Jak działa system ? (volumin.6/6) FAQ,by (root@localhost.karolin)

(surowy materiał z maszyny ocr)

FAQ “Jak działa system ?”,by (root@localhost.karolin) składa się z 6 voluminów:

• http://propagandainpoland.wordpress.com/2012/02/24/jak-dziala-system-volumin-1-faqby-rootlocalhost-karolin/
• http://propagandainpoland.wordpress.com/2012/02/24/jak-dziala-system-volumin-2-faqby-rootlocalhost-karolin/
• http://propagandainpoland.wordpress.com/2012/02/24/jak-dziala-system-volumin-3-faqby-rootlocalhost-karolin/
• http://propagandainpoland.wordpress.com/2012/02/24/jak-dziala-system-volumin-4-faqby-rootlocalhost-karolin/
• http://propagandainpoland.wordpress.com/2012/02/24/jak-dziala-system-volumin-5-faqby-rootlocalhost-karolin/
• http://propagandainpoland.wordpress.com/2012/02/24/jak-dziala-system-volumin-6-faqby-rootlocalhost-karolin/

Jak działa system ? (volumin.6) FAQ,by (root@localhost.karolin) – OSTANIA SEKACJA 1/6(666)

---

PODSUMOWANIE
Ponieważ jest to ostatni rozdział poświęcony atakom technicznym. i wiarygodność. Tworzymy wzajemne zobowiązania. Ale socjofechi jlk stosuje te metody w manipulacyjny, oszukańczy, wysoce nieetyczny sposób, często z niszczycielskim skutkiem.
socjotechnik, dr Brad Sogarln
Rozdział ten nieco się różni od poprzednich: przyjrzymy się atakom najtrudniejszym do wykrycia i do obrony. Socjotechnik, czyli napasł nik, który sztukę oszukiwania uważa za jedno z narzędzi w swoim niezbędniku, wykorzystuje najlepsze cechy natury ludzkiej: naszą nalu ralną skłonność do udzielania pomocy, do uczynności, uprzejmości, ofiarności, gotowości do współpracy i pragnienia wykonania dobn i roboty.
Jak w przypadku wielu innych zagrożeń pierwszy etap sensowni’| ochrony polega na zrozumieniu metod stosowanych przez cyberprzeciw ników. Dlatego prezentujemy tutaj psychologiczny wgląd, który sięga do podstaw ludzkiego zachowania, umożliwiając socjotechnikowi skutecznc oddziaływanie na swoje ofiary.
Najpierw jednak pouczająca historia o stosowaniu socjoteehniki w pra cy. Następna, oparta na relacji, którą otrzymaliśmy na piśmie, jesi zabawnym i jednocześnie podręcznikowym przykładem socjotechniki Uznaliśmy, że warto ją załączyć pomimo paru zastrzeżeń; jej autor albo przypadkowo pominął pewne szczegóły, ponieważ był zajęty jakimi’, innymi sprawami, albo pewne fragmenty wymyślił. Ale jeśli nawet cos
260
/.ostało zmyślone, tym bardziej dowodzi słuszności potrzeby lepszej ochrony przed atakami socjotechnicznymi.
Jak w całej książce, szczegóły zostały zmienione, żeby chronić napastnika i firmę.
ATAK SOCJOTECHNICZNY W PRACY
Latem 2002 r. konsultant bezpieczeństwa o nicku „Whurley” został wynajęty przez grupę kasyn w Las Vegas do przeprowadzenia audytu zabezpieczeń. Firma była w trakcie reorganizacji ochrony i zatrudniła go, /.eby „spróbował obejść wszystkie zabezpieczenia”, co pomogłoby stworzyć lepszą infrastrukturę. Whurley miał ogromne doświadczenie techniczne, ule nieczęsto bywał w kasynach.
Mniej więcej po tygodniu intensywnych badań nad kulturą alei Strip, nadszedł czas na prawdziwe Las Vegas. Whurley zwykle zaczynał pracę wcześnie i kończył przed przewidzianym terminem rozpoczęcia audytu, ponieważ z wieloletniego doświadczenia wiedział, że kierownictwo z niewielkim wyprzedzeniem informuje pracowników o potencjalnej kontroli. „Nie powinni nikogo uprzedzać, ale i tak to robią”. Obchodził to z łatwością, przeprowadzając audyt dwa tygodnie przed wyznaczonym terminem.
Choć była dziewiąta wieczorem, gdy przybył na miejsce i rozlokował się w pokoju hotelowym, poszedł prosto do pierwszego kasyna na liście, żeby zacząć badania na miejscu. Ponieważ nieczęsto bywał w kasynach, spostrzeżenia dokonane w czasie tej wizyty okazały się bardzo pouczające. Pierwsza rzecz, na którą zwrócił uwagę, kłóciła się z tym, co widział w programie o kasynach na kanale Travel — tam pracownicy, z którymi rozmawiano i których pokazywano, sprawiali wrażenie elitarnych specjalistów od spraw bezpieczeństwa. Większość tych, których miał okazję zobaczyć na miejscu, wyglądała „albo na śpiących na stojąco, albo na absolutnie zadowolonych z siebie”. Jedna i druga kategoria była łatwym celem najprostszej manipulacji — a było to małe piwo w porównaniu z tym, co Whurley miał w planach.
Podszedł do bardzo zrelaksowanego pracownika i po krótkiej pogawędce stwierdził, że facet nie ma nic przeciwko omówieniu szczegółów swojej pracy. Traf chciał, że wcześniej pracował w kasynie, które było klientem Whurleya. „Założę się, że tam było znacznie lepiej, co?” — zapytał Whurley.
261
Pracownik odparł: „Niezupełnie. Tutaj jesteśmy pod ciągłą koni ml i Tam ledwo zauważali, gdy się spóźniłem, i tak podchodzili do wszysl kiego… do zegarów, identyfikatorów, harmonogramów i tak dalej. Nu wiedziała prawica, co robi lewica”.
Mężczyzna wyjaśnił także, że stale gubił swoją odznakę, a czasami on i drugi pracownik używali jednej, żeby wejść na darmowy posiłek sei wowany pracownikom w bufecie zlokalizowanym w głębi kasyna.
Nazajutrz rano Whurley sformułował swój cel: dostać się do każdepi chronionego obszaru kasyna, udokumentować swoją obecność i spi netrować tyle systemów bezpieczeństwa, ile tylko zdoła. Chciał tak/« sprawdzić, czy uda mu się zdobyć dostęp do systemów, które zajmowały się finansami albo zawierały inne poufne dane, takie jak informat i*
0 gościach.
Wieczorem, w drodze do hotelu po wizycie w docelowym kasyni-usłyszał w radiu komunikat o promocji w klubie fitness, oferującym zniżki dla pracowników sektora usług. Przespał się, a rano ruszył do klubu
Tam wziął na cel panią o imieniu Lenore. „W piętnaście minui nawiązaliśmy »duchową więź«. Trafił w dziesiątkę, bo jak się okazało Lenore była rcwidentką księgową, a on chciał wiedzieć wszystko, >«• wiązało się z finansami i kontrolą w kasynie. Gdyby w czasie audytu zdołał spenetrować system finansowy, to świadczyłoby o istnieniu wielki’ i luki w ochronie.
Jedną z jego ulubionych sztuczek socjotechnicznych jest tak zwany zimny odczyt. W trakcie rozmowy z Lenore obserwował sygnały niewc i balne, a w pewnym momencie rzucił coś, co sprowokowało ją do powie dzenia: „Och, nie chrzań, ja też”. Zaiskrzyło i zaprosił ją na kolację.
Przy kolacji powiedział jej, że jest nowy w Vegas i szuka pracy, ze skończył uniwersytet i ma dyplom z finansów, a do Vegas przeniósł się p< • zerwaniu z dziewczyną. Zmiana miała mu pomóc dojść do siebie po zawodzie miłosnym. Potem wyznał, że ma trochę oporów przed szukaniem pracy w Vegas, bo nie chce skończyć „pływaniem z rekinami”. Lenot.i przez kilka godzin zapewniała go, że zdobycie pracy w finansach wcale nie jest trudne. Aby mu pomóc, powiedziała o swojej pracy i o pracodawcy więcej, niż potrzebował. „Poznanie jej było najlepszą rzeczą, jaka spotkał.» mnie na tym występie, i z radością zapłaciłem za kolację — rachunel
1 tak miałem wliczyć w koszty”.
Z perspektywy uważa, że nie był zbyt pewny swoich umiejętności, „z.i co zapłaciłem później”. Nadszedł czas, żeby zacząć. Zapakował do torby
262
„parę drobiazgów, łącznie z laptopem, bezprzewodową bramą sieciową In my Orinoco, anteną i paroma innymi akcesoriami”. Cel był prosty: wejść do obszaru biurowego w kasynie, zrobić parę cyfrowych zdjęć (ze znacznikami daty — zapis na zdjęciu godziny i daty jego zrobienia) w miejscach, w których nie powinien przebywać, potem podłączyć do sieci bezprzewodowy punkt dostępowy, żeby zdalnie włamać się do •-ystemu i wydobyć poufne informacje. Aby zakończyć pracę, następnego ilnia musiał wrócić po punkt dostępowy.
„Czułem się jak James Bond”. Whurley zjawił się pod kasynem w porze zmiany personelu, ustawiając się tak, żeby mieć na oku wejście służbowe. Myślał, że przybył w porę, żeby przez parę minut obserwować, co się il/.ieje, ale większość ludzi już weszła.
Po paru minutach czekania wejście opustoszało… ale nie na tym mu /uleżało. W końcu zauważył strażnika, który chciał wyjść, lecz zatrzymał go kolega i teraz razem stali i palili tuż przed wyjściem. Kiedy dopalili papierosy, rozeszli się w przeciwne strony.
Ruszyłem na drugą stronę ulicy w kierunku strażnika, któiy wychodził z budynku, i przygotowałem się na użycie mojego ulubionego rozbrajającego pytania. Minąłem go, przechodząc bardzo blisko niego.
Potem powiedział: „Przepraszam, czy ma pan zegarek?”.
Zgodnie z planem. „Zauważyłem, że jeśli podchodzisz z przodu, ludzie prawie zawsze przyjmują postawę obronną, ale jest zupełnie inaczej, gdy pozwolisz im się oddalić i dopiero wtedy zagadniesz”. Podczas gdy strażnik udzielał informacji, Whurley przyglądał mu się uważnie. Na identyfikatorze widniało imię, Charlie. „Gdy tam staliśmy, dopisało mi szczęście. Wyszedł inny pracownik i zawołał Charliego po przezwisku, Cheesy. Zapytałem Charliego, skąd ma taką idiotyczną ksywkę, a on mi opowiedział”.
Potem Whurley szybkim krokiem skierował się do wyjścia dla pracowników. Często mówi się, że najlepszą obroną jest atak, i taki był jego plan. Gdy dotarł do wejścia, gdzie, jak wcześniej zauważył, pracownicy pokazywali odznaki, podszedł prosto do strażnika za biurkiem i powiedział: „Cześć, widziałeś Cheesy’ego? Wisi mi dwadzieścia dolców za grę, a potrzebna mi forsa, żeby coś zjeść w czasie przerwy”.
