Professional Documents
Culture Documents
Umetnost Obmane
Umetnost Obmane
eki hakeri unitavaju udima datoteke ili celokupan sadraj diskova oni su provalnici ili vandali. Neki hakeri poetnici se ne trude
da naue tehnologiju, ve koriste hakerske alate da bi provalili u
raunarske sisteme oni su skriptai. Iskusniji hakeri razvijaju hakerske
programe i objavuju ih na Webu i u diskusionim grupama. A tu su i osobe
koje tehnologija ne zanima, ve raunar koriste samo kao pomono sredstvo za krau novca, dobara i usluga.
Uprkos mitu koji su o Kevinu Mitniku ispleli mediji, ja nisam zlonameran haker.
Ali, sad vam sve priam unapred.
POECI
Svoj put sam verovatno odabrao rano. Bio sam bezbrino dete, ali sam se
dosaivao. Nakon to nas je otac ostavio kada sam imao tri godine, moja
majka je radila kako konobarica da bi nas izdravala. Poto je morala
naporno da radi po ceo dan, ja sam uglavnom dau bio sam. uvao sam
sam sebe.
Budui da sam odrastao u San Fernando Veliju, mogao sam da istraujem itav Los Aneles, a do svoje dvanaeste godine pronaao sam nain da
putujem besplatno po itavoj teritoriji L.A. Jednog dana, dok sam se vozio
autobusom, shvatio sam da ispravnost karte za gradski prevoz zavisi od neobinog rasporeda izbuenih rupica kojima su vozai oznaavali dan, vreme
i trasu. Jedan ubazan voza odgovorio je na moje paivo formulisano pitae. Objasnio mi je gde da kupim tu vrstu aparata za buee rupica.
Karte za presedae omoguavaju putnicima da meaju autobuse do
odredita, ali ja sam smislio kako da pomou ih besplatno putujem gde
Predgovor
xi
Predgovor
U sredoj koli mi je jedna od omienih ala bila da neovlaeno pristupim telefonskoj centrali i izmenim klasu usluge na liniji nekog drugog
prevaranta. Kad bi pokuao da pozove od kue, poruka bi ga obavestila da
treba da ubaci novi jer bi do telefonske centrale stizao signal koji znai
da zove iz telefonske govornice.
Opiavalo me je sve o telefonima ne samo elektronika, centrale i
raunari, ve i organizacija telefonske kompanije, te ihove procedure i
terminologija. Nakon izvesnog vremena, verovatno sam boe poznavao
telefonski sistem od bilo kog zaposlenog. Svoju vetinu obmane razvio
sam do te mere da sam, sa sedamnaest godina, mogao da lino ili telefonom nagovorim veinu zaposlenih u telefonskoj kompaniji da uine
gotovo bilo ta.
Moja hakerska karijera, o kojoj se mnogo govorilo u javnosti, poela je
dok sam bio u sredoj koli. Iako ovde ne mogu opisivati pojedinosti, rei
u da je jedna od linija vodia u mojim ranim hakerskim danima bila da
budem prihvaen u krug ostalih hakera.
U to vreme, nama je izraz haker oznaavao osobu koja provodi mnogo
vremena petajui s hardverom i softverom, da bi razvio efikasnije programe ili da bi zaobiao nepotrebne korake i obavio posao bre. Taj izraz je
sada postao pogrdan, i oznaava zlonamernog kriminalca. U ovoj kizi
ja ga koristim kao i uvek u egovom starijem, dobroudnijem znaeu.
Nakon srede kole, studirao sam informatiku u Centru za raunarsku
obuku u Los Anelesu. Za nekoliko meseci, upravnik raunarske mree u
koli otkrio je da sam pronaao propust u operativnom sistemu i dodelio
sebi ovlaea administratora na ihovom IBM-ovom miniraunaru. Ni
najboi struaci za raunare koji su tamo predavali nisu mogli da shvate
kako sam to uinio. Bio je to moda jedan od najranijih primera unajmivaa hakera ponudu nisam mogao da odbijem. Traili su da za
diplomski rad uradim projekat za unapreivae bezbednosti kolskih
raunara, ili da budem izbaen zbog hakerskog upada u sistem. Naravno,
odabrao sam prvo, pa sam na kraju diplomirao s najveim ocenama.
Predgovor
xii
dobijao za vreme koje sam proveo kao privatni istraite. Brusio sam svoj
talenat u umetnosti obmane (u kojoj se udi navode da ine ono to obino
ne bi uradili za neznanca), i bio sam za to plaen.
Meni nije bilo teko da postanem vrstan obmaiva. Oeva familija se
generacijama bavila trgovinom, pa sam umetnost uticaa i ubeivaa
moda i nasledio. Kad spojite tu crtu s teom za varaem udi, dobijate
tipian profil osobe koja moe da se bavi obmaivaem.
Moglo bi se rei da postoje dve specijalnosti u okviru tog zanimaa.
Onaj ko vara ude i izmamuje od ih novac pripada jednoj potkategoriji varalicama. Onaj ko obmauje i ubeuje zaposlene u kompanijama,
i utie na ih, obino s ciem da se domogne ihovih informacija, pripada drugoj potkategoriji obmaivaima. Jo od vremena kad sam izvodio
svoj trik s kartama za autobus, kad sam bio isuvie mali da bih znao da to
to radim nije u redu, poeo sam u sebi da prepoznajem talenat za
otkrivae tajni koje nije trebalo da saznam. Taj sam talenat nadogradio
koristei se obmanom, poznajui terminologiju, i razvijajui do majstorstva vetinu manipulacije.
Jedan od naina na koji sam razvijao vetinu svog zanata, ako ga tako
mogu nazvati, bio je da izaberem neki podatak do kojeg mi nije zaista stalo, i da vidim mogu li nekog s druge strane ice nagovoriti da mi ga oda,
tek da bih se kalio. Kao to sam uvebavao iluzionistike trikove vebao
sam lagae preko telefona. Uskoro sam otkrio da mogu da doem do gotovo bilo koje informacije koju poelim.
Kao to sam opisao u svedoeu pred senatorima Libermanom i Tomsonom godinama kasnije:
Neovlaeno sam pristupao raunarskim sistemima nekih od najveih
firmi na svetu, i uspeno sam upadao u neke od najotpornijih raunarskih
sistema koji su ikad napraveni. Koristio sam tehnika i ostala sredstva
da bih se domogao izvornog koda raznih operativnih sistema i telekomunikacionih ureaja, da bih prouavao ihove slabe take i nain na
koji rade.
Sve to sam inio da bih zadovoio sopstvenu znatieu; da bih video
ta mogu; i da bih otkrio tajne informacije o operativnim sistemima, mobilnim telefonima, i svemu ostalom to bi zagolicalo moju ubopitivost.
ZAKLJUAK
xiii
Predgovor
deo
1
Iza kulisa
poglavlje
Najslabija taka
bezbednosnog sistema
LJUDSKI INILAC
Kad sam svedoio pred Kongresom SAD, objasnio sam da sam esto dolazio do lozinki i drugih poverivih informacija pretvarajui se da sam neko
drugi i jednostavno traei.
Prirodno je da ovek tei oseau apsolutne sigurnosti, usled ega se
mnogi uukuju u lano oseae bezbednosti. Uzmite, na primer, odgovornog i brinog kuevlasnika. Da bi zatitio svoju enu, decu i dom, na
ulazna vrata ugrauje bravu s prekidaem, za koju se misli da se ne moe
obiti. On se sada osea mnogo prijatnije, budui da je egova porodica
mnogo boe zatiena od ueza. Ali ta ako provalnik razbije prozor ili
otkrije ifru sistema za otvarae garanih vrata? ta kaete na to da instalirate robustniji bezbednosni sistem? To je boe, ali i dae nema garancija.
Sa skupim bravama ili bez ih, kuevlasnik je i dae podloan napadima.
Zato? Zato to je udski inilac zapravo najslabija taka bezbednosnog
sistema.
Bezbednost je suvie esto samo iluzija, iluzija kojoj povremeno idu u
prilog lakovernost, naivnost, ili neznae. Najuveniji svetski naunik dvadesetog veka, Albert Ajntajn, rekao je: Samo su dve stvari bezgranine,
univerzum i udska glupost, a za ono prvo nisam ni siguran. Dakle, obmaivae moe da uspe kada se naie na udsku glupost ili, ee, na
nepoznavae dobrih bezbednosnih pravila. Budui da imaju slian stav
kako i na kuevlasnik koji pazi na bezbednost, mnogi struaci iz oblasti
informacionih tehnologija (IT) ive u zabludi da su u velikoj meri obezbedili preduzee primenom standardnih bezbednosnih proizvoda zatitnih
barijera, sistema za otkrivae upada, ili monijih ureaja za identifikaciju
poput onih sa iframa koje se meaju u vremenskim intervalima, ili biometrikih identifikacionih kartica. Svi koji smatraju da sami bezbednosni
proizvodi nude pravu sigurnost, uukuju se u iluziju sigurnosti. Oni ive
u svetu uobrazie: pre ili kasnije, neizbeno e im se dogoditi bezbednosni
incident.
Kao to priznati savetnik za bezbednost Brus najer kae: Bezbednost
se ne dobija od proizvoda; to je proces. tavie, to nije tehnoloki problem ve problem udi i uprave.
Kako se razvijaju sve boe i boe bezbednosne tehnologije, koje oteavaju pronalaee tehnikih propusta, napadai e se sve vie okretati udskom iniocu. Poraavae udskog sigurnosnog bedema je esto lako, ne
zahteva nikakva ulagaa osim jednog telefonskog poziva, i podrazumeva
minimalan rizik.
Otkrivae ifre
5
Poglavlje 1: Najslabija taka bezbednosnog sistema
Privoee kraju
Nekoliko dana kasnije Rifkin je odleteo u vajcarsku i podigao gotovinu.
Od jedne ruske agencije kupio je gomilu dijamanata za preko 8 miliona
dolara. Vratio se avionom, i proao kroz carinu Sjedienih Drava s
draguima skrivenim u pojasu za novac. Uspela mu je najvea paka
banke u istoriji a poinio ju je bez pitoa, pa ak i bez raunara. Zaudo, egova ludorija je na kraju dospela na stranice Ginisove kige svetskih
rekorda u kategoriji najvea raunarska prevara.
Stenli Rifkin je primenio umetnost obmane vetine i tehnike koje se
danas, na engleskom, nazivaju social engineering. Detano planirae i nadarenost za ophoee s udima zapravo je sve to mu je bilo potrebno.
Upravo time se bavi ova kiga metodama obmane (za koje je pisac
ovih redova pravi struak) i nainima odbrane od ih.
PRIRODA PRETNJE
Pria o Rifkinu savreno objaava kako oseaj sigurnosti moe biti
variv. Ovakvi sluajevi moda ne kraa 10 miliona dolara, ali ipak nepoeni deavaju se svakodnevno. Moda upravo sada gubite novac, ili
7
Poglavlje 1: Najslabija taka bezbednosnog sistema
Institut za raunarsku bezbednost objavio je u svom izvetaju o raunarskom kriminalu iz 2001. godine da je 85% ispitanih organizacija otkrilo
naruavae raunarskog bezbednosnog sistema u prethodnih dvanaest
meseci. To je zapaujua cifra: samo petnaest od svakih sto ispitanih organizacija mogle su da kau da kod ih nije bilo naruavaa bezbednosnog
sistema tokom te godine. Podjednako zapaujui bio je i broj organizacija
koje su prijavile finansijske gubitke usled napada na raunarski sistem: 64
procenta. Vie od pola ispitanih organizacija podleglo je finansijskim gubicima usled toga. I to samo u jednoj godini.
Iz sopstvenog iskustva smatram da su brojke u ovakvim izvetajima
pomalo preterane, poto sumam u ispravnost naina anketiraa. Ali to
ne znai da teta nije ogromna ogromna je. Preduzea koja ne planiraju
odbranu od napada sigurno e pretrpeti tetu.
Komercijalni proizvodi za bezbednost sistema, koji se koriste u veini
kompanija, uglavnom tite od ueza amatera, poput devojaka i mladia
koji se nazivaju skriptai. Ti klinci koji bi eleli da postanu hakeri, a koriste softver preuzet s Interneta, uglavnom predstavaju sitnu smetu.
Vee gubitke nanose i pravu pretu predstavaju sofisticirani napadai.
Njih motivie finansijska dobit a mete su im dobro definisane. Oni se usmeravaju na jednu po jednu metu, umesto da, poput amatera, pokuaju
da provale u to vie sistema. Dok se amateri zadovoavaju kvantitetom,
profesionalci ciaju na kvalitetne i vredne informacije.
Tehnoloke mere poput uvoea ureaja za identifikaciju, kontrole pristupa (za upravae pristupom datotekama i sistemskim resursima), i instaliraa sistema za otkrivae upada (elektronski ekvivalent alarma koji
upozoravaju na provalnike) neophodne su stavke u bezbednosnom sistemu
jedne firme. Skoro po pravilu, u danae vreme jedna kompanija troi vie
novca na kafu nego na mere zatite od napada na bezbednosni sistem.
Upravo kao to um kriminalca ne moe da odoli iskueu, um hakera
tei da zaobie mone tehnoloke bezbednosne sisteme. U mnogim sluajevima oni to ine usmeravajui se na korisnike tehnologije.
Naini obmane
ZLOUPOTREBA POVERENJA
U veini sluajeva, uspeni obmaivai umeju dobro da se ophode s udima. armantni su, ubazni i dopadivi a upravo su te osobine potrebne
da bi se brzo uspostavili prisnost i poveree. Iskusan napada moe pristupiti gotovo svakoj informaciji pomou pomenute strategije i taktike.
Savesni struaci za tehnologiju mukotrpno su razvijali bezbednosna
reea kako bi sveli rizike na najmau moguu meru, a ipak su ispustili
najbitniju taku podlonu napadima udski faktor. Uprkos intelektu,
mi udi vi, ja, i svi ostali i dae predstavamo najveu bezbednosnu
pretu jedni drugima.
TERORISTI I OBMANA
Naravno, prevara nije jedino sredstvo obmaivaa. Fiziki terorizam je
najvea vest u medijima, te smo shvatili, kao nikada ranije, da je svet
opasan. Civilizovanost je, ipak, samo prividan sjaj.
