Socjotechnika – Dzień Pierwszy
……Dzień…1……….Kraków….Godzina….7:00..…..Mieszkanie…Janusza…K..………..
Czwartek w tym tygodniu był wyjątkowo deszczowy. Dzwoniący budzik obudził Janusza o 7:00.
– Wreszcie, idealna pogoda! – Pomyślał.
Już od dawna czekał na taki dzień, a tegoroczne lato jak dotychczas nie było dla niego zbyt łaskawe. Od dłuższego czasu przyglądał się jednej z korporacji w jego rodzinnym mieście – miał plan. I już wiedział, że dzisiaj będzie mógł go zrealizować. Z jego obserwacji wynikało, że ruch przy głównych drzwiach wejściowych wzmaga się o stałych godzinach:
- 8: 40, kiedy większość pracowników przychodziła do pracy;
- 11: 55, gdy z widocznymi oznakami głodu na twarzy ludzie udają się na przerwę obiadową;
- 16: 50, kiedy zmęczeni pracownicy rozchodząc się do domów.
Już wiedział, która z tych opcji będzie najlepsza, aby wkraść się do biura. Niepochamowany głód oraz irytacja związana z okropną pogodą działały na jego korzyść. Wszedł do głównego holu z miną tak znudzoną, jak gdyby znał na pamięć każdy kąt tego budynku. Zauważył tłum przedzierający się przez wąskie drzwi prowadzące do części dostępnej tylko dla pracowników – wiedział, że będą zabezpieczone. Każdy pracownik miał przy sobie kartę dostępu, ale nie było to dla Janusza żadną przeszkodą. Podszedł do drzwi i kulturalnie ułatwił przejście przytrzymując je dla wychodzących pracowników (lub wręcz wydzierającym się z wnętrza budynku, jakby gdzieś na górze rozprzestrzeniał się pożar). Kiedy znalazł lukę w rzece ludzi, wszedł do środka i zaczął wypatrywać alternatywnego kierunku, w którym zmierzał tłum – czyli korporacyjnej kuchni. Wiedział, że to odpowiednie miejsce, aby wyciągnąć wszystkie potrzebne mu informacje. Przecisnął się pomiędzy rozmawiającą grupką osób i siadając przy stole, wyciągnął przygotowany wcześniej w domu obiad – Janusz wiedział, że właściwe odżywianie się jest bardzo istotne. Nie musiał długo czekać, aby pozostałe miejsca przy stole się zapełniły. Rozmowa jego towarzyszy bardzo szybko przeszła na tematy problemów związanych z rozwijaną przez nich aplikacją.
– Jak się nazywa wasz team? Bo chyba coś słyszałem o tej aplikacji… – zapytał podstępnie Janusz.
– Internal Web Team – odpowiedział szybko ktoś z zespołu. – A ty, czym się zajmujesz?
– Przeniosłem się tutaj niedawno z innej firmy, mam się przyglądnąć procesom i przeprowadzić kilka zespołów przez proces transformacji. Wiecie… Tak, aby byli bardziej Agile – odpowiedział. – Siedzicie w tym pokoju obok windy? – Zapytał.
– W pokoju 510, wpadnij po obiedzie na cukierki. Dzisiaj jest mój pierwszy dzień stażu w tym projekcie i przygotowałem mały poczęstunek – odparł młodzik, przedstawiający się jako Andrzej.
– Dzięki! Na pewno się zjawie i mam nadzieję, że Ci się tutaj spodoba! – Odparł z uśmiechem Janusz, mimo że szczerze nienawidził korporacyjnej atmosfery. Mieszanka zapachów dań odgrzewanych w mikrofalówce ani trochę nie ułatwiała mu zadania. Pamiętając jednak o swoim celu, postanowił podjąć jeszcze przez chwilę ten wysiłek i zapytał:
– Andrzej, mógłbyś powiedzieć mi jak masz na nazwisko? Podesłałbym ci jednego maila. Jak wspomniałem będę zajmował się transformacją procesów i myślę, że jako nowa osoba, mająca świeże spojrzenie na naszą firmę, mógłbyś wnieść ciekawy feedback.
– Pewnie! – Pomyślał Andrzej, ciesząc się w duchu, że już pierwszego dnia może się wykazać – Andrzej Naiwny.
Janusz miał już wszystko, po co dzisiaj przyszedł. Po krótkiej dyskusji i dokończeniu obiadu, wyszedł z budynku z miną osoby, która została pozbawiona możliwości wyrwania się na lunch o 11: 55 przez jakieś nudne spotkanie – tak na wszelki wypadek, aby nie wzbudzać żadnych podejrzeń.
Socjotechnika – Dzień drugi
……Dzień…2……….Kraków….Godzina….7:45..…..Siedziba….XYZ…Corporation……………..
Janusz wpadł na recepcję, do perfekcji udając spóźnionego i zaspanego jednocześnie.
– Cześć! Ale mam dzisiaj dzień. Nie dość, że zaspałem, to jeszcze zapomniałem z domu swojej karty. Mogłabyś mi jakąś na dzisiaj pożyczyć? – zadał pytanie, wiedząc z dotychczasowego rekonesansu o tym, że kilku pracowników przychodzi do biura na 7: 30, aby móc wyjść godzinę wcześniej i odebrać dzieci z przedszkola. Wiedział też, że dla recepcjonistki ta pora również jest ciężka i spiesząc się na kawę, nie będzie zadawała zbyt wielu pytań.
– Jak się nazywasz? – Spytała.
– Andrzej Naiwny, z projektu Internal Web Team. Wiesz robimy te appki wewnętrzne, miałem przyjść dopilnować wszystkiego przed dzisiejszym releasem i jak na złość zapomniałem karty… – odparł bardzo przekonująco Janusz.
– Okay, zapiszę sobie tylko twoje dane… Nie zapomnij mi jej oddać jak będziesz wychodził – odpowiedziała wręczając Januszowi kartę z podpisem „Gość”.
Janusz uzyskał pełen dostęp do budynku. Wiedział, że ze względu na wczesną porę ma jeszcze godzinę, aby wszystko przygotować. Skierował się od razu do pokoju 510 z nadzieją, że zostały jeszcze jakieś cukierki z wczoraj. Niestety, pomylił się – w tej korporacji nie było takiej ilości cukierków, która zostawałaby na drugi dzień. Rozejrzał się po pokoju i szybko zlokalizował biurko Andrzeja. Janusz wiedział, po czym poznać, jak jest obecnie ukształtowana pozycja każdej z osób w korporacyjnej hierarchii:
Janusz przygotował powyższą wizualizację używając: http://www.leroymerlin.pl/planer3d.html
Szybko dało się zauważyć, że najlepsze biurka to te zaznaczone kolorem zielonym – z dala od spojrzeń osób postronnych. Część z nich z własnym dostępem do okna, a zimą – kaloryfera. Janusz wiedział, że posiadanie takiego biurka wymaga piastowania odpowiedzialnej funkcji i wielu lat oczekiwania, aż poprzedni właściciel (dobrowolnie, lub też nie) zwolni wymarzone miejsce. Dlatego żadne z nich z pewnością nie należało do Andrzeja. Odrzucił również żółte – były bardziej osiągalne dla przeciętnego pracownika, ale również dość wartościowe, aby i do nich ustawiła się kolejka oczekujących. Pozostały mu trzy opcje do wyboru – zaznaczone kolorem czerwonym. Przydzielenie do takiego biurka było jak najgorsza kara – oznaczało to przeprawy masy ludzi tuż za plecami, co wiązało się z wieczną presją wyglądania na zapracowanego (także na ekranie monitora). I właśnie wspomniany monitor był ostatecznym tropem w procesie poszukiwania biurka nowego stażysty – Andrzej nie dość, że miał biurko w najgorszym miejscu z wszystkich możliwych, to jednocześnie pracował zbyt krótko, żeby dorobić się „w spadku” drugiego monitora. Janusz sprawnym ruchem włożył pomiędzy wtyczkę klawiatury a gniazdo USB fizyczne urządzenie pełniące funkcję keyloggera.
https://www.keelog.com/images/hardware_keylogger_04_pl.jpg
– Mimo że Andrzej, jako stażysta nie miał zbyt wysokich uprawnień w systemie, to przez pierwsze tygodnie będzie się wdrażał w różne projekty, więc na pewno otrzyma w tym celu cenne dane logowania do różnych aplikacji. – Założył Janusz.
W jednej z podsłuchanych w kuchni rozmów dowiedział się, że zespół odpowiedzialny za urządzenia mobilne ma problem z wpięciem ich do sieci wewnętrznej. W końcu wymagania stawiane telefonom, które mogłyby zostać do niej wpuszczone były niezwykle wywindowane przez zespół dbający o bezpieczeństwo. Sprytni specjaliści znaleźli jednak na to pewien sposób – wystarczyło podpiąć fizycznie MacBook’a kablem do gniazdka internetowego, a następnie otworzyć na nim hotspot WiFi i wszystkie problemy znikały. W firmie tylko kilka osób używało MacBook’ów i najwidoczniej zastosowano wyłączenie blokady dla tego typu komputerów, jako „tymczasowy workaround” w przypadku ASAP’a (w tłumaczeniu na bardziej zrozumiały język – któraś z ważnych osobistości stwierdziła, że chce używać komputera z nadgryzionym jabłkiem i z uwagi na bardzo ważne spotkanie, które odbędzie się za 5min, oczekuje natychmiastowego wpięcia jej komputera do sieci wewnętrznej). Janusz podłączył przygotowanego wcześniej MacBook’a do gniazdka i ukrył go bezpiecznie za szafą – warstwy kurzu wskazywały na to, że będzie to najbezpieczniejsze i najrzadziej uczęszczane miejsce w całym biurze. Plątanina kabli również powodowała, że odkrycie kolejnego było praktycznie niemożliwe. Dla pewności Janusz zainstalował kolejnego fizycznego keyloggera tym razem osobie posiadającej 3 monitory i największy bałagan na biurku. Nie było szans na dostrzeżenie tego niewielkiego urządzenia pomiędzy masą dokumentów, kubków i opakowaniu po wczorajszym obiedzie.
Janusz skierował swoje kroki ponownie do znienawidzonej kuchni. Tym razem było w niej jeszcze zupełnie pusto. W jednej z szafek ukrył niewielkie urządzenie, o nazwie Pineapple WiFi.
– Teraz wystarczy tylko chwilę poczekać – Pomyślał Janusz udając się do pokoju relaksacyjnego dla pracowników, który na szczęście był w zasięgu otwartej przez niego sieci. Rozsiadł się wygodnie i czekał, kiedy zespołowi z pokoju 510 ponownie skończy się kawa. Eksplorując sieć wewnętrzną trafił na kilka interesujących aplikacji, ale wciąż potrzebował danych do logowania.
Postanowił podłączyć się zdalnie do interfejsu Pinepple’a ukrytego w kuchni – to, co zobaczył, przerosło jego oczekiwania. Udało mu się uzyskać dostęp, do telefonu jednego z high manager’ów – Sebastiana – który korzystając z otwartej sieci Free Candy, postanowił w czasie przerwy na kawę złapać (za pomocą aplikacji Pokemon Go, na swoim służbowym telefonie) Snorlax’a – jednego z rzadkich pokemonów. Nie był to przypadek – Janusz wiedział, że gra jest niezwykle popularna. Wiedział też, że w kuchni można znaleźć się w zasięgu jednego z PokeStop’ów – specjalnego miejsca, którego za drobną opłatą, można użyć do przyciągania tych kieszonkowych stworków. To było najlepiej zainwestowane 4 zł w jego życiu. Sebastian zupełnie nieświadomie łącząc się do sieci, przy okazji ściągnął na swój smartphone wirusa, dzięki którem Janusz miał teraz zdalny dostęp do jego służbowej poczty, Slack’a (komunikatora, którego Sebastian używał do nieformalnej komunikacji z kolegami z pracy) czy kamery i mikrofonu. Niestety używali Slack’a w wersji darmowej, z limitem rozmów zapisanych w historii do 10 000, przez co większość z ciekawych danych zniknęła z biegiem czasu.
Na szczęście, po około godzinie, usłyszał charakterystyczny śmiech Andrzeja – wyjrzał ostrożnie na korytarz i zobaczył, jak cały zespół zmierza właśnie do kuchni, w celu uzupełnienia kawy – napoju myślicieli. Korzystając z okazji, udał się do pokoju 510 i w pośpiechu pozbierał swoje keyloggery. Mając wszystko, czego potrzebował, postanowił udać się do jednej z sal konferencyjnych. Janusz usłyszał, jak kilka osób narzekało w kuchni na pracowników, którzy rezerwują je z rozpędu, a później nie przychodzą. Normalną praktyką, w takim przypadku było używanie sali bez rezerwacji – przynajmniej dopóki właściciel się nie pojawił. Będąc w sali Janusz stoczył poważną walkę ze swoją naturą. Okazało się, że ktoś zgodnie z zaleceniem, zabezpieczył sprzęt wart kilka tysięcy za pomocą blokady kensingtona. Miał on tylko jedną delikatną wadę – jego najsłabszym ogniwem była taśma klejąca.
Doszedł jednak do wniosku, że nie może dla paru tysięcy ryzykować całej akcji i postanowił skupić się na pracy. Szybka analiza zebranych keyloggerów ujawniła dane logowania do najważniejszych aplikacji w firmie. Janusz nie zwlekając ponownie podłączył się do otwartej przez siebie sieci WiFi. Pomysł okazał się świetny – cała sieć intranetowa była w tym momencie, w zasięgu jego ręki. W pierwszej kolejności postanowił odwiedzić aplikację do zarządzania biurem – faktury, dane o pracownikach i tego typu rzeczy. To było to, czego w tym momencie potrzebował najbardziej. Na początku wszystko szło bardzo dobrze. Nawet w pewnym momencie zbyt dobrze. Janusz przez chwile zawahał się…
– A jeżeli to jest honey pot? Jeżeli dałem się nabrać jak dzieciak i wszyscy już wiedzą, że ktoś włamał się do sieci internalnej? – Wciąż zadawał sobie te pytania. Mimo wszystko postanowił zaryzykować – po chwili odetchnął z ulgą. Okazało się, że zespół dbający o zabezpieczenia założył, że wystarczy odpowiednio zabezpieczyć sieć wewnętrzną, a bezpieczeństwo aplikacji znajdujących się w niej, to sprawa drugorzędna. W końcu, nasi pracownicy nie będą chcieli nas atakować. Pod wąsem Janusza dało się zauważyć uśmiech. Po kilku godzinach zabawy z różnymi aplikacjami XYZ Corporation, miał już wszystko – bazę danych pracowników (numery telefonów, adresy, stanowiska, kopie umów, wysokość zarobków), na których mógł nieźle zarobić u konkurencji i w firmach zajmujących się rekrutacjami. Dokumenty dotyczące przetargów. Prezentacje wyników finansowe, które zostaną opublikowane w przyszłym tygodniu – już wiedział, żeby nie kupować w najbliższym czasie udziałów w tej spółce. Pełną listę faktur za usługi, z których korzystała XYZ Corporation – te informacje z kolei postanowił odsprzedać konkurencji obecnych dostawców.
Wciągnięty do reszty w realizację swojego planu, nawet nie zauważył, kiedy nadeszła godzina 16:45. Udając zmęczonego spotkaniem skierował swoje kroki do kuchni – idąc po korytarzu zajrzał do pokoju, w którym zostawił swojego MacBook’a. Niestety Andrzej wciąż tam był (właściwie, jako jedyny z całego zespołu dzielnie walczył, aby przynajmniej w pierwszym tygodniu swojej pracy poczekać z wyjściem do 17:00).
– Trudno – pomyślał Janusz – też będę dzisiaj musiał zostać w pracy dłużej… – po czym skierował swoje kroki do kuchni. Świeciła pustkami, tak samo jak dzisiejszego poranka. Szybko zebrał Pineapple’a, schował go do torby i postanowił umilić sobie czas oczekiwania robiąc herbatę. Nareszcie wybiła godzina 17: 00. Janusz mógł skierować swoje kroki do pokoju 510. Andrzeja już nie było, co dawało mu możliwość zabrania w spokoju swojego MacBook’a. Wychodząc z biura wstąpił jeszcze na recepcję, grzecznie dziękując za użyczenie karty i jednocześnie przepraszając, że zapomniał jej oddać dnia poprzedniego. Pożegnał się z Anią, kończąc tym miłym akcentem swój pracowity dzień.
Komentarz autora:
Firmy bardzo często dbając o zabezpieczenia, skupiają się jedynie na aplikacjach wystawionych na zewnątrz, a bezpieczeństwo aplikacji internalnych przekładają na drugi plan. Założenie, że ufamy w pełni naszym pracownikom i rezygnujemy ze środków bezpieczeństwa wewnątrz firmy, również może doprowadzić do ogromnych strat. Na kwestię zabezpieczeń należy patrzeć bardziej globalnie, jest to nie tylko zabezpieczenie aplikacji, ale także fizyczne zabezpieczenia sofware’u i hardware’a. A nawet budynku, w którym przebywają pracownicy. Oprócz tego, warto inwestować w szkolenia uświadamiające pracowników, którzy w całej naszej infrastrukturze zwykle okazują się najsłabszym ogniwem. Należy zwracać uwagę na zagrożenia płynące z podłączania się do otwartych sieci WiFi oraz informować, jak wyglądają podejrzane urządzenia używane przez hakerów. Również istotne jest, aby uświadamiać ludzi w jaki sposób działają hakerzy, możemy w tak zwiększyć ich czujność. Warto także przeprowadzać testy bezpieczeństwa (na wszystkich poziomach), aby uniknąć w przyszłości dużo większych strat – nie tylko finansowych.