Scribd Logo
Upload

Welcome to Scribd!

  • Umetnost Obmane

    Uploaded by

    Ivo Ivovic
    23 views44 pages
    Umetnost_obmane

    Original Title

    Umetnost_obmane

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Umetnost_obmane

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    23 views44 pages

    Umetnost Obmane

    Uploaded by

    Ivo Ivovic
    Umetnost_obmane

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 44

    predgovor

    eki hakeri unitavaju udima datoteke ili celokupan sadraj diskova oni su provalnici ili vandali. Neki hakeri poetnici se ne trude da naue tehnologiju, ve koriste hakerske alate da bi provalili u raunarske sisteme oni su skriptai. Iskusniji hakeri razvijaju hakerske programe i objavuju ih na Webu i u diskusionim grupama. A tu su i osobe koje tehnologija ne zanima, ve raunar koriste samo kao pomono sredstvo za krau novca, dobara i usluga. Uprkos mitu koji su o Kevinu Mitniku ispleli mediji, ja nisam zlonameran haker. Ali, sad vam sve priam unapred.

    POECI
    Svoj put sam verovatno odabrao rano. Bio sam bezbrino dete, ali sam se dosaivao. Nakon to nas je otac ostavio kada sam imao tri godine, moja majka je radila kako konobarica da bi nas izdravala. Poto je morala naporno da radi po ceo dan, ja sam uglavnom dau bio sam. uvao sam sam sebe. Budui da sam odrastao u San Fernando Veliju, mogao sam da istraujem itav Los Aneles, a do svoje dvanaeste godine pronaao sam nain da putujem besplatno po itavoj teritoriji L.A. Jednog dana, dok sam se vozio autobusom, shvatio sam da ispravnost karte za gradski prevoz zavisi od neobinog rasporeda izbuenih rupica kojima su vozai oznaavali dan, vreme i trasu. Jedan ubazan voza odgovorio je na moje paivo formulisano pitae. Objasnio mi je gde da kupim tu vrstu aparata za buee rupica. Karte za presedae omoguavaju putnicima da meaju autobuse do odredita, ali ja sam smislio kako da pomou ih besplatno putujem gde

    UMOB, November 4, 2003 10:04 am

    x Predgovor

    god poelim. Nabaviti neoverene karte za presedae bio je maji kaa. Kante za otpatke na autobuskim stajalitima bile su uvek pune delimino ispuenih blokova karata za presedae, koje bi vozai bacili na kraju smene. S blokom praznih karata i ureajem za buee rupica, mogao sam da oznaavam sopstvenu trasu i putujem kud god su ili autobusi u Los Anelesu. Ubrzo sam gotovo napamet znao red voe itavog gradskog prevoza. (To je bio jedan od prvih primera mog zauujueg pamea odreenih vrsta informacija: i danas mogu da se setim telefonskih brojeva, lozinki, i drugih naizgled beznaajnih pojedinosti iz detistva.) U detistvu sam bio opien opsenarstvom. Kad bih saznao kako se nov trik izvodi, vebao bih, vebao, i jo malo vebao dok ga ne bih nauio. U izvesnoj meri, upravo sam kroz maioniarstvo otkrio radost saznavaa neeg tajanstvenog.

    Od prevaranta koji se slui telefonom do hakera


    Moj prvi susret s onim to u kasnije zvati obmaivae, dogodio se u sredoj koli, kad sam se upoznao s uenikom iji je hobi bio zloupotrebavae telefona. To je vrsta hakerisaa kojim se istrauje telefonska mrea. Koriste se telefonski sistemi i iskoriavaju zaposleni u telefonskoj kompaniji. Pokazao mi je zgodne trikove koje je umeo da izvede preko telefona, poput dobijaa svih informacija koje telefonska kompanija ima o bilo kom klijentu, ili upotrebe tajnog probnog broja da bi se besplatno koristile meugradske veze. (Zapravo, samo je za nas to bilo besplatno. Mnogo kasnije sam saznao da to uopte nije bio tajni probni broj. Pozivi su se naplaivali preko MCI rauna neke jadne kompanije.) To me je uvelo u obmaivae bilo je to, takorei, moje obdanite. Moj prijate i jo jedan takav prevarant, kojeg sam nedugo zatim upoznao, dozvoavali su mi da sluam dok su pod nekim izgovorom pozivali telefonsku kompaniju. uo sam stvari koje su im govorili da bi zvuali verovatnije; nauio sam neto o razliitim ograncima telefonske kompanije, ihovu terminologiju i procedure. Ta obuka nije dugo trajala; nije ni bilo potrebno. Uskoro sam sve to radio sam, usput uei, sve dok nisam postao boi i od sopstvenih prvih uitea. Put kojim e se moj ivot odvijati tokom sledeih petnaest godina bio je zacrtan.

    UMOB, November 4, 2003 10:04 am

    U sredoj koli mi je jedna od omienih ala bila da neovlaeno pristupim telefonskoj centrali i izmenim klasu usluge na liniji nekog drugog prevaranta. Kad bi pokuao da pozove od kue, poruka bi ga obavestila da treba da ubaci novi jer bi do telefonske centrale stizao signal koji znai da zove iz telefonske govornice. Opiavalo me je sve o telefonima ne samo elektronika, centrale i raunari, ve i organizacija telefonske kompanije, te ihove procedure i terminologija. Nakon izvesnog vremena, verovatno sam boe poznavao telefonski sistem od bilo kog zaposlenog. Svoju vetinu obmane razvio sam do te mere da sam, sa sedamnaest godina, mogao da lino ili telefonom nagovorim veinu zaposlenih u telefonskoj kompaniji da uine gotovo bilo ta. Moja hakerska karijera, o kojoj se mnogo govorilo u javnosti, poela je dok sam bio u sredoj koli. Iako ovde ne mogu opisivati pojedinosti, rei u da je jedna od linija vodia u mojim ranim hakerskim danima bila da budem prihvaen u krug ostalih hakera. U to vreme, nama je izraz haker oznaavao osobu koja provodi mnogo vremena petajui s hardverom i softverom, da bi razvio efikasnije programe ili da bi zaobiao nepotrebne korake i obavio posao bre. Taj izraz je sada postao pogrdan, i oznaava zlonamernog kriminalca. U ovoj kizi ja ga koristim kao i uvek u egovom starijem, dobroudnijem znaeu. Nakon srede kole, studirao sam informatiku u Centru za raunarsku obuku u Los Anelesu. Za nekoliko meseci, upravnik raunarske mree u koli otkrio je da sam pronaao propust u operativnom sistemu i dodelio sebi ovlaea administratora na ihovom IBM-ovom miniraunaru. Ni najboi struaci za raunare koji su tamo predavali nisu mogli da shvate kako sam to uinio. Bio je to moda jedan od najranijih primera unajmivaa hakera ponudu nisam mogao da odbijem. Traili su da za diplomski rad uradim projekat za unapreivae bezbednosti kolskih raunara, ili da budem izbaen zbog hakerskog upada u sistem. Naravno, odabrao sam prvo, pa sam na kraju diplomirao s najveim ocenama.

    xi Predgovor

    Kako sam poeo da se bavim obmaivaem


    Neki udi svakog jutra ustaju iz kreveta uasavajui se rutine svakodnevnog posla u rudniku, kako se kae. Ja sam bio te sree da sam uivao u poslu. Ne moete ni zamisliti izazov, nagradu i zadovostvo koje sam

    UMOB, November 4, 2003 10:04 am

    xii Predgovor

    dobijao za vreme koje sam proveo kao privatni istraite. Brusio sam svoj talenat u umetnosti obmane (u kojoj se udi navode da ine ono to obino ne bi uradili za neznanca), i bio sam za to plaen. Meni nije bilo teko da postanem vrstan obmaiva. Oeva familija se generacijama bavila trgovinom, pa sam umetnost uticaa i ubeivaa moda i nasledio. Kad spojite tu crtu s teom za varaem udi, dobijate tipian profil osobe koja moe da se bavi obmaivaem. Moglo bi se rei da postoje dve specijalnosti u okviru tog zanimaa. Onaj ko vara ude i izmamuje od ih novac pripada jednoj potkategoriji varalicama. Onaj ko obmauje i ubeuje zaposlene u kompanijama, i utie na ih, obino s ciem da se domogne ihovih informacija, pripada drugoj potkategoriji obmaivaima. Jo od vremena kad sam izvodio svoj trik s kartama za autobus, kad sam bio isuvie mali da bih znao da to to radim nije u redu, poeo sam u sebi da prepoznajem talenat za otkrivae tajni koje nije trebalo da saznam. Taj sam talenat nadogradio koristei se obmanom, poznajui terminologiju, i razvijajui do majstorstva vetinu manipulacije. Jedan od naina na koji sam razvijao vetinu svog zanata, ako ga tako mogu nazvati, bio je da izaberem neki podatak do kojeg mi nije zaista stalo, i da vidim mogu li nekog s druge strane ice nagovoriti da mi ga oda, tek da bih se kalio. Kao to sam uvebavao iluzionistike trikove vebao sam lagae preko telefona. Uskoro sam otkrio da mogu da doem do gotovo bilo koje informacije koju poelim. Kao to sam opisao u svedoeu pred senatorima Libermanom i Tomsonom godinama kasnije: Neovlaeno sam pristupao raunarskim sistemima nekih od najveih firmi na svetu, i uspeno sam upadao u neke od najotpornijih raunarskih sistema koji su ikad napraveni. Koristio sam tehnika i ostala sredstva da bih se domogao izvornog koda raznih operativnih sistema i telekomunikacionih ureaja, da bih prouavao ihove slabe take i nain na koji rade. Sve to sam inio da bih zadovoio sopstvenu znatieu; da bih video ta mogu; i da bih otkrio tajne informacije o operativnim sistemima, mobilnim telefonima, i svemu ostalom to bi zagolicalo moju ubopitivost.

    UMOB, November 4, 2003 10:04 am

    ZAKLJUAK
    Nakon hapea, priznao sam da je to to sam inio nezakonito, i da sam naruavao tuu privatnost. Ta krivina dela vrio sam iz radoznalosti. Hteo sam da znam to vie o tome kako rade telefonske mree, kao i sve pojedinosti o obezbeeu kompanija. Preao sam put od momka koji voli da prikazuje iluzionistike trikove, do najozloglaenijeg svetskog hakera, kojeg se plae i kompanije i vlade. Kad razmislim o svom ivotu u posledih 30 godina, priznajem da sam doneo neke veoma loe odluke, voen ubopitivou, eom da nauim neto vie o tehnologiji, kao i potrebom za odgovarajuim intelektualnim izazovima. Sada sam druga osoba. Koristim svoj talenat i ogromno znae o bezbednosti informacija i metodama obmane da bih pomogao dravnim institucijama, kompanijama i pojedincima da spree i otkriju opasnosti po bezbednost informacija, i da na to reaguju. Ova kiga je jo jedan nain da svojim iskustvom pomognem drugima da se odbrane od zlobnih kradivaca informacija. Smatram da e vam prie biti zabavne, poune i informativne.

    xiii Predgovor

    UMOB, November 4, 2003 10:04 am

    deo

    1
    Iza kulisa

    UMOB, November 4, 2003 10:05 am

    poglavlje

    Najslabija taka bezbednosnog sistema

    reduzee moe da kupi najboe dostupne bezbednosne tehnologije, obui ude tako dobro da zakuavaju sve tajne informacije pre nego to uvee pou kui, i zaposli najboe uvare zgrade. Takva kompanija je ipak potpuno raiva. Pojedinci se mogu pridravati svakog visokobezbednosnog pravila koje preporuuju struaci, revnosno instalirati svaki preporueni proizvod iz oblasti bezbednosti, i mogu veoma paivo konfigurisati sistem i primeivati bezbednosne zakrpe. I ti pojedinci su ipak sasvim podloni napadima.

    LJUDSKI INILAC
    Kad sam svedoio pred Kongresom SAD, objasnio sam da sam esto dolazio do lozinki i drugih poverivih informacija pretvarajui se da sam neko drugi i jednostavno traei. Prirodno je da ovek tei oseau apsolutne sigurnosti, usled ega se mnogi uukuju u lano oseae bezbednosti. Uzmite, na primer, odgovornog i brinog kuevlasnika. Da bi zatitio svoju enu, decu i dom, na ulazna vrata ugrauje bravu s prekidaem, za koju se misli da se ne moe obiti. On se sada osea mnogo prijatnije, budui da je egova porodica

    UMOB, November 4, 2003 10:05 am

    4 Deo 1: Iza kulisa

    mnogo boe zatiena od ueza. Ali ta ako provalnik razbije prozor ili otkrije ifru sistema za otvarae garanih vrata? ta kaete na to da instalirate robustniji bezbednosni sistem? To je boe, ali i dae nema garancija. Sa skupim bravama ili bez ih, kuevlasnik je i dae podloan napadima. Zato? Zato to je udski inilac zapravo najslabija taka bezbednosnog sistema. Bezbednost je suvie esto samo iluzija, iluzija kojoj povremeno idu u prilog lakovernost, naivnost, ili neznae. Najuveniji svetski naunik dvadesetog veka, Albert Ajntajn, rekao je: Samo su dve stvari bezgranine, univerzum i udska glupost, a za ono prvo nisam ni siguran. Dakle, obmaivae moe da uspe kada se naie na udsku glupost ili, ee, na nepoznavae dobrih bezbednosnih pravila. Budui da imaju slian stav kako i na kuevlasnik koji pazi na bezbednost, mnogi struaci iz oblasti informacionih tehnologija (IT) ive u zabludi da su u velikoj meri obezbedili preduzee primenom standardnih bezbednosnih proizvoda zatitnih barijera, sistema za otkrivae upada, ili monijih ureaja za identifikaciju poput onih sa iframa koje se meaju u vremenskim intervalima, ili biometrikih identifikacionih kartica. Svi koji smatraju da sami bezbednosni proizvodi nude pravu sigurnost, uukuju se u iluziju sigurnosti. Oni ive u svetu uobrazie: pre ili kasnije, neizbeno e im se dogoditi bezbednosni incident. Kao to priznati savetnik za bezbednost Brus najer kae: Bezbednost se ne dobija od proizvoda; to je proces. tavie, to nije tehnoloki problem ve problem udi i uprave. Kako se razvijaju sve boe i boe bezbednosne tehnologije, koje oteavaju pronalaee tehnikih propusta, napadai e se sve vie okretati udskom iniocu. Poraavae udskog sigurnosnog bedema je esto lako, ne zahteva nikakva ulagaa osim jednog telefonskog poziva, i podrazumeva minimalan rizik.

    KLASIAN SLUAJ OBMANE


    ta je najvea preta bezbednosti vaeg poslovaa? Odgovor je jednostavan; to je obmaiva beskrupulozni maioniar iju levu ruku gledate dok vam desnom krade tajne informacije. Ta osoba je esto tako prijateski nastrojena, toliko je slatkoreiva i predusretiva, da ste sreni to ste na u naili.

    UMOB, November 4, 2003 10:05 am

    Evo primera obmane. Ne seaju se mnogi danas mladog Stenlija Marka Rifkina i negove male avanture sa sada nepostojeom bankom Security Pacific National Bank u Los Anelesu. Postoje razne prie o egovim ludorijama, jer Rifkin (poput mene) nikada nije ispriao sopstvenu verziju. Pria koja sledi zasniva se na objavenim izvetajima.

    Otkrivae ifre
    Jednog dana 1978. Rifkin se odetao do prostorije za transakcije banke Security Pacific. Pristup toj prostoriji bio je dozvoen samo odreenim zaposlenima. Slubenici su tu slali i primali transakcije ija je ukupna vrednost dostizala i nekoliko milijardi dolara svakog dana. Kompanija u kojoj je radio trebalo je da projektuje rezervni sistem za podatke, u sluaju da se glavni raunar pokvari. Zahvaujui toj ulozi imao je pristup proceduri rada pri transakcijama, ukuujui i to kako inovnici banke au nalog da se novac prebaci na neki raun. Saznao je da se ovlaenim inovnicima svakog jutra daje pomno uvana dnevna ifra, koju koriste kad zovu sobu za transakcije. Zaposleni u prostoriji za transakcije nisu se trudili da zapamte ifru: pisali su je na papirie i kaili na vidna mesta. Tog novembarskog dana Rifkin je imao poseban razlog za posetu. eleo je da osmotri taj papiri. Stigavi u sobu za transakcije, zapisao je neke podatke, navodno da bi se uverio da e se rezervni sistem vaano uklopiti sa postojeim sistemima. U meuvremenu, potajno je proitao bezbednosnu ifru s pareta papira i zapamtio je. Izaao je nakon nekoliko minuta. Kako je kasnije rekao, oseao se kao da je upravo osvojio nagradu na lutriji.

    5 Poglavlje 1: Najslabija taka bezbednosnog sistema

    U pitau je taj bankovni raun u vajcarskoj


    Napustivi prostoriju oko 3 asa poslepodne, uputio se pravo ka telefonskoj govornici u mermernom holu zgrade, Ubacio je novi i okrenuo broj prostorije za transfere. Potom je preuzeo tu identitet, ne predstavajui se vie kao Stenli Rifkin, bankarski savetnik, nego kao Majk Hensen, lan Meunarodnog odseka banke. Prema jednom izvoru, razgovor se odvijao priblino ovako: Zdravo, ovde Majk Hensen iz Meunarodnog, rekao je mladoj eni koja se javila na telefon. Ona ga je upitala za broj kancelarije. To je bila uobiajena procedura, pa je on bio spreman: 286, rekao je.

    UMOB, November 4, 2003 10:05 am

    6 Deo 1: Iza kulisa

    Devojka je pitala: Koja je ifra? Rifkin je rekao da mu je u tom trenutku adrenalin pojurio venama a srce poskoilo. Ravnoduno je odgovorio: 4789. Potom joj je dao nalog za prenos tano deset miliona i dve stotine hiada dolara od firme Irvin Trast u Njujorku, na raun u banci Vochud Handels u Cirihu u vajcarskoj, gde je prethodno ve otvorio raun. Devojka potom ree: U redu, zabeleila sam. A sad mi treba meukancelarijski identifikacioni broj. Rifkina je oblio znoj; bilo je to neoekivano pitae, neto to mu je promaklo za vreme priprema. Odglumio je da je sve u najboem redu, i odmah je hladnokrvno odgovorio: Saekajte da proverim; odmah u vas pozvati. Ponovo je promenio identitet i pozvao drugo odeee u banci, ovog puta predstavajui se kao zaposleni u prostoriji za transakcije. Dobio je meukancelarijski identifikacioni broj i odmah pozvao devojku. Zapisala je broj i zahvalila mu se. (to je, u tim okolnostima, bilo veoma ironino.)

    Privoee kraju
    Nekoliko dana kasnije Rifkin je odleteo u vajcarsku i podigao gotovinu. Od jedne ruske agencije kupio je gomilu dijamanata za preko 8 miliona dolara. Vratio se avionom, i proao kroz carinu Sjedienih Drava s draguima skrivenim u pojasu za novac. Uspela mu je najvea paka banke u istoriji a poinio ju je bez pitoa, pa ak i bez raunara. Zaudo, egova ludorija je na kraju dospela na stranice Ginisove kige svetskih rekorda u kategoriji najvea raunarska prevara. Stenli Rifkin je primenio umetnost obmane vetine i tehnike koje se danas, na engleskom, nazivaju social engineering. Detano planirae i nadarenost za ophoee s udima zapravo je sve to mu je bilo potrebno. Upravo time se bavi ova kiga metodama obmane (za koje je pisac ovih redova pravi struak) i nainima odbrane od ih.

