(Chapter 14 Industrial Espionage)
Перевод: Artem (artem_sib[at]inbox.ru)
Угроза информационных атак на правительство, корпорации и университетские системы хорошо обоснована. Почти каждый день СМИ рассказывают о новом вирусе, отказе в обслуживании (DOS – Denial Of Service) или краже информации о кредитной карточке с коммерческого веб-сайта.
Мы читаем о случаях промышленного шпионажа, когда Borland обвиняет Symantec в краже торговых секретов, Cadense Design System ведет судебный процесс о воровстве исходного кода конкурентом. Многие деловые люди читают эти истории и думают, что такое не может случиться с их компанией.
Это случается каждый день.
Коллективный иск
Представьте себе коллективный иск против фармацевтической компании «Фармомедик». Известно, что одно из распространенных лекарств обладает разрушающим эффектом, который становится очевидным только через несколько лет после его приема. В иске есть ссылка на результаты ряда исследовательских лабораторий, которые обнаружили опасность, но скрыли факты и не передали сведения в FDA, как это требуется.
Уильям ("Билли") Чейни из Нью-Йоркской юридической фирмы, которая вела процесс, располагает показаниями двух врачей из «Фармомедик». Оба они на пенсии, ни у одного из них нет файлов или документов, и никто из них не может представить убедительные доказательства. Билли осознает, что у него нет веских оснований. Если у него не будет копии одного из отчетов или внутренней переписки между работниками компании, дело будет провалено.
Поэтому он нанимает фирму, с которой работал ранее: «Андрисон и сыновья», частных сыщиков. Билли не интересует, как Пит и его люди получат материалы. Ему известно только то, что Пит Андрисон хороший сыщик.
Для Андрисона подобное задание это то, что он называет нелегальной работой. Первое правило: юридические фирмы и компании, которые нанимают его, никогда не узнают как он получил информацию, поэтому . Если кому-то и придется ошпариться, то это будет Пит, он ценит риск. Кроме того, он получает личное удовлетворение, оказываясь хитрее умных людей.
Если документы, которые требуется найти для Чейни, действительно существуют и не уничтожены, то они должны быть в файлах «Фармомедик». Но их поиск среди файлов большой корпорации будет непосильной задачей. С другой стороны, предположим, что они передали копии своей юридической фирме «Дженкинс и Петри». Если адвокаты знали, что документы существуют и не сообщили об этом, значит, они нарушили правила профессиональной этики и также нарушили закон. По плану Пита, это делает любую атаку справедливой игрой.
Атака Пита
Пит подключает пару своих людей и через несколько дней узнает, что компания «Дженкинс и Петри» делает резервные копии. И знает, что в компании, занимающейся хранением резервных копий, есть список людей, санкционированных забирать ленты из хранилища. Он также знает, что у каждого из этих людей есть свой пароль. Пит отправляет двоих человек выполнить «черную» работу.
Его люди открывают замок используя отмычку, заказанную на www.suthord.com. Около трех часов ночи за несколько минут они проникают в офис фирмы и включают компьютер. Они улыбаются, когда видят логотип Windows 98 - это означает, что им достанется лакомый кусочек. Windows 98 не требует никакой аутентификации. После недолгого поиска они находят базу данных MS Access, в котором для каждого из клиентов компании указаны имена людей, уполномоченных забирать ленты. Они добавляют фальшивое имя в список для фирмы «Дженкинс и Петри», имя из водительских прав, добытых ранее. Могли они взломать помещение хранилища и найти ленты нужного клиента? Безусловно, но тогда бы все клиенты компании, включая юридическую фирму, узнали о взломе. И они потеряли бы преимущество: профессионалы всегда любят оставлять лазейку на будущее.
Они также скопировали файл со списком авторизации на дискету, следуя стандартной практике промышленных шпионов хранить что-нибудь на всякий случай. Ни у одного из них не было уверенности о возможной пользе этого, но это одна из тех вещей, которая иногда может оказаться ценной.
На следующий день один из них позвонил в компанию, занимающуюся хранением резервных копий, используя имя, добавленное в список авторизации, и сообщил пароль. Он попросил все ленты фирмы «Дженкинс и Петри»за последний месяц и сказал, что за ними подойдет посыльный. В полдень у Андрисона уже были ленты. Его люди восстановили данные в свою компьютерную систему. Андрисон был благодарен юридической фирме, которая, подобно многим компаниям, не заботилась о шифровании своих резервных копий.
