Kategoria: Computer


paź 19 2009 Analiza oszustwa
Komentarze: 1

Cały podstęp opierał się na jednej z podstawowych zasad socjotechniki: uzyskania dostępu do informacji, która mylnie jest postrzegana przez pracownika jako nieszkodliwa. Pierwsza urzędniczka bankowa potwierdziła termin, jakim określa się numer identyfikacyjny, używany do kontaktów z CreditChex — „numer kupca”. Druga podała numer linii telefonicznej używanej do połączeń z CreditChex i najistotniejszą informację — numer kupca przydzielony bankowi — uznała to za nieszkodliwe. W końcu myślała, że rozmawia z kimś z CreditChex, więc co może być szkodliwego w podaniu im tego numeru? Wszystko to stworzyło grunt do trzeciej rozmowy. Grace miał wszystko, czego potrzebował, aby zadzwonić do CreditChex, podając się za pracownika National Bank — jednego z ich klientów i po prostu poprosić o informacje, których potrzebował. Grace potrafił kraść informacje tak jak dobry oszust pieniądze, a do tego miał rozwinięty talent wyczuwania charakterów ludzi i tego, o czym w danej chwili myślą. Znał powszechną taktykę ukrywania kluczowych pytań wśród zupełnie niewinnych. Wiedział, że osobiste pytanie pozwoli sprawdzić chęć współpracy drugiej urzędniczki przed niewinnym zadaniem pytania o numer kupca. Błąd pierwszej urzędniczki, polegający na potwierdzeniu nazewnictwa dla numeru identyfikacyjnego CreditChex był w zasadzie nie do uniknięcia. Informacja ta jest tak szeroko znana w branży bankowej, że wydaje się nie mieć wartości. Typowy przykład nieszkodliwej informacji. Jednak druga urzędniczka, Chris, nie powinna odpowiadać na pytania bez pozytywnej weryfikacji, że dzwoniący jest tym, za kogo się podaje. W najgorszym przypadku powinna zapytać o jego nazwisko i numer telefonu, po czym oddzwonić. W ten sposób, jeżeli później narodziłyby się jakiekolwiek wątpliwości, miałaby przynajmniej numer telefonu, spod którego dzwoniła dana osoba. W tym przypadku wykonanie telefonu zwrotnego znacznie utrudniłoby intruzowi udawanie przedstawiciela CreditChex. Lepszym rozwiązaniem byłby telefon do CreditChex, przy użyciu numeru, z którego wcześniej korzystał bank, a nie tego, który poda dzwoniący. Telefon taki miałby na celu sprawdzenie, czy dana osoba rzeczywiście tam pracuje i czy firma przeprowadza właśnie jakieś badania klientów. Biorąc pod uwagę praktyczne aspekty pracy i fakt, że większość ludzi pracuje pod presją terminów, wymaganie takiej weryfikacji to dużo, chyba że pracownik ma podejrzenie, iż jest to próba inwigilacji. W tej sytuacji numer klienta spełniał taką samą rolę jak hasło. Jeżeli personel banku traktowałby ten numer w taki sam sposób jak numery PIN swoich kart kredytowych, uświadomiłby sobie poufną naturę tej informacji.