    PRIRODA PRETNJE
    Pria o Rifkinu savreno objaava kako oseaj sigurnosti moe biti variv. Ovakvi sluajevi moda ne kraa 10 miliona dolara, ali ipak nepoeni deavaju se svakodnevno. Moda upravo sada gubite novac, ili

    UMOB, November 4, 2003 10:05 am

    vam neko krade planove o novom proizvodu, a da toga niste ni svesni. Ako se to vaem preduzeu jo nije dogodilo, ne postava se pitae da li e, ve kada e to biti.

    Sve vea zabrinutost


    Institut za raunarsku bezbednost objavio je u svom izvetaju o raunarskom kriminalu iz 2001. godine da je 85% ispitanih organizacija otkrilo naruavae raunarskog bezbednosnog sistema u prethodnih dvanaest meseci. To je zapaujua cifra: samo petnaest od svakih sto ispitanih organizacija mogle su da kau da kod ih nije bilo naruavaa bezbednosnog sistema tokom te godine. Podjednako zapaujui bio je i broj organizacija koje su prijavile finansijske gubitke usled napada na raunarski sistem: 64 procenta. Vie od pola ispitanih organizacija podleglo je finansijskim gubicima usled toga. I to samo u jednoj godini. Iz sopstvenog iskustva smatram da su brojke u ovakvim izvetajima pomalo preterane, poto sumam u ispravnost naina anketiraa. Ali to ne znai da teta nije ogromna ogromna je. Preduzea koja ne planiraju odbranu od napada sigurno e pretrpeti tetu. Komercijalni proizvodi za bezbednost sistema, koji se koriste u veini kompanija, uglavnom tite od ueza amatera, poput devojaka i mladia koji se nazivaju skriptai. Ti klinci koji bi eleli da postanu hakeri, a koriste softver preuzet s Interneta, uglavnom predstavaju sitnu smetu. Vee gubitke nanose i pravu pretu predstavaju sofisticirani napadai. Njih motivie finansijska dobit a mete su im dobro definisane. Oni se usmeravaju na jednu po jednu metu, umesto da, poput amatera, pokuaju da provale u to vie sistema. Dok se amateri zadovoavaju kvantitetom, profesionalci ciaju na kvalitetne i vredne informacije. Tehnoloke mere poput uvoea ureaja za identifikaciju, kontrole pristupa (za upravae pristupom datotekama i sistemskim resursima), i instaliraa sistema za otkrivae upada (elektronski ekvivalent alarma koji upozoravaju na provalnike) neophodne su stavke u bezbednosnom sistemu jedne firme. Skoro po pravilu, u danae vreme jedna kompanija troi vie novca na kafu nego na mere zatite od napada na bezbednosni sistem. Upravo kao to um kriminalca ne moe da odoli iskueu, um hakera tei da zaobie mone tehnoloke bezbednosne sisteme. U mnogim sluajevima oni to ine usmeravajui se na korisnike tehnologije.

    7 Poglavlje 1: Najslabija taka bezbednosnog sistema

    UMOB, November 4, 2003 10:05 am

    Naini obmane
    Kae se da je bezbedan raunar samo onaj koji je iskuen. Pametno reeno, ali ipak netano: obmaiva nagovori nekoga da ue u kancelariju i ukui raunar. Neprijate koji eli odreenu informaciju do e moe doi, obino na jedan od nekoliko naina. To je samo pitae linosti, vremena, strpea i upornosti. A onda umetnost obmane stupa na scenu. Da bi zaobiao mere bezbednosti, uez, odnosno obmaiva, mora nai naina da prevari lakovernog korisnika kako bi mu ovaj otkrio informacije, ili da na prevaru navede rtvu, koja nita ne suma, da mu odobri pristup. Kada neko prevari zaposlene, na ih izvri pritisak, ili ih obmane da otkriju vane informacije ili stvore rupu u bezbednosnom sistemu, nikakva tehnologija ne moe zatititi poslovae. Struaci ponekad uspeju da deifruju poruku tako to pronau propust zahvaujui kojem mogu da zaobiu tehnologiju za ifrirae. Upravo tako i obmaivai pokuavaju da prevare zaposlene da bi zaobili bezbednosnu tehnologiju.

    8 Deo 1: Iza kulisa

    ZLOUPOTREBA POVERENJA
    U veini sluajeva, uspeni obmaivai umeju dobro da se ophode s udima. armantni su, ubazni i dopadivi a upravo su te osobine potrebne da bi se brzo uspostavili prisnost i poveree. Iskusan napada moe pristupiti gotovo svakoj informaciji pomou pomenute strategije i taktike. Savesni struaci za tehnologiju mukotrpno su razvijali bezbednosna reea kako bi sveli rizike na najmau moguu meru, a ipak su ispustili najbitniju taku podlonu napadima udski faktor. Uprkos intelektu, mi udi vi, ja, i svi ostali i dae predstavamo najveu bezbednosnu pretu jedni drugima.

    Neiskvarenost u okviru organizacije


    Prisetite se da je ARPANet (mrea Agencije za napredne istraivake projekte Sekretarijata odbrane), prethodnik Interneta, projektovan za razmenu informacija izmeu vlade, istraivakih i obrazovnih institucija. Ci je bio sloboda informisaa, kao i napredak tehnologije. Mnoge obrazovne institucije su, dakle, instalirale prve raunarske sisteme uz malu ili nimalu zatitu. uveni borac za slobodnu upotrebu softvera, Riard Stolman, ak je odbio da zatiti lozinkom sopstveni nalog.

    UMOB, November 4, 2003 10:05 am

    No, budui da se Internet koristi za elektronsku trgovinu, opasnosti od slabe zatite u ovom naem umreenom svetu znatno su se poveale. Ipak, upotrebom tehnologije nee se reiti problem udskog faktora u obezbeeu. Pogledajte samo danae aerodrome. Obezbeee je postalo najbitnije, pa ipak nas plae izvetaji u medijima o putnicima koji su uspeli da zaobiu mere bezbednosti i prenesu potencijalno oruje pored punktova za proveru. Kako je to mogue u vreme kad su nam aerodromi u takvom stau pripravnosti? Da li detektori metala ne rade dobro? Ne. Problem nije u mainama, ve u udskom faktoru: u udima koji ima upravaju. Aerodromski slubenici mogu dovesti Nacionalnu gardu, instalirati detektore metala i sisteme za prepoznavae lica, ali bi korisnije bilo obuiti obine slubenike obezbeea da pravilno proveravaju putnike. Isti problem se java u okviru dravnih institucija, kompanija i obrazovnih institucija irom sveta. Uprkos naporima struaka za bezbednost, informacije su ipak svugde raive, a obmaivai e ih i dae smatrati poenim metama, sve dok se najslabija karika u lancu obezbeea udski inilac ne ojaa. Sada, vie nego ikada ranije, moramo nauiti da raskrstimo s pustim eama i postanemo svesniji metoda zlonamernika, koji pokuavaju da narue poverivost, integritet i dostupnost raunarskih sistema i mrea. Bili smo primorani da prihvatimo opreznu vou; vreme je da prihvatimo i nauimo oprezan rad na raunaru. Preta da e neko naruiti vau privatnost ili informacioni sistem vae kompanije moda se ne ini stvarnom dok se napad zaista ne dogodi. Da bismo izbegli tako skupo otreee, moramo svi postati svesniji, obrazovaniji, oprezniji; moramo agresivno tititi vredne poslovne informacije, line podatke, i najbitniju infrastrukturu. Te mere opreza moramo poeti da sprovodimo danas.

    9 Poglavlje 1: Najslabija taka bezbednosnog sistema

    TERORISTI I OBMANA
    Naravno, prevara nije jedino sredstvo obmaivaa. Fiziki terorizam je najvea vest u medijima, te smo shvatili, kao nikada ranije, da je svet opasan. Civilizovanost je, ipak, samo prividan sjaj. Nedavno pojaani napori amerike vlade podigli su i nivo nae svesti o bezbednosti. Moramo biti u stau pripravnosti i razumeti kako teroristi podlo meaju identitet, preuzimaju ulogu studenata i suseda, i stapaju se u

    UMOB, November 4, 2003 10:05 am

    masu. Prikrivaju svoja prava uverea dok kuju planove protiv nas; tako koriste trikove obmane sline onima o kojima ete itati na ovim stranicama. Koliko ja znam, teroristi jo nisu primenili lukavstva obmane kako bi se uvukli u firme, postrojea za navodavae, elektrane ili druge najbitnije delove nae nacionalne infrastrukture, ali mogunost postoji. Sasvim je lako. Nadam se da e ova kiga poeti da utie na podizae svesti o bezbednosti na vii nivo, te da e rukovodstva kompanija insistirati da se u bezbednosnom sistemu primene opisane procedure.
    10 Deo 1: Iza kulisa

    O OVOJ KNJIZI
    Bezbednost preduzea je pitae ravnotee. Usled suvie slabe zatite, kompanija postaje raiva, ali i preterano naglaavae bezbednosti smeta pri poslovau koi rast i prosperitet preduzea. Izazov je nai ravnoteu izmeu bezbednosti i produktivnosti. Druge kige o bezbednosti kompanija usredsreuju se na hardversku i softversku tehnologiju, a ne bave se u odgovarajuoj meri najozbinijom pretom od svih: obmaivaem udi. Ci ove kige je da objasni kako ste vi, vai saradnici i ostali zaposleni u vaoj kompaniji predmet manipulacije i da informie o bedemima koje moete podii da biste prestali da budete rtva. Kiga se uglavnom usredsreuje na ne-tehnike metode koje uezi koriste da bi ukrali informacije, ugrozili celovitost podataka za koje se veruje da su bezbedni, ili unitili neki proizvod kompanije. Moj zadatak oteava jednostavna istina: svakog itaoca su ve prevarili najvei struaci svih vremena iz oblasti obmane egovi roditei. Nali su naina da vas privole, za sopstveno dobro, da inite ono to su oni smatrali najboim. Roditei, odlini manipulatori, postupaju kao profesionalni obmaivai koji izmiaju vrlo uverive prie, razloge i opravdaa za dostizae sopstvenih cieva. Da, nas su oblikovali roditei, koji nas dobronamerno (a ponekad i ne tako dobronamerno) obmauju. Budui da smo vaspitavani uz obmane, postali smo podloni manipulaciji. iveli bismo drugaije da smo stalno morali da budemo na oprezu, nepoverivi prema drugima i zabrinuti da bismo mogli postati naivna meta nekoga ko pokuava da nas iskoristi. U savrenom svetu podrazumevalo bi se da verujemo drugima, uvereni da su udi koje sreemo iskreni i da im se moe verovati. Ali ne ivimo u savrenom svetu, pa moramo da uvebavamo odreene mere opreza kako bismo spreili pokuaje neprijatea da nas prevare.

