predgovor

eki hakeri unitavaju udima datoteke ili celokupan sadraj diskova oni su provalnici ili vandali. Neki hakeri poetnici se ne trude
da naue tehnologiju, ve koriste hakerske alate da bi provalili u
raunarske sisteme oni su skriptai. Iskusniji hakeri razvijaju hakerske
programe i objavuju ih na Webu i u diskusionim grupama. A tu su i osobe
koje tehnologija ne zanima, ve raunar koriste samo kao pomono sredstvo za krau novca, dobara i usluga.
Uprkos mitu koji su o Kevinu Mitniku ispleli mediji, ja nisam zlonameran haker.
Ali, sad vam sve priam unapred.

POECI
Svoj put sam verovatno odabrao rano. Bio sam bezbrino dete, ali sam se
dosaivao. Nakon to nas je otac ostavio kada sam imao tri godine, moja
majka je radila kako konobarica da bi nas izdravala. Poto je morala
naporno da radi po ceo dan, ja sam uglavnom dau bio sam. uvao sam
sam sebe.
Budui da sam odrastao u San Fernando Veliju, mogao sam da istraujem itav Los Aneles, a do svoje dvanaeste godine pronaao sam nain da
putujem besplatno po itavoj teritoriji L.A. Jednog dana, dok sam se vozio
autobusom, shvatio sam da ispravnost karte za gradski prevoz zavisi od neobinog rasporeda izbuenih rupica kojima su vozai oznaavali dan, vreme
i trasu. Jedan ubazan voza odgovorio je na moje paivo formulisano pitae. Objasnio mi je gde da kupim tu vrstu aparata za buee rupica.
Karte za presedae omoguavaju putnicima da meaju autobuse do
odredita, ali ja sam smislio kako da pomou ih besplatno putujem gde

UMOB, November 4, 2003 10:04 am

Predgovor_UMOB.slog, ix str.

Predgovor

god poelim. Nabaviti neoverene karte za presedae bio je maji kaa.

Kante za otpatke na autobuskim stajalitima bile su uvek pune delimino
ispuenih blokova karata za presedae, koje bi vozai bacili na kraju
smene. S blokom praznih karata i ureajem za buee rupica, mogao sam
da oznaavam sopstvenu trasu i putujem kud god su ili autobusi u Los
Anelesu. Ubrzo sam gotovo napamet znao red voe itavog gradskog
prevoza. (To je bio jedan od prvih primera mog zauujueg pamea
odreenih vrsta informacija: i danas mogu da se setim telefonskih brojeva,
lozinki, i drugih naizgled beznaajnih pojedinosti iz detistva.)
U detistvu sam bio opien opsenarstvom. Kad bih saznao kako se
nov trik izvodi, vebao bih, vebao, i jo malo vebao dok ga ne bih
nauio. U izvesnoj meri, upravo sam kroz maioniarstvo otkrio radost
saznavaa neeg tajanstvenog.

Od prevaranta koji se slui telefonom

do hakera
Moj prvi susret s onim to u kasnije zvati obmaivae, dogodio se u
sredoj koli, kad sam se upoznao s uenikom iji je hobi bio zloupotrebavae telefona. To je vrsta hakerisaa kojim se istrauje telefonska
mrea. Koriste se telefonski sistemi i iskoriavaju zaposleni u telefonskoj
kompaniji. Pokazao mi je zgodne trikove koje je umeo da izvede preko
telefona, poput dobijaa svih informacija koje telefonska kompanija ima
o bilo kom klijentu, ili upotrebe tajnog probnog broja da bi se besplatno
koristile meugradske veze. (Zapravo, samo je za nas to bilo besplatno.
Mnogo kasnije sam saznao da to uopte nije bio tajni probni broj. Pozivi
su se naplaivali preko MCI rauna neke jadne kompanije.)
To me je uvelo u obmaivae bilo je to, takorei, moje obdanite.
Moj prijate i jo jedan takav prevarant, kojeg sam nedugo zatim upoznao, dozvoavali su mi da sluam dok su pod nekim izgovorom pozivali
telefonsku kompaniju. uo sam stvari koje su im govorili da bi zvuali
verovatnije; nauio sam neto o razliitim ograncima telefonske kompanije, ihovu terminologiju i procedure. Ta obuka nije dugo trajala; nije ni
bilo potrebno. Uskoro sam sve to radio sam, usput uei, sve dok nisam
postao boi i od sopstvenih prvih uitea.
Put kojim e se moj ivot odvijati tokom sledeih petnaest godina bio
je zacrtan.

UMOB, November 4, 2003 10:04 am

Predgovor_UMOB.slog, x str.

Kako sam poeo da se bavim obmaivaem

Neki udi svakog jutra ustaju iz kreveta uasavajui se rutine svakodnevnog posla u rudniku, kako se kae. Ja sam bio te sree da sam uivao
u poslu. Ne moete ni zamisliti izazov, nagradu i zadovostvo koje sam

UMOB, November 4, 2003 10:04 am

Predgovor_UMOB.slog, xi str.

xi
Predgovor

U sredoj koli mi je jedna od omienih ala bila da neovlaeno pristupim telefonskoj centrali i izmenim klasu usluge na liniji nekog drugog
prevaranta. Kad bi pokuao da pozove od kue, poruka bi ga obavestila da
treba da ubaci novi jer bi do telefonske centrale stizao signal koji znai
da zove iz telefonske govornice.
Opiavalo me je sve o telefonima ne samo elektronika, centrale i
raunari, ve i organizacija telefonske kompanije, te ihove procedure i
terminologija. Nakon izvesnog vremena, verovatno sam boe poznavao
telefonski sistem od bilo kog zaposlenog. Svoju vetinu obmane razvio
sam do te mere da sam, sa sedamnaest godina, mogao da lino ili telefonom nagovorim veinu zaposlenih u telefonskoj kompaniji da uine
gotovo bilo ta.
Moja hakerska karijera, o kojoj se mnogo govorilo u javnosti, poela je
dok sam bio u sredoj koli. Iako ovde ne mogu opisivati pojedinosti, rei
u da je jedna od linija vodia u mojim ranim hakerskim danima bila da
budem prihvaen u krug ostalih hakera.
U to vreme, nama je izraz haker oznaavao osobu koja provodi mnogo
vremena petajui s hardverom i softverom, da bi razvio efikasnije programe ili da bi zaobiao nepotrebne korake i obavio posao bre. Taj izraz je
sada postao pogrdan, i oznaava zlonamernog kriminalca. U ovoj kizi
ja ga koristim kao i uvek u egovom starijem, dobroudnijem znaeu.
Nakon srede kole, studirao sam informatiku u Centru za raunarsku
obuku u Los Anelesu. Za nekoliko meseci, upravnik raunarske mree u
koli otkrio je da sam pronaao propust u operativnom sistemu i dodelio
sebi ovlaea administratora na ihovom IBM-ovom miniraunaru. Ni
najboi struaci za raunare koji su tamo predavali nisu mogli da shvate
kako sam to uinio. Bio je to moda jedan od najranijih primera unajmivaa hakera ponudu nisam mogao da odbijem. Traili su da za
diplomski rad uradim projekat za unapreivae bezbednosti kolskih
raunara, ili da budem izbaen zbog hakerskog upada u sistem. Naravno,
odabrao sam prvo, pa sam na kraju diplomirao s najveim ocenama.

Predgovor

xii

dobijao za vreme koje sam proveo kao privatni istraite. Brusio sam svoj
talenat u umetnosti obmane (u kojoj se udi navode da ine ono to obino
ne bi uradili za neznanca), i bio sam za to plaen.
Meni nije bilo teko da postanem vrstan obmaiva. Oeva familija se
generacijama bavila trgovinom, pa sam umetnost uticaa i ubeivaa
moda i nasledio. Kad spojite tu crtu s teom za varaem udi, dobijate
tipian profil osobe koja moe da se bavi obmaivaem.
Moglo bi se rei da postoje dve specijalnosti u okviru tog zanimaa.
Onaj ko vara ude i izmamuje od ih novac pripada jednoj potkategoriji varalicama. Onaj ko obmauje i ubeuje zaposlene u kompanijama,
i utie na ih, obino s ciem da se domogne ihovih informacija, pripada drugoj potkategoriji obmaivaima. Jo od vremena kad sam izvodio
svoj trik s kartama za autobus, kad sam bio isuvie mali da bih znao da to
to radim nije u redu, poeo sam u sebi da prepoznajem talenat za
otkrivae tajni koje nije trebalo da saznam. Taj sam talenat nadogradio
koristei se obmanom, poznajui terminologiju, i razvijajui do majstorstva vetinu manipulacije.
Jedan od naina na koji sam razvijao vetinu svog zanata, ako ga tako
mogu nazvati, bio je da izaberem neki podatak do kojeg mi nije zaista stalo, i da vidim mogu li nekog s druge strane ice nagovoriti da mi ga oda,
tek da bih se kalio. Kao to sam uvebavao iluzionistike trikove vebao
sam lagae preko telefona. Uskoro sam otkrio da mogu da doem do gotovo bilo koje informacije koju poelim.
Kao to sam opisao u svedoeu pred senatorima Libermanom i Tomsonom godinama kasnije:
Neovlaeno sam pristupao raunarskim sistemima nekih od najveih
firmi na svetu, i uspeno sam upadao u neke od najotpornijih raunarskih
sistema koji su ikad napraveni. Koristio sam tehnika i ostala sredstva
da bih se domogao izvornog koda raznih operativnih sistema i telekomunikacionih ureaja, da bih prouavao ihove slabe take i nain na
koji rade.
Sve to sam inio da bih zadovoio sopstvenu znatieu; da bih video
ta mogu; i da bih otkrio tajne informacije o operativnim sistemima, mobilnim telefonima, i svemu ostalom to bi zagolicalo moju ubopitivost.

UMOB, November 4, 2003 10:04 am

Predgovor_UMOB.slog, xii str.