На следующий день ленты были возвращены в хранилище, и никто ничего не заподозрил.
Сообщение Митника
Ценная информация должна быть защищена независимо от того, в какой форме и где она размещается. Список клиентов компании имеет одинаковую ценность в твердой копии, электронном виде или в хранилище. Социальные инженеры всегда предпочитают самый легкий путь обмана, наименее защищенное место для своей атаки. Риск обнаружения или похищения резервных копий компаниии представляется меньшим. Каждая организация, которая хранит любые ценные данные с помощью сторонних компаний, должна шифровать свои данные для сохранения конфиденциальности.
Анализ обмана
Благодаря слабой физической защите злоумышленники легко могли взломать замок компании, получить доступ к компьютеру и внести изменения в базу данных со списком людей, имеющих доступ в хранилище. Добавленное имя позволило мошенникам получить ленты с резервными копиями, не взламывая хранилище фирмы. Они [злоумышленники] располагали информацией, потому что большинство фирм не шифруют резервные копии данных.
У социальных инженеров есть большое преимущество перед обычными мошенниками - расстояние. Обычный мошенник может обмануть вас только в вашем присутствии, давая возможность описать его или даже позвонить в полицию, если вы вовремя обнаружите обман.
Социальные инженеры обычно избегают такого риска как чумы. Хотя иногда риск необходим и оправдывается возможной наградой.
История Джессики
Джесскика Эндовер была рада получить работу в робототехнической компании. Конечно, это было начало и платили не очень много, но она испытывала волнение, зная, что в дальнейшем она станет богатой. Конечно, не миллионером, как основатели компании, но достаточно обеспеченной.
Случилось так, что Рик Дэгот войдя в приемную компании во вторник августовским утром, поймал сверкающую улыбку Джессики. Его дорогой костюм от Армани, золотые часы «Ролекс президент», безупречная стрижка придавали ему тот самый мужественный, уверенный вид, который сводил с ума всех девушек, когда Джессика еще училась в высшей школе.
«Привет! – сказал он, – Я Рик Дэгот, и у меня назначена встреча с Ларри».
Улыбка Джессики померкла. «Ларри? – спросила она, – Ларри в отпуске на этой неделе».
«У меня встреча с ним в час. Я прилетел из Луисвилля , чтобы встретиться с ним», – сказал Рик и вынул свой Palm (КПК) и показал ей.
Она посмотрела и кивнула . «Двадцатое, – сказала она, – Это на следующей неделе». Он забрал свой КПК и уставился на него. «О, нет! –застонал он. – Я не могу поверить, что сделал такую глупую ошибку.»
«Может, заказать для вас обратный билет на самолет?» – спросила она, сочуствуя ему.
Пока она звонила, Рик доверительно рассказал ей, что он и Ларри договорились основать стратегический маркетинговый союз. Компания Рика выпускала продукцию для производства, изделия, которые могли отлично дополнить их продукт, C2 Alpha. Продукция Рика и C2 Alpha вместе могли бы составить сильное решение, открывающее важные промышленные рынки для обоих компаний.
Когда Джессика закончила с бронированием билета на вечерний самолет, Рик сказал: «Хорошо, я мог бы поговорить со Стивом, если он свободен». Но Стива, одного из учредителей компании, не было в офисе.
Рик, слегка флиртуя, предложил до своего отлета пригласить нескольких важных людей на обед. И добавил: «Включая вас, конечно, – кто-нибудь может заменить вас во время обеда?»
Смущенная от приглашения, Джессика спросила: «Кого вы хотите позвать?». Он снова достал свой КПК и назвал несколько людей – двух инженеров-исследователей, человека по продажам и маркетингу, и человека, связанного с финансированием проекта. Рик предложил ей рассказать им о его отношениях с компанией и том, что он хочет познакомиться с ними. Он назвал лучший ресторан в районе, место, куда Джессика всегда хотела пойти, и сказал, что заказал столик на 12:30 и позднее позвонит убедиться, что все готово.
Когда они собрались в ресторане – четверо мужчин и Джессика, их столик еще не был готов, поэтому они устроились в баре, а Рик дал понять, что за напитки и обед платит он. Рик был человеком, с которым удобно с самого начала, как будто вы знаете его много лет. Казалось, ему всегда есть что сказать , у него было яркое живое замечание или что-нибудь забавное, когда разговор затихал и не клеился, и вам было хорошо только находясь рядом с ним.
Он достаточно подробно рассказал о продуктах своей компании, так что они могли представить совместное маркетинговое решение, которое он оживленно описывал. Он назвал несколько компаний из Fortune 500, с которыми уже вела торговлю его фирма, и каждый за столом начал рисовать картину, как их продукт становится успешным со дня выпуска первых экземпляров единиц.
Рик обратился к Брайану, одному из инженеров. Пока другие разговаривали между собой, Рик поделился некоторыми замыслами с Брайаном и узнал у него об уникальных особенностях C2 Alpha и отметил его преимущество по сравнению с продукцией конкурентов. Он узнал о некоторых особенностях компании, которыми Брайан гордился и считал их действително изящными.
Рик работал в соответствии с планом, отдельно разговаривая с каждым. Специалист по сбыту был рад поговорить о дате выпуска и маркетинговых планах. А человек, занимавшийся финансированием, вытащил из своего кармана конверт и записал данные по материалам и стоимости производства, цене продажи, ожидаемой прибыли, и написал, какие вопросы он пытался решить с каждым из продавцов, перечислив их по имени.
К тому времени, когда их столик был готов, Рик обменялся идеями с каждым и заслужил всеобщее расположение. Псоле обеда все обменялись рукопожатиями и поблагодарили его. Рик обменялся с каждым из них визитками и пообещал продолжить обсуждение, как только вернется Ларри.
На следующий день Рик позвонил Брайану и сказал, что он только что закончил разговор с Ларри. «Я вернусь в понедельник, чтобы поработать с ним над деталями, – сказал Рик, – и он хочет, чтобы я был в курсе. Он хочет, чтобы вы отправили ему по электронной почте последние эскизы и спецификации. Он отберет необходимые для меня детали и отправит их мне».
Инженер сказал, что это было бы отлично. Хорошо, ответил Рик. и продолжил: «У Ларри проблема с получением электронной почты. Чтобы не отправлять материалы на его обычный адрес, он договорился с бизнес-центром отеля, чтобы для него открыли почтовый ящик Yahoo. Он говорит, что вам нужно отправить файлы на larryrobotics@yahoo.com».
В следующий понедельник утром, когда загорелый и отдохнувший Ларри вошел в офис, Джессике не терпелось рассказать о Рике. «Какой славный малый! Он взял на обед даже меня» . Ларри был в замешательстве: «Рик? Какой к черту Рик?»
– О чем вы говорите? – это ваш новый бизнес-партнер
– Что!!!???
– Мы все были приятно поражены его компетентностью
– Я не знаю никакого Рика…
– Что с вами? Это шутка, Ларри – вы разыгрываете меня, верно?
– Соберите исполнительную группу в конференц-зале. Прямо сейчас. Не важно, чем они заняты. Каждого, кто был на обеде. Включая вас.
Они сидели с мрачным настроением, с трудом разговаривая. Вошел Ларри, сел и сказал: «Я не знаю никого по имени Рик. У меня нет нового бизнес-партнера, которого я скрывал от вас. Я полагаю, это очевидно. Если среди нас кто-то шутит, я хочу поговорить с ним сейчас».
Тишина. С каждым моментом комната казалась мрачнее.
Наконец Брайан заговорил: «Почему вы ничего не сказали, когда я отправил вам исходный код и спецификации по электронной почте?»
– Какая почта!?
Брайан застыл: «О… черт!»
Клифф, другой инженер, вступил в разговор: «Он дал всем нам визитки. Нам нужно позвонить и выяснить, в чем дело.Брайан достал свой КПК,нашел запись и подал его Ларри через стол. Все еще надеясь, они все, словно заколдованные, смотрели, как Ларри звонил. Через минуту он стукнул по кнопке громкой связи, и все услышали сигнал «занято». После нескольких попыток в течение двадцати минут расстроенный Ларри попросил вмешаться оператора.
Немного позже оператор вышел на связь. Он спросил вызывающим тоном: «Сэр, где вы получили этот номер?» Ларри сказал, что он был на визитке человека, с которым ему нужно срочно связаться. Оператор сказал: «Сожалею. Это тестовый номер компании. Он всегда занят».
Ларри начал составлять список сведений, переданных Рику. Картина была нерадостной.
Пришли два детектива из полиции и составили отчет. Выслушав историю, они указали на то, что не было совершено государственного преступления; они ничего не могли сделать. Они посоветовали Ларри обратиться в ФБР, так как у них есть полномочия на расследование преступления в области международной коммерции. Когда Рик Дэгот попросил инженера отправить результаты теста, представившись другим человеком, он, возможно, совершил федеральное преступление, но чтобы выяснить это, Рик должен предстать перед ФБР.