Wspominając tę chwilę, mówi: „Cholera! To było pierwsze potknięcie”. Zapomniał, że pracownicy dostają posiłki za darmo. Ale nie dał się zbić
26?
z tropu; podczas gdy dla innych zespół nadpobudliwości psychoruchowi ! (ADHD) może być problemem, Whurley uważa, że jest „bardzo ADH1)', i dodaje, że w konsekwencji „myślę znacznie szybciej niż dziewięćdziesiąt procent ludzi, z którymi się spotykam”. Ta umiejętność bardzo su, przydała.
Strażnik pyta: Kupujesz lunch? Zaśmiał się, ale miał też podejrzliwą minę. Szybko rzuciłem: Zaprosiłem śliczną laskę. Człowieku, jest napalona. (Coś takiego zawsze dekoncentruje starszych facetów w kiepskiej formie i tych, którzy wciąż mieszkają z mamusią). Co mam zrobić?
Strażnik mówi: Ano, masz przechlapane, bo Cheesy’ego nie będzie do końca tygodnia.
Potem rozbawił Whurleya (który nie śmiał okazać rozbawienia), nie spodziewanym pytaniem, czy jest zakochany.
Po prostu podjąłem temat. Potem spotkała mnie największa niespodzianka w życiu. Nawet nie przypuszczałem, że to jest możliwe. Można by przypisać to umiejętnościom, ale ja uważam to za ślepy traf: facet daje mi czterdzieści dolarów! Mówi, że za dwadzieścia nie dostanę niczego porządnego, a najwyraźniej to ja mam płacić. Potem przez pięć minut udziela mi ojcowskich porad i użala się, że będąc w moim wieku, nie wiedział tego, co wie dzisiaj.
Whurley nie posiadał się ze zdumienia, że facet dał się nabrać i płai il za jego zmyślony lunch.
Ale później nie poszło tak dobrze, ponieważ gdy odchodził, strażnik uświadomił sobie, że nie widział jego identyfikatora i zatrzymał go Powiedziałem: „Mam w torbie, przepraszam, i zacząłem przerzuca» rzeczy, oddalając się od niego. Mało brakowało, bo gdyby się upaii byłym spalony”.
Whurley był w wejściu dla pracowników, ale nie miał pojęcia, dokąd się skierować. Nie miał za kimś iść, więc po prostu z pewną miną szedł przed siebie i zapamiętywał otoczenie. Już się nie bał, że zostanie zatrzymany. „Zabawne — powiedział — jak przydaje się psychologu koloru. Byłem ubrany na niebiesko — kolor prawdy — i w stylu członka
264
młodszej kadry kierowniczej. Większość ludzi miała służbowe uniformy, więc było mało prawdopodobne, że ktoś mnie zaczepi i zapyta, co ja tu robię”.
Gdy szedł korytarzem, zauważył, że jeden z pokojów ochrony wygląda dokładnie jak ten, który widział na kanale Travel — „oko na niebie”, tylko że ten tutaj nie mieścił się nad głową. W pierwszym pomieszczeniu pomyślał: W życiu nie widziałem tylu magnetowidów w jednym miejscu — rany, to jest super! Przeszedł do drugiego pokoju i zrobił coś wyjątkowo odważnego. „Wszedłem jak gdyby nigdy nic, chrząknąłem i zanim ktoś zdążył mnie o coś zapytać, powiedziałem: dajcie widok dziewczyny na dwudziestym trzecim”.
Wszystkie monitory były ponumerowane i oczywiście na każdym widniała jakaś dziewczyna. Ludzie skupili się wokół monitora dwudziestego trzeciego i wszyscy zaczęli się zastanawiać, co kombinuje dziewczyna; Whurley uznał ich zachowanie za dość paranoiczne. Trwało to jakieś piętnaście minut i Whurley doszedł do wniosku, że ten rodzaj pracy jest idealny dla kogoś, kto ma skłonności do podglądactwa.
Przed wyjściem oznajmił: „Aha, tak się zaangażowałem, że zapomniałem się przedstawić. Jestem Walter z kontroli wewnętrznej. Niedawno zostałem włączony do personelu Dana Moore’a”. Podał nazwisko szefa wydziału kontroli wewnętrznej, podchwycone podczas jednej z rozmów. „Nigdy tutaj nie byłem i jestem trochę zagubiony. Czy ktoś mógłby mi powiedzieć, gdzie są biura kierownictwa?”.
Chłopcy chcieli jak najszybciej pozbyć się wścibskiego „Waltera” i gorliwie wskazali mu drogę do biur. Whurley udał się we wskazanym kierunku. Nie widząc nikogo w polu widzenia, postanowił się rozejrzeć i znalazł małą świetlicę, gdzie młoda kobieta czytała czasopismo. „Miała na imię Megan, była naprawdę miła. Rozmawialiśmy przez parę minut. Potem powiedziała: Aha, jeśli jesteś z kontroli wewnętrznej, muszę przynieść materiały”. Jak się okazało, Megan miała kilka identyfikatorów, parę wewnętrznych notatek i pudełko papierów, które należały do głównego resortu biura kontroli wewnętrznej. Whurley pomyślał: O rany, mam odznakę!
Ludzie z reguły nie przyglądają się zdjęciom na identyfikatorach, ale podjął środki ostrożności, przypinając go tak, że była widoczna tylna strona.
Gdy wychodziłem, zobaczyłem otwarte, puste biuro. Były tam dwa porty sieciowe, ale nie wiem, czy podłączone, bo tylko na nie spojrzałem. Wróciłem do Megan i powiedziałem jej, że zapomnia-
265
łem zajrzeć do jej systemu i do tego w biurze szefa. Z radością wyraziła zgodę i pozwoliła mi usiąść przy swoim biurku.
Kiedy poprosiłem, podała mi swoje hasło, a potem musiała skorzystać z toalety. Powiedziałem jej, że zamierzam dodać monitor bezpieczeństwa sieci, i pokazałem jej bezprzewodowy punkt dostępowy. Odpowiedziała: Rób, co chcesz. Naprawdę nie znam się na tych komputerowych duperelach.
W czasie nieobecności Megan zainstalował punkt dostępowy i urucln» mił ponownie jej komputer. Potem przypomniał sobie, że ma pamiyt USB Flash Drive o pojemności 256 MB przy swoim breloczku i pełm dostęp do komputera Megan. „Zacząłem oglądać jej dysk twardy i znaki/ łem wszystko, co potrzeba”. Okazało się, żc była administratorem kach \ kierowniczej i zorganizowała ich pliki po nazwisku, „schludnie i eleganc ko”. Whurley skopiował wszystko, co mógł, a potem, używając samowy • zwalacza, zrobił sobie zdjęcie aparatem cyfrowym, jak siedzi za biurkiem głównego kierownika. Gdy parę minut później zjawiła się Megan, zapyl ; niczyich zastrzeżeń”.
Po zakończeniu tych działań pomyślałem, że będzie zabawnie, jeśli zrobię jeszcze jeden numer. Poszedłem do wszystkich, z którymi miałem kontakt — niektórzy tylko widzieli mnie z innymi — i mówiłem coś w tym stylu: Dobra, skończyłem. Słuchaj, wyświadcz mi przysługę. Zbieram zdjęcia ludzi i miejsc, w których pracowałem. Pstrykniesz mi fotkę? To było dziecinnie łatwe.
Kilka osób zaproponowało nawet, że sfotografują go z innymi w sąsied nich biurach. Whurley miał więc identyfikatory, diagramy sieci i dostęp do sieci kasyna, a także zdjęcia na dowód.
Na zebraniu szef kontroli wewnętrznej stwierdził, że Whurley nie miat prawa uzyskiwać dostępu do systemów w fizyczny sposób, „bo nic tak zostałyby zaatakowane”. Whurleyowi powiedziano również, że jego staram, i graniczyły z „działalnością przestępczą” i że klient niezupełnie je docenia
Whurley wyjaśnił:
Dlaczego kasyno uznało, że postępowałem nieuczciwie? Odpowiedz jest prosta. Wcześniej nie pracowałem dla żadnego kasyna i nic
270
w pełni rozumiałem ich regulacje, Mój raport mógł ściągnąć na nich kontrolę Komisji Gier, co mogło mieć reperkusje finansowe.
Whurley dostał pełne wynagrodzenie, więc nie miał im za złe. Żałował, że nie zrobił lepszego wrażenia na kliencie, ale wiedział, że nie spodobało im się zastosowane przez niego podejście, i uznali je za krzywdzące dla kasyna i pracowników. „Dali do zrozumienia, że nie chcą mnie więcej widzieć”.
Coś takiego zdarzyło mu się po raz pierwszy; zwykle klienci doceniają wyniki jego audytów i postrzegają kontrole jako coś w rodzaju „ćwiczeń czy gier wojennych”, co znaczy, że nie mają nic przeciwko stosowaniu tych samych metod, jakich może użyć wrogi haker lub socjotechnik. „Klienci prawie zawsze czują dreszczyk emocji. Ja też”.
Razem wziąwszy, Whurley ocenia pracę w Vegas jako sukces pod względem kontroli, ale jako katastrofę pod względem relacji z klientami. „Prawdopodobnie już więcej nie będę pracować w Vegas”, narzeka.
Ale z drugiej strony może Komisja Gier potrzebuje usług konsultingowych etycznego hakera, który już umie się poruszać po zapleczu kasyna.
SPOSTRZEŻENIA
Socjolog, dr Brad Sagarin, który przeprowadzał badania nad umiejętnością przekonywania, opisuje arsenał socjotechnika następująco: „W socjotechnice nie ma żadnej magii. Socjotechnik wykorzystuje te same metody przekonywania, jakich my używamy każdego dnia. Wcielamy się w różne role. Staramy się budzić zaufanie. Tworzymy wzajemne zobowiązania. Ale w przeciwieństwie do większości z nas, socjotechnik stosuje te metody w manipulacyjny, oszukańczy, wysoce nieetyczny sposób, często powodując katastrofalne skutki”.
Poprosiliśmy doktora Sagarin a o opisanie psychologicznych podstaw najbardziej pospolitej taktyki stosowanej przez socjotechników. W wielu przypadkach ilustrował wyjaśnienia przykładami z wcześniejszej książki Mitnicka i Simona, Sztuką podstępu.
Każdy punkt zaczyna się od nieformalnego, nienaukowego wyjaśnienia zasady, po czym następuje przykład.
271
Atrybuty roli
Socjotechnik ujawnia kilka zachowań charakterystycznych dla mli jaką odgrywa. Większość z nas samoistnie uzupełnia brakujące elenicnh , kiedy widzi tylko parę cech danej roli — widzimy mężczyznę ubrani yo jak pracownik szczebla kierowniczego i automatycznie zakładamy, żc n 1 inteligentny, kompetentny i godny zaufania.
