Wyciągają dane... i tak dzień w dzień!

[TQM]

Londyn, około godziny 12:15 (12:30-13:00 wiele firm zaczyna lunch)...

J: - Dzień dobry, mówi John z xxxxxxx. Czy mogę rozmawiać z osobą odpowiedzialną za IT w Waszej firmie?
X: - Już łączę...
Z: - Słucham?
J: - Dzień dobry, mówi John z xxxxxxx. Jak rozumiem jesteś osobą odpowiedzialną za bezpieczeństwo, mam rację?
Z: - Tak, słucham [ale streszczaj się bo idę na lunch].
J: - Moja firma świadczy usługi w zakresie analizy bezpieczeństwa sieci i aplikacji a także dostarcza wyposażenie do budowy bezpiecznych sieci intranetowych, oczywiście wszystko zależy od potrzeb i zasobności klienta (uśmiech w głosie), chcielibyśmy zaoferować Wam nasze usługi, czy mogłbym więc zająć Ci kilka minut i zadać Ci kilka pytań?
Z: - Jasne, wal śmiało...
J: - Czy macie jakiegoś głównego dostawcę sprzętu, to znaczy czy używacie w miarę jednolitych komputerów czy też każdy to coś innego?
Z: - Raczej jeden dostawca... PC-ty do w zasadzie Dell'e, tanie, stabilne i dostawa do biura w 2h po zamówieniu hehe...
J: - Jasne, to bardzo istotne. A jak z serwerami?
Z: - To zależy... Rdzeń to SUN, usługi to Dell lub HP i różnej maści 'custom builds'
J: - To trochę zróżnicowane...
Z: - ... tak, ale SUN jak już wstanie, a sporo mu to zajmuje, to tak łatwo się nie zatrzyma... a reszta to takie które łatwo wymienić w kilka minut na inne.
J: - Jasne... Kolejne pytanie - jak wyglądają wasze łącza - jaką przepustowość to Wasze minimum, jak z redundancją, może BGP?
Z: - BGP nie ma bo nie potrzeba, 3 niezależne łącza światłowodowe wprowadzane w różnych miejscach budynku, switchowane światłowodowo bez konwersji na miedź, redundantne, od 2 różnych ISP.
J: - A jak terminujecie taki ruch? Tzn chodzi mi głównie o usługi jakie na tym stoją.
Z: - Jak to zazwyczaj... kilka serwerów, poczta, www, VPN dla pracowników, takie tam... nic szczególnego.
J: - Oczywiście przy Waszym profilu działalności całośc musi być dobrze firewall'owana. Na pewno używacie sprawdzonych platform... Cisco PIX, Checkpoint...
Z: - Tak, bardzo pilnujemy naszych sieci ale o konkretnych rozwiązaniach nie będziemy rozmawiać.
J: - (speszony) Tak tak, oczywiście, bezpieczeństwo to podstawa... Dziękuję za rozmowę.
Z: - Nie ma sprawy.


Tak wyglądają bardzo często rozmowy z natrętnymi akwizytorami. Oczywiście powyższa nie jest do końca prawdziwa :-) ale nie jednej takiej byłem już świadkiem...

Jakie z tego wnioski?!
Czy jesteś pewien/pewna, że to co właśnie zostało wypowiedziane wysłuchał ciekawski akwizytor, który chce Ci opchnąć coś co możesz znaleźć za darmo w sieci albo za mniejszą opłatą na pierwszym ekranie trafień google? Tak właśnie działają osoby, które wyciągają informacje... potencjalni włamywacze, szpiedzy różnej maści...

Skąd ta pewność?
Zobaczcie jak przebiega rozmowa... uprzejmie, w tonie zrozumienia. Lekki uśmiech w głosie przy wzmiance o cenach sugeruje, że "nie jesteśmy najtańsi ale za to oferujemy doskonałe usługi - jesteśmy renomowaną firmą"... Zaczyna się standardowo... jakie desktopy, jaki software na nich (windows/office czy inne systemy, czy kożystamy z outsoure'ingu - to pominąłem bo nie chce mi się pisać tyle), co używamy w środowiskach serwerowych (sprzęt + soft), jakie usługi, firewalle... ładnie składnie... a na koniec zgaszony akwiytor nawet nie bierze adresu e-mail aby wysłać prospekty

Prawdziwe wnioski:
1. Rozmowa była prawdziwa i byłem jej świadkiem
2. Informacje o firmie typu numer telefonu do firmy jest dostępny na stronie WWW, żadna sztuka znaleźć (a że firma zajmuje się bardzo dochodową dzałalnością usług IT i ma tysiące klientów to kasę pewnie też ma...)
3. Firma xxxxxxx istnieje, ale żaden John tam nie pracuje ani nikt o nim nie słyszał...
4. Informacje podane w rozmowie może nie wystarczą jeszcze do przeprowadzenia pełnego ataku na systemy firmy Z, za to jeśli potencjalny włamywacz odrobi pracę domową, na pewno znajdzie punkt zaczepienia... ma wystarczająco informacji aby zawężać krąg możliwych opcji i eliminować kolejne... wystarczy do tego jeszcze kilka dni (aby nie rzucać się w oczy) i dowie sie co i jak... a może następną rozmowę odbierze ktoś inny niż Pan Z?!
5. Akwizytor/sprzedawca/telemarketer który nie pcha się oknem jak go wykopią drzwiami to dupa nie sprzedawca!

