Akt I: Poniedziałek, 7:59
Za chwilę się zacznie. A w weekend było tak miło... W piątkowy wieczór spotkanie ze znajomymi, impreza do późnych, a w zasadzie wczesnoporannych, godzin. W sobotę odsypianie, sprzątanie, zakupy, wieczorem odpoczynek przy szklaneczce ulubionej whisky z lodem i dobrym filmie przyniesionym z pobliskiej wypożyczalni. W niedzielę rodzinny obiad, wyjście do kina. Ech... Jak tu powrócić do cotygodniowego rytmu, skoro nawet kawa jeszcze nie wypita. Czas włączyć komputer i zerknąć, co tam nowego piszą w ulubionym portalu o wydarzeniach z ostatnich dni. Dzwoni telefon. Któż to o tej porze może chcieć już czegoś ode mnie?
Przecież dopiero dwie po ósmej... Podnoszę ze zrezygnowaną, a zarazem pełną irytacji miną słuchawkę telefonu i pytam tonem bez życia, o co chodzi. Po drugiej stronie słyszę miły, pełen pogody męski głos (pewnie ten ktoś przychodzi do roboty na 7:00 i już jest po kawie, nie dając jej wypić innym!):
– Dzień dobry! Tu Andrzej Janowski, jestem nowym administratorem. Na Twoim koncie w systemie operacyjnym zauważyłem błędy. Czy możesz się teraz wylogować i zalogować ponownie?
Świetnie rozpoczyna mi się tydzień, nie ma co! – myślę. Nie dość, że nic nie rozumiem z tego, o co mnie ten młody człowiek pyta, to jeszcze tego by brakowało, żeby mi się problemy z komputerem zaczęły. Muszę przecież przed końcem tygodnia oddać raport ze sprawozdaniem finansowym na koniec kwartału. Akcjonariusze naszej spółki już nie mogą się doczekać jego ogłoszenia! Będzie wtedy wiadomo, czy warto inwestować w akcje firmy, czy nie. Ci, którzy tuż przed ogłoszeniem raportu zakupią dużą liczbę akcji, powinni nieźle na tym zarobić. W końcu osiągnęliśmy w tym kwartale dobry wynik. Jest się czym pochwalić! Spełniam zatem prośbę pana Andrzejka, trwa to chwilę. Na tyle długo, że mogę wziąć kilka łyków ciepłej kawy i delektować się jej smakiem. Nic tak dobrze nie smakuje w poniedziałkowy poranek, jak cudowna, kojąca nerwy kawa. W słuchawce odzywa się znajomy głos:
– Czy udało się przeprowadzić operację?
O jakiej operacji człowieku mówisz? Wyloguj i zaloguj? To tylko kilka czynności, a pytanie zabrzmiało tak, jakby trzeba było zoperować komuś serce! Potwierdzam od niechcenia.
– Dziwne. Nadal pojawia się ten sam błąd. Niestety może on skutkować zablokowaniem konta użytkownika. Ale postaram się jakoś pomóc, w końcu pracujemy od niedawna razem! – dodaje mój rozmówca z entuzjazmem w głosie. Nie wiem skąd w nim tyle energii. Widocznie rzeczywiście dostał tę robotę całkiem niedawno i jeszcze rozpiera go chęć naprawiania świata.
– Zróbmy może tak. Nie chcę zajmować czasu, więc sam dokonam kilku prób i sprawdzę, czy da się jakoś problemowi zaradzić. Czy mogę zatem prosić o podanie loginu i hasła? Sam sprawdzę i oddzwonię z informacją, czy udało się rozwiązać kłopot.
Z nadzieją na to, że w końcu ten młody człowiek da mi święty spokój, a co więcej: uwolni mnie od nikomu niepotrzebnych – a na pewno nie mnie – kłopotów, dyktuję mu przez telefon magiczne słowa. Nazwa użytkownika jest stosunkowo prosta. Ale już moje hasło muszę mu przedyktować trzy razy. Z nieukrywaną dumą w głosie! Składa się z dwunastu znaków, a pośród nich są zarówno małe, jak i wielkie litery, cyfry i znaki specjalne! Nie byle co! Aż roi się w nim od „małp”, „haszy” i „dolarów”. W końcu zajmuję się odpowiedzialną „działką” w firmie i muszę dbać o ochronę dostępu do swojego komputera. Przechowuję na swoim pececie bardzo wrażliwe dane i niejeden chciałby do nich niepostrzeżenie dotrzeć, ale nic z tego! Złamanie hasła zajęłoby intruzowi wieki, nawet z wykorzystaniem specjalistycznych narzędzi programowych. Kiedy upewniam się, że „admin” dobrze zapisał hasło, rozłączam się. Niech każdy zajmie się swoją robotą, to może jakoś uda się dotrwać do końca tygodnia. Po dziesięciu minutach ponownie dzwoni człowiek o miłym i ciepłym głosie z informacją, że już wszystko w porządku, życząc przy okazji miłego tygodnia w pracy. Uff! – myślę sobie, dodając kolejną tabelkę z liczbami do kwartalnego raportu – całe szczęście, że już po problemie! Mogę spokojnie popracować i na pewno zdążę na czas z wykonaniem swojego zadania.
Akt II: Piątek, 14:05
Hurra! Raport ukończony, wersja wydrukowana zaakceptowana przez szefa, plik wysłany mailem do przygotowania do publikacji. Za mną pracowity tydzień, ale było warto! Szef zadowolony, na pewno nie zapomni o nagrodzie przy najbliższej premii kwartalnej. W końcu mamy świetne wyniki finansowe, a wykonana przeze mnie praca uzyskała aprobatę już przy pierwszym czytaniu. Było tylko kilka sugestii dotyczących naniesienia drobnych poprawek redakcyjnych, ale to już małe piwo.
Po pół godzinie materiał był gotowy do wysłania! Zostały mi jeszcze prawie dwie godziny do weekendu. Mogę je teraz spędzić na słodkim lenistwie i planowaniu tego, co będę robić w weekend. Muszę dobrze odpocząć, bo w poniedziałek ważny dzień: publikacja mojego raportu. Mam zatem co świętować! Do pokoju wchodzi młody człowiek z dziwnym przyrządem. Mówi, że musi sprawdzić poprawność działania klimatyzacji. Sprawdzał już w innych pomieszczeniach i teraz kolej na moje. Zakłada maskę podobną do takiej, którą noszą lakiernicy, i prosi, żeby na chwilę wyjść z pomieszczenia. Żeby skutecznie dokonać pomiarów systemu chłodzenia, musi rozpylić środek, który może wywołać złe samopoczucie. Zapewnia, że nie zajmie to więcej niż 15 minut. Na tę chwilę wyskoczę akurat do pobliskiej piekarni i kupię dobry chleb na jutro – nie będzie konieczności wczesnego zrywania się na nogi w sobotni poranek. Przed wyjściem blokuję system komputerowy. Nie mogę przecież pozwolić na to, by ktoś „dogrzebał” się do wrażliwych danych, które znajdują się na twardym dysku mojego komputera.
Akt III: Piątek, 15:30
Rozwścieczony szef wpada do mojego pokoju. Rzuca mi na biurko plik kartek. Mówi, że właśnie wydrukował to, co któryś z jego znajomych znalazł w Internecie i podesłał mu pocztą e-mail. Nie mogę uwierzyć własnym oczom! To właśnie ten raport, który był przeze mnie przygotowywany przez ostatni tydzień. Na giełdzie gracze masowo kupują akcje naszej spółki. Ale skąd ktoś wziął ten raport?! Jak go zdobył?! To na pewno przeciek z wydziału, który zajmuje się publikacją! Nigdy nie przyszłoby mi do głowy, że nowy administrator, który uratował mnie przed kłopotami z komputerem w poniedziałek, i młody człowiek sprawdzający system klimatyzacji to ta sama osoba... A na dodatek pendrive to takie małe urządzenie... Któż mógłby przypuszczać, że te piętnaście minut – przeznaczone na zakupy w piekarni – w zupełności wystarczy na przekopiowanie raportu... Przecież mam tak bardzo skomplikowane hasło do komputera...