Przykład: Whurley wszedł do pokoju „oka na niebie” ubrany jak człon< A kadry kierowniczej, wypowiadał się autorytatywnie i wydał polecenie prac współpracowników celu albo posługiwanie się słownictwem lub żargonem charakterystycznym dla danej firmy czy przemysłu. W czasie ataków osobistych napastnicy wybierają ubranie, biżuterię (firmowa szpilka, sportowy zegarek, drogie pióro, szkolny sygnet), albo inne cechy wyglądu zewnętrznego (na przykład fryzurę), które mogą uwiarygodnić rolę, w jak i wciela się napastnik. Siła tej metody bierze się z faktu, że kiedy już ko^i »*. zaakceptujemy (jako kierownika, klienta, współpracownika), przypisu jemy mu typowe cechy (członek kadry kierowniczej jest bogaty i ma władzy, deweloper oprogramowania jest technicznie łebski, ale może być nic zgrabny towarzysko, współpracownik jest godny zaufania).
He informacji potrzeba, żeby ludzie zaczęli wyciągać takie wnioski * Niewiele.
Wiarygodność
Zdobycie wiarygodności jest krokiem pierwszym w większości ataków socjotechnicznych, kamieniem węgielnym dla wszystkiego, co następuj« później.
Przykład: Whurley zasugerował Richardowi, szefowi IT, żeby razem zjedli lunch, bo wiedział, że pokazanie się z Richardem natychmiast umocni jego wiarygodność w oczach każdego pracownika, który widział ich razem.
272
Doktor Sagarin zidentyfikował trzy metody użyte w Sztuce podstępu, na podstawie których socjotechnicy budują wiarygodność. W jednej / metod napastnik mówi coś, co wydaje się sprzeczne z jego własnym interesem, jak w rozdziale 8 Sztuki podstępu w historii „Jeden prosty lelefon”, kiedy napastnik mówi swojej ofierze: „A teraz proszę wpisać hasło, ale proszę mi go nie podawać. Niech pani nigdy nie podaje nikomu swojego hasła. Nawet ludziom z pomocy technicznej”. To brzmi jak uświadczenie osoby godnej zaufania.
Druga metoda polega na ostrzeganiu celu wypadkiem, który napastnik sam spowoduje (bez wiedzy ofiary). Na przykład w historii „Awaria sieci” w rozdziale 5 Sztuki podstępu napastnik uprzedza, że połączenie sieciowe zostanie zerwane. Robi coś, co sprawia, że ofiara traci połączenie sieciowe, a on zyskuje wiarygodność w oczach ofiary.
Taktyka „przepowiadania” jest często połączona z trzecią metodą, w której napastnik dowodzi swojej wiarygodności, pomagając ofierze w wyeliminowaniu problemu. To, co się stało w „Awarii sieci”, kiedy napastnik najpierw ostrzegł, że sieć może paść, potem sprawił, że połączenie sieciowe ofiary zostało zerwane — zgodnie z przewidywaniami — a następnie przywrócił połączenie i stwierdził, że „załatwił problem”, co wzbudziło zaufanie i wdzięczność ofiary.
Narzucanie roli celowi
Socjotechnik zmusza cel do wcielenia się w alternatywną rolę, na przykład wymusza posłuszeństwo przez agresywne zachowanie.
Przykład: Whurley w czasie rozmowy z Lenorą przybrał rolę potrzebującego (niedawno zerwał z dziewczyną, przeprowadził się do nowego miasta i szuka pracy), żeby ona wcieliła się w rolę pomocnej dłoni.
W najpospolitszej formie socjotechnik narzuca celowi rolę pomocnika. Kiedy dana osoba raz przyjmie taką rolę, zwykle niezręcznie lub trudno jest jej odmówić udzielenia pomocy.
Przebiegły socjotechnik będzie próbował wyczuć, w jakiej roli ofiara będzie czuła się dobrze. Będzie manipulować rozmową w taki sposób, żeby ofiara sama przyjęła rolę — jak Whurley z Lenorą i Megan, kiedy wyczuł, że będą się dobrze czuły jako pomocnice. Ludzie z chęcią przyjmują pozytywne role, w których czują się dobrze.
273
Oderwanie od systemowego myślenia
Socjolodzy doszli do wniosku, że ludzie przetwarzają napływaj ąu informacje na jeden z dwóch sposobów, zwanych przez nich systemowym i heurystycznym.
Przykład; kiedy administrator rozmawiał ze zdenem>owaną żOtut Whurley wykorzystał jego stan emocjonalny i dekoncentrację, żeby nr stąpić z prośbą, dzięki której w jego ręce trafił autentyczny identyfikali» pracownika.
Dr Sagarin wyjaśnia: „Kiedy przetwarzamy systemowo, przed pod jęciem decyzji starannie i racjonalnie analizujemy prośbę. Kiedy prze twarzamy heurystycznie, w podejmowaniu decyzji dokonujemy mental nych skrótów. Na przykład możemy spełnić prośbę tylko w oparciu o to za kogo podaje się proszący, nic zwracając uwagi na poufność informacji
o jakie prosi. Próbujemy pracować w trybie systemowym, kiedy przedmiot sprawy jest dla nas ważny. Ale brak czasu, rozproszenie czy silne emocje mogą przełączyć nas na tryb heurystyczny”.
Lubimy myśleć, że normalnie działamy w racjonalnym, logicznym trybie, podejmując decyzję na podstawie faktów. Psycholog dr Gregon Neidert powiedział: „Przez 95 procent czasu nasze mózgi w 90 procen tach pracują na jałowym biegu”. Socjotechnicy starają się to wykorzystać używając rozmaitych metod wywierania wpływu, żeby zmusić swojt ofiary do wyłączenia trybu systemowego — wiedzą, że ludzie pracujący w trybie heurystycznym mają znacznie mniejszy dostęp do środków obrony psychologicznej; stają się mniej podejrzliwi, zmniejsza się praw dopodobieństwo zadawania pytań albo wysuwania zastrzeżeń wobec napastnika.
Socjotechnicy starają się atakować cele, które myślą w trybie heurys tycznym, i nie pozwolić im na zmianę. Jedna z taktyk polega na za dzwonieniu do celu pięć minut przed końcem pracy, licząc na to, że pośpiech może skłonić cel do spełnienia prośby, która w innym wypadku zostałaby odrzucona.
Impet uległości
Socjotechnicy tworzą impet uległości, wysuwając szereg próśb, począwszy od najbardziej niewinnej.
274
Przykład: Dr Sagarin przytacza historię CreditChex, zawartą w rozdziale 2 Sztuki podstępu, w której napastnik wśród wielu innych niewinnych pytań ukrywa pytanie kluczowe, tajną informację banku o numerze kupca, użytą jako hasło do uwierzytelnienia przez telefon. Ponieważ pierwsze pytania wydawały się nieszkodliwe, stworzyło to ramy, w których ofiara uznała te dotyczące bardziej poufnych informacji również za niewinne.
Scenarzysta i producent telewizyjny Richard Levinson kazał stosować tę taktykę swojej najsłynniejszej postaci, porucznikowi Columbo granemu przez Petera Falka. Widzowie uwielbiali, gdy detektyw wychodził, podejrzany relaksował się, zadowolony, że wyprowadził detektywa w pole, a wówczas Columbo odwracał się i zadawał ostatnie pytanie, kluczowe pytanie, do którego zmierza! od samego początku. Socjotechnicy często wykorzystują taktykę typu „jeszcze jedna sprawa”.
Chęć pomagania
Psycholodzy wymieniają wiele korzyści, jakie odnoszą ludzie, kiedy pomagają innym. Pomaganie sprawia, że czujemy się silniejsi, poprawia nam nastrój i własne zdanie o sobie. Socjotechnicy mają wiele sposobów, żeby wykorzystać naszą skłonność do służenia pomocą.
Przykład: kiedy Whurley pokazał się przy wejściu dla pracowników, strażnik uwierzył w jego historyjkę o zaproszeniu dziewczyny na lunch, pożyczył mu pieniądze na randkę, poradził, jak postępować z kobietą, i nie zatrzymał go, gdy odchodził bez pokazywania odznaki identyfikacyjnej.
Dr Sagarin komentuje: „Ponieważ socjotechnicy często biorą na cel ludzi, którzy nie znają wartości podawanych informacji, udzielenie pomocy nie wiąże się dla pomagającego z dużym wysiłkiem. (Ile pracy trzeba poświęcić, żeby szybko przeszukać bazę danych dla biednego fajtłapy z drugiej strony linii telefonicznej?)”.
Przypisywanie
Przypisywanie nawiązuje do sposobu, w jaki ludzie wyjaśniają zachowanie swoje i innych. Socjotechnik dąży do tego, żeby ofiara przypisała
275
mu pewne cechy, takie jak kompetencje, wiarygodność, zaufanie c/y życzliwość.
Przykład: Dr Sagarin przytacza historię z rozdziału 10 Sztuki podstępu. „W oczekiwaniu na awans”. Napastnik, któremu zależy na dostaniu się dc sali konferencyjnej, najpierw spokojnie gawędzi z recepcjonistką, co usypia ewentualne podejrzenia, ponieważ ludzie zakładają, że napastnik mc ośmieli się przebywać bez potrzeby w miejscu, w którym może zostai złapany.
Socjotechnik może wejść do recepcji, położyć na kontuarze pięciu dolarowy banknot i powiedzieć coś takiego: „Znalazłem to na podłodze. Czy ktoś mówił, że zgubił pieniądze?”. Recepcjonista przypisze mu cechę uczciwości i wiarygodności.
Jeśli zobaczymy, że mężczyzna przytrzymuje drzwi dla starszej pani pomyślimy, że jest uprzejmy; jeśli kobieta jest młoda i atrakcyjna, praw dopodobnie przypiszemy mu zupełnie inne pobudki.
Sympatia
Socjotechnicy często wykorzystują fakt, że wszyscy chętniej spełnimy prośbę ludzi, których lubimy.
Przykład: Włmrley uzyskał pożyteczne informacje od Lenoty pozna//<•/ w klubie fitness częściowo dzięki zimnemu odczytowi — oceniał jej reakcje i mówił rzeczy, na które miała reagować. Doprowadził do tego, że uznała, iż mają wspólne upodobania i zainteresowania (Ja też!). Sympatia do niego sprawiła, że chętniej podzieliła się z nim informacjami, które chciał uzyskać.
Lubimy tych, którzy są do nas podobni, mają podobną pracę, wyksztal cenie i hobby. Socjotechnik będzie często badać przeszłość celu i udawae zainteresowanie rzeczami, które są dla niego ważne — żeglarstwem albo tenisem, starymi samolotami, zbieraniem dawnej broni palnej i tak dalej Socjotechnicy mogą również budować sympatię przez prawienie kom plementów i pochlebstw, a fizycznie atrakcyjni socjotechnicy bazują także na swoim wyglądzie.
Inną taktyką jest żonglowanie nazwiskami ludzi, których cel zna i lubi Napastnik chce być postrzegany jako część „grupy” w obrębie organizacji Hakerzy używają pochlebstw i komplementów, żeby podbechtać ego ofiary, albo biorą na cel ludzi, którzy niedawno zostali nagrodzeni za
276
jakieś osiągnięcie. Pochwały mogą skłonić niczego niepodejrzewającą ofiarę do przyjęcia roli pomagającego.
Strach
Socjotechnik czasami wmawia celowi, że stanie się coś strasznego, ale że można zapobiec nadciągającej katastrofie, jeśli cel posłucha jego sugestii. W takim przypadku bronią napastnika jest strach.
Przykład: w historii „Nakładka awaryjna" z rozdziału 12 Sztuki podstępu, socjotechnik straszy, że ofiara straci cenne dane, jeśli nie zgodzi się zainstalować poprawki w serwerze bazy danych firmy. Strach czyni ofiarę, podatną na przyjęcie proponowanego rozwiązania.
Strach leży często u podłoża ataków opartych na prestiżu. Socjotechnik udający członka kierownictwa firmy może wziąć na cel sekretarkę albo pracownika niższego szczebla i wysunąć „niecierpiące zwłoki” żądanie wraz z sugestią, że podwładny wpadnie w kłopoty albo nawet straci pracę, jeśli się nie podporządkuje.
Opór
Opór psychologiczny jest negatywną reakcją, jakiej doświadczamy, kiedy uświadamiamy sobie, że mamy ograniczoną możliwość wyboru albo swobodę działania. W poczuciu niemocy tracimy poczucie perspektyw)' i nasze pragnienie zachowania tego, co możemy utracić, przysłania wszystko inne.
Przykład: Dwie historie w Sztuce podstępu ilustrują siłę reaktancji — w jednej występuje zagrożenie utraty dostępu do in formacji, w drugiej do zasobów obliczeniowych.
W typowym ataku opartym na oporze napastnik mówi swojemu celowi, że przez absurdalnie długi czas nie będzie miał dostępu do plików komputerowych. „Nie będzie pan miał dostępu do swoich plików przez dwa tygodnie, ale zrobimy wszystko, co w naszej mocy, żeby nie trwało to dłużej”. Kiedy ofiara angażuje się emocjonalnie, napastnik oferuje pomoc w szybszym przywróceniu dostępu; wystarczy podać nazwę użytkownika i hasło. Cel oddycha z ulgą, że uniknie grożącej mu straty, i zwykle z radością podaje informacje.
277
Druga możliwość to nakłonienie celu do pogoni za obiecani) korzyści;). W jednej z wersji tej metody ofiary są kierowane na stronę www, gdzie napastnik może ukraść ich informacje potrzebne do logowania albo numer karty kredytowej. Jak zareagowalibyście na e-mail z informacji), że pierwszy tysiąc gości, którzy odwiedzą konkretną stronę www. będzie mógł zakupić nowiutkiego Apple iPoda za dwieście dolarów? Weszlibyście na tę stronę i zarejestrowali się, żeby dokonać zakupu? A kiedy już podacie swój adres e-mailowy i wybierzecie hasło, czy użyjecie tego haski gdzie indziej?
ŚRODKI ZARADCZE
Zapobieganie atakom socjotechnicznym wymaga szeregu skoordyno wanych działań, w tym:
Opracowania jasnych, zwięzłych procedur, które są konsekwentnie wdrażane w organizacji;
Kształtowania świadomości bezpieczeństwa;
Wprowadzenia prostych zasad określających, które informacje są poufne;
Wprowadzenia prostej zasady, która mówi, że ilekroć ktoś prosi pracownika o zrobienie ze sprzętem komputerowym czegoś, n;i czym pracownik się nie zna i nie wie, jakie będą konsekwencje jego działań, to musi zgodnie z polityką przedsiębiorstwa zweryfikować tożsamość proszącego;
Opracowania polityki klasyfikacji danych;
Szkolenia pracowników w zakresie metod odpierania ataków socjotechnicznych;
Sprawdzania podatności pracownika na ataki socjotechniczne prze/ przeprowadzanie audytów bezpieczeństwa.
Najważniejszy aspekt programu polega na ustanowieniu odpowied nich procedur bezpieczeństwa, a następnie zmotywowaniu pracowników do ich przestrzegania. Poniżej są naszkicowane podstawowe zagadnie nia, które należy wziąć pod uwagę w trakcie projektowania programów i szkoleń mających na celu przeciwdziałanie zagrożeniu socjoteehnicz nemu.
278
Wskazówki do szkolenia
Oto kilka wskazówek dotyczących szkolenia:
Uświadamiaj pracownikom, ze prędzej czy później socjotechnicy na pewno przypuszczą atak na firmę, być może niejednokrotnie.
Socjotechnicy stanowią poważne zagrożenie być może z powodu braku ogólnej świadomości; wielu ludzi nawet nie zdaje sobie sprawy z istnienia zagrożenia. Ludzie generalnie nie spodziewają się, że ktoś będzie nimi manipulować czy ich oszukiwać, więc atak socjotechniczny jest dla nich całkowitym zaskoczeniem. Wielu użytkowników Internetu otrzymało e-mail, rzekomo z Nigerii, z prośbą
o pomoc w przerzuceniu znacznej sumy pieniędzy do Stanów; nadawcy oferowali określony procent za uprzejmą pomoc. Odbiorca był proszony o wpłatę pewnej sumy na zainicjowanie transferu, a potem zostawał z pustymi rękami. Niedawno pewna pani z Nowego Jorku dała się nabrać i „pożyczyła” setki tysięcy dolarów od swojego pracodawcy a konto wynagrodzenia. Zamiast wypoczywać na nowym, jeszcze niezakupionym jachcie, może spędzić pewien czas w federalnym zakładzie karnym. Ludzie naprawdę są podatni na ataki socjotechniczne; gdyby było inaczej, nigeryjscy kanciarze przestaliby wysyłać e-maile.
Odegraj scenę, żeby zademonstrować personelowi podatność na techniki socjotechniczne i metody odpieraniu ataków.
Większość ludzi żyje w złudnym przeświadczeniu o swojej odporności na ataki, wyobrażając sobie, że są zbyt sprytni, aby ktoś mógł nimi manipulować, oszukiwać ich czy wywierać na nich wpływ. Wierzą, że takie rzeczy przytrafiają się tylko „głupkom”. Dwie metody pomogą pracownikom zrozumieć ich podatność i skłonią do zmiany zdania. Jedna polega na zademonstrowaniu skuteczności socjotechniki przez „spalenie” kilku pracowników przed ich udziałem w seminarium na temat bezpieczeństwa, a następnie poproszenie ich o zrelacjonowanie swoich doświadczeń. Inne podejście polega na analizowaniu rzeczywistych przykładów ataków socjotechnicznych w celu zilustrowania, że ludzie są na nic podatni. W obu przypadkach szkolenie powinno obejmować przedstawienie mechanizmu ataku, analizę czynników, które doprowadziły do jego powodzenia, a potem dyskusję, jak taki atak rozpoznać i jak mu przeciwdziałać.
279
Utwierdzaj uczestników szkolenia w przekonaniu, że będzie im głupi, jeśli po szkoleniu ulegną atakowi socjotechnicznemu.
Szkolenie powinno kłaść nacisk na obowiązek ochrony poufnych informacji przedsiębiorstwa przez każdego pracownika. Niezwykli ważne jest również to, żeby organizatorzy szkolenia rozumieli, /c w pewnych sytuacjach motywacją do przestrzegania procedui bezpieczeństwa jest po prostu zrozumienie, dlaczego są one ku nieczne. W czasie szkolenia instruktorzy powinni podawać pr/\ kłady ochrony firmy przez procedury bezpieczeństwa i uzmysl;i wiać, jakie szkody poniesie firma, jeśli ludzie będą je lekceważyć albo zaniedbywać.
Warto również podkreślić, że atak socjotechniczny może stanowił zagrożenie dla osobistych informacji pracownika oraz jego przyjaciół i współpracowników. Baza danych kadr może zawierać informacji’ niezwykle cenne dla złodziei tożsamości.
Ale najbardziej motywującym czynnikiem może być to, że niki nie lubi padać ofiarą manipulacji, oszustw czy naciągania — ludzie nie chcą czuć się głupio dlatego, że dali się komuś nabrać.
Programy służgee odpieraniu ataków socjotechnicznych
W trakcie projektowania programów należy wziąć pod uwagę kilk.i podstawowych punktów:
Opracowanie procedury postępowania w przypadku zaistnienia ataku socjotechnicznego albo podejrzenia, że taki atak nastąpi.
Czytelnikom polecamy obszerny poradnik na temat polityki bc/ pieczeństwa, zawarty w Sztuce podstępu. Zasady te powinny b\< uważane za punkt wyjścia: weźcie, co trzeba, i zostawcie resztę. IV opracowaniu i wdrożeniu procedur informacje na ich temat powinm zostać umieszczone w intranecie, gdzie są łatwo i szybko dostępne Inną doskonałą pomocą jest traktat o tworzeniu polityki bezpieczen stwa informacji, Information Security Policies Made Easy (San Jose. CA: Baseline Software, 2001), autorstwa Charlesa Cressona Wood.i Opracowanie prostych wskazówek dla pracowników, definiujących, jakie informacje firma uważa za poufne.
280
Ponieważ w większości przypadków myślimy w trybie heurystycznym, można opracować proste zasady postępowania w przypadku, kiedy ktoś prosi o podanie informacji poufnych (na przykład pyta
o czyjeś hasło). Kiedy pracownik uzna, że komuś zależy na zdobyciu jakichś poufnych informacji albo nakłonieniu go do przeprowadzenia jakiejś operacji związanej ze sprzętem komputerowym, może zajrzeć do instrukcji polityki bezpieczeństwa w firmowym intranecie, aby ustalić właściwy tryb postępowania.
W dodatku ważne jest, żeby pracownicy rozum ieli, iż nawet dane, które nie są uważane za poufne, mogą być użyteczne dla socjotech-nika, który może zbierać strzępy pozornie błahych informacji w celu stworzenia pozorów wiarygodności i zaufania. Nazwisko kierownika tajnego projektu firmy, miejsce pracy zespołu deweloperów, nazwa serwera używanego przez konkretnego pracownika, nazwa przypisana do tajnego projektu — to wszystko ma znaczenie i każda firma musi porównać swoje potrzeby z możliwym zagrożeniem bezpieczeństwa.
To tylko kilka z wielu przykładów pozornie nieważnych informacji, które mogą zostać wykorzystane przez napastnika. Scenariusze w rodzaju tych, jakie zostały zaprezentowane w Sztuce podstępu, mogą okazać się pomocne do zaszczepienia tej świadomości uczestnikom szkolenia.
Modyfikowanie norm uprzejmości w firmie — odpowiedź odmowna jest jak najbardziej w porządku.
Większość z nas czuje się niezręcznie czy nieprzyjemnie, gdy ma odmówić innym. (Obecny na rynku produkt jest przeznaczony dla ludzi, którzy są zbyt uprzejmi, żeby przerwać rozmowę z osobą zajmującą się telemarketingiem. Kiedy dzwoni ktoś taki. użytkownik wciska klawisz * i rozłącza się, a wówczas nagrany głos informuje: „Przepraszam, mówi kamerdyner telefoniczny. Polecono mi poinformować, iż gospodarze z przykrością muszą odmówić pańskiej prośbie”. Podoba mi się to „z przykrością”. Ale to ciekawe, żc tak wielu ludzi musi kupić elektroniczne urządzenie, żeby powiedzieć „nie”. Czy masz ochotę zapłacić pięćdziesiąt dolarów za maszynkę, która oszczędza ci „skrępowania” wynikającego z faktu, że masz komuś odmówić?).
Jednym z celów programu szkoleniowego związanego z socjotech-niką powinno być przedefiniowanie norm uprzejmości w firmie.
281
Nowe normy powinny obejmować uprzejmą odmowę udzieleniu odpowiedzi na pytania o poufne informacje, dopóki nie zostanie zweryfikowana tożsamość i upoważnienie proszącego. Szkolenie może na przykład obejmować sugerowanie odpowiedzi typu: „Jako pracownicy firmy X obaj wiemy, jak ważne jest przestrzeganie protokołów bezpieczeństwa. Obaj więc rozumiemy, że muszę zwe ryfikować pańską tożsamość, zanim spełnię tę prośbę”. Opracowanie procedur służących uwierzytelnianiu.
Każda firma musi opracować proces weryfikowania tożsamośei i uprawnień ludzi, którzy proszą pracowników o informacje albo
o określone działanie. Proces weryfikacji będzie zależał od poufności informacji lub żądanego działania. Jak wiele innych kwestii w miej seu pracy potrzeby bezpieczeństwa powinny być rozważone w kon tekście działalności firmy.
To szkolenie musi nawiązywać nie tylko do technik oczywistych, ale również do tych bardziej wyrafinowanych, jak pokazanie wizy tówki przez Whurleya, który w ten sposób potwierdził swoją toż samość. (Przypomnijcie sobie postać graną przez Jamesa Garnera w serialu detektywistycznym z lat siedemdziesiątych, The Rockford Files; detektyw woził w samochodzie małą prasę drukarską, żeby drukować wizytówki potrzebne w danej sytuacji).
Sugestie dotyczące procedury weryfikacji zamieściliśmy w Sztuce podstępu 1.
Zaangażowanie kierownictwa wyższego szczebla.
Jest to oczywiście niemalże banał: każdej ważnej inicjatywie odgói ncj musi towarzyszyć świadomość, że jej powodzenie będzie zależało od wsparcia kierownictwa. Może w działalności firmy są aspekty, w których to wsparcie jest ważniejsze niż w przypadku programu bezpieczeństwa, ale należy pamiętać, że kwestia bezpieczeństwa, choć nic przyczynia się do zwiększenia dochodów firmy i często zajmuje miejsce drugoplanowe, z dnia na dzień staje się coraz bardziej paląc; i
Z tego względu wymaga pełnego zaangażowania już na najwy/ szym poziomie hierarchii firmy.
Kierownictwo powinno również stosować i egzekwować dwie zasady: członek kierownictwa nigdy nie może prosić pracowniku
o ominięcie jakiejkolwiek procedury bezpieczeństwa i żaden pracownik nie może mieć kłopotów z powodu przestrzegania procedm bezpieczeństwa, nawet jeśli szef każe mu je pogwałcić.
282
Na lżejszq nutę: poznaj manipulantów we własnej rodzinie — Twoje dzieci
Wiele dzieci (a może większość?) ma w zdumiewająco wysokim stopniu rozwinięty dar manipulacji — bardzo podobny do umiejętności socjotech-ników — który większość z nich traci, gdy dorasta i staje się bardziej uspołeczniona. Wszyscy rodzice byli celem ataku dziecka. Kiedy dziecko ogromnie czegoś pragnie, potrafi być irytująco i jednocześnie zabawnie uparte.
Gdy wraz z Billem Simonem kończyłem tę książkę, byłem świadkiem zakrojonego na szeroką skalę dziecięcego ataku socjotechnicznego. Moja dziewczyna Darci i jej dziewięcioletnia córka Briannah towarzyszyły mi w czasie podróży służbowej do Dallas. W ostatni dzień pobytu w hotelu Briannah wystawiła na próbę cierpliwość matki, domagając się wyjścia na kolację do wybranej przez siebie restauracji, a gdy spotkała się z odmową, dostała typowego dziecięcego napadu złości. Darci zastosowała umiarkowaną karę, zabierając jej konsolę Gameboy i informując, że na jeden dzień ma zakaz grania.
Briannah znosiła to przez jakiś czas w milczeniu, a potem, krok po kroku, zaczęła wypróbowywać różne sposoby, chcąc przekonać matkę, żeby pozwoliła jej grać. Właśnie wtedy wróciłem i dołączyłem do nich. Ciągłe naprzykrzanie się dziecka było irytujące; potem zrozumieliśmy, że mała wypróbowu-je różne podejścia socjotechniczne, i zaczęliśmy sporządzać notatki:
„Nudzi mi się. Proszę, czy mogę dostać gry z powrotem”. (Tonem żądania, nie pytania).
„Doprowadzę cię do szału, jeśli nie pozwolisz mi grać”. (W połączeniu z pochlipywaniem).
„Nie będę miała co robić w samolocie, jak nie dostanę gier”. (Tonem: Każdy idiota by to zrozumiał).
„Nic się nie stanie, jeśli zagram tylko raz, prawda?”. (Obietnica w formie pytania).
„Byłoby fajnie, gdybyś oddała mi gry”. (Głębia żarliwej szczerości). „Wczoraj wieczorem byłam naprawdę grzeczna, więc dlaczego teraz nie mogę zagrać?”. (Desperacka próba oparta na pokrętnym rozumowaniu).
„Nigdy więcej tego nie zrobię. (Pauza). Mogę już zagrać?”. („Nigdy więcej tego nie zrobię” — czy uważa nas za takich naiwnych?).
„Proszę, czy mogę dostać gry z powrotem?”. (Jeśli obietnice nic skutkują, może pomogą prośby…).
„Jutro wracam do szkoły, więc nie będę miała czasu na gry, chyb;i że zacznę grać teraz”. (Dobra, ile tu mamy różnych form socjotech niki? Może powinna być współautorem tej książki). „Przepraszam, źle zrobiłam. Czy teraz mogę trochę pograć?”. (Przyznanie się do winy może być dobre dla duszy, ale w manipulacji nie na wiele się zdaje).
„Kevin kazał mi to zrobić”. (A myślałem, że tak mówią tylko hakerzy!). „Jest mi naprawdę smutno bez gry”. (Jeśli nie działa nic innego, próbuj wzbudzić współczucie).
„Nie grałam już pół dnia”. (Innymi słowy: Ile jeszcze muszę wycie i piec?).
„Granie nic nie kosztuje”. (Desperacka próba zgadnięcia, z jakiego powodu matka tak długo przeciąga karę. Chybiona próba).
„W weekend mam urodziny, a nawet nie wolno mi pograć”. (Kolejni próba wzbudzenia współczucia).
I ciąg dalszy w trakcie przygotowań do wyjazdu na lotnisko:
„Na lotnisku będę się nudzić”. (W rozpaczliwej nadziei, że nuda jest rzeczą tak straszną, iż trzeba jej unikać wszelkim kosztem Może, jeśli Briannah stanie się dostatecznie mocno znudzona, zacznie rysować albo czytać książkę).
„Lot trwa trzy godziny i nie będę miała co robić!”. (Wciąż jcsi nadzieja, że może się złamie i otworzy zabraną książkę).
„Jest za ciemno, żeby czytać, i za ciemno, żeby rysować. Jeśli zagram, będę widziała ekran”. (Desperacka próba dowodzenia logicznego). „Czy mogę przynajmniej korzystać z Internetu?”. (Przecież musi być jakiś kompromis).
„Jesteś najlepszą mamą pod słońcem!”. (Umie również posługiwać się komplementami i pochlebstwami w skazanej na porażkę próbie dostania tego, na czym jej zależy).
„To nieuczciwe!!!”. (Ostatni, rozpaczliwy rzut na taśmę).
Jeśli chcecie lepiej zrozumieć, jak socjotechnicy manipulują swoimi celami i jak przestawiają ludzi ze stanu myślenia racjonalnego w stan emocjonalny… po prostu posłuchajcie swoich dzieci.
284
PODSUMOWANIE
W naszej pierwszej wspólnej książce Bill Simon i ja określiliśmy socjotechnikę jako „najsłabsze ogniwo bezpieczeństwa informacji”.
Minęły trzy lata, i co znajdujemy? Jedna firma za drugą stosuje techniki bezpieczeństwa, żeby chronić swoje zasoby informatyczne przed technicznymi atakami hakerów albo wynajętych szpiegów przemysłowych, i zatrudnia wykwalifikowanych strażników, żeby chronić się przed fizycznymi wtargnięciami intruzów.
Stwierdzamy również, żc niewiele uwagi poświęca się odparciu zagrożenia, jakie stanowią socjotechnicy. Niezwykle istotne jest zaznajamianie pracowników z metodami ataków socjotechnicznych i formami obrony przed intruzami, którzy chcą nimi manipulować. Obrona przed słabościami wynikającymi z natury ludzkiej jest niezwykle istotna. Ochrona organizacji przed hakerami stosującymi socjotechnikę musi być obowiązkiem każdego pracownika — nawet tych, którzy nie używają komputerów. Na atak narażeni są kierownicy, recepcjoniści i pracownicy mający bezpośredni kontakt z klientami, obsługa centrali telefonicznych, sprzątacze, parkingowi i przede wszystkim nowi pracownicy — wszyscy mogą paść ofiarą socjotechnika, który zmierza do osiągnięcia niecnego celu.
Czynnik ludzki od wieków jest najsłabszym ogniwem bezpieczeństwa informacji. Pytanie za milion dolarów: czy chcesz być najsłabszym ogniwem, które socjotechnik zdoła wykorzystać w Twojej firmie?
PRZYPISY
’ Zob. K. Mitnick i W. L. Simon, Sztuko postępu, Wiley Publishing, Inc., 2002, s. 266—271.
Rozdział 11
KRÓTKIE HISTORIE
Nie jestem kryptoanalitykiem ani matematykiem. Po prostu wiem. jak ludzie popełniajq błędy w aplikacjach i powtarzaja je bez końca
Były haker, obecnie konsultant do spraw bezpieczeństwo
Niektóre historie, jakich wysłuchaliśmy w trakcie pisania tej książki, niezupełnie pasują do poprzednich rozdziałów, ale są zbyt zabawne, żeby je pominąć. Nie wszystkie mówią o atakach hakerskich. Jedne dotyczą psot, inne manipulacji, jeszcze inne wzbudzają zainteresowanie, bo są pouczające albo odsłaniają jakiś aspekt natury ludzkiej… a niektóre są po prostu śmieszne.
Zaznajomienie się z nimi sprawiło nam dużą przyjemność i uznaliśmy, że Wam sprawi także.
ZAGUBIONA WYPŁATA
Jim był sierżantem w siłach lądowych Stanów Zjednoczonych i pracował w komputerowej grupie w Fort Lewis nad zatoką Puget w stanie Waszyngton. Podlegał starszemu sierżantowi, którego opisuje jako „wściek lego na cały świat” faceta, z rodzaju takich, którzy „wykorzystują swój stopień do poniżenia podwładnych”. Jim i jego kumple z grupy wreszcie mieli dość tyranii i zadecydowali, że muszą w jakiś sposób ukarać chama za utrudnianie im życia.
