowa: Henry Mc Kinsey
— CreditChex, mówi Henry Mc Kinsey. W czym mogę pomóc?
Rozmówca powiedział, że dzwoni z National Bank. Podał prawidłowy numer kupca, a następnie nazwisko i numer ubezpieczenia
osoby, o której szukał informacji. Henry zapytał o datę urodzenia.
Rozmówca podał ją.
— Wells Fargo, wystąpiło NSF w 1998 na sumę 2066 $ — po paru
chwilach Henry odczytuje dane z ekranu komputera (NSF oznacza
niewystarczające środki. W żargonie bankowym dotyczy to czeków,
które zostały wystawione bez pokrycia).

40

Sztuka ataku

— Były jakieś zdarzenia od tamtego czasu?
— Nie było.
— Były jakieś inne zapytania?
— Sprawdźmy. Tak — trzy i wszystkie w ostatnim miesiącu. Bank
of Chicago...
Przy wymawianiu kolejnej nazwy — Schenectady Mutual Investments — zająknął się i musiał ją przeliterować.
— W stanie Nowy Jork — dodał.

Prywatny detektyw na służbie
Wszystkie trzy rozmowy przeprowadziła ta sama osoba: prywatny
detektyw, którego nazwiemy Oscar Grace. Grace zdobył nowego
klienta. Jednego z pierwszych. Jako były policjant zauważył, że część
jego nowej pracy przychodzi mu naturalnie, a część stanowi wyzwanie
dla jego wiedzy i inwencji. Tę robotę mógł zakwalifikować jednoznacznie do kategorii wyzwań.
Twardzi detektywi z powieści, tacy jak Sam Spade i Philip Marlowe,
przesiadywali długie nocne godziny w swoich samochodach, czyhając
na okazję, by przyłapać niewiernego małżonka. Prawdziwi detektywi
robią to samo. Poza tym zajmują się rzadziej opisywanymi, ale nie
mniej istotnymi formami węszenia na rzecz wojujących małżonków.
Opierają się one w większym stopniu na socjotechnice niż walce z sennością w czasie nocnego czuwania.
Nową klientką Grace’a była kobieta, której wygląd wskazywał, że nie
ma problemów z budżetem na ubrania i biżuterię. Któregoś dnia weszła
do biura i usiadła na jedynym skórzanym fotelu wolnym od stert papierów. Położyła swoją dużą torebkę od Gucciego na jego biurku, kierując
logo w stronę Grace’a, i oznajmiła, iż zamierza powiedzieć mężowi, że
chce rozwodu, przyznając jednocześnie, że ma „pewien mały problem”.
Wyglądało na to, że mężulek był o krok do przodu. Zdążył pobrać
pieniądze z ich rachunku oszczędnościowego i jeszcze większą sumę
z rachunku brokerskiego. Interesowało ją, gdzie mogły znajdować się
te pieniądze, a jej adwokat nie bardzo chciał w tym pomóc. Grace
przypuszczał, że był to jeden z tych wysoko postawionych gości, którzy nie chcą brudzić sobie rąk mętnymi sprawami pod tytułem „Gdzie
podziały się pieniądze?”.
Zapytała Grace’a, czy jej pomoże.
Zapewnił ją, że to będzie pestka, podał swoją stawkę, określił, że to ona
pokryje dodatkowe wydatki, i odebrał czek z pierwszą ratą wynagrodzenia.

Kiedy nieszkodliwa informacja szkodzi?

41

Potem uświadomił sobie problem. Co zrobić, kiedy nigdy nie zajmowało się taką robotą i nie ma się pojęcia o tym, jak wyśledzić drogę
przebytą przez pieniądze? Trzeba raczkować. Oto znana mi wersja historii Grace’a.
* * *
Wiedziałem o istnieniu CreditChex i o tym, jak banki korzystały z jego
usług. Moja była żona pracowała kiedyś w banku. Nie znałem jednak
żargonu i procedur, a próba pytania o to mojej byłej byłaby stratą czasu.
Krok pierwszy: ustalić terminologię i zorientować się, jak sformułować pytanie, by brzmiało wiarygodnie. W banku, do którego zadzwoniłem, pierwsza moja rozmówczyni, Kim, była podejrzliwa, kiedy
zapytałem, jak identyfikują się, dzwoniąc do CreditChex. Zawahała
się. Nie wiedziała, co powiedzieć. Czy zbiło mnie to z tropu? Ani trochę. Tak naprawdę, jej wahanie było dla mnie wskazówką, że muszę
umotywować swoją prośbę, aby brzmiała dla niej wiarygodnie. Opowiadając historyjkę o badaniach na potrzeby książki, pozbawiłem Kim
podejrzeń. Wystarczy powiedzieć, że jest się pisarzem lub gwiazdą
filmową, a wszyscy stają się bardziej otwarci.
Kim miała jeszcze więcej pomocnej mi wiedzy — na przykład, o jakie informacje pyta CreditChex w celu identyfikacji osoby, w sprawie
której dzwonimy, o co można ich pytać i najważniejsza rzecz: numer
klienta. Byłem gotów zadać te pytania, ale jej wahanie było dla mnie
ostrzeżeniem. Kupiła historię o pisarzu, ale przez chwilę trapiły ją podejrzenia. Gdyby odpowiedziała od razu, poprosiłbym ją o wyjawienie
dalszych szczegółów dotyczących procedur.
Trzeba kierować się instynktem, uważnie słuchać, co mówią i jak
mówią. Ta dziewczyna wydawała się na tyle bystra, że mogła wszcząć
alarm, gdybym zaczął zadawać zbyt wiele dziwnych pytań. Co prawda nie wiedziała, kim jestem i skąd dzwonię, ale samo rozejście się
wieści, żeby uważać na dzwoniących i wypytujących o informacje nie
byłoby wskazane. Lepiej nie spalić źródła — być może będziemy chcieli
zadzwonić tu jeszcze raz.
Zawsze zwracam uwagę na drobiazgi, z których mogę wywnioskować, na ile dana osoba jest skłonna do współpracy — oceniam to
w skali, która zaczyna się od: „Wydajesz się miłą osobą i wierzę we
wszystko, co mówisz”, a kończy na: „Dzwońcie na policję, ten facet
coś knuje!”.
Żargon ¥

Spalenie źródła — mówi się o napastniku, że spalił źródło, kiedy dopuści
do tego, że ofiara zorientuje się, iż została zaatakowana. Wówczas naj-

42

Sztuka ataku
prawdopodobniej powiadomi ona innych pracowników i kierownictwo
o tym, że miał miejsce atak. W tej sytuacji kolejny atak na to samo źródło
staje się niezwykle trudny.

Kim była gdzieś w środku skali, dlatego zadzwoniłem jeszcze do
innej filii. W czasie mojej drugiej rozmowy z Chris trik z ankietą udał
się doskonale. Taktyka polegała tu na przemyceniu ważnych pytań
wśród innych, błahych, które nadają całości wiarygodne wrażenie. Zanim zadałem pytanie o numer klienta CreditChex, przeprowadziłem
ostatni test, zadając osobiste pytanie o to, jak długo pracuje w banku.
Osobiste pytanie jest jak mina — niektórzy ludzie przechodzą obok
niej i nawet jej nie zauważają, a przy innych wybucha, wysyłając sygnał ostrzegawczy. Jeżeli więc zadam pytanie osobiste, a ona na nie
odpowie i ton jej głosu się nie zmieni, oznacza to, że prawdopodobnie
nie zdziwiła jej natura pytania. Mogę teraz zadać następne pytanie bez
wzbudzania podejrzeń i raczej otrzymam odpowiedź, jakiej oczekuję.
Jeszcze jedno. Dobry detektyw nigdy nie kończy rozmowy zaraz po
uzyskaniu kluczowej informacji. Dwa, trzy dodatkowe pytania, trochę
niezobowiązującej pogawędki i można się pożegnać. Jeżeli rozmówca
zapamięta coś z rozmowy, najprawdopodobniej będą to ostatnie pytania. Reszta pozostanie zwykle w pamięci zamglona.
Tak więc Chris podała mi swój numer klienta i numer telefonu,
którego używają do zapytań. Byłbym szczęśliwszy, gdyby udało mi się
jeszcze zadać parę pytań dotyczących tego, jakie informacje można
wyciągnąć od CreditChex. Lepiej jednak nie nadużywać dobrej passy.
To było tak, jakby CreditCheck wystawił mi czek in blanco — mogłem teraz dzwonić i otrzymywać informacje, kiedy tylko chciałem.
Nie musiałem nawet płacić za usługę. Jak się okazało, pracownik CreditChex z przyjemnością udzielił mi dokładnie tych informacji, których
potrzebowałem: podał dwa miejsca, w których mąż mojej klientki
ubiegał się o otwarcie rachunku. Gdzie w takim razie znajdowały się
pieniądze, których szukała jego „już wkrótce była żona”? Gdzieżby
indziej, jak nie w ujawnionych przez CreditChex instytucjach?

