• 1. Introducere
Pe măsură ce stocarea de informaţii confidenţiale şi de brevete pe computerele companiei devine o practică comercială standard, nevoia de securitate cibernetică devine din ce în ce mai importantă [1] [2].
Această necesitate a fost evidenţiată din cauza numeroaselor breşe de securitate în care au fost implicate companii bine cunoscute publicului, printre care Adobe, eBay, Equifax, LinkedIn şi Yahoo [3] [4].
Atunci când sunt aduse la cunoştinţa publicului cazuri bine mediatizate de spionaj de afaceri în cadrul marilor companii americane, majoritatea oamenilor evocă imagini inspirate de Hollywood cu super-techno-geeks din darknet, cu bănci de calculatoare şi dispozitive de hacking de tip James Bond, care îşi folosesc cunoştinţele superioare şi invenţiile de ultimă oră pentru a trece de firewall-uri şi a extrage datele pe care le doresc.
Cu toate că aceste tipuri de spionaj extrem de sofisticate se întâmplă, cum a fost cazul atacului recent cu ransomware asupra Colonial Pipeline (cea mai mare conductă de benzină din Statele Unite), de multe ori aceleaşi rezultate pot fi obţinute prin mijloace mult mai simple.
De fapt, este nevoie doar de o persoană, de un telefon mobil, de un software uşor de găsit şi de un plan de acţiune pentru a trece de cele mai avansate bariere de securitate business şi a obţine informaţii confidenţiale sau brevete ale unei companii.
Scopul acestei lucrări este de a sublinia, printr-un exemplu concret:
- cât de important este să realizăm şi să recunoaştem că fiecare individ dintr-o companie poate fi un portal pentru intruziuni cibernetice;
- necesitatea de a instrui în mod corespunzător fiecare angajat cu privire la modul în care trebuie să fie vigilent în ceea ce priveşte escrocheriile cibernetice şi să fie prudent ori de câte ori li se solicită accesul la computerul sau profesional.
• 2. Procedura
Pentru a demonstra cât de simplu este pentru un hacker iscusit să obţină acces la informaţii informatice - chiar şi atunci când datele sunt protejate de măsuri avansate de securitate cibernetică - am oferit un exemplu de tip data breach. Autorii îi mulţumesc lui Nathan House, un expert în securitate cibernetică, pentru că ne-a furnizat acest exemplu revelator de spionaj de afaceri. Provocarea sa - ca şi hackerul în devenire - este să pătrundă într-o reţea de calculatoare securizată folosindu-se doar de inteligenţă şi de un telefon mobil.
• 3. Rezultate
Scopul lui Nathan este de a accesa computerul unei anumite companii pentru a putea extrage informaţii care altfel nu i-ar fi accesibile. Mai jos el explică, pas cu pas, ce face şi de ce o face (ce informaţii încearcă să obţină).
Apelul nr. 1: către centrala principală a companiei
NATHAN: Bună, am o problemă cu telefonul meu de birou. Puteţi să-mi faceţi legătura cu cineva care ar putea să rezolve problema?
RECEPŢIONIST: Vă conectam.
SERVICII DE TELEFONIE: Bună!
NATHAN: Bună! Am o problemă cu telefonul meu de birou. Îmi pare rău, sunt nou aici. Pot afla cumva cine mă sună atunci când mă sună pe telefonul de birou? Există o identificare a apelantului?
SERVICII DE TELEFONIE: Nu chiar, pentru că aici folosim hot desks. [Un hot desk este un birou împărţit de mai multe persoane, uneori de mai multe persoane în trei schimburi diferite]. Deoarece oamenii folosesc de obicei telefoanele mobile, identificarea apelantului nu este adesea legată de un nume. Este aceasta o problemă pentru dumneavoastră?
NATHAN: Nu, e bine acum. Am înţeles. Mulţumesc! La revedere!
Acum ştiu că firma foloseşte hot desks şi că nu se aşteaptă întotdeauna să se identifice numărul de apelant la telefon. Prin urmare, nu este o problemă dacă sun din afara companiei. Dacă ar fi fost de aşteptat, atunci aş fi putut să ocolesc oricum.
Apelul nr. 2: către centrala principală a companiei
NATHAN: Bună, îmi puteţi face legătura cu paza clădirii?
RECEPŢIONIST: Bine.
SECURITATEA CLĂDIRII: Bună ziua! Cu ce vă pot ajuta?
NATHAN: Bună! Nu ştiu dacă vă interesează, dar am găsit un card de acces în afara clădirii, pe care cred că l-a scăpat cineva.
SECURITATEA CLĂDIRII: Întoarceţi-l la noi. Ne aflăm în clădirea 3.
NATHAN: Bine, nicio problemă. Pot să întreb cu cine vorbesc?
SECURITATEA CLĂDIRII: Numele meu este Eric Wood. Dacă nu sunt aici, dă-i-o lui Neil.
NATHAN: Bine, asta e grozav. O voi face. Sunteţi şeful securităţii clădirii?
SECURITATEA CLĂDIRII: De fapt, se numeşte Securitatea instalaţiilor, iar şeful este Peter Reed.
NATHAN: Bine, mulţumesc mult! La revedere!
Acest schimb mi-a spus numele câtorva persoane de la Securitate, numele corect al departamentului şi al şefului de securitate şi că ei sunt cei care se ocupă de cardurile de acces fizic.
Apelul nr. 3: către centrala principală a companiei
NATHAN: Bună ziua! Vă sun de la Agency Group Associates şi mă întrebam dacă mă puteţi ajuta. Am avut o întâlnire acum aproximativ o lună cu unii dintre angajaţii dumneavoastră de la Resurse Umane, dar, din păcate, computerul meu s-a stricat şi am pierdut complet numele lor.
RECEPŢIONIST: Sigur, nicio problemă. Lăsaţi-mă să caut departamentul respectiv. Aveţi vreo idee despre numele lor?
NATHAN: Ştiu că unul dintre ei era şeful de la Resurse Umane. Totuşi, au fost mai multe persoane la întâlnire.
RECEPŢIONIST: [Pauză.] Bine, am ajuns. Şefa de la Resurse Umane este Mary Killmister. XXX-XXXX.
NATHAN: Da, îmi sună cunoscut. Care sunt celelalte nume din HR?
RECEPŢIONIST: În HR - Jane Ross, Emma Jones...
NATHAN: Da, cu siguranţă Jane şi Emma. Îmi puteţi da numerele lor de telefon, vă rog?
RECEPŢIONIST: Sigur. Jane Ross este XXX-XXXX şi Emma Jones este XXX- XXXX. Doriţi să vă fac legătura cu oricare dintre ele?
NATHAN: Da. Puteţi să-mi faceţi legătura cu Emma, vă rog?
Acum ştiu numele celor trei persoane de la resurse umane, inclusiv al şefului de departament.
Apelul nr. 4: către departamentul de resurse umane al companiei
RESURSE UMANE: Bună! Emma Jones.
NATHAN: Bună, Emma! Sunt Eric de la Securitatea din clădirea 3. Mă întrebam dacă mă poţi ajuta. Am avut o problemă aici cu computerul din baza de date a cardurilor de acces. S-a blocat aseară, iar unele date pentru noii angajaţi s-au pierdut. Ştiţi cine ar putea să ne spună cine au fost noii angajaţi în ultimele două săptămâni, deoarece cardurile lor de acces nu mai funcţionează? Trebuie să îi contactăm şi să îi anunţăm cât mai curând posibil.
EMMA: Te pot ajuta cu asta. O să caut numele şi o să ţi le trimit prin e-mail, dacă nu te deranjează. În ultimele două săptămâni, ai spus?
NATHAN: În ultimele două săptămâni, da. E grozav, mulţumesc, dar ar fi este posibil să o trimitem prin fax, deoarece împărţim un singur computer pentru e-mail, care a fost afectat şi el de accidentul informatic?
EMMA: Da, bine. Care este numărul dumneavoastră de fax? Oh, şi care este numele tău?
NATHAN: Semnează-i asta în atenţia lui Eric. Va trebui să aflu numărul de fax şi să te sun înapoi.
EMMA: Bine.
NATHAN: Ştii cât timp îţi va lua să afli informaţia?
EMMA: Nu ar trebui să-mi ia mai mult de treizeci de minute.
NATHAN: Vei putea începe să lucrezi la el imediat? Este destul de urgent.
EMMA: Am câteva lucruri de făcut în această dimineaţă, dar ar trebui să am numele până după-amiază.
NATHAN: Asta e grozav, Emma. Mulţumesc. Când termini, mă poţi suna imediat ca să încep să le reactivez cardurile?
EMMA: Da, sigur. Care este numărul dumneavoastră?
NATHAN: Îţi dau numărul meu de mobil. În felul ăsta vei fi sigur că mă vei găsi. XXX-XXX-XXXX.
EMMA: Bine, sigur. Te voi suna când voi avea lista.
NATHAN: Excelent. Mulţumesc! Chiar apreciez asta.
Apelul nr. 5: către centrala principală a companiei
NATHAN: Bună! Puteţi să-mi faceţi legătura cu serviciul de asistenţă IT?
RECEPŢIONIST: Vă conectaţi... [Aşteptare lungă la coadă].
IT SUPPORT: Bună ziua, îmi puteţi da numărul dumneavoastră de identificare sau referinţa cazului?
NATHAN: Am doar o întrebare rapidă. Este în regulă?
IT SUPPORT: Ce este?
NATHAN: Un tip de la Reuters încearcă să-mi trimită o prezentare şi mă întreabă care este dimensiunea maximă a ataşamentelor.
IT SUPPORT: Sunt 5 megabytes, domnule.
NATHAN: E minunat, mulţumesc. Oh, încă un lucru. A spus că este un fişier .exe şi uneori acestea sunt blocate sau ceva de genul ăsta.
SUPORT IT: Nu va putea trimite un fişier executabil, deoarece scanerele de viruşi îl vor opri. De ce trebuie să fie un fişier .exe?
NATHAN: Nu ştiu. Atunci, cum poate să mi-l trimită mie? Ar putea să o închidă cu fermoar sau ceva de genul ăsta?
IT SUPPORT: Fişierele Zip sunt permise, domnule.
NATHAN: Bine. Oh, încă ceva: nu reuşesc să văd pictograma Norton Antivirus în bara de sistem. În ultimul loc în care am lucrat, era o iconiţă.
ASISTENŢĂ IT: Aici folosim McAfee. Este doar o pictogramă diferită - cea albastră.
NATHAN: Asta explică totul, atunci. Mulţumesc. La revedere.
Acum ştiu că, pentru a trimite un executabil prin e-mail, acesta va trebui să fie mai întâi comprimat şi să aibă mai puţin de 5 MB. Ştiu, de asemenea, că ei folosesc antivirusul McAfee.
Apelul nr. 6: Câteva ore mai târziu, un apel de la Emma de la Resurse Umane
EMMA: Bună! Eşti Eric?
NATHAN: Da. Bună!
EMMA: Am lista cu noii angajaţi pentru tine. Vrei să ţi-o trimit prin fax?
NATHAN: Da, te rog. Ar fi minunat. Câte sunt?
EMMA: Cam zece persoane.
NATHAN: Nu sunt sigur că faxul funcţionează corect aici. Aţi putea să mi le citiţi? Cred că ar fi mai rapid.
EMMA: Bine. Ai un stilou?
NATHAN: Da, dă-i drumul.
EMMA: Sarah Jones, Vânzări. Managerul este Roger Weaks... [Citeşte restul listei].
NATHAN: Bine, mulţumesc. Ai fost de mare ajutor. La revedere.
Acum am o listă cu noii angajaţi din ultimele două săptămâni. Am, de asemenea, departamentele din care fac parte şi numele managerilor lor. Angajaţii noi sunt de multe ori mai susceptibili la inginerie socială (influenţă sau control din partea unei surse externe) decât angajaţii pe termen lung.