Ich grupa zajmowała się aktami personalnymi i uposażeniem. Aby wyeliminować pomyłki, każdą pozycję księgowało dwóch żołnierzy, a wyniki były porównywane, zanim dane trafiały do akt danej osoby.
286
Obmyślona zemsta była dość prosta, mówi Jim. Dwaj pracownicy wprowadzili do komputera identyczne wpisy z informacją, że sierżant nie żyje.
Oczywiście, to spowodowało wstrzymanie poborów.
Kiedy nadszedł dzień wypłaty i sierżant poskarżył się, że nie dostał czeku, „standardowa procedura nakazywała wyciągnięcie teczki z aktami i wypisanie czeku ręcznie”. Ale to nic nie dało. „Z niewiadomych powodów nie można było znaleźć jego dokumentów. Mam powody sądzić, że uległy samozapłonowi”, napisał Jim żartobliwie. Nietrudno zgadnąć, jak doszedł do takiego wniosku.
Ponieważ komputer pokazywał, że człowiek nie żyje, a pod ręką nie było żadnych dokumentów potwierdzających jego istnienie, sierżant miał pecha. Nie istniała procedura dotycząca wydawania czeków nieistniejącemu człowiekowi. Trzeba było wystosować do kwatery głównej prośbę
0 przesłanie kopii dokumentów wraz z zapytaniem, czy wolno sierżantowi wypłacić żołd. Podania zostały rozpatrzone i jakiś czas później nadeszła odpowiedź.
Historia ma szczęśliwe zakończenie. Jim donosi, że „zachowanie sierżanta uległo cudownej przemianie”.
PRZYJEDŹ DO HOLLYWOOD, NASTOLETNI SPECU
Kiedy na ekrany wszedł film Park Jurajski, pewien młody haker, którego będziemy nazywać Yuki, zadecydował, że chce przejąć kontrolę nad należącym do MCA/Universal Studios komputerem, który dzierżawił lost-world.com, stronę www filmu Park Jurajski i programów telewizyjnych wytwórni.
Mówi, że to było „całkiem banalne włamanie”, ponieważ strona miała kiepskie zabezpieczenia. Zastosował metodę, którą opisał następująco: „Wprowadziłem skrypt CGI, który otworzył port [port o wyższym numerze, niechroniony firewallem], mogłem więc podłączyć się do niego
1 z powrotem do lokalnego hosta, żeby zyskać pełny dostęp”.
Studia MCA mieściły się wtedy w nowiutkim budynku. Yuki przeprowadził drobne badania w Internecie, poznał nazwę firmy architektonicznej, wszedł na jej stronę i bez większych kłopotów włamał się do sieci. (Było to dość dawno temu, więc oczywiste luki prawdopodobnie zostały usunięte).
287
Z wnętrza firewalla bez trudu zlokalizował program AutoCAD z planami budynku MCA. Był zachwycony, ale miał za sobą dopiero rozgrzewkę przed prawdziwą próbą. Jego kolega zajął się projektowaniem „fajnego nowego logo” dla stron Parku Jurajskiego, zmieniając nazwę Jurassic Park i w miejsce tyranozaura z otwartą paszczą, umieszczając kaczuszkę. Włamali się na stronę www, umieścili swoje logo (zob. rys. 11-1) w miejscu oficjalnego i czekali, co się stanie.
Rys. 11-1: Podmienione logo Parku Jurajskiego
Reakcja była niezupełnie taka, jakiej się spodziewali. Media uznały, że logo jest zabawne, ale podejrzane. Na CNet News.com znalazł się artykuł1 z pytaniem w tytule, czy to włamanie, czy mistyfikacja — podejrzewano, że ktoś z wytwórni zastosował ten chwyt, żeby zrobić reklamę filmowi.
Yuki mówi, że niedługo później skontaktował się z wytwórnią i powiedział o dziurze, która umożliwiła im wejście na stronę, a także
o zainstalowanej przez nich furtce. W przeciwieństwie do wielu innych przedsiębiorstw, które nękają włamywaczy na swoje strony czy do sieci, gdy poznają ich tożsamość, ludzie z Universal byli wdzięczni za informacje.
Co więcej, mówi Yuki, zaproponowali mu pracę — bez wątpienia sądząc, że będzie niezły w wyszukiwaniu i likwidowaniu innych luk. Yuki był podniecony tą propozycją.
Ale nic z tego nie wyszło. „Kiedy się dowiedzieli, że mam tylko szesnaście lat, zaproponowali psie pieniądze”. Zrezygnował z okazji.
288
Dwa lata później CNet News.com opublikowała listę dziesięciu ulubionych włamań wszech czasów2. Yuki z radością zobaczył swój Jurassic Pond (Staw Jurajski) na poczesnym miejscu.
Ale mówi, że jego hakerskie dni dobiegły końca. „Pięć lat temu zszedłem ze sceny”. Po odrzuceniu propozycji MCA zaczął pracę jako konsultant bezpieczeństwa i tym zajmuje się do dzisiaj.
WŁAMANIE DO AUTOMATU Z NAPOJAMI
Jakiś czas temu Xerox i inne firmy eksperymentowały z maszynami, które robiłyby numer typu „E.T. dzwoni do domu”. Na przykład kopiarka miałaby monitorować własny status i wysyłać do siedziby firmy albo do obsługi technicznej sygnał w przypadku, gdyby kończył się toner, zużywały się wałki albo wystąpił jakiś inny problem. Po odebraniu informacji z firmy wyruszałby serwisant ze wszystkimi potrzebnymi częściami.
Według naszego informatora Davida, jedną z firm testujących była Coca-Cola. „Eksperymentalne automaty — mówi David — były podłączone do systemu Unix i mogły zdalnie informować o swoim statusie operacyjnym”.
Nudząc się pewnego dnia, David z paroma kolegami postanowił zbadać system i zobaczyć, co można w nim znaleźć. Jak się spodziewali, do maszyny można było uzyskać dostęp przez telnet. „Była podłączona przez port szeregowy i był tam uruchomiony proces nadzorujący stan maszyn”. Użyli programu Finger i stwierdzili, że są załogowani do konta — „teraz pozostało tylko znaleźć hasło”.
Odgadli hasło już przy trzeciej próbie, choć programista firmy świadomie wybrał takie, którego odgadnięcie wydawało się wysoce nieprawdopodobne. Po uzyskaniu dostępu odkryli, że kod źródłowy programu jest przechowywany w maszynie, więc „nie mogliśmy się oprzeć i wprowadziliśmy drobną zmianę”.
Wpisali kod, który sprawiał, że mniej więcej co piąty wychodzący komunikat na końcu miał informację: „Pomocy! Ktoś mnie kopie!”.
„Ale największy śmiech był wtedy — mówi David -— gdy odgadliśmy hasło”. Spróbujecie zgadnąć, jak według ludzi z Coca-Coli brzmiało niemożliwe do odgadnięcia hasło?
David mówi, że hasło w automacie z napojami Coca-Coli brzmiało „pepsi”!
289
SPARALIŻOWANIE ARMII IRACKIEJ W CZASIE PUSTYNNEJ BURZY
Na wczesnych etapach operacji Pustynna Burza amerykański wywiad wojskowy rozpracowywał systemy łączności wojsk irackich, wysyłając helikoptery załadowane skanerami radiowymi w strategiczne miejscu wzdłuż „bezpiecznej strony irackiej granicy”. Tak powiedział Mike, który tam był.
Helikoptery były wysyłane w grupach po trzy. Przed rozwojem nawigacji satelitarnej (GPS), helikoptery wykonywały namiary krzyżowe, dzięki którym ludzie z wywiadu mogli nanieść na mapę położenie każdej jednostki wojsk irackich wraz z używaną przez nie częstotliwością.
Kiedy zaczęła się operacja, Stany Zjednoczone mogły podsłuchiwać iracką łączność. Mike mówi: „Amerykańscy żołnierze, którzy znali farsi, zaczęli słuchać, jak iraccy dowódcy wydają rozkazy patrolom naziemnym”.
I nie tylko słuchać. Gdy dowódca wezwał do jednoczesnego nawiązani;i łączności, poszczególne jednostki zgłaszały się: „Tu Wielbłąd Jeden”, „Tu Wielbłąd Trzy”, „Tu Wielbłąd Pięć”. Jeden z podsłuchujących żołnierzy zaszczebiotał w farsi: „Tu Wielbłąd Jeden”, powtarzając kodową nazwę.
Skonsternowany iracki dowódca powiedział Wielbłądowi Jeden, że juz się zgłosił i nie powinien robić tego dwa razy. Bogu ducha winny Wielbłąd Jeden odparł, że zgłosił się tylko raz. „Nastąpiła gorączkowa dyskusja pełna wyrzutów i zaprzeczeń”, wspomina Mike.
Amerykańscy żołnierze postępowali podobnie wzdłuż całej granicy. Potem przenieśli grę na następny poziom. Zamiast powtarzać kodowe nazwy, po angielsku wrzeszczeli: „Tu Bravo Forcé Pięć — jak się macie!”. Według Mike’a „zrobił się niezły zamęt”.
Iraccy dowódcy musieli być wściekli i zakłopotani faktem, że ich oddziały polowe słyszą głosy niewiernych najeźdźców, i jednocześnie przestraszeni odkryciem, że nie mogą wydawać rozkazów przez radio, bo siły amerykańskie słyszą każde ich słowo. Zaczęli rutynowo zmieniać częstotliwość, przechodząc na kanały rezerwowe.
Skanery na pokładzie amerykańskich helikopterów poradziły sobie bez trudu z taką strategią — skanowały pasmo i szybko znajdowały częstotliwość, na którą przełączyli się Irakijczycy. Żołnierze prowadzący nasłuch szybko wracali na trop, a wywiad wojskowy powiększał listę częstotliwości używanych przez Irakijczyków. I wciąż gromadził informa-
290
eje o schemacie organizacyjnym irackich sił obronnych — miejscu, lokalizacji, przeznaczeniu jednostek, nawet planach akcji.
Wreszcie iraccy dowódcy stracili nadzieję i zrezygnowali z łączności radiowej ze swoimi oddziałami, przechodząc na zakopane linie telefoniczne. Stany Zjednoczone znów deptały im po piętach. Wojska irackie miały stare linie telefoniczne, i podpięcie do nich nadajnika z szyfratorcm kierującego wszystkie rozmowy do wywiadu wojskowego nie stanowiło problemu.
Znający farsi żołnierze amerykańscy wrócili do pracy, używając tych samych metod co wcześniej do przerywania łączności radiowej. Wyobraźcie sobie minę jakiegoś irackiego majora, pułkownika czy generała, gdy słyszy w słuchawce jowialny głos: „Cześć, tu znowu Bravo Forcé Pięć, jak się macie!”.
I może dodatek w stylu: „Tęskniliśmy za wami, dobrze, że wróciliście”.
Irackie dowództwo straciło możliwość prowadzenia nowoczesnej łączności. Dowódcy powrócili do wypisywania rozkazów i przesyłania ich ciężarówkami do oficerów polowych, którzy pisali odpowiedzi i wysyłali je przez pustynię do sztabu. Uzyskanie odpowiedzi na jedno pytanie mogło zabrać wiele godzin. Dowódcy nie mogli prowadzić skoordynowanych działań, ponieważ trudno było dotrzeć do każdej jednostki na czas.
Niezupełnie skuteczny sposób obrony przed szybko przemieszczającymi się siłami amerykańskimi.
Gdy tylko zaczęła się wojna powietrzna, grupa amerykańskich pilotów otrzymała zadanie wypatrywania ciężarówek przewożących rozkazy pomiędzy oddziałami o znanej lokalizacji. Siły powietrzne brały samochody na cel i wyłączały z akcji. Po paru dniach iraccy kierowcy odmówili przewożenia wiadomości, ponieważ wiedzieli, że to oznacza pewną śmierć.
To zwiastowało prawie całkowite załamanie irackiego systemu dowodzenia i kontroli. Naczelne dowództwo mogło wydawać rozkazy, ale dowódcy połowi „bali się tych łączności, bo wiedzieli, że są podsłuchiwani przez wojsko amerykańskie i że łączność zostanie wykorzystana do przypuszczenia ataku na ich oddziały”, mówi Mikę. Odpowiadając na rozkazy, dowódca połowy zdradzał, że żyje, i mógł się spodziewać, że jego odpowiedź pozwoli Amerykanom dokładnie namierzyć jego pozycję. Chcąc ratować życie, niektóre irackie jednostki polowe zniszczyły swoje urządzenia łączności, żeby nie odbierać napływających rozkazów.
291
„Niedługo później — wspomina z radością Mike — w armii irackiej zapanował chaos i wiele jednostek nie brało udziału w działaniach, ponieważ nikt nie mógł — albo nie chciał — nawiązać łączności”.
BON TOWAROWY NA MILIARD DOLARÓW
Większa część poniższej historii została zaczerpnięta z naszej rozmowy z byłym hakerem, obecnie dobrze ustawionym, szanowanym konsultantem bezpieczeństwa.
Tam jest wszystko, stary, wszystko. Dlaczego okrada pan banki, panie Horton? Bo tam są pieniądze.
Opowiem wam zabawną historię. Razem z Frankiem z Agencji Bezpieczeństwa Narodowego — nie podam jego nazwiska, teraz pracuje dla Microsoftu — mieliśmy umowę [na przeprowadzenie testu penetracyjnego] w firmie, która produkowała cyfrowe bony towarowe. Choć wypadli z interesu, nie powiem, o kogo chodziło.
Co więc zhakować? Czy kod na bonie towarowym? Nie, kodowanie było super, doskonała robota. Kryptograficznie zabezpieczone, więc próba byłaby stratą czasu. Co w takim razie zaatakować?
Spojrzeliśmy, w jaki sposób kupujący realizuje bon. To był atak z wewnątrz, więc wolno nam było mieć konto kupującego. Znaleźliśmy błąd w systemie spłat, błąd w aplikacji, który pozwolił nam na wykonywanie dowolnych poleceń. To było głupie, dziecinne, nie wymagało szczególnych umiejętności — po prostu trzeba wiedzieć, czego szukać. Nie jestem kryptoanalitykiem ani matematykiem. Po prostu wiem, jak ludzie robią błędy w aplikacjach i powtarzają je bez końca.
W tej samej podsieci, w której był system realizacji, mieli łączność z mennicą — komputerem tworzącym bony towarowe. Włamaliśmy się do maszyny, wykorzystując status zaufania. Zamiast ograniczyć
292
się do zdobycia praw administratora, wystawiliśmy bon towarowy — za pomocą 32 starszych bitów, z jednostką monetarną dolar amerykański.
Miałem bon towarowy wartości jednego miliarda dziewięciuset tysięcy dolarów. I bon był jak najbardziej ważny. Ktoś powiedział, że powinniśmy wstawić angielskie funty, bo stoją wyżej niż dolce.
Weszliśmy na stronę sklepu Gap i kupiliśmy parę skarpet. Teoretycznie mieliśmy miliard dziewięćset milionów reszty. To było fantastyczne.
Chciałem dołączyć skarpety do raportu z testu penetracyjnego.
Ale jeszcze nie skończył. Uznał, że zrobił na nas niekorzystne wrażenie,
i mówił dalej w nadziei na poprawienie wizerunku:
Może wyszedłem na gwiazdę rocka, ale widzicie tylko ścieżkę, którą zmierzałem, i mówicie: O mój Boże, patrzcie, jaki spryciarz. Wszedł do komputera, potem naruszył status zaufania, a potem wszedł do mennicy i sfabrykował bon towarowy.
Tak, ale czy wiecie, jakie to naprawdę było trudne? Spróbujemy, może się uda. Nic z tego. Teraz to, może zadziała? Znowu nic. Metoda prób i błędów. To ciekawość, wytrwałość i ślepy traf
I odrobina umiejętności.
Naprawdę wciąż mam te skarpety.
POKER TEXAS HOLD’EM
Jedną z rzeczy, których pokerzyści są całkiem pewni, gdy zasiadają przy stole w kasynie — niezależnie od tego, czy grają w najpopularniejszy dziś Texas Hold’Em, czy w jakiś inny wariant pokera — jest to, że pod czujnym okiem krupiera, szefów sali i wszystko widzących kamer wideo
293
mogą liczyć na swoje umiejętności i szczęście, bez martwienia się o to, że inni gracze mogą oszukiwać.
W dzisiejszych czasach dzięki Internetowi można grać w pokera elektronicznie — na własnym komputerze, za pieniądze, przeciwko pięciu graczom siedzącym przed swoimi maszynami w różnych częściach kraju
i świata.
A potem nagle zjawia się haker, który zna sposób, żeby z pomocą stworzonego przez siebie bota — robota, w tym przypadku elektronicznego — zapewnić sobie niekoniecznie małą przewagę. Haker, Ron, mówi, że trzeba „napisać matematycznie doskonałego bota, który będzie grać online, wprawiając przeciwników w przekonanie, że grają z człowiekiem”. Poza zarabianiem na codziennych partyjkach, zgłaszał swojego bota do turniejów i odnosił imponujące sukcesy. „W jednym czterogodzinnym turnieju free-roll (bez opłaty za wstęp), w którym uczestniczyło trzystu graczy, bot zajął drugie miejsce”.
Szło doskonale, dopóki Ron nie popełnił błędu taktycznego. Postanowił wystawić bota na sprzedaż za 99 dolarów rocznie od każdego nabywcy. Wieści o produkcie szybko się rozeszły i ludzie grający online zaczęli się obawiać, że być może grają z robotami. „Gracze i właściciele kasyna (zaniepokojeni możliwą utratą klientów) podnieśli taki szum, że do strony dodano kod wykrywający mojego bota i ogłoszono, iż na stałe zakażą gry każdemu, kto zostanie przyłapany na jego używaniu”.
Nadszedł czas na zmianę strategii.
Po zakończonej niepowodzeniem próbie zrobienia interesu na technologii postanowiłem przenieść projekt do podziemia. Zmodyfikowałem bota, żeby mógł grać na jednej z największych stron pokerowych w tiybie zespołowym — dwa czy trzy boty przy tym samym stole rozdzielały między siebie ukryte karty, uzyskując nieuczciwą przewagę.
W pierwszym e-mailu o tej przygodzie Ron dał do zrozumienia, że jego boty wciąż są używane. Później napisał z prośbą, żebyśmy oznajmili, co następuje:
Po oszacowaniu strat finansowych, jakie miało ponieść tysiące pokerzystów grających online, Ron postanowił nie używać swojego bota na czyjąkolwiek szkodę.
294
Cóż, gracze Online, musicie zadecydować sami. Jeśli udało się Ronowi, mogą to zrobić inni. Może więc lepiej skoczyć samolotem do Las Vegas.
NASTOLETNI ŁOWCA PEDOFILÓW
Obaj z Billem uznaliśmy tę historię za poruszającą. Być może jest prawdziwa tylko po części albo, jak się domyślamy, całkowicie wymyślona, ale postanowiliśmy ją przytoczyć z uwagi na sposób, w jaki została przedstawiona:
Zaczęło się, gdy miałem jakieś piętnaście lat. Mój kolega Adam pokazał mi, jak dzwonić za darmo ze szkolnego automatu, który znajdował się przed pawilonem, dokąd chodziliśmy na lunch. Wtedy po raz pierwszy zrobiłem coś nielegalnego. Adam zrobił ze spinacza do papieru swego rodzaju darmową kartę telefoniczną, jednym końcem przebijając słuchawkę. Potem wybrał numer, pod który chciał zadzwonić, przytrzymując, ostatnią cyfrę numeru i jednocześnie dotykając spinaczem mikrofonu. Nastąpiła seria trzasków, potem rozległ się sygnał Byłem pod wielkim wrażeniem. Pierwszy raz w życiu uświadomiłem sobie, jak potężna może być wiedza.
Natychmiast zacząłem czytać wszystko, co wpadło mi w ręce. Jeśli tylko trafiałem na jakieś podejrzane informacje, musiałem je mieć. Sztuczkę ze spinaczem stosowałem przez całą szkołę średnią, aż nabrałem apetytu na zapuszczenie się w ciemniejsze uliczki. Być może chciałem tylko sprawdzić, jak daleko można dojść. Ciekawość plus dreszczyk emocji związany z robieniem czegoś złego wystarczy, żeby zepchnąć piętnastoletniego smarkacza do podziemia.
Zrozumiałem, że sama wiedza nie wystarczy, aby zostać hakerem.
Do zastawienia pułapki potrzebny jest spryt.
O trojanach dowiedziałem się od sieciowego kolegi, który kazał mi załadować jeden taki program do mojego komputera. Mógł robić niesamowite rzeczy, na przykład widział, co piszę, i nagrywał strumień video z mojej kamery wideo. Byłem w siódmym niebie. Wyszukałem wszystko, co tylko mogłem, o tym trojanie i zacząłem
295
pakować go do popularnych plików wykonywalnych. Wchodziłem na czaty i próbowałem złapać kogoś, komu mógłbym go podesłać, ale na przeszkodzie stało zaufanie. Nikt mi nie ufał, i nie bez powodu.
Wszedłem na przypadkowy młodzieżowy IRC i tam go znalazłem: pedofila, który szukał zdjęć dzieci i nastolatków. Z początku myślałem, że to żart, ale postanowiłem wziąć udział w grze i zobaczyć, że zdołam go załatwić.
Zacząłem czatować z nim prywatnie, udając dziewczynkę, która ma ochotę spotkać się z nim pewnego dnia — ale nie tak, jak on myślał. Ten gość był chory, delikatnie mówiąc. Mój instynkt piętnastolatka chciał wymierzyć mu sprawiedliwość. Chciałem dać mu popalić tak paskudnie, żeby zastanowił się dwa razy, zanim znów zacznie polować na dzieci. Przy wielu okazjach próbowałem podesłać mu trojana, ale był sprytniejszy ode mnie. Miał zainstalowany antywirus, który blokował moje wszystkie próby. Dziwne, że nigdy nie podejrzewał mnie o złośliwość. Myślał, że może mój komputer jest zainfekowany i trojan podczepia się do zdjęć, które próbowałem mu wysłać. Po prostu udawałem głupiego.