Nedavno pojaani napori amerike vlade podigli su i nivo nae svesti o
bezbednosti. Moramo biti u stau pripravnosti i razumeti kako teroristi
podlo meaju identitet, preuzimaju ulogu studenata i suseda, i stapaju se u
9
Poglavlje 1: Najslabija taka bezbednosnog sistema
masu. Prikrivaju svoja prava uverea dok kuju planove protiv nas; tako koriste trikove obmane sline onima o kojima ete itati na ovim stranicama.
Koliko ja znam, teroristi jo nisu primenili lukavstva obmane kako bi se
uvukli u firme, postrojea za navodavae, elektrane ili druge najbitnije
delove nae nacionalne infrastrukture, ali mogunost postoji. Sasvim je lako. Nadam se da e ova kiga poeti da utie na podizae svesti o bezbednosti na vii nivo, te da e rukovodstva kompanija insistirati da se u
bezbednosnom sistemu primene opisane procedure.
10
O OVOJ KNJIZI
Bezbednost preduzea je pitae ravnotee. Usled suvie slabe zatite,
kompanija postaje raiva, ali i preterano naglaavae bezbednosti smeta
pri poslovau koi rast i prosperitet preduzea. Izazov je nai ravnoteu
izmeu bezbednosti i produktivnosti.
Druge kige o bezbednosti kompanija usredsreuju se na hardversku i
softversku tehnologiju, a ne bave se u odgovarajuoj meri najozbinijom
pretom od svih: obmaivaem udi. Ci ove kige je da objasni kako
ste vi, vai saradnici i ostali zaposleni u vaoj kompaniji predmet manipulacije i da informie o bedemima koje moete podii da biste prestali da
budete rtva. Kiga se uglavnom usredsreuje na ne-tehnike metode
koje uezi koriste da bi ukrali informacije, ugrozili celovitost podataka za
koje se veruje da su bezbedni, ili unitili neki proizvod kompanije.
Moj zadatak oteava jednostavna istina: svakog itaoca su ve prevarili
najvei struaci svih vremena iz oblasti obmane egovi roditei. Nali
su naina da vas privole, za sopstveno dobro, da inite ono to su oni
smatrali najboim. Roditei, odlini manipulatori, postupaju kao profesionalni obmaivai koji izmiaju vrlo uverive prie, razloge i opravdaa za dostizae sopstvenih cieva. Da, nas su oblikovali roditei, koji
nas dobronamerno (a ponekad i ne tako dobronamerno) obmauju.
Budui da smo vaspitavani uz obmane, postali smo podloni manipulaciji. iveli bismo drugaije da smo stalno morali da budemo na oprezu,
nepoverivi prema drugima i zabrinuti da bismo mogli postati naivna
meta nekoga ko pokuava da nas iskoristi. U savrenom svetu podrazumevalo bi se da verujemo drugima, uvereni da su udi koje sreemo iskreni i
da im se moe verovati. Ali ne ivimo u savrenom svetu, pa moramo da
uvebavamo odreene mere opreza kako bismo spreili pokuaje neprijatea da nas prevare.
11
Poglavlje 1: Najslabija taka bezbednosnog sistema
deo
2
Umee
napadaa
poglavlje
Kada bezazlena
informacija nije
tako bezazlena
CREDITCHEX
16
Britanci su dugo imali veoma krut bankarski sistem. Kao obian, poten
graanin niste mogli da uete u banku i otvorite raun. Ne, banka bi razmotrila va zahtev tek kad bi vam ihov pouzdan klijent dao preporuku.
Sasvim je razliito, naravno, prividno otvoreno savremeno bankarstvo.
Lakoa s kojom se u danae moderno vreme posluje, najboe se oituje
u prijateskoj, demokratskoj Americi, gde gotovo svako moe ui u banku
i lako otvoriti tekui raun, je li tako? Pa, ne ba. Banke nerado otvaraju
raune onima koji su moda ranije ispisivali ekove bez pokria, to je i
razumivo u banci je ek bez pokria isto toliko dobrodoao kao i prijava zbog pake banke ili optuba za proneveru. Stoga je u svakoj banci
standardna procedura da se brzo proveri novi klijent.
Jedna od glavnih kompanija koju banke unajmuju radi ovakvih informacija jeste CreditChex. Oni svojim klijentima obezbeuju dragocene
usluge, ali poput mnogih preduzea, mogu nesvesno pruiti zgodne usluge
i obmaivaima, koji znaju kako do ih da dou.
17
18
Vels Fargo, ispisao je ekove bez pokria 1998. godine, jednom, na sumu od 2066 dolara. ek bez pokria je poznat
bankarski izraz za ekove koji su upotrebeni kad na raunu
nema dovono novca da ispisani iznos pokrije.
Da li je kasnije bilo neeg slinog?
Ne.
Je li bilo drugih provera?