Takie rozmowy są prawdziwe i zdażają się każdego dnia - sam odbieram kilka w miesiącu. Ja jednak spławiam delikwenta od razu i proszę o pozostawienie nazwiska, nazwy firmy, numeru telefonu oraz określenie w kilku słowach dlaczego mam w ogóle interesować się jego firmą i dlaczego mam oddzwonić jak będę miał czas... jak nie pasuje to żegnam... a jak chce wysłać prospekty na maila to na to jest osobny adres... offers@ oraz it-offers@...

Nie dajcie się podejść. Mogę się założyć że wiele firm wyjawia swoje sekrety w ten sposób a później zaskoczenie - skąd wiedzieli...

[TQM]

Normalnie wymiękam... miałem wczoraj rozesłać podobne maile do pracowników u mnie w firmie... nie było czasu... a dzisiaj rano jak w mordę strzelił, kolejny telefon dokładnie w ten sam deseń przywędrował prosto na moje biurko :-)

Chyba przyciągam ich myślami :-) Za to chyba facetowi spodobało się moje podejście ("Sorry, no sensitive information!"), bo zostałem zaproszony na bankiet za 3 tygodnie i zastanawiam się czy to nie kolejna sztuczka... no cóż... a może to ja jestem takim paranoikiem i powinienem iść i się dobrze bawić?

[matek]

tqm, mam do Ciebie przy okazji pytanie.

Jezeli dzwoni do mnie taki gosc... jakie informacje moge mu ujawnic a jakich nie powinienem?

[spetznaz]

> Jezeli dzwoni do mnie taki gosc... jakie informacje moge mu ujawnic a jakich nie powinienem?

Najlepiej żadnych.

Ewentualnie zweryfikować osobnika, o ile się da.

Jeśli taka firma istnieje to napewno da radę znaleźć coś na ich temat.

Może to nie jest najlepszy test, ale z dużym prawdopodobieństwem wyeliminuje znaczną część podszywających się .

To jest przykre, ale w naszych polskich urzędach i instytucjach też można wyciągnąć bardzo wiele informacji.

Ludzie powinni być przeszkoleni przez pracodawcę (specjalistę z firmy ds. bezpieczeństwa) jeśli chodzi o poufność informacji, tak niestety nie jest.

--
spetznaz

[TQM]

Jakie mozesz to zalezy od specyfiki organizacji i jest to bardzo ciezko okreslic... ogolnie co moglbym zalecac (choc nie czuje sie specjalista w tym zakresie) to udzielac jak najmniej informacji, no chyba ze pracujesz w dziale obslugi klienta - wtedy musisz tak obsluzyc klienta aby nie poczul sie urazony, inaczej moze narobic ci problemow.

Jak widzisz musisz sam ustalic granice albo powinienniscie miec ustalona polityke odnosnie tego co wolno a co nie wolno...

Ja wlasnie taka polityke bezpieczenstwa informacji opracowuje dla mojej firmy i ogolnie pozwalamy na wszystko poza:
1. podawaniem jakichkolwiek namiarow na dzial IT i zarzad (numerow telefonow bezposrednich, nazwisk, maili... nawet imion nie wolno - publiczne jest to co na WWW firmy) - to glownie odnosnie rozmow telefonicznych, bo jesli kogos spotykam face2face to sam decyduje czy dam swoja wizytowke czy nie... przez telefon nie wiesz nic, nie widzisz osoby... sliska sprawa ogolnie :-(
2. odpowiadanie na jakiekolwiek pytania techniczne dotyczace sprzetu jak i oprogramowania (pod to podchodzi tez pytanie 'czy uzywacie do poczty MS Outlook'); co prawda na wiekszosc odpowiedzi zna tylko moj zespol to jednak takie pozornie nieistotne informacje moga pomoc oszacowac wektor ataku
3. podawanie nazw firm z ktorymi wspolpracujemy, wspolpracowalismy, nazw kodowych produktow/dzialow/obszarow dzialania (jawne odkrywanie struktury firmy i zaleznosci miedzy obszarami/produktami - choc w naszym przypadku jesli ktos by to rozrysowal jasno i czytelnie to osobiscie dopilnuje by zostal zatrudniony hehe...)

Jesli ktos chce nam koniecznie przyslac oferte odsylamy go do offers@... albo it-offers@ jesli dotyczy IT. Do tego info na stronie "Please send your offers only to offers@ or it-offers@ or your company will be blacklisted!" przynosi pewne efekty... i jak ktos sie nudzi to odpala webmail i sprawdza te smieci... czasami cos ciekawego sie trafia a ludzie dostaja mniej spamu na swoje skrzynki i pracuja efektywniej.

Trzeba pamietac o kilku prostych rzeczach gdy ktos do Ciebie dzwoni:
- to on/ona ma interes aby cos sprzedac/dowiedziec sie, wiec to Ty ustalasz zasