[PL] Socjotechnika otwierająca drzwi…

Jak zawsze jest tak samo. Kilka nowych książek się pojawiło ostatnio na rynku, takich autorów jak: Mark Russinovich Zero Day , Kevin Mitnick The Art of Deception: Controlling the Human Element of Security , duet tych dwóch Trojan Horse czy wreszcie, popularny w Anglii Ian Mann Hacking the Human (premiera drugiej części miała miejsce na konferencji InfoSecurity Europe pod koniec kwietnia w Londynie). Wydaje się więc, że nie tyle zwykli użytkownicy, ale przede wszystkim eksperci związani z bezpieczeństwem, powinni pewną wiedzę na ten temat posiadać.

Chodzi mi oczywiście nie tyle o hakerstwo, włamania oraz kradzież danych, ale przede wszystkim o socjologiczne zachowania. Miałem okazję w środku kończącego się tygodnia uczestniczyć w kolejnym spotkaniu grupy o tajemniczej nazwie MACCSA (dość powiedzieć, że chodzi o cyber security). Spotkanie trwało dwa dni, miejscem była jedna z sal konferencyjno-plenarnych Komisji Europejskiej w Brukseli. Było nas około czterdziestu osób, w większości albo pracujących w międzynaradowych firmach (czasem korporacjach) głównie na stanowiskach Chief Security Officer/Advisor, albo wręcz w MOD (Ministry of Defense) któregoś z krajów europejskich. Generalnie rzecz ujmując, ludzie, którzy na temat dostępu do informacji oraz autentykacji i autoryzacji użytkowników wiedzą dość sporo. Lub przynajmniej powinni.

Ponieważ te dwa dni były ostatnimi z mojej dziesięciodniowej podróży, a opierała się ona tylko na podręcznym bagażu, więc i wyposażenie modowe było skromne. Jak już się wszyscy zebrali w pierwszy dzień, nastąpiło hurtowe wydanie przepustek, pozwalających na poruszanie się po budynku Charlemagne. Na sobie miałem koszulkę z nadrukiem CISCO SECURITY z przodu (oczywiście z właściwym logo), oraz mapą świata wypełnioną pojęciami powiązanymi z cyber bezpieczeństwem na plecach. Koszulka wybrana zupełnie przypadkowo, głównie ze względu na właściwy rozmiar i dobry materiał. Kilka osób znałem ze wczesniejszego spotkania, kilkoro było nowych i podczas przerwy kawowej nastąpiło pierwsze z ciekawych pytań (wystosowanych właśnie przez dwójkę nowych uczestników): Pracujesz dla Cisco? To dobrze bo mamy tu gościa z Nokia-Siemens, więc będzie można pogadać. Wielkim zdziwieniem dla nich był fakt, że nie jestem z Cisco. Dlaczego zdziwienie? Bo przecież mam koszulkę z ich logo.

Pod sam koniec pierwszego dnia trzecia osoba była bardziej bezpośrednia: Gdzie w Polsce jest Twój oddział i w jakim departamencie pracujesz? I czy masz kontakt z innymi biurami np w Anglii lub Skandynawii? Firma dla której potencjalnie miałbym pracować już się utrwaliła. Niesamowite jest jak łatwo – tylko na podstawie zwykłej koszulki (choć przypadkowo związanej z tematyką spotkania) – można i zdobyć zaufanie i zbudować historię i doprowadzić do takiego czy innego spotkania w danej firmie.

Od naszego opiekuna dostaliśmy dodatkowe identyfikatory, zastępujące te budynkowe, aby było nam się łatwiej poruszać między salą plenarną a kantyną. Identyfikator prosty, zwykły na samoprzylepnym papierze wydrukowany. Okazało się jednak, że umożliwił wejście nie tylko na teren dla nas przeznaczony, ale również na zwiedzenie trzech innych pięter: “bo ochrona wiedziała, że jest takie spotkanie”. Jak nietrudo się domyślić, z pomocą tej banalnej w swej prostocie naklejki, można by było zrobić kilka ciekawych rzeczy. W regulaminie użycia dostępnego zahasłowanego wprawdzie (zupełnie nie spełniającym warunków złożoności hasłem), ale publicznego łącza sieci bezprzewodowej, było kilka wzmianek o tym do czego nie wolno robić w sieci… ale port jeden-cztery-trzy-trzy był otwarty.

Najlepsze w całej historii jest to, że to nie ja użyłem techniki, lub socjotechniki. To owe “nieświadome ofiary” same jej użyły… Jak zawsze jest tak samo.