Po paru dniach czatowania zaczął naciskać. Domagał się nieprzyzwoitych zdjęć, mówił, że mnie kocha i chce się ze mną spotkać. Był kanalią pierwszej wody i idealnym celem do zniszczenia bez wyrzutów sumienia — o ile zdałam go dorwać. Zgromadziłem dość informacji, żeby uzyskać dostęp do kilku jego kont pocztowych. Znacie pytania, jakie zadają? Jaki jest twój ulubiony kolor? Jak brzmi panieńskie nazwisko twojej matki? Wystarczyło wyciągnąć z niego te informacje i miałem wstęp wolny.
Lubił wysoce nielegalne rzeczy. Wystarczy powiedzieć, że miał mnóstwo pornografii z dziećmi w różnym wieku. Robiło mi się niedobrze.
Potem mnie olśniło. Jeśli nie chciał przyjąć trojana ode mnie, może przyjmie go od jednego ze swoich porno-kolesiów. Sfabrykowałem adres i napisałem krótką wiadomość:
Obej rzyj to gorące wi deo. wyłącz antywi ra, zani m ści ągni esz, bo ci schrzani jakość.
PS Jesteś mi dłużny.
Byłem pewien, że chwyci przynętę i czekałem cierpliwie przez całe popołudnie, żeby sprawdził pocztę. Ale w końcu się poddałem. Nie byłem dobry w te [socjotechniczne] klocki.
Dochodziła jedenasta w nocy, kiedy wreszcie się stało. Dostałem wiadomość od mojego trojana z informacją, że zainstalował się w maszynie. Udało mi się!
Uzyskałem dostęp i natychmiast zacząłem kopiować dowody do folderu [który utworzyłem na jego komputerze}; nazwałem go małolata. Dowiedziałem się wszystkiego o tym facecie — nazwisko, adres, miejsce pracy, nawet dokumenty, nad którymi pracował w tym czasie.
Nie mogłem tak po prostu zadzwonić do FBI ani do miejscowej policji, bo się balem, że skoro wiem o materiale w jego komputerze, to sam wyląduję w więzieniu. W wyniku dalszych poszukiwań dowiedziałem się, że jest żonaty i ma dzieci. To było straszne.
Zrobiłem jedyne, co mogłem. Wysłałem jego żonie e-mail ze wszystkimi informacjami, jakie były potrzebne, żeby uzyskać dostęp do pliku małolata. Potem zatarłem ślady i usunąłem trojana.
Pierwszy raz poznałem smak nie tylko możliwości wykorzystania programu, ale też emocji związanych z osiąganiem celu. Kiedy zdobyłem dostęp, uświadomiłem sobie, że miało być zupełnie inaczej. To wymagało czegoś więcej niż tylko wiedzy — wymagało przebiegłości, kłamania, manipulowania i ciężkiej pracy. Ale spalenie tego dupka warte było każdej uncji energii. W wieku piętnastu lat czułem się jak król. Inie mogłem powiedzieć o tym żywej duszy.
Ale wolałbym nigdy nie widzieć tego, co widziałem.
.1 NAWET NIE MUSISZ BYĆ HAKEREM
Z wielu historii w tej książce jasno wynika, że większość hakerów przez długie lata pogłębia swoją wiedzę. Z tego powodu zawsze jestem zdumiony, kiedy spotykam się z wyczynem wymagającym hakerskiego stylu myślenia, a dokonanym przez osobę bez hakerskiego doświadczenia. Oto jeden z nich.
John, student ostatniego roku, robił specjalizację z informatyki i odbywał staż w miejscowym zakładzie energetyczno-gazowym, żeby po ukończeniu studiów mieć nie tylko dyplom, ale i pewne doświadczenie. Firma zleciła mu wykonywanie uaktualnień programu Lotus Notes dla pracowników. Za każdym razem, gdy dzwonił do kogoś, aby umówić się na spotkanie, prosił o hasło Lotus Notes, żeby móc założyć nowszą wersję. Ludzie bez wahania podawali mu informacje.
Czasami jednak zostawiał wiadomość w poczcie głosowej i kończyło się na tym, że spotykał się z pracownikiem, ale nie miał okazji wcześniej spytać go o hasło. Znalazł wyjście z sytuacji: „Stwierdziłem, że osiemdziesiąt procent ludzi ani razu nie zmieniło hasła od chwili zainstalowania Notes w systemie, więc moją pierwszą próbą zawsze było hasło”.
Jeśli metoda zawodziła, John wchodził do boksu danej osoby i przeglądał karteczki ze wszystkimi hasłami, zwykle przyklejone w widocznym miejscu na monitorze albo schowane (jeśli to właściwe słowo) pod klawiaturą lub w górnej szufladzie.
Jeśli to podejście kończyło się fiaskiem, miał jeszcze jedną kartę w rękawie. „Moja ostatnia linia ataku polegała na przejrzeniu osobistych drobiazgów w boksie. Zwracałem uwagę na wszystko, co mogło nawiązywać do imion dzieci, zwierzaków, hobby i tak dalej'’. Wystarczało kilka prób.
Pewnego razu zadanie okazało się trudniejsze niż zwykle. „Do dziś pamiętam hasło pewnej kobiety, które dało mi w kość, dopóki nie zauważyłem, że na wszystkich zdjęciach widnieje motocykl”. Na wyczucie wpisał „harley”… i miał hasło.
Zachęcony powodzeniem, poszedł za ciosem. „Zrobiłem z tego grę
i trafiałem w dziewięćdziesięciu procentach przypadków, poświęcając każdemu mniej niż dziesięć minut. Hasła, których nie odgadłem, zwykle zawierały proste informacje, które mógłbym znaleźć w wyniku nieco głębszych poszukiwań — najczęściej daty urodzin dzieci”.
Staż okazał się bardzo opłacalny — „nie tylko wzbogacił moje CV, ale też nauczył mnie, że nasza pierwsza linia obrony przed hakerami, czyli
sami użytkownicy i wybierane przez nich hasła, jest również linią najsłabszą”.
Wydaje się, że jest to dobre i bardzo ważne przesłanie na zakończenie. Gdyby każdy użytkownik komputera dziś wieczorem zmienił swoje hasło — i nie zostawił nowego w jakimś łatwym do odkrycia miejscu — wtedy jutro rano nagle moglibyśmy stwierdzić, że żyjemy w znacznie bezpieczniejszym świecie.
Mamy nadzieję, że to zmobilizuje każdego czytelnika tej książki.
PRZYPISY
1 CNet News.com, „Lost World, LAPD: Hack or Hoaxes?", by Janet Kornblum, May 30, 1997 5 CNef News.com, „The Ten Most Subversive Hacks", by Matt Lake, October 27, 1999.
Indeks
11 września, następstwa 56 3COM, konfiguracja urządzenia 234-248 Abagnale Frank 70 American Registry for Internet Numbers (ARIN) 127 Anderson, Charles Matthew (Matt) 102
aresztowanie 106 phreaking 94 armia Iraku 290 atak
denial of service 113 egzotyczny 124
socjotechniczny 13, 96, 98,138, 147, 155, 260-285 SQL injection 208 war dialing 95
zdalne przepełnienie buforu 66 zero-day exploit 68 backticket variable injection flaw 201 bank, włamanie 177 banki internetowe 170 Dixie 175
Estonia 170 hasła 178 Berkeley Internet Name Domain (BIND) luki 66 BGA 42
Boeing, seminarium 98 Boeing, włamanie (Matt i Costa) łamanie haseł 101 środki zaradcze 102, 113 wykrycie włamania 99-100 Boeing, włamanie (neOh) 48-50 Boelling, Don
aresztowania 106-108 wykrywanie włamań 98 Brock
3COM, konfiguracja urządzenia 238-240
DNS, skanowanie odwrotne 235 router, identyfikacja 236 router, mapowanie 235 system firmy, dostęp 250 Burns, Erie (Zyklon) 58-66 Citrix MetaFrame 176, 177, 216
301
Costa (Katsaniotis, Costa) włamanie do sądu 95 deface 58
defense in depth 68, 182, dekompilacja 22, 207, 208 DEM (Defense Information System) 48
dezasembler 24
DMZ (strefa zdemilitaryzowana) 48, 68, 236, 240, 241, 251, 258 DNS (Domain Name Servers) mechanizm split-horizon 138 ochrona 139 reverse lookup 121 transfer strefy 139 Dykes, Dustin 143, 153, 155 exploit (program) 66, 176, 252 firewall hasło 177
konfiguracja 148, 149, 167, 222 reguły 167, 178, 223 hasła
bezpieczne 58, 114, 130, 159 domyślne 58, 151, 167, 178, 214, 215, 229, 232, 256, 259 hasze 145, 158, 159, 179, 182, 189, 193, 214, 215, 226, 230, 253 zarządzanie 87, 167 inżynieria wsteczna 23,27,41, 184,207 Juhan 170-180
karta kredytowa 106, 120, 122, 130,
172, 194, 278 kasyno, włamanie generator liczb pseudolosowych 40 generowanie sum kontrolnych 42 kod automatów 24-26 łamanie zabezpieczeń 23, 24 zabezpieczenie kasyn 41
Keyghost, urządzenie 162, 165 konto administratora, zmiana nazwy 229
kopia bezpieczeństwa 160, 212, 227 krakerskie strony 219 krakerzy określenie 11, 18-186 świat 217-219 krakowanie automatów do gry 20 haseł 58
oprogramowania 217 LexisNexis, włamanie 131, 132 luka 60, 65, 131, 148, 149 M&M ochrona 211 M icrosoft atak SOL injection 208, 209, 228, 229
FrontPage 206 SQL 129, 189, 191 usługa zdalnego dostępu (RAS) 78 Windows XP 89
wirtualna sieć prywatna (VPN) 178, 187, 204, 229, 244 włamanie 126 monitorowanie aktywności użytkownika komputera 176
pakietów danych 48 serwera 229 sieci 182 netstat, polecenie 122, 193, 195 porty
nasłuchiwanie na 252 niestandardowe 123 ograniczenia 141 otwarte 128, 177, 178, 189,
191, 223, 236, 247
302
RAT (Remote Access Trojan) 122 skanowanie 127, 187, 188, 194, 223, 237, 238 seiwer
DNS, podstawowy 66, 139, 192 DNS, zapasowy 66, 139, 190,192 IIS 206, 225, 253
proxy 119, 120, 121, 124, 125, 128, 140, 209 SMTP 140, 232 SOL 227-230 sniffer (szperacz) 48, 51, 52, 151,
152, 167 sniffing 46
Sztuka podstępu 13, 16, 114, 271, 273, 277, 282
szyfrowanie
haseł 58, 59, 61, 69, 100, 158, 159,
173, 179, 181, 225 klucz 32, 57 nazw plików 182 poczty 49 testy penetracyjne (pen tests) 144, 146, 152-169 Towarzysz
i Chalid Ibrahim 47
i neOh 50
SPIRNET, włamanie 49-51 traccroute, polecenie 195, 236 tylne drzwi (back door) 21, 52, 69, uwierzytelnianie 69, 114, 167, 168, 214, 222, 229, 245, 253, 257, 282