Analiza oszustwa
Cały podstęp opierał się na jednej z podstawowych zasad socjotechniki:
uzyskania dostępu do informacji, która mylnie jest postrzegana przez
pracownika jako nieszkodliwa.

Kiedy nieszkodliwa informacja szkodzi?

43

Pierwsza urzędniczka bankowa potwierdziła termin, jakim określa
się numer identyfikacyjny, używany do kontaktów z CreditChex —
„numer kupca”. Druga podała numer linii telefonicznej używanej
do połączeń z CreditChex i najistotniejszą informację — numer kupca
przydzielony bankowi — uznała to za nieszkodliwe. W końcu myślała,
że rozmawia z kimś z CreditChex, więc co może być szkodliwego
w podaniu im tego numeru?
Wszystko to stworzyło grunt do trzeciej rozmowy. Grace miał
wszystko, czego potrzebował, aby zadzwonić do CreditChex, podając
się za pracownika National Bank — jednego z ich klientów i po prostu
poprosić o informacje, których potrzebował.
Grace potrafił kraść informacje tak jak dobry oszust pieniądze, a do
tego miał rozwinięty talent wyczuwania charakterów ludzi i tego, o czym
w danej chwili myślą. Znał powszechną taktykę ukrywania kluczowych
pytań wśród zupełnie niewinnych. Wiedział, że osobiste pytanie pozwoli sprawdzić chęć współpracy drugiej urzędniczki przed niewinnym zadaniem pytania o numer kupca.
Błąd pierwszej urzędniczki, polegający na potwierdzeniu nazewnictwa dla numeru identyfikacyjnego CreditChex był w zasadzie nie
do uniknięcia. Informacja ta jest tak szeroko znana w branży bankowej, że wydaje się nie mieć wartości. Typowy przykład nieszkodliwej
informacji. Jednak druga urzędniczka, Chris, nie powinna odpowiadać
na pytania bez pozytywnej weryfikacji, że dzwoniący jest tym, za kogo
się podaje. W najgorszym przypadku powinna zapytać o jego nazwisko i numer telefonu, po czym oddzwonić. W ten sposób, jeżeli później
narodziłyby się jakiekolwiek wątpliwości, miałaby przynajmniej numer telefonu, spod którego dzwoniła dana osoba. W tym przypadku
wykonanie telefonu zwrotnego znacznie utrudniłoby intruzowi udawanie przedstawiciela CreditChex.
Lepszym rozwiązaniem byłby telefon do CreditChex, przy użyciu
numeru, z którego wcześniej korzystał bank, a nie tego, który poda
dzwoniący. Telefon taki miałby na celu sprawdzenie, czy dana osoba rzeczywiście tam pracuje i czy firma przeprowadza właśnie jakieś badania
klientów. Biorąc pod uwagę praktyczne aspekty pracy i fakt, że większość
ludzi pracuje pod presją terminów, wymaganie takiej weryfikacji to dużo,
chyba że pracownik ma podejrzenie, iż jest to próba inwigilacji.
Uwaga Mitnicka ¥

W tej sytuacji numer klienta spełniał taką samą rolę jak hasło. Jeżeli personel banku traktowałby ten numer w taki sam sposób jak numery PIN
swoich kart kredytowych, uświadomiłby sobie poufną naturę tej informacji.

44

Sztuka ataku

Pułapka na inżyniera
Wiadomo, że socjotechnika jest często stosowana przez „łowców głów”
w celu rekrutacji utalentowanych pracowników. Oto przykład.
Pod koniec lat 90. pewna niezbyt uczciwa agencja rekrutacyjna
podpisała umowę z nowym klientem, który szukał inżynierów elektryków z doświadczeniem w branży telekomunikacyjnej. Sprawę prowadziła kobieta znana ze swojego głębokiego głosu i seksownej maniery,
której nauczyła się, by zdobywać zaufanie i bliski kontakt ze swoimi
rozmówcami telefonicznymi.
Zdecydowała się zaatakować firmę będącą dostawcą usług telefonii
komórkowej i spróbować zlokalizować jakichś inżynierów, którzy mogą mieć ochotę na przejście do konkurencji. Nie mogła oczywiście zadzwonić na centralę firmy i powiedzieć: „Chciałam rozmawiać z jakąś
osobą z pięcioletnim doświadczeniem na stanowisku inżyniera”. Zamiast tego, z powodów, które za chwilę staną się jasne, rozpoczęła
polowanie na pracowników od poszukiwania pozornie bezwartościowej informacji, takiej, którą firma jest skłonna podać prawie każdemu,
kto o nią poprosi.

Pierwsza rozmowa: recepcjonistka
Kobieta, podając się za Didi Sands, wykonała telefon do głównej siedziby dostawcy usług telefonii komórkowej. Oto fragment rozmowy:
RECEPCJONISTKA: Dzień dobry. Mówi Marie. W czym mogę
pomóc?
DIDI: Może pani mnie połączyć z wydziałem transportu?
R: Nie jestem pewna, czy taki wydział istnieje. Spojrzę na spis. A kto
mówi?
D: Didi.
R: Dzwoni pani z budynku czy... ?
D: Nie, dzwonię z zewnątrz.
R: Didi jak?
D: Didi Sands. Miałam gdzieś wewnętrzny do transportowego, ale
go nie pamiętam.
R: Chwileczkę.
Aby załagodzić podejrzenia, Didi zadała w tym miejscu luźne,
podtrzymujące rozmowę pytanie, mające pokazać, że jest z „wewnątrz”
i jest obeznana z rozkładem budynków firmy.
D: W jakim budynku pani jest, w Lakeview czy w głównym?

Kiedy nieszkodliwa informacja szkodzi?

45

R: W głównym (pauza). Podaję ten numer: 805 555 6469.
Aby mieć coś na zapas, gdyby telefon do wydziału transportowego
w niczym jej nie pomógł, Didi poprosiła jeszcze o numer do wydziału
nieruchomości. Recepcjonistka podała również i ten numer. Kiedy Didi
poprosiła o połączenie z transportowym, recepcjonistka spróbowała,
ale numer był zajęty.
W tym momencie Didi zapytała o trzeci numer telefonu do działu
rachunkowości, który znajdował się w głównej siedzibie firmy w Austin w Teksasie. Recepcjonistka poprosiła ją, aby poczekała i wyłączyła
na chwilę linię. Czy zadzwoniła do ochrony, że ma podejrzany telefon
i coś się jej tu nie podoba? Otóż nie i Didi nawet nie brała tej możliwości pod uwagę. Była co prawda trochę natrętna, ale dla recepcjonistki
to raczej nic dziwnego w jej pracy. Po około minucie recepcjonistka
powróciła do rozmowy, sprawdziła numer do rachunkowości i połączyła Didi z tym wydziałem.