ZAKLJUAK

UMOB, November 4, 2003 10:04 am

Predgovor_UMOB.slog, xiii str.

xiii
Predgovor

Nakon hapea, priznao sam da je to to sam inio nezakonito, i da sam

naruavao tuu privatnost.
Ta krivina dela vrio sam iz radoznalosti. Hteo sam da znam to vie
o tome kako rade telefonske mree, kao i sve pojedinosti o obezbeeu
kompanija. Preao sam put od momka koji voli da prikazuje iluzionistike
trikove, do najozloglaenijeg svetskog hakera, kojeg se plae i kompanije i
vlade. Kad razmislim o svom ivotu u posledih 30 godina, priznajem da
sam doneo neke veoma loe odluke, voen ubopitivou, eom da
nauim neto vie o tehnologiji, kao i potrebom za odgovarajuim intelektualnim izazovima.
Sada sam druga osoba. Koristim svoj talenat i ogromno znae o bezbednosti informacija i metodama obmane da bih pomogao dravnim institucijama, kompanijama i pojedincima da spree i otkriju opasnosti po
bezbednost informacija, i da na to reaguju.
Ova kiga je jo jedan nain da svojim iskustvom pomognem drugima
da se odbrane od zlobnih kradivaca informacija. Smatram da e vam
prie biti zabavne, poune i informativne.

deo

1
Iza kulisa

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 1 str.

poglavlje

Najslabija taka
bezbednosnog sistema

reduzee moe da kupi najboe dostupne bezbednosne tehnologije,

obui ude tako dobro da zakuavaju sve tajne informacije pre
nego to uvee pou kui, i zaposli najboe uvare zgrade.
Takva kompanija je ipak potpuno raiva.
Pojedinci se mogu pridravati svakog visokobezbednosnog pravila koje
preporuuju struaci, revnosno instalirati svaki preporueni proizvod iz
oblasti bezbednosti, i mogu veoma paivo konfigurisati sistem i primeivati bezbednosne zakrpe.
I ti pojedinci su ipak sasvim podloni napadima.

LJUDSKI INILAC
Kad sam svedoio pred Kongresom SAD, objasnio sam da sam esto dolazio do lozinki i drugih poverivih informacija pretvarajui se da sam neko
drugi i jednostavno traei.
Prirodno je da ovek tei oseau apsolutne sigurnosti, usled ega se
mnogi uukuju u lano oseae bezbednosti. Uzmite, na primer, odgovornog i brinog kuevlasnika. Da bi zatitio svoju enu, decu i dom, na
ulazna vrata ugrauje bravu s prekidaem, za koju se misli da se ne moe
obiti. On se sada osea mnogo prijatnije, budui da je egova porodica

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 3 str.

Deo 1: Iza kulisa

mnogo boe zatiena od ueza. Ali ta ako provalnik razbije prozor ili
otkrije ifru sistema za otvarae garanih vrata? ta kaete na to da instalirate robustniji bezbednosni sistem? To je boe, ali i dae nema garancija.
Sa skupim bravama ili bez ih, kuevlasnik je i dae podloan napadima.
Zato? Zato to je udski inilac zapravo najslabija taka bezbednosnog
sistema.
Bezbednost je suvie esto samo iluzija, iluzija kojoj povremeno idu u
prilog lakovernost, naivnost, ili neznae. Najuveniji svetski naunik dvadesetog veka, Albert Ajntajn, rekao je: Samo su dve stvari bezgranine,
univerzum i udska glupost, a za ono prvo nisam ni siguran. Dakle, obmaivae moe da uspe kada se naie na udsku glupost ili, ee, na
nepoznavae dobrih bezbednosnih pravila. Budui da imaju slian stav
kako i na kuevlasnik koji pazi na bezbednost, mnogi struaci iz oblasti
informacionih tehnologija (IT) ive u zabludi da su u velikoj meri obezbedili preduzee primenom standardnih bezbednosnih proizvoda zatitnih
barijera, sistema za otkrivae upada, ili monijih ureaja za identifikaciju
poput onih sa iframa koje se meaju u vremenskim intervalima, ili biometrikih identifikacionih kartica. Svi koji smatraju da sami bezbednosni
proizvodi nude pravu sigurnost, uukuju se u iluziju sigurnosti. Oni ive
u svetu uobrazie: pre ili kasnije, neizbeno e im se dogoditi bezbednosni
incident.
Kao to priznati savetnik za bezbednost Brus najer kae: Bezbednost
se ne dobija od proizvoda; to je proces. tavie, to nije tehnoloki problem ve problem udi i uprave.
Kako se razvijaju sve boe i boe bezbednosne tehnologije, koje oteavaju pronalaee tehnikih propusta, napadai e se sve vie okretati udskom iniocu. Poraavae udskog sigurnosnog bedema je esto lako, ne
zahteva nikakva ulagaa osim jednog telefonskog poziva, i podrazumeva
minimalan rizik.

KLASIAN SLUAJ OBMANE

ta je najvea preta bezbednosti vaeg poslovaa? Odgovor je jednostavan; to je obmaiva beskrupulozni maioniar iju levu ruku gledate
dok vam desnom krade tajne informacije. Ta osoba je esto tako prijateski nastrojena, toliko je slatkoreiva i predusretiva, da ste sreni to ste na
u naili.

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 4 str.

Evo primera obmane. Ne seaju se mnogi danas mladog Stenlija Marka

Rifkina i negove male avanture sa sada nepostojeom bankom Security
Pacific National Bank u Los Anelesu. Postoje razne prie o egovim
ludorijama, jer Rifkin (poput mene) nikada nije ispriao sopstvenu verziju. Pria koja sledi zasniva se na objavenim izvetajima.

Otkrivae ifre

U pitau je taj bankovni raun u vajcarskoj

Napustivi prostoriju oko 3 asa poslepodne, uputio se pravo ka telefonskoj govornici u mermernom holu zgrade, Ubacio je novi i okrenuo broj
prostorije za transfere. Potom je preuzeo tu identitet, ne predstavajui
se vie kao Stenli Rifkin, bankarski savetnik, nego kao Majk Hensen, lan
Meunarodnog odseka banke.
Prema jednom izvoru, razgovor se odvijao priblino ovako:
Zdravo, ovde Majk Hensen iz Meunarodnog, rekao je mladoj eni
koja se javila na telefon.
Ona ga je upitala za broj kancelarije. To je bila uobiajena procedura,
pa je on bio spreman: 286, rekao je.

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 5 str.

5
Poglavlje 1: Najslabija taka bezbednosnog sistema

Jednog dana 1978. Rifkin se odetao do prostorije za transakcije banke

Security Pacific. Pristup toj prostoriji bio je dozvoen samo odreenim
zaposlenima. Slubenici su tu slali i primali transakcije ija je ukupna
vrednost dostizala i nekoliko milijardi dolara svakog dana.
Kompanija u kojoj je radio trebalo je da projektuje rezervni sistem za
podatke, u sluaju da se glavni raunar pokvari. Zahvaujui toj ulozi
imao je pristup proceduri rada pri transakcijama, ukuujui i to kako inovnici banke au nalog da se novac prebaci na neki raun. Saznao je da
se ovlaenim inovnicima svakog jutra daje pomno uvana dnevna ifra,
koju koriste kad zovu sobu za transakcije.
Zaposleni u prostoriji za transakcije nisu se trudili da zapamte ifru:
pisali su je na papirie i kaili na vidna mesta. Tog novembarskog dana
Rifkin je imao poseban razlog za posetu. eleo je da osmotri taj papiri.
Stigavi u sobu za transakcije, zapisao je neke podatke, navodno da bi
se uverio da e se rezervni sistem vaano uklopiti sa postojeim sistemima.
U meuvremenu, potajno je proitao bezbednosnu ifru s pareta papira i
zapamtio je. Izaao je nakon nekoliko minuta. Kako je kasnije rekao, oseao se kao da je upravo osvojio nagradu na lutriji.

Deo 1: Iza kulisa

Devojka je pitala: Koja je ifra?

Rifkin je rekao da mu je u tom trenutku adrenalin pojurio venama a srce
poskoilo. Ravnoduno je odgovorio: 4789. Potom joj je dao nalog za
prenos tano deset miliona i dve stotine hiada dolara od firme Irvin
Trast u Njujorku, na raun u banci Vochud Handels u Cirihu u vajcarskoj, gde je prethodno ve otvorio raun.
Devojka potom ree: U redu, zabeleila sam. A sad mi treba meukancelarijski identifikacioni broj.
Rifkina je oblio znoj; bilo je to neoekivano pitae, neto to mu je
promaklo za vreme priprema. Odglumio je da je sve u najboem redu, i
odmah je hladnokrvno odgovorio: Saekajte da proverim; odmah u vas
pozvati. Ponovo je promenio identitet i pozvao drugo odeee u banci,
ovog puta predstavajui se kao zaposleni u prostoriji za transakcije. Dobio je meukancelarijski identifikacioni broj i odmah pozvao devojku.
Zapisala je broj i zahvalila mu se. (to je, u tim okolnostima, bilo veoma ironino.)

Privoee kraju
Nekoliko dana kasnije Rifkin je odleteo u vajcarsku i podigao gotovinu.
Od jedne ruske agencije kupio je gomilu dijamanata za preko 8 miliona
dolara. Vratio se avionom, i proao kroz carinu Sjedienih Drava s
draguima skrivenim u pojasu za novac. Uspela mu je najvea paka
banke u istoriji a poinio ju je bez pitoa, pa ak i bez raunara. Zaudo, egova ludorija je na kraju dospela na stranice Ginisove kige svetskih
rekorda u kategoriji najvea raunarska prevara.
Stenli Rifkin je primenio umetnost obmane vetine i tehnike koje se
danas, na engleskom, nazivaju social engineering. Detano planirae i nadarenost za ophoee s udima zapravo je sve to mu je bilo potrebno.
Upravo time se bavi ova kiga metodama obmane (za koje je pisac
ovih redova pravi struak) i nainima odbrane od ih.