Da vidimo. Da, dvaput, i to oba puta prolog meseca. Zahteve
su uputili Third United Credit Union iz ikaga i Schenectady
Mutual Investments. Spetao se pri potoem nazivu, pa je
morao da izgovori slovo po slovo. Ovi drugi su iz drave
Njujork, dodao je.
19
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena
veliku tanu marke Gui na egov radni sto s logotipom okrenutim prema
emu, i izjavila da planira da trai razvod od mua, ali je priznala da postoji
jedan mali problem.
inilo se da je en mu bio korak ispred. Ve je podigao gotovinu s
ihove tedne kiice, i jo veu sumu s bankovnog rauna. Htela je da
zna gde je skrivena ihova imovina, a en advokat za razvod uopte joj
nije bio od pomoi. Grejs je pretpostavao da je advokat jedan od onih
uspenih savetnika iz boe gradske etvrti, te da nee da pra ruke u potrazi za novcem.
Da li Grejs moe da pomogne?
Uverio ju je da nema nikakvih problema, rekao joj cenu, saoptio da e
trokovi biti naplaeni posebno i uzeo ek s prvim delom iznosa.
Tek potom se suoio s problemom. ta uiniti ako se nikad ranije niste
sreli sa slinim problemom i zapravo ne znate odakle da ponete da biste
utvrdili kuda je novac nestao? Krenete korak po korak. Evo Grejsove prie,
onako kako nam je ispriao na izvor.
terminologija
20
RTVA
Re je o prevarenoj osobi.
UGASITI IZVOR (engl. burn the source)
Kae se da je napada
ugasio izvor kad dozvoli da rtva prepozna da je re o napadu. Kad
rtva postane svesna napada i o tome obavesti ostale zaposlene i
rukovodstvo, izuzetno je teko ponovo upotrebiti isti izvor u buduim
napadima.
Uvek obraam pau na male signale. Pomou ih proceujem koliko je osoba spremna za saradu, u opsegu od: Zvui kao prijatna osoba
i sve ti verujem do: Zovite policiju, obavestite Nacionalnu gardu, ovaj
neto gadno smera.
Ocenio sam da je Kim pomalo napeta, pa sam zato pozvao nekoga iz
drugog ogranka. Tokom drugog razgovora, s Kris, trik s anketom upalio je iz
prve. Ovde je taktika da se vana pitaa ubace izmeu nebitnih koja stvaraju oseaj uverivosti. Pre nego to sam je pitao o identifikacionom broju ihove filijale kod firme CreditChex, testirao sam je u posledem trenutku
postavivi joj pitae line prirode o tome koliko dugo radi u banci.
Pitae line prirode je poput nagazne mine neki ga prekorae nita
ne primetivi, dok drugima eksplodira pa se brzo povuku na sigurno. Dakle, ako joj postavim takvo pitae i ona odgovori, a ne promeni ton, to
znai da verovatno nije sumiava. Slobodno mogu da postavim kuno
pitae. Nee posumati i najverovatnije e odgovoriti.
Evo jo neega to dobar privatni istraite zna: nikada ne prekidajte
razgovor nakon to se domognete kune informacije. Postavite jo dva-tri
pitaa, malo proaskajte, i tek onda moete prekinuti. Kasnije e se rtva
verovatno setiti nekoliko posledih pitaa ako se iega seti. Ostalo se
uglavnom zaborava.
Analiza prevare
itava ova prevara zasnovana je na jednoj od osnovnih taktika obmaivaa: na pristupu informacijama koje zaposleni pogreno smatraju
bezazlenima.
Prva slubenica je potvrdila termin za broj koji se koristi kad se zove
CreditChex: identifikacioni broj filijale. Druga je obelodanila telefonski
broj na koji se zove CreditChex, kao i najbitniju informaciju, identifikacioni broj te banke. inilo se da su joj svi ti podaci potpuno bezazleni. Na
kraju krajeva, ona je mislila da razgovara s nekim iz kompanije CreditChex, pa ta kodi ako im se kae broj?
Sve ovo je bilo samo priprema za trei poziv. Grejs je imao sve to mu
treba da bi telefonirao firmi CreditChex, predstavio se kao slubenik jedne
od banaka s kojom sarauju, Nacionalne banke, i zatraio eene informacije.
Grejs je bio vet u krai informacija poput nekog prevaranta koji lako
izmami novac, a imao je i pravog talenta da oceni ude. Znao je da kuna pitaa vaa smestiti izmeu nebitnih. Znao je da e pitaem line prirode utvrditi koliko je druga slubenica spremna za saradu, pre nego to
ju je nevino upitao za identifikacioni broj filijale.
Da prva slubenica nije potvrdila izraz za broj koji se koristi pri proveri
kod firme CreditChex, bilo bi gotovo nemogue nastaviti. Taj podatak je
toliko rasprostraen u bankarstvu, da se ini nevanim to je upravo
klasian primer naoko bezazlene informacije. Ali druga slubenica, Kris,
nije trebalo tako olako da odgovara na pitaa, a da prethodno ne proveri
21
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena
I tako mi je Kris dala identifikacioni broj ihove filijale, kao i telefonski broj koji zovu kad proveravaju potencijalne klijente. Bio bih sreniji da
sam uspeo da je pitam koliko podataka se moe traiti od firme CreditChex, ali sam smatrao da je boe da ne preterujem.
Bilo je to kao da imam neispuen ek kod firme CreditChex. Mogao
sam ih nazvati i dobiti informacije kad god sam eleo. Nisam ak ni morao
da platim za tu uslugu. Kako se ispostavilo, slubenik kompanije CreditChex rado mi je dao upravo one podatke koje sam traio: dve banke kod
kojih je mu moje klijentie nedavno predao molbu da mu se otvori
raun. Pa, gde je bio novac koji trai egova ena, koja e mu uskoro
postati biva? Gde drugde nego u bankama koje je momak iz kompanije
CreditChex naveo.
poruka
22
ZAMKA ZA INENJERE
Svi znaju da agencije za zapoavae koriste metode obmaivaa kako
bi vrbovali talentovane kandidate. Evo primera kako se to radi.
Krajem devedesetih, jedna agencija za zapoavae, koja ba i ne dri
do etike, potpisala je ugovor s novim klijentom, kompanijom koja trai
ineere elektrotehnike s iskustvom u telekomunikacijama. Voa projekta bila je dama obdarena dubokim, seksi glasom koji je nauila da iskoristi
da bi brzo uspostavila poveree i prisnost preko telefona.
Odluila je da izvri pohod na davaoca usluga mobilne telefonije, da
vidi moe li tamo nai neke ineere koji bi se nali u iskueu da preu
na drugu stranu, kod konkurencije. Naravno, nije mogla da pozove
centralu i kae: Spojite me sa svakim ko ima pet godina ineerskog
iskustva. Umesto toga, iz razloga koji e uskoro postati jasni, zapoela je
potragu za talentovanim osobem tako to je zatraila jedan podatak koji
naizgled nije uopte bitan, i koji slubenici te kompanije daju gotovo svakom ko ga zatrai.
23
24
25
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena
Nakon nekoliko dana, kad je telefonski imenik kompanije stigao, Didi je shvatila da joj se trud jo vie isplatio nego to je
oekivala u emu se nisu nalazili samo puki spiskovi imena i
telefonskih brojeva, ve je bilo prikazano i ko za koga radi,
dakle poslovna struktura itave organizacije.
Dama promuklog glasa bila je spremna da telefonom vrbuje
kadar. Na prevaru je dola do informacija neophodnih da bi
otpoela s napadom, i to sve zahvaujui svom talentu za
ophoee s udima, koji svaki obmaiva mora da dovede do
perfekcije. Sad je mogla da ubere plodove svog rada.
26
Analiza prevare
Ovu obmanu Didi je poela tako to je nabavila brojeve tri odeea u
cinoj kompaniji. To je bilo lako, jer brojevi koje je traila nisu tajna, a
pogotovo zaposlenima. Obmaiva naui da zvui kao domai, a Didi
je bila spretna u toj igri. Pomou jednog od tih telefonskih brojeva dola je
do kontnog broja, koji je potom upotrebila kako bi se domogla primerka
firminog telefonskog imenika zaposlenih.
Bilo je potrebno: da zvui prijateski, da koristi odreene poslovne
izraze, i, kod poslede rtve, da ubaci malo verbalnog koketiraa.
Neophodno joj je bilo jo neto to se ne stie lako vetina manipulacije, dovedena do visokog nivoa kroz dugu praksu, kao i samouverenost.
terminologija
LANA ADRESA (engl. mail drop)
U obmaivau, to je izraz za
privremeni potanski fah, uglavnom pod lanim imenom, koji slui da
u ega stiu dokumenta ili paketi koje rtve na prevaru poau.
mitnikova
poruka
Da li je to Piter Ejbls?
27
mitnikova
poruka
Pouka prie je ta da ne treba obelodaivati line podatke niti interne kompanijske informacije ili ifre nikome, ukoliko glas sagovornika ne zvui poznato
ili niste sigurni da li ima pravo da ih zatrai.
SPREAVANJE PREVARE
28
Kompanija mora objasniti zaposlenima da moe doi do ozbinih posledica ako se s informacijama, koje nisu javne prirode, ne postupa na pravi
nain. Dobro osmiena politika zatite informacija, zajedno sa odgovarajuim obrazovaem i uvebavaem, naglo e podii na vii nivo svest
zaposlenih o tome kako se vaa odnositi prema poslovnim informacijama
u okviru kompanije. Klasifikacija podataka pomoi e vam da primenite
odgovarajua pravila kad je u pitau ihovo obelodaivae. Ako takva
klasifikacija ne postoji, svi interni podaci moraju se smatrati poverivima,
ukoliko nije drugaije odreeno.
Preduzmite sledee korake da biste zatitili svoju kompaniju od odavaa naizgled bezazlenih informacija:
Odeee za bezbednost informacija treba da sprovede obuku s ciem
da do pojedinosti razjasne metode obmaivaa. Jedna od metoda,
kao to smo ranije opisali, jeste da se doe do naizgled beznaajnog
podatka, te da se on kasnije upotrebi kao eton za poker kako bi se
uspostavilo kratkotrajno poveree. Svaki zaposleni mora znati da
poznavae kompanijske procedure, terminologije i internih kodova,
ni u kom sluaju nije dovono za identifikaciju sagovornika, niti mu
daje pravo da zahteva podatke. Sagovornik moe biti i bivi zaposleni
ili radnik po ugovoru koji ima potrebne interne informacije. Shodno
tome, svaka firma mora da utvrdi odgovarajue metode identifikacije
koje se primeuju kad zaposleni stupe u kontakt s udima koje lino
ne poznaju ili s ima razgovaraju telefonom.
Osoba ili osobe koje imaju ulogu i odgovornost da osmisle klasifikaciju podataka treba da razmotre tipove pojedinosti koje se mogu upotrebiti da bi se dolo do poverivih informacija, a koje se zaposlenima
mitnikova
poruka
29
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena
30
je da svaka kompanija ima pisani i distribuirani pravilnik o obelodaivau informacija te vrste. U zatitne mere treba uvrstiti i voee
dnevnika u koji bi se zapisivalo odavae poverivih informacija
udima van firme.
Podaci poput broja zaposlenog ne treba da se samostalno koriste za
identifikaciju. Svakog zaposlenog treba obuiti da utvrdi i identitet
onoga ko informaciju trai i zato je trai.
U okviru obuke o zatiti informacija, razmislite o tome da nauite
zaposlene sledeem: kad god im nepoznata osoba postavi pitae ili ih
zamoli za uslugu, prvo treba ubazno da je odbiju dok se zahtev ne
odobri. A potom pre nego to popuste pred prirodnim nagonom da
budu predusretivi neka prate kompanijski pravilnik i procedure u
vezi sa odobravaem i objavivaem informacija koje nisu javne
prirode. To moe biti malo protivno naem prirodnom nagonu da
pomognemo drugima, ali je moda neophodna mala doza zdrave
paranoje da biste izbegli da ba vi upadnete u obmaivaevu zamku.
Kao to smo u priama iz ovog poglava videli, naizgled bezazlene informacije mogu biti ku do najuvanijih tajni vae kompanije.
Pregled
bezbednosnih metoda
piskovi i dijagrami koji slede ukratko opisuju metode obmane navedene u poglavima od 3 do 15, i postupke provere iz poglava 16.
Prilagodite ove podatke svojoj organizaciji i dajte ih svim radnicima
da bi ih primenili kada se ukae problem bezbednosti informacija.
PREPOZNAVANJE NAPADA
Naredne tabele i spiskovi e vam pomoi da uoite napad sistematskog
obmaivaa.
Ciklus obmane
POSTUPAK
Istraivae
OPIS
Ispituju se i podaci iz javnih izvora kao to su godii izvetaji, marketinke broure, prijave patenata,
iseci iz tampe, struni asopisi i Web lokacije.
Tu spada i kopae po smeu.
Razvijae dobrih Upotreba internih informacija, lano predstavae,
odnosa i poverea pomiae osoba koje rtva poznaje, molba za
pomo, ili pozivae na autoritet.
Zloupotreba
poverea
Upotreba
informacija
334
Izdavae za kolegu
Izdavae za zaposlenog u firmi dobavaa usluga, partnerskoj firmi,
ili kriminalistikoj slubi
Izdavae za nekog ko je na viem poloaju
Izdavae za novog zaposlenog kome treba pomo
Izdavae za dobavaa usluga ili proizvoaa sistema koji zove da bi
ponudio sistemsku zakrpu ili najnoviju verziju
Nuee pomoi ako bi nastao problem, potom izazivae problema,
ime se rtva navede da od napadaa zatrai pomo
Slae rtvi besplatnog softvera ili zakrpe da ih instalira
Slae virusa ili trojanskog koa u prilogu elektronske poruke
Upotreba lanog okvira za dijalog u kom se od korisnika trai da se
ponovo prijavi za rad ili da ponovo unese lozinku
Snimae rtvinih pritisaka na tastere pomou raunarskog sistema
ili programa
Ostavae na radnom mestu disketa ili kompakt diskova sa zlonamernim softverom
Koriee interne terminologije da bi se zadobilo neije poveree
Nuee nagrade da bi se neko registrovao na Web lokaciji pomou
korisnikog imena i lozinke
Ostavae dokumenata ili datoteka u kompanijskoj prostoriji za
potu radi isporuke u kancelarije
Prilagoavae zaglava faksa tako da se ini da je poslat sa interne
lokacije
Umoavae slubenika prijemnog odeea da primi i prosledi faks
Zahtev da se datoteka prosledi do naizgled interne lokacije
Proizvoai ili
davaoci usluga
Posebna odeea
PRIMERI
Slubenici prijemnih odeea, slubenici na telefonskoj centrali, sekretarice i pomonici, uvari.
335
Pregled bezbednosnih metoda
336
OPIS
Proverite da li je poziv interni, i da li ime i broj
lokala odgovaraju identitetu sagovornika.
Potraite ime podnosioca zahteva u kompanijskom
imeniku i pozovite ga na navedeni broj lokala.
Garantovae
Zatraite od poverivog radnika da garantuje za
identitet podnosioca zahteva.
Deena interna
Zatraite da vam kae tajnu koju deli itavo
tajna
preduzee, kao to je lozinka ili dnevni kd.
Stupite u vezu s neposrednim pretpostavenim tog
Nadzornik
ili pretpostaveni radnika i zatraite da on potvrdi egov identitet i
status u firmi.
Bezbedna elektron- Zatraite da vam poau digitalno potpisanu
poruku.
ska pota
Ako neki zaposleni lino poznaje onoga za koga se
Lino prepoznasagovonik izdaje, pozovite ga da proveri da li je to
vae glasa
egov glas.
Izmenive lozinke Koristite vremenski eton kao to je Secure ID, ili
neko drugo pouzdano sredstvo za identifikaciju.
Lino
Zatraite od podnosioca zahteva da lino doe sa
propusnicom za zaposlene ili nekim drugim dokumentom za identifikaciju.
OPIS
Proverite da li se ime zaposlenog nalazi
u imeniku na mrei.
Pozovite egovog pretpostavenog na
broj naveden u kompanijskom imeniku.
Pozovite odeee ili radni tim podnosioca zahteva i proverite da li je jo uvek
zaposlen u firmi.
POSTUPAK
Pogledajte spisak odgovornosti radnih mesta/timova
OPIS
Pogledajte objavene spiskove osoba
koje su ovlaene da poseduju odreene
poverive informacije.
Zatraite odobree od svog Pozovite svog pretpostavenog, ili pretpostavenog podnosioca zahteva, i zatrapretpostavenog
ite odobree da mu ispunite zahtev.
Zatraite odobree od osobe Pitajte osobu zaduenu za informacije
zaduene za informacije ili
da li je podnosilac zahteva ovlaen da
egovog zamenika
poseduje date podatke.
Proverite ovlaee pomou Proverite ovlaea u posebnoj bazi
automatskog alata
podataka.
337
Klasifikacija podataka
338
KLASIFIKACIJA OPIS
Javni
Mogu se slobodno saoptavati
u javnosti.
Interni
Za upotrebu u
okviru firme.
Privatni
Poverivi
POSTUPAK
Nema potrebe proveravati.
PRIMERI
Da
NIKADA nemojte
saoptavati svoju
lozinku ni pod
kojim uslovima.
Pojedinosti
strukture
organizacije
Da
Sledite postupke
rada s internim
informacijama.
Da
Sledite postupke
rada s internim
informacijama.
Da
Sledite postupke
rada s internim
informacijama.
Da
Sledite postupke
rada s internim
informacijama.
Ne
Kompanijski
telefonski
imenik
Ne
Line podatke
Ne
Postupke
i informacije
o raunarskim
sistemima
Ne
Postupci proizvode,
strateki planovi, izvorni kd
programa, spiskovi kupaca
i poslovne tajne
Da
Proverite klasu
podataka; sledite
odgovarajue
postupke za tu
klasu.
Sve informacije se smatraju osetivima ukoliko nisu posebno nameene za javnu upotrebu.
Ne
Struktura odgovornosti,
imena i zvaa zaposlenih
339
NAPOMENE
340
Da
Ne
Da izmenite lozinku
Da
NIKADA ne
meajte lozinku u
neto poznato drugom licu, ak ni za
trenutak!
Ne
Da
elektronski
prosledite interne
informacije
Da
Proverite klasu
podataka; sledite
odgovarajue
postupke za tu
klasu.
Ne
Da unesete
naredbe u raunar
Da
Podnosilac zahteva
mora biti iskuivo
iz informatikog
odeea; primenite postupke provere zaposlenog.
Ne
Da
preuzmete,
instalirate, uklonite,
ili iskuite
softver
Da
Sledite postupke
rada s internim
informacijama.
Da
Podnosilac zahteva
mora biti iskuivo
iz informatikog
odeea; primenite
postupke provere
zaposlenog.
Ne
Da
izmenite
parametre raunarskog
sistema
ili mree