hjdbienek : :
paź 18 2009 Rozmowy
Komentarze: 0

Pierwsza rozmowa: Kim Andrews — National Bank, tu mówi Kim. Czy chce pan otworzyć rachunek? — Dzień dobry, mam pytanie do pani. Czy korzystacie z CreditChex? — Tak. — A jak się nazywa ten numer, który trzeba podać, jak się dzwoni do CreditChex? Numer kupca? Pauza. Kim rozważa pytanie. Czego dotyczyło i czy powinna odpowiedzieć? Rozmówca zaczyna mówić dalej bez chwili zastanowienia: — Wie pani, pracuję nad książką o prywatnych śledztwach. — Tak — mówi Kim, odpowiadając na pytanie po zniknięciu wątpliwości, zadowolona, że mogła pomóc pisarzowi. — A więc to się nazywa numer kupca, tak? — Mhm. — Świetnie. Chciałem się po prostu upewnić, czy znam żargon. Na potrzeby książki. Dziękuję za pomoc. Do widzenia. Druga rozmowa: Chris Walker — National Bank, nowe rachunki, mówi Chris. — Dzień dobry, tu Alex — przedstawia się rozmówca. — Jestem z obsługi klientów CreditChex. Przeprowadzamy ankietę, aby polepszyć jakość naszych usług. Czy może pani poświęcić mi parę minut? Chris zgodziła się. Rozmówca kontynuował: — Dobrze, a więc jakie są godziny otwarcia waszej filii? — Chris odpowiada na to pytanie i na szereg następnych. — Ilu pracowników waszej filii korzysta z naszych usług? — Jak często dzwonicie do nas z zapytaniem? — Który z numerów 0-800 został wam podany do kontaktów z nami? — Czy nasi przedstawiciele zawsze byli uprzejmi? — Jaki jest nasz czas odpowiedzi? — Jak długo pracuje pani w banku? — Jakim numerem kupca pani się posługuje? — Czy kiedykolwiek nasze informacje okazały się niedokładne? — Co zasugerowałaby nam pani w celu poprawienia jakości naszych usług? — Czy będzie pani skłonna wypełniać periodycznie kwestionariusze, które prześlemy do filii? Chris ponownie się zgodziła. Przez chwilę rozmawiali niezobowiązująco. Po zakończeniu rozmowy Chris wróciła do swoich zajęć. Trzecia rozmowa: Henry Mc Kinsey. — CreditChex, mówi Henry Mc Kinsey. W czym mogę pomóc? Rozmówca powiedział, że dzwoni z National Bank. Podał prawidłowy numer kupca, a następnie nazwisko i numer ubezpieczenia osoby, o której szukał informacji. Henry zapytał o datę urodzenia. Rozmówca podał ją. — Wells Fargo, wystąpiło NSF w 1998 na sumę 2066$ — po paru chwilach Henry odczytuje dane z ekranu komputera (NSF oznacza niewystarczające środki. W żargonie bankowym dotyczy to czeków, które zostały wystawione bez pokrycia). — Były jakieś zdarzenia od tamtego czasu? — Nie było. — Były jakieś inne zapytania? — Sprawdźmy. Tak — trzy i wszystkie w ostatnim miesiącu. Bank of Chicago... Przy wymawianiu kolejnej nazwy — Schenectady Mutual Investments — zająknął się i musiał je przeliterować. — W stanie Nowy Jork — dodał. Wszystkie trzy rozmowy przeprowadziła ta sama osoba: prywatny detektyw, którego nazwiemy Oscar Grace. Grace zdobył nowego klienta. Jednego z pierwszych. Jako były policjant zauważył, że część jego nowej pracy przychodzi mu naturalnie, a część stanowi wyzwanie dla jego wiedzy i inwencji. Tę robotę mógł zakwalifikować jednoznacznie do kategorii wyzwań. Twardzi detektywi z powieści, tacy jak Sam Spade i Philip Marlowe, przesiadywali długie nocne godziny w swoich samochodach, czyhając na okazję, by przyłapać niewiernego małżonka. Prawdziwi detektywi robią to samo. Poza tym zajmują się rzadziej opisywanymi, ale nie mniej istotnymi formami węszenia na rzecz wojujących małżonków. Opierają się one w większym stopniu na socjotechnice niż walce z sennością w czasie nocnego czuwania. Nową klientką Grace’a była kobieta, której wygląd wskazywał, że nie ma problemów z budżetem na ubrania i biżuterię. Któregoś dnia weszła do biura i usiadła na jedynym skórzanym fotelu wolnym od stert papierów. Położyła swoją dużą torebkę od Gucciego na jego biurku, kierując logo w stronę Grace’a, i oznajmiła, iż zamierza powiedzieć mężowi, że chce rozwodu, przyznając jednocześnie, że ma „pewien mały problem”. Wyglądało na to, że mężulek był o krok do przodu. Zdążył pobrać pieniądze z ich rachunku oszczędnościowego i jeszcze większą sumę z rachunku brokerskiego. Interesowało ją, gdzie mogły znajdować się te pieniądze, a jej adwokat nie bardzo chciał w tym pomóc. Grace przypuszczał, że był to jeden z tych wysoko postawionych gości, którzy nie chcą brudzić sobie rąk mętnymi sprawami pod tytułem „Gdzie podziały się pieniądze?”. Zapytała Grace’a, czy jej pomoże. Zapewnił ją, że to będzie pestka, podał swoją stawkę, określił, że to ona pokryje dodatkowe wydatki, i odebrał czek z pierwszą ratą wynagrodzenia. Potem uświadomił sobie problem. Co zrobić, kiedy nigdy nie zajmowało się taką robotą i nie ma się pojęcia o tym, jak wyśledzić drogę przebytą przez pieniądze? Trzeba raczkować. Oto znana mi wersja historii Grace’a. *** Wiedziałem o istnieniu CreditChex i o tym, jak banki korzystały z jego usług. Moja była żona pracowała kiedyś w banku. Nie znalem jednak żargonu i procedur, a próba pytania o to mojej byłej byłaby stratą czasu. Krok pierwszy: ustalić terminologię i zorientować się, jak sformułować pytanie, by brzmiało wiarygodnie. W banku, do którego zadzwoniłem, pierwsza moja rozmówczyni, Kim, była podejrzliwa, kiedy zapytałem, jak identyfikują się, dzwoniąc do CreditChex. Zawahała się. Nie wiedziała, co powiedzieć. Czy zbiło mnie to z tropu? Ani trochę. Tak naprawdę, jej wahanie było dla mnie wskazówką, że muszę umotywować swoją prośbę, aby brzmiała dla niej wiarygodnie. Opowiadając historyjkę o badaniach na potrzeby książki, pozbawiłem Kim podejrzeń. Wystarczy powiedzieć, że jest się pisarzem lub gwiazdą filmową, a wszyscy stają się bardziej otwarci. Kim miała jeszcze więcej pomocnej mi wiedzy — na przykład, o jakie informacje pyta CreditChex w celu identyfikacji osoby, w sprawie której dzwonimy, o co można ich pytać i najważniejsza rzecz: numer klienta. Byłem gotów zadać te pytania, ale jej wahanie było dla mnie ostrzeżeniem. Kupiła historię o pisarzu, ale przez chwilę trapiły ją podejrzenia. Gdyby odpowiedziała od razu, poprosiłbym ją o wyjawienie dalszych szczegółów dotyczących procedur. Trzeba kierować się instynktem, uważnie słuchać, co mówią i jak mówią. Ta dziewczyna wydawała się na tyle bystra, że mogła wszcząć alarm, gdybym zaczął zadawać zbyt wiele dziwnych pytań. Co prawda nie wiedziała, kim jestem i skąd dzwonię, ale samo rozejście się wieści, żeby uważać na dzwoniących i wypytujących o informacje nie byłoby wskazane. Lepiej nie spalić źródła — być może będziemy chcieli zadzwonić tu jeszcze raz. Zawsze zwracam uwagę na drobiazgi, z których mogę wywnioskować, na ile dana osoba jest skłonna do współpracy — oceniam to w skali, która zaczyna się od: „Wydajesz się miłą osobą i wierzę we wszystko, co mówisz”, a kończy na: „Dzwońcie na policję, ten facet coś knuje! Kim była gdzieś w środku skali, dlatego zadzwoniłem jeszcze do innej filii. W czasie mojej drugiej rozmowy z Chris trik z ankietą udał się doskonale. Taktyka polegała tu na przemyceniu ważnych pytań wśród innych, błahych, które nadają całości wiarygodne wrażenie. Zanim zadałem pytanie o numer klienta CreditChex, przeprowadziłem ostatni test, zadając osobiste pytanie o to, jak długo pracuje w banku. Osobiste pytanie jest jak mina — niektórzy ludzie przechodzą obok niej i nawet jej nie zauważają, a przy innych wybucha, wysyłając sygnał ostrzegawczy. Jeżeli więc zadam pytanie osobiste, a ona na nie odpowie i ton jej głosu się nie zmieni, oznacza to, że prawdopodobnie nie zdziwiła jej natura pytania. Mogę teraz zadać następne pytanie bez wzbudzania podejrzeń i raczej otrzymam odpowiedź, jakiej oczekuję. Jeszcze jedno. Dobry detektyw nigdy nie kończy rozmowy zaraz po uzyskaniu kluczowej informacji. Dwa, trzy dodatkowe pytania, trochę niezobowiązującej pogawędki i można się pożegnać. Jeżeli rozmówca zapamięta coś z rozmowy, najprawdopodobniej będą to ostatnie pytania. Reszta pozostanie zwykle w pamięci zamglona. Tak więc Chris podała mi swój numer klienta i numer telefonu, którego używają do zapytań. Byłbym szczęśliwszy, gdyby udało mi się jeszcze zadać parę pytań dotyczących tego, jakie informacje można wyciągnąć od Credit- Chex. Lepiej jednak nie nadużywać dobrej passy. To było tak, jakby CreditCheck wystawił mi czek in blanco — mogłem teraz dzwonić i otrzymywać informacje, kiedy tylko chciałem. Nie musiałem nawet płacić za usługę. Jak się okazało, pracownik CreditChex z przyjemnością udzielił mi dokładnie tych informacji, których potrzebowałem: podał dwa miejsca, w których mąż mojej klientki ubiegał się o otwarcie rachunku. Gdzie w takim razie znajdowały się pieniądze, których szukała jego „już wkrótce była żona”? Gdzieżby indziej, jak nie w ujawnionych przez Credit-Chex instytucjach?”.

hjdbienek : :
paź 18 2009 Kiedy nieszkodliwa informacja szkodzi?
Komentarze: 0

Na czym polega realne zagrożenie ze strony socjotechnika? Czego powinniśmy się strzec? Jeżeli jego celem jest zdobycie czegoś wartościowego, powiedzmy części kapitału firmy, to być może potrzebny jest solidniejszy skarbiec i większe straże, czyż nie? Penetracja systemu bezpieczeństwa firmy często zaczyna się od zdobycia informacji lub dokumentu, który wydaje się nie mieć znaczenia, jest powszechnie dostępny i niezbyt ważny. Większość ludzi wewnątrz organizacji nie widzi więc powodów, dla których miałby być chroniony lub zastrzeżony. Wiele nieszkodliwie wyglądających informacji będących w posiadaniu firmy jest cennych dla socjotechnika, ponieważ mogą one odegrać podstawową rolę podczas wcielania się w kogoś innego. Ze tej publikacji dowiemy się, jak działają socjotechnicy, stając się „świadkami” ich ataków. Czasami przedstawienie sytuacji, w pierwszej kolejności z punktu widzenia ofiary, umożliwia wcielenie się w jej rolę i próbę analizy, jak my, lub nasi pracownicy, zachowalibyśmy się w takiej sytuacji. W wielu przypadkach te same wydarzenia zostaną przedstawione również z punktu widzenia socjotechnika. Pierwsza historia uświadamia nam słabe strony firm działających w branży finansowej. Jak daleko sięgnąć pamięcią, Brytyjczycy musieli zmagać się ze staroświeckim systemem bankowym. Zwykły, uczciwy obywatel nie może po prostu wejść tam do banku i założyć konta. Bank nie będzie traktować go jako klienta, dopóki osoba już będąca klientem nie napisze mu listu referencyjnego. W naszym, z pozoru egalitarnym świecie bankowości, wygląda to już trochę inaczej. Nowoczesny, łatwy sposób robienia interesów jest najbardziej widoczny w przyjaznej i demokratycznej Ameryce, gdzie każdy może wejść do banku i bez problemu otworzyć rachunek. Chociaż nie do końca. W rzeczywistości banki mają naturalne opory przed otwieraniem rachunku komuś, kto mógł w przeszłości wystawiać czeki bez pokrycia. Klient taki jest tak samo mile widziany jak raport strat z napadu na bank czy defraudacja środków. Dlatego standardową praktyką w wielu bankach jest szybkie sprawdzanie wiarygodności nowego klienta. Jedną z większych firm, które banki wynajmują do takich kontroli, jest CreditChex. Świadczy ona cenne usługi dla swoich klientów, ale jej pracownicy mogą też nieświadomie pomóc socjotechnikowi.

hjdbienek : :
paź 17 2009 Oszustwo narzędziem terrorystów
Komentarze: 0

Oczywiście oszustwo nie jest narzędziem używanym wyłącznie przez socjotechników. Opisy aktów terroru stanowią znaczącą część doniesień agencyjnych i przyszło nam zdać sobie sprawę jak nigdy wcześniej, że świat nie jest bezpiecznym miejscem. Cywilizacja to w końcu tylko maska ogłady. Ataki na Nowy Jork i Waszyngton dokonane we wrześniu 2001 roku wypełniły serca nie tylko Amerykanów, ale wszystkich cywilizowanych ludzi naszego globu, smutkiem i strachem. Cywilizacja to delikatny organizm. Zostaliśmy zaalarmowani faktem, że po całym świecie rozsiani są owładnięci obsesją terroryści, którzy są dobrze wyszkoleni i czekają na możliwość ponownego ataku. Zintensyfikowane ostatnio wysiłki rządu zwiększyły poziom świadomości dotyczącej spraw bezpieczeństwa. Musimy pozostać w stanie gotowości wobec wszelkich przejawów terroryzmu. Musimy uświadomić sobie, w jaki sposób terroryści tworzą swoje fałszywe tożsamości, wchodzą w rolę studentów lub sąsiadów, wtapiają się w tłum. Maskują swoje prawdziwe zamiary, knując przeciwko nam intrygę, pomagając sobie oszustwami podobnymido opisanych w tej publikacji. Z moich informacji wynika, że dotychczas terroryści nie posunęli się jeszcze do stosowania zasad socjotechniki w celu infiltrowania korporacji, wodociągów, elektrowni i innych istotnych komponentów infrastruktury państwa. W każdej chwili mogą jednak to zrobić — bo jest to po prostu łatwe. Mam nadzieję, że świadomość i polityka bezpieczeństwa zajmą należne im miejsce i zostaną docenione przez kadrę zarządzającą firm po przeczytaniu tej publikacji. Wkrótce jednak może okazać się, że to za mało. Bezpieczeństwo firmy to kwestia równowagi. Zbyt mało zabezpieczeń pozostawia firmę w zagrożeniu, a zbyt dużo przeszkadza w prowadzeniu działalności, powstrzymując wzrost zysków i pomyślny rozwój przedsiębiorstwa. Zadanie polega na odnalezieniu równowagi między bezpieczeństwem a produktywnością. Inne książki traktujące o bezpieczeństwie firm koncentrują się na sprzęcie i oprogramowaniu, nie poświęcając należnej uwagi najpoważniejszemu z wszystkich zagrożeń — oszustwu. Celem tej publikacji jest dla odmiany pomoc w zrozumieniu, w jaki sposób ludzie w firmie mogą zostać zmanipulowani i jakie bariery można wznieść, aby temu zapobiec. Publikacja ta koncentruje się głównie na pozatechnologicznych metodach, jakie stosują intruzi w celu zdobycia informacji, naruszenia integralności danych, które wydając się bezpiecznymi nie są takimi w istocie, lub wręcz niszczenia efektów pracy firmy. Moje zadanie jest jednak utrudnione z jednego prostego powodu: każdy czytelnik został zmanipulowany przez największych ekspertów od socjotechniki — swoich rodziców. Znaleźli oni sposoby, aby skłonić nas, byśmy „dla naszego własnego dobra” robili to, co według nich jest najlepsze. Rodzice są w stanie wszystko wytłumaczyć, w taki sam sposób jak socjotechnicy umiejętnie tworzą wiarygodne historie, powody i usprawiedliwienia, aby osiągnąć swoje cele. W wyniku takich doświadczeń wszyscy staliśmy się podatni na manipulację. Nasze życie stałoby się trudne, gdybyśmy musieli zawsze stać na straży, nie ufać innym, brać pod uwagę możliwość, że ktoś nas wykorzysta. W idealnym świecie można by bezwarunkowo ufać innym i mieć pewność, że ludzie, których spotykamy, będą uczciwi i godni zaufania. Nie żyjemy jednak w takim świecie, dlatego musimy wyćwiczyć nawyk czujności, aby zdemaskować ludzi próbujących nas oszukać. Większość tej publikacji , składa się z historii przedstawiających socjotechników w akcji. Opisuję tu tematy takie jak: • Sprytna metoda uzyskiwania od firmy telekomunikacynej numerów telefonu spoza listy — phreakerzy wpadli na to już dobre parę lat temu. • Kilka metod, jakich używają napastnicy do przekonania nawet najbardziej podejrzliwych pracowników, aby podali swoje nazwy użytkownika i hasła. • Kradzież najlepiej strzeżonej informacji o produkcie, w której to kradzieży dopomógł hakerom menedżer z Centrum Operacji. • Metoda, jaką haker przekonał pewną panią do pobrania programu, który śledzi wszystkie jej poczynania i wysyła mu e-maile z informacjami. • Uzyskiwanie przez prywatnych detektywów informacji o firmach i osobach prywatnych. Gwarantuję ciarki na grzbiecie podczas czytania. Po przeczytaniu niektórych opowieści można dojść do wniosku, że to nie mogło się wydarzyć, że nikomu nie udałoby się nic zdziałać za pomocą kłamstw, sztuczek i metod tam opisanych. Historie te są jednak potencjalnie prawdziwe — przedstawiają wydarzenia, które mogą się zdarzyć i zdarzają się. Wiele z nich ma miejsce każdego dnia gdzieś na świecie, być może nawet w Twojej firmie, w chwili, gdy czytasz tę publikację. Materiał tu przedstawiony może nam również otworzyć oczy, kiedy przyjdzie nam się zetrzeć z umiejętnościami socjotechnika i chronić przed nim nasze osobiste dobra informacyjne. Staram się też pomóc w stworzeniu nieodzownej polityki bezpieczeństwa i programu szkolenia minimalizującego szansę, że któryś z naszych pracowników padnie ofiarą socjotechnika. Zrozumienie strategii, metod i taktyk socjotechnika pomoże zastosować odpowiednie środki ochrony zasobów informatycznych bez narażania produktywności przedsiębiorstwa. Krótko mówiąc, piszę tę publikację, aby zwiększyć świadomość poważnego zagrożenia, jakie reprezentuje sobą socjotechnik, i pomóc w zmniejszeniu szans wykorzystania przez niego firmy lub któregoś z jej pracowników. A może powinienem powiedzieć — ponownego wykorzystania.