Три месяца спустя Ларри читал газету за завтраком в своей кухне и чуть не пролил свой кофе. Ситуация, которой он опасался с тех пор, как услышал о Рике,осуществилась, стала его самым худшим кошмаром. Черным по белому на первой странице в колонке финансовых новостей было написано: компания, о которой он никогда не слышал, анонсировала выпуск нового продукта, точно напоминащего C2 Alpha, который его компания разрабатывала последние два года.
Обманным путем эти люди обогнали его на рынке. Его мечта была разрушена. Миллионы долларов, вложенные в исследование и разработку, были потеряны. И у него не было ни одного доказательства против них.
История Сэмми Санфорда
Достаточно умный для того, чтобы получать большое жалование законным путем, но довольно нечестный, чтобы предпочесть жизнь мошенника, Сэмми Санфорд выгодно поступил для себя. В то время, когда он попал в поле внимание шпиона, которому рано пришлось уйти в отставку из-за склонности к спиртному; ожесточенный и мстительный шпион нашел способ продавать свое умение в сфере, где правительство сделало его специалистом. Наблюдая за людьми, которых он мог бы использовать, он отметил Сэмми при первой же их встрече. Сэмми понял, что перейти от кражи денег людей к воровству секретов компаний легко и выгодно.
У большинства людей не хватило бы мужества делать того, что делаю я. Попробуйте обмануть людей по телефону или через Интернет, и никто даже не увидит вас. Но хороший обманщик старой школы (их много вокруг, больше, чем вы думали ) может смотреть вам в глаза, лгать вам, и вы поверите ему. Я знал одного прокурора или двух, которые считали это преступным. Я думаю, это талант.
Но вы не можете ходить вслепую, вам нужно сначала оценить ситуацию. Уличный мошенник, вы можете узнать даже температуру человека из маленькой дружеской беседы и пары осторожно произнесенных предложений. Получите нужную реакцию, и Бинго! – вы ообобрали простака.
Работа с компанией похожа на то, что мы называем большой обман. Вы должны настроиться. Выясните, как ими можно управлять. Что они хотят. Что им нужно. Спланируйте атаку. Будьте терпеливы при подготовке. Поймите, какую роль вы собираетесь играть, и учитесь вашему поведению. Не входите в дверь, пока вы не готовы.
Я потратил больше трех недель, приспосабливаясь. Клиент дал мне двухдневную сессию, после которой я должен был сказать «моя» компания и рассказать, почему это будет такой хороший маркетинговый союз.
Затем мне повезло. Я позвонил в компанию и сказал, что я из (venture capital) компании, и мы заинтересованы во встрече; что я нашел время, когда все наши партнеры будут свободны в следующие два месяца, и есть ли такие периоды, которых я должен избегать, когда Ларри не собиратется оставаться в городе? Она сказала, да, у него не было времени в течение двух лет с момента открытия компании, но жена с трудом вытащила его поиграть в гольф в первой неделе августа.
Оставалось всего две недели. Я мог подождать.
Тем временем промышленный журнал дал мне название PR-компании фирмы. Я сказал, что мне понравилось место, которое они предоставили для своего клиента – робототехнической компании – и что хотел бы поговорить о сотрудничестве с тем, кто делал этот отчет. Это оказалась молодая энергичная леди, которой понравилась идея о подготовке нового отчета.
За дорогим обедом, где она выпила больше, чем хотела, она сделала все, чтобы убедить меня в том, что они так хорошо понимают проблемы клиента и поиск правильных PR-решений. Я притворился, что мне трудно поверить. Мне были нужны некоторые детали. После небольшой «помощи», она рассказала мне до конца обеда о новом продукте и проблемах компании больше, чем я надеялся.
Дела шли как часы. Историю о встрече на следующей неделе ресепшионист проглотила полностью. Она даже сочувствовала мне. Обед обошелся мне в 150 долларов. С чаевыми. И я получил то, что нужно. Телефонные номера, должности, и один ключевой парень, который верил, что я тот, за кого себя выдаю.
Брайан ввел меня в заблуждение, я признаю. Он казался похожим на парня, который просто отправит мне все, что я попрошу. Но он выглядел, как будто утаил немного, когда я завел разговор. Выгодно ожидать неожиданное? Тот почтовый ящик на имя Ларри я держал про запас. Сотрудники безопасности Yahoo, наверное, все еще ждут кого-нибудь, кто воспользуется ящиком снова, чтобы выследить его. Им придется долго ждать. Теперь у меня другой проект.
