Sztuka podstępu. Łamałem ludzi, nie hasła. Wydanie II Orzesze

Łącząc techniczną biegłość ze starą jak świat sztuką oszustwa, Kevin Mitnick staje się programistą nieobliczalnym. New York Times , 7 kwietnia 1994 Już jako nastolatek swoimi umiejętnościami zastraszył całą Amerykę. Z czasem stał się najsłynniejszym hakerem świata i wrogiem publicznym numer jeden - okrzyknięty przez media groźnym cyberprzestępcą, gorliwie ścigany przez FBI, w końcu podstępem namierzony, osaczony i spektakularnie ujęty... Uzbrojony w klawiaturę został uznany za groźnego dla społeczeństwa - wyrokiem sądu na wiele lat pozbawiono go dostępu do komputera, internetu i telefonów komórkowych. Życiorys Kevina Mitnicka jest jak scenariusz dobrego filmu sensacyjnego! Nic zatem dziwnego, że doczekał się swojej hollywoodzkiej wersji. Genialny informatyk czy mistrz manipulacji? Jak naprawdę działał człowiek, wokół wyczynów i metod którego narosło tak wiele legend? Jakim sposobem udało mu się włamać do systemów takich firm, jak Nokia, Fujitsu, Novell czy Sun Microsystems?! Zakup najdroższych technologii zabezpieczeń, karty biometryczne, intensywne szkolenia personelu, restrykcyjna polityka informacyjna czy wreszcie wynajęcie agencji ochrony - Kevin Mitnick udowodnił, że w świecie sieci i systemów poczucie bezpieczeństwa jest tylko iluzją. Ludzka naiwność, łatwowierność i ignorancja - oto najsłabsze ogniwa, wiodące do uzyskania poufnych informacji, tajnych kodów i haseł. Mitnick, obecnie najbardziej rozchwytywany ekspert w dziedzinie bezpieczeństwa komputerów, w swej niezwykłej książce przestrzega i pokazuje, jak łatwo można ominąć bariery systemów wartych miliony dolarów. Przedstawiając i analizując metody hakerów oparte na prawdziwych atakach, demonstruje, że tam, gdzie nie można znaleźć luk technicznych, zawsze skuteczne okazują się ludzkie słabości... A Ty? Jesteś w pełni świadomy narzędzi technologicznych i socjotechnicznych, które hakerzy mogą wykorzystać przeciwko Tobie? Opinie czytelników o książce Sztuka podstępu. Łamałem ludzi, nie hasła (źródło: www.helion.pl ) Jeśli ktoś ma cokolwiek wspólnego z bezpieczeństwem jakiegokolwiek systemu komputerowego, to NIEprzeczytanie tej książki jest grzechem ciężkim! Tomasz Książka pokazuje, jak ludzki umysł można łatwo oszukać, jak skrótowo myśli, jak szybko wpada w rutynę i tendencyjne wyciąga wnioski. Damian Najsłynniejszy haker świata Kevin Mitnick uczy nas, jak bronić samych siebie i nasze firmy przed atakami socjotechników. Adam Mitnick przedstawia scenariusze ataków hakerskich w postaci wyjątkowo barwnych i wciągających opowieści. Sztukę podstępu czyta się jak doskonały kryminał, kryminał z wyjątkowo cennym morałem. Grzegorz Przekonaj się, że "ściśle tajne" to fikcja. A bezpieczeństwo systemu to tylko Twoje złudzenie... Książka wzbogacona o wstęp do polskiego wydania Spis treści: Socjotechnika Wstęp do wydania polskiego Słowo wstępne Przedmowa Początki Od phreakera do hakera Socjotechnik Podsumowanie Wprowadzenie I Za kulisami 1 Pięta achillesowa systemów bezpieczeństwa Czynnik ludzki Klasyczny przypadek oszustwa Łamanie kodu Było sobie konto w szwajcarskim banku Dokończenie zadania Natura zagrożenia Rosnąca obawa Metody oszustwa Nadużywanie zaufania Amerykańska mentalność Naiwność organizacyjna Oszustwo narzędziem terrorystów O czym jest ta książka? II Sztuka ataku 2 Kiedy nieszkodliwa informacja szkodzi? Ukryta wartość informacji CreditChex Pierwsza rozmowa: Kim Andrews Druga rozmowa: Chris Walker Trzecia rozmowa: Henry Mc Kinsey Prywatny detektyw na służbie Analiza oszustwa Pułapka na inżyniera Pierwsza rozmowa: recepcjonistka Druga rozmowa: Peggy Trzecia rozmowa: pomocna pomyłka Czwarta rozmowa: Bart z publikacji Analiza oszustwa Kolejne bezwartościowe informacje Telefon do Petera Abelsa Zapobieganie oszustwu 3 Bezpośredni atak wystarczy poprosić MLAC szybka piłka Proszę o numer... Analiza oszustwa Ścigany Na portierni W pętli oszustwa Szwindel Stevea Atak na klienta Historia Josie Rodriguez Badania Arta Sealyego Analiza oszustwa Zapobieganie oszustwu 4 Budowanie zaufania Zaufanie kluczem do manipulacji Pierwsza rozmowa: Andrea Lopez Druga rozmowa: Ginny Historia Doylea Lonnegana Analiza oszustwa Zdobywanie numeru karty wariacja na temat Niespodzianka, tato! Analiza oszustwa Komórka za centa Pierwsza rozmowa: Ted Druga rozmowa: Katie Analiza oszustwa Włamanie do FBI Wejście do systemu Analiza oszustwa Jak się bronić? Ochrona klientów Ufajmy z rozwagą Dokąd sięga nasz intranet? 5 Może pomóc? Awaria sieci Pierwsza rozmowa: Tom DeLay Druga rozmowa: informatyk Trzecia rozmowa: pomocna dłoń intruza Czwarta rozmowa: mam cię! Wersja napastnika Analiza oszustwa Pomagamy nowym pracownikom Pomocna Andrea Wiadomość dla Rosemary Analiza oszustwa Nie tak bezpieczne, jak mogłoby się wydawać Historia Stevea Cramera Historia Craiga Cogburnea Włamanie do systemu Analiza oszustwa Jak zapobiegać? Edukacja, edukacja i jeszcze raz edukacja Bezpieczeństwo poufnych informacji Kto pyta? Nie zapomnijmy o nikim! 6 Potrzebuję pomocy Przybysz Na pewno jest jakiś Jones Na delegacji Analiza oszustwa Zabezpieczenie z czasów prohibicji Trzy dni kondora Jak oszukać telekomunikację? Beztroski szef centrum komputerowego Szukanie fali Wścibski Danny Szturm na fortecę Wewnętrzna robota Analiza oszustwa Jak zapobiegać? 7 Fałszywe witryny i niebezpieczne załączniki Czy chciałbyś darmowy... To przyszło w e-mailu Rozpoznawanie niebezpiecznego oprogramowania Wiadomość od przyjaciela Wariacje na temat Wesołych Świąt Analiza oszustwa Wariacje na temat wariacji Fałszywe łącza Bądź czujny Uwaga na wirusy 8 Współczucie, wina i zastraszenie Wizyta w studio Telefon Historia Davida Harolda Analiza oszustwa Zrób to teraz! Historia Douga Historia Lindy Analiza oszustwa Pan prezes chce... Historia Scotta Analiza oszustwa Co wie o nas ubezpieczyciel? Telefon do May Linn Historia Keitha Cartera Analiza oszustwa Jeden prosty telefon Telefon do Mary H. Historia Petera Analiza oszustwa Obława Macie nakaz przeszukania? Jak przechytrzyć policję? Zacieranie śladów Analiza oszustwa Zamiana ról Absolwent Komputer Biuro ewidencji znowu przychodzi z pomocą Analiza oszustwa Jak zapobiegać? Ochrona danych O hasłach Punkt zgłaszania incydentów Ochrona sieci Wskazówki dotyczące szkolenia 9 Odwrotnie niż w Żądle Sztuka łagodnej perswazji Telefon do Angeli Telefon do Louisa Telefon do Waltera Telefon do Donny Plaice Opowieść Vincea Capelliego Analiza oszustwa Policjanci ofiarami socjotechniki Podchody Centrala Telefon do Wydziału Transportu Analiza oszustwa Jak zapobiegać? III Uwaga, intruz! 