hjdbienek : :
paź 16 2009 Nadużywanie zaufania
Komentarze: 0

W większości przypadków socjotechnicy mają duże zdolności oddziaływania na ludzi. Potrafią być czarujący, uprzejmi i łatwo ich polubić — posiadają cechy potrzebne do tego, aby zyskać sobie zrozumienie i zaufanie innych. Doświadczony socjotechnik jest w stanie uzyskać dostęp do praktycznie każdej informacji, używając strategii i taktyki przynależnych jego rzemiosłu. Zmyślni technolodzy drobiazgowo opracowali systemy zabezpieczania informacji, aby zminimalizować ryzyko związane ze stosowaniem komputerów; zapomnieli jednak o najistotniejszej kwestii — czynniku ludzkim. Pomimo naszego intelektu, my, ludzie, pozostajemy największym zagrożeniem dla swojego bezpieczeństwa. Nie jesteśmy w pełni świadomi zagrożeń, szczególnie w świecie zachodnim. W USA w większości przypadków ludzie nie są uczeni podejrzliwości wobec drugiego człowieka. Są przyzwyczajani do zasady „kochaj sąsiada swego”, ufają sobie nawzajem. Organizacje ochrony sąsiedzkiej mają często problemy z nakłonieniem ludzi do zamykania domów i samochodów. Te środki ochrony wydają się oczywiste, jednak wielu Amerykanów je ignoruje, wybierając życie w świecie marzeń — do pierwszej nauczki. Zdajemy sobie sprawę, że nie wszyscy ludzie są dobrzy i uczciwi, ale zbyt często zachowujemy się, jakby tacy właśnie byli. Amerykanie są tego szczególnym przypadkiem — jako naród stworzyli sobie koncepcję wolności polegającą na tym, że najlepsze miejsce do życia jest tam, gdzie niepotrzebne są zamki ani klucze. Większość ludzi wychodzi z założenia, że nie zostaną oszukani przez innych, ponieważ takie przypadki zdarzają się rzadko. Napastnik, zdając sobie sprawę z panującego przesądu, formułuje swoje prośby w bardzo przekonujący, nie wzbudzający żadnych podejrzeń sposób, wykorzystując zaufanie ofiary. To swoiste domniemanie niewinności, będące składnikiem amerykańskiej mentalności, ujawniło się szczególnie w początkach istnienia sieci komputerowych. ARPANET, przodek Internetu, został stworzony do wymiany informacji pomiędzy rządem a instytucjami badawczymi i naukowymi. Celem była dostępność informacji i postęp technologiczny. Wiele instytucji naukowych tworzyło wczesne systemy komputerowe z minimalnymi tylko zabezpieczeniami lub zupełnie ich pozbawione. Jeden ze znanych głosicieli wolności oprogramowania, Richard Stallman, zrezygnował nawet z zabezpieczenia swojego konta hasłem. W czasach Internetu używanego jako medium handlu elektronicznego , zagrożenie związane ze słabościami systemów bezpieczeństwa drastycznie wzrosło. Zastosowanie dodatkowych technologii zabezpieczających nigdy nie rozwiąże jednak kwestii czynnika ludzkiego. Spójrzmy np. na dzisiejsze porty lotnicze. Są dokładnie zabezpieczone, ale co jakiś czas słyszymy o podróżnych, którym udało się przechytrzyć ochronę i przenieść broń przez bramki kontrolne. Jak to jest możliwe w czasach, kiedy nasze porty lotnicze są praktycznie w ciągłym stanie alertu? Problem zwykle nie leży w urządzeniach zabezpieczających, tylko w ludziach, którzy je obsługują. Władze lotniska mogą wspierać się Gwardią Narodową, instalować detektory metalu i systemy rozpoznawania twarzy, ale zwykle bardziej pomaga szkolenie pracowników ochrony wzmacniające skuteczność kontroli pasażerów. Ten sam problem ma rząd oraz firmy i instytucje edukacyjne na całym świecie. Mimo wysiłków specjalistów od bezpieczeństwa informacja w każdym miejscu jest narażona na atak socjotechnika, jeżeli nie zostanie wzmocniona największa słabość systemu — czynnik ludzki. Dzisiaj bardziej niż kiedykolwiek musimy przestać myśleć w sposób życzeniowy i uświadomić sobie, jakie techniki są używane przez tych, którzy próbują zaatakować poufność, integralność i dostępność naszych systemów komputerowych i sieci. Nauczyliśmy się już prowadzić samochody, stosując zasadę ograniczonego zaufania. Najwyższy czas nauczyć się podobnego sposobu obsługi komputerów. Zagrożenie naruszenia prywatności, danych osobistych lub systemów informacyjnych firmy wydaje się mało realne, dopóki faktycznie coś się nie wydarzy. Aby uniknąć takiego zderzenia z realiami, wszyscy musimy stać się świadomi, przygotowani i czujni. Musimy też intensywnie chronić nasze zasoby informacyjne, dane osobiste, a także, w każdym kraju, krytyczne elementy infrastruktury i jak najszybciej zacząć stosować opisane środki ostrożności.

