Techniki zdobywania informacji dla nielegalnych działań
Internet stanowi doskonały pojazd dla przestępców (włamywaczy), którzy mogą kolekcjonować i współdzielić informacje/ oprogramowanie z innymi przestępcami na całym świecie. Globalna sieć komputerowa stworzona przez Internet pozwala przeprowadzać różnego rodzaju transakcje, nie tylko legalne. Znacznie ułatwia handel informacjami dotyczącymi różnych technologii (szpiegostwo przemysłowe), a także innymi danymi ściśle związanymi z określonym przedsiębiorstwem. Udostępniane lub wymieniane dane w Internecie nie są zawsze ściśle związane z zagadnieniami sieciowymi, czy też z tym - jak włamać się do danego systemu.
Często handluje się informacjami opisującymi sposoby dzwonienia (nawet na duże odległości - z Europy [Polski] do USA) bez ponoszenia opłat, metody klonowania telefonów komórkowych, a także udostępnia się lity numerów kart kredytowych wraz z danymi ich właścicieli. Ponadto, podaje się nawet informacje o tym, gdzie można kupić i sprzedać określone rodzaje substacji odużających. Warto zaznaczyć, że ta masywna sieć stanowi globalny system komunikacyjny. Dlatego też, potencjalni przestępcy wykorzystują ją w ten sam sposób, jak dawniej korzystali tylko z telefonów, telegrafów oraz listów.
Wykonanie zlecenia (przez przestępcę), polegającego na uzyskaniu pewnych informacji o danym przedsiębiorstwie, czasami wymaga zebrania tych danych bezpośrednio z przedsiębiorstwa. Do najprostszych metod wykonania takiego zadania zalicza się kradzież informacji dokonana bezpośrednio w firmie oraz wszelkie metody opierające się o socjotechnikę (ang. social engineering).
Przestępcy zaawansowanych technologii często korzystają z tych samych technik zdobywania informacji co organy ścigania podczas prowadzenia śledztwa. Przeglądają wszelkie informacje znajdujące się na biurkach, szafkach itp., pod względem danych istotnych z punktu widzenia danego zlecenia (ang. dumpster diving attack - pozyskiwanie informacji ze „śmieci”). Bardzo często przeszukują oni również zawartość kosza na śmieci. Czynności te mają na celu określenie punktu zaczepienia, nawet drobnej wskazówki, która może pomóc w osiągnięciu celu - czyli dokonania ataku. Najczęściej szukają oni wszelkich informacji, które pozwolą im na określenie szczegółów związanych z wykorzystywanym środowiskiem teleinformatycznym (ang. Information Technology environment). Przykładowo, opakowania znajdujące się w koszu na śmieci, po zakupionym nowym sprzęcie i/ lub oprogramowaniu mogą dostarczyć przestępcy następujących informacji:
- rodzaj stosowanej internetowej zapory ogniowej (ang. Internet firewall),
- rodzaj i model nowego serwera sieciowego,
- rodzaj i model węzła międzysieciowego (ang. router), przełącznika (ang. switch),
- czy też typ i wersja wykorzystywanego systemu operacyjnego oraz oprogramowania aplikacyjnego.
Warto zaznaczyć, że przestępcy przeglądają również notatniki, kalendarze, książki/ notatki tele-adresowe pod względem wszelkich informacji związanych z nazwiskami, stanowiskami tych osób, numerami telefonów itp. Dane te mogą posłużyć jako pewne wskazówki ułatwiające określenie nazwy użytkowników i haseł. Nawet hasło, które straciło już ważność może być efektywnie wykorzystane przez przestępcę. Może ono wskazywać pewien szablon, który następnie może być wykorzystany do odgadnięcia nowego hasła. Dlatego należy pamiętać, aby wszelkie hasła - nawet te już nieważne - szczególnie strzec przed osobami niepowołanymi. Poznanie hasła (lub kilku haseł danego użytkownika) tworzy pewien model haseł lub inaczej rodzaj haseł, co znacznie ułatwia i zwiększa prawdopodobieństwo odgadnięcia prawdziwego nowego hasła nadanego przez użytkownika danego konta. Przykładowo, jeśli co miesiąc należy zmieniać hasło, to najprawdopodobniej kolejne hasło danego użytkownika będzie składało się z tego samego wyrazu z wstawioną w innym miejscu cyfrą/ liczbą (np. hasło w maju „password5” => hasło w czerwcu „5password” lub hasło w maju „password5” => hasło w czerwcu „password7”). Z punktu widzenia bezpieczeństwa samo używanie alfanumerycznych haseł nie zdaje egzaminu. Zawsze należy mieć na uwadze, że każdy kto pozna nasze stare hasło, będzie mógł przewidzieć nasze bieżące i przyszłe hasło.
Przestępca może udawać pracownika danej firmy i w ten sposób efektywnie pozyskać informacje niezbędne do zakończenia zadania. Ponadto, może on wcielić się w sprzedawcę, portiera, czy nawet w przyszłego pracownika firmy (kandydata). Do wejścia na teren korporacji wykorzystywane są także okresy, kiedy następuje zmiana np. nocna. Panuje wtedy stosunkowo duży ruch i istnieje możliwość przemieszczenia się w określone docelowe miejsce. Wspomniane powyżej metody wejścia na teren przedsiębiorstwa mogą zostać ograniczone poprzez, coraz częściej stosowane w firmach, identyfikatory ze zdjęciami. W takim przypadku przestępca w pierwszej fazie uzyska dostęp przynajmniej do niestrzeżonych sektorów, takich jak toalety, a nawet portiernia (jak portier zwróci na niego uwagę, to można on przecież rozpocząć z portierem jakąś pogawędkę, np. kiedy będzie prezes lub gdzie są toalety). Identyfikator ze zdjęciem jest pewnego rodzaju środkiem odstraszającym dla potencjalnych włamywaczy. Jednak mimo to, udaje się przestępcom nie posiadającym identyfikatora wykonać tzw. dumpster diving attack (... i wiele innych ataków od środka). Przykładowo, kiedy danego osobnika bez identyfikatora zauważy ochrona, wówczas może on wytłumaczyć im, że jest nowym pracownikiem i dopiero jutro otrzyma identyfikator.
Stosunkowo często spotykaną metodą pozyskiwania informacji jest socjotechnika, czyli nic innego jak zdolność do uzyskiwania informacji o kimś lub umiejętność spowodowania, aby określona osoba zrobiła to czego się od niej oczekuje. Bardzo często socjotechnika wykorzystywana jest do zbierana informacji koniecznych do wykonania ataku poprzez Internet. Przykładowo, rozmowa/ pogawędka z kimś z personelu może wskazać nazwiska osób, które mogą posiadać informacje wymagane do włamania do sieci lub aplikacji przechowujących krytyczne dane organizacji. W kolejnej fazie włamania następuje rozpracowanie już tylko tych osób.
Do technik socjotechnicznych zalicza się również wynajdywanie sposobów uzyskania dostępu do określonych budynków, pomieszczeń itp. Przykładowo, przedmiotem takiego działania może być przekonanie kogoś (np. portiera, ochronę), w taki sposób, aby uzyskać dostęp do określonego budynku. Znajdując się już w środku przestępca będzie miał dużo czasu na wyszukanie informacji, które mogą mu pomóc w dokonaniu włamania do określonych systemów teleinformatycznych. Może się również zdarzyć, że przestępca będzie miał wyjątkowe szczęście, ponieważ ktoś zostawi, po zakończeniu pracy, włączony komputer i w dodatku zalogowany do wewnętrznej sieci organizacji.
Innym podejściem uzyskania określonych informacji jest zatelefonowanie do operatora systemu komputerowego i poproszenie go o przydzielenie dostępu do danego zasobu (sieci, aplikacji), w celu wykonania ważnej czynności. Najlepiej jest telefonować poza godzinami pracy (np. późnym wieczorem), ponieważ najprawdopodobniej w tym czasie nie będzie nikogo z kierownictwa firmy, a z pewnością będzie jakiś operator systemu - o ile system musi pracować 24h/dobę. W trakcie rozmowy można wykorzystać wszelkie informacje uzyskane w pierwszych fazach rozpracowywania organizacji. Z pewnością znajomość pewnych nazwisk, rodzaju sprzętu i wykorzystywanego oprogramowania może pomóc w rozmowie z operatorem. Rozmowa taka będzie bardziej wiarygodna. W przypadku, kiedy operator wydaje się być niezdecydowany używa się mocnych argumentów, np. „słuchaj, ja rozumiem Twoją pracę i szanuję Twoją pozycję - obaj musimy wykonywać swoją robotę, za to w końcu nam płacą. Jednak jeśli ja nie zrobię dzisiaj tego raportu, to jutro będzie kiepsko ze mną na dywaniku u szefa - więc daj mi ten dostęp i obydwoje będziemy zadowoleni - Ty będziesz miał spokój - a ja wykonam to co mi zlecił szef, OK. Wiesz przecież, że jak będziemy mieli dobre wyniki na koniec kwartału to z pewnością będą atrakcyjne premie – nic nie stoi na przeszkodzie, abym wspomniał, że jeden z operatorów systemu jest bardzo zaangażowany w życie firmy”. Innym argumentem, bardziej stanowczym może być, np. „słuchaj, jeśli nie chcesz dać mi tych uprawnień, OK – no problemo – pójdę wcześniej do domu. Jednak zanim to zrobię, podaj mi swoje imię i nazwisko. Jutro, jak szef zapyta się mnie: dlaczego nie wykonałem zadania!!! to powiem mu kto w firmie stwarza problemy ludziom, którzy chcą dobrze wykonywać swoje zadania ”.
Warto podkreślić, że uzyskanie szczegółowych informacji o sprzęcie, oprogramowaniu itp. jest z reguły trywialnym zadaniem. Nie zawsze trzeba wykorzystywać technikę polegającą na uzyskiwaniu informacji ze śmieci (ang. dumpster diving - np. opakowań po sprzęcie i oprogramowaniu). Można przecież podać się za studenta, który potrzebuje takie dane do pracy magisterskiej lub też za osobę z marketingu badającą rynek.
Część metod uzyskiwania informacji opisanych powyżej wydaje się być nie wykonywalna. Pomimo to, odnotowuje się jednak wiele przypadków włamań dokonanych w bardzo poważnych instytucjach. Po przeanalizowaniu wykorzystywanych metod najczęściej jednoznacznie wynika, że inżynieria społeczna była jednym z głównych filarów, na podstawie której uzyskano istotne dane pozwalające na efektywne wykonanie ataku. Dlatego też, należy szczególnie uczulić pracowników na „podejrzane” zachowanie osób (obcych lub słabo znanych w firmie) wskazujące na zbieranie przez nich informacji.
Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.