Druga rozmowa: Peggy
Następna rozmowa przebiegła następująco:
PEGGY: Rachunkowość, Peggy.
DIDI: Dzień dobry, Peggy, tu Didi z Thousand Oaks.
PEGGY: Dzień dobry, Didi.
DIDI: Jak się masz?
PEGGY: Dobrze.
W tym momencie Didi użyła częstego w firmie zwrotu, który opisuje kod opłaty, przypisujący wydatek z budżetu określonej organizacji lub grupie roboczej.
DIDI: To świetnie. Mam pytanie. Jak mam znaleźć centrum kosztów
dla danego wydziału?
PEGGY: Musisz się skontaktować z analitykiem budżetowym danego wydziału.
DIDI: Nie wiesz, kto jest analitykiem dla dyrekcji w Thousand Oaks?
Właśnie wypełniam formularz i nie znam prawidłowego centrum kosztów.
PEGGY: Ja tylko wiem, że jeśli ktokolwiek potrzebuje centrum
kosztów, dzwoni do analityka budżetowego.
DIDI: A macie centrum kosztów dla waszego wydziału w Teksasie?
PEGGY: Mamy własne centrum kosztów. Widocznie góra stwierdziła,
że więcej nie musimy wiedzieć.
DIDI: A z ilu cyfr składa się centrum kosztów? Jakie jest na przykład
wasze centrum?
PEGGY: A wy jesteście w 9WC czy w SAT?

46

Sztuka ataku

Didi nie miała pojęcia, jakich wydziałów lub grup dotyczyły te
oznaczenia, ale nie miało to znaczenia.
DIDI: 9WC.
PEGGY: No to zwykle ma 4 cyfry. Jeszcze raz: skąd dzwonisz?
DIDI: Z dyrekcji w Thousand Oaks.
PEGGY: Podaję numer dla Thousand Oaks. To 1A5N. N jak Natalia.
Rozmawiając wystarczająco długo z osobą skłonną do pomocy, Didi
uzyskała numer centrum kosztów, którego potrzebowała. Była to jedna
z tych informacji, której nikt nie stara się chronić, ponieważ wydaje się
ona bezwartościowa dla kogokolwiek spoza organizacji.

Trzecia rozmowa: pomocna pomyłka
W następnym kroku Didi wymieni numer centrum kosztów na coś, co
przedstawia rzeczywistą wartość, wykorzystując go jak wygrany żeton
w następnej rundzie gry.
Na początku zadzwoniła do wydziału nieruchomości, udając, że dodzwoniła się pod zły numer. Rozpoczynając od: „Nie chciałabym panu
przeszkadzać...”, powiedziała, że jest pracownikiem firmy i zgubiła
gdzieś spis telefonów, a teraz nie wie, do kogo powinna zadzwonić, żeby dostać nowy. Mężczyzna powiedział, że wydrukowany spis jest już
nieważny, bo bieżący jest dostępny na firmowej stronie intranetowej.
Didi powiedziała, że wolałaby korzystać z wydruku. Mężczyzna
poradził jej, by zadzwoniła do działu publikacji, a następnie z własnej
woli — być może chciał podtrzymać trochę dłużej rozmowę z kobietą
o seksownym głosie — poszukał i podał jej numer telefonu.

Czwarta rozmowa: Bart z publikacji
W dziale publikacji rozmawiała z człowiekiem o imieniu Bart. Didi
powiedziała, że dzwoni z Thousand Oaks i że mają nowego konsultanta, który potrzebuje kopii wewnętrznego spisu telefonów firmy.
Dodała, że wydrukowana kopia będzie lepsza dla konsultanta, nawet
jeżeli nie jest najświeższa. Bart powiedział, że musi wypełnić odpowiedni formularz i przesłać mu go.
Didi stwierdziła, że skończyły jej się formularze, a sprawa była dla
niej pilna i czy Bart mógłby być taki kochany i wypełnić formularz za nią.
Zgodził się, okazując nadmierny entuzjazm, a Didi podała mu dane.
Zamiast adresu fikcyjnego oddziału podała numer czegoś, co socjotechnicy określają mianem punktu zrzutu — w tym przypadku cho-

Kiedy nieszkodliwa informacja szkodzi?

47

dziło o jedną ze skrzynek pocztowych, jakie jej firma wynajmowała
specjalnie na takie okazje.
Żargon ¥

Punkt zrzutu — w języku socjotechników miejsce, gdzie ofiara oszustwa przesyła dokumenty lub inne przesyłki (może to być np. skrzynka
pocztowa, którą socjotechnik wynajmuje, zwykle posługując się fałszywym nazwiskiem).

W tym momencie przydaje się wcześniejsza zdobycz. Za przesłanie
spisu będzie opłata. Nie ma sprawy — Didi podaje w tym momencie
numer centrum kosztów dla Thousand Oaks: „1A5N. N jak Nancy”.
Po paru dniach, kiedy dotarł spis telefonów, Didi stwierdziła, że
otrzymała nawet więcej, niż się spodziewała. Spis wymieniał nie tylko
nazwiska i numery telefonów, ale pokazywał też, kto dla kogo pracuje,
czyli strukturę organizacyjną firmy.
Didi ze swoim ochrypłym głosem mogła w tym momencie rozpocząć
telefonowanie w celu upolowania pracowników. Informacje konieczne
do rozpoczęcia poszukiwań uzyskała dzięki darowi wymowy polerowanemu przez każdego zaawansowanego socjotechnika. Teraz mogła
przejść do rekrutacji.

Analiza oszustwa
W tym ataku socjotechnicznym Didi rozpoczęła od uzyskania numerów
telefonów do trzech oddziałów interesującej ją firmy. Było to łatwe,
ponieważ numery te nie były zastrzeżone, szczególnie dla pracowników. Socjotechnik uczy się rozmawiać tak, jakby był pracownikiem
firmy — Didi potrafiła to robić świetnie. Jeden z numerów telefonów
doprowadził ją do tego, że otrzymała numer centrum kosztów, którego
z kolei użyła, aby otrzymać kopię spisu telefonów firmy.
Główne narzędzia, jakich używała, to przyjazny ton, używanie żargonu firmowego i, przy ostatniej ofierze, trochę werbalnego trzepotania
rzęsami.
Jeszcze jednym, jakże ważnym, narzędziem są zdolności socjotechnika
do manipulacji, doskonalone przez długą praktykę i korzystanie z doświadczeń innych oszustów.
Uwaga Mitnicka ¥

48

Sztuka ataku
Tak jak w układance, osobny fragment informacji może być sam w sobie nieznaczący, ale po połączeniu wielu takich klocków w całość otrzymujemy jasny obraz. W tym przypadku obrazem tym była cała wewnętrzna struktura przedsiębiorstwa.

Kolejne bezwartościowe informacje
Jakie inne, pozornie mało istotne, informacje, oprócz numeru centrum
kosztów lub listy telefonów firmy, mogą być cennym łupem dla intruza?

Telefon do Petera Abelsa
— Dzień dobry — słyszy w słuchawce. — Tu mówi Tom z Parkhurst
Travel. Pana bilety do San Francisco są do odbioru. Mamy je panu dostarczyć, czy sam pan je odbierze?
— San Francisco? — mówi Peter. — Nie wybieram się do San Francisco.
— A czy to pan Peter Abels?
— Tak, i nie planuję żadnych podróży.
— No tak — śmieje się rozmówca — a może jednak chciałby pan
wybrać się do San Francisco?
— Jeżeli pan jest w stanie namówić na to mojego szefa... — mówi
Peter, podtrzymując żartobliwą konwersację.
— To pewnie pomyłka — wyjaśnia głos w słuchawce. — W naszym
systemie rezerwujemy podróże pod numerem pracownika. Pewnie
ktoś użył złego numeru. Jaki jest pana numer?
Peter posłusznie recytuje swój numer. Czemu miałby tego nie robić?
Przecież numer ten widnieje na każdym formularzu, który wypełnia,
wiele osób w firmie ma do niego dostęp: kadry, płace, a nawet zewnętrzne biuro podróży. Nikt nie traktuje tego numeru jak tajemnicy.
Co za różnica, czy go poda czy nie?
Odpowiedź jest prosta. Dwie lub trzy informacje mogą wystarczyć
do tego, by wcielić się w pracownika firmy. Socjotechnik ukrywa się za
czyjąś tożsamością. Zdobycie nazwiska pracownika, jego telefonu,
numeru identyfikacyjnego i może jeszcze nazwiska oraz telefonu jego
szefa wystarczy nawet mało doświadczonemu socjotechnikowi, aby
być przekonującym dla swojej następnej ofiary.
Gdyby ktoś, kto mówi, że jest z innego oddziału firmy, zadzwonił
wczoraj i, podając wiarygodny powód, poprosił o Twój numer identyfikacyjny, czy miałbyś jakieś opory przed jego podaniem?