hjdbienek : :
paź 15 2009 Metody oszustwa
Komentarze: 0

Popularne jest powiedzenie, że bezpieczny komputer to wyłączony komputer. Zgrabne, ale nieprawdziwe: oszust po prostu namawia kogoś do pójścia do biura i włączenia komputera. Przeciwnik, który potrzebuje informacji, zwykle może ją uzyskać na parę różnych sposobów. Jest to tylko kwestia czasu, cierpliwości, osobowości i uporu. W takiej chwili przydaje się znajomość sztuki manipulacji. Aby pokonać zabezpieczenia, napastnik, intruz lub socjotechnik musi znaleźć sposób na oszukanie zaufanego pracownika w taki sposób, aby ten wyjawił jakąś informację, trik lub z pozoru nieistotną wskazówkę umożliwiającą dostanie się do systemu. Kiedy zaufanych pracowników można oszukiwać lub manipulować nimi w celu ujawnienia poufnych informacji lub kiedy ich działania powodują powstawanie luk w systemie bezpieczeństwa, umożliwiających napastnikowi przedostanie się do systemu, wówczas nie ma takiej technologii, która mogłaby ochronić firmę. Tak jak kryptografowie są czasami w stanie odszyfrować tekst zakodowanej wiadomości dzięki odnalezieniu słabych miejsc w kodzie, umożliwiających obejście technologii szyfrującej, tak socjotechnicy używają oszustwa w stosunku do pracowników firmy, aby obejść technologię zabezpieczającą.

hjdbienek : :
paź 14 2009 Natura zagrożenia - Rosnąca obawa
Komentarze: 0

Historia Rifkina jest dowodem na to, jak złudne może być nasze poczucie bezpieczeństwa. Podobne incydenty — może nie dotyczące 10 milionów dolarów, niemniej jednak szkodliwe — zdarzają się codziennie. Być może w tym momencie tracisz swoje pieniądze lub ktoś kradnie Twoje plany nowego produktu i nawet o tym nie wiesz. Jeżeli coś takiego nie wydarzyło się jeszcze w Twojej firmie, pytanie nie brzmi, czy się wydarzy, ale kiedy. Instytut Bezpieczeństwa Komputerowego w swoich badaniach z 2001 roku, dotyczących przestępstw komputerowych, stwierdził, że w ciągu roku 85% ankietowanych organizacji odnotowało naruszenie systemów bezpieczeństwa komputerowego. Jest to zdumiewający odsetek: tylko piętnaście z każdych stu firm mogło powiedzieć, że nie miało z tym kłopotów. Równie szokująca jest ilość organizacji, która zgłosiła doznanie strat z powodu włamań komputerowych — 64%. Ponad połowa badanych firm poniosła straty finansowe w ciągu jednego roku. Moje własne doświadczenia każą mi sądzić, że liczby w tego typu raportach są przesadzone. Mam podejrzenia co do trybu przeprowadzania badań, nie świadczy to jednak o tym, że straty nie są w rzeczywistości wielkie. Nie przewidując tego typu sytuacji, skazujemy się z góry na przegraną. Dostępne na rynku i stosowane w większości firm produkty poprawiające bezpieczeństwo służą głównie do ochrony przed atakami ze strony amatorów, np. dzieciaków zwanych script kiddies, które wcielają się w hakerów, używając programów dostępnych w sieci, i w większości są jedynie utrapieniem. Największe straty i realne zagrożenie płynie ze strony bardziej wyrafinowanych hakerów, którzy mają jasno określone zadania, działają z chęci zysku i koncentrują się podczas danego ataku na wybranym celu, zamiast infiltrować tyle systemów, ile się da, jak to zwykle robią amatorzy. Przeciętni włamywacze zwykle są nastawieni na ilość, podczas gdy profesjonaliści są zorientowani na informacje istotne i wartościowe. Technologie takie jak uwierzytelnianie (sprawdzanie tożsamości), kontrola dostępu (zarządzanie dostępem do plików i zasobów systemowych) i systemy detekcji intruzów (elektroniczny odpowiednik alarmów przeciwwłamaniowych) są nieodzownym elementem programu ochrony danych firmy. Typowa firma wydaje dziś jednak więcej na kawę niż na środki zabezpieczające przed atakami na systemy bezpieczeństwa. Podobnie jak umysł kleptomana nie może oprzeć się pokusie, tak umysł hakera jest owładnięty żądzą obejścia systemów zabezpieczających. Hakerzy potwierdzają w ten sposób swój intelektualny kapitał.

