Professional Documents
Culture Documents
eki hakeri unitavaju udima datoteke ili celokupan sadraj diskova oni su provalnici ili vandali. Neki hakeri poetnici se ne trude da naue tehnologiju, ve koriste hakerske alate da bi provalili u raunarske sisteme oni su skriptai. Iskusniji hakeri razvijaju hakerske programe i objavuju ih na Webu i u diskusionim grupama. A tu su i osobe koje tehnologija ne zanima, ve raunar koriste samo kao pomono sredstvo za krau novca, dobara i usluga. Uprkos mitu koji su o Kevinu Mitniku ispleli mediji, ja nisam zlonameran haker. Ali, sad vam sve priam unapred.
POECI
Svoj put sam verovatno odabrao rano. Bio sam bezbrino dete, ali sam se dosaivao. Nakon to nas je otac ostavio kada sam imao tri godine, moja majka je radila kako konobarica da bi nas izdravala. Poto je morala naporno da radi po ceo dan, ja sam uglavnom dau bio sam. uvao sam sam sebe. Budui da sam odrastao u San Fernando Veliju, mogao sam da istraujem itav Los Aneles, a do svoje dvanaeste godine pronaao sam nain da putujem besplatno po itavoj teritoriji L.A. Jednog dana, dok sam se vozio autobusom, shvatio sam da ispravnost karte za gradski prevoz zavisi od neobinog rasporeda izbuenih rupica kojima su vozai oznaavali dan, vreme i trasu. Jedan ubazan voza odgovorio je na moje paivo formulisano pitae. Objasnio mi je gde da kupim tu vrstu aparata za buee rupica. Karte za presedae omoguavaju putnicima da meaju autobuse do odredita, ali ja sam smislio kako da pomou ih besplatno putujem gde
x Predgovor
god poelim. Nabaviti neoverene karte za presedae bio je maji kaa. Kante za otpatke na autobuskim stajalitima bile su uvek pune delimino ispuenih blokova karata za presedae, koje bi vozai bacili na kraju smene. S blokom praznih karata i ureajem za buee rupica, mogao sam da oznaavam sopstvenu trasu i putujem kud god su ili autobusi u Los Anelesu. Ubrzo sam gotovo napamet znao red voe itavog gradskog prevoza. (To je bio jedan od prvih primera mog zauujueg pamea odreenih vrsta informacija: i danas mogu da se setim telefonskih brojeva, lozinki, i drugih naizgled beznaajnih pojedinosti iz detistva.) U detistvu sam bio opien opsenarstvom. Kad bih saznao kako se nov trik izvodi, vebao bih, vebao, i jo malo vebao dok ga ne bih nauio. U izvesnoj meri, upravo sam kroz maioniarstvo otkrio radost saznavaa neeg tajanstvenog.
U sredoj koli mi je jedna od omienih ala bila da neovlaeno pristupim telefonskoj centrali i izmenim klasu usluge na liniji nekog drugog prevaranta. Kad bi pokuao da pozove od kue, poruka bi ga obavestila da treba da ubaci novi jer bi do telefonske centrale stizao signal koji znai da zove iz telefonske govornice. Opiavalo me je sve o telefonima ne samo elektronika, centrale i raunari, ve i organizacija telefonske kompanije, te ihove procedure i terminologija. Nakon izvesnog vremena, verovatno sam boe poznavao telefonski sistem od bilo kog zaposlenog. Svoju vetinu obmane razvio sam do te mere da sam, sa sedamnaest godina, mogao da lino ili telefonom nagovorim veinu zaposlenih u telefonskoj kompaniji da uine gotovo bilo ta. Moja hakerska karijera, o kojoj se mnogo govorilo u javnosti, poela je dok sam bio u sredoj koli. Iako ovde ne mogu opisivati pojedinosti, rei u da je jedna od linija vodia u mojim ranim hakerskim danima bila da budem prihvaen u krug ostalih hakera. U to vreme, nama je izraz haker oznaavao osobu koja provodi mnogo vremena petajui s hardverom i softverom, da bi razvio efikasnije programe ili da bi zaobiao nepotrebne korake i obavio posao bre. Taj izraz je sada postao pogrdan, i oznaava zlonamernog kriminalca. U ovoj kizi ja ga koristim kao i uvek u egovom starijem, dobroudnijem znaeu. Nakon srede kole, studirao sam informatiku u Centru za raunarsku obuku u Los Anelesu. Za nekoliko meseci, upravnik raunarske mree u koli otkrio je da sam pronaao propust u operativnom sistemu i dodelio sebi ovlaea administratora na ihovom IBM-ovom miniraunaru. Ni najboi struaci za raunare koji su tamo predavali nisu mogli da shvate kako sam to uinio. Bio je to moda jedan od najranijih primera unajmivaa hakera ponudu nisam mogao da odbijem. Traili su da za diplomski rad uradim projekat za unapreivae bezbednosti kolskih raunara, ili da budem izbaen zbog hakerskog upada u sistem. Naravno, odabrao sam prvo, pa sam na kraju diplomirao s najveim ocenama.
xi Predgovor
xii Predgovor
dobijao za vreme koje sam proveo kao privatni istraite. Brusio sam svoj talenat u umetnosti obmane (u kojoj se udi navode da ine ono to obino ne bi uradili za neznanca), i bio sam za to plaen. Meni nije bilo teko da postanem vrstan obmaiva. Oeva familija se generacijama bavila trgovinom, pa sam umetnost uticaa i ubeivaa moda i nasledio. Kad spojite tu crtu s teom za varaem udi, dobijate tipian profil osobe koja moe da se bavi obmaivaem. Moglo bi se rei da postoje dve specijalnosti u okviru tog zanimaa. Onaj ko vara ude i izmamuje od ih novac pripada jednoj potkategoriji varalicama. Onaj ko obmauje i ubeuje zaposlene u kompanijama, i utie na ih, obino s ciem da se domogne ihovih informacija, pripada drugoj potkategoriji obmaivaima. Jo od vremena kad sam izvodio svoj trik s kartama za autobus, kad sam bio isuvie mali da bih znao da to to radim nije u redu, poeo sam u sebi da prepoznajem talenat za otkrivae tajni koje nije trebalo da saznam. Taj sam talenat nadogradio koristei se obmanom, poznajui terminologiju, i razvijajui do majstorstva vetinu manipulacije. Jedan od naina na koji sam razvijao vetinu svog zanata, ako ga tako mogu nazvati, bio je da izaberem neki podatak do kojeg mi nije zaista stalo, i da vidim mogu li nekog s druge strane ice nagovoriti da mi ga oda, tek da bih se kalio. Kao to sam uvebavao iluzionistike trikove vebao sam lagae preko telefona. Uskoro sam otkrio da mogu da doem do gotovo bilo koje informacije koju poelim. Kao to sam opisao u svedoeu pred senatorima Libermanom i Tomsonom godinama kasnije: Neovlaeno sam pristupao raunarskim sistemima nekih od najveih firmi na svetu, i uspeno sam upadao u neke od najotpornijih raunarskih sistema koji su ikad napraveni. Koristio sam tehnika i ostala sredstva da bih se domogao izvornog koda raznih operativnih sistema i telekomunikacionih ureaja, da bih prouavao ihove slabe take i nain na koji rade. Sve to sam inio da bih zadovoio sopstvenu znatieu; da bih video ta mogu; i da bih otkrio tajne informacije o operativnim sistemima, mobilnim telefonima, i svemu ostalom to bi zagolicalo moju ubopitivost.
ZAKLJUAK
Nakon hapea, priznao sam da je to to sam inio nezakonito, i da sam naruavao tuu privatnost. Ta krivina dela vrio sam iz radoznalosti. Hteo sam da znam to vie o tome kako rade telefonske mree, kao i sve pojedinosti o obezbeeu kompanija. Preao sam put od momka koji voli da prikazuje iluzionistike trikove, do najozloglaenijeg svetskog hakera, kojeg se plae i kompanije i vlade. Kad razmislim o svom ivotu u posledih 30 godina, priznajem da sam doneo neke veoma loe odluke, voen ubopitivou, eom da nauim neto vie o tehnologiji, kao i potrebom za odgovarajuim intelektualnim izazovima. Sada sam druga osoba. Koristim svoj talenat i ogromno znae o bezbednosti informacija i metodama obmane da bih pomogao dravnim institucijama, kompanijama i pojedincima da spree i otkriju opasnosti po bezbednost informacija, i da na to reaguju. Ova kiga je jo jedan nain da svojim iskustvom pomognem drugima da se odbrane od zlobnih kradivaca informacija. Smatram da e vam prie biti zabavne, poune i informativne.
xiii Predgovor
deo
1
Iza kulisa
poglavlje
reduzee moe da kupi najboe dostupne bezbednosne tehnologije, obui ude tako dobro da zakuavaju sve tajne informacije pre nego to uvee pou kui, i zaposli najboe uvare zgrade. Takva kompanija je ipak potpuno raiva. Pojedinci se mogu pridravati svakog visokobezbednosnog pravila koje preporuuju struaci, revnosno instalirati svaki preporueni proizvod iz oblasti bezbednosti, i mogu veoma paivo konfigurisati sistem i primeivati bezbednosne zakrpe. I ti pojedinci su ipak sasvim podloni napadima.
LJUDSKI INILAC
Kad sam svedoio pred Kongresom SAD, objasnio sam da sam esto dolazio do lozinki i drugih poverivih informacija pretvarajui se da sam neko drugi i jednostavno traei. Prirodno je da ovek tei oseau apsolutne sigurnosti, usled ega se mnogi uukuju u lano oseae bezbednosti. Uzmite, na primer, odgovornog i brinog kuevlasnika. Da bi zatitio svoju enu, decu i dom, na ulazna vrata ugrauje bravu s prekidaem, za koju se misli da se ne moe obiti. On se sada osea mnogo prijatnije, budui da je egova porodica
mnogo boe zatiena od ueza. Ali ta ako provalnik razbije prozor ili otkrije ifru sistema za otvarae garanih vrata? ta kaete na to da instalirate robustniji bezbednosni sistem? To je boe, ali i dae nema garancija. Sa skupim bravama ili bez ih, kuevlasnik je i dae podloan napadima. Zato? Zato to je udski inilac zapravo najslabija taka bezbednosnog sistema. Bezbednost je suvie esto samo iluzija, iluzija kojoj povremeno idu u prilog lakovernost, naivnost, ili neznae. Najuveniji svetski naunik dvadesetog veka, Albert Ajntajn, rekao je: Samo su dve stvari bezgranine, univerzum i udska glupost, a za ono prvo nisam ni siguran. Dakle, obmaivae moe da uspe kada se naie na udsku glupost ili, ee, na nepoznavae dobrih bezbednosnih pravila. Budui da imaju slian stav kako i na kuevlasnik koji pazi na bezbednost, mnogi struaci iz oblasti informacionih tehnologija (IT) ive u zabludi da su u velikoj meri obezbedili preduzee primenom standardnih bezbednosnih proizvoda zatitnih barijera, sistema za otkrivae upada, ili monijih ureaja za identifikaciju poput onih sa iframa koje se meaju u vremenskim intervalima, ili biometrikih identifikacionih kartica. Svi koji smatraju da sami bezbednosni proizvodi nude pravu sigurnost, uukuju se u iluziju sigurnosti. Oni ive u svetu uobrazie: pre ili kasnije, neizbeno e im se dogoditi bezbednosni incident. Kao to priznati savetnik za bezbednost Brus najer kae: Bezbednost se ne dobija od proizvoda; to je proces. tavie, to nije tehnoloki problem ve problem udi i uprave. Kako se razvijaju sve boe i boe bezbednosne tehnologije, koje oteavaju pronalaee tehnikih propusta, napadai e se sve vie okretati udskom iniocu. Poraavae udskog sigurnosnog bedema je esto lako, ne zahteva nikakva ulagaa osim jednog telefonskog poziva, i podrazumeva minimalan rizik.
Evo primera obmane. Ne seaju se mnogi danas mladog Stenlija Marka Rifkina i negove male avanture sa sada nepostojeom bankom Security Pacific National Bank u Los Anelesu. Postoje razne prie o egovim ludorijama, jer Rifkin (poput mene) nikada nije ispriao sopstvenu verziju. Pria koja sledi zasniva se na objavenim izvetajima.