10 Na terenie firmy Strażnik Historia strażnika Historia Joe Harpera Analiza oszustwa Śmietnik pełen informacji Fortuna w odpadkach Analiza oszustwa Upokorzony szef Podkładanie miny Niespodzianka dla Georgea Analiza oszustwa W oczekiwaniu na awans Historia Anthonyego Analiza oszustwa Szpiegowanie Mitnicka Analiza oszustwa Jak zapobiegać? Po godzinach Szacunek dla odpadków Zwalnianie pracowników Nie zapominajmy o nikim Bezpieczni informatycy 11 Socjotechnika i technologia Jak dostać się do więzienia? Dzwonię z serwisu Poszukiwanie Gondorffa Zsynchronizujmy zegarki Analiza oszustwa Szybka kopia Łatwa forsa Gotówka na stole Wyzwanie Słownik narzędziem ataku Odgadywanie hasła Szybciej niż myślisz Analiza oszustwa Jak temu zapobiec? Wystarczy odmówić Sprzątanie Ważna wiadomość: chrońcie swoje hasła 12 Atak w dół hierarchii Strażnik przychodzi z pomocą Oczami Elliota Historia Billa Analiza oszustwa Nakładka awaryjna Telefon ratunkowy Analiza oszustwa Nowa pracownica Telefon do Sarah Telefon do Anny Historia Kurta Dillona Analiza oszustwa Jak zapobiegać? Wykorzystywanie nieostrożności Uwaga na programy monitorujące 13 Wyrafinowane intrygi Myląca identyfikacja Telefon do Lindy Historia Jacka Analiza oszustwa Telefon od samego prezydenta Niewidzialny pracownik Shirley atakuje Analiza oszustwa Pomocna sekretarka Mandat Oszustwo Pierwsze kroki Biuro sądu okręgowego Sąd okręgowy, sala rozpraw nr 6 Sąd okręgowy, sala rozpraw nr 4 Analiza oszustwa Zemsta Samanthy Rewanż Analiza oszustwa Jak zapobiegać? 14 Szpiegostwo przemysłowe Wariant schematu Proces Pete atakuje Analiza oszustwa Nowy wspólnik Historia Jessiki Historia Sama Stanforda Analiza oszustwa Żabi skok Odrabianie lekcji Wrabianie ofiary Analiza oszustwa Jak zapobiegać? Bezpieczeństwo na zewnątrz Kto tam? IV Podnoszenie poprzeczki 15 Bezpieczeństwo informacji świadomość i szkolenie Zabezpieczenia technologiczne, szkolenie i procedury Jak napastnicy wykorzystują ludzką naturę? Władza Sympatia Wzajemność Konsekwencja Przyzwolenie społeczne Rzadka okazja Tworzenie programu szkolenia i uświadamiania Cele Wprowadzanie programu w życie Struktura szkolenia Treść szkolenia Sprawdzanie wiedzy Podtrzymywanie świadomości A co ja z tego mam? 16 Zalecana polityka bezpieczeństwa informacji Czym jest polityka bezpieczeństwa? Etapy tworzenia programu Jak korzystać z instrukcji? Klasyfikacja danych Kategorie klasyfikacji i ich definicje Terminologia związana z klasyfikacją danych Procedury weryfikacyjne i autoryzacyjne Prośba osoby zaufanej Prośba osoby niezweryfikowanej Krok pierwszy: weryfikacja tożsamości Krok drugi: weryfikacja statusu pracownika Krok trzeci: weryfikacja uprawnienia do informacji Instrukcje dla kierownictwa Instrukcje klasyfikacji danych 1.1. Przyporządkuj informacje do kategorii 1.2. Opublikuj procedury udostępniania informacji 1.3. Oznacz wszystkie możliwe nośniki informacji Udostępnianie informacji 2.1. Procedura weryfikacji pracowników 2.2. Ujawnianie informacji osobom trzecim 2.3. Dystrybucja informacji tajnych 2.4. Dystrybucja informacji prywatnych 2.5. Dystrybucja informacji wewnętrznej 2.6. Omawianie poufnych spraw przez telefon 2.7. Procedury dla personelu recepcji lub portierni 2.8. Przesyłanie oprogramowania osobom trzecim 2.9. Klasyfikacja informacji handlowych i marketingowych 2.10. Transfer plików lub danych Zarządzanie rozmowami telefonicznymi 3.1. Przekierowywanie rozmów na numery dostępowe do sieci lub faksy 3.2. Identyfikacja rozmówcy 3.3. Telefony ogólnodostępne 3.4. Domyślne hasła producentów systemów telefonii 3.5. Wydziałowe skrzynki poczty głosowej 3.6. Weryfikacja serwisantów systemu telefonicznego 3.7. Konfiguracja systemu telefonicznego 3.8. Śledzenie rozmowy 3.9. Zautomatyzowane systemy telefoniczne 3.10. Blokowanie skrzynek poczty głosowej po kilku nieudanych próbach dostępu 3.11. Zastrzeżone numery wewnętrzne Pozostałe instrukcje 4.1. Projektowanie identyfikatora 4.2. Zmiana praw dostępu wraz ze zmianą stanowiska lub zakresu odpowiedzialności 4.3. Specjalne identyfikatory dla osób niezatrudnionych w firmie 4.4. Dezaktywacja kont osób pracujących na podstawie kontraktów 4.5. Zgłaszanie incydentów 4.6. Zgłaszanie incydentów gorąca linia 4.7. Zastrzeżone obszary muszą być ochraniane 4.8. Szafki i skrzynki z osprzętem sieciowym i telefonicznym 4.9. Wewnątrzfirmowe skrzynki pocztowe 4.10. Tablice informacyjne 4.11. Wejście do centrum komputerowego 4.12. Zamówienia usług 4.13. Wydziałowy punkt kontaktowy 4.14. Hasła dla klientów 4.15. Testowanie zabezpieczeń 4.16. Pokazywanie poufnych informacji 4.17. Szkolenie świadomości bezpieczeństwa 4.18. Szkolenie w zakresie bezpiecznego dostępu do komputerów 4.19. Kolorowe oznaczenia identyfikatorów Instrukcje dla działu informatyki Ogólne 5.1. Osoba będąca punktem kontaktowym w dziale informatyki 5.2. Prośby o pomoc techniczną Biuro pomocy technicznej 6.1. Procedury zdalnego dostępu 6.2. Zmiana haseł 6.3. Zmiana przywilejów dostępu 6.4. Autoryzacja nowych kont 6.5. Rozpowszechnianie nowych haseł 6.6. Blokowanie kont 6.7. Dezaktywacja portów i urządzeń sieciowych 6.8. Ujawnianie procedur dostępu bezprzewodowego 6.9. Nazwiska osób zgłaszających problemy 6.10. Wprowadzanie poleceń systemowych oraz uruchamianie programów Administrowanie systemami 7.1. Zmiana globalnych praw dostępu 7.2. Prośby o zdalny dostęp 7.3. Zmiana haseł na kontach uprzywilejowanych 7.4. Zdalny dostęp dla zewnętrznych serwisantów 7.5. Uwierzytelnianie przy zdalnym dostępie do sieci firmowej 7.6. Konfiguracja systemów operacyjnych 7.7. Wygasanie kont 7.8. Wydziałowe adresy e-mail 7.9. Informacje kontaktowe podczas rejestracji domen 7.10. Instalacja aktualizacji systemów operacyjnych i zabezpieczeń 7.11. Informacje kontaktowe na witrynach internetowych 7.12. Tworzenie kont uprzywilejowanych 7.13. Konta dla gości 7.14. Szyfrowanie kopii zapasowych przechowywanych na zewnątrz 7.15. Dostęp dla gości do portów sieci 7.16. Modemy 7.17. Programy antywirusowe 7.18. Załączniki do poczty przychodzącej (dla firm o szczególnych wymogach w zakresie bezpieczeństwa) 7.19. Uwierzytelnianie oprogramowania 7.20. Hasła domyślne 7.21. Blokowanie kont po kilku próbach dostępu (dla firm o przeciętnych lub niskich wymogach w zakresie bezpieczeństwa) 7.22. Blokowanie kont po kilku próbach dostępu (dla firm o wysokich wymogach w zakresie bezpieczeństwa) 7.23. Periodyczna zmiana haseł na kontach uprzywilejowanych 7.24. Periodyczna zmiana haseł użytkowników 7.25. Ustalanie hasła na nowym koncie 7.26. Hasło przy uruchamianiu się systemu 7.27. Wymagania co do haseł na kontach uprzywilejowanych 7.28. Dostęp bezprzewodowy 7.29. Aktualizacja plików z wzorcami wirusów Obsługa komputera 8.1. Wprowadzanie poleceń lub uruchamianie programów 8.2. Pracownicy posiadający konta uprzywilejowane 8.3. Informacja o stosowanych systemach 8.4. Ujawnianie haseł 8.5. Media elektroniczne 8.6. Kopie zapasowe Instrukcje dla wszystkich pracowników Ogólne 9.1. Zgłaszanie