Komentarze: 0
Na czym polega realne zagrożenie ze strony socjotechnika? Czego powinniśmy się strzec? Jeżeli jego celem jest zdobycie czegoś wartościowego, powiedzmy części kapitału firmy, to być może potrzebny jest solidniejszy skarbiec i większe straże, czyż nie? Penetracja systemu bezpieczeństwa firmy często zaczyna się od zdobycia informacji lub dokumentu, który wydaje się nie mieć znaczenia, jest powszechnie dostępny i niezbyt ważny. Większość ludzi wewnątrz organizacji nie widzi więc powodów, dla których miałby być chroniony lub zastrzeżony. Wiele nieszkodliwie wyglądających informacji będących w posiadaniu firmy jest cennych dla socjotechnika, ponieważ mogą one odegrać podstawową rolę podczas wcielania się w kogoś innego. Ze tej publikacji dowiemy się, jak działają socjotechnicy, stając się „świadkami” ich ataków. Czasami przedstawienie sytuacji, w pierwszej kolejności z punktu widzenia ofiary, umożliwia wcielenie się w jej rolę i próbę analizy, jak my, lub nasi pracownicy, zachowalibyśmy się w takiej sytuacji. W wielu przypadkach te same wydarzenia zostaną przedstawione również z punktu widzenia socjotechnika. Pierwsza historia uświadamia nam słabe strony firm działających w branży finansowej. Jak daleko sięgnąć pamięcią, Brytyjczycy musieli zmagać się ze staroświeckim systemem bankowym. Zwykły, uczciwy obywatel nie może po prostu wejść tam do banku i założyć konta. Bank nie będzie traktować go jako klienta, dopóki osoba już będąca klientem nie napisze mu listu referencyjnego. W naszym, z pozoru egalitarnym świecie bankowości, wygląda to już trochę inaczej. Nowoczesny, łatwy sposób robienia interesów jest najbardziej widoczny w przyjaznej i demokratycznej Ameryce, gdzie każdy może wejść do banku i bez problemu otworzyć rachunek. Chociaż nie do końca. W rzeczywistości banki mają naturalne opory przed otwieraniem rachunku komuś, kto mógł w przeszłości wystawiać czeki bez pokrycia. Klient taki jest tak samo mile widziany jak raport strat z napadu na bank czy defraudacja środków. Dlatego standardową praktyką w wielu bankach jest szybkie sprawdzanie wiarygodności nowego klienta. Jedną z większych firm, które banki wynajmują do takich kontroli, jest CreditChex. Świadczy ona cenne usługi dla swoich klientów, ale jej pracownicy mogą też nieświadomie pomóc socjotechnikowi.
Oczywiście oszustwo nie jest narzędziem używanym wyłącznie przez socjotechników. Opisy aktów terroru stanowią znaczącą część doniesień agencyjnych i przyszło nam zdać sobie sprawę jak nigdy wcześniej, że świat nie jest bezpiecznym miejscem. Cywilizacja to w końcu tylko maska ogłady. Ataki na Nowy Jork i Waszyngton dokonane we wrześniu 2001 roku wypełniły serca nie tylko Amerykanów, ale wszystkich cywilizowanych ludzi naszego globu, smutkiem i strachem. Cywilizacja to delikatny organizm. Zostaliśmy zaalarmowani faktem, że po całym świecie rozsiani są owładnięci obsesją terroryści, którzy są dobrze wyszkoleni i czekają na możliwość ponownego ataku. Zintensyfikowane ostatnio wysiłki rządu zwiększyły poziom świadomości dotyczącej spraw bezpieczeństwa. Musimy pozostać w stanie gotowości wobec wszelkich przejawów terroryzmu. Musimy uświadomić sobie, w jaki sposób terroryści tworzą swoje fałszywe tożsamości, wchodzą w rolę studentów lub sąsiadów, wtapiają się w tłum. Maskują swoje prawdziwe zamiary, knując przeciwko nam intrygę, pomagając sobie oszustwami podobnymido opisanych w tej publikacji. Z moich informacji wynika, że dotychczas terroryści nie posunęli się jeszcze do stosowania zasad socjotechniki w celu infiltrowania korporacji, wodociągów, elektrowni i innych istotnych komponentów infrastruktury państwa. W każdej chwili mogą jednak to zrobić — bo jest to po prostu łatwe. Mam nadzieję, że świadomość i polityka bezpieczeństwa zajmą należne im miejsce i zostaną docenione przez kadrę zarządzającą firm po przeczytaniu tej publikacji. Wkrótce jednak może okazać się, że to za mało. Bezpieczeństwo firmy to kwestia równowagi. Zbyt mało zabezpieczeń pozostawia firmę w zagrożeniu, a zbyt dużo przeszkadza w prowadzeniu działalności, powstrzymując wzrost zysków i pomyślny rozwój przedsiębiorstwa. Zadanie polega na odnalezieniu równowagi między bezpieczeństwem a produktywnością. Inne książki traktujące o bezpieczeństwie firm koncentrują się na sprzęcie i oprogramowaniu, nie poświęcając należnej uwagi najpoważniejszemu z wszystkich zagrożeń — oszustwu. Celem tej publikacji jest dla odmiany pomoc w zrozumieniu, w jaki sposób ludzie w firmie mogą zostać zmanipulowani i jakie bariery można wznieść, aby temu zapobiec. Publikacja ta koncentruje się głównie na pozatechnologicznych metodach, jakie stosują intruzi w celu zdobycia informacji, naruszenia integralności danych, które wydając się bezpiecznymi nie są takimi w istocie, lub wręcz niszczenia efektów pracy firmy. Moje zadanie jest jednak utrudnione z jednego prostego powodu: każdy czytelnik został zmanipulowany przez największych ekspertów od socjotechniki — swoich rodziców. Znaleźli oni sposoby, aby skłonić nas, byśmy „dla naszego własnego dobra” robili to, co według nich jest najlepsze. Rodzice są w stanie wszystko wytłumaczyć, w taki sam sposób jak socjotechnicy umiejętnie tworzą wiarygodne historie, powody i usprawiedliwienia, aby osiągnąć swoje cele. W wyniku takich doświadczeń wszyscy staliśmy się podatni na manipulację. Nasze życie stałoby się trudne, gdybyśmy musieli zawsze stać na straży, nie ufać innym, brać pod uwagę możliwość, że ktoś nas wykorzysta. W idealnym świecie można by bezwarunkowo ufać innym i mieć pewność, że ludzie, których spotykamy, będą uczciwi i godni zaufania. Nie żyjemy jednak w takim świecie, dlatego musimy wyćwiczyć nawyk czujności, aby zdemaskować ludzi próbujących nas oszukać. Większość tej publikacji , składa się z historii przedstawiających socjotechników w akcji. Opisuję tu tematy takie jak: • Sprytna metoda uzyskiwania od firmy telekomunikacynej numerów telefonu spoza listy — phreakerzy wpadli na to już dobre parę lat temu. • Kilka metod, jakich używają napastnicy do przekonania nawet najbardziej podejrzliwych pracowników, aby podali swoje nazwy użytkownika i hasła. • Kradzież najlepiej strzeżonej informacji o produkcie, w której to kradzieży dopomógł hakerom menedżer z Centrum Operacji. • Metoda, jaką haker przekonał pewną panią do pobrania programu, który śledzi wszystkie jej poczynania i wysyła mu e-maile z informacjami. • Uzyskiwanie przez prywatnych detektywów informacji o firmach i osobach prywatnych. Gwarantuję ciarki na grzbiecie podczas czytania. Po przeczytaniu niektórych opowieści można dojść do wniosku, że to nie mogło się wydarzyć, że nikomu nie udałoby się nic zdziałać za pomocą kłamstw, sztuczek i metod tam opisanych. Historie te są jednak potencjalnie prawdziwe — przedstawiają wydarzenia, które mogą się zdarzyć i zdarzają się. Wiele z nich ma miejsce każdego dnia gdzieś na świecie, być może nawet w Twojej firmie, w chwili, gdy czytasz tę publikację. Materiał tu przedstawiony może nam również otworzyć oczy, kiedy przyjdzie nam się zetrzeć z umiejętnościami socjotechnika i chronić przed nim nasze osobiste dobra informacyjne. Staram się też pomóc w stworzeniu nieodzownej polityki bezpieczeństwa i programu szkolenia minimalizującego szansę, że któryś z naszych pracowników padnie ofiarą socjotechnika. Zrozumienie strategii, metod i taktyk socjotechnika pomoże zastosować odpowiednie środki ochrony zasobów informatycznych bez narażania produktywności przedsiębiorstwa. Krótko mówiąc, piszę tę publikację, aby zwiększyć świadomość poważnego zagrożenia, jakie reprezentuje sobą socjotechnik, i pomóc w zmniejszeniu szans wykorzystania przez niego firmy lub któregoś z jej pracowników. A może powinienem powiedzieć — ponownego wykorzystania.
W większości przypadków socjotechnicy mają duże zdolności oddziaływania na ludzi. Potrafią być czarujący, uprzejmi i łatwo ich polubić — posiadają cechy potrzebne do tego, aby zyskać sobie zrozumienie i zaufanie innych. Doświadczony socjotechnik jest w stanie uzyskać dostęp do praktycznie każdej informacji, używając strategii i taktyki przynależnych jego rzemiosłu. Zmyślni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizować ryzyko związane ze stosowaniem komputerów; zapomnieli jednak o najistotniejszej kwestii — czynniku ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy największym zagrożeniem dla swojego bezpieczeństwa. Nie jesteśmy w pełni świadomi zagrożeń, szczególnie w świecie zachodnim. W USA w większości przypadków ludzie nie są uczeni podejrzliwości wobec drugiego człowieka. Są przyzwyczajani do zasady „kochaj sąsiada swego”, ufają sobie nawzajem. Organizacje ochrony sąsiedzkiej mają często problemy z nakłonieniem ludzi do zamykania domów i samochodów. Te środki ochrony wydają się oczywiste, jednak wielu Amerykanów je ignoruje, wybierając życie w świecie marzeń — do pierwszej nauczki. Zdajemy sobie sprawę, że nie wszyscy ludzie są dobrzy i uczciwi, ale zbyt często zachowujemy się, jakby tacy właśnie byli. Amerykanie są tego szczególnym przypadkiem — jako naród stworzyli sobie koncepcję wolności polegającą na tym, że najlepsze miejsce do życia jest tam, gdzie niepotrzebne są zamki ani klucze. Większość ludzi wychodzi z założenia, że nie zostaną oszukani przez innych, ponieważ takie przypadki zdarzają się rzadko. Napastnik, zdając sobie sprawę z panującego przesądu, formułuje swoje prośby w bardzo przekonujący, nie wzbudzający żadnych podejrzeń sposób, wykorzystując zaufanie ofiary. To swoiste domniemanie niewinności, będące składnikiem amerykańskiej mentalności, ujawniło się szczególnie w początkach istnienia sieci komputerowych. ARPANET, przodek Internetu, został stworzony do wymiany informacji pomiędzy rządem a instytucjami badawczymi i naukowymi. Celem była dostępność informacji i postęp technologiczny. Wiele instytucji naukowych tworzyło wczesne systemy komputerowe z minimalnymi tylko zabezpieczeniami lub zupełnie ich pozbawione. Jeden ze znanych głosicieli wolności oprogramowania, Richard Stallman, zrezygnował nawet z zabezpieczenia swojego konta hasłem. W czasach Internetu używanego jako medium handlu elektronicznego , zagrożenie związane ze słabościami systemów bezpieczeństwa drastycznie wzrosło. Zastosowanie dodatkowych technologii zabezpieczających nigdy nie rozwiąże jednak kwestii czynnika ludzkiego. Spójrzmy np. na dzisiejsze porty lotnicze. Są dokładnie zabezpieczone, ale co jakiś czas słyszymy o podróżnych, którym udało się przechytrzyć ochronę i przenieść broń przez bramki kontrolne. Jak to jest możliwe w czasach, kiedy nasze porty lotnicze są praktycznie w ciągłym stanie alertu? Problem zwykle nie leży w urządzeniach zabezpieczających, tylko w ludziach, którzy je obsługują. Władze lotniska mogą wspierać się Gwardią Narodową, instalować detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej pomaga szkolenie pracowników ochrony wzmacniające skuteczność kontroli pasażerów. Ten sam problem ma rząd oraz firmy i instytucje edukacyjne na całym świecie. Mimo wysiłków specjalistów od bezpieczeństwa informacja w każdym miejscu jest narażona na atak socjotechnika, jeżeli nie zostanie wzmocniona największa słabość systemu — czynnik ludzki. Dzisiaj bardziej niż kiedykolwiek musimy przestać myśleć w sposób życzeniowy i uświadomić sobie, jakie techniki są używane przez tych, którzy próbują zaatakować poufność, integralność i dostępność naszych systemów komputerowych i sieci. Nauczyliśmy się już prowadzić samochody, stosując zasadę ograniczonego zaufania. Najwyższy czas nauczyć się podobnego sposobu obsługi komputerów. Zagrożenie naruszenia prywatności, danych osobistych lub systemów informacyjnych firmy wydaje się mało realne, dopóki faktycznie coś się nie wydarzy. Aby uniknąć takiego zderzenia z realiami, wszyscy musimy stać się świadomi, przygotowani i czujni. Musimy też intensywnie chronić nasze zasoby informacyjne, dane osobiste, a także, w każdym kraju, krytyczne elementy infrastruktury i jak najszybciej zacząć stosować opisane środki ostrożności.
Popularne jest powiedzenie, że bezpieczny komputer to wyłączony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogoś do pójścia do biura i włączenia komputera. Przeciwnik, który potrzebuje informacji, zwykle może ją uzyskać na parę różnych sposobów. Jest to tylko kwestia czasu, cierpliwości, osobowości i uporu. W takiej chwili przydaje się znajomość sztuki manipulacji. Aby pokonać zabezpieczenia, napastnik, intruz lub socjotechnik musi znaleźć sposób na oszukanie zaufanego pracownika w taki sposób, aby ten wyjawił jakąś informację, trik lub z pozoru nieistotną wskazówkę umożliwiającą dostanie się do systemu. Kiedy zaufanych pracowników można oszukiwać lub manipulować nimi w celu ujawnienia poufnych informacji lub kiedy ich działania powodują powstawanie luk w systemie bezpieczeństwa, umożliwiających napastnikowi przedostanie się do systemu, wówczas nie ma takiej technologii, która mogłaby ochronić firmę. Tak jak kryptografowie są czasami w stanie odszyfrować tekst zakodowanej wiadomości dzięki odnalezieniu słabych miejsc w kodzie, umożliwiających obejście technologii szyfrującej, tak socjotechnicy używają oszustwa w stosunku do pracowników firmy, aby obejść technologię zabezpieczającą.