Otkrivae ifre
Jednog dana 1978. Rifkin se odetao do prostorije za transakcije banke Security Pacific. Pristup toj prostoriji bio je dozvoen samo odreenim zaposlenima. Slubenici su tu slali i primali transakcije ija je ukupna vrednost dostizala i nekoliko milijardi dolara svakog dana. Kompanija u kojoj je radio trebalo je da projektuje rezervni sistem za podatke, u sluaju da se glavni raunar pokvari. Zahvaujui toj ulozi imao je pristup proceduri rada pri transakcijama, ukuujui i to kako inovnici banke au nalog da se novac prebaci na neki raun. Saznao je da se ovlaenim inovnicima svakog jutra daje pomno uvana dnevna ifra, koju koriste kad zovu sobu za transakcije. Zaposleni u prostoriji za transakcije nisu se trudili da zapamte ifru: pisali su je na papirie i kaili na vidna mesta. Tog novembarskog dana Rifkin je imao poseban razlog za posetu. eleo je da osmotri taj papiri. Stigavi u sobu za transakcije, zapisao je neke podatke, navodno da bi se uverio da e se rezervni sistem vaano uklopiti sa postojeim sistemima. U meuvremenu, potajno je proitao bezbednosnu ifru s pareta papira i zapamtio je. Izaao je nakon nekoliko minuta. Kako je kasnije rekao, oseao se kao da je upravo osvojio nagradu na lutriji.
Devojka je pitala: Koja je ifra? Rifkin je rekao da mu je u tom trenutku adrenalin pojurio venama a srce poskoilo. Ravnoduno je odgovorio: 4789. Potom joj je dao nalog za prenos tano deset miliona i dve stotine hiada dolara od firme Irvin Trast u Njujorku, na raun u banci Vochud Handels u Cirihu u vajcarskoj, gde je prethodno ve otvorio raun. Devojka potom ree: U redu, zabeleila sam. A sad mi treba meukancelarijski identifikacioni broj. Rifkina je oblio znoj; bilo je to neoekivano pitae, neto to mu je promaklo za vreme priprema. Odglumio je da je sve u najboem redu, i odmah je hladnokrvno odgovorio: Saekajte da proverim; odmah u vas pozvati. Ponovo je promenio identitet i pozvao drugo odeee u banci, ovog puta predstavajui se kao zaposleni u prostoriji za transakcije. Dobio je meukancelarijski identifikacioni broj i odmah pozvao devojku. Zapisala je broj i zahvalila mu se. (to je, u tim okolnostima, bilo veoma ironino.)
Privoee kraju
Nekoliko dana kasnije Rifkin je odleteo u vajcarsku i podigao gotovinu. Od jedne ruske agencije kupio je gomilu dijamanata za preko 8 miliona dolara. Vratio se avionom, i proao kroz carinu Sjedienih Drava s draguima skrivenim u pojasu za novac. Uspela mu je najvea paka banke u istoriji a poinio ju je bez pitoa, pa ak i bez raunara. Zaudo, egova ludorija je na kraju dospela na stranice Ginisove kige svetskih rekorda u kategoriji najvea raunarska prevara. Stenli Rifkin je primenio umetnost obmane vetine i tehnike koje se danas, na engleskom, nazivaju social engineering. Detano planirae i nadarenost za ophoee s udima zapravo je sve to mu je bilo potrebno. Upravo time se bavi ova kiga metodama obmane (za koje je pisac ovih redova pravi struak) i nainima odbrane od ih.
PRIRODA PRETNJE
Pria o Rifkinu savreno objaava kako oseaj sigurnosti moe biti variv. Ovakvi sluajevi moda ne kraa 10 miliona dolara, ali ipak nepoeni deavaju se svakodnevno. Moda upravo sada gubite novac, ili
vam neko krade planove o novom proizvodu, a da toga niste ni svesni. Ako se to vaem preduzeu jo nije dogodilo, ne postava se pitae da li e, ve kada e to biti.
Naini obmane
Kae se da je bezbedan raunar samo onaj koji je iskuen. Pametno reeno, ali ipak netano: obmaiva nagovori nekoga da ue u kancelariju i ukui raunar. Neprijate koji eli odreenu informaciju do e moe doi, obino na jedan od nekoliko naina. To je samo pitae linosti, vremena, strpea i upornosti. A onda umetnost obmane stupa na scenu. Da bi zaobiao mere bezbednosti, uez, odnosno obmaiva, mora nai naina da prevari lakovernog korisnika kako bi mu ovaj otkrio informacije, ili da na prevaru navede rtvu, koja nita ne suma, da mu odobri pristup. Kada neko prevari zaposlene, na ih izvri pritisak, ili ih obmane da otkriju vane informacije ili stvore rupu u bezbednosnom sistemu, nikakva tehnologija ne moe zatititi poslovae. Struaci ponekad uspeju da deifruju poruku tako to pronau propust zahvaujui kojem mogu da zaobiu tehnologiju za ifrirae. Upravo tako i obmaivai pokuavaju da prevare zaposlene da bi zaobili bezbednosnu tehnologiju.
ZLOUPOTREBA POVERENJA
U veini sluajeva, uspeni obmaivai umeju dobro da se ophode s udima. armantni su, ubazni i dopadivi a upravo su te osobine potrebne da bi se brzo uspostavili prisnost i poveree. Iskusan napada moe pristupiti gotovo svakoj informaciji pomou pomenute strategije i taktike. Savesni struaci za tehnologiju mukotrpno su razvijali bezbednosna reea kako bi sveli rizike na najmau moguu meru, a ipak su ispustili najbitniju taku podlonu napadima udski faktor. Uprkos intelektu, mi udi vi, ja, i svi ostali i dae predstavamo najveu bezbednosnu pretu jedni drugima.
No, budui da se Internet koristi za elektronsku trgovinu, opasnosti od slabe zatite u ovom naem umreenom svetu znatno su se poveale. Ipak, upotrebom tehnologije nee se reiti problem udskog faktora u obezbeeu. Pogledajte samo danae aerodrome. Obezbeee je postalo najbitnije, pa ipak nas plae izvetaji u medijima o putnicima koji su uspeli da zaobiu mere bezbednosti i prenesu potencijalno oruje pored punktova za proveru. Kako je to mogue u vreme kad su nam aerodromi u takvom stau pripravnosti? Da li detektori metala ne rade dobro? Ne. Problem nije u mainama, ve u udskom faktoru: u udima koji ima upravaju. Aerodromski slubenici mogu dovesti Nacionalnu gardu, instalirati detektore metala i sisteme za prepoznavae lica, ali bi korisnije bilo obuiti obine slubenike obezbeea da pravilno proveravaju putnike. Isti problem se java u okviru dravnih institucija, kompanija i obrazovnih institucija irom sveta. Uprkos naporima struaka za bezbednost, informacije su ipak svugde raive, a obmaivai e ih i dae smatrati poenim metama, sve dok se najslabija karika u lancu obezbeea udski inilac ne ojaa. Sada, vie nego ikada ranije, moramo nauiti da raskrstimo s pustim eama i postanemo svesniji metoda zlonamernika, koji pokuavaju da narue poverivost, integritet i dostupnost raunarskih sistema i mrea. Bili smo primorani da prihvatimo opreznu vou; vreme je da prihvatimo i nauimo oprezan rad na raunaru. Preta da e neko naruiti vau privatnost ili informacioni sistem vae kompanije moda se ne ini stvarnom dok se napad zaista ne dogodi. Da bismo izbegli tako skupo otreee, moramo svi postati svesniji, obrazovaniji, oprezniji; moramo agresivno tititi vredne poslovne informacije, line podatke, i najbitniju infrastrukturu. Te mere opreza moramo poeti da sprovodimo danas.
TERORISTI I OBMANA
Naravno, prevara nije jedino sredstvo obmaivaa. Fiziki terorizam je najvea vest u medijima, te smo shvatili, kao nikada ranije, da je svet opasan. Civilizovanost je, ipak, samo prividan sjaj. Nedavno pojaani napori amerike vlade podigli su i nivo nae svesti o bezbednosti. Moramo biti u stau pripravnosti i razumeti kako teroristi podlo meaju identitet, preuzimaju ulogu studenata i suseda, i stapaju se u
masu. Prikrivaju svoja prava uverea dok kuju planove protiv nas; tako koriste trikove obmane sline onima o kojima ete itati na ovim stranicama. Koliko ja znam, teroristi jo nisu primenili lukavstva obmane kako bi se uvukli u firme, postrojea za navodavae, elektrane ili druge najbitnije delove nae nacionalne infrastrukture, ali mogunost postoji. Sasvim je lako. Nadam se da e ova kiga poeti da utie na podizae svesti o bezbednosti na vii nivo, te da e rukovodstva kompanija insistirati da se u bezbednosnom sistemu primene opisane procedure.
10 Deo 1: Iza kulisa
O OVOJ KNJIZI
Bezbednost preduzea je pitae ravnotee. Usled suvie slabe zatite, kompanija postaje raiva, ali i preterano naglaavae bezbednosti smeta pri poslovau koi rast i prosperitet preduzea. Izazov je nai ravnoteu izmeu bezbednosti i produktivnosti. Druge kige o bezbednosti kompanija usredsreuju se na hardversku i softversku tehnologiju, a ne bave se u odgovarajuoj meri najozbinijom pretom od svih: obmaivaem udi. Ci ove kige je da objasni kako ste vi, vai saradnici i ostali zaposleni u vaoj kompaniji predmet manipulacije i da informie o bedemima koje moete podii da biste prestali da budete rtva. Kiga se uglavnom usredsreuje na ne-tehnike metode koje uezi koriste da bi ukrali informacije, ugrozili celovitost podataka za koje se veruje da su bezbedni, ili unitili neki proizvod kompanije. Moj zadatak oteava jednostavna istina: svakog itaoca su ve prevarili najvei struaci svih vremena iz oblasti obmane egovi roditei. Nali su naina da vas privole, za sopstveno dobro, da inite ono to su oni smatrali najboim. Roditei, odlini manipulatori, postupaju kao profesionalni obmaivai koji izmiaju vrlo uverive prie, razloge i opravdaa za dostizae sopstvenih cieva. Da, nas su oblikovali roditei, koji nas dobronamerno (a ponekad i ne tako dobronamerno) obmauju. Budui da smo vaspitavani uz obmane, postali smo podloni manipulaciji. iveli bismo drugaije da smo stalno morali da budemo na oprezu, nepoverivi prema drugima i zabrinuti da bismo mogli postati naivna meta nekoga ko pokuava da nas iskoristi. U savrenom svetu podrazumevalo bi se da verujemo drugima, uvereni da su udi koje sreemo iskreni i da im se moe verovati. Ali ne ivimo u savrenom svetu, pa moramo da uvebavamo odreene mere opreza kako bismo spreili pokuaje neprijatea da nas prevare.
Glavne delove ove kige, drugi i trei, saiavaju prie o obmani na delu. U tim delovima bie rei o sledeem: O onome to su telefonski prevaranti otkrili pre vie godina: kako od telefonske kompanije dobiti broj koji ne postoji u imeniku. O nekoliko razliitih metoda koje napadai primeuju da bi naveli ak i oprezne, sumiave slubenike da im obelodane svoja korisnika imena i lozinke. O tome kako je jedan upravnik raunarskog centra saraivao s napadaem i omoguio mu da ukrade informacije o najpoverivijem proizvodu egovog preduzea. O postupcima kojima je slubenica navedena da uita softver koji pijunira svaki en pritisak na taster i elektronskom potom ae izvetaje napadau. O tome kako privatni istraitei dolaze do informacija o preduzeima i pojedincima, od ega ete se, u to budite uvereni, najeiti. Dok budete itali neke od pria u drugom i treem delu, moda ete pomisliti da nisu mogue, da niko ne moe tako lagati, koristiti se pravim trikovima i spletkama. Sutina je da se opisani dogaaji mogu odigrati i zaista se deavaju; mnogi od ih se svakodnevno zbivaju negde u svetu, a moda ak i u vaem preduzeu dok itate ovu kigu. Ova kiga e vam zaista otvoriti oi kad je u pitau zatita poslovaa. Nauie vas da se branite od obmane na linom planu, da biste zatitili integritet informacija u privatnom ivotu. U etvrtom delu kige prei emo na praktine teme. Moj ci je da vam pomognem da napravite neophodne poslovne pravilnike i podignete nivo svesti slubenika, kako biste na najmau moguu meru sveli mogunost da va zaposleni bude obmanut. Razumevae strategija, metoda i taktike obmane pripremie vas da upotrebite razumna sredstva za zatitu informacija, ne dovodei u pitae produktivnost kompanije. Ukratko, napisao sam ovu kigu da bih podigao nivo svesti o ozbinoj preti koju obmaivae predstava, kako biste mogli da obezbedite firmu i zaposlene i budete sigurni da vas niko ne moe obmanuti. Ili bi moda trebalo da kaem da je mnogo mae verovatno da e vas ikada ponovo obmanuti.
deo
2
Umee napadaa
poglavlje
ta veina udi smatra pravom pretom obmane? ta bi vaalo uiniti da biste bili na oprezu? Ako je ci napadaa da se domogne neeg veoma vrednog recimo, izuzetno vane komponente intelektualnog vlasnitva kompanije onda je moda, figurativno govorei, potreban samo vri sef i jae naoruano obezbeee. Je li tako? Naruavae bezbednosnog sistema preduzea, zapravo, obino zapoie tako to se negativac domogne neke informacije ili dokumenta koji se ine toliko bezazlenim, svakodnevnim i nevanim, da mnogi zaposleni u organizaciji ne vide zato bi bili zatieni i poverivi.
dogaaje iz ugla rtve, pa ete moi da se poistovetite s om i ocenite kako biste vi (ili moda neko od saradnika ili zaposlenih) reagovali u datoj situaciji. Veinu tih dogaaja posmatraete i iz ugla napadaa. U prvoj prii re je o raivosti finansijskog poslovaa.
CREDITCHEX
Britanci su dugo imali veoma krut bankarski sistem. Kao obian, poten graanin niste mogli da uete u banku i otvorite raun. Ne, banka bi razmotrila va zahtev tek kad bi vam ihov pouzdan klijent dao preporuku. Sasvim je razliito, naravno, prividno otvoreno savremeno bankarstvo. Lakoa s kojom se u danae moderno vreme posluje, najboe se oituje u prijateskoj, demokratskoj Americi, gde gotovo svako moe ui u banku i lako otvoriti tekui raun, je li tako? Pa, ne ba. Banke nerado otvaraju raune onima koji su moda ranije ispisivali ekove bez pokria, to je i razumivo u banci je ek bez pokria isto toliko dobrodoao kao i prijava zbog pake banke ili optuba za proneveru. Stoga je u svakoj banci standardna procedura da se brzo proveri novi klijent. Jedna od glavnih kompanija koju banke unajmuju radi ovakvih informacija jeste CreditChex. Oni svojim klijentima obezbeuju dragocene usluge, ali poput mnogih preduzea, mogu nesvesno pruiti zgodne usluge i obmaivaima, koji znaju kako do ih da dou.
Vidite, Kim, ja piem kigu o privatnim istraiteima. Da, ree, odgovarajui na pitae s novosteenom sigurnou, zadovona to pomae piscu. Dakle, to se zove identifikacioni broj filijale, je li tako? A-ha. Dobro, sjajno. Hteo sam da budem siguran da je to pravi izraz. Za kigu. Hvala vam na pomoi. Do viea, Kim.
veliku tanu marke Gui na egov radni sto s logotipom okrenutim prema emu, i izjavila da planira da trai razvod od mua, ali je priznala da postoji jedan mali problem. inilo se da je en mu bio korak ispred. Ve je podigao gotovinu s ihove tedne kiice, i jo veu sumu s bankovnog rauna. Htela je da zna gde je skrivena ihova imovina, a en advokat za razvod uopte joj nije bio od pomoi. Grejs je pretpostavao da je advokat jedan od onih uspenih savetnika iz boe gradske etvrti, te da nee da pra ruke u potrazi za novcem. Da li Grejs moe da pomogne? Uverio ju je da nema nikakvih problema, rekao joj cenu, saoptio da e trokovi biti naplaeni posebno i uzeo ek s prvim delom iznosa. Tek potom se suoio s problemom. ta uiniti ako se nikad ranije niste sreli sa slinim problemom i zapravo ne znate odakle da ponete da biste utvrdili kuda je novac nestao? Krenete korak po korak. Evo Grejsove prie, onako kako nam je ispriao na izvor.
Znao sam za CreditChex i nain na koji banke koriste tu organizaciju moja biva ena je nekad radila u banci. Ali nisam znao terminologiju i procedure, a da sam pitao svoju bivu enu, samo bih izgubio vreme. Prvi korak: nauite pravilno terminologiju. Kad traite informacije, trudite se da zvuite kao da znate o emu priate. U prvoj banci koju sam nazvao, prva gospoica, Kim, bila je podozriva kad sam je upitao kako se identifikuju kad pozovu CreditChex. Oklevala je; nije znala da li da mi kae ili ne. Da li je to osujetilo moje namere? Nimalo. Zapravo, eno oklevae bilo je za mene vaan signal da treba da pruim verodostojno obrazloee. Kad sam joj rekao da istraujem za kigu, prestala je da bude sumiava. Samo kaete da ste pisac ili scenarista, i svi vam jedu iz ruke. Imala je ona i druge informacije koje bi mi bile korisne poput podataka koje CreditChex zahteva radi identifikacije osobe koju proveravate, ta smete da ih pitate, i najvanije, koji je identifikacioni broj ene filijale. Tako sam hteo da je ispitam, kad me je eno oklevae upozorilo da ne sram. Poverovala je u priu o istraivau za kigu, ali je prethodno bila dosta sumiava. Da je od samog poetka bila otvorenija, zatraio bih od e jo detaa o bankarskim procedurama.
Morate se voditi instinktom, i sluati paivo ta rtva govori i kako to izgovara. Ova mi je dama zvuala dovono pametno verovatno bi se oglasio alarm da sam nastavio da joj postavam suvie neobinih pitaa. Iako nije znala ko sam, niti s kog broja zovem, u ovom poslu nikako ne elite da se prouje da neko zove kako bi dobio informacije o poslovau pa treba biti na oprezu. Razlog je to ne elite da vam se izvor ugasi moda ete ponovo morati da pozovete istu kancelariju neki drugi put.
terminologija
20 Deo 2: Umee napadaa
RTVA Re je o prevarenoj osobi. UGASITI IZVOR (engl. burn the source) Kae se da je napada ugasio izvor kad dozvoli da rtva prepozna da je re o napadu. Kad rtva postane svesna napada i o tome obavesti ostale zaposlene i rukovodstvo, izuzetno je teko ponovo upotrebiti isti izvor u buduim napadima.
Uvek obraam pau na male signale. Pomou ih proceujem koliko je osoba spremna za saradu, u opsegu od: Zvui kao prijatna osoba i sve ti verujem do: Zovite policiju, obavestite Nacionalnu gardu, ovaj neto gadno smera. Ocenio sam da je Kim pomalo napeta, pa sam zato pozvao nekoga iz drugog ogranka. Tokom drugog razgovora, s Kris, trik s anketom upalio je iz prve. Ovde je taktika da se vana pitaa ubace izmeu nebitnih koja stvaraju oseaj uverivosti. Pre nego to sam je pitao o identifikacionom broju ihove filijale kod firme CreditChex, testirao sam je u posledem trenutku postavivi joj pitae line prirode o tome koliko dugo radi u banci. Pitae line prirode je poput nagazne mine neki ga prekorae nita ne primetivi, dok drugima eksplodira pa se brzo povuku na sigurno. Dakle, ako joj postavim takvo pitae i ona odgovori, a ne promeni ton, to znai da verovatno nije sumiava. Slobodno mogu da postavim kuno pitae. Nee posumati i najverovatnije e odgovoriti. Evo jo neega to dobar privatni istraite zna: nikada ne prekidajte razgovor nakon to se domognete kune informacije. Postavite jo dva-tri pitaa, malo proaskajte, i tek onda moete prekinuti. Kasnije e se rtva verovatno setiti nekoliko posledih pitaa ako se iega seti. Ostalo se uglavnom zaborava.
I tako mi je Kris dala identifikacioni broj ihove filijale, kao i telefonski broj koji zovu kad proveravaju potencijalne klijente. Bio bih sreniji da sam uspeo da je pitam koliko podataka se moe traiti od firme CreditChex, ali sam smatrao da je boe da ne preterujem. Bilo je to kao da imam neispuen ek kod firme CreditChex. Mogao sam ih nazvati i dobiti informacije kad god sam eleo. Nisam ak ni morao da platim za tu uslugu. Kako se ispostavilo, slubenik kompanije CreditChex rado mi je dao upravo one podatke koje sam traio: dve banke kod kojih je mu moje klijentie nedavno predao molbu da mu se otvori raun. Pa, gde je bio novac koji trai egova ena, koja e mu uskoro postati biva? Gde drugde nego u bankama koje je momak iz kompanije CreditChex naveo.
Analiza prevare
itava ova prevara zasnovana je na jednoj od osnovnih taktika obmaivaa: na pristupu informacijama koje zaposleni pogreno smatraju bezazlenima. Prva slubenica je potvrdila termin za broj koji se koristi kad se zove CreditChex: identifikacioni broj filijale. Druga je obelodanila telefonski broj na koji se zove CreditChex, kao i najbitniju informaciju, identifikacioni broj te banke. inilo se da su joj svi ti podaci potpuno bezazleni. Na kraju krajeva, ona je mislila da razgovara s nekim iz kompanije CreditChex, pa ta kodi ako im se kae broj? Sve ovo je bilo samo priprema za trei poziv. Grejs je imao sve to mu treba da bi telefonirao firmi CreditChex, predstavio se kao slubenik jedne od banaka s kojom sarauju, Nacionalne banke, i zatraio eene informacije. Grejs je bio vet u krai informacija poput nekog prevaranta koji lako izmami novac, a imao je i pravog talenta da oceni ude. Znao je da kuna pitaa vaa smestiti izmeu nebitnih. Znao je da e pitaem line prirode utvrditi koliko je druga slubenica spremna za saradu, pre nego to ju je nevino upitao za identifikacioni broj filijale. Da prva slubenica nije potvrdila izraz za broj koji se koristi pri proveri kod firme CreditChex, bilo bi gotovo nemogue nastaviti. Taj podatak je toliko rasprostraen u bankarstvu, da se ini nevanim to je upravo klasian primer naoko bezazlene informacije. Ali druga slubenica, Kris, nije trebalo tako olako da odgovara na pitaa, a da prethodno ne proveri
da li je sagovornik onaj za koga se izdaje. Trebalo je, u najmau ruku, da zapie egovo ime i telefonski broj i da ga ona pozove. Ako bi se kasnije pojavio problem, mogla je imati podatak o tome s kog je telefona osoba zvala. U tom sluaju bi napadau bilo mnogo tee da se lano predstavi kao slubenik firme CreditChex.
mitnikova
poruka
Identifikacioni broj filijale je u ovom sluaju isto to i lozinka. Kad bi se osobe banke prema emu odnosilo kao prema PIN kodu za bankomate, moda bi shvatili koliko je takva informacija poveriva. Da li i u vaoj organizaciji postoji interni kd ili broj kojem osobe ne pridaje dovono znaaja?
Jo boe bi bilo da je slubenica pozvala CreditChex koristei broj kojim se banka inae slui a ne broj koji bi joj sagovornik eventualno dao kako bi se uverila da on zaista radi u pomenutoj kompaniji, i da oni uistinu sprovode anketu meu svojim klijentima. Meutim, kada se uzme u obzir da se danas, u realnom svetu, radi toliko da niko nema vika vremena, previe bi bilo oekivati poziv radi provere, osim u sluaju da zaposleni posuma da je u pitau napad.
ZAMKA ZA INENJERE
Svi znaju da agencije za zapoavae koriste metode obmaivaa kako bi vrbovali talentovane kandidate. Evo primera kako se to radi. Krajem devedesetih, jedna agencija za zapoavae, koja ba i ne dri do etike, potpisala je ugovor s novim klijentom, kompanijom koja trai ineere elektrotehnike s iskustvom u telekomunikacijama. Voa projekta bila je dama obdarena dubokim, seksi glasom koji je nauila da iskoristi da bi brzo uspostavila poveree i prisnost preko telefona. Odluila je da izvri pohod na davaoca usluga mobilne telefonije, da vidi moe li tamo nai neke ineere koji bi se nali u iskueu da preu na drugu stranu, kod konkurencije. Naravno, nije mogla da pozove centralu i kae: Spojite me sa svakim ko ima pet godina ineerskog iskustva. Umesto toga, iz razloga koji e uskoro postati jasni, zapoela je potragu za talentovanim osobem tako to je zatraila jedan podatak koji naizgled nije uopte bitan, i koji slubenici te kompanije daju gotovo svakom ko ga zatrai.
Nakon nekoliko dana, kad je telefonski imenik kompanije stigao, Didi je shvatila da joj se trud jo vie isplatio nego to je oekivala u emu se nisu nalazili samo puki spiskovi imena i telefonskih brojeva, ve je bilo prikazano i ko za koga radi, dakle poslovna struktura itave organizacije. Dama promuklog glasa bila je spremna da telefonom vrbuje kadar. Na prevaru je dola do informacija neophodnih da bi otpoela s napadom, i to sve zahvaujui svom talentu za ophoee s udima, koji svaki obmaiva mora da dovede do perfekcije. Sad je mogla da ubere plodove svog rada. 26 Deo 2: Umee napadaa
Analiza prevare
Ovu obmanu Didi je poela tako to je nabavila brojeve tri odeea u cinoj kompaniji. To je bilo lako, jer brojevi koje je traila nisu tajna, a pogotovo zaposlenima. Obmaiva naui da zvui kao domai, a Didi je bila spretna u toj igri. Pomou jednog od tih telefonskih brojeva dola je do kontnog broja, koji je potom upotrebila kako bi se domogla primerka firminog telefonskog imenika zaposlenih. Bilo je potrebno: da zvui prijateski, da koristi odreene poslovne izraze, i, kod poslede rtve, da ubaci malo verbalnog koketiraa. Neophodno joj je bilo jo neto to se ne stie lako vetina manipulacije, dovedena do visokog nivoa kroz dugu praksu, kao i samouverenost.
terminologija
LANA ADRESA (engl. mail drop) U obmaivau, to je izraz za privremeni potanski fah, uglavnom pod lanim imenom, koji slui da u ega stiu dokumenta ili paketi koje rtve na prevaru poau.
mitnikova
poruka
Ba kao i delii slagalice, svaka informacija ponaosob moe biti nebitna. Meutim, kad se delovi slagalice spoje, dobija se jasna slika. U ovom sluaju, slika koju je manipulator video bila je itava interna struktura kompanije.
mitnikova
poruka
Pouka prie je ta da ne treba obelodaivati line podatke niti interne kompanijske informacije ili ifre nikome, ukoliko glas sagovornika ne zvui poznato ili niste sigurni da li ima pravo da ih zatrai.
SPREAVANJE PREVARE
28 Deo 2: Umee napadaa
Kompanija mora objasniti zaposlenima da moe doi do ozbinih posledica ako se s informacijama, koje nisu javne prirode, ne postupa na pravi nain. Dobro osmiena politika zatite informacija, zajedno sa odgovarajuim obrazovaem i uvebavaem, naglo e podii na vii nivo svest zaposlenih o tome kako se vaa odnositi prema poslovnim informacijama u okviru kompanije. Klasifikacija podataka pomoi e vam da primenite odgovarajua pravila kad je u pitau ihovo obelodaivae. Ako takva klasifikacija ne postoji, svi interni podaci moraju se smatrati poverivima, ukoliko nije drugaije odreeno. Preduzmite sledee korake da biste zatitili svoju kompaniju od odavaa naizgled bezazlenih informacija: Odeee za bezbednost informacija treba da sprovede obuku s ciem da do pojedinosti razjasne metode obmaivaa. Jedna od metoda, kao to smo ranije opisali, jeste da se doe do naizgled beznaajnog podatka, te da se on kasnije upotrebi kao eton za poker kako bi se uspostavilo kratkotrajno poveree. Svaki zaposleni mora znati da poznavae kompanijske procedure, terminologije i internih kodova, ni u kom sluaju nije dovono za identifikaciju sagovornika, niti mu daje pravo da zahteva podatke. Sagovornik moe biti i bivi zaposleni ili radnik po ugovoru koji ima potrebne interne informacije. Shodno tome, svaka firma mora da utvrdi odgovarajue metode identifikacije koje se primeuju kad zaposleni stupe u kontakt s udima koje lino ne poznaju ili s ima razgovaraju telefonom. Osoba ili osobe koje imaju ulogu i odgovornost da osmisle klasifikaciju podataka treba da razmotre tipove pojedinosti koje se mogu upotrebiti da bi se dolo do poverivih informacija, a koje se zaposlenima
ine bezazlene. Iako nikada ne biste otkrili ifru kreditne kartice, da li biste ikome rekli koji server koristite za razvoj kompanijskog softvera? Da li bi tu informaciju mogao upotrebiti prevarant koji se izdaje za osobu kojoj je odobren pristup kompanijskoj mrei? Zahvaujui pukom poznavau interne terminologije, ponekad napada ostava utisak autoritativne osobe koja se razume u posao. Zahvaujui uvreenom povereu u siguran nastup, prevarant esto svojim nastupom nagovori rtvu da s im sarauje. Na primer, identifikacioni broj filijale je izraz koji osobe u odeeu za nove raune banke nonalantno koristi svakog dana. Ali takav identifikator je potpuno isto to i lozinka. Kad bi svaki zaposleni shvatio egov znaaj to da se koristi kako bi se podnosilac molbe identifikovao moda bi se prema emu odnosili s vie potovaa. Nijedna kompanija, ili bar veoma malo ih, ne daje direktne telefonske brojeve svojih generalnih direktora ili lanova upravnog odbora. Ipak, u najveem broju kompanija se i ne razmia o davau telefonskih brojeva veine odeea i radnih grupa u okviru organizacije a pogotovo nekome ko je zaposlen ili se tako predstava. Mogua protivmera bila bi da se uvede zabrana davaa internih telefonskih brojeva zaposlenih, radnika po ugovoru, savetnika i probnih radnika bilo kome van firme. to je jo vanije, vaa osmisliti proceduru koja se sastoji iz vie koraka, a kojom bi se tano mogao utvrditi identitet sagovornika koji trai telefonske brojeve.
mitnikova
poruka
Kako kae stara izreka ak i pravi paranoici verovatno imaju neprijatee. Pretpostaviemo da i svaka firma ima svoje neprijatee napadae koji ciaju na mrenu infrastrukturu da bi ugrozili poslovne tajne. Ne dozvolite da i vi zavrite kao statistiki podatak o raunarskom kriminalu. Kraje je vreme da podignete neophodne bedeme tako to ete primeniti odgovarajue, dobro osmiene bezbednosne pravilnike i procedure.
Brojevi rauna radnih grupa i odeea, kao i primerci telefonskih imenika kompanija (u tampanoj verziji, u vidu datoteke ili kao elektronski imenik na intranetu) esta su meta prevaranata. Neophodno
je da svaka kompanija ima pisani i distribuirani pravilnik o obelodaivau informacija te vrste. U zatitne mere treba uvrstiti i voee dnevnika u koji bi se zapisivalo odavae poverivih informacija udima van firme. Podaci poput broja zaposlenog ne treba da se samostalno koriste za identifikaciju. Svakog zaposlenog treba obuiti da utvrdi i identitet onoga ko informaciju trai i zato je trai. U okviru obuke o zatiti informacija, razmislite o tome da nauite zaposlene sledeem: kad god im nepoznata osoba postavi pitae ili ih zamoli za uslugu, prvo treba ubazno da je odbiju dok se zahtev ne odobri. A potom pre nego to popuste pred prirodnim nagonom da budu predusretivi neka prate kompanijski pravilnik i procedure u vezi sa odobravaem i objavivaem informacija koje nisu javne prirode. To moe biti malo protivno naem prirodnom nagonu da pomognemo drugima, ali je moda neophodna mala doza zdrave paranoje da biste izbegli da ba vi upadnete u obmaivaevu zamku. Kao to smo u priama iz ovog poglava videli, naizgled bezazlene informacije mogu biti ku do najuvanijih tajni vae kompanije.
piskovi i dijagrami koji slede ukratko opisuju metode obmane navedene u poglavima od 3 do 15, i postupke provere iz poglava 16. Prilagodite ove podatke svojoj organizaciji i dajte ih svim radnicima da bi ih primenili kada se ukae problem bezbednosti informacija.
PREPOZNAVANJE NAPADA
Naredne tabele i spiskovi e vam pomoi da uoite napad sistematskog obmaivaa.
Ciklus obmane
POSTUPAK Istraivae OPIS Ispituju se i podaci iz javnih izvora kao to su godii izvetaji, marketinke broure, prijave patenata, iseci iz tampe, struni asopisi i Web lokacije. Tu spada i kopae po smeu. Razvijae dobrih Upotreba internih informacija, lano predstavae, odnosa i poverea pomiae osoba koje rtva poznaje, molba za pomo, ili pozivae na autoritet.
Traee informacija ili usluge od rtve. U obrnutoj aoci, manipulisae rtvom da od napadaa zatrai pomo. Ako su dobijene informacije samo korak do konanog cia, napada pribegava prethodno pomenutim koracima ciklusa dok ne doe do cia.
Izdavae za kolegu Izdavae za zaposlenog u firmi dobavaa usluga, partnerskoj firmi, ili kriminalistikoj slubi Izdavae za nekog ko je na viem poloaju Izdavae za novog zaposlenog kome treba pomo Izdavae za dobavaa usluga ili proizvoaa sistema koji zove da bi ponudio sistemsku zakrpu ili najnoviju verziju Nuee pomoi ako bi nastao problem, potom izazivae problema, ime se rtva navede da od napadaa zatrai pomo Slae rtvi besplatnog softvera ili zakrpe da ih instalira Slae virusa ili trojanskog koa u prilogu elektronske poruke Upotreba lanog okvira za dijalog u kom se od korisnika trai da se ponovo prijavi za rad ili da ponovo unese lozinku Snimae rtvinih pritisaka na tastere pomou raunarskog sistema ili programa Ostavae na radnom mestu disketa ili kompakt diskova sa zlonamernim softverom Koriee interne terminologije da bi se zadobilo neije poveree Nuee nagrade da bi se neko registrovao na Web lokaciji pomou korisnikog imena i lozinke Ostavae dokumenata ili datoteka u kompanijskoj prostoriji za potu radi isporuke u kancelarije Prilagoavae zaglava faksa tako da se ini da je poslat sa interne lokacije Umoavae slubenika prijemnog odeea da primi i prosledi faks Zahtev da se datoteka prosledi do naizgled interne lokacije
Podeavae glasovne pote tako da pozivaoci pomisle da im je napada kolega Pretvarae napadaa da dolazi iz drugog ogranka preduzea, i traee da mu se u sistemu preduzea otvori elektronsko sandue.
Informatika ili tehnika podrka korisnicima, administratori raunarskog sistema, raunarski operateri, administratori telefonskog sistema. Proizvoai raunarskog hardvera i softvera, proizvoai sistema za glasovnu potu. Raunovodstvo, kadrovsko odeee.
Objavivae broja lokala Nepostojae bezbednosne obuke Nepostojae sistema klasifikacije podataka Nepostojae plana za prijavivae incidenata i reagovae na ih
uvae tajne Proverite da li je podnosilac zahteva potpisao ugovor o uvau poverivih informacija vae firme. Pristup Uputite zahtev pretpostavenom kada su podaci klasifikovani kao osetiviji od internih.
Klasifikacija podataka
KLASIFIKACIJA OPIS Javni Mogu se slobodno saoptavati u javnosti. Interni Za upotrebu u okviru firme. POSTUPAK Nema potrebe proveravati.
Privatni
Poverivi
Proverite da li je podnosilac zahteva i dae zaposlen u vaoj firmi, a ako nije, da li je potpisao ugovor o uvau informacija, i da li ga je rukovodstvo ovlastilo. Proverite da li je podnosilac zahteva Podaci line prirode name- i dae zaposlen u vaoj firmi, a ako eni za upotre- nije, da li je ovlaen da poseduje te informacije. Proverite sa kadrovskim bu iskuivo odeeem da li smete da saoptite u okviru line podatke ovlaenim zaposleniorganizacije. ma ili drugim podnosiocima zahteva. Znaju ih samo Kod osobe zaduene za informacije ona lica u okviru proverite identitet podnosioca zahteva i egova ovlaea. Saoptite organizacije ih samo uz prethodno pismeno odokojima je to bree pretpostavenog, osobe zaduneophodno ene za informacije, ili ihovog zaza rad. menika. Proverite da li je podnosilac zahteva potpisao ugovor o uvau podataka. Samo uprava sme da objavuje poverive informacije licima koje firma ne zapoava.
PRIMERI
Da
Ne
Da
Ne
Interni telefonski brojevi dodeeni zaposlenima, interni faks brojevi, interni brojevi zgrada i spiskovi odeea
Da
Lini telefonski brojevi (kuni ili mobilni), broj socijalnog osiguraa, kuna adresa, istorijat radnih mesta i plata
Line podatke
Da
Ne
Tip operativnog sistema, postupci za dainski pristup, telefonski brojevi za dainski pristup i nazivi pojedinih raunarskih sistema
Da
Postupci proizvode, strateki planovi, izvorni kd programa, spiskovi kupaca i poslovne tajne
Da
Sve informacije se smatraju osetivima ukoliko nisu posebno nameene za javnu upotrebu.
NAPOMENE
Da
Ne otvarajte priloenu datoteku ukoliko je unapred ne oekujete. Proverite sve takve datoteke pomou antivirusnog softvera. NIKADA ne meajte lozinku u neto poznato drugom licu, ak ni za trenutak!
Da izmenite lozinku
Da
Ne
Izvorni kd programa, poslovne tajne, postupak proizvode, formule, specifikacije proizvoda, marketinki podaci ili poslovni planovi
Da
Nikada nemojte unositi nepoznate naredbe i nikada ne pokreite programe na zahtev druge osobe ukoliko to posebno ne odobri informatiko odeee
Da
Podnosilac zahteva mora biti iskuivo iz informatikog odeea; primenite postupke provere zaposlenog.
Ne
Instalirajte samo softver iz proverenih izvora koji se moe proveriti pomou digitalnog potpisa
Da
Ne meajte nikakve parametre u BIOS-u, operativnom sistemu, niti bilo kojoj aplikaciji (ukuujui i linu zatitnu barijeru ili antivirusne programe) ukoliko to posebno ne odobri informatiko odeee
Da
Podnosilac zahteva mora biti iskuivo iz informatikog odeea; primenite postupke provere zaposlenog.