Apelul nr. 7: către centrala principală a companiei
NATHAN: Bună ziua, încerc să îi trimit un e-mail lui Sarah Jones, dar nu sunt sigur de formatul adreselor de e-mail. Ştiţi cumva?
RECEPŢIONIST: Da. Ar fi sarah.jones@targetcompany.com.
Mulţumesc.
• Inginerie socială Email
Câteva minute mai târziu, este trimis un e-mail falsificat [mesaj de e-mail cu o adresă de expeditor falsificată].
De la: itsecurity@targetcompany.com.
Către: sar.jones@targetcompany.com.
Subiect: Securitatea IT.
Dragă Sarah, În calitate de nou angajat al companiei, va trebui să iei cunoştinţă de politicile şi procedurile de securitate IT ale companiei şi, în special, de "Politica de utilizare acceptabilă" a angajatului.
Scopul acestei politici este de a descrie utilizarea acceptabilă a echipamentelor informatice la [compania ţintă]. Aceste reguli sunt instituite pentru a proteja angajatul şi [compania ţintă].
Utilizarea necorespunzătoare expune la riscuri, inclusiv atacuri cu viruşi, compromiterea sistemelor şi serviciilor de reţea şi probleme juridice.
Această politică se aplică angajaţilor, contractorilor, consultanţilor, angajaţilor temporari şi altor lucrători de la [compania ţintă], inclusiv întregului personal afiliat cu terţi. Această politică se aplică tuturor echipamentelor deţinute sau închiriate de către [societatea ţintă].
Cineva vă va contacta în scurt timp pentru a discuta cu dumneavoastră.
Cu respect, Securitatea IT
• Apelul nr. 8: Câteva ore mai târziu, un apel la centrala principală a companiei
NATHAN: Bună. Puteţi să-mi faceţi legătura cu Sarah Jones, vă rog?
RECEPŢIONIST: Vă conectează.
SARAH: Bună! Vânzări. Cu ce vă pot ajuta?
Bună, Sarah! Vă sun de la Securitatea IT pentru a vă informa cu privire la cele mai bune practici de securitate IT. Ar fi trebuit să primeşti un e-mail despre asta.
SARAH: Da, am primit un e-mail despre asta astăzi.
NATHAN: Bine, excelent. Este o procedură standard pentru toţi noii angajaţi şi durează doar cinci minute. Cum ţi se par lucrurile aici? Toată lumea este de ajutor?
SARAH: Da, mulţumesc. A fost minunat. Totuşi, este puţin descurajant să începi într-un loc nou.
NATHAN: Da, şi este întotdeauna dificil să-ţi aminteşti numele tuturor. Te-a prezentat Roger? [Conversaţia este menită să construiască o relaţie întretăiată de consolidarea încrederii]. Emma Jones este foarte drăguţă la Resurse Umane, dacă ai nevoie de ajutor cu această parte a lucrurilor.
SARAH: Da, Emma a făcut interviul meu de resurse umane pentru acest post.
NATHAN: Ei bine, ar fi bine să trec prin prezentarea de securitate cu tine. Aveţi e-mailul deschis? Îţi voi trimite acum prezentarea de securitate şi îţi pot vorbi despre ea.
SARAH: Bine, am văzut e-mailul.
NATHAN: Bine, faceţi dublu clic pe fişierul ataşat Security Presentation .zip.
Bine.
Executabilul pe care l-a rulat este, de fapt, o serie de scripturi şi instrumente inteligent împachetate, create de programul nostru de înfăşurare, care include RAT (program malware troian de acces la distanţă utilizat pentru a obţine controlul asupra unui computer), un rootkit (permite accesul la un computer, ascunzându-şi existenţa), un keylogger (ţine evidenţa tastelor de pe tastatura computerului) şi orice altceva aş mai dori să adaug.
Când Sarah face clic pe fişier, prezentarea începe imediat. Aceasta este doar o serie de diapozitive PowerPoint care îi spun să nu ruleze executabilele care îi sunt trimise, etc., şi alte bune practici de securitate.
Prezentarea este marcată cu toate logo-urile companiei, care au fost copiate în mod convenabil de pe serverul lor web public, doar pentru a adăuga un pic mai multă încredere. Câteva secunde mai târziu, în timp ce este condusă prin prezentare, scripturile din pachet încep să încerce să dezactiveze McAfee şi orice altă securitate pentru PC care ar putea fi găsită şi care ar putea ajuta la protejarea utilizatorului. Apoi, rootkit-ul se instalează singur, ascunzând toate acţiunile viitoare de sistemul de operare sau de oricine face o investigaţie criminalistică.
Apoi, RAT-ul este ascuns şi instalat. RAT-ul este făcut să pornească de fiecare dată când se reporneşte calculatorul, iar toate aceste acţiuni sunt ascunse de rootkit şi ascunse.
RAT-ul caută apoi orice setări proxy şi alte informaţii utile şi încearcă să iasă din reţea şi să intre pe internet, gata să primească comenzile de la stăpânul său. În mod evident, toate procesele şi conexiunile TCP (Transmission Control Protocol) sunt ascunse şi nici măcar rularea unor lucruri precum netstar (statistici de reţea) şi task manager (proceduri care pot fi utilizate pentru a detecta manipularea nesancţionată a calculatorului) nu le va dezvălui.
RAT se conectează la master. Acum deţin PC-ul şi este timpul să încep să mă uit în jur şi să încep să fac hacking cu adevărat! Treaba este gata.
• 4. Discuţie
Autorii speră că, citind exemplul tocmai oferit, care descrie preluarea calculată pas cu pas a sistemului informatic al unei companii ţintă, angajaţii de la toate nivelurile ierarhice ale unei organizaţii vor deveni mai conştienţi (şi vor recunoaşte) cum:
1) fragmente de informaţii aparent inofensive şi uşor de obţinut pot fi folosite în scopuri sinistre;
2) stabilirea unei relaţii şi a încrederii cu o persoană poate face mai probabil ca aceasta să devină un complice neştiutor într-un demers viclean;
3) trebuie să fim în permanenţă atenţi să nu oferim informaţii fără să analizăm cu atenţie autenticitatea şi justificarea sursei care le solicită.
Atunci când îi învăţăm pe studenţii noştri - fie că sunt la Academia FBI sau la Şcoala de Afaceri - le prezentăm întotdeauna un citat care le reaminteşte rolul pe care îl joacă în menţinerea siguranţei informaţiilor naţionale şi/sau corporative: "Informaţiile confidenţiale pot fi protejate în seifuri încuiate, în spatele unei serii de bariere fizice şi electronice. Cea mai slabă verigă din orice lanţ de securitate sunt oamenii. Odată ce un lacăt este încuiat, nu se va debloca singur... dar o limbă legată se dezleagă singură cu uşurinţă". Acest comentariu este urmat de următoarea observaţie: "Ori de câte ori cineva vă implică într-o conversaţie - mai ales când vă caută informaţii - nu treceţi în modul «răspuns automat»! Gândiţi-vă la orice posibil motiv ascuns pe care persoana care vă vorbeşte l-ar putea avea pe măsură ce dialogul se desfăşoară. Fiţi precaut în ceea ce priveşte furnizarea de informaţii, în special tipurile de date care ar putea fi utilizate în cadrul furtului de identitate sau al spionajului corporativ, şi nu uitaţi că singura informaţie pe care o oferiţi ar putea să nu pară semnificativă, dar, combinată cu alte piese, ar putea fi elementul critic care pune cap la cap întregul puzzle". [5].
• 5. Concluzie
Informaţiile prezentate în acest articol ilustrează modul în care fragmente de informaţii, colectate cu atenţie şi abilitate, pot duce la o breşă de securitate majoră în reţeaua de calculatoare a unei organizaţii. Acesta este menit să ofere cititorului un avertisment prealabil cu privire la modul în care funcţionează un astfel de proces, astfel încât să reducă riscul ca acesta să se întâmple în viitor.
----------------------------------------
Dr. John R. "Jack" Schafer este un fost agent special FBI, care în prezent este angajat ca profesor asociat la Western Illinois University. John Schafer a fost analist comportamental care a lucrat în cadrul Programului de analiză comportamentală a securităţii naţionale al FBI, unde a dezvoltat multe dintre ideile prezentate în volumul sau "The Truth Detector". John Schafer a obţinut un doctorat în psihologie la Fielding Graduate University din Santa Barbara, California. El deţine propria companie de consultanţă şi ţine prelegeri şi consultanţe în America şi în străinătate. Este autorul unei cărţi intitulate Psychological Narrative Analysis: O metodă profesională de detectare a înşelăciunii în comunicările scrise şi orale. De asemenea, este coautor al volumului Advanced Interviewing Techniques (Tehnici avansate de intervievare): Strategii dovedite pentru personalul de aplicare a legii, militar şi de securitate. A publicat numeroase articole pe o gamă largă de subiecte, inclusiv psihopatologia urii, etica în aplicarea legii, detectarea înşelăciunii şi principiile universale ale comportamentului criminal. Cea mai recentă carte scrisă în coautorat de Dr. Schafer este bestsellerul The Like Switch: Ghidul unui fost agent FBI pentru influenţarea, atragerea şi câştigarea oamenilor.
Dr. Marvin Karlins a obţinut doctoratul în psihologie socială la Universitatea Princeton. În prezent, este profesor titular senior de management la Muma College of Business din cadrul University of South Florida. Dr. Karlins oferă consultanţă în întreaga lume şi, timp de douăzeci de ani, a instruit tot personalul operativ de la Singapore Airlines. A publicat 30 de cărţi şi peste 150 de articole în reviste profesionale, academice şi de popularizare. Mai multe dintre cărţile sale în coautorat au devenit bestselleruri internaţionale, inclusiv What Every BODY Is Saying: An Ex-FBI Agent's Guide to Speed-Reading People şi The Like Switch: An Ex-FBI Agent's Guide to Influencing, Attracting, and Winning People Over. Cea mai recentă carte a sa, scrisă în colaborare cu Tony March, este Paying It Backward: How a Childhood of Poverty and Abuse Fueled a Life of Gratitude and Philanthropy, şi a fost publicată în 2020. Dr. Karlins este membru al Authors Guild şi al Federaţiei Internaţionale a Jurnaliştilor.
• Referinţe
[1] Brooks, C.J., Grow, C., Craig, P. şi Short, D.D. (2018) Cybersecurity Essentials. Sybex, Hoboken. https:// doi.org/ 10.1002/ 9781119369141.
[2] Sai, H. (2019) Next Level Cyber Security. Leader's Press, Santa Barbara.
[3] Swinhoe, D. (2021) The 15 Biggest Data Breaches of the 21st Century. https://www.csoonline.com/
[4] Daswani, N. şi Elbayadi, M. (2021) Big Breaches: Lecţii de securitate cibernetică pentru toată lumea. Apress, New York, SUA. https:// doi.org/ 10.1007/978- 1-4842-6655-7
[5] Schafer, J. şi Karlins, M. (2020) The Truth Detector. Simon & Schuster, New York, SUA.
Nota 1
Această lucrare este reprodusă şi tradusă cu acordul autorilor. Versiunea sa originală a fost publicată pentru prima dată ca un scurt exemplu în Schafer, J. şi Karlins, M. (2020), The Truth Detector. An Ex-FBI Agent's Guide for getting people to reveal the truth, Simon & Schuster, New York, 144-150 (versiune epub), apoi ca articol complet: Schafer, J. şi Karlins, M. (2021), Hacked by Bits and Pieces: What Can We Learn from an Example of Corporate Espionage? Journal of Information Security, 12:3, 224-231. (https://doi.org/1 0.4236/jis.2021.123012 )
Nota 2:
Articol publicat în premieră în limba română, © Cybersecurity Trends; Traducere L. Chrzanovski