Kiedy nieszkodliwa informacja szkodzi?

49

A przy okazji, jaki jest Twój numer ubezpieczenia społecznego?
Uwaga Mitnicka ¥

Morał z historii jest taki: nie podawaj nikomu żadnych osobistych i wewnętrznych informacji lub numerów, chyba że rozpoznajesz głos rozmówcy, a ten tych informacji naprawdę potrzebuje.

Zapobieganie oszustwu
Firma jest odpowiedzialna za uświadomienie pracownikom, jakie mogą
być skutki niewłaściwego obchodzenia się z niepublicznymi informacjami. Dobrze przemyślana polityka bezpieczeństwa informacji, połączona z odpowiednią edukacją i treningiem, poważnie zwiększy u pracowników świadomość znaczenia informacji firmowych i umiejętność
ich chronienia. Polityka klasyfikacji danych wprowadza odpowiednie
środki sterujące wypływem informacji. Jeżeli polityka taka nie istnieje,
wszystkie informacje wewnętrzne muszą być traktowane jako poufne,
chyba że wyraźnie wskazano inaczej.
W celu uniknięcia wypływu pozornie nieszkodliwych informacji
z firmy należy podjąć następujące kroki:
♦

Wydział Bezpieczeństwa Informacji musi przeprowadzić
szkolenie uświadamiające na temat metod stosowanych
przez socjotechników. Jedną z opisanych powyżej metod
jest uzyskiwanie pozornie błahych informacji i używanie ich
w celu zbudowania chwilowego zaufania. Każdy z zatrudnionych
musi być świadomy, że wiedza rozmówcy dotycząca procedur
firmowych, żargonu i identyfikatorów w żaden sposób nie
uwierzytelnia jego prośby o informację. Rozmówca może być
byłym pracownikiem albo zewnętrznym wykonawcą usług,
który posiada informacje umożliwiające „poruszanie się”
po firmie. Zgodnie z tym, każda firma jest odpowiedzialna
za ustalenie odpowiednich metod uwierzytelniania do
stosowania podczas kontaktów pracowników z osobami,
których ci osobiście nie rozpoznają przez telefon.

♦

Osoby, które mają za zadanie stworzenie polityki klasyfikacji
danych, powinny przeanalizować typowe rodzaje informacji,
które mogą pomóc w uzyskaniu dostępu komuś podającemu
się za pracownika. Wydają się one niegroźne, ale mogą

50

Sztuka ataku

prowadzić do zdobycia informacji poufnych. Mimo że nie
podalibyśmy nikomu kodu PIN naszej karty kredytowej,
czy powiedzielibyśmy komuś, jaki typ serwera wykorzystywany
jest w naszej firmie? Czy ktoś mógłby użyć tej informacji,
aby podać się za pracownika, który posiada dostęp do sieci
komputerowej firmy?
♦

Czasami zwykła znajomość wewnętrznej terminologii może
uczynić socjotechnika wiarygodnym. Napastnik często opiera
się na tym założeniu, wyprowadzając w pole swoją ofiarę.
Na przykład numer klienta to identyfikator, którego pracownicy
działu nowych rachunków używają swobodnie na co dzień.
Jednak numer ten nie różni się niczym od hasła. Jeżeli każdy
pracownik uświadomi sobie naturę tego identyfikatora
i spostrzeże, że służy on do pozytywnej identyfikacji dzwoniącego,
być może zacznie traktować go z większym respektem.

♦

Żadna firma — powiedzmy, prawie żadna — nie podaje
bezpośredniego numeru telefonu do członków zarządu lub
rady nadzorczej. Większość firm nie ma jednak oporów przed
podawaniem numerów telefonów większości wydziałów
i innych jednostek organizacyjnych, w szczególności osobom,
które wydają się być pracownikami firmy. Jednym z rozwiązań
jest wprowadzenie zakazu podawania numerów wewnętrznych
pracowników, konsultantów wykonujących usługi i przejściowo
zatrudnionych w firmie jakimkolwiek osobom z zewnątrz.
Co więcej, należy stworzyć procedurę opisującą krok po kroku
identyfikację osoby proszącej o numer pracownika firmy.

♦

Kody księgowe grup i wydziałów oraz kopie spisów telefonów
wewnętrznych (w formie wydruku, lub pliku w intranecie)
to często obiekty pożądania socjotechników. Każda firma
potrzebuje pisemnej, rozdanej wszystkim procedury opisującej
ujawnianie takich informacji. W środkach zapobiegawczych
należy uwzględnić odnotowywanie przypadków udostępnienia
informacji osobom spoza firmy.

♦

Informacje takie jak numer pracownika nie powinny być
jedynym źródłem identyfikacji. Każdy pracownik musi
nauczyć się weryfikować nie tylko tożsamość, ale również
powód zapytania.

Kiedy nieszkodliwa informacja szkodzi?
♦

51

W ramach poprawy bezpieczeństwa można rozważyć nauczenie
pracowników następującego podejścia: uczymy się grzecznie
odmawiać odpowiedzi na pytania i robienia przysług
nieznajomym, dopóki prośba nie zostanie zweryfikowana.
Następnie, zanim ulegniemy naturalnej chęci pomagania
innym, postępujemy zgodnie z procedurami firmy, opisującymi
weryfikację i udostępnianie niepublicznych informacji. Taki
styl może nie iść w parze z naturalną tendencją do pomocy
drugiemu człowiekowi, ale odrobina paranoi wydaje się
konieczna, aby nie stać się kolejną ofiarą socjotechnika.

Historie przedstawione w tym rozdziale pokazują, w jaki sposób
pozornie mało ważne informacje mogą stać się kluczem do najpilniej
strzeżonych sekretów firmy.
Uwaga Mitnicka ¥

Jak głosi stare powiedzenie, nawet paranoicy miewają realnych wrogów. Musimy założyć, że każda firma ma swoich wrogów, których celem jest dostęp do infrastruktury sieci, a w rezultacie do tajemnic firmy.
Czy naprawdę chcemy wspomóc statystykę przestępstw komputerowych? Najwyższy czas umocnić obronę, stosując odpowiednie metody
postępowania przy wykorzystaniu polityki i procedur bezpieczeństwa.

3
Bezpośredni atak
— wystarczy poprosić
Ataki socjotechników bywają zawiłe, składają się z wielu kroków i gruntownego planowania, często łącząc elementy manipulacji z wiedzą
technologiczną.
Zawsze jednak uderza mnie to, że dobry socjotechnik potrafi osiągnąć
swój cel prostym, bezpośrednim atakiem. Jak się przekonamy — czasami
wystarczy poprosić o informację.

MLAC — szybka piłka
Interesuje nas czyjś zastrzeżony numer telefonu? Socjotechnik może
odszukać go na pół tuzina sposobów (część z nich można poznać,
czytając inne historie w tej książce), ale najprostszy scenariusz to taki,
który wymaga tylko jednego telefonu. Oto on.