    UMOB, November 4, 2003 10:05 am

    Glavne delove ove kige, drugi i trei, saiavaju prie o obmani na delu. U tim delovima bie rei o sledeem: O onome to su telefonski prevaranti otkrili pre vie godina: kako od telefonske kompanije dobiti broj koji ne postoji u imeniku. O nekoliko razliitih metoda koje napadai primeuju da bi naveli ak i oprezne, sumiave slubenike da im obelodane svoja korisnika imena i lozinke. O tome kako je jedan upravnik raunarskog centra saraivao s napadaem i omoguio mu da ukrade informacije o najpoverivijem proizvodu egovog preduzea. O postupcima kojima je slubenica navedena da uita softver koji pijunira svaki en pritisak na taster i elektronskom potom ae izvetaje napadau. O tome kako privatni istraitei dolaze do informacija o preduzeima i pojedincima, od ega ete se, u to budite uvereni, najeiti. Dok budete itali neke od pria u drugom i treem delu, moda ete pomisliti da nisu mogue, da niko ne moe tako lagati, koristiti se pravim trikovima i spletkama. Sutina je da se opisani dogaaji mogu odigrati i zaista se deavaju; mnogi od ih se svakodnevno zbivaju negde u svetu, a moda ak i u vaem preduzeu dok itate ovu kigu. Ova kiga e vam zaista otvoriti oi kad je u pitau zatita poslovaa. Nauie vas da se branite od obmane na linom planu, da biste zatitili integritet informacija u privatnom ivotu. U etvrtom delu kige prei emo na praktine teme. Moj ci je da vam pomognem da napravite neophodne poslovne pravilnike i podignete nivo svesti slubenika, kako biste na najmau moguu meru sveli mogunost da va zaposleni bude obmanut. Razumevae strategija, metoda i taktike obmane pripremie vas da upotrebite razumna sredstva za zatitu informacija, ne dovodei u pitae produktivnost kompanije. Ukratko, napisao sam ovu kigu da bih podigao nivo svesti o ozbinoj preti koju obmaivae predstava, kako biste mogli da obezbedite firmu i zaposlene i budete sigurni da vas niko ne moe obmanuti. Ili bi moda trebalo da kaem da je mnogo mae verovatno da e vas ikada ponovo obmanuti.

    11 Poglavlje 1: Najslabija taka bezbednosnog sistema

    UMOB, November 4, 2003 10:05 am

    deo

    2
    Umee napadaa

    UMOB, November 4, 2003 10:07 am

    poglavlje

    Kada bezazlena informacija nije tako bezazlena

    ta veina udi smatra pravom pretom obmane? ta bi vaalo uiniti da biste bili na oprezu? Ako je ci napadaa da se domogne neeg veoma vrednog recimo, izuzetno vane komponente intelektualnog vlasnitva kompanije onda je moda, figurativno govorei, potreban samo vri sef i jae naoruano obezbeee. Je li tako? Naruavae bezbednosnog sistema preduzea, zapravo, obino zapoie tako to se negativac domogne neke informacije ili dokumenta koji se ine toliko bezazlenim, svakodnevnim i nevanim, da mnogi zaposleni u organizaciji ne vide zato bi bili zatieni i poverivi.

    SKRIVENA VREDNOST INFORMACIJA


    Obmaiva smatra veinu naoko bezazlenih informacija vrednim, jer mogu igrati odluujuu ulogu u egovim pokuajima da se zaodene velom uverivosti. Na stranicama koje slede, pokazau vam tehnike obmane tako to u vam omoguiti da i sami prisustvujete napadima. Ponekad u prikazivati

    UMOB, November 4, 2003 10:07 am

    dogaaje iz ugla rtve, pa ete moi da se poistovetite s om i ocenite kako biste vi (ili moda neko od saradnika ili zaposlenih) reagovali u datoj situaciji. Veinu tih dogaaja posmatraete i iz ugla napadaa. U prvoj prii re je o raivosti finansijskog poslovaa.

    CREDITCHEX
    Britanci su dugo imali veoma krut bankarski sistem. Kao obian, poten graanin niste mogli da uete u banku i otvorite raun. Ne, banka bi razmotrila va zahtev tek kad bi vam ihov pouzdan klijent dao preporuku. Sasvim je razliito, naravno, prividno otvoreno savremeno bankarstvo. Lakoa s kojom se u danae moderno vreme posluje, najboe se oituje u prijateskoj, demokratskoj Americi, gde gotovo svako moe ui u banku i lako otvoriti tekui raun, je li tako? Pa, ne ba. Banke nerado otvaraju raune onima koji su moda ranije ispisivali ekove bez pokria, to je i razumivo u banci je ek bez pokria isto toliko dobrodoao kao i prijava zbog pake banke ili optuba za proneveru. Stoga je u svakoj banci standardna procedura da se brzo proveri novi klijent. Jedna od glavnih kompanija koju banke unajmuju radi ovakvih informacija jeste CreditChex. Oni svojim klijentima obezbeuju dragocene usluge, ali poput mnogih preduzea, mogu nesvesno pruiti zgodne usluge i obmaivaima, koji znaju kako do ih da dou.

    16 Deo 2: Umee napadaa

    Prvi poziv: Kim Endrjuz


    Nacionalna banka, Kim je kraj telefona. Da li biste eleli da otvorite raun? Zdravo, Kim. Hteo bih neto da vas pitam. Da li vi koristite usluge firme CreditChex? Da. Kad im telefonirate, kako zovete broj koji im saoptite je li to Identifikacioni broj filijale? Usledila je stanka; razmatrala je zahtev, pitajui se o emu se radi i da li treba da odgovori. Sagovornik je brzo nastavio, ne trepnuvi.

    UMOB, November 4, 2003 10:07 am

    Vidite, Kim, ja piem kigu o privatnim istraiteima. Da, ree, odgovarajui na pitae s novosteenom sigurnou, zadovona to pomae piscu. Dakle, to se zove identifikacioni broj filijale, je li tako? A-ha. Dobro, sjajno. Hteo sam da budem siguran da je to pravi izraz. Za kigu. Hvala vam na pomoi. Do viea, Kim.

    Drugi poziv: Kris Talbert


    Nacionalna banka, odsek za nove raune, Kris je kraj telefona. Zdravo, Kris. Ovde Aleks, ree glas iz slualice. Ja sam iz odeea za korisnike usluge firme CreditChex. Sprovodimo anketu da bismo poboali uslugu. Moete li da mi posvetite nekoliko minuta? Pristala je, pa je nastavio. U koje vreme je va ogranak otvoren za klijente? Odgovorila je, i nastavila da odgovara na niz egovih pitaa. Koliko zaposlenih u vaem ogranku koristi nae usluge? Koliko esto nam upuujete zahteve? Koje od naih besplatnih brojeva smo vam dodelili? Jesu li nai slubenici uvek ubazni? Koliko brzo reagujemo na vae zahteve? Koliko dugo radite u ovoj banci? Koji identifikacioni broj filijale trenutno koristite? Da li ste ikada naili na nedoslednosti u informacijama koje smo vam obezbedili? Kako biste unapredili nau uslugu? Da li biste popunili upitnike koje bismo poslali vaem ogranku? Ona se s tim sloila, jo malo su proaskali, potom je on spustio slualicu, a Kris se vratila svom poslu.

    17 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    UMOB, November 4, 2003 10:07 am

    Trei poziv: Henri Mekinsi


    CreditChex, ovde Henri Mekinsi. ta mogu da uinim za vas? Osoba s druge strane ice predstavila se kao slubenik Nacionalne banke. Dao mu je odgovarajui identifikacioni broj filijale, a potom ime i broj socijalnog osiguraa osobe o kojoj su mu trebali podaci. Henri je pitao za datum roea, a on mu je i to rekao. Nakon nekoliko trenutaka, Henri je proitao podatke koji su mu se pojavili na ekranu. 18 Deo 2: Umee napadaa Vels Fargo, ispisao je ekove bez pokria 1998. godine, jednom, na sumu od 2066 dolara. ek bez pokria je poznat bankarski izraz za ekove koji su upotrebeni kad na raunu nema dovono novca da ispisani iznos pokrije. Da li je kasnije bilo neeg slinog? Ne. Je li bilo drugih provera? Da vidimo. Da, dvaput, i to oba puta prolog meseca. Zahteve su uputili Third United Credit Union iz ikaga i Schenectady Mutual Investments. Spetao se pri potoem nazivu, pa je morao da izgovori slovo po slovo. Ovi drugi su iz drave Njujork, dodao je.

