Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00109 005669 13431758 na godz. na dobę w sumie
Sztuka podstępu. Łamałem ludzi, nie hasła. Wydanie II - ebook/pdf
Sztuka podstępu. Łamałem ludzi, nie hasła. Wydanie II - ebook/pdf
Autor: , , Liczba stron: 384
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-283-3420-5 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> klasyka hakera
Porównaj ceny (książka, ebook (-40%), audiobook).

Łącząc techniczną biegłość ze starą jak świat sztuką oszustwa, Kevin Mitnick staje się programistą nieobliczalnym.

'New York Times', 7 kwietnia 1994


Już jako nastolatek swoimi umiejętnościami zastraszył całą Amerykę. Z czasem stał się najsłynniejszym hakerem świata i wrogiem publicznym numer jeden - okrzyknięty przez media groźnym cyberprzestępcą, gorliwie ścigany przez FBI, w końcu podstępem namierzony, osaczony i spektakularnie ujęty... Uzbrojony w klawiaturę został uznany za groźnego dla społeczeństwa - wyrokiem sądu na wiele lat pozbawiono go dostępu do komputera, internetu i telefonów komórkowych. Życiorys Kevina Mitnicka jest jak scenariusz dobrego filmu sensacyjnego! Nic zatem dziwnego, że doczekał się swojej hollywoodzkiej wersji. Genialny informatyk czy mistrz manipulacji? Jak naprawdę działał człowiek, wokół wyczynów i metod którego narosło tak wiele legend? Jakim sposobem udało mu się włamać do systemów takich firm, jak Nokia, Fujitsu, Novell czy Sun Microsystems?!

Zakup najdroższych technologii zabezpieczeń, karty biometryczne, intensywne szkolenia personelu, restrykcyjna polityka informacyjna czy wreszcie wynajęcie agencji ochrony - Kevin Mitnick udowodnił, że w świecie sieci i systemów poczucie bezpieczeństwa jest tylko iluzją. Ludzka naiwność, łatwowierność i ignorancja - oto najsłabsze ogniwa, wiodące do uzyskania poufnych informacji, tajnych kodów i haseł. Mitnick, obecnie najbardziej rozchwytywany ekspert w dziedzinie bezpieczeństwa komputerów, w swej niezwykłej książce przestrzega i pokazuje, jak łatwo można ominąć bariery systemów wartych miliony dolarów. Przedstawiając i analizując metody hakerów oparte na prawdziwych atakach, demonstruje, że tam, gdzie nie można znaleźć luk technicznych, zawsze skuteczne okazują się ludzkie słabości... A Ty? Jesteś w pełni świadomy narzędzi technologicznych i socjotechnicznych, które hakerzy mogą wykorzystać przeciwko Tobie?

Opinie czytelników o książce Sztuka podstępu. Łamałem ludzi, nie hasła (źródło:www.helion.pl )

Jeśli ktoś ma cokolwiek wspólnego z bezpieczeństwem jakiegokolwiek systemu komputerowego, to NIEprzeczytanie tej książki jest grzechem ciężkim!

Tomasz

Książka pokazuje, jak ludzki umysł można łatwo oszukać, jak skrótowo myśli, jak szybko wpada w rutynę i tendencyjne wyciąga wnioski.

Damian

Najsłynniejszy haker świata Kevin Mitnick uczy nas, jak bronić samych siebie i nasze firmy przed atakami socjotechników.

Adam

Mitnick przedstawia scenariusze ataków hakerskich w postaci wyjątkowo barwnych i wciągających opowieści. Sztukę podstępu czyta się jak doskonały kryminał, kryminał z wyjątkowo cennym morałem.

Grzegorz

Przekonaj się, że 'ściśle tajne' to fikcja. A bezpieczeństwo systemu to tylko Twoje złudzenie...