54

Sztuka ataku

Proszę o numer...
Napastnik zadzwonił do mechanicznego centrum przydziału linii
(MLAC) firmy telekomunikacyjnej i powiedział do kobiety, która odebrała telefon:
— Dzień dobry, tu Paul Anthony. Jestem monterem kabli. Proszę
posłuchać, mam tu spaloną skrzynkę z centralką. Policja podejrzewa,
że jakiś cwaniak próbował podpalić swój dom, żeby wyłudzić odszkodowanie. Przysłali mnie tu, żebym połączył od nowa całą centralkę na
200 odczepów. Przydałaby mi się pani pomoc. Które urządzenia powinny działać na South Main pod numerem 6723?
W innych wydziałach firmy telekomunikacyjnej, do której zadzwonił,
wiedziano, że jakiekolwiek informacje lokacyjne lub niepublikowane
numery telefonów można podawać tylko uprawnionym pracownikom
firmy. Ale o istnieniu MLAC wiedzą raczej tylko pracownicy firmy. Co
prawda informacje te są zastrzeżone, ale kto odmówi udzielenia pomocy pracownikowi mającemu do wykonania ciężką poważną robotę?
Rozmówczyni współczuła mu, jej samej również zdarzały się trudne
dni w pracy, więc obeszła trochę zasady i pomogła koledze z tej samej
firmy, który miał problem. Podała mu oznaczenia kabli, zacisków
i wszystkie numery przyporządkowane temu adresowi.

Analiza oszustwa
Jak wielokrotnie można było zauważyć w opisywanych historiach, znajomość żargonu firmy i jej struktury wewnętrznej — różnych biur i wydziałów, ich zadań i posiadanych przez nie informacji to część podstawowego zestawu sztuczek, używanych przez socjotechników.
Uwaga Mitnicka ¥

Ludzie z natury ufają innym, szczególnie kiedy prośba jest zasadna. Socjotechnicy używają tej wiedzy, by wykorzystać ofiary i osiągnąć swe cele.

Ścigany
Człowiek, którego nazwiemy Frank Parsons, od lat uciekał. Wciąż był
poszukiwany przez rząd federalny za udział w podziemnej grupie
antywojennej w latach 60. W restauracjach siadał twarzą do wejścia
i miał nawyk ciągłego spoglądania za siebie, wprowadzając w zakłopotanie innych ludzi. Co kilka lat zmieniał adres.

Bezpośredni atak — wystarczy poprosić

55

Któregoś razu Frank wylądował w obcym mieście i zaczął rozglądać się za pracą. Dla kogoś takiego jak Frank, który znał się bardzo
dobrze na komputerach (oraz na socjotechnice, ale o tym nie wspominał w swoich listach motywacyjnych), znalezienie dobrej posady nie
było problemem. Poza czasami recesji talenty ludzi z dużą wiedzą
techniczną dotyczącą komputerów zwykle są poszukiwane i nie mają
oni problemów z ustawieniem się. Frank szybko odnalazł ofertę dobrze
płatnej pracy w dużym domu opieki, blisko miejsca, gdzie mieszkał.
To jest to — pomyślał. Ale kiedy zaczął brnąć przez formularze
aplikacyjne, natknął się na przeszkodę: pracodawca wymagał od aplikanta kopii jego akt policyjnych, które należało uzyskać z policji stanowej. Stos papierów zawierał odpowiedni formularz prośby, który
zawierał też kratkę na odcisk palca. Co prawda wymagany był jedynie
odcisk prawego palca wskazującego, ale jeżeli sprawdzą jego odcisk
z bazą danych FBI, prawdopodobnie wkrótce będzie pracował, ale
w kuchni „domu opieki” sponsorowanego przez rząd federalny.
Z drugiej strony, Frank uświadomił sobie, że być może w jakiś sposób
udałoby mu się przemknąć. Może policja stanowa w ogóle nie przesłała
jego odcisków do FBI. Ale jak się o tym dowiedzieć?
Jak? Przecież był socjotechnikiem — jak myślicie, w jaki sposób się
dowiedział? Oczywiście wykonał telefon na policję: „Dzień dobry.
Prowadzimy badania dla Departamentu Sprawiedliwości New Jersey.
Badamy wymagania dla nowego systemu identyfikacji odcisków palców.
Czy mógłbym rozmawiać z kimś, kto jest dobrze zorientowany w waszych zadaniach i mógłby nam pomóc?”.
Kiedy lokalny ekspert podszedł do telefonu, Frank zadał szereg
pytań o systemy, jakich używają, możliwości wyszukiwania i przechowywania odcisków. Czy mieli jakieś problemy ze sprzętem? Czy
korzystają z wyszukiwarki odcisków NCIC (Narodowego Centrum Informacji o Przestępstwach), czy mogą to robić tylko w obrębie stanu?
Czy nauka obsługi sprzętu nie była zbyt trudna?
Chytrze przemycił pośród innych pytań jedno kluczowe.
Odpowiedź była muzyką dla jego uszu. Nie, nie byli związani z NCIC,
sprawdzali tylko ze stanowym CII (Indeks Informacji o Przestępstwach). To było wszystko, co Frank chciał wiedzieć. Nie był notowany
w tym stanie, więc przesłał swoją aplikację, został zatrudniony i nikt
nigdy nie pojawił się u niego ze słowami: „Ci panowie są z FBI i mówią,
że chcieliby z tobą porozmawiać”.
Jak sam twierdził, okazał się idealnym pracownikiem.
Uwaga Mitnicka ¥

56

Sztuka ataku
Zmyślni złodzieje informacji nie obawiają się dzwonienia do urzędników
federalnych, stanowych lub przedstawicieli władzy lokalnej, aby dowiedzieć się czegoś o procedurach wspomagających prawo. Posiadając takie informacje, socjotechnik jest w stanie obejść standardowe zabezpieczenia w firmie.

Na portierni
Niezależnie od wprowadzanej komputeryzacji, firmy wciąż drukują
codziennie tony papierów. Ważne pismo może być w naszej firmie zagrożone nawet, gdy zastosujemy właściwe środki bezpieczeństwa i opieczętujemy je jako tajne. Oto historia, która pokazuje, jak socjotechnik
może wejść w posiadanie najbardziej tajnych dokumentów.

W pętli oszustwa
Każdego roku firma telekomunikacyjna publikuje książkę zwaną „Spis
numerów testowych” (a przynajmniej publikowała, a jako że jestem
nadal pod opieką kuratora, wolę nie pytać, czy robią to nadal). Dokument
ten stanowił ogromną wartość dla phreakerów, ponieważ wypełniała
go lista pilnie strzeżonych numerów telefonów, używanych przez firmowych specjalistów, techników i inne osoby do testowania łączy
międzymiastowych i sprawdzania numerów, które były wiecznie zajęte.
Jeden z tych numerów, określany w żargonie jako pętla, był szczególnie przydatny. Phreakerzy używali go do szukania innych phreakerów
i gawędzenia z nimi za darmo. Poza tym tworzyli dzięki niemu numery
do oddzwaniania, które można było podać np. w banku. Socjotechnik
zostawiał urzędnikowi w banku numer telefonu, pod którym można
było go zastać. Kiedy bank oddzwaniał na numer testowy (tworzył
pętlę), phreaker mógł spokojnie odebrać telefon, zabezpieczając się
użyciem numeru, który nie był z nim skojarzony.
Spis numerów testowych udostępniał wiele przydatnych danych,
które mogłyby być użyte przez głodnego informacji phreakera. Tak
więc każdy nowy spis, publikowany co roku, stawał się obiektem pożądania młodych ludzi, których hobby polegało na eksploracji sieci
telefonicznej.
Uwaga Mitnicka ¥

Trening bezpieczeństwa, przeprowadzony zgodnie z polityką firmy,
stworzoną w celu ochrony zasobów informacyjnych, musi dotyczyć

Bezpośredni atak — wystarczy poprosić

57

wszystkich jej pracowników, a w szczególności tych, którzy mają elektroniczny lub fizyczny dostęp do zasobów informacyjnych firmy.