Tak oto w przejaskrawiony sposób został przedstawiony atak przestępcy, który niezbędne dla siebie dane pozyskał z wykorzystaniem taktyk socjotechnicznych. W rzeczywistości tego typu działania prowadzone są przy użyciu bardziej wyrafinowanych metod i wymagają od hakera odpowiedniego przygotowania oraz przeprowadzenia dokładnego rozpoznania wnętrza organizacji, z której mają zostać wykradzione informacje. Aby atak mógł zakończyć się sukcesem, przestępca musi zidentyfikować słabe punkty organizacji oraz wyszukać podatności w systemach bezpieczeństwa. W tym celu przed dokonaniem ataku prowadzi on działania mające na celu dogłębne rozpoznanie struktury wewnętrznej firmy, poznanie listy pracowników, zadań przez nich realizowanych, ich znaczenia dla organizacji, numerów telefonów czy adresów e-mail. W obszarze jego zainteresowania znajduje się nawet hobby poszczególnych osób, od których możliwe byłoby uzyskanie ważnych informacji o firmie poprzez dotarcie do nich po godzinach pracy, np. w trakcie zajęć na siłowni, joggingu czy choćby podczas wspólnej gry na polu golfowym. Ważnym elementem jest również analiza fizycznych zabezpieczeń organizacji, sposobu dostępu do jej budynków i poszczególnych pomieszczeń, poznanie procedur dotyczących ruchu osobowo-materiałowego, analiza rozmieszczenia posterunków ochrony fizycznej, obszarów objętych systemem telewizji przemysłowej, a nawet ustalenie listy podmiotów zewnętrznych, realizujących różnego rodzaju usługi na rzecz rozpoznawanej firmy. Osoba, która ma zamiar dostać się na teren zakładu, może posłużyć się fałszywymi dokumentami, sfabrykowanymi przepustkami, wizytówkami. Często jednak informacja będąca celem ataku pozyskiwana jest poprzez elektroniczne kanały dostępu, a odpowiednio zmanipulowani pracownicy organizacji potrafią ją wysłać chociażby przy wykorzystaniu poczty elektronicznej, nierzadko na sfabrykowany adres e-mail przestępcy, który do złudzenia może przypominać adres firmowy.
Profesjonalnie przygotowany atak przeprowadzany jest w taki sposób, że osoba, od której wyłudzono poufne dane, często nawet nie zdaje sobie sprawy z tego, że padła ofiarą przestępstwa.
Jak się ustrzec przed tego typu przestępstwami? Odpowiedź na to pytanie nie jest prosta, a recepty na stuprocentową ochronę nie ma. Można jednak spróbować zminimalizować ryzyko wystąpienia tego typu sytuacji. Już dawno udowodniono, iż najsłabszym ogniwem w każdym systemie bezpieczeństwa są ludzie. Nie pomoże tutaj w związku z tym instalacja dodatkowej kamery, zatrudnienie kolejnego pracownika ochrony czy instalacja kolejnego zabezpieczenia informatycznego. Każdy z tych elementów może stać się następną przeszkodą dla przestępcy, lecz profesjonalista po skutecznie przeprowadzonym rozpoznaniu znajdzie sposób na ominięcie również jej. Konieczne jest zatem wprowadzenie odpowiednich procedur, sformalizowanie wewnętrznego obiegu informacji, wprowadzenie jasnych kryteriów klasyfikacji informacji. Ważnym czynnikiem jest również stałe zwiększanie wiedzy pracowników dotyczącej bezpieczeństwa informacji poprzez szkolenia czy prezentacje. Ale czy te działania skutecznie zabezpieczą przed wypływem poufnych informacji na zewnątrz naszej firmy? To już zależy tylko od każdego z nas...
Krzysztof Białek
Zabezpieczenia 1/2009