Książka wzbogacona o wstęp do polskiego wydania
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: The Art of Deception: Controlling the Human Element of Security Tłumaczenie: Jarosław Dobrzański Projekt okładki: Jan Paluch Materiały graficzne na okładce zostały wykorzystane za zgodą Shutterstock Images LLC. ISBN: 978-83-283-3137-2 Copyright © 2002 by Kevin D. Mitnick, and William L. Simon All Rights Reserved. This translation published under license. Published by Wiley Publishing, Inc., Indianapolis, Indiana Translation copyright © 2003, 2011, 2016 by Helion SA All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniej-szej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficz-ną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/artd2v Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis tre|ci Wstöp do wydania polskiego ...........................................................7 Säowo wstöpne .............................................................................11 Przedmowa ..................................................................................13 Wprowadzenie ..............................................................................19 I Za kulisami 21 1 Piöta achillesowa systemów bezpieczeþstwa ..................................23 35 II Sztuka ataku 2 Kiedy nieszkodliwa informacja szkodzi? ..........................................37 3 BezpoĈredni atak — wystarczy poprosiè .........................................53 4 Budowanie zaufania ......................................................................63 5 MoĔe pomóc? ..............................................................................77 6 Potrzebujö pomocy .......................................................................99 7 Faäszywe witryny i niebezpieczne zaäñczniki ...................................115 8 Wspóäczucie, wina i zastraszenie .................................................129 9 Odwrotnie niĔ w „ēñdle” ..............................................................157 173 III Uwaga, intruz! 10 Na terenie firmy ..........................................................................175 11 Socjotechnika i technologia .........................................................201 12 Atak w dóä hierarchii ...................................................................223 13 Wyrafinowane intrygi ...................................................................239 14 Szpiegostwo przemysäowe ...........................................................255 Poleć książkęKup książkę 6 Spis tre|ci IV Podnoszenie poprzeczki 273 15 Bezpieczeþstwo informacji — ĈwiadomoĈè i szkolenie .....................275 16 Zalecana polityka bezpieczeþstwa informacji ................................291 Dodatki 365 Bezpieczeþstwo w piguäce ...........................................................367 đródäa ........................................................................................37(cid:25) Podziökowania (cid:3)...........................................................................37(cid:26) Epilog ........................................................................................38(cid:22) Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 37 2 Kiedy nieszkodliwa informacja szkodzi? Na czym polega realne zagroĔenie ze strony socjotechnika? Czego po- winniĈmy siö strzec? JeĔeli jego celem jest zdobycie czegoĈ wartoĈciowego, powiedzmy czöĈci kapitaäu firmy, to byè moĔe potrzebny jest solidniejszy skarbiec i wiöksze straĔe, czyĔ nie? Penetracja systemu bezpieczeþstwa firmy czösto zaczyna siö od zdobycia informacji lub dokumentu, który wydaje siö nie mieè znaczenia, jest powszechnie dostöpny i niezbyt waĔny. WiökszoĈè ludzi wewnñtrz organizacji nie widzi wiöc powodów, dla których miaäby byè chroniony lub zastrzeĔony. Ukryta warto|r informacji Wiele nieszkodliwie wyglñdajñcych informacji bödñcych w posiadaniu firmy jest cennych dla socjotechnika, poniewaĔ mogñ one odegraè podstawowñ rolö podczas wcielania siö w kogoĈ innego. Poleć książkęKup książkę 38 Sztuka ataku Ze stron tej ksiñĔki dowiemy siö, jak dziaäajñ socjotechnicy, stajñc siö „Ĉwiadkami” ich ataków. Czasami przedstawienie sytuacji, w pierw- szej kolejnoĈci z punktu widzenia ofiary, umoĔliwia wcielenie siö w jej rolö i próbö analizy, jak my, lub nasi pracownicy, zachowalibyĈmy siö w takiej sytuacji. W wielu przypadkach te same wydarzenia zostanñ przedstawione równieĔ z punktu widzenia socjotechnika. Pierwsza historia uĈwiadamia nam säabe strony firm dziaäajñcych w branĔy finansowej. CreditChex Jak daleko siögnñè pamiöciñ, Brytyjczycy musieli zmagaè siö ze staro- Ĉwieckim systemem bankowym. Zwykäy, uczciwy obywatel nie moĔe po prostu wejĈè tam do banku i zaäoĔyè