Szwindel Steve’a
Oczywiście firmy telekomunikacyjne nie ułatwiają zdobycia takiego
spisu, dlatego phreakerzy muszą wykazać się tu kreatywnością. W jaki
sposób mogą tego dokonać? Gorliwy młodzieniec, którego marzeniem
jest zdobycie spisu, mógł odegrać następujący scenariusz.
* * *
Pewnego ciepłego wieczoru południowokalifornijskiej jesieni Steve
zadzwonił do biura niewielkiej centrali telekomunikacyjnej. Stąd biegną
linie telefoniczne do wszystkich domów, biur i szkół w okolicy.
Kiedy technik będący na służbie odebrał telefon, Steve oświadczył,
że dzwoni z oddziału firmy, który zajmuje się publikacją materiałów
drukowanych.
— Mamy wasz nowy „Spis telefonów testowych” — powiedział —
ale z uwagi na bezpieczeństwo nie możemy dostarczyć wam nowego
spisu, dopóki nie odbierzemy starego. Gość, który odbiera spisy, właśnie
się spóźnia. Gdyby pan zostawił wasz spis na portierni, mógłby on szybko wpaść, wziąć stary, podrzucić nowy i jechać dalej.
Niczego niepodejrzewający technik uznaje, że brzmi to rozsądnie.
Robi dokładnie to, o co go poproszono, zostawiając na portierni swoją
kopię spisu. Napisano na niej wielkimi czerwonymi literami tekst
ostrzeżenia: „TAJEMNICA FIRMY — Z CHWILĄ DEZAKTUALIZACJI
TEGO DOKUMENTU NALEŻY GO ZNISZCZYĆ”.
Steve podjeżdża i rozgląda się uważnie dookoła, sprawdzając, czy
nie ma policji lub ochrony firmy, która mogłaby zaczaić się za drzewami lub obserwować go z zaparkowanych samochodów. Nikogo nie
widzi. Spokojnie odbiera upragnioną książkę i odjeżdża.
Jeszcze jeden przykład na to, jak łatwe dla socjotechnika jest otrzymanie czegoś, po prostu o to prosząc.

Atak na klienta
Nie tylko zasoby firmy mogą stać się obiektem ataku socjotechnika.
Czasami jego ofiarą padają klienci firmy.

58

Sztuka ataku

Praca w dziale obsługi klienta przynosi po części frustrację, po części śmiech, a po części niewinne błędy — niektóre z nich mogą mieć
przykre konsekwencje dla klientów firmy.

Historia Josie Rodriguez
Josie Rodriguez pracowała od trzech lat na jednym ze stanowisk w biurze obsługi klienta w firmie Hometown Electric Power w Waszyngtonie.
Uważano ją za jedną z lepszych pracownic. Była bystra i przytomna.
* * *
W tygodniu, w którym wypadało Święto Dziękczynienia, zadzwonił
telefon. Rozmówca powiedział:
— Mówi Eduardo z działu fakturowania. Mam pewną panią na
drugiej linii. To sekretarka z dyrekcji, która pracuje dla jednego z wiceprezesów. Prosi mnie o pewną informację, a ja nie mogę w tej chwili
skorzystać z komputera. Dostałem e-maila od jednej dziewczyny z kadr
zatytułowanego „ILOVEYOU” i kiedy otwarłem załącznik, komputer się
zawiesił. Wirus. Dałem się nabrać na głupi wirus. Czy w związku z tym,
mogłaby pani poszukać dla mnie informacji o kliencie?
— Pewnie — odpowiedziała Josie. — To całkiem zawiesza komputer?
Straszne.
— Tak.
— Jak mogę pomóc? — zapytała Josie.
W tym momencie napastnik powołał się na informację, którą zdobył
wcześniej podczas poszukiwań różnych danych pomocnych w uwiarygodnieniu się. Dowiedział się, że informacja, której poszukiwał, jest
przechowywana w tak zwanym „systemie informacji o fakturach klienta”
i dowiedział się, jak nazywali go pracownicy (CBIS).
— Czy może pani wywołać konto z CBIS? — zapytał.
— Tak, jaki jest numer konta?
— Nie mam numeru, musimy znaleźć po nazwisku.
— Dobrze. Jakie nazwisko?
— Heather Marning — przeliterował nazwisko, a Josie je wpisała.
— Już mam.
— Świetnie. To jest rachunek bieżący?
— Mhm, bieżący.
— Jaki ma numer? — zapytał.
— Ma pan coś do pisania?
— Mam.
— Konto numer BAZ6573NR27Q.

Bezpośredni atak — wystarczy poprosić

59

Odczytał jej zapisany numer i zapytał:
— A jaki jest adres obsługi?
Podała mu adres.
— A numer telefonu?
Josie posłusznie odczytała również tę informację.
Rozmówca podziękował jej, pożegnał się i odwiesił słuchawkę. Josie
odebrała kolejny telefon, nawet nie myśląc o tym, co się stało.

Badania Arta Sealy’ego
Art Sealy porzucił pracę jako niezależny redaktor pracujący dla małych
wydawnictw, kiedy wpadł na to, że może zarabiać, zdobywając informacje dla pisarzy i firm. Wkrótce odkrył, że honoraria, jakie mógłby
pobierać, rosną proporcjonalnie do zbliżania się do subtelnej granicy linii
oddzielającej działania legalne od nielegalnych. Nie zdając sobie z tego
sprawy, i oczywiście nie nazywając rzeczy po imieniu, Art stał się socjotechnikiem używającym technik znanych każdemu poszukiwaczowi informacji. Okazał się naturalnym talentem w tej branży, dochodząc samemu do metod, których socjotechnicy muszą uczyć się od innych. Wkrótce
przekroczył wspomnianą granicę bez najmniejszego poczucia winy.
* * *
Wynajął mnie człowiek, który pisał książkę o gabinecie prezydenta
w czasach Nixona i szukał informatora, który dostarczyłby mu mniej
znanych faktów na temat Williama E. Simona, będącego Sekretarzem
Skarbu w rządzie Nixona. Pan Simon zmarł, ale autor znał nazwisko
kobiety, która dla niego pracowała. Był prawie pewny, że mieszka ona
w Waszyngtonie, ale nie potrafił zdobyć jej adresu. Nie miała również
telefonu, a przynajmniej nie było go w książce. Tak więc, kiedy zadzwonił do mnie, powiedziałem mu, że to żaden problem.
Jest to robota, którą można załatwić zwykle jednym lub dwoma telefonami, jeżeli zrobi się to z głową. Od każdego lokalnego przedsiębiorstwa użyteczności publicznej raczej łatwo wyciągnąć informacje.
Oczywiście trzeba trochę nakłamać, ale w końcu czym jest jedno małe
niewinne kłamstwo?
Lubię stosować za każdym razem inne podejście — wtedy jest ciekawiej. „Tu mówi ten-a-ten z biura dyrekcji” zawsze nieźle działało.
Albo „mam kogoś na linii z biura wiceprezesa X”, które zadziałało też
tym razem.
Trzeba wyrobić w sobie pewnego rodzaju instynkt socjotechnika.
Wyczuwać chęć współpracy w osobie po drugiej stronie. Tym razem

Ebookpoint.pl kopia
dla: 531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
E:\_PDF\ARTDE2_P\zr\03pop.doc

(11-07-12)

59

60

Sztuka ataku

poszczęściło mi się — trafiłem na przyjazną i pomocną panią. Jeden
telefon wystarczył, aby uzyskać adres i numer telefonu. Misja została
wykonana.

Analiza oszustwa
Oczywiście Josie zdawała sobie sprawę, że informacja o kliencie jest
poufna. Nigdy nie pozwoliłaby sobie na rozmowę na temat rachunku
jakiegoś klienta z innym klientem lub na publiczne ujawnianie prywatnych informacji.
Jednak dla dzwoniącego z tej samej firmy stosuje się inne zasady.
Kolega z pracy to członek tej samej drużyny — musimy sobie pomagać
w wykonywaniu pracy. Człowiek z działu fakturowania mógł sam sobie sprawdzić te informacje w swoim komputerze, gdyby nie zawiesił
go wirus. Cieszyła się, że mogła pomóc współpracownikowi.
Art stopniowo dochodził do kluczowej informacji, której naprawdę
szukał, zadając po drodze pytania o rzeczy dla niego nieistotne, jak numer konta. Jednocześnie informacja o numerze konta stanowiła drogę
ucieczki — gdyby Josie zaczęła coś podejrzewać, wykonałby drugi telefon, z większą szansą na sukces — znajomość numeru konta uczyniłaby
go jeszcze bardziej wiarygodnym w oczach kolejnego urzędnika.
Josie nigdy nie zdarzyło się, by ktoś kłamał w taki sposób — nie przyszłoby jej do głowy, że rozmówca mógł nie być tak naprawdę z działu
fakturowania. Oczywiście wina nie leży po stronie Josie, która nie została
dobrze poinformowana o zasadach upewniania się co do tożsamości
dzwoniącego przed omawianiem z nim informacji dotyczących czyjegoś
konta. Nikt nigdy nie powiedział jej o niebezpieczeństwie takiego telefonu, jaki wykonał Art. Nie stanowiło to części polityki firmy, nie było elementem szkolenia i jej przełożony nigdy o tym nie wspomniał.
Uwaga Mitnicka ¥

Nigdy nie należy sądzić, że wszystkie ataki socjotechniczne muszą być
gruntownie uknutą intrygą, tak skomplikowaną, że praktycznie niewykrywalną. Niektóre z nich to szybkie ataki z zaskoczenia, bardzo proste
w formie. Jak widać, czasami wystarczy po prostu zapytać.

Zapobieganie oszustwu
Punkt, który należy umieścić w planie szkolenia z zakresu bezpieczeństwa, dotyczy faktu, że jeśli nawet dzwoniący lub odwiedzający zna

Ebookpoint.pl kopia
531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
60 dla:
(11-07-12)

E:\_PDF\ARTDE2_P\zr\03pop.doc

Bezpośredni atak — wystarczy poprosić

61

nazwiska jakichś osób z firmy lub zna żargon i procedury, nie znaczy to,
że podaje się za tego, kim jest. Zdecydowanie nie czyni go to w żaden
sposób uprawnionym do otrzymywania wewnętrznych informacji lub
wykonywania operacji na naszym komputerze lub sieci.
Szkolenie takie musi jasno uczyć, żeby w razie wątpliwości sprawdzać, sprawdzać i jeszcze raz sprawdzać.
W dawnych czasach dostęp do informacji wewnątrz firmy był
oznaką rangi i przywilejem. Pracownicy otwierali piece, uruchamiali
maszyny, pisali listy, wypełniali raporty. Brygadzista lub szef mówił
im, co robić, kiedy i jak. Tylko brygadzista lub szef wiedzieli, ile elementów musi wyprodukować dany pracownik na jednej zmianie, jakie
kolory i rozmiary mają być wypuszczone w tym tygodniu, w następnym i na koniec miesiąca.
Pracownicy obsługiwali maszyny, narzędzia i korzystali z materiałów. Szefowie dysponowali informacją, a pracownicy dowiadywali się
jedynie tego, co niezbędne w ich pracy.
Prawda, że dziś wygląda to nieco inaczej? Wielu pracowników
w fabryce obsługuje jakiś komputer lub maszynę sterowaną komputerowo. Dla zatrudnionych dostępne są krytyczne informacje, co ułatwia
im wykonanie swojej części pracy — w obecnych czasach większość
rzeczy, które robią, jest związana z informacją.
Dlatego też polityka bezpieczeństwa firmy musi sięgać wszędzie,
niezależnie od stanowiska. Każdy musi zrozumieć, że nie tylko szefowie i dyrekcja są w posiadaniu informacji, których poszukiwać może
napastnik. Dziś pracownik na każdym szczeblu, nawet niekorzystający
z komputera, może stać się obiektem ataku. Nowo zatrudniony konsultant w dziale obsługi klienta może stanowić słabe ogniwo, które zostanie wykorzystane przez socjotechnika do swoich celów.
Szkolenie w zakresie bezpieczeństwa i polityka bezpieczeństwa
firmy musi wzmacniać takie słabe ogniwa.

Ebookpoint.pl kopia
dla: 531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
E:\_PDF\ARTDE2_P\zr\03pop.doc

(11-07-12)

61

62

Sztuka ataku

Ebookpoint.pl kopia
531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
62 dla:
(11-07-12)

E:\_PDF\ARTDE2_P\zr\03pop.doc

4
Budowanie zaufania
Niektóre z opisanych tu historii mogą sugerować, że uważam pracowników firm za kompletnych idiotów, gotowych, a nawet chętnych, do
wyjawienia każdego sekretu. Socjotechnik zdaje sobie sprawę, że to
nieprawda. Dlaczego więc ataki socjotechników są takie skuteczne? Na
pewno nie dlatego, że ludzie są głupi bądź pozbawieni zdrowego rozsądku. Jesteśmy tylko ludźmi — każdego z nas można oszukać. Pod
wpływem pewnego rodzaju manipulacji możemy źle ulokować nasze
zaufanie.
Socjotechnik z góry zakłada, że napotka podejrzliwość lub opór, i jest
zawsze przygotowany na przełamywanie barier nieufności. Dobry socjotechnik planuje swój atak niemal jak partię szachów, przewidując pytania,
jakie ofiara może zadać, i przygotowując stosowne odpowiedzi.
Jedną z typowych technik jest budowanie poczucia zaufania u ofiary.
Jak oszust może zdobyć nasze zaufanie? Ma na to swoje sposoby...
Uwaga ¥

Opowiadając o socjotechnikach, phreakerach i oszustach, zwykle używam rodzaju męskiego. Nie jest to szowinizm, a jedynie odzwierciedlenie prawdy, że większość uprawiających ten proceder to mężczyźni.
Mimo że obecnie nie ma wielu kobiet parających się socjotechniką, to ich
liczba stale rośnie.

Ebookpoint.pl kopia
dla: 531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
E:\_PDF\ARTDE2_P\zr\04pop.doc

(11-07-12)

63

64

Sztuka ataku
Kobiety w roli socjotechników są na tyle dojrzałe, aby wiedzieć, że sam
dźwięk damskiego głosu nie przełamie żadnej bariery. Mają one jednak
znaczącą przewagę, ponieważ mogą używać do przełamywania barier
swojej seksualności. Na stronach tej książki słaba płeć jest reprezentowana
jednak w niewielkim stopniu.

Zaufanie kluczem do manipulacji
Im bardziej zaaranżowana przez socjotechnika rozmowa dotyczy codziennych, zwykłych spraw, tym bardziej unika on wszelkich podejrzeń. W sytuacji, gdy ludzie nie mają powodów do podejrzliwości, socjotechnik może łatwo zyskać ich zaufanie. Jeżeli mu się to uda, most
zwodzony zostaje opuszczony, a wrota zamku otwierają się, aby mógł
wejść i uzyskać każdą informację, jakiej potrzebuje.

Pierwsza rozmowa: Andrea Lopez
Andrea Lopez odebrała telefon w wypożyczalni kaset wideo, gdzie
pracowała, i po chwili na jej twarzy pojawił się uśmiech. To przyjemne, gdy klient mówi, że jest zadowolony z usług firmy. Rozmówca
powiedział, że ma bardzo dobre doświadczenia w korzystaniu z wypożyczalni i że pragnie napisać o tym list do menedżera.
Zapytał o jego nazwisko i adres korespondencyjny. Andrea powiedziała, że menedżer nazywa się Tommy Allison i podała adres. Kiedy
już miała się rozłączyć, rozmówcy przyszło jeszcze coś do głowy i powiedział: „Może napiszę też do waszej centrali. Jaki jest numer waszej
wypożyczalni?”. Andrea podała mu również tę informację. Rozmówca
podziękował jej, dodał coś miłego o tym, jak bardzo była pomocna,
i pożegnał się.
Taki telefon — pomyślała — zawsze sprawia, że dzień upływa
szybciej. Gdyby tylko ludzie robili to częściej.

Druga rozmowa: Ginny
— Dziękujemy za telefon do VideoMasters. Mówi Ginny. W czym mogę pomóc?
— Dzień dobry, Ginny — powiedział entuzjastycznie rozmówca,
tak jakby rozmawiał z Ginny co najmniej raz w tygodniu. — Tu Tommy
Allison, menedżer z Forest Park, wypożyczalnia numer 863. Mamy tu

Ebookpoint.pl kopia
531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
64 dla:
(11-07-12)

E:\_PDF\ARTDE2_P\zr\04pop.doc

Budowanie zaufania

65

klienta, który chciałby wypożyczyć film Rocky 5, a skończyły nam się
kopie. Możesz sprawdzić, czy coś macie?
Po kilku chwilach wróciła do telefonu i powiedziała:
— Tak. Mamy trzy kopie.
— Świetnie, zapytam, czy przyjechałby do was po film. W ogóle to
bardzo ci dziękuje. Jeżeli kiedykolwiek potrzebowałabyś pomocy kogoś
z naszej wypożyczalni, dzwoń i proś Tommy’ego. Będzie mi miło, gdy
będę mógł coś dla ciebie zrobić.
W czasie następnych paru tygodni Ginny odbierała telefony od
Tommy’ego, który prosił o pomoc w różnych sprawach. Były to całkiem
normalne prośby, a Tommy był zawsze bardzo miły i nigdy nic nie
wskazywało na to, by chciał ją wykorzystać. Przy okazji lubił sobie pogawędzić. Mówił na przykład: „Słyszałaś o tym pożarze w Oak Park?
Podobno zamknęli parę ulic”. Jego telefony były dla niej okazją do
oderwania się na chwilę od rutyny dnia i zawsze cieszyła się, kiedy się
odzywał.
Pewnego dnia Tommy zadzwonił nieco zestresowany, pytając:
— Mieliście może jakieś problemy z komputerami?
— Nie — odpowiedziała Ginny. — Dlaczego?
— Jakiś gość zderzył się samochodem ze słupem telefonicznym i konserwator z firmy telekomunikacyjnej mówi, że cała dzielnica nie będzie
miała dostępu do Internetu, dopóki tego nie naprawią.
— O nie! Coś się mu stało?
— Odwieźli go karetką. Czy mogłabyś mi pomóc? Mam tu waszego klienta, który chce wypożyczyć Ojca chrzestnego III, ale zapomniał
karty. Sprawdziłabyś dla mnie jego dane?
— Pewnie.
Tommy podał nazwisko i adres klienta. Ginny znalazła go w komputerze. Podała Tommy’emu numer konta klienta w systemie.
— Są jakieś opóźnione zwroty lub zaległości do zapłacenia? — zapytał
Tommy.
— Nic nie widzę.
— Świetnie. Wpiszę go do bazy danych później, jak naprawią Internet.
On chce, żeby obciążyć jego kartę Visa, którą płaci w waszej wypożyczalni, a też nie ma jej przy sobie. Jaki jest numer tej karty i data ważności?
Ginny podała numer i datę.
— Dzięki za pomoc. Do usłyszenia — powiedział Tommy i rozłączył się.

Ebookpoint.pl kopia
dla: 531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
E:\_PDF\ARTDE2_P\zr\04pop.doc

(11-07-12)

65

66

Sztuka ataku

Historia Doyle’a Lonnegana
Doyle Lonnegan to młody człowiek, którego nikt zapewne nie chciałby
oglądać u swoich drzwi. Kiedyś zajmował się odzyskiwaniem długów
karcianych. Obecnie od czasu do czasu również świadczy podobne usługi, o ile nie narażają go na większe koszta. W tym przypadku zaoferowano mu całkiem pokaźną sumę pieniędzy za coś, co wymagało zaledwie
paru telefonów do wypożyczalni kaset wideo. Robota wydawała się łatwa, jednak żaden ze „zleceniodawców” nie wiedział, jak przeprowadzić
taką akcję. Potrzebowali więc kogoś z talentem i wiedzą Lonnegana.
* * *
Ludzie, gdy nie mają szczęścia albo są zbyt naiwni przy pokerowym
stoliku, nie regulują swoich długów. Każdy to wie. Dlaczego moi znajomi grali z oszustem, który nie kładł forsy na stół? Kto to może wiedzieć? Może po prostu słabo idą im testy na inteligencję. Ale w końcu
to koledzy, więc co zrobić?
Gość nie miał pieniędzy, a zatem przyjęli czek. Pytam się, czy nie
mogli pojechać z nim prosto do bankomatu. Nie — wzięli sobie czek.
Na 3230 dolarów.
Oczywiście nie miał pokrycia. Niby czego mieli się spodziewać?
Zadzwonili więc do mnie z pytaniem, czy mogę pomóc. Nie wsadzam
już buta między drzwi — dzisiaj są lepsze metody. Zażądałem 30 procent prowizji i stwierdziłem, że zobaczę, co się da zrobić. Podali mi jego nazwisko i adres, a ja usiadłem przy komputerze, żeby sprawdzić,
gdzie ma najbliższą wypożyczalnię kaset wideo.
Nie spieszyło mi się. Cztery telefony, aby wejść w łaski pracowników wypożyczalni, i w końcu: „Bingo!” — dostałem numer karty kredytowej oszusta.
Jeden znajomy ma bar topless — „Knockers”. Za pięćdziesiąt dolców przepuści dług pokerowy przez konto baru. Niech teraz oszust
się tłumaczy przed swoją żoną. A co stałoby się, gdyby powiedział
bankowi, że to nie jego transakcja? Zastanówmy się chwilę. On wie, że
znamy jego namiary. Zda sobie sprawę, że jeżeli potrafiliśmy zdobyć
numer jego karty, to moglibyśmy pewnie dużo więcej. Nie ma obaw.

Analiza oszustwa
Pierwsze telefony Tommy’ego do Ginny miały po prostu zbudować zaufanie. Kiedy przyszła pora ataku, Ginny opuściła gardę i zaakceptowała Tommy’ego jako pracownika innej wypożyczalni tej samej sieci.

Ebookpoint.pl kopia
531-157-88-73 ercris Krzysztof Rzepczynski k.rzepczynski@gmail.com
66 dla:
(11-07-12)

E:\_PDF\ARTDE2_P\zr\04pop.doc

Budowanie zaufania

67

Dlaczego nie miałaby go zaakceptować? Przecież już go znała.
Oczywiście rozmawiali tylko telefonicznie, ale zdążyli już nawiązać
biznesową znajomość, która jest podstawą zaufania. Z chwilą, kiedy
zaakceptowała go jako kogoś pracującego dla tej samej firmy, reszta
była już prosta.
Uwaga Mitnicka ¥

Technika budowania zaufania znana z „Żądła” jest jedną z bardziej
efektywnych taktyk socjotechnicznych. Zawsze trzeba się zastanowić
nad tym, czy naprawdę znamy osobę, z którą rozmawiamy. Może się
bowiem zdarzyć, że osoba nie jest tą, za którą się podaje. Podobnie należy
nauczyć się obserwować, weryfikować i kwestionować domniemane
stanowisko lub pozycję rozmówcy.

Zdobywanie numeru karty
— wariacja na temat
Budowanie poczucia zaufania nie zawsze wymaga kilku telefonów do
ofiary, jak sugerować może poprzednia historia. Byłem świadkiem sytuacji, kiedy zajęło to jedynie pięć minut.

Niespodzianka, tato!
Pewnego razu usiadłem przy stoliku w restauracji z Henrym i jego ojcem. W trakcie rozmowy Henry zbeształ swojego ojca za podawanie
numeru karty kredytowej tak, jakby to był numer telefonu.
— Jasne, że musisz podać numer karty, gdy coś kupujesz — powiedział — ale podawanie go sklepowi, który wpisuje go do swoich
akt, to szczyt bezmyślności.
— Jedynym miejscem, w kt