hjdbienek : :
paź 13 2009 Klasyczny przypadek oszustwa - Łamanie kodu...
Komentarze: 1

Kto stanowi największe zagrożenie bezpieczeństwa kapitału firmy? Odpowiedź jest prosta: socjotechnik — pozbawiony skrupułów magik, który, gdy patrzysz na jego lewą rękę, prawą kradnie Twoje tajemnice. Do tego często bywa tak miły, elokwentny i uprzejmy, iż naprawdę cieszysz się, że go spotkałeś. Spójrzmy na przykład zastosowania socjotechniki. Niewielu dziś pamięta jeszcze młodego człowieka, który nazywał się Stanley Mark Rifkin, i jego przygodę z nieistniejącym już Security Pacific National Bank w Los Angeles. Sprawozdania z jego eskapady różnią się między sobą, a sam Rifkin (podobnie jak ja) nigdy nie opowiedział swojej wersji tej historii, dlatego zawarty tu opis opiera się na opublikowanych informacjach. Któregoś dnia roku 1978 Rifkinowi udało się dostać do przeznaczonego tylko dla personelu pokoju kontrolnego przelewów elektronicznych banku Security Pacific, z którego pracownicy wysyłali i odbierali przelewy na łączną sumę miliarda dolarów dziennie. Pracował wtedy dla firmy, która podpisała z bankiem kontrakt na stworzenie systemu kopii zapasowych w pokoju przelewów na wypadek awarii głównego komputera. To umożliwiło mu dostęp do procedur transferowych, łącznie z tymi, które określały, w jaki sposób były one zlecane przez pracowników banku. Dowiedział się, że osoby upoważnione do zlecania przelewów otrzymywały każdego ranka pilnie strzeżony kod używany podczas dzwonienia do pokoju przelewów. Urzędnikom z pokoju przelewów nie chciało się zapamiętywać codziennych kodów, zapisywali więc obowiązujący kod na kartce papieru i umieszczali ją w widocznym dla nich miejscu. Tego listopadowego dnia Rifkin miał szczególny powód do odwiedzin pomieszczenia. Chciał rzucić okiem na tę kartkę. Po pojawieniu się w pokoju zwrócił uwagę na procedury operacyjne, prawdopodobnie w celu upewnienia się, że system kopii zapasowych będzie poprawnie współpracował z podstawowym systemem, jednocześnie ukradkiem odczytując kod bezpieczeństwa z kartki papieru i zapamiętując go. Po kilku minutach wyszedł. Jak później powiedział, czuł się, jakby właśnie wygrał na loterii. Po wyjściu z pokoju, około godziny 15:00, udał się prosto do automatu telefonicznego w marmurowym holu budynku, wrzucił monetę i wykręcił numer pokoju przelewów. Ze Stanleya Rifkina, współpracownika banku, zmienił się w Mike’a Hansena — pracownika Wydziału Międzynarodowego banku. Według jednego ze źródeł rozmowa przebiegała następująco: — Dzień dobry, mówi Mike Hansen z międzynarodowego — powiedział do młodej pracownicy, która odebrała telefon. Dziewczyna zapytała o numer jego biura. Była to standardowa procedura, na którą był przygotowany. — 286 — odrzekł. — Proszę podać kod — powiedziała wówczas pracownica. Rifkin stwierdził później, że w tym momencie udało mu się opanować łomot napędzanego adrenaliną serca. — 4789 — odpowiedział płynnie. Potem zaczął podawać szczegóły przelewu: dziesięć milionów dwieście tysięcy dolarów z Irving Trust Company w Nowym Jorku do Wozchod Handels Bank of Zurich w Szwajcarii, gdzie wcześniej założył konto. — Przyjęłam. Teraz proszę podać kod międzybiurowy. Rifkin oblał się potem. Było to pytanie, którego nie przewidział, coś, co umknęło mu w trakcie poszukiwań. Zachował jednak spokój, udając, że nic się nie stało, i odpowiedział na poczekaniu, nie robiąc nawet najmniejszej pauzy: „Muszę sprawdzić. Zadzwonię za chwilę”. Od razu zadzwonił do innego wydziału banku, tym razem podając się za pracownika pokoju przelewów. Otrzymał kod międzybiurowy i zadzwonił z powrotem do dziewczyny w pokoju przelewów. Zapytała o kod i powiedziała: „Dziękuję” (biorąc pod uwagę okoliczności, jej podziękowanie można by odebrać jako ironię).Kilka dni później Rifkin poleciał do Szwajcarii, pobrał gotówkę i wyłożył ponad 8 milionów dolarów na diamenty z rosyjskiej agencji. Potem wrócił do Stanów, trzymając w czasie kontroli celnej diamenty w pasku na pieniądze. Przeprowadził największy skok na bank w historii, nie używając ani pistoletu, ani komputera. Jego przypadek w końcu dostał się do Księgi Rekordów Guinessa w kategorii „największe oszustwo komputerowe”. Stanley Rifkin użył sztuki manipulacji — umiejętności i technik, które dziś nazywa się socjotechniką. Wymagało to tylko dokładnego planu i daru wymowy. O tym właśnie jest ta książka — o metodach socjotechnicznych (w których sam jestem biegły) i o sposobach, jakimi jednostki i organizacje mogą się przed nimi bronić.