PRIRODA PRETNJE
Pria o Rifkinu savreno objaava kako oseaj sigurnosti moe biti
variv. Ovakvi sluajevi moda ne kraa 10 miliona dolara, ali ipak nepoeni deavaju se svakodnevno. Moda upravo sada gubite novac, ili

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 6 str.

vam neko krade planove o novom proizvodu, a da toga niste ni svesni.

Ako se to vaem preduzeu jo nije dogodilo, ne postava se pitae da li
e, ve kada e to biti.

Sve vea zabrinutost

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 7 str.

7
Poglavlje 1: Najslabija taka bezbednosnog sistema

Institut za raunarsku bezbednost objavio je u svom izvetaju o raunarskom kriminalu iz 2001. godine da je 85% ispitanih organizacija otkrilo
naruavae raunarskog bezbednosnog sistema u prethodnih dvanaest
meseci. To je zapaujua cifra: samo petnaest od svakih sto ispitanih organizacija mogle su da kau da kod ih nije bilo naruavaa bezbednosnog
sistema tokom te godine. Podjednako zapaujui bio je i broj organizacija
koje su prijavile finansijske gubitke usled napada na raunarski sistem: 64
procenta. Vie od pola ispitanih organizacija podleglo je finansijskim gubicima usled toga. I to samo u jednoj godini.
Iz sopstvenog iskustva smatram da su brojke u ovakvim izvetajima
pomalo preterane, poto sumam u ispravnost naina anketiraa. Ali to
ne znai da teta nije ogromna ogromna je. Preduzea koja ne planiraju
odbranu od napada sigurno e pretrpeti tetu.
Komercijalni proizvodi za bezbednost sistema, koji se koriste u veini
kompanija, uglavnom tite od ueza amatera, poput devojaka i mladia
koji se nazivaju skriptai. Ti klinci koji bi eleli da postanu hakeri, a koriste softver preuzet s Interneta, uglavnom predstavaju sitnu smetu.
Vee gubitke nanose i pravu pretu predstavaju sofisticirani napadai.
Njih motivie finansijska dobit a mete su im dobro definisane. Oni se usmeravaju na jednu po jednu metu, umesto da, poput amatera, pokuaju
da provale u to vie sistema. Dok se amateri zadovoavaju kvantitetom,
profesionalci ciaju na kvalitetne i vredne informacije.
Tehnoloke mere poput uvoea ureaja za identifikaciju, kontrole pristupa (za upravae pristupom datotekama i sistemskim resursima), i instaliraa sistema za otkrivae upada (elektronski ekvivalent alarma koji
upozoravaju na provalnike) neophodne su stavke u bezbednosnom sistemu
jedne firme. Skoro po pravilu, u danae vreme jedna kompanija troi vie
novca na kafu nego na mere zatite od napada na bezbednosni sistem.
Upravo kao to um kriminalca ne moe da odoli iskueu, um hakera
tei da zaobie mone tehnoloke bezbednosne sisteme. U mnogim sluajevima oni to ine usmeravajui se na korisnike tehnologije.

Naini obmane

Deo 1: Iza kulisa

Kae se da je bezbedan raunar samo onaj koji je iskuen. Pametno

reeno, ali ipak netano: obmaiva nagovori nekoga da ue u kancelariju
i ukui raunar. Neprijate koji eli odreenu informaciju do e moe
doi, obino na jedan od nekoliko naina. To je samo pitae linosti, vremena, strpea i upornosti. A onda umetnost obmane stupa na scenu.
Da bi zaobiao mere bezbednosti, uez, odnosno obmaiva, mora
nai naina da prevari lakovernog korisnika kako bi mu ovaj otkrio informacije, ili da na prevaru navede rtvu, koja nita ne suma, da mu odobri
pristup. Kada neko prevari zaposlene, na ih izvri pritisak, ili ih obmane
da otkriju vane informacije ili stvore rupu u bezbednosnom sistemu, nikakva tehnologija ne moe zatititi poslovae. Struaci ponekad uspeju
da deifruju poruku tako to pronau propust zahvaujui kojem mogu
da zaobiu tehnologiju za ifrirae. Upravo tako i obmaivai pokuavaju da prevare zaposlene da bi zaobili bezbednosnu tehnologiju.

ZLOUPOTREBA POVERENJA
U veini sluajeva, uspeni obmaivai umeju dobro da se ophode s udima. armantni su, ubazni i dopadivi a upravo su te osobine potrebne
da bi se brzo uspostavili prisnost i poveree. Iskusan napada moe pristupiti gotovo svakoj informaciji pomou pomenute strategije i taktike.
Savesni struaci za tehnologiju mukotrpno su razvijali bezbednosna
reea kako bi sveli rizike na najmau moguu meru, a ipak su ispustili
najbitniju taku podlonu napadima udski faktor. Uprkos intelektu,
mi udi vi, ja, i svi ostali i dae predstavamo najveu bezbednosnu
pretu jedni drugima.

Neiskvarenost u okviru organizacije

Prisetite se da je ARPANet (mrea Agencije za napredne istraivake projekte Sekretarijata odbrane), prethodnik Interneta, projektovan za razmenu informacija izmeu vlade, istraivakih i obrazovnih institucija. Ci
je bio sloboda informisaa, kao i napredak tehnologije. Mnoge obrazovne
institucije su, dakle, instalirale prve raunarske sisteme uz malu ili nimalu
zatitu. uveni borac za slobodnu upotrebu softvera, Riard Stolman, ak
je odbio da zatiti lozinkom sopstveni nalog.

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 8 str.

TERORISTI I OBMANA
Naravno, prevara nije jedino sredstvo obmaivaa. Fiziki terorizam je
najvea vest u medijima, te smo shvatili, kao nikada ranije, da je svet
opasan. Civilizovanost je, ipak, samo prividan sjaj.
Nedavno pojaani napori amerike vlade podigli su i nivo nae svesti o
bezbednosti. Moramo biti u stau pripravnosti i razumeti kako teroristi
podlo meaju identitet, preuzimaju ulogu studenata i suseda, i stapaju se u

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 9 str.

9
Poglavlje 1: Najslabija taka bezbednosnog sistema

No, budui da se Internet koristi za elektronsku trgovinu, opasnosti

od slabe zatite u ovom naem umreenom svetu znatno su se poveale.
Ipak, upotrebom tehnologije nee se reiti problem udskog faktora u
obezbeeu.
Pogledajte samo danae aerodrome. Obezbeee je postalo najbitnije, pa ipak nas plae izvetaji u medijima o putnicima koji su uspeli da
zaobiu mere bezbednosti i prenesu potencijalno oruje pored punktova
za proveru. Kako je to mogue u vreme kad su nam aerodromi u takvom
stau pripravnosti? Da li detektori metala ne rade dobro? Ne. Problem
nije u mainama, ve u udskom faktoru: u udima koji ima upravaju.
Aerodromski slubenici mogu dovesti Nacionalnu gardu, instalirati detektore metala i sisteme za prepoznavae lica, ali bi korisnije bilo obuiti
obine slubenike obezbeea da pravilno proveravaju putnike.
Isti problem se java u okviru dravnih institucija, kompanija i obrazovnih institucija irom sveta. Uprkos naporima struaka za bezbednost,
informacije su ipak svugde raive, a obmaivai e ih i dae smatrati
poenim metama, sve dok se najslabija karika u lancu obezbeea
udski inilac ne ojaa.
Sada, vie nego ikada ranije, moramo nauiti da raskrstimo s pustim
eama i postanemo svesniji metoda zlonamernika, koji pokuavaju da
narue poverivost, integritet i dostupnost raunarskih sistema i mrea.
Bili smo primorani da prihvatimo opreznu vou; vreme je da prihvatimo
i nauimo oprezan rad na raunaru.
Preta da e neko naruiti vau privatnost ili informacioni sistem vae
kompanije moda se ne ini stvarnom dok se napad zaista ne dogodi. Da
bismo izbegli tako skupo otreee, moramo svi postati svesniji, obrazovaniji, oprezniji; moramo agresivno tititi vredne poslovne informacije,
line podatke, i najbitniju infrastrukturu. Te mere opreza moramo poeti
da sprovodimo danas.

masu. Prikrivaju svoja prava uverea dok kuju planove protiv nas; tako koriste trikove obmane sline onima o kojima ete itati na ovim stranicama.
Koliko ja znam, teroristi jo nisu primenili lukavstva obmane kako bi se
uvukli u firme, postrojea za navodavae, elektrane ili druge najbitnije
delove nae nacionalne infrastrukture, ali mogunost postoji. Sasvim je lako. Nadam se da e ova kiga poeti da utie na podizae svesti o bezbednosti na vii nivo, te da e rukovodstva kompanija insistirati da se u
bezbednosnom sistemu primene opisane procedure.

Deo 1: Iza kulisa

10

O OVOJ KNJIZI
Bezbednost preduzea je pitae ravnotee. Usled suvie slabe zatite,
kompanija postaje raiva, ali i preterano naglaavae bezbednosti smeta
pri poslovau koi rast i prosperitet preduzea. Izazov je nai ravnoteu
izmeu bezbednosti i produktivnosti.
Druge kige o bezbednosti kompanija usredsreuju se na hardversku i
softversku tehnologiju, a ne bave se u odgovarajuoj meri najozbinijom
pretom od svih: obmaivaem udi. Ci ove kige je da objasni kako
ste vi, vai saradnici i ostali zaposleni u vaoj kompaniji predmet manipulacije i da informie o bedemima koje moete podii da biste prestali da
budete rtva. Kiga se uglavnom usredsreuje na ne-tehnike metode
koje uezi koriste da bi ukrali informacije, ugrozili celovitost podataka za
koje se veruje da su bezbedni, ili unitili neki proizvod kompanije.
Moj zadatak oteava jednostavna istina: svakog itaoca su ve prevarili
najvei struaci svih vremena iz oblasti obmane egovi roditei. Nali
su naina da vas privole, za sopstveno dobro, da inite ono to su oni
smatrali najboim. Roditei, odlini manipulatori, postupaju kao profesionalni obmaivai koji izmiaju vrlo uverive prie, razloge i opravdaa za dostizae sopstvenih cieva. Da, nas su oblikovali roditei, koji
nas dobronamerno (a ponekad i ne tako dobronamerno) obmauju.
Budui da smo vaspitavani uz obmane, postali smo podloni manipulaciji. iveli bismo drugaije da smo stalno morali da budemo na oprezu,
nepoverivi prema drugima i zabrinuti da bismo mogli postati naivna
meta nekoga ko pokuava da nas iskoristi. U savrenom svetu podrazumevalo bi se da verujemo drugima, uvereni da su udi koje sreemo iskreni i
da im se moe verovati. Ali ne ivimo u savrenom svetu, pa moramo da
uvebavamo odreene mere opreza kako bismo spreili pokuaje neprijatea da nas prevare.

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 10 str.

UMOB, November 4, 2003 10:05 am

01_UMOB.slog, 11 str.

11
Poglavlje 1: Najslabija taka bezbednosnog sistema

Glavne delove ove kige, drugi i trei, saiavaju prie o obmani na

delu. U tim delovima bie rei o sledeem:
O onome to su telefonski prevaranti otkrili pre vie godina: kako od
telefonske kompanije dobiti broj koji ne postoji u imeniku.
O nekoliko razliitih metoda koje napadai primeuju da bi naveli
ak i oprezne, sumiave slubenike da im obelodane svoja korisnika imena i lozinke.
O tome kako je jedan upravnik raunarskog centra saraivao s
napadaem i omoguio mu da ukrade informacije o najpoverivijem
proizvodu egovog preduzea.
O postupcima kojima je slubenica navedena da uita softver koji
pijunira svaki en pritisak na taster i elektronskom potom ae
izvetaje napadau.
O tome kako privatni istraitei dolaze do informacija o preduzeima i pojedincima, od ega ete se, u to budite uvereni, najeiti.
Dok budete itali neke od pria u drugom i treem delu, moda ete
pomisliti da nisu mogue, da niko ne moe tako lagati, koristiti se pravim trikovima i spletkama. Sutina je da se opisani dogaaji mogu odigrati
i zaista se deavaju; mnogi od ih se svakodnevno zbivaju negde u svetu, a
moda ak i u vaem preduzeu dok itate ovu kigu.
Ova kiga e vam zaista otvoriti oi kad je u pitau zatita poslovaa.
Nauie vas da se branite od obmane na linom planu, da biste zatitili integritet informacija u privatnom ivotu.
U etvrtom delu kige prei emo na praktine teme. Moj ci je da
vam pomognem da napravite neophodne poslovne pravilnike i podignete
nivo svesti slubenika, kako biste na najmau moguu meru sveli mogunost da va zaposleni bude obmanut. Razumevae strategija, metoda i taktike obmane pripremie vas da upotrebite razumna sredstva za zatitu
informacija, ne dovodei u pitae produktivnost kompanije.
Ukratko, napisao sam ovu kigu da bih podigao nivo svesti o ozbinoj
preti koju obmaivae predstava, kako biste mogli da obezbedite firmu i zaposlene i budete sigurni da vas niko ne moe obmanuti.
Ili bi moda trebalo da kaem da je mnogo mae verovatno da e vas
ikada ponovo obmanuti.

deo

2
Umee
napadaa

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 13 str.

poglavlje

Kada bezazlena
informacija nije
tako bezazlena

ta veina udi smatra pravom pretom obmane? ta bi vaalo

uiniti da biste bili na oprezu?
Ako je ci napadaa da se domogne neeg veoma vrednog recimo,
izuzetno vane komponente intelektualnog vlasnitva kompanije onda je
moda, figurativno govorei, potreban samo vri sef i jae naoruano
obezbeee. Je li tako?
Naruavae bezbednosnog sistema preduzea, zapravo, obino zapoie tako to se negativac domogne neke informacije ili dokumenta koji
se ine toliko bezazlenim, svakodnevnim i nevanim, da mnogi zaposleni
u organizaciji ne vide zato bi bili zatieni i poverivi.

SKRIVENA VREDNOST INFORMACIJA

Obmaiva smatra veinu naoko bezazlenih informacija vrednim, jer
mogu igrati odluujuu ulogu u egovim pokuajima da se zaodene
velom uverivosti.
Na stranicama koje slede, pokazau vam tehnike obmane tako to u
vam omoguiti da i sami prisustvujete napadima. Ponekad u prikazivati

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 15 str.

dogaaje iz ugla rtve, pa ete moi da se poistovetite s om i ocenite

kako biste vi (ili moda neko od saradnika ili zaposlenih) reagovali u datoj
situaciji. Veinu tih dogaaja posmatraete i iz ugla napadaa.
U prvoj prii re je o raivosti finansijskog poslovaa.

CREDITCHEX

Deo 2: Umee napadaa

16

Britanci su dugo imali veoma krut bankarski sistem. Kao obian, poten
graanin niste mogli da uete u banku i otvorite raun. Ne, banka bi razmotrila va zahtev tek kad bi vam ihov pouzdan klijent dao preporuku.
Sasvim je razliito, naravno, prividno otvoreno savremeno bankarstvo.
Lakoa s kojom se u danae moderno vreme posluje, najboe se oituje
u prijateskoj, demokratskoj Americi, gde gotovo svako moe ui u banku
i lako otvoriti tekui raun, je li tako? Pa, ne ba. Banke nerado otvaraju
raune onima koji su moda ranije ispisivali ekove bez pokria, to je i
razumivo u banci je ek bez pokria isto toliko dobrodoao kao i prijava zbog pake banke ili optuba za proneveru. Stoga je u svakoj banci
standardna procedura da se brzo proveri novi klijent.
Jedna od glavnih kompanija koju banke unajmuju radi ovakvih informacija jeste CreditChex. Oni svojim klijentima obezbeuju dragocene
usluge, ali poput mnogih preduzea, mogu nesvesno pruiti zgodne usluge
i obmaivaima, koji znaju kako do ih da dou.

Prvi poziv: Kim Endrjuz

Nacionalna banka, Kim je kraj telefona. Da li biste eleli da
otvorite raun?
Zdravo, Kim. Hteo bih neto da vas pitam. Da li vi koristite
usluge firme CreditChex?
Da.
Kad im telefonirate, kako zovete broj koji im saoptite je li to
Identifikacioni broj filijale?
Usledila je stanka; razmatrala je zahtev, pitajui se o emu se
radi i da li treba da odgovori.
Sagovornik je brzo nastavio, ne trepnuvi.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 16 str.

Vidite, Kim, ja piem kigu o privatnim istraiteima.

Da, ree, odgovarajui na pitae s novosteenom sigurnou,
zadovona to pomae piscu.
Dakle, to se zove identifikacioni broj filijale, je li tako?
A-ha.
Dobro, sjajno. Hteo sam da budem siguran da je to pravi
izraz. Za kigu. Hvala vam na pomoi. Do viea, Kim.

Drugi poziv: Kris Talbert

Zdravo, Kris. Ovde Aleks, ree glas iz slualice. Ja sam iz
odeea za korisnike usluge firme CreditChex. Sprovodimo anketu da bismo poboali uslugu. Moete li da mi
posvetite nekoliko minuta?
Pristala je, pa je nastavio.
U koje vreme je va ogranak otvoren za klijente? Odgovorila
je, i nastavila da odgovara na niz egovih pitaa.
Koliko zaposlenih u vaem ogranku koristi nae usluge?
Koliko esto nam upuujete zahteve?
Koje od naih besplatnih brojeva smo vam dodelili?
Jesu li nai slubenici uvek ubazni?
Koliko brzo reagujemo na vae zahteve?
Koliko dugo radite u ovoj banci?
Koji identifikacioni broj filijale trenutno koristite?
Da li ste ikada naili na nedoslednosti u informacijama koje
smo vam obezbedili?
Kako biste unapredili nau uslugu?
Da li biste popunili upitnike koje bismo poslali vaem
ogranku?
Ona se s tim sloila, jo malo su proaskali, potom je on spustio slualicu, a Kris se vratila svom poslu.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 17 str.

Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

Nacionalna banka, odsek za nove raune, Kris je kraj telefona.

17

Trei poziv: Henri Mekinsi

CreditChex, ovde Henri Mekinsi. ta mogu da uinim za vas?
Osoba s druge strane ice predstavila se kao slubenik Nacionalne banke. Dao mu je odgovarajui identifikacioni broj filijale, a potom ime i broj socijalnog osiguraa osobe o kojoj
su mu trebali podaci. Henri je pitao za datum roea, a on
mu je i to rekao.
Nakon nekoliko trenutaka, Henri je proitao podatke koji su mu
se pojavili na ekranu.

Deo 2: Umee napadaa

18

Vels Fargo, ispisao je ekove bez pokria 1998. godine, jednom, na sumu od 2066 dolara. ek bez pokria je poznat
bankarski izraz za ekove koji su upotrebeni kad na raunu
nema dovono novca da ispisani iznos pokrije.
Da li je kasnije bilo neeg slinog?
Ne.
Je li bilo drugih provera?
Da vidimo. Da, dvaput, i to oba puta prolog meseca. Zahteve
su uputili Third United Credit Union iz ikaga i Schenectady
Mutual Investments. Spetao se pri potoem nazivu, pa je
morao da izgovori slovo po slovo. Ovi drugi su iz drave
Njujork, dodao je.

Kako radi privatni istraite

Sva tri puta poziv je uputila ista osoba: privatni istraite kojeg emo zvati
Oskar Grejs. Grejs je imao novog klijenta. S obzirom na to da je do pre
nekoliko meseci bio policajac, ustanovio je da mu ovaj novi posao lei, ali
morao je vie da se potrudi i bude inventivniji. Posao je bio ba izazovan.
Detektivi iz pria Sem Spejd, Filip Marlo i ima slini provodili
su duge none sate u kolima, ekajui da uhvate nevernog suprunika na
delu. I pravi detektivi rade tako. No, oni istrauju za zaraene suprunike i na drugi nain, o kojem se mae pie, a isto toliko je vaan. Ta metoda se vie oslaa na vetinu obmane nego na ubijae dosade pri nonom
bdeu.
Oskarov klijent bila je dama koja je, inilo se, imala sasvim pristojan
budet za odeu i nakit. Jednog dana je uetala u egovu kancelariju i sela
na konu stolicu, jedinu na kojoj nisu bili naslagani papiri. Smestila je svoju

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 18 str.

Znao sam za CreditChex i nain na koji banke koriste tu organizaciju

moja biva ena je nekad radila u banci. Ali nisam znao terminologiju i
procedure, a da sam pitao svoju bivu enu, samo bih izgubio vreme.
Prvi korak: nauite pravilno terminologiju. Kad traite informacije, trudite se da zvuite kao da znate o emu priate. U prvoj banci koju sam nazvao, prva gospoica, Kim, bila je podozriva kad sam je upitao kako se
identifikuju kad pozovu CreditChex. Oklevala je; nije znala da li da mi
kae ili ne. Da li je to osujetilo moje namere? Nimalo. Zapravo, eno oklevae bilo je za mene vaan signal da treba da pruim verodostojno obrazloee. Kad sam joj rekao da istraujem za kigu, prestala je da bude
sumiava. Samo kaete da ste pisac ili scenarista, i svi vam jedu iz ruke.
Imala je ona i druge informacije koje bi mi bile korisne poput podataka koje CreditChex zahteva radi identifikacije osobe koju proveravate,
ta smete da ih pitate, i najvanije, koji je identifikacioni broj ene filijale.
Tako sam hteo da je ispitam, kad me je eno oklevae upozorilo da ne
sram. Poverovala je u priu o istraivau za kigu, ali je prethodno bila
dosta sumiava. Da je od samog poetka bila otvorenija, zatraio bih od
e jo detaa o bankarskim procedurama.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 19 str.

19
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

veliku tanu marke Gui na egov radni sto s logotipom okrenutim prema
emu, i izjavila da planira da trai razvod od mua, ali je priznala da postoji
jedan mali problem.
inilo se da je en mu bio korak ispred. Ve je podigao gotovinu s
ihove tedne kiice, i jo veu sumu s bankovnog rauna. Htela je da
zna gde je skrivena ihova imovina, a en advokat za razvod uopte joj
nije bio od pomoi. Grejs je pretpostavao da je advokat jedan od onih
uspenih savetnika iz boe gradske etvrti, te da nee da pra ruke u potrazi za novcem.
Da li Grejs moe da pomogne?
Uverio ju je da nema nikakvih problema, rekao joj cenu, saoptio da e
trokovi biti naplaeni posebno i uzeo ek s prvim delom iznosa.
Tek potom se suoio s problemom. ta uiniti ako se nikad ranije niste
sreli sa slinim problemom i zapravo ne znate odakle da ponete da biste
utvrdili kuda je novac nestao? Krenete korak po korak. Evo Grejsove prie,
onako kako nam je ispriao na izvor.

Morate se voditi instinktom, i sluati paivo ta rtva govori i kako

to izgovara. Ova mi je dama zvuala dovono pametno verovatno bi se
oglasio alarm da sam nastavio da joj postavam suvie neobinih pitaa.
Iako nije znala ko sam, niti s kog broja zovem, u ovom poslu nikako ne
elite da se prouje da neko zove kako bi dobio informacije o poslovau
pa treba biti na oprezu. Razlog je to ne elite da vam se izvor ugasi moda ete ponovo morati da pozovete istu kancelariju neki drugi put.

terminologija

Deo 2: Umee napadaa

20

RTVA
Re je o prevarenoj osobi.
UGASITI IZVOR (engl. burn the source)
Kae se da je napada
ugasio izvor kad dozvoli da rtva prepozna da je re o napadu. Kad
rtva postane svesna napada i o tome obavesti ostale zaposlene i
rukovodstvo, izuzetno je teko ponovo upotrebiti isti izvor u buduim
napadima.

Uvek obraam pau na male signale. Pomou ih proceujem koliko je osoba spremna za saradu, u opsegu od: Zvui kao prijatna osoba
i sve ti verujem do: Zovite policiju, obavestite Nacionalnu gardu, ovaj
neto gadno smera.
Ocenio sam da je Kim pomalo napeta, pa sam zato pozvao nekoga iz
drugog ogranka. Tokom drugog razgovora, s Kris, trik s anketom upalio je iz
prve. Ovde je taktika da se vana pitaa ubace izmeu nebitnih koja stvaraju oseaj uverivosti. Pre nego to sam je pitao o identifikacionom broju ihove filijale kod firme CreditChex, testirao sam je u posledem trenutku
postavivi joj pitae line prirode o tome koliko dugo radi u banci.
Pitae line prirode je poput nagazne mine neki ga prekorae nita
ne primetivi, dok drugima eksplodira pa se brzo povuku na sigurno. Dakle, ako joj postavim takvo pitae i ona odgovori, a ne promeni ton, to
znai da verovatno nije sumiava. Slobodno mogu da postavim kuno
pitae. Nee posumati i najverovatnije e odgovoriti.
Evo jo neega to dobar privatni istraite zna: nikada ne prekidajte
razgovor nakon to se domognete kune informacije. Postavite jo dva-tri
pitaa, malo proaskajte, i tek onda moete prekinuti. Kasnije e se rtva
verovatno setiti nekoliko posledih pitaa ako se iega seti. Ostalo se
uglavnom zaborava.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 20 str.

Analiza prevare
itava ova prevara zasnovana je na jednoj od osnovnih taktika obmaivaa: na pristupu informacijama koje zaposleni pogreno smatraju
bezazlenima.
Prva slubenica je potvrdila termin za broj koji se koristi kad se zove
CreditChex: identifikacioni broj filijale. Druga je obelodanila telefonski
broj na koji se zove CreditChex, kao i najbitniju informaciju, identifikacioni broj te banke. inilo se da su joj svi ti podaci potpuno bezazleni. Na
kraju krajeva, ona je mislila da razgovara s nekim iz kompanije CreditChex, pa ta kodi ako im se kae broj?
Sve ovo je bilo samo priprema za trei poziv. Grejs je imao sve to mu
treba da bi telefonirao firmi CreditChex, predstavio se kao slubenik jedne
od banaka s kojom sarauju, Nacionalne banke, i zatraio eene informacije.
Grejs je bio vet u krai informacija poput nekog prevaranta koji lako
izmami novac, a imao je i pravog talenta da oceni ude. Znao je da kuna pitaa vaa smestiti izmeu nebitnih. Znao je da e pitaem line prirode utvrditi koliko je druga slubenica spremna za saradu, pre nego to
ju je nevino upitao za identifikacioni broj filijale.
Da prva slubenica nije potvrdila izraz za broj koji se koristi pri proveri
kod firme CreditChex, bilo bi gotovo nemogue nastaviti. Taj podatak je
toliko rasprostraen u bankarstvu, da se ini nevanim to je upravo
klasian primer naoko bezazlene informacije. Ali druga slubenica, Kris,
nije trebalo tako olako da odgovara na pitaa, a da prethodno ne proveri

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 21 str.

21
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

I tako mi je Kris dala identifikacioni broj ihove filijale, kao i telefonski broj koji zovu kad proveravaju potencijalne klijente. Bio bih sreniji da
sam uspeo da je pitam koliko podataka se moe traiti od firme CreditChex, ali sam smatrao da je boe da ne preterujem.
Bilo je to kao da imam neispuen ek kod firme CreditChex. Mogao
sam ih nazvati i dobiti informacije kad god sam eleo. Nisam ak ni morao
da platim za tu uslugu. Kako se ispostavilo, slubenik kompanije CreditChex rado mi je dao upravo one podatke koje sam traio: dve banke kod
kojih je mu moje klijentie nedavno predao molbu da mu se otvori
raun. Pa, gde je bio novac koji trai egova ena, koja e mu uskoro
postati biva? Gde drugde nego u bankama koje je momak iz kompanije
CreditChex naveo.

da li je sagovornik onaj za koga se izdaje. Trebalo je, u najmau ruku, da

zapie egovo ime i telefonski broj i da ga ona pozove. Ako bi se kasnije
pojavio problem, mogla je imati podatak o tome s kog je telefona osoba
zvala. U tom sluaju bi napadau bilo mnogo tee da se lano predstavi
kao slubenik firme CreditChex.
mitnikova

poruka

Deo 2: Umee napadaa

22

Identifikacioni broj filijale je u ovom sluaju isto to i lozinka. Kad bi se

osobe banke prema emu odnosilo kao prema PIN kodu za bankomate,
moda bi shvatili koliko je takva informacija poveriva. Da li i u vaoj organizaciji postoji interni kd ili broj kojem osobe ne pridaje dovono znaaja?

Jo boe bi bilo da je slubenica pozvala CreditChex koristei broj

kojim se banka inae slui a ne broj koji bi joj sagovornik eventualno dao
kako bi se uverila da on zaista radi u pomenutoj kompaniji, i da oni uistinu sprovode anketu meu svojim klijentima. Meutim, kada se uzme u
obzir da se danas, u realnom svetu, radi toliko da niko nema vika vremena,
previe bi bilo oekivati poziv radi provere, osim u sluaju da zaposleni posuma da je u pitau napad.

ZAMKA ZA INENJERE
Svi znaju da agencije za zapoavae koriste metode obmaivaa kako
bi vrbovali talentovane kandidate. Evo primera kako se to radi.
Krajem devedesetih, jedna agencija za zapoavae, koja ba i ne dri
do etike, potpisala je ugovor s novim klijentom, kompanijom koja trai
ineere elektrotehnike s iskustvom u telekomunikacijama. Voa projekta bila je dama obdarena dubokim, seksi glasom koji je nauila da iskoristi
da bi brzo uspostavila poveree i prisnost preko telefona.
Odluila je da izvri pohod na davaoca usluga mobilne telefonije, da
vidi moe li tamo nai neke ineere koji bi se nali u iskueu da preu
na drugu stranu, kod konkurencije. Naravno, nije mogla da pozove
centralu i kae: Spojite me sa svakim ko ima pet godina ineerskog
iskustva. Umesto toga, iz razloga koji e uskoro postati jasni, zapoela je
potragu za talentovanim osobem tako to je zatraila jedan podatak koji
naizgled nije uopte bitan, i koji slubenici te kompanije daju gotovo svakom ko ga zatrai.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 22 str.

Prvi poziv: prijemno odeee

Napada, predstavajui se kao Didi Sends, poziva upravu
kompanije za telekomunikacione usluge. Evo kako je razgovor
tekao.
Slubenica prijemnog odeea: Dobar dan. Ovde Meri, ta
mogu da uinim za vas?
Didi: Moete li me spojiti s odeeem za transport?
S: Nisam sigurna da li tako neto kod nas postoji. Pogledau u
imeniku. Ko zove?
D: Didi.
D: Ne, van zgrade sam.
S: Kako se prezivate?
D: Sends. Didi Sends. Imala sam lokal transportnog odeea,
ali sam ga zaboravila.
S: Trenutak.
Da bi odagnala sumu, Didi je nonalantno, radi same konverzacije, postavila pitae osmieno tako da sagovornika
uveri da je ona domaa, da poznaje firmu.
D: U kojoj se vi zgradi nalazite u Lejkvjuu ili u centrali?
S: U centrali. (stanka) Broj je 805 555 6469.
Da bi obezbedila rezervu u sluaju da putem poziva transportnom odeeu ne dobije ono to joj treba, Didi je takoe
zatraila da razgovara s odeeem za nekretnine. Slubenica
joj je dala i taj broj. Kad je Didi zamolila da je spoji s transportnim odeeem, ova je to pokuala, ali je veza bila zauzeta.
Tada je Didi zamolila da joj da trei telefonski broj, broj odeea za platni promet, smeten u prostorijama firme u Ostinu
u Teksasu. Slubenica ju je zamolila da malo saeka i za trenutak spustila slualicu. Da li je javila obezbeeu da ima
sumiv telefonski poziv i da misli da je u pitau prevara? Ni
sluajno. A ni Didi se nije nimalo brinula. Bila je malo dosadna,
ali je to slubenici bio deo obinog radnog dana. Proao je
otprilike minut, a potom je slubenica ponovo uzela vezu,
pogledala broj odeea za platni promet, pokuala da dobije
vezu i spojila Didi s ima.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 23 str.

Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

S: Jeste li u zgradi, ili?

23

Drugi poziv: Pegi

Sledei poziv je tekao ovako:
Pegi: Odeee za platni promet, ovde Pegi.
Didi: Zdravo, Pegi. Ovde Didi iz Tauzend Ouksa.
P: Zdravo, Didi.
D: Kako si?
P: Dobro.

Deo 2: Umee napadaa

24

Didi je potom upotrebila poznat izraz za kd kojim se trokovi

dodeuju budetu odreene organizacije ili radne grupe:
D: Odlino. Kai mi kako da doem do konta za neko
odeee.
P: Mora se obratiti analitiaru budeta tog odeea.
D: Zna li ko analizira budet za Tauzend Ouks za upravu?
Pokuavam da ispunim neki obrazac, a ne znam odgovarajui konto.
P: Ja samo znam da onaj kome treba konto zove svog analitiara budeta.
D: Ima li ti konto svog odseka tu u Teksasu?
P: Mi imamo svoj konto, ali nam ne daju itav spisak.
D: Koliko cifara ima? Na primer, koji je va konto?
P: ekaj, jesi li ti u okviru 9WC ili SAT?
Didi nije imala pojma na koje se odseke ili odeea te skraenice odnose, ali nije bilo ni vano. Odgovorila je:
D: 9WC.
P: Onda obino ima etiri cifre. Gde ree da radi?
D: U upravi u Tauzend Ouksu.
P: Da, evo konta za Tauzend Ouks. 1A5N, N kao Nensi.
Zahvaujui tome to je provela dovono dugo vremena s
nekim ko je spreman da pomogne, Didi je dobila konto koji joj
je bio potreban. A to je jedan od onih podataka koje niko i ne
pomisli da zatiti, jer se ini kao neto to udima van firme ne
moe biti ni najmae vano.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 24 str.

Trei poziv: koristan pogrean broj

Sledei Didin zadatak bio je da pretvori dobijeni konto u neto
zaista vredno, poput etona za poker.
Otpoela je nazvavi odeee za nekretnine, pretvarajui se
da je dobila pogrean broj. Prvo je rekla: Izvinite to smetam,
ali, a potom izdeklamovala da je koleginica koja je izgubila
telefonski imenik kompanije i pitala koga treba da zove da bi
dobila nov. Muki glas je odgovorio da je tampana verzija
zastarela, jer se imenik moe nai na intranetu.

etvrti poziv: Bart u Izdavatvu

Nazvavi Izdavatvo, razgovarala je s ovekom po imenu Bart.
Rekla je da radi u Tauzend Ouksu i da imaju novog savetnika
kojem treba tampana kopija telefonskog imenika kompanije.
Rekla je da savetniku tako vie odgovara, bez obzira na to to
je tampana verzija unekoliko zastarela. Bart joj ree da mora
da ispuni obrazac za trebovae i poae ga emu.
Didi odvrati da joj je nestalo obrazaca i da je u guvi, i zamolila
ga da bude tako dobar i ispuni ga umesto e. Pristao je,
nekako isuvie odueveno, a potom mu je Didi izdiktirala
pojedine podatke. to se tie adrese izmienog savetnika,
otegnuto je izdiktirala neto to se u svetu obmane naziva
lana adresa. U ovom sluaju, navela je adresu firme Mail
Boxes Etc., kod koje je ena kompanija iznajmivala potanske sanduie upravo za ovakve prilike.
Prethodni trud se sada isplatio. Slae imenika se naplauje.
U redu Didi mu je dala konto za Tauzend Ouks:
1A5N, N kao Nensi.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 25 str.

25
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

Didi odvrati da vie voli da koristi tampanu verziju, a on joj na

to ree da pozove Izdavatvo. Potom je ubazno potraio ihov
broj i dao joj ga, a da ga ona to nije ni zamolila moda samo
da bi malo due razgovarao s damom takvog glasa.

Nakon nekoliko dana, kad je telefonski imenik kompanije stigao, Didi je shvatila da joj se trud jo vie isplatio nego to je
oekivala u emu se nisu nalazili samo puki spiskovi imena i
telefonskih brojeva, ve je bilo prikazano i ko za koga radi,
dakle poslovna struktura itave organizacije.
Dama promuklog glasa bila je spremna da telefonom vrbuje
kadar. Na prevaru je dola do informacija neophodnih da bi
otpoela s napadom, i to sve zahvaujui svom talentu za
ophoee s udima, koji svaki obmaiva mora da dovede do
perfekcije. Sad je mogla da ubere plodove svog rada.

Deo 2: Umee napadaa

26

Analiza prevare
Ovu obmanu Didi je poela tako to je nabavila brojeve tri odeea u
cinoj kompaniji. To je bilo lako, jer brojevi koje je traila nisu tajna, a
pogotovo zaposlenima. Obmaiva naui da zvui kao domai, a Didi
je bila spretna u toj igri. Pomou jednog od tih telefonskih brojeva dola je
do kontnog broja, koji je potom upotrebila kako bi se domogla primerka
firminog telefonskog imenika zaposlenih.
Bilo je potrebno: da zvui prijateski, da koristi odreene poslovne
izraze, i, kod poslede rtve, da ubaci malo verbalnog koketiraa.
Neophodno joj je bilo jo neto to se ne stie lako vetina manipulacije, dovedena do visokog nivoa kroz dugu praksu, kao i samouverenost.

terminologija
LANA ADRESA (engl. mail drop)
U obmaivau, to je izraz za
privremeni potanski fah, uglavnom pod lanim imenom, koji slui da
u ega stiu dokumenta ili paketi koje rtve na prevaru poau.

mitnikova

poruka

Ba kao i delii slagalice, svaka informacija ponaosob moe biti nebitna.

Meutim, kad se delovi slagalice spoje, dobija se jasna slika. U ovom sluaju,
slika koju je manipulator video bila je itava interna struktura kompanije.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 26 str.

JO NEKE BEZVREDNE INFORMACIJE

Osim kontnog broja i internih telefonskih lokala, koje jo naizgled bezvredne informacije mogu biti izuzetno vane vaem neprijateu?

Telefonski poziv za Pitera Ejblsa

Zdravo, kae glas s druge strane ice. Ovde Tom iz kompanije Parkharst Trevl. Vae karte za San Francisko su spremne.
Hoete li da vam ih dostavimo, ili ete sami doi po ih?
Za San Francisko? pita Piter. Ja ne putujem u San Francisko.
Da, ali ja ne planiram da putujem.
E pa, kae sagovornik prijazno se nasmejavi, jeste li sigurni
da ne elite da odete u San Francisko?
Ako mislite da moete nagovoriti mog efa odvraa Piter,
nastavajui ovaj prijateski razgovor.
Ovo je izgleda zabuna, kae sagovornik. U naem sistemu
rezerviemo putovaa pod brojem zaposlenih. Moda je
neko dao pogrean broj. Koji je va broj?
Piter mu posluno izdeklamuje broj. A zato da ne? Taj broj se
upisuje na gotovo svaki kadrovski obrazac, i mnogi iz kompanije mu imaju pristup kadrovsko odeee, obraunsko odeee i, oigledno, ova turistika agencija. Niko ne smatra broj
zaposlenog tajnom. Kakve ima veze?
Nije teko proniknuti u odgovor. Moda su za efektno preruavae, odnosno napadaevo preuzimae tueg identiteta,
potrebna samo dva-tri podatka. Ako se domogne imena slubenika, egovog telefonskog broja, broja zaposlenog i, bilo bi
dobro, imena i telefonskog broja egovog nadreenog, ak i
mae uspean obmaiva imae gotovo sve to mu je obino
potrebno da zvui uverivo sledeoj rtvi koju pozove.
Da je neko ko se predstavio da radi u drugom odeeu vae
firme jue nazvao, dao vam neki verodostojan razlog i zatraio
va broj zaposlenog, da li biste mu ga nerado dali?
Uzgred budi reeno, koji je va matini broj?

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 27 str.

Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

Da li je to Piter Ejbls?

27

mitnikova

poruka

Pouka prie je ta da ne treba obelodaivati line podatke niti interne kompanijske informacije ili ifre nikome, ukoliko glas sagovornika ne zvui poznato
ili niste sigurni da li ima pravo da ih zatrai.

SPREAVANJE PREVARE

Deo 2: Umee napadaa

28

Kompanija mora objasniti zaposlenima da moe doi do ozbinih posledica ako se s informacijama, koje nisu javne prirode, ne postupa na pravi
nain. Dobro osmiena politika zatite informacija, zajedno sa odgovarajuim obrazovaem i uvebavaem, naglo e podii na vii nivo svest
zaposlenih o tome kako se vaa odnositi prema poslovnim informacijama
u okviru kompanije. Klasifikacija podataka pomoi e vam da primenite
odgovarajua pravila kad je u pitau ihovo obelodaivae. Ako takva
klasifikacija ne postoji, svi interni podaci moraju se smatrati poverivima,
ukoliko nije drugaije odreeno.
Preduzmite sledee korake da biste zatitili svoju kompaniju od odavaa naizgled bezazlenih informacija:
Odeee za bezbednost informacija treba da sprovede obuku s ciem
da do pojedinosti razjasne metode obmaivaa. Jedna od metoda,
kao to smo ranije opisali, jeste da se doe do naizgled beznaajnog
podatka, te da se on kasnije upotrebi kao eton za poker kako bi se
uspostavilo kratkotrajno poveree. Svaki zaposleni mora znati da
poznavae kompanijske procedure, terminologije i internih kodova,
ni u kom sluaju nije dovono za identifikaciju sagovornika, niti mu
daje pravo da zahteva podatke. Sagovornik moe biti i bivi zaposleni
ili radnik po ugovoru koji ima potrebne interne informacije. Shodno
tome, svaka firma mora da utvrdi odgovarajue metode identifikacije
koje se primeuju kad zaposleni stupe u kontakt s udima koje lino
ne poznaju ili s ima razgovaraju telefonom.
Osoba ili osobe koje imaju ulogu i odgovornost da osmisle klasifikaciju podataka treba da razmotre tipove pojedinosti koje se mogu upotrebiti da bi se dolo do poverivih informacija, a koje se zaposlenima

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 28 str.

mitnikova

poruka

Kako kae stara izreka ak i pravi paranoici verovatno imaju neprijatee.

Pretpostaviemo da i svaka firma ima svoje neprijatee napadae koji ciaju
na mrenu infrastrukturu da bi ugrozili poslovne tajne. Ne dozvolite da i vi
zavrite kao statistiki podatak o raunarskom kriminalu. Kraje je vreme da
podignete neophodne bedeme tako to ete primeniti odgovarajue, dobro
osmiene bezbednosne pravilnike i procedure.

Brojevi rauna radnih grupa i odeea, kao i primerci telefonskih

imenika kompanija (u tampanoj verziji, u vidu datoteke ili kao elektronski imenik na intranetu) esta su meta prevaranata. Neophodno

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 29 str.

29
Poglavlje 2: Kada bezazlena informacija nije tako bezazlena

ine bezazlene. Iako nikada ne biste otkrili ifru kreditne kartice, da li

biste ikome rekli koji server koristite za razvoj kompanijskog softvera?
Da li bi tu informaciju mogao upotrebiti prevarant koji se izdaje za
osobu kojoj je odobren pristup kompanijskoj mrei?
Zahvaujui pukom poznavau interne terminologije, ponekad
napada ostava utisak autoritativne osobe koja se razume u posao.
Zahvaujui uvreenom povereu u siguran nastup, prevarant esto
svojim nastupom nagovori rtvu da s im sarauje. Na primer,
identifikacioni broj filijale je izraz koji osobe u odeeu za nove
raune banke nonalantno koristi svakog dana. Ali takav identifikator je potpuno isto to i lozinka. Kad bi svaki zaposleni shvatio
egov znaaj to da se koristi kako bi se podnosilac molbe identifikovao moda bi se prema emu odnosili s vie potovaa.
Nijedna kompanija, ili bar veoma malo ih, ne daje direktne telefonske brojeve svojih generalnih direktora ili lanova upravnog odbora.
Ipak, u najveem broju kompanija se i ne razmia o davau telefonskih brojeva veine odeea i radnih grupa u okviru organizacije
a pogotovo nekome ko je zaposlen ili se tako predstava. Mogua
protivmera bila bi da se uvede zabrana davaa internih telefonskih
brojeva zaposlenih, radnika po ugovoru, savetnika i probnih radnika
bilo kome van firme. to je jo vanije, vaa osmisliti proceduru koja
se sastoji iz vie koraka, a kojom bi se tano mogao utvrditi identitet
sagovornika koji trai telefonske brojeve.

Deo 2: Umee napadaa

30

je da svaka kompanija ima pisani i distribuirani pravilnik o obelodaivau informacija te vrste. U zatitne mere treba uvrstiti i voee
dnevnika u koji bi se zapisivalo odavae poverivih informacija
udima van firme.
Podaci poput broja zaposlenog ne treba da se samostalno koriste za
identifikaciju. Svakog zaposlenog treba obuiti da utvrdi i identitet
onoga ko informaciju trai i zato je trai.
U okviru obuke o zatiti informacija, razmislite o tome da nauite
zaposlene sledeem: kad god im nepoznata osoba postavi pitae ili ih
zamoli za uslugu, prvo treba ubazno da je odbiju dok se zahtev ne
odobri. A potom pre nego to popuste pred prirodnim nagonom da
budu predusretivi neka prate kompanijski pravilnik i procedure u
vezi sa odobravaem i objavivaem informacija koje nisu javne
prirode. To moe biti malo protivno naem prirodnom nagonu da
pomognemo drugima, ali je moda neophodna mala doza zdrave
paranoje da biste izbegli da ba vi upadnete u obmaivaevu zamku.
Kao to smo u priama iz ovog poglava videli, naizgled bezazlene informacije mogu biti ku do najuvanijih tajni vae kompanije.

UMOB, November 4, 2003 10:07 am

02_UMOB.slog, 30 str.

Pregled
bezbednosnih metoda

piskovi i dijagrami koji slede ukratko opisuju metode obmane navedene u poglavima od 3 do 15, i postupke provere iz poglava 16.
Prilagodite ove podatke svojoj organizaciji i dajte ih svim radnicima
da bi ih primenili kada se ukae problem bezbednosti informacija.

PREPOZNAVANJE NAPADA
Naredne tabele i spiskovi e vam pomoi da uoite napad sistematskog
obmaivaa.

Ciklus obmane
POSTUPAK
Istraivae

OPIS
Ispituju se i podaci iz javnih izvora kao to su godii izvetaji, marketinke broure, prijave patenata,
iseci iz tampe, struni asopisi i Web lokacije.
Tu spada i kopae po smeu.
Razvijae dobrih Upotreba internih informacija, lano predstavae,
odnosa i poverea pomiae osoba koje rtva poznaje, molba za
pomo, ili pozivae na autoritet.

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 333 str.

Zloupotreba
poverea
Upotreba
informacija

Traee informacija ili usluge od rtve. U obrnutoj

aoci, manipulisae rtvom da od napadaa zatrai
pomo.
Ako su dobijene informacije samo korak do konanog cia, napada pribegava prethodno pomenutim koracima ciklusa dok ne doe do cia.

Uobiajene metode obmaivaa

Pregled bezbednosnih metoda

334

Izdavae za kolegu
Izdavae za zaposlenog u firmi dobavaa usluga, partnerskoj firmi,
ili kriminalistikoj slubi
Izdavae za nekog ko je na viem poloaju
Izdavae za novog zaposlenog kome treba pomo
Izdavae za dobavaa usluga ili proizvoaa sistema koji zove da bi
ponudio sistemsku zakrpu ili najnoviju verziju
Nuee pomoi ako bi nastao problem, potom izazivae problema,
ime se rtva navede da od napadaa zatrai pomo
Slae rtvi besplatnog softvera ili zakrpe da ih instalira
Slae virusa ili trojanskog koa u prilogu elektronske poruke
Upotreba lanog okvira za dijalog u kom se od korisnika trai da se
ponovo prijavi za rad ili da ponovo unese lozinku
Snimae rtvinih pritisaka na tastere pomou raunarskog sistema
ili programa
Ostavae na radnom mestu disketa ili kompakt diskova sa zlonamernim softverom
Koriee interne terminologije da bi se zadobilo neije poveree
Nuee nagrade da bi se neko registrovao na Web lokaciji pomou
korisnikog imena i lozinke
Ostavae dokumenata ili datoteka u kompanijskoj prostoriji za
potu radi isporuke u kancelarije
Prilagoavae zaglava faksa tako da se ini da je poslat sa interne
lokacije
Umoavae slubenika prijemnog odeea da primi i prosledi faks
Zahtev da se datoteka prosledi do naizgled interne lokacije

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 334 str.

 Podeavae glasovne pote tako da pozivaoci pomisle da im je napada kolega

Pretvarae napadaa da dolazi iz drugog ogranka preduzea, i traee da mu se u sistemu preduzea otvori elektronsko sandue.

Znaci koji upozoravaju na mogui napad

Neko odbija da vam kae broj na koji ga moete pozvati
Neobian zahtev
Naglaavae visokog poloaja
Naglaavae hitnosti sluaja
Preta negativnim posledicama u sluaju odbijaa sarade
Nelagodni razgovor pri ispitivau
Pomiae poznatih osoba
Deee komplimenata ili laskae
Flertovae

Uobiajene mete napada

TIP RTVE
Neko ko nije
svestan znaaja
informacija
Lica s posebnim
ovlaeima

Proizvoai ili
davaoci usluga
Posebna odeea

PRIMERI
Slubenici prijemnih odeea, slubenici na telefonskoj centrali, sekretarice i pomonici, uvari.

Informatika ili tehnika podrka korisnicima,

administratori raunarskog sistema, raunarski
operateri, administratori telefonskog sistema.
Proizvoai raunarskog hardvera i softvera, proizvoai sistema za glasovnu potu.
Raunovodstvo, kadrovsko odeee.

Faktori koji olakavaju napad na kompanije

Velik broj zaposlenih
Vie ogranaka
Podaci o lokaciji zaposlenih u porukama glasovne pote

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 335 str.

335
Pregled bezbednosnih metoda

Objavivae broja lokala

Nepostojae bezbednosne obuke
Nepostojae sistema klasifikacije podataka
Nepostojae plana za prijavivae incidenata i reagovae na ih

PROVERA I KLASIFIKACIJA PODATAKA

Ove tabele i blok-dijagrami e vam pomoi da reagujete na traee informacija ili usluga koji mogu biti meta obmaivaa.

Pregled bezbednosnih metoda

336

Postupak provere identiteta

POSTUPAK
Identifikacija
poziva
Uzvraae poziva

OPIS
Proverite da li je poziv interni, i da li ime i broj
lokala odgovaraju identitetu sagovornika.
Potraite ime podnosioca zahteva u kompanijskom
imeniku i pozovite ga na navedeni broj lokala.
Garantovae
Zatraite od poverivog radnika da garantuje za
identitet podnosioca zahteva.
Deena interna
Zatraite da vam kae tajnu koju deli itavo
tajna
preduzee, kao to je lozinka ili dnevni kd.
Stupite u vezu s neposrednim pretpostavenim tog
Nadzornik
ili pretpostaveni radnika i zatraite da on potvrdi egov identitet i
status u firmi.
Bezbedna elektron- Zatraite da vam poau digitalno potpisanu
poruku.
ska pota
Ako neki zaposleni lino poznaje onoga za koga se
Lino prepoznasagovonik izdaje, pozovite ga da proveri da li je to
vae glasa
egov glas.
Izmenive lozinke Koristite vremenski eton kao to je Secure ID, ili
neko drugo pouzdano sredstvo za identifikaciju.
Lino
Zatraite od podnosioca zahteva da lino doe sa
propusnicom za zaposlene ili nekim drugim dokumentom za identifikaciju.

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 336 str.

Postupak provere statusa zaposlenog

POSTUPAK
Provera u kompanijskom
imeniku
Potvrda od pretpostavenog
podnosioca zahteva
Potvrda od odeea ili
radnog tima podnosioca
zahteva

OPIS
Proverite da li se ime zaposlenog nalazi
u imeniku na mrei.
Pozovite egovog pretpostavenog na
broj naveden u kompanijskom imeniku.
Pozovite odeee ili radni tim podnosioca zahteva i proverite da li je jo uvek
zaposlen u firmi.

POSTUPAK
Pogledajte spisak odgovornosti radnih mesta/timova

OPIS
Pogledajte objavene spiskove osoba
koje su ovlaene da poseduju odreene
poverive informacije.
Zatraite odobree od svog Pozovite svog pretpostavenog, ili pretpostavenog podnosioca zahteva, i zatrapretpostavenog
ite odobree da mu ispunite zahtev.
Zatraite odobree od osobe Pitajte osobu zaduenu za informacije
zaduene za informacije ili
da li je podnosilac zahteva ovlaen da
egovog zamenika
poseduje date podatke.
Proverite ovlaee pomou Proverite ovlaea u posebnoj bazi
automatskog alata
podataka.

Kriterijumi za proveru osoba koje nisu

zaposlene u firmi
KRITERIJUM POSTUPAK
Odnos
Proverite da li je firma koja podnosi zahtev davalac
usluga, strateki partner, ili neka druga firma koja je u
odgovarajuem odnosu s vaom.
Identitet
Proverite identitet i status zaposlenog u partnerskoj firmi.

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 337 str.

Pregled bezbednosnih metoda

Postupak utvrivaa ovlaea

za posedovae informacija

337

uvae tajne Proverite da li je podnosilac zahteva potpisao ugovor

o uvau poverivih informacija vae firme.
Pristup
Uputite zahtev pretpostavenom kada su podaci klasifikovani kao osetiviji od internih.

Klasifikacija podataka

Pregled bezbednosnih metoda

338

KLASIFIKACIJA OPIS
Javni
Mogu se slobodno saoptavati
u javnosti.
Interni
Za upotrebu u
okviru firme.

Privatni

Poverivi

POSTUPAK
Nema potrebe proveravati.

Proverite da li je podnosilac zahteva

i dae zaposlen u vaoj firmi, a ako
nije, da li je potpisao ugovor o uvau informacija, i da li ga je rukovodstvo ovlastilo.
Proverite da li je podnosilac zahteva
Podaci line
prirode name- i dae zaposlen u vaoj firmi, a ako
eni za upotre- nije, da li je ovlaen da poseduje te
informacije. Proverite sa kadrovskim
bu iskuivo
odeeem da li smete da saoptite
u okviru
line podatke ovlaenim zaposleniorganizacije.
ma ili drugim podnosiocima zahteva.
Znaju ih samo Kod osobe zaduene za informacije
ona lica u okviru proverite identitet podnosioca zahteva i egova ovlaea. Saoptite
organizacije
ih samo uz prethodno pismeno odokojima je to
bree pretpostavenog, osobe zaduneophodno
ene za informacije, ili ihovog zaza rad.
menika. Proverite da li je podnosilac
zahteva potpisao ugovor o uvau
podataka. Samo uprava sme da objavuje poverive informacije licima
koje firma ne zapoava.

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 338 str.

Kako reagovati kad vam neko trai informacije

Zlatna pitanja
Kako da znam da li je ova osoba ona za koju se izdaje?
Kako da znam da je ova osoba ovlaena da zahteva tako neto?
Osoba zahteva sledee informacije:

Bilo kakve lozinke

PRIMERI

Da

NIKADA nemojte
saoptavati svoju
lozinku ni pod
kojim uslovima.

Pojedinosti
strukture
organizacije

Da

Sledite postupke
rada s internim
informacijama.

Da

Sledite postupke
rada s internim
informacijama.

Da

Sledite postupke
rada s internim
informacijama.

Da

Sledite postupke
rada s internim
informacijama.

Ne

Interni telefonski brojevi

dodeeni zaposlenima,
interni faks brojevi, interni
brojevi zgrada i spiskovi
odeea

Kompanijski
telefonski
imenik
Ne

Lini telefonski brojevi (kuni

ili mobilni), broj socijalnog
osiguraa, kuna adresa,
istorijat radnih mesta i plata

Line podatke

Ne

Tip operativnog sistema,

postupci za dainski pristup,
telefonski brojevi za dainski
pristup i nazivi pojedinih
raunarskih sistema

Postupke
i informacije
o raunarskim
sistemima
Ne

Postupci proizvode,
strateki planovi, izvorni kd
programa, spiskovi kupaca
i poslovne tajne

Poverive ili line

informacije

Da

Proverite klasu
podataka; sledite
odgovarajue
postupke za tu
klasu.

Sve informacije se smatraju osetivima ukoliko nisu posebno nameene za javnu upotrebu.

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 339 str.

Pregled bezbednosnih metoda

Ne

Struktura odgovornosti,
imena i zvaa zaposlenih

339

Kako reagovati kada neko zatrai da neto uradite

Zlatna pravila
Nikome nemojte verovati dok ne proverite egov identitet.
Poeno je proveravati ispravnost zahteva.
Osoba od vas trai sledeu uslugu:
Da
otvorite
datoteku priloenu
uz elektronsku
poruku

NAPOMENE

Pregled bezbednosnih metoda

340

Da

Ne otvarajte priloenu datoteku ukoliko je unapred ne

oekujete. Proverite
sve takve datoteke
pomou antivirusnog softvera.

Ne

Da izmenite lozinku

Da

NIKADA ne
meajte lozinku u
neto poznato drugom licu, ak ni za
trenutak!

Ne

Izvorni kd programa, poslovne tajne, postupak proizvode, formule, specifikacije

proizvoda, marketinki podaci
ili poslovni planovi

Da
elektronski
prosledite interne
informacije

Da

Proverite klasu
podataka; sledite
odgovarajue
postupke za tu
klasu.

Ne

Nikada nemojte unositi

nepoznate naredbe i nikada
ne pokreite programe na
zahtev druge osobe ukoliko
to posebno ne odobri
informatiko odeee

Da unesete
naredbe u raunar

Da

Podnosilac zahteva
mora biti iskuivo
iz informatikog
odeea; primenite postupke provere zaposlenog.

Ne

Da
preuzmete,
instalirate, uklonite,
ili iskuite
softver

Instalirajte samo softver iz

proverenih izvora koji se
moe proveriti pomou
digitalnog potpisa

Ne meajte nikakve parametre

u BIOS-u, operativnom sistemu,
niti bilo kojoj aplikaciji (ukuujui i linu zatitnu barijeru ili
antivirusne programe) ukoliko
to posebno ne odobri informatiko odeee

Da

Sledite postupke
rada s internim
informacijama.

Da

Podnosilac zahteva
mora biti iskuivo
iz informatikog
odeea; primenite
postupke provere
zaposlenog.

Ne

Da
izmenite
parametre raunarskog
sistema
ili mree

Sve to preduzmete na tu zahtev moe nakoditi vaoj firmi. Proveravajte. Proveravajte.

UMOB, November 4, 2003 10:08 am

Bezbednost_UMOB.slog, 340 str.