konta. Bank nie bödzie trak- towaè go jako klienta, dopóki osoba juĔ bödñca klientem nie napisze mu listu referencyjnego. W naszym, z pozoru egalitarnym Ĉwiecie bankowoĈci, wyglñda to juĔ trochö inaczej. Nowoczesny, äatwy sposób robienia interesów jest najbardziej widoczny w przyjaznej i demokratycznej Ameryce, gdzie kaĔdy moĔe wejĈè do banku i bez problemu otworzyè rachunek. Cho- ciaĔ nie do koþca. W rzeczywistoĈci banki majñ naturalne opory przed otwieraniem rachunku komuĈ, kto mógä w przeszäoĈci wystawiaè cze- ki bez pokrycia. Klient taki jest tak samo mile widziany jak raport strat z napadu na bank czy defraudacja Ĉrodków. Dlatego standardowñ praktykñ w wielu bankach jest szybkie sprawdzanie wiarygodnoĈci nowego klienta. Jednñ z wiökszych firm, które banki wynajmujñ do takich kontroli, jest CreditChex. ćwiadczy ona cenne usäugi dla swoich klientów, ale jej pracownicy mogñ teĔ nieĈwiadomie pomóc socjotechnikowi. Pierwsza rozmowa: Kim Andrews — National Bank, tu mówi Kim. Czy chce pan otworzyè rachunek? — Dzieþ dobry, mam pytanie do pani. Czy korzystacie z Credit- Chex? — Tak. — A jak siö nazywa ten numer, który trzeba podaè, jak siö dzwoni do CreditChex? Numer kupca? Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 39 Pauza. Kim rozwaĔa pytanie. Czego dotyczyäo i czy powinna odpo- wiedzieè? Rozmówca zaczyna mówiè dalej bez chwili zastanowienia: — Wie pani, pracujö nad ksiñĔkñ o prywatnych Ĉledztwach. — Tak — mówi Kim, odpowiadajñc na pytanie po znikniöciu wñt- pliwoĈci, zadowolona, Ĕe mogäa pomóc pisarzowi. — A wiöc to siö nazywa numer kupca, tak? — Mhm. — ćwietnie. Chciaäem siö po prostu upewniè, czy znam Ĕargon. Na potrzeby ksiñĔki. Dziökujö za pomoc. Do widzenia. Druga rozmowa: Chris Walker — National Bank, nowe rachunki, mówi Chris. — Dzieþ dobry, tu Alex — przedstawia siö rozmówca. — Jestem z obsäugi klientów CreditChex. Przeprowadzamy ankietö, aby polep- szyè jakoĈè naszych usäug. Czy moĔe pani poĈwiöciè mi parö minut? Chris zgodziäa siö. Rozmówca kontynuowaä: — Dobrze, a wiöc jakie sñ godziny otwarcia waszej filii? — Chris odpowiada na to pytanie i na szereg nastöpnych. — Ilu pracowników waszej filii korzysta z naszych usäug? — Jak czösto dzwonicie do nas z zapytaniem? — Który z numerów 0-800 zostaä wam podany do kontaktów z nami? — Czy nasi przedstawiciele zawsze byli uprzejmi? — Jaki jest nasz czas odpowiedzi? — Jak däugo pracuje pani w banku? — Jakim numerem kupca pani siö posäuguje? — Czy kiedykolwiek nasze informacje okazaäy siö niedokäadne? — Co zasugerowaäaby nam pani w celu poprawienia jakoĈci na- szych usäug? które przeĈlemy do filii? — Czy bödzie pani skäonna wypeäniaè periodycznie kwestionariusze, Chris ponownie siö zgodziäa. Przez chwilö rozmawiali niezobowiñ- zujñco. Po zakoþczeniu rozmowy Chris wróciäa do swoich zajöè. Trzecia rozmowa: Henry Mc Kinsey — CreditChex, mówi Henry Mc Kinsey. W czym mogö pomóc? Rozmówca powiedziaä, Ĕe dzwoni z National Bank. Podaä prawi- däowy numer kupca, a nastöpnie nazwisko i numer ubezpieczenia osoby, o której szukaä informacji. Henry zapytaä o datö urodzenia. Rozmówca podaä jñ. Poleć książkęKup książkę 40 Sztuka ataku — Wells Fargo, wystñpiäo NSF w 1998 na sumö 2066 $ — po paru chwilach Henry odczytuje dane z ekranu komputera (NSF oznacza niewystarczajñce Ĉrodki. W Ĕargonie bankowym dotyczy to czeków, które zostaäy wystawione bez pokrycia). — Byäy jakieĈ zdarzenia od tamtego czasu? — Nie byäo. — Byäy jakieĈ inne zapytania? — SprawdĒmy. Tak — trzy i wszystkie w ostatnim miesiñcu. Bank of Chicago... Przy wymawianiu kolejnej nazwy — Schenectady Mutual Invest- ments — zajñknñä siö i musiaä jñ przeliterowaè. — W stanie Nowy Jork — dodaä. Prywatny detektyw na svubie Wszystkie trzy rozmowy przeprowadziäa ta sama osoba: prywatny detektyw, którego nazwiemy Oscar Grace. Grace zdobyä nowego klienta. Jednego z pierwszych. Jako byäy policjant zauwaĔyä, Ĕe czöĈè jego nowej pracy przychodzi mu naturalnie, a czöĈè stanowi wyzwanie dla jego wiedzy i inwencji. Tö robotö mógä zakwalifikowaè jedno- znacznie do kategorii wyzwaþ. Twardzi detektywi z powieĈci, tacy jak Sam Spade i Philip Marlowe, przesiadywali däugie nocne godziny w swoich samochodach, czyhajñc na okazjö, by przyäapaè niewiernego maäĔonka. Prawdziwi detektywi robiñ to samo. Poza tym zajmujñ siö rzadziej opisywanymi, ale nie mniej istotnymi formami wöszenia na rzecz wojujñcych maäĔonków. Opierajñ siö one w wiökszym stopniu na socjotechnice niĔ walce z senno- Ĉciñ w czasie nocnego czuwania. Nowñ klientkñ Grace’a byäa kobieta, której wyglñd wskazywaä, Ĕe nie ma problemów z budĔetem na ubrania i biĔuteriö. KtóregoĈ dnia weszäa do biura i usiadäa na jedynym skórzanym fotelu wolnym od stert papie- rów. PoäoĔyäa swojñ duĔñ torebkö od Gucciego na jego biurku, kierujñc logo w stronö Grace’a, i oznajmiäa, iĔ zamierza powiedzieè möĔowi, Ĕe chce rozwodu, przyznajñc jednoczeĈnie, Ĕe ma „pewien maäy problem”. Wyglñdaäo na to, Ĕe möĔulek byä o krok do przodu. ZdñĔyä pobraè pieniñdze z ich rachunku oszczödnoĈciowego i jeszcze wiökszñ sumö z rachunku brokerskiego. Interesowaäo jñ, gdzie mogäy znajdowaè siö te pieniñdze, a jej adwokat nie bardzo chciaä w tym pomóc. Grace przypuszczaä, Ĕe byä to jeden z tych wysoko postawionych goĈci, któ- rzy nie chcñ brudziè sobie rñk mötnymi sprawami pod tytuäem „Gdzie podziaäy siö pieniñdze?”. Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 41 Zapytaäa Grace’a, czy jej pomoĔe. Zapewniä jñ, Ĕe to bödzie pestka, podaä swojñ stawkö, okreĈliä, Ĕe to ona pokryje dodatkowe wydatki, i odebraä czek z pierwszñ ratñ wynagrodzenia. Potem uĈwiadomiä sobie problem. Co zrobiè, kiedy nigdy nie zaj- mowaäo siö takñ robotñ i nie ma siö pojöcia o tym, jak wyĈledziè drogö przebytñ przez pieniñdze? Trzeba raczkowaè. Oto znana mi wersja hi- storii Grace’a. * * * Wiedziaäem o istnieniu CreditChex i o tym, jak banki korzystaäy z jego usäug. Moja byäa Ĕona pracowaäa kiedyĈ w banku. Nie znaäem jednak Ĕargonu i procedur, a próba pytania o to mojej byäej byäaby stratñ czasu. Krok pierwszy: ustaliè terminologiö i zorientowaè siö, jak sformu- äowaè pytanie, by brzmiaäo wiarygodnie. W banku, do którego za- dzwoniäem, pierwsza moja rozmówczyni, Kim, byäa podejrzliwa, kiedy zapytaäem, jak identyfikujñ siö, dzwoniñc do CreditChex. Zawahaäa siö. Nie wiedziaäa, co powiedzieè. Czy zbiäo mnie to z tropu? Ani tro- chö. Tak naprawdö, jej wahanie byäo dla mnie wskazówkñ, Ĕe muszö umotywowaè swojñ proĈbö, aby brzmiaäa dla niej wiarygodnie. Opo- wiadajñc historyjkö o badaniach na potrzeby ksiñĔki, pozbawiäem Kim podejrzeþ. Wystarczy powiedzieè, Ĕe jest siö pisarzem lub gwiazdñ filmowñ, a wszyscy stajñ siö bardziej otwarci. Kim miaäa jeszcze wiöcej pomocnej mi wiedzy — na przykäad, o ja- kie informacje pyta CreditChex w celu identyfikacji osoby, w sprawie której dzwonimy, o co moĔna ich pytaè i najwaĔniejsza rzecz: numer klienta. Byäem gotów zadaè te pytania, ale jej wahanie byäo dla mnie ostrzeĔeniem. Kupiäa historiö o pisarzu, ale przez chwilö trapiäy jñ po- dejrzenia. Gdyby odpowiedziaäa od razu, poprosiäbym jñ o wyjawienie dalszych szczegóäów dotyczñcych procedur. Trzeba kierowaè siö instynktem, uwaĔnie säuchaè, co mówiñ i jak mówiñ. Ta dziewczyna wydawaäa siö na tyle bystra, Ĕe mogäa wszczñè alarm, gdybym zaczñä zadawaè zbyt wiele dziwnych pytaþ. Co praw- da nie wiedziaäa, kim jestem i skñd dzwoniö, ale samo rozejĈcie siö wieĈci, Ĕeby uwaĔaè na dzwoniñcych i wypytujñcych o informacje nie byäoby wskazane. Lepiej nie spaliè Ēródäa — byè moĔe bödziemy chcieli zadzwoniè tu jeszcze raz. Zawsze zwracam uwagö na drobiazgi, z których mogö wywnio- skowaè, na ile dana osoba jest skäonna do wspóäpracy — oceniam to w skali, która zaczyna siö od: „Wydajesz siö miäñ osobñ i wierzö we wszystko, co mówisz”, a koþczy na: „Dzwoþcie na policjö, ten facet coĈ knuje!”. Poleć książkęKup książkę 42 Sztuka ataku € a r g o n ¥ Spalenie Ēródäa — mówi siö o napastniku, Ĕe spaliä Ēródäo, kiedy dopuĈci do tego, Ĕe ofiara zorientuje siö, iĔ zostaäa zaatakowana. Wówczas naj- prawdopodobniej powiadomi ona innych pracowników i kierownictwo o tym, Ĕe miaä miejsce atak. W tej sytuacji kolejny atak na to samo Ēródäo staje siö niezwykle trudny. Kim byäa gdzieĈ w Ĉrodku skali, dlatego zadzwoniäem jeszcze do innej filii. W czasie mojej drugiej rozmowy z Chris trik z ankietñ udaä siö doskonale. Taktyka polegaäa tu na przemyceniu waĔnych pytaþ wĈród innych, bäahych, które nadajñ caäoĈci wiarygodne wraĔenie. Za- nim zadaäem pytanie o numer klienta CreditChex, przeprowadziäem ostatni test, zadajñc osobiste pytanie o to, jak däugo pracuje w banku. Osobiste pytanie jest jak mina — niektórzy ludzie przechodzñ obok niej i nawet jej nie zauwaĔajñ, a przy innych wybucha, wysyäajñc sy- gnaä ostrzegawczy. JeĔeli wiöc zadam pytanie osobiste, a ona na nie odpowie i ton jej gäosu siö nie zmieni, oznacza to, Ĕe prawdopodobnie nie zdziwiäa jej natura pytania. Mogö teraz zadaè nastöpne pytanie bez wzbudzania podejrzeþ i raczej otrzymam odpowiedĒ, jakiej oczekujö. Jeszcze jedno. Dobry detektyw nigdy nie koþczy rozmowy zaraz po uzyskaniu kluczowej informacji. Dwa, trzy dodatkowe pytania, trochö niezobowiñzujñcej pogawödki i moĔna siö poĔegnaè. JeĔeli rozmówca zapamiöta coĈ z rozmowy, najprawdopodobniej bödñ to ostatnie pyta- nia. Reszta pozostanie zwykle w pamiöci zamglona. Tak wiöc Chris podaäa mi swój numer klienta i numer telefonu, którego uĔywajñ do zapytaþ. Byäbym szczöĈliwszy, gdyby udaäo mi siö jeszcze zadaè parö pytaþ dotyczñcych tego, jakie informacje moĔna wyciñgnñè od CreditChex. Lepiej jednak nie naduĔywaè dobrej passy. To byäo tak, jakby CreditCheck wystawiä mi czek in blanco — mo- gäem teraz dzwoniè i otrzymywaè informacje, kiedy tylko chciaäem. Nie musiaäem nawet päaciè za usäugö. Jak siö okazaäo, pracownik Cre- ditChex z przyjemnoĈciñ udzieliä mi dokäadnie tych informacji, których potrzebowaäem: podaä dwa miejsca, w których mñĔ mojej klientki ubiegaä siö o otwarcie rachunku. Gdzie w takim razie znajdowaäy siö pieniñdze, których szukaäa jego „juĔ wkrótce byäa Ĕona”? GdzieĔby indziej, jak nie w ujawnionych przez CreditChex instytucjach? Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 43 Analiza oszustwa Caäy podstöp opieraä siö na jednej z podstawowych zasad socjotechniki: uzyskania dostöpu do informacji, która mylnie jest postrzegana przez pracownika jako nieszkodliwa. Pierwsza urzödniczka bankowa potwierdziäa termin, jakim okreĈla siö numer identyfikacyjny, uĔywany do kontaktów z CreditChex — „numer kupca”. Druga podaäa numer linii telefonicznej uĔywanej do poäñczeþ z CreditChex i najistotniejszñ informacjö — numer kupca przydzielony bankowi — uznaäa to za nieszkodliwe. W koþcu myĈlaäa, Ĕe rozmawia z kimĈ z CreditChex, wiöc co moĔe byè szkodliwego w podaniu im tego numeru? Wszystko to stworzyäo grunt do trzeciej rozmowy. Grace miaä wszystko, czego potrzebowaä, aby zadzwoniè do CreditChex, podajñc siö za pracownika National Bank — jednego z ich klientów i po prostu poprosiè o informacje, których potrzebowaä. Grace potrafiä kraĈè informacje tak jak dobry oszust pieniñdze, a do tego miaä rozwiniöty talent wyczuwania charakterów ludzi i tego, o czym w danej chwili myĈlñ. Znaä powszechnñ taktykö ukrywania kluczowych pytaþ wĈród zupeänie niewinnych. Wiedziaä, Ĕe osobiste pytanie po- zwoli sprawdziè chöè wspóäpracy drugiej urzödniczki przed niewin- nym zadaniem pytania o numer kupca. Bäñd pierwszej urzödniczki, polegajñcy na potwierdzeniu nazew- nictwa dla numeru identyfikacyjnego CreditChex byä w zasadzie nie do unikniöcia. Informacja ta jest tak szeroko znana w branĔy banko- wej, Ĕe wydaje siö nie mieè wartoĈci. Typowy przykäad nieszkodliwej informacji. Jednak druga urzödniczka, Chris, nie powinna odpowiadaè na pytania bez pozytywnej weryfikacji, Ĕe dzwoniñcy jest tym, za kogo siö podaje. W najgorszym przypadku powinna zapytaè o jego nazwi- sko i numer telefonu, po czym oddzwoniè. W ten sposób, jeĔeli póĒniej narodziäyby siö jakiekolwiek wñtpliwoĈci, miaäaby przynajmniej nu- mer telefonu, spod którego dzwoniäa dana osoba. W tym przypadku wykonanie telefonu zwrotnego znacznie utrudniäoby intruzowi uda- wanie przedstawiciela CreditChex. Lepszym rozwiñzaniem byäby telefon do CreditChex, przy uĔyciu numeru, z którego wczeĈniej korzystaä bank, a nie tego, który poda dzwoniñcy. Telefon taki miaäby na celu sprawdzenie, czy dana osoba rze- czywiĈcie tam pracuje i czy firma przeprowadza wäaĈnie jakieĈ badania klientów. Biorñc pod uwagö praktyczne aspekty pracy i fakt, Ĕe wiökszoĈè ludzi pracuje pod presjñ terminów, wymaganie takiej weryfikacji to duĔo, chyba Ĕe pracownik ma podejrzenie, iĔ jest to próba inwigilacji. Poleć książkęKup książkę 44 Sztuka ataku U w a g a M i t n i c k a ¥ W tej sytuacji numer klienta speäniaä takñ samñ rolö jak hasäo. JeĔeli per- sonel banku traktowaäby ten numer w taki sam sposób jak numery PIN swoich kart kredytowych, uĈwiadomiäby sobie poufnñ naturö tej informacji. Puvapka na inyniera Wiadomo, Ĕe socjotechnika jest czösto stosowana przez „äowców gäów” w celu rekrutacji utalentowanych pracowników. Oto przykäad. Pod koniec lat 90. pewna niezbyt uczciwa agencja rekrutacyjna podpisaäa umowö z nowym klientem, który szukaä inĔynierów elektry- ków z doĈwiadczeniem w branĔy telekomunikacyjnej. Sprawö prowa- dziäa kobieta znana ze swojego gäöbokiego gäosu i seksownej maniery, której nauczyäa siö, by zdobywaè zaufanie i bliski kontakt ze swoimi rozmówcami telefonicznymi. Zdecydowaäa siö zaatakowaè firmö bödñcñ dostawcñ usäug telefonii komórkowej i spróbowaè zlokalizowaè jakichĈ inĔynierów, którzy mo- gñ mieè ochotö na przejĈcie do konkurencji. Nie mogäa oczywiĈcie za- dzwoniè na centralö firmy i powiedzieè: „Chciaäam rozmawiaè z jakñĈ osobñ z piöcioletnim doĈwiadczeniem na stanowisku inĔyniera”. Za- miast tego, z powodów, które za chwilö stanñ siö jasne, rozpoczöäa polowanie na pracowników od poszukiwania pozornie bezwartoĈcio- wej informacji, takiej, którñ firma jest skäonna podaè prawie kaĔdemu, kto o niñ poprosi. Pierwsza rozmowa: recepcjonistka Kobieta, podajñc siö za Didi Sands, wykonaäa telefon do gäównej sie- dziby dostawcy usäug telefonii komórkowej. Oto fragment rozmowy: RECEPCJONISTKA: Dzieþ dobry. Mówi Marie. W czym mogö pomóc? DIDI: MoĔe pani mnie poäñczyè z wydziaäem transportu? R: Nie jestem pewna, czy taki wydziaä istnieje. Spojrzö na spis. A kto mówi? D: Didi. R: Dzwoni pani z budynku czy... ? D: Nie, dzwoniö z zewnñtrz. Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 45 R: Didi jak? D: Didi Sands. Miaäam gdzieĈ wewnötrzny do transportowego, ale go nie pamiötam. R: Chwileczkö. Aby zaäagodziè podejrzenia, Didi zadaäa w tym miejscu luĒne, podtrzymujñce rozmowö pytanie, majñce pokazaè, Ĕe jest z „wewnñtrz” i jest obeznana z rozkäadem budynków firmy. D: W jakim budynku pani jest, w Lakeview czy w gäównym? R: W gäównym (pauza). Podajö ten numer: 805 555 6469. Aby mieè coĈ na zapas, gdyby telefon do wydziaäu transportowego w niczym jej nie pomógä, Didi poprosiäa jeszcze o numer do wydziaäu nieruchomoĈci. Recepcjonistka podaäa równieĔ i ten numer. Kiedy Didi poprosiäa o poäñczenie z transportowym, recepcjonistka spróbowaäa, ale numer byä zajöty. W tym momencie Didi zapytaäa o trzeci numer telefonu do dziaäu rachunkowoĈci, który znajdowaä siö w gäównej siedzibie firmy w Au- stin w Teksasie. Recepcjonistka poprosiäa jñ, aby poczekaäa i wyäñczyäa na chwilö liniö. Czy zadzwoniäa do ochrony, Ĕe ma podejrzany telefon i coĈ siö jej tu nie podoba? OtóĔ nie i Didi nawet nie braäa tej moĔliwo- Ĉci pod uwagö. Byäa co prawda trochö natrötna, ale dla recepcjonistki to raczej nic dziwnego w jej pracy. Po okoäo minucie recepcjonistka powróciäa do rozmowy, sprawdziäa numer do rachunkowoĈci i poäñ- czyäa Didi z tym wydziaäem. Druga rozmowa: Peggy Nastöpna rozmowa przebiegäa nastöpujñco: PEGGY: RachunkowoĈè, Peggy. DIDI: Dzieþ dobry, Peggy, tu Didi z Thousand Oaks. PEGGY: Dzieþ dobry, Didi. DIDI: Jak siö masz? PEGGY: Dobrze. W tym momencie Didi uĔyäa czöstego w firmie zwrotu, który opi- suje kod opäaty, przypisujñcy wydatek z budĔetu okreĈlonej organiza- cji lub grupie roboczej. DIDI: To Ĉwietnie. Mam pytanie. Jak mam znaleĒè centrum kosztów PEGGY: Musisz siö skontaktowaè z analitykiem budĔetowym da- dla danego wydziaäu? nego wydziaäu. DIDI: Nie wiesz, kto jest analitykiem dla dyrekcji w Thousand Oaks? WäaĈnie wypeäniam formularz i nie znam prawidäowego centrum kosztów. Poleć książkęKup książkę 46 Sztuka ataku PEGGY: Ja tylko wiem, Ĕe jeĈli ktokolwiek potrzebuje centrum kosztów, dzwoni do analityka budĔetowego. DIDI: A macie centrum kosztów dla waszego wydziaäu w Teksasie? PEGGY: Mamy wäasne centrum kosztów. Widocznie góra stwierdziäa, Ĕe wiöcej nie musimy wiedzieè. DIDI: A z ilu cyfr skäada siö centrum kosztów? Jakie jest na przykäad wasze centrum? PEGGY: A wy jesteĈcie w 9WC czy w SAT? Didi nie miaäa pojöcia, jakich wydziaäów lub grup dotyczyäy te oznaczenia, ale nie miaäo to znaczenia. DIDI: 9WC. PEGGY: No to zwykle ma 4 cyfry. Jeszcze raz: skñd dzwonisz? DIDI: Z dyrekcji w Thousand Oaks. PEGGY: Podajö numer dla Thousand Oaks. To 1A5N. N jak Natalia. Rozmawiajñc wystarczajñco däugo z osobñ skäonnñ do pomocy, Didi uzyskaäa numer centrum kosztów, którego potrzebowaäa. Byäa to jedna z tych informacji, której nikt nie stara siö chroniè, poniewaĔ wydaje siö ona bezwartoĈciowa dla kogokolwiek spoza organizacji. Trzecia rozmowa: pomocna pomyvka W nastöpnym kroku Didi wymieni numer centrum kosztów na coĈ, co przedstawia rzeczywistñ wartoĈè, wykorzystujñc go jak wygrany Ĕeton w nastöpnej rundzie gry. Na poczñtku zadzwoniäa do wydziaäu nieruchomoĈci, udajñc, Ĕe do- dzwoniäa siö pod zäy numer. Rozpoczynajñc od: „Nie chciaäabym panu przeszkadzaè...”, powiedziaäa, Ĕe jest pracownikiem firmy i zgubiäa gdzieĈ spis telefonów, a teraz nie wie, do kogo powinna zadzwoniè, Ĕe- by dostaè nowy. MöĔczyzna powiedziaä, Ĕe wydrukowany spis jest juĔ niewaĔny, bo bieĔñcy jest dostöpny na firmowej stronie intranetowej. Didi powiedziaäa, Ĕe wolaäaby korzystaè z wydruku. MöĔczyzna poradziä jej, by zadzwoniäa do dziaäu publikacji, a nastöpnie z wäasnej woli — byè moĔe chciaä podtrzymaè trochö däuĔej rozmowö z kobietñ o seksownym gäosie — poszukaä i podaä jej numer telefonu. Czwarta rozmowa: Bart z publikacji W dziale publikacji rozmawiaäa z czäowiekiem o imieniu Bart. Didi powiedziaäa, Ĕe dzwoni z Thousand Oaks i Ĕe majñ nowego konsul- tanta, który potrzebuje kopii wewnötrznego spisu telefonów firmy. Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 47 Dodaäa, Ĕe wydrukowana kopia bödzie lepsza dla konsultanta, nawet jeĔeli nie jest najĈwieĔsza. Bart powiedziaä, Ĕe musi wypeäniè odpo- wiedni formularz i przesäaè mu go. Didi stwierdziäa, Ĕe skoþczyäy jej siö formularze, a sprawa byäa dla niej pilna i czy Bart mógäby byè taki kochany i wypeäniè formularz za niñ. Zgodziä siö, okazujñc nadmierny entuzjazm, a Didi podaäa mu dane. Zamiast adresu fikcyjnego oddziaäu podaäa numer czegoĈ, co socjo- technicy okreĈlajñ mianem punktu zrzutu — w tym przypadku cho- dziäo o jednñ ze skrzynek pocztowych, jakie jej firma wynajmowaäa specjalnie na takie okazje. € a r g o n ¥ Punkt zrzutu — w jözyku socjotechników miejsce, gdzie ofiara oszu- stwa przesyäa dokumenty lub inne przesyäki (moĔe to byè np. skrzynka pocztowa, którñ socjotechnik wynajmuje, zwykle posäugujñc siö faäszy- wym nazwiskiem). W tym momencie przydaje siö wczeĈniejsza zdobycz. Za przesäanie spisu bödzie opäata. Nie ma sprawy — Didi podaje w tym momencie numer centrum kosztów dla Thousand Oaks: „1A5N. N jak Nancy”. Po paru dniach, kiedy dotarä spis telefonów, Didi stwierdziäa, Ĕe otrzymaäa nawet wiöcej, niĔ siö spodziewaäa. Spis wymieniaä nie tylko nazwiska i numery telefonów, ale pokazywaä teĔ, kto dla kogo pracuje, czyli strukturö organizacyjnñ firmy. Didi ze swoim ochrypäym gäosem mogäa w tym momencie rozpoczñè telefonowanie w celu upolowania pracowników. Informacje konieczne do rozpoczöcia poszukiwaþ uzyskaäa dziöki darowi wymowy polero- wanemu przez kaĔdego zaawansowanego socjotechnika. Teraz mogäa przejĈè do rekrutacji. Analiza oszustwa W tym ataku socjotechnicznym Didi rozpoczöäa od uzyskania numerów telefonów do trzech oddziaäów interesujñcej jñ firmy. Byäo to äatwe, poniewaĔ numery te nie byäy zastrzeĔone, szczególnie dla pracowni- ków. Socjotechnik uczy siö rozmawiaè tak, jakby byä pracownikiem firmy — Didi potrafiäa to robiè Ĉwietnie. Jeden z numerów telefonów doprowadziä jñ do tego, Ĕe otrzymaäa numer centrum kosztów, którego z kolei uĔyäa, aby otrzymaè kopiö spisu telefonów firmy. Poleć książkęKup książkę 48 Sztuka ataku Gäówne narzödzia, jakich uĔywaäa, to przyjazny ton, uĔywanie Ĕargo- nu firmowego i, przy ostatniej ofierze, trochö werbalnego trzepotania rzösami. Jeszcze jednym, jakĔe waĔnym, narzödziem sñ zdolnoĈci socjotechnika do manipulacji, doskonalone przez däugñ praktykö i korzystanie z do- Ĉwiadczeþ innych oszustów. U w a g a M i t n i c k a ¥ Tak jak w ukäadance, osobny fragment informacji moĔe byè sam w so- bie nieznaczñcy, ale po poäñczeniu wielu takich klocków w caäoĈè otrzy- mujemy jasny obraz. W tym przypadku obrazem tym byäa caäa we- wnötrzna struktura przedsiöbiorstwa. Kolejne bezwarto|ciowe informacje Jakie inne, pozornie maäo istotne, informacje, oprócz numeru centrum kosztów lub listy telefonów firmy, mogñ byè cennym äupem dla intruza? Telefon do Petera Abelsa — Dzieþ dobry — säyszy w säuchawce. — Tu mówi Tom z Parkhurst Travel. Pana bilety do San Francisco sñ do odbioru. Mamy je panu do- starczyè, czy sam pan je odbierze? — San Francisco? — mówi Peter. — Nie wybieram siö do San Francisco. — A czy to pan Peter Abels? — Tak, i nie planujö Ĕadnych podróĔy. — No tak — Ĉmieje siö rozmówca — a moĔe jednak chciaäby pan wybraè siö do San Francisco? — JeĔeli pan jest w stanie namówiè na to mojego szefa... — mówi Peter, podtrzymujñc Ĕartobliwñ konwersacjö. — To pewnie pomyäka — wyjaĈnia gäos w säuchawce. — W naszym systemie rezerwujemy podróĔe pod numerem pracownika. Pewnie ktoĈ uĔyä zäego numeru. Jaki jest pana numer? Peter posäusznie recytuje swój numer. Czemu miaäby tego nie robiè? PrzecieĔ numer ten widnieje na kaĔdym formularzu, który wypeänia, wiele osób w firmie ma do niego dostöp: kadry, päace, a nawet ze- wnötrzne biuro podróĔy. Nikt nie traktuje tego numeru jak tajemnicy. Co za róĔnica, czy go poda czy nie? Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 49 OdpowiedĒ jest prosta. Dwie lub trzy informacje mogñ wystarczyè do tego, by wcieliè siö w pracownika firmy. Socjotechnik ukrywa siö za czyjñĈ toĔsamoĈciñ. Zdobycie nazwiska pracownika, jego telefonu, numeru identyfikacyjnego i moĔe jeszcze nazwiska oraz telefonu jego szefa wystarczy nawet maäo doĈwiadczonemu socjotechnikowi, aby byè przekonujñcym dla swojej nastöpnej ofiary. Gdyby ktoĈ, kto mówi, Ĕe jest z innego oddziaäu firmy, zadzwoniä wczoraj i, podajñc wiarygodny powód, poprosiä o Twój numer identy- fikacyjny, czy miaäbyĈ jakieĈ opory przed jego podaniem? A przy okazji, jaki jest Twój numer ubezpieczenia spoäecznego? U w a g a M i t n i c k a ¥ Moraä z historii jest taki: nie podawaj nikomu Ĕadnych osobistych i wew- nötrznych informacji lub numerów, chyba Ĕe rozpoznajesz gäos roz- mówcy, a ten tych informacji naprawdö potrzebuje. Zapobieganie oszustwu Firma jest odpowiedzialna za uĈwiadomienie pracownikom, jakie mogñ byè skutki niewäaĈciwego obchodzenia siö z niepublicznymi informa- cjami. Dobrze przemyĈlana polityka bezpieczeþstwa informacji, poäñ- czona z odpowiedniñ edukacjñ i treningiem, powaĔnie zwiökszy u pra- cowników ĈwiadomoĈè znaczenia informacji firmowych i umiejötnoĈè ich chronienia. Polityka klasyfikacji danych wprowadza odpowiednie Ĉrodki sterujñce wypäywem informacji. JeĔeli polityka taka nie istnieje, wszystkie informacje wewnötrzne muszñ byè traktowane jako poufne, chyba Ĕe wyraĒnie wskazano inaczej. W celu unikniöcia wypäywu pozornie nieszkodliwych informacji z firmy naleĔy podjñè nastöpujñce kroki: i Wydziaä Bezpieczeþstwa Informacji musi przeprowadziè szkolenie uĈwiadamiajñce na temat metod stosowanych przez socjotechników. Jednñ z opisanych powyĔej metod jest uzyskiwanie pozornie bäahych informacji i uĔywanie ich w celu zbudowania chwilowego zaufania. KaĔdy z zatrudnionych musi byè Ĉwiadomy, Ĕe wiedza rozmówcy dotyczñca procedur firmowych, Ĕargonu i identyfikatorów w Ĕaden sposób nie uwierzytelnia jego proĈby o informacjö. Rozmówca moĔe byè byäym pracownikiem albo zewnötrznym wykonawcñ usäug, Poleć książkęKup książkę 50 Sztuka ataku który posiada informacje umoĔliwiajñce „poruszanie siö” po firmie. Zgodnie z tym, kaĔda firma jest odpowiedzialna za ustalenie odpowiednich metod uwierzytelniania do stosowania podczas kontaktów pracowników z osobami, których ci osobiĈcie nie rozpoznajñ przez telefon. i Osoby, które majñ za zadanie stworzenie polityki klasyfikacji danych, powinny przeanalizowaè typowe rodzaje informacji, które mogñ pomóc w uzyskaniu dostöpu komuĈ podajñcemu siö za pracownika. Wydajñ siö one niegroĒne, ale mogñ prowadziè do zdobycia informacji poufnych. Mimo Ĕe nie podalibyĈmy nikomu kodu PIN naszej karty kredytowej, czy powiedzielibyĈmy komuĈ, jaki typ serwera wykorzystywany jest w naszej firmie? Czy ktoĈ mógäby uĔyè tej informacji, aby podaè siö za pracownika, który posiada dostöp do sieci komputerowej firmy? i Czasami zwykäa znajomoĈè wewnötrznej terminologii moĔe uczyniè socjotechnika wiarygodnym. Napastnik czösto opiera siö na tym zaäoĔeniu, wyprowadzajñc w pole swojñ ofiarö. Na przykäad numer klienta to identyfikator, którego pracownicy dziaäu nowych rachunków uĔywajñ swobodnie na co dzieþ. Jednak numer ten nie róĔni siö niczym od hasäa. JeĔeli kaĔdy pracownik uĈwiadomi sobie naturö tego identyfikatora i spostrzeĔe, Ĕe säuĔy on do pozytywnej identyfikacji dzwoniñcego, byè moĔe zacznie traktowaè go z wiökszym respektem. i ēadna firma — powiedzmy, prawie Ĕadna — nie podaje bezpoĈredniego numeru telefonu do czäonków zarzñdu lub rady nadzorczej. WiökszoĈè firm nie ma jednak oporów przed podawaniem numerów telefonów wiökszoĈci wydziaäów i innych jednostek organizacyjnych, w szczególnoĈci osobom, które wydajñ siö byè pracownikami firmy. Jednym z rozwiñzaþ jest wprowadzenie zakazu podawania numerów wewnötrznych pracowników, konsultantów wykonujñcych usäugi i przejĈciowo zatrudnionych w firmie jakimkolwiek osobom z zewnñtrz. Co wiöcej, naleĔy stworzyè procedurö opisujñcñ krok po kroku identyfikacjö osoby proszñcej o numer pracownika firmy. i Kody ksiögowe grup i wydziaäów oraz kopie spisów telefonów wewnötrznych (w formie wydruku, lub pliku w intranecie) to czösto obiekty poĔñdania socjotechników. KaĔda firma Poleć książkęKup książkę Kiedy nieszkodliwa informacja szkodzi? 51 potrzebuje pisemnej, rozdanej wszystkim procedury opisujñcej ujawnianie takich informacji. W Ĉrodkach zapobiegawczych naleĔy uwzglödniè odnotowywanie przypadków udostöpnienia informacji osobom spoza firmy. i Informacje takie jak numer pracownika nie powinny byè jedynym Ēródäem identyfikacji. KaĔdy pracownik musi nauczyè siö weryfikowaè nie tylko toĔsamoĈè, ale równieĔ powód zapytania. i W ramach poprawy bezpieczeþstwa moĔna rozwaĔyè nauczenie pracowników nastöpujñcego podejĈcia: uczymy siö grzecznie odmawiaè odpowiedzi na pytania i robienia przysäug nieznajomym, dopóki proĈba nie zostanie zweryfikowana. Nastöpnie, zanim ulegniemy naturalnej chöci pomagania innym, postöpujemy zgodnie z procedurami firmy, opisujñcymi weryfikacjö i udostöpnianie niepublicznych informacji. Taki styl moĔe nie iĈè w parze z naturalnñ tendencjñ do pomocy drugiemu czäowiekowi, ale odrobina paranoi wydaje siö konieczna, aby nie staè siö kolejnñ ofiarñ socjotechnika. Historie przedstawione w tym rozdziale pokazujñ, w jaki sposób pozornie maäo waĔne informacje mogñ staè siö kluczem do najpilniej strzeĔonych sekretów firmy. U w a g a M i t n i c k a ¥ Jak gäosi stare powiedzenie, nawet paranoicy miewajñ realnych wro- gów. Musimy zaäoĔyè, Ĕe kaĔda firma ma swoich wrogów, których ce- lem jest dostöp do infrastruktury sieci, a w rezultacie do tajemnic firmy. Czy naprawdö chcemy wspomóc statystykö przestöpstw komputero- wych? NajwyĔszy czas umocniè obronö, stosujñc odpowiednie metody postöpowania przy wykorzystaniu polityki i procedur bezpieczeþstwa. Poleć książkęKup książkę 52 Sztuka ataku Poleć książkęKup książkę
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Sztuka podstępu. Łamałem ludzi, nie hasła. Wydanie II
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: