niedziela, 10 lutego 2013

"Sztuka podstępu", Kevin Mitnick, William Simon

                Obecnie  sieć sięga już niemal wszędzie, komputery są w użytku na porządku dziennym i stały się integralną częścią życia miliardów ludzi. To fakt. Prywatnie i zawodowo korzystamy z tych maszyn, uzależniając się od nich coraz bardziej i dzięki nim znacznie ułatwiając sobie pracę, a także takie czynności jak chociażby regularne opłacanie rachunków. Kolejki w okienkach kasowych odeszły do lamusa, wystarczy już tylko zasiąść przed monitorem, zalogować się na konto, skopiować i wkleić odpowiednie dane potrzebne do przelewu i zrealizować przelew.

              Podobnie sprawy mają się z zakupami. Nie trzeba już jeździć, szukać, przewozić. Mamy sklepy on-line i usługi dowozu zakupionych towarów do domu, czy to za pośrednictwem samego sklepu, czy też kuriera. Dzięki komputerom życie stało się wygodniejsze, inne. Cenny wolny czas, którego zawsze brakuje, możemy wykorzystać na odpoczynek od pracy.

                Większość z nas poczyta sobie te fakty za plusy. Jednakże musimy pamiętać także o tym, że wyżej wspomniane udogodnienia wiążą się z przepływem informacji w sieci, że nasze dane należy chronić, gdyż gdzieś tam, z drugiej strony kabla, może czekać ktoś, kto zechce użyć tych danych – lub chociażby informacji uzyskanych od nas – do celów, z których nie zdajemy sobie sprawy.

                Sztuka podstępu jest pierwszą książką, jaką Kevin Mitnick, człowiek okrzyknięty „największym hakerem XX wieku”, napisał w 2003 roku, współpracując z pisarzem Williamem Simonem. Skończyłem właśnie czytać II jej wydanie, i teraz, gdy patrzę na leżącą przede mną okładkę i widoczne na niej napisy, wcale nie dziwię się, że w Polsce sprzedano ponad czterdzieści pięć tysięcy egzemplarzy tej książki. Po lekturze mogę stwierdzić, że jak najbardziej prawdziwy jest też slogan krzyczący z okładki czerwonymi literami: Łamałem ludzi, nie hasła.

                Socjotechnik – wykorzystuje swoją umiejętność manipulowania ludźmi w taki sposób, aby pomagali mu w osiągnięciu jego własnych celów.

                Kevin Mitnick, sam będąc świetnym socjotechnikiem i hakerem, napisał podręcznik o tym, jak uchronić się nie tylko przed atakami socjotechnicznymi na firmy, w których pracujemy, ale także jak zapobiegać wyciekowi informacji, które powinny pozostać wewnątrz firm. Jak sam pisze, często nie zdając sobie nawet z tego sprawy, udzielamy obcym osobom odpowiedzi na pozornie niegroźne tematy, dzięki którym zdolny socjotechnik może zrealizować swój plan. Taki człowiek, zaczynając od realizacji jednego małego ułamka swego planu, dzięki zdobytej informacji przechodzi do jego kolejnych części, ostatecznie docierając do danych, do których dostępu ktoś spoza firmy absolutnie mieć nie powinien. W trakcie zwykłej telefonicznej rozmowy, podając się za kogoś innego i zdobywając numery telefonów wewnętrznych, adresy e-mailowe i hasła do skrzynek pocztowych, socjotechnik wdziera się coraz głębiej w strukturę przedsiębiorstwa, bo zrealizować swój cel. Jaki? Najróżniejszy. Może to być hasło do konta osoby pracującej przy wdrażaniu nowego, rewolucyjnego projektu. Może to być spis loginów do danego serwisu, może także być chęć zainstalowania na danej, konkretnej maszynie programu monitorującego, zdobycia hasła czy wzorów dokumentów, jak na przykład druki urzędowe czy wzory dyplomów ukończenia studiów. Każdy z nas musi mieć świadomość, że „zhakować” można wszystko. By nie płacić za oryginał, by nie zdawać egzaminów, nie czekać na dyplom kilka długich lat. Wszyscy widzimy korzyść płynącą za otrzymaniem dyplomu ukończenia uczelni od razu, bez poświęcania kilku lat na naukę, prawda?