hjdbienek : :
paź 12 2009 Pięta achillesowa systemów bezpieczeństwa...
Komentarze: 0

Firma może dokonać zakupu najlepszych i najdroższych technologii bezpieczeństwa, wyszkolić personel tak, aby każda poufna informacja była trzymana w zamknięciu, wynająć najlepszą firmę chroniącą obiekty i wciąż pozostać niezabezpieczoną. Osoby prywatne mogą niewolniczo trzymać się wszystkich najlepszych zasad zalecanych przez ekspertów, zainstalować wszystkie najnowsze produkty poprawiające bezpieczeństwo i skonfigurować odpowiednio system, uruchamiając wszelkie jego usprawnienia i wciąż pozostawać niezabezpieczonymi. Zeznając nie tak dawno temu przed Kongresem, wyjaśniłem, że często uzyskiwałem hasła i inne poufne informacje od firm, podając się za kogoś innego i po prostu o nie prosząc. Tęsknota za poczuciem absolutnego bezpieczeństwa jest naturalna, ale prowadzi wielu ludzi do fałszywego poczucia braku zagrożenia. Weźmy za przykład człowieka odpowiedzialnego i kochającego, który zainstalował w drzwiach wejściowych Medico (zamek bębnowy słynący z tego, że nie można go otworzyć wytrychem), aby ochronić swoją żonę, dzieci i swój dom. Po założeniu zamka poczuł się lepiej, ponieważ jego rodzina stała się bardziej bezpieczna. Ale co będzie, jeżeli napastnik wybije szybę w oknie lub złamie kod otwierający bramę garażu? Niezależnie od kosztownych zamków, domownicy wciąż nie są bezpieczni. A co w sytuacji, gdy zainstalujemy kompleksowy system ochrony? Już lepiej, ale wciąż nie będzie gwarancji bezpieczeństwa. Dlaczego? Ponieważ to czynnik ludzki jest piętą achillesową systemów bezpieczeństwa. Bezpieczeństwo staje się zbyt często iluzją. Jeżeli do tego dodamy łatwowierność, naiwność i ignorancję, sytuacja dodatkowo się pogarsza. Najbardziej poważany naukowiec XX wieku, Albert Einstein, podobno powiedział: „Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności”. W rezultacie atak socjotechnika udaje się, bo ludzie bywają głupi. Częściej jednak ataki takie są skuteczne, ponieważ ludzie nie rozumieją sprawdzonych zasad bezpieczeństwa. Mając podobne podejście jak uświadomiony w sprawach bezpieczeństwa pan domu, wielu zawodowców z branży IT ma błędne mniemanie, że w dużym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktów typu firewall, systemów detekcji intruzów i zaawansowanych rozwiązań uwierzytelniających, takich jak kody zależne od czasu lub karty biometryczne. Każdy, kto uważa, że same produkty zabezpieczające zapewniają realne bezpieczeństwo, tworzy jego iluzję. To klasyczny przypadek życia w świecie fantazji: osoby takie mogą prędzej czy później stać się ofiarami ataku. Jak ujmuje to znany konsultant ds. bezpieczeństwa, Bruce Schneider: „Bezpieczeństwo to nie produkt — to proces”. Rozwińmy tę myśl: bezpieczeństwo nie jest problemem technologicznym, tylko problemem związanym z ludźmi i zarządzaniem. W miarę wymyślania coraz to nowych technologii zabezpieczających, utrudniających znalezienie technicznych luk w systemie, napastnicy będą zwracać się w stronę ludzkich słabości. Złamanie „ludzkiej” bariery jest o wiele prostsze i często wymaga jedynie inwestycji rzędu kosztu rozmowy telefonicznej, nie mówiąc już o mniejszym ryzyku.

hjdbienek : :