    Kako radi privatni istraite


    Sva tri puta poziv je uputila ista osoba: privatni istraite kojeg emo zvati Oskar Grejs. Grejs je imao novog klijenta. S obzirom na to da je do pre nekoliko meseci bio policajac, ustanovio je da mu ovaj novi posao lei, ali morao je vie da se potrudi i bude inventivniji. Posao je bio ba izazovan. Detektivi iz pria Sem Spejd, Filip Marlo i ima slini provodili su duge none sate u kolima, ekajui da uhvate nevernog suprunika na delu. I pravi detektivi rade tako. No, oni istrauju za zaraene suprunike i na drugi nain, o kojem se mae pie, a isto toliko je vaan. Ta metoda se vie oslaa na vetinu obmane nego na ubijae dosade pri nonom bdeu. Oskarov klijent bila je dama koja je, inilo se, imala sasvim pristojan budet za odeu i nakit. Jednog dana je uetala u egovu kancelariju i sela na konu stolicu, jedinu na kojoj nisu bili naslagani papiri. Smestila je svoju

    UMOB, November 4, 2003 10:07 am

    veliku tanu marke Gui na egov radni sto s logotipom okrenutim prema emu, i izjavila da planira da trai razvod od mua, ali je priznala da postoji jedan mali problem. inilo se da je en mu bio korak ispred. Ve je podigao gotovinu s ihove tedne kiice, i jo veu sumu s bankovnog rauna. Htela je da zna gde je skrivena ihova imovina, a en advokat za razvod uopte joj nije bio od pomoi. Grejs je pretpostavao da je advokat jedan od onih uspenih savetnika iz boe gradske etvrti, te da nee da pra ruke u potrazi za novcem. Da li Grejs moe da pomogne? Uverio ju je da nema nikakvih problema, rekao joj cenu, saoptio da e trokovi biti naplaeni posebno i uzeo ek s prvim delom iznosa. Tek potom se suoio s problemom. ta uiniti ako se nikad ranije niste sreli sa slinim problemom i zapravo ne znate odakle da ponete da biste utvrdili kuda je novac nestao? Krenete korak po korak. Evo Grejsove prie, onako kako nam je ispriao na izvor.

    19 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    Znao sam za CreditChex i nain na koji banke koriste tu organizaciju moja biva ena je nekad radila u banci. Ali nisam znao terminologiju i procedure, a da sam pitao svoju bivu enu, samo bih izgubio vreme. Prvi korak: nauite pravilno terminologiju. Kad traite informacije, trudite se da zvuite kao da znate o emu priate. U prvoj banci koju sam nazvao, prva gospoica, Kim, bila je podozriva kad sam je upitao kako se identifikuju kad pozovu CreditChex. Oklevala je; nije znala da li da mi kae ili ne. Da li je to osujetilo moje namere? Nimalo. Zapravo, eno oklevae bilo je za mene vaan signal da treba da pruim verodostojno obrazloee. Kad sam joj rekao da istraujem za kigu, prestala je da bude sumiava. Samo kaete da ste pisac ili scenarista, i svi vam jedu iz ruke. Imala je ona i druge informacije koje bi mi bile korisne poput podataka koje CreditChex zahteva radi identifikacije osobe koju proveravate, ta smete da ih pitate, i najvanije, koji je identifikacioni broj ene filijale. Tako sam hteo da je ispitam, kad me je eno oklevae upozorilo da ne sram. Poverovala je u priu o istraivau za kigu, ali je prethodno bila dosta sumiava. Da je od samog poetka bila otvorenija, zatraio bih od e jo detaa o bankarskim procedurama.

    UMOB, November 4, 2003 10:07 am

    Morate se voditi instinktom, i sluati paivo ta rtva govori i kako to izgovara. Ova mi je dama zvuala dovono pametno verovatno bi se oglasio alarm da sam nastavio da joj postavam suvie neobinih pitaa. Iako nije znala ko sam, niti s kog broja zovem, u ovom poslu nikako ne elite da se prouje da neko zove kako bi dobio informacije o poslovau pa treba biti na oprezu. Razlog je to ne elite da vam se izvor ugasi moda ete ponovo morati da pozovete istu kancelariju neki drugi put.

    terminologija
    20 Deo 2: Umee napadaa
    RTVA Re je o prevarenoj osobi. UGASITI IZVOR (engl. burn the source) Kae se da je napada ugasio izvor kad dozvoli da rtva prepozna da je re o napadu. Kad rtva postane svesna napada i o tome obavesti ostale zaposlene i rukovodstvo, izuzetno je teko ponovo upotrebiti isti izvor u buduim napadima.

    Uvek obraam pau na male signale. Pomou ih proceujem koliko je osoba spremna za saradu, u opsegu od: Zvui kao prijatna osoba i sve ti verujem do: Zovite policiju, obavestite Nacionalnu gardu, ovaj neto gadno smera. Ocenio sam da je Kim pomalo napeta, pa sam zato pozvao nekoga iz drugog ogranka. Tokom drugog razgovora, s Kris, trik s anketom upalio je iz prve. Ovde je taktika da se vana pitaa ubace izmeu nebitnih koja stvaraju oseaj uverivosti. Pre nego to sam je pitao o identifikacionom broju ihove filijale kod firme CreditChex, testirao sam je u posledem trenutku postavivi joj pitae line prirode o tome koliko dugo radi u banci. Pitae line prirode je poput nagazne mine neki ga prekorae nita ne primetivi, dok drugima eksplodira pa se brzo povuku na sigurno. Dakle, ako joj postavim takvo pitae i ona odgovori, a ne promeni ton, to znai da verovatno nije sumiava. Slobodno mogu da postavim kuno pitae. Nee posumati i najverovatnije e odgovoriti. Evo jo neega to dobar privatni istraite zna: nikada ne prekidajte razgovor nakon to se domognete kune informacije. Postavite jo dva-tri pitaa, malo proaskajte, i tek onda moete prekinuti. Kasnije e se rtva verovatno setiti nekoliko posledih pitaa ako se iega seti. Ostalo se uglavnom zaborava.

    UMOB, November 4, 2003 10:07 am

    I tako mi je Kris dala identifikacioni broj ihove filijale, kao i telefonski broj koji zovu kad proveravaju potencijalne klijente. Bio bih sreniji da sam uspeo da je pitam koliko podataka se moe traiti od firme CreditChex, ali sam smatrao da je boe da ne preterujem. Bilo je to kao da imam neispuen ek kod firme CreditChex. Mogao sam ih nazvati i dobiti informacije kad god sam eleo. Nisam ak ni morao da platim za tu uslugu. Kako se ispostavilo, slubenik kompanije CreditChex rado mi je dao upravo one podatke koje sam traio: dve banke kod kojih je mu moje klijentie nedavno predao molbu da mu se otvori raun. Pa, gde je bio novac koji trai egova ena, koja e mu uskoro postati biva? Gde drugde nego u bankama koje je momak iz kompanije CreditChex naveo.

    21 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    Analiza prevare
    itava ova prevara zasnovana je na jednoj od osnovnih taktika obmaivaa: na pristupu informacijama koje zaposleni pogreno smatraju bezazlenima. Prva slubenica je potvrdila termin za broj koji se koristi kad se zove CreditChex: identifikacioni broj filijale. Druga je obelodanila telefonski broj na koji se zove CreditChex, kao i najbitniju informaciju, identifikacioni broj te banke. inilo se da su joj svi ti podaci potpuno bezazleni. Na kraju krajeva, ona je mislila da razgovara s nekim iz kompanije CreditChex, pa ta kodi ako im se kae broj? Sve ovo je bilo samo priprema za trei poziv. Grejs je imao sve to mu treba da bi telefonirao firmi CreditChex, predstavio se kao slubenik jedne od banaka s kojom sarauju, Nacionalne banke, i zatraio eene informacije. Grejs je bio vet u krai informacija poput nekog prevaranta koji lako izmami novac, a imao je i pravog talenta da oceni ude. Znao je da kuna pitaa vaa smestiti izmeu nebitnih. Znao je da e pitaem line prirode utvrditi koliko je druga slubenica spremna za saradu, pre nego to ju je nevino upitao za identifikacioni broj filijale. Da prva slubenica nije potvrdila izraz za broj koji se koristi pri proveri kod firme CreditChex, bilo bi gotovo nemogue nastaviti. Taj podatak je toliko rasprostraen u bankarstvu, da se ini nevanim to je upravo klasian primer naoko bezazlene informacije. Ali druga slubenica, Kris, nije trebalo tako olako da odgovara na pitaa, a da prethodno ne proveri

    UMOB, November 4, 2003 10:07 am

    da li je sagovornik onaj za koga se izdaje. Trebalo je, u najmau ruku, da zapie egovo ime i telefonski broj i da ga ona pozove. Ako bi se kasnije pojavio problem, mogla je imati podatak o tome s kog je telefona osoba zvala. U tom sluaju bi napadau bilo mnogo tee da se lano predstavi kao slubenik firme CreditChex.
    mitnikova

    poruka

    22 Deo 2: Umee napadaa

    Identifikacioni broj filijale je u ovom sluaju isto to i lozinka. Kad bi se osobe banke prema emu odnosilo kao prema PIN kodu za bankomate, moda bi shvatili koliko je takva informacija poveriva. Da li i u vaoj organizaciji postoji interni kd ili broj kojem osobe ne pridaje dovono znaaja?

    Jo boe bi bilo da je slubenica pozvala CreditChex koristei broj kojim se banka inae slui a ne broj koji bi joj sagovornik eventualno dao kako bi se uverila da on zaista radi u pomenutoj kompaniji, i da oni uistinu sprovode anketu meu svojim klijentima. Meutim, kada se uzme u obzir da se danas, u realnom svetu, radi toliko da niko nema vika vremena, previe bi bilo oekivati poziv radi provere, osim u sluaju da zaposleni posuma da je u pitau napad.

    ZAMKA ZA INENJERE
    Svi znaju da agencije za zapoavae koriste metode obmaivaa kako bi vrbovali talentovane kandidate. Evo primera kako se to radi. Krajem devedesetih, jedna agencija za zapoavae, koja ba i ne dri do etike, potpisala je ugovor s novim klijentom, kompanijom koja trai ineere elektrotehnike s iskustvom u telekomunikacijama. Voa projekta bila je dama obdarena dubokim, seksi glasom koji je nauila da iskoristi da bi brzo uspostavila poveree i prisnost preko telefona. Odluila je da izvri pohod na davaoca usluga mobilne telefonije, da vidi moe li tamo nai neke ineere koji bi se nali u iskueu da preu na drugu stranu, kod konkurencije. Naravno, nije mogla da pozove centralu i kae: Spojite me sa svakim ko ima pet godina ineerskog iskustva. Umesto toga, iz razloga koji e uskoro postati jasni, zapoela je potragu za talentovanim osobem tako to je zatraila jedan podatak koji naizgled nije uopte bitan, i koji slubenici te kompanije daju gotovo svakom ko ga zatrai.

    UMOB, November 4, 2003 10:07 am

    Prvi poziv: prijemno odeee


    Napada, predstavajui se kao Didi Sends, poziva upravu kompanije za telekomunikacione usluge. Evo kako je razgovor tekao. Slubenica prijemnog odeea: Dobar dan. Ovde Meri, ta mogu da uinim za vas? Didi: Moete li me spojiti s odeeem za transport? S: Nisam sigurna da li tako neto kod nas postoji. Pogledau u imeniku. Ko zove? D: Didi. S: Jeste li u zgradi, ili? D: Ne, van zgrade sam. S: Kako se prezivate? D: Sends. Didi Sends. Imala sam lokal transportnog odeea, ali sam ga zaboravila. S: Trenutak. Da bi odagnala sumu, Didi je nonalantno, radi same konverzacije, postavila pitae osmieno tako da sagovornika uveri da je ona domaa, da poznaje firmu. D: U kojoj se vi zgradi nalazite u Lejkvjuu ili u centrali? S: U centrali. (stanka) Broj je 805 555 6469. Da bi obezbedila rezervu u sluaju da putem poziva transportnom odeeu ne dobije ono to joj treba, Didi je takoe zatraila da razgovara s odeeem za nekretnine. Slubenica joj je dala i taj broj. Kad je Didi zamolila da je spoji s transportnim odeeem, ova je to pokuala, ali je veza bila zauzeta. Tada je Didi zamolila da joj da trei telefonski broj, broj odeea za platni promet, smeten u prostorijama firme u Ostinu u Teksasu. Slubenica ju je zamolila da malo saeka i za trenutak spustila slualicu. Da li je javila obezbeeu da ima sumiv telefonski poziv i da misli da je u pitau prevara? Ni sluajno. A ni Didi se nije nimalo brinula. Bila je malo dosadna, ali je to slubenici bio deo obinog radnog dana. Proao je otprilike minut, a potom je slubenica ponovo uzela vezu, pogledala broj odeea za platni promet, pokuala da dobije vezu i spojila Didi s ima.

    23 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    UMOB, November 4, 2003 10:07 am

    Drugi poziv: Pegi


    Sledei poziv je tekao ovako: Pegi: Odeee za platni promet, ovde Pegi. Didi: Zdravo, Pegi. Ovde Didi iz Tauzend Ouksa. P: Zdravo, Didi. D: Kako si? P: Dobro. 24 Deo 2: Umee napadaa Didi je potom upotrebila poznat izraz za kd kojim se trokovi dodeuju budetu odreene organizacije ili radne grupe: D: Odlino. Kai mi kako da doem do konta za neko odeee. P: Mora se obratiti analitiaru budeta tog odeea. D: Zna li ko analizira budet za Tauzend Ouks za upravu? Pokuavam da ispunim neki obrazac, a ne znam odgovarajui konto. P: Ja samo znam da onaj kome treba konto zove svog analitiara budeta. D: Ima li ti konto svog odseka tu u Teksasu? P: Mi imamo svoj konto, ali nam ne daju itav spisak. D: Koliko cifara ima? Na primer, koji je va konto? P: ekaj, jesi li ti u okviru 9WC ili SAT? Didi nije imala pojma na koje se odseke ili odeea te skraenice odnose, ali nije bilo ni vano. Odgovorila je: D: 9WC. P: Onda obino ima etiri cifre. Gde ree da radi? D: U upravi u Tauzend Ouksu. P: Da, evo konta za Tauzend Ouks. 1A5N, N kao Nensi. Zahvaujui tome to je provela dovono dugo vremena s nekim ko je spreman da pomogne, Didi je dobila konto koji joj je bio potreban. A to je jedan od onih podataka koje niko i ne pomisli da zatiti, jer se ini kao neto to udima van firme ne moe biti ni najmae vano.

    UMOB, November 4, 2003 10:07 am

    Trei poziv: koristan pogrean broj


    Sledei Didin zadatak bio je da pretvori dobijeni konto u neto zaista vredno, poput etona za poker. Otpoela je nazvavi odeee za nekretnine, pretvarajui se da je dobila pogrean broj. Prvo je rekla: Izvinite to smetam, ali, a potom izdeklamovala da je koleginica koja je izgubila telefonski imenik kompanije i pitala koga treba da zove da bi dobila nov. Muki glas je odgovorio da je tampana verzija zastarela, jer se imenik moe nai na intranetu. Didi odvrati da vie voli da koristi tampanu verziju, a on joj na to ree da pozove Izdavatvo. Potom je ubazno potraio ihov broj i dao joj ga, a da ga ona to nije ni zamolila moda samo da bi malo due razgovarao s damom takvog glasa. 25 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    etvrti poziv: Bart u Izdavatvu


    Nazvavi Izdavatvo, razgovarala je s ovekom po imenu Bart. Rekla je da radi u Tauzend Ouksu i da imaju novog savetnika kojem treba tampana kopija telefonskog imenika kompanije. Rekla je da savetniku tako vie odgovara, bez obzira na to to je tampana verzija unekoliko zastarela. Bart joj ree da mora da ispuni obrazac za trebovae i poae ga emu. Didi odvrati da joj je nestalo obrazaca i da je u guvi, i zamolila ga da bude tako dobar i ispuni ga umesto e. Pristao je, nekako isuvie odueveno, a potom mu je Didi izdiktirala pojedine podatke. to se tie adrese izmienog savetnika, otegnuto je izdiktirala neto to se u svetu obmane naziva lana adresa. U ovom sluaju, navela je adresu firme Mail Boxes Etc., kod koje je ena kompanija iznajmivala potanske sanduie upravo za ovakve prilike. Prethodni trud se sada isplatio. Slae imenika se naplauje. U redu Didi mu je dala konto za Tauzend Ouks: 1A5N, N kao Nensi.

    UMOB, November 4, 2003 10:07 am

    Nakon nekoliko dana, kad je telefonski imenik kompanije stigao, Didi je shvatila da joj se trud jo vie isplatio nego to je oekivala u emu se nisu nalazili samo puki spiskovi imena i telefonskih brojeva, ve je bilo prikazano i ko za koga radi, dakle poslovna struktura itave organizacije. Dama promuklog glasa bila je spremna da telefonom vrbuje kadar. Na prevaru je dola do informacija neophodnih da bi otpoela s napadom, i to sve zahvaujui svom talentu za ophoee s udima, koji svaki obmaiva mora da dovede do perfekcije. Sad je mogla da ubere plodove svog rada. 26 Deo 2: Umee napadaa

    Analiza prevare
    Ovu obmanu Didi je poela tako to je nabavila brojeve tri odeea u cinoj kompaniji. To je bilo lako, jer brojevi koje je traila nisu tajna, a pogotovo zaposlenima. Obmaiva naui da zvui kao domai, a Didi je bila spretna u toj igri. Pomou jednog od tih telefonskih brojeva dola je do kontnog broja, koji je potom upotrebila kako bi se domogla primerka firminog telefonskog imenika zaposlenih. Bilo je potrebno: da zvui prijateski, da koristi odreene poslovne izraze, i, kod poslede rtve, da ubaci malo verbalnog koketiraa. Neophodno joj je bilo jo neto to se ne stie lako vetina manipulacije, dovedena do visokog nivoa kroz dugu praksu, kao i samouverenost.

    terminologija
    LANA ADRESA (engl. mail drop) U obmaivau, to je izraz za privremeni potanski fah, uglavnom pod lanim imenom, koji slui da u ega stiu dokumenta ili paketi koje rtve na prevaru poau.

    mitnikova

    poruka

    Ba kao i delii slagalice, svaka informacija ponaosob moe biti nebitna. Meutim, kad se delovi slagalice spoje, dobija se jasna slika. U ovom sluaju, slika koju je manipulator video bila je itava interna struktura kompanije.

    UMOB, November 4, 2003 10:07 am

    JO NEKE BEZVREDNE INFORMACIJE


    Osim kontnog broja i internih telefonskih lokala, koje jo naizgled bezvredne informacije mogu biti izuzetno vane vaem neprijateu?

    Telefonski poziv za Pitera Ejblsa


    Zdravo, kae glas s druge strane ice. Ovde Tom iz kompanije Parkharst Trevl. Vae karte za San Francisko su spremne. Hoete li da vam ih dostavimo, ili ete sami doi po ih? Za San Francisko? pita Piter. Ja ne putujem u San Francisko. Da li je to Piter Ejbls? Da, ali ja ne planiram da putujem. E pa, kae sagovornik prijazno se nasmejavi, jeste li sigurni da ne elite da odete u San Francisko? Ako mislite da moete nagovoriti mog efa odvraa Piter, nastavajui ovaj prijateski razgovor. Ovo je izgleda zabuna, kae sagovornik. U naem sistemu rezerviemo putovaa pod brojem zaposlenih. Moda je neko dao pogrean broj. Koji je va broj? Piter mu posluno izdeklamuje broj. A zato da ne? Taj broj se upisuje na gotovo svaki kadrovski obrazac, i mnogi iz kompanije mu imaju pristup kadrovsko odeee, obraunsko odeee i, oigledno, ova turistika agencija. Niko ne smatra broj zaposlenog tajnom. Kakve ima veze? Nije teko proniknuti u odgovor. Moda su za efektno preruavae, odnosno napadaevo preuzimae tueg identiteta, potrebna samo dva-tri podatka. Ako se domogne imena slubenika, egovog telefonskog broja, broja zaposlenog i, bilo bi dobro, imena i telefonskog broja egovog nadreenog, ak i mae uspean obmaiva imae gotovo sve to mu je obino potrebno da zvui uverivo sledeoj rtvi koju pozove. Da je neko ko se predstavio da radi u drugom odeeu vae firme jue nazvao, dao vam neki verodostojan razlog i zatraio va broj zaposlenog, da li biste mu ga nerado dali? Uzgred budi reeno, koji je va matini broj? 27 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    UMOB, November 4, 2003 10:07 am

    mitnikova

    poruka

    Pouka prie je ta da ne treba obelodaivati line podatke niti interne kompanijske informacije ili ifre nikome, ukoliko glas sagovornika ne zvui poznato ili niste sigurni da li ima pravo da ih zatrai.

    SPREAVANJE PREVARE
    28 Deo 2: Umee napadaa

    Kompanija mora objasniti zaposlenima da moe doi do ozbinih posledica ako se s informacijama, koje nisu javne prirode, ne postupa na pravi nain. Dobro osmiena politika zatite informacija, zajedno sa odgovarajuim obrazovaem i uvebavaem, naglo e podii na vii nivo svest zaposlenih o tome kako se vaa odnositi prema poslovnim informacijama u okviru kompanije. Klasifikacija podataka pomoi e vam da primenite odgovarajua pravila kad je u pitau ihovo obelodaivae. Ako takva klasifikacija ne postoji, svi interni podaci moraju se smatrati poverivima, ukoliko nije drugaije odreeno. Preduzmite sledee korake da biste zatitili svoju kompaniju od odavaa naizgled bezazlenih informacija: Odeee za bezbednost informacija treba da sprovede obuku s ciem da do pojedinosti razjasne metode obmaivaa. Jedna od metoda, kao to smo ranije opisali, jeste da se doe do naizgled beznaajnog podatka, te da se on kasnije upotrebi kao eton za poker kako bi se uspostavilo kratkotrajno poveree. Svaki zaposleni mora znati da poznavae kompanijske procedure, terminologije i internih kodova, ni u kom sluaju nije dovono za identifikaciju sagovornika, niti mu daje pravo da zahteva podatke. Sagovornik moe biti i bivi zaposleni ili radnik po ugovoru koji ima potrebne interne informacije. Shodno tome, svaka firma mora da utvrdi odgovarajue metode identifikacije koje se primeuju kad zaposleni stupe u kontakt s udima koje lino ne poznaju ili s ima razgovaraju telefonom. Osoba ili osobe koje imaju ulogu i odgovornost da osmisle klasifikaciju podataka treba da razmotre tipove pojedinosti koje se mogu upotrebiti da bi se dolo do poverivih informacija, a koje se zaposlenima

    UMOB, November 4, 2003 10:07 am

    ine bezazlene. Iako nikada ne biste otkrili ifru kreditne kartice, da li biste ikome rekli koji server koristite za razvoj kompanijskog softvera? Da li bi tu informaciju mogao upotrebiti prevarant koji se izdaje za osobu kojoj je odobren pristup kompanijskoj mrei? Zahvaujui pukom poznavau interne terminologije, ponekad napada ostava utisak autoritativne osobe koja se razume u posao. Zahvaujui uvreenom povereu u siguran nastup, prevarant esto svojim nastupom nagovori rtvu da s im sarauje. Na primer, identifikacioni broj filijale je izraz koji osobe u odeeu za nove raune banke nonalantno koristi svakog dana. Ali takav identifikator je potpuno isto to i lozinka. Kad bi svaki zaposleni shvatio egov znaaj to da se koristi kako bi se podnosilac molbe identifikovao moda bi se prema emu odnosili s vie potovaa. Nijedna kompanija, ili bar veoma malo ih, ne daje direktne telefonske brojeve svojih generalnih direktora ili lanova upravnog odbora. Ipak, u najveem broju kompanija se i ne razmia o davau telefonskih brojeva veine odeea i radnih grupa u okviru organizacije a pogotovo nekome ko je zaposlen ili se tako predstava. Mogua protivmera bila bi da se uvede zabrana davaa internih telefonskih brojeva zaposlenih, radnika po ugovoru, savetnika i probnih radnika bilo kome van firme. to je jo vanije, vaa osmisliti proceduru koja se sastoji iz vie koraka, a kojom bi se tano mogao utvrditi identitet sagovornika koji trai telefonske brojeve.
    mitnikova

    29 Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

    poruka

    Kako kae stara izreka ak i pravi paranoici verovatno imaju neprijatee. Pretpostaviemo da i svaka firma ima svoje neprijatee napadae koji ciaju na mrenu infrastrukturu da bi ugrozili poslovne tajne. Ne dozvolite da i vi zavrite kao statistiki podatak o raunarskom kriminalu. Kraje je vreme da podignete neophodne bedeme tako to ete primeniti odgovarajue, dobro osmiene bezbednosne pravilnike i procedure.

    Brojevi rauna radnih grupa i odeea, kao i primerci telefonskih imenika kompanija (u tampanoj verziji, u vidu datoteke ili kao elektronski imenik na intranetu) esta su meta prevaranata. Neophodno

    UMOB, November 4, 2003 10:07 am

    30 Deo 2: Umee napadaa

    je da svaka kompanija ima pisani i distribuirani pravilnik o obelodaivau informacija te vrste. U zatitne mere treba uvrstiti i voee dnevnika u koji bi se zapisivalo odavae poverivih informacija udima van firme. Podaci poput broja zaposlenog ne treba da se samostalno koriste za identifikaciju. Svakog zaposlenog treba obuiti da utvrdi i identitet onoga ko informaciju trai i zato je trai. U okviru obuke o zatiti informacija, razmislite o tome da nauite zaposlene sledeem: kad god im nepoznata osoba postavi pitae ili ih zamoli za uslugu, prvo treba ubazno da je odbiju dok se zahtev ne odobri. A potom pre nego to popuste pred prirodnim nagonom da budu predusretivi neka prate kompanijski pravilnik i procedure u vezi sa odobravaem i objavivaem informacija koje nisu javne prirode. To moe biti malo protivno naem prirodnom nagonu da pomognemo drugima, ali je moda neophodna mala doza zdrave paranoje da biste izbegli da ba vi upadnete u obmaivaevu zamku. Kao to smo u priama iz ovog poglava videli, naizgled bezazlene informacije mogu biti ku do najuvanijih tajni vae kompanije.

    UMOB, November 4, 2003 10:07 am

    Pregled bezbednosnih metoda

    piskovi i dijagrami koji slede ukratko opisuju metode obmane navedene u poglavima od 3 do 15, i postupke provere iz poglava 16. Prilagodite ove podatke svojoj organizaciji i dajte ih svim radnicima da bi ih primenili kada se ukae problem bezbednosti informacija.

    PREPOZNAVANJE NAPADA
    Naredne tabele i spiskovi e vam pomoi da uoite napad sistematskog obmaivaa.

    Ciklus obmane
    POSTUPAK Istraivae OPIS Ispituju se i podaci iz javnih izvora kao to su godii izvetaji, marketinke broure, prijave patenata, iseci iz tampe, struni asopisi i Web lokacije. Tu spada i kopae po smeu. Razvijae dobrih Upotreba internih informacija, lano predstavae, odnosa i poverea pomiae osoba koje rtva poznaje, molba za pomo, ili pozivae na autoritet.

    UMOB, November 4, 2003 10:08 am

    Zloupotreba poverea Upotreba informacija

    Traee informacija ili usluge od rtve. U obrnutoj aoci, manipulisae rtvom da od napadaa zatrai pomo. Ako su dobijene informacije samo korak do konanog cia, napada pribegava prethodno pomenutim koracima ciklusa dok ne doe do cia.

    Uobiajene metode obmaivaa


    334 Pregled bezbednosnih metoda

    Izdavae za kolegu Izdavae za zaposlenog u firmi dobavaa usluga, partnerskoj firmi, ili kriminalistikoj slubi Izdavae za nekog ko je na viem poloaju Izdavae za novog zaposlenog kome treba pomo Izdavae za dobavaa usluga ili proizvoaa sistema koji zove da bi ponudio sistemsku zakrpu ili najnoviju verziju Nuee pomoi ako bi nastao problem, potom izazivae problema, ime se rtva navede da od napadaa zatrai pomo Slae rtvi besplatnog softvera ili zakrpe da ih instalira Slae virusa ili trojanskog koa u prilogu elektronske poruke Upotreba lanog okvira za dijalog u kom se od korisnika trai da se ponovo prijavi za rad ili da ponovo unese lozinku Snimae rtvinih pritisaka na tastere pomou raunarskog sistema ili programa Ostavae na radnom mestu disketa ili kompakt diskova sa zlonamernim softverom Koriee interne terminologije da bi se zadobilo neije poveree Nuee nagrade da bi se neko registrovao na Web lokaciji pomou korisnikog imena i lozinke Ostavae dokumenata ili datoteka u kompanijskoj prostoriji za potu radi isporuke u kancelarije Prilagoavae zaglava faksa tako da se ini da je poslat sa interne lokacije Umoavae slubenika prijemnog odeea da primi i prosledi faks Zahtev da se datoteka prosledi do naizgled interne lokacije

    UMOB, November 4, 2003 10:08 am

    Podeavae glasovne pote tako da pozivaoci pomisle da im je napada kolega Pretvarae napadaa da dolazi iz drugog ogranka preduzea, i traee da mu se u sistemu preduzea otvori elektronsko sandue.