podejrzanych telefonów 9.2. Dokumentowanie podejrzanych telefonów 9.3. Ujawnianie numerów dostępowych 9.4. Identyfikatory firmowe 9.5. Zatrzymywanie osób bez identyfikatora 9.6. Wślizgiwanie się (przechodzenie przez zabezpieczone bramki) 9.7. Niszczenie poufnych dokumentów 9.8. Osobiste dane identyfikacyjne 9.9. Schematy organizacyjne 9.10. Prywatne informacje o pracownikach Korzystanie z komputera 10.1. Wprowadzanie poleceń 10.2. Wewnętrzne konwencje nazewnicze 10.3. Prośby o uruchomienie programu 10.4. Pobieranie i instalowanie oprogramowania 10.5. Hasła i e-mail 10.6. Oprogramowanie związane z bezpieczeństwem 10.7. Instalacja modemów 10.8. Modemy i automatyczna odpowiedź 10.9. Narzędzia hakerskie 10.10. Umieszczanie informacji o firmie w sieci 10.11. Dyskietki i inne nośniki danych 10.12. Pozbywanie się nośników danych 10.13. Wygaszacze ekranu chronione hasłem 10.14. Oświadczenie dotyczące haseł Korzystanie z poczty elektronicznej 11.1. Załączniki do wiadomości 11.2. Automatyczne przekierowywanie poczty na adres zewnętrzny 11.3. Przekazywanie poczty 11.4. Weryfikacja poczty Korzystanie z telefonu 12.1. Udział w ankietach telefonicznych 12.2. Ujawnianie wewnętrznych numerów telefonów 12.3. Zostawianie haseł w poczcie głosowej Korzystanie z faksu 13.1. Przekazywanie faksów 13.2. Weryfikacja instrukcji otrzymanych faksem 13.3. Przesyłanie poufnych informacji faksem 13.4. Zakaz faksowania haseł Korzystanie z poczty głosowej 14.1. Hasła do skrzynek poczty głosowej 14.2. Hasła do wielu systemów 14.3. Wybieranie hasła do skrzynki poczty głosowej 14.4. Wiadomości pocztowe oznaczone jako zachowane 14.5. Powitanie w poczcie głosowej 14.6. Hasła o ustalonych wzorcach 14.7. Informacje tajne lub prywatne Hasła 15.1. Hasła i telefony 15.2. Ujawnianie haseł dostępu do komputera 15.3. Hasła w Internecie 15.4. Hasła w wielu systemach 15.5. Ponowne używanie tych samych haseł 15.6. Hasła o ustalonych wzorcach 15.7. Wybieranie haseł 15.8. Notowanie haseł 15.9. Hasła jako zwykły tekst Instrukcje dla użytkowników zdalnych 16.1. Ubogi klient 16.2. Oprogramowanie zabezpieczające dla użytkowników zdalnych Instrukcje dla działu kadr 17.1. Odejście pracowników z firmy 17.2. Informowanie działu informatyki 17.3. Tajne informacje wykorzystywane w procesie rekrutacyjnym 17.4. Osobiste dane pracownika 17.5. Wywiad na temat pracowników Instrukcje dotyczące bezpieczeństwa fizycznego 18.1. Identyfikacja osób niezatrudnionych 18.2. Identyfikacja gości 18.3. Eskortowanie gości 18.4. Identyfikatory tymczasowe 18.5. Ewakuacja 18.6. Goście w pokoju pocztowym 18.7. Numery rejestracyjne samochodów 18.8. Kontenery na śmieci Instrukcje dla recepcjonistek 19.1. Wewnętrzny spis telefonów 19.2. Numery telefonów do działów lub grup roboczych 19.3. Przekazywanie informacji 19.4. Rzeczy do odebrania Instrukcje dla grupy przyjmującej zgłoszenia incydentów 20.1. Punkt zgłaszania incydentów 20.2. Trwające ataki Dodatki Bezpieczeństwo w pigułce Identyfikacja ataku Cykl socjotechniczny Typowe metody socjotechniczne Atak znaki ostrzegawcze Typowe cele ataku Czynniki ułatwiające atak Weryfikacja i klasyfikacja danych Procedura weryfikacji tożsamości Procedura weryfikacji statusu pracownika Procedura weryfikacji potrzeby wiedzy Kryteria weryfikacji osób niebędących pracownikami Klasyfikacja danych Źródła Podziękowania Od Kevina Mitnicka Od Billa Simona Epilog