                Sztuka podstępu jest podręcznikiem ze wszech miar praktycznym. Nie tylko dlatego, że za pomocą historii z życia wziętych obrazuje nam przypadki ataków socjotechnicznych, ale głównie z tego powodu, iż zwraca naszą uwagę na rzeczy, które normalnie wydają nam się trywialne i pozbawione znaczenia. Aby zobrazować Wam spryt socjotechnika, przytoczę poniżej jedną z opisanych w książce rozmów telefonicznych:

                „Telefon do Petera Abelsa:
- Dzień dobry – słyszy w słuchawce. – Tu mówi Tom z Parkhurst Travel. Pana bilety do San Francisco są do odbioru. Mamy je panu dostarczyć, czy sam pan je odbierze?
- San Francisco? – mówi Peter. – Nie wybieram się do San Francisco.
- A czy to pan Peter Absels?
- Tak, i nie planuję żadnych podróży.
- No tak – śmieje się rozmówca – a może jednak chciałby pan wybrać się do San Francisco?
- Jeżeli jest pan w stanie namówić na to mojego szefa… - mówi Peter, podtrzymując żartobliwą konwersację.
- To pewnie pomyłka – wyjaśnia głos w słuchawce. – W naszym systemie rezerwujemy podróże pod numerem pracownika. Pewnie ktoś użył złego numeru. Jaki jest pana numer?”

                Cała ta rozmowa ma na celu uzyskanie numeru pracownika należącego do Petera Abselsa, jak już się pewnie domyśliliście. Aby jednak Peter mógł odruchowo go podać, należało wcześniej osłabić jego czujność, stąd żartobliwy ton rozmówcy. Jestem pewien, że w trakcie takiej rozmowy 90% z nas, znajdując się na miejscu Petera, odruchowo, bez zastanowienia, podałoby przypisany nam numer pracownika. Prawda?

                Finalna forma podręcznika, którą Kevin obrał w celu napisania swojej książki, jest strzałem w dziesiątkę. Po każdej przytoczonej historii podaje swoje uwagi co do niej, analizuje oszustwo czy wyjaśnia używany przez pracowników danych firm żargon. Odkrywa piętę achillesową systemów bezpieczeństwa i pokazuje, dlaczego my i nasze firmy jesteśmy narażeni na ataki socjotechników. Opisuje, w jaki sposób socjotechnicy wykorzystują nasze zaufanie, chęć pomocy, współczucie oraz naiwność, aby dostać to, czego chcą. Niektóre wymyślone historie pokazują, w jaki sposób takie osoby mogą dostać się na teren firmy i ukraść tajemnice przemysłowe. Przytacza również przykłady oszustw opierających się na chęci zemsty pracownika lub cyberterroryzmie. Ogólnie rzecz biorąc, czy historia jest prawdziwa, czy też nie, wszystkie obrazują nam to, jak bardzo bezpieczeństwo informacji i danych jest zagrożone.

                Dla osób, które pracują w większych firmach podzielonych na rozwinięte struktury organizacyjne, Sztuka podstępu może okazać się zbiorem wytycznych postępowania. Aby ułatwić korzystanie z książki, autorzy dodali także rozdział zatytułowany „Bezpieczeństwo w pigułce”, skupiający wszystkie najważniejsze informacje, tzw. „ściągę”. Natomiast dla osób posiadających własne firmy zamieścili obszerny zarys skutecznego szkolenia dotyczącego bezpieczeństwa, i dalej także przykład „gotowca”, czyli kompletnego dokumentu opisującego politykę bezpieczeństwa firmy, którą możemy przystosować do naszych potrzeb i od razu wprowadzić w życie, by zabezpieczyć posiadane zasoby informacyjne.

                Całość została rozpatrzona i napisana w imponującym zakresie, dotykającym chyba każdego ważnego szczegółu. W efekcie otrzymaliśmy swoiste połączenie faktu i intrygujących historii, a co ważniejsze, po lekturze zyskujemy świadomość tego, jak łatwo jest nas zmanipulować. Nie sposób odmówić Sztuce podstępu znaczących wartości merytorycznych.