    Znaci koji upozoravaju na mogui napad


    Neko odbija da vam kae broj na koji ga moete pozvati Neobian zahtev Naglaavae visokog poloaja Naglaavae hitnosti sluaja Preta negativnim posledicama u sluaju odbijaa sarade Nelagodni razgovor pri ispitivau Pomiae poznatih osoba Deee komplimenata ili laskae Flertovae

    335 Pregled bezbednosnih metoda

    Uobiajene mete napada


    TIP RTVE Neko ko nije svestan znaaja informacija Lica s posebnim ovlaeima PRIMERI Slubenici prijemnih odeea, slubenici na telefonskoj centrali, sekretarice i pomonici, uvari.

    Proizvoai ili davaoci usluga Posebna odeea

    Informatika ili tehnika podrka korisnicima, administratori raunarskog sistema, raunarski operateri, administratori telefonskog sistema. Proizvoai raunarskog hardvera i softvera, proizvoai sistema za glasovnu potu. Raunovodstvo, kadrovsko odeee.

    Faktori koji olakavaju napad na kompanije


    Velik broj zaposlenih Vie ogranaka Podaci o lokaciji zaposlenih u porukama glasovne pote

    UMOB, November 4, 2003 10:08 am

    Objavivae broja lokala Nepostojae bezbednosne obuke Nepostojae sistema klasifikacije podataka Nepostojae plana za prijavivae incidenata i reagovae na ih

    PROVERA I KLASIFIKACIJA PODATAKA


    Ove tabele i blok-dijagrami e vam pomoi da reagujete na traee informacija ili usluga koji mogu biti meta obmaivaa.
    336 Pregled bezbednosnih metoda

    Postupak provere identiteta


    OPIS Proverite da li je poziv interni, i da li ime i broj lokala odgovaraju identitetu sagovornika. Potraite ime podnosioca zahteva u kompanijskom imeniku i pozovite ga na navedeni broj lokala. Garantovae Zatraite od poverivog radnika da garantuje za identitet podnosioca zahteva. Deena interna Zatraite da vam kae tajnu koju deli itavo tajna preduzee, kao to je lozinka ili dnevni kd. Stupite u vezu s neposrednim pretpostavenim tog Nadzornik ili pretpostaveni radnika i zatraite da on potvrdi egov identitet i status u firmi. Bezbedna elektron- Zatraite da vam poau digitalno potpisanu poruku. ska pota Ako neki zaposleni lino poznaje onoga za koga se Lino prepoznasagovonik izdaje, pozovite ga da proveri da li je to vae glasa egov glas. Izmenive lozinke Koristite vremenski eton kao to je Secure ID, ili neko drugo pouzdano sredstvo za identifikaciju. Lino Zatraite od podnosioca zahteva da lino doe sa propusnicom za zaposlene ili nekim drugim dokumentom za identifikaciju. POSTUPAK Identifikacija poziva Uzvraae poziva

    UMOB, November 4, 2003 10:08 am

    Postupak provere statusa zaposlenog


    POSTUPAK Provera u kompanijskom imeniku Potvrda od pretpostavenog podnosioca zahteva Potvrda od odeea ili radnog tima podnosioca zahteva OPIS Proverite da li se ime zaposlenog nalazi u imeniku na mrei. Pozovite egovog pretpostavenog na broj naveden u kompanijskom imeniku. Pozovite odeee ili radni tim podnosioca zahteva i proverite da li je jo uvek zaposlen u firmi.

    337 Pregled bezbednosnih metoda

    Postupak utvrivaa ovlaea za posedovae informacija


    POSTUPAK Pogledajte spisak odgovornosti radnih mesta/timova OPIS Pogledajte objavene spiskove osoba koje su ovlaene da poseduju odreene poverive informacije. Zatraite odobree od svog Pozovite svog pretpostavenog, ili pretpostavenog podnosioca zahteva, i zatrapretpostavenog ite odobree da mu ispunite zahtev. Zatraite odobree od osobe Pitajte osobu zaduenu za informacije zaduene za informacije ili da li je podnosilac zahteva ovlaen da egovog zamenika poseduje date podatke. Proverite ovlaee pomou Proverite ovlaea u posebnoj bazi automatskog alata podataka.

    Kriterijumi za proveru osoba koje nisu zaposlene u firmi


    KRITERIJUM POSTUPAK Odnos Proverite da li je firma koja podnosi zahtev davalac usluga, strateki partner, ili neka druga firma koja je u odgovarajuem odnosu s vaom. Identitet Proverite identitet i status zaposlenog u partnerskoj firmi.

    UMOB, November 4, 2003 10:08 am

    uvae tajne Proverite da li je podnosilac zahteva potpisao ugovor o uvau poverivih informacija vae firme. Pristup Uputite zahtev pretpostavenom kada su podaci klasifikovani kao osetiviji od internih.

    Klasifikacija podataka
    KLASIFIKACIJA OPIS Javni Mogu se slobodno saoptavati u javnosti. Interni Za upotrebu u okviru firme. POSTUPAK Nema potrebe proveravati.

    338 Pregled bezbednosnih metoda

    Privatni

    Poverivi

    Proverite da li je podnosilac zahteva i dae zaposlen u vaoj firmi, a ako nije, da li je potpisao ugovor o uvau informacija, i da li ga je rukovodstvo ovlastilo. Proverite da li je podnosilac zahteva Podaci line prirode name- i dae zaposlen u vaoj firmi, a ako eni za upotre- nije, da li je ovlaen da poseduje te informacije. Proverite sa kadrovskim bu iskuivo odeeem da li smete da saoptite u okviru line podatke ovlaenim zaposleniorganizacije. ma ili drugim podnosiocima zahteva. Znaju ih samo Kod osobe zaduene za informacije ona lica u okviru proverite identitet podnosioca zahteva i egova ovlaea. Saoptite organizacije ih samo uz prethodno pismeno odokojima je to bree pretpostavenog, osobe zaduneophodno ene za informacije, ili ihovog zaza rad. menika. Proverite da li je podnosilac zahteva potpisao ugovor o uvau podataka. Samo uprava sme da objavuje poverive informacije licima koje firma ne zapoava.

    UMOB, November 4, 2003 10:08 am

    Kako reagovati kad vam neko trai informacije


    Zlatna pitanja Kako da znam da li je ova osoba ona za koju se izdaje? Kako da znam da je ova osoba ovlaena da zahteva tako neto?
    Osoba zahteva sledee informacije:

    PRIMERI

    Bilo kakve lozinke

    Da

    NIKADA nemojte saoptavati svoju lozinku ni pod kojim uslovima.

    339 Pregled bezbednosnih metoda

    Ne

    Struktura odgovornosti, imena i zvaa zaposlenih

    Pojedinosti strukture organizacije

    Da

    Sledite postupke rada s internim informacijama.

    Ne

    Interni telefonski brojevi dodeeni zaposlenima, interni faks brojevi, interni brojevi zgrada i spiskovi odeea

    Kompanijski telefonski imenik


    Ne

    Da

    Sledite postupke rada s internim informacijama.

    Lini telefonski brojevi (kuni ili mobilni), broj socijalnog osiguraa, kuna adresa, istorijat radnih mesta i plata

    Line podatke

    Da

    Sledite postupke rada s internim informacijama.

    Ne

    Tip operativnog sistema, postupci za dainski pristup, telefonski brojevi za dainski pristup i nazivi pojedinih raunarskih sistema

    Postupke i informacije o raunarskim sistemima


    Ne

    Da

    Sledite postupke rada s internim informacijama.

    Postupci proizvode, strateki planovi, izvorni kd programa, spiskovi kupaca i poslovne tajne

    Poverive ili line informacije

    Da

    Proverite klasu podataka; sledite odgovarajue postupke za tu klasu.

    Sve informacije se smatraju osetivima ukoliko nisu posebno nameene za javnu upotrebu.

    UMOB, November 4, 2003 10:08 am

    Kako reagovati kada neko zatrai da neto uradite


    Zlatna pravila Nikome nemojte verovati dok ne proverite egov identitet. Poeno je proveravati ispravnost zahteva. Osoba od vas trai sledeu uslugu: Da otvorite datoteku priloenu uz elektronsku poruku
    Ne

    NAPOMENE

    Da

    340 Pregled bezbednosnih metoda

    Ne otvarajte priloenu datoteku ukoliko je unapred ne oekujete. Proverite sve takve datoteke pomou antivirusnog softvera. NIKADA ne meajte lozinku u neto poznato drugom licu, ak ni za trenutak!

    Da izmenite lozinku

    Da

    Ne

    Izvorni kd programa, poslovne tajne, postupak proizvode, formule, specifikacije proizvoda, marketinki podaci ili poslovni planovi

    Da elektronski prosledite interne informacije


    Ne

    Da

    Proverite klasu podataka; sledite odgovarajue postupke za tu klasu.

    Nikada nemojte unositi nepoznate naredbe i nikada ne pokreite programe na zahtev druge osobe ukoliko to posebno ne odobri informatiko odeee

    Da unesete naredbe u raunar

    Da

    Podnosilac zahteva mora biti iskuivo iz informatikog odeea; primenite postupke provere zaposlenog.

    Ne

    Instalirajte samo softver iz proverenih izvora koji se moe proveriti pomou digitalnog potpisa

    Da preuzmete, instalirate, uklonite, ili iskuite softver


    Ne

    Da

    Sledite postupke rada s internim informacijama.

    Ne meajte nikakve parametre u BIOS-u, operativnom sistemu, niti bilo kojoj aplikaciji (ukuujui i linu zatitnu barijeru ili antivirusne programe) ukoliko to posebno ne odobri informatiko odeee

    Da izmenite parametre raunarskog sistema ili mree

    Da

    Podnosilac zahteva mora biti iskuivo iz informatikog odeea; primenite postupke provere zaposlenog.

    Sve to preduzmete na tu zahtev moe nakoditi vaoj firmi. Proveravajte. Proveravajte.

    UMOB, November 4, 2003 10:08 am

    You might also like