Анализ обмана
Любой, кто работает с непосредственным обманом (лицом к лицу), должен скрывать себя под видом, приемлемым с точки зрения жертвы. Он будет представлять себя одним способом при появлении на ипподроме, другим – в пивной, и третьим – в баре дорогого отеля.
Точно так же и с промышленным шпионажем. Атака может потребовать костюм, галстук и дорогой портфель, если шпион выдает себя за должностное лицо зарекомендовавшей себя фирмы, консультанта или торгового представителя. На другом задании, представляясь разработчиком программного обеспечения, техническим специалистом или кем-нибудь из почтовой компании, одежда, форма – вся внешность будет другой.
Человек, назвавшийся Риком Дэготом, знал: чтобы просочиться в компанию, нужно разработать образец уверенности и компетентности, подкрепленный доскональным знанием продукта компании и промышленности.
Нетрудно было заблаговременно получить необходимую информацию. Он придумал несложную уловку, чтобы выяснить, когда генеральный директор будет отсутствовать. Маленькая, но не очень сложная, проблема состояла в выяснении деталей о проекте, про которые он мог упомянуть «внутри», говоря о том, что они делают. Часто этими сведениями располагают различные поставщики компании, инвесторы, venture capitalist, у которых они брали ссуду, их банкир, их юридическая фирма. Тем не менее, атакующий должен быть осторожным: поиск в двух-трех местах того, кто поделится знаниями со взломщиком, может быть сложным, но возможность вовлечь людей в игру оправдывает риск. Этот способ остается опасным. Рики Дэготы должны выбирать и проходить каждый информационный путь только один раз.
Обед был еще одним опасным мероприятием. Сначала была проблема организовать дело так, чтобы у него было несколько минут для каждого человека, вне пределов слышимости других. Он заказал столик на час дня в дорогом ресторане, но назвал Джессике время 12:30. Он надеялся, что это позволит выпить в баре, именно так и случилось. Отличная возможность передвигаться и разговаривать с каждым по отдельности.
Тем не менее, можно было оступиться еще не один раз – неправильный ответ или неосторожное замечание могли разоблачить Рика. Только в высшей степени уверенный и хитрый промышленный шпион мог осмелиться рисковать таким способом. Но годы работы уличным шпионом сделали его способным и дали ему уверенность в том, что если бы он поскользнулся, то смог бы скрыть это достаточно хорошо, не вызывая подозрений. Это был самый вызывающий, самый опасный момент во всей операции, и подъем настроения, который он испытывал после удачного завершения момента, подобного этому, объяснял, почему ему не нужно было быстро ездить на машине, прыгать с парашютом или изменять жене – он испытал такое же волнение только от своей работы. Много ли людей могли похвастаться тем же?
Сообщение Митника
Хотя большинство атак социальных инженеров происходит по телефону или электронной почте, не думайте, что уверенный атакующий никогда не появится как человек в вашем бизнесе. В большинстве случаев обманщик использует некоторую форму социальной инженерии, чтобы получить доступ в здание после подделки удостоверения служащего, используя общедоступную программу, такую как Photoshop.
Как насчет визиток с тестовым номером телефонной компании? На телевидении показывали сериал («The Rockford Files») о частном сыщике, демонстрировавший хитрый и отчасти комичный способ. В машине Рокфорда (в роли Джеймс Гарнер) была портативное устройство, которое он использовал для печати визиток на все случаи жизни. В наши дни социальный инженер может заказать и получить визитки в течение часа в любом копи-центре или напечатать их на лазерном принтере.
Заметка
Джон Ле Карре, автор книг «Шпион, который вернулся из холода», «Настоящий шпион», вырос в семье "бизнесмена", склонного к мошшеничеству. Юный Ле Карре был поражен открытием: удачно обманывая других, его отец не раз был доверчивой жертвой другого мошенника. Это показывает, что каждый, даже социальный инженер, рискует быть обманутым другим социальным инженером.
Что заставляет умных мужчин и женщин поверить обманщику? Мы оцениваем достоверный образ, мы обычно готовы потерять бдительность. Правдоподобный образ отличает удачного мошенника или социального инженера от того, кто быстро оказывается за решеткой.
Спросите себя: насколько я уверен, что никогда не попаду в историю, подобную с Риком? Если вы уверены, что нет, спросите себя, проделывал ли кто-то подобное с вами. Если ответ на второй вопрос утвердительный, то, вероятно, это верный ответ и на первый вопрос.
Внимание: следующая история не связана с промышленным шпионажем. После ее прочтения подумайте, почему я решил поместить ее в эту главу!
Гарри Тарди возвращался домой обозленным. Морские войска были для него большой отдушиной, пока он не был признан негодным в учебном лагере. Теперь он вернулся в родной город, который он ненавидел, посещал компьютерные курсы в местном колледже и искал повод отомстить окружающему миру.
Наконец у него появился план. За кружкой пива, с парнем из его класса, он выражал недовольство их инструктором, саркастическим всезнайкой; вместе они состряпали хулиганский план наказать парня. Они решили завладеть исходным кодом для распространенного КПК, отправить его на компьютер инструктора, оставив след.
Новый приятель, Карл Александр, сказал, что «знает некоторые приемы» и расскажет Гарри, как успешно провернуть дело.
Подготовка
Небольшая разведка Гарри показала, что программа был создана в Центре разработок, расположенном в зарубежной штаб-квартире производителя КПК. В Соединенных Штатах также существовало подразделение исследования и разработки. Это хорошо, отметил Карл, потому что подразделению в Штатах для работы тоже нужен доступ к исходному коду.
В этот момент Гарри готов был звонить в заграничный Центр разработок. Здесь нужна была просьба о помощи: «О, у меня неприятность, мне нужна помощь, пожалуйста, помогите мне». Конечно, просьба была немного хитрее, чем эта. Карл написал сценарий, но Гарри произносил все слишком фальшиво. Наконец Карл натренировал его так, чтобы он мог сказать то, что нужно, разговорным тоном.
То, что сказал Гарри при помощи Карла, звучало примерно так:
«Я звоню из Миннеаполиса, отдел исследования и разработки. Червь с нашего сервера инфицировал все подразделение. Нам пришлось установить операционную систему снова, а затем оказалось, что все резервные копии испорчены. Подскажите, кто обязан проверить целостность резервных копий? Конечно, я. Мой босс накричал на меня, руководство в панике, что мы потеряли данные. Послушайте, мне нужна последняя редакция исходного кода как можно быстрее. Мне нужно, чтобы вы упаковали (gzip) исходники и отправили мне».
В этот момент Карл написал подсказку, и Гарри сказал человеку на том конце линии, что он хочет получить файлы по внутренним каналам, в подразделение в Миннеаполисе. Это было очень важно: когда его собеседник был убежден, что его только просят отправить файл в другое подразделение компании, он был спокоен – что могло быть не так?
LINGO
GZIP – упаковать файлы в один сжатый файл, используя (одноименную) утилиту Linux.
Он согласился упаковать и отправить их. Шаг за шагом, рядом с Карлом, Гарри проинструктировал собеседника, начиная с процедуры сжатия объемного исходного кода в один компактный файл. Он также сказал ему, как назвать сжатый файл – «newdata» («новые данные»), объяснив, что такое имя поможет избежать путаницы со старыми, поврежденными файлами.
Карлу понадобилось дважды объяснить следующий шаг, прежде чем Гарри усвоил его, но это было главным в маленькой игре подтасовки, задуманной Карлом. Гарри должен был позвонить в отдел исследования и разработки в Миннеаполисе и сказать кому-нибудь: «Я хочу отправить вам файл, а затем вам нужно прислать его мне», – конечно, все следовало замаскировать причинами, которые внушали бы доверие. Гарри смутило то, что ему нужно было сказать: «Я хочу отправить вам файл», в то время как сам он вовсе не собирался делать этого. Он должен был заставить парня из Центра исследования и разработки думать, что файл придет от него, в то время как Центру предстояло получить файл с патентованным исходным кодом из Европы. «Почему я должен сказать, что это придет от меня, хотя на самом деле придет из-за границы?» – хотел знать Гарри.
«Парень из Центра – исполнитель, – объяснил Карл, – Он будет думать, что сделает одолжение для коллеги из Соединенных Штатов, получив файл от тебя и перенаправив его тебе».
Гарри наконец понял. Он позвонил в Центр, попросил соединить его с оператором компьютерного центра. На связи был парень примерно такого же возраста, как Гарри. Гарри поздоровался, объяснил, что он звонит из производственного отделения компании в Чикаго, и что он пытался отправить файл одному из партнеров, работающих над проектом, но, сказал он: «У нас проблема с маршрутизатором, их сеть недоступна. Я бы хотел отправить файл вам, а после того, как вы получите его, я позвоню вам, чтобы рассказать, как отправить его партнерам».
Пока все хорошо. Гарри затем спросил юношу, есть ли анонимный доступ к FTP-серверу (схема, которая позволяет любому записывать файлы и читать файлы из каталога, где не требуется пароль). Да, у них есть анонимный FTP, и он сообщил Гарри его внутренний IP-адрес.
LINGO
ANONYMOUS FTP – программа, предоставляющая доступ к удаленному компьютеру по протоколу FTP (File Transfer Protocol – протокол передачи файлов) даже при отсутствии учетной записи. Хотя доступ к анонимному FTP возможен без пароля, права пользователей на доступ к определенным каталогам ограничены.
Располагая такой информацией, Гарри снова позвонил в заграничный Центр разработок. Теперь сжатый файл был готов, и Гарри дал инструкции по передаче файла на анонимный FTP. Меньше, чем за пять минут файл с исходным кодом был отправлен парню в Центр исследования и разработок.
Подготовка жертвы
На полпути к цели. Теперь, прежде чем продолжать, Гарри и Карл должны были дождаться, пока прибудет файл. Во время ожидания они прошли к столу инструктора и сделали еще два шага. Сначала они установили анонимный FTP-сервер на его машине, который служил местом назначения для файла на последнем этапе их схемы.
Второй шаг давал решение другой сложной проблемы. Ясно, что они не могли просить человека из Центра исследований и разработки отправить файл на адрес наподобие warren@rms.ca.edu. Домен «.edu» был бы плохим вариантом, поскольку любой полуграмотный компьютерщик узнал бы адрес школы, сразу испортив всю операцию. Чтобы избежать этого, они загрузили Windows на машине инструктора и посмотрели IP-адрес компьютера, который и дали бы для отправки файла.
Пришло время звонить оператору из центра R&D. Гарри позвал его к телефону и сказал: «Я только что отправил файл, о котором говорил вам. Проверьте, получили ли вы его».
Да, он пришел. Гарри затем попросил его переправить файл и дал ему IP-адрес. Он оставался на линии, пока юноша установил соединение и начал передачу файла; они с усмешкой наблюдали за тем, как мигал индикатор жесткого диска на компьютере инструктора – сигнал занятости во время получения файла.
Гарри обменялся с парнем парой фраз о том, что однажды компьютеры и внешние устройства станут более надежными, поблагодарил его и попрощался с ним.
Они скопировали файл с машины инструктора на пару ZIP-дисков, по одному для каждого, чтобы посмотреть позже, словно воруя картину из музея, которой вы можете наслаждаться сами, но не осмелитесь показать друзьям. Только в данном случае они словно взяли дубликат картины, оставив в музее оригинал.
Затем Карл объяснил Гарри, как по шагам удалить FTP-сервер на машине инструктора и затереть следы в журнале аудита, чтобы не было доказательств того, что они сделали – осталсят только украденный файл, который легко можно было обнаружить.
В заключение они разместили исходный код в сети Usenet прямо с компьютера инструктора. Только часть, так что они не нанесли большого ущерба компании, но оставили следы, ведущие к инструктору. Ему будет трудно оправдаться.
Анализ обмана
Хотя потребовался комбинация ряда элементов, чтобы выходка заработала, она не была бы успешной без некоторой умелой игры с просьбой о помощи: мой босс накричал на меня, руководство в панике, и т.д. Эти действия в сочетании с объяснением того, как человек на том конце провода может помочь решить проблему, оказались убедительным обманом. Это сработало здесь и работало еще много раз.
Второй решающий момент: человека, знавшего цену файла, попросили отправить его на внутренний адрес компании.
И третья часть головоломки: оператор мог убедиться в том, что файл отправлен ему из его компании. Это могло значить только одно – или казаться так – человек, приславший файл, мог сам отправить его к месту назначения, если бы внешнее соединение работало. Что плохого в том, чтобы помочь отправить ему файл?
А как насчет другого названия сжатого файла? Казалось бы, незначительный, но важный пункт. Атакующий не мог допустить, чтобы прибыл файл с названием исходного кода или названием, имеющим отношение к продукту. Просьба отправить файл с таким названием за пределы компании могла вызвать тревогу. Наличие файла с невинным названием было решающим. Второй человек, обработанный атакующими, не беспокоился по поводу отправки файла за пределы компании; файл с названием «newdata», не дающий сведений об истинной сущности информации, едва ли мог вызвать подозрение.
Сообщение Митника
Базовое правило, которое должен запомнить каждый служащий: без согласия руководства не передавайте файлы людям, которых вы не знаете, даже если место назначения находится во внутренней сети компании.
В заключение, вы поняли, что делает эта история в главе о промышленном шпионаже? Если нет, то вот ответ: то, что двое студентов сделали как злую шутку, легко может быть сделано профессиональным промышленным шпионом, возможно, за деньги конкурента или иностранного правительства. В любом случае, ущерб может быть разорительным для компании, сильно нарушив продажи нового продукта после выхода на рынок продукта конкурентов.
Насколько легко могла быть выполнена такая атака на вашу компанию?
Промышленный шпионаж, который долгое время был проблемой для бизнеса, стал хлебом для обычных шпионов, сосредоточившихся на добыче секретов компании за деньги, теперь, когда холодная война закончилась. Иностранные правительства и корпорации используют свободных промышленных шпионов для кражи информации. Внутренние компании также нанимают информационных брокеров, которые пересекают черту в попытках найти конкурентоспособные сведения. Во многих случаях это бывшие военные шпионы, ставшие промышленными информационными брокерами, которые обладают знаниями и опытом, необходимыми для использования организаций, особенно тех, что не предусмотрели меры предосторожности по защите информации и не обучили своих людей.
Безопасный оффлайн (Safety Off-Site )
Что могло помочь компании, столкнувшейся с проблемой хранения ? Опасности здесь можно было избежать, если бы компания шифровала свои данные. Да, шифрование требует времени и дороже, но оно стоит усилий. Зашифрованные файлы необходимо регулярно выборочно проверять, чтобы убедиться в нормальной работе шифрования/дешифрования.
Всегда есть опасность того, что ключи шифрования будут утеряны или что единственный человек, знающий ключи, попадет под автобус. Но можно уменьшить неприятности, и любой, кто хранит ценную информацию с участием коммерческой фирмы и не использует шифрование, извините меня за грубость, идиот. Это похоже на прогулку по опасной улице с двадцатидолларовыми купюрами, торчащими из карманов, по сути дела, упрашивая вас ограбить.
Хранение резервных копий там, где кто-нибудь может забрать их, – распространенная брешь в безопасности. Несколько лет назад меня наняла фирма, которая могла приложить усилия для защиты информации клиента. Персонал фирмы оставлял резервные ленты за дверью компьютерной комнаты для посыльного, приходившего каждый день. Любой мог выйти с резервными лентами, которые содержали назашифрованные документы в текстовом виде. Если резервные копии зашифрованы, их потеря досадна, если незашифрованы – вы можете оценить удар компании лучше меня.
Необходимость в надежных хранилищах для больших компаний в большей степени установлена. Но процедуры безопасности вашей компании должны включать изучение компании по хранению на предмет наличия их собственной политики безопасности и добросовестного следования ей. Если они не придают этому такого значения, как ваша компания, то все ваши усилия по безопасности могут быть подорваны.
У маленьких компаний есть хороший выбор: отправляйте новые и измененные файлы каждую ночь в одну из компаний, предлагающих онлайновое хранилище. Важно, чтобы данные были зашифрованы. Иначе информация доступна не только нечестным служащим компании по хранению, но и каждому взломщику, который может проникнуть в компьютерныую систему или сеть компании онлайн-хранения.
И конечно, когда вы установите систему шифрования для защиты резервных копий, вы также должны предусмотреть защищенную процедуру хранения ключей шифрования или паролей, которые устраняют их. Секретные ключи, используемые для шифрования данных, должны храниться в сейфе. В обычной практике компании необходимо предусматривать случаи отъезда, смерти, перехода на другую работу служащего, обрабатывающего эти данные. Всегда должно быть не менее двух человек, знающих место хранения и процедуры шифрования/дешифрования, а также, как и когда менять ключи. Правила также должны требовать немедленной смены ключей шифрования после смерти ухода любого из служащих, имевших доступ к ним.
Пример в этой главе, где ловкий мошенник использует обаяние, чтобы получить информацию от служащих, усиливает важность проверки личности. Просьба переправить исходный код на FTP-сервер также указывает на то, что важно знать личность просителя.
В главе 16 вы найдете отдельные правила проверки личности любого чужака, который запрашивает информацию или просит что-то сделать. Мы говорили о необходимости проверки на протяжении всей книги; в главе 16 вы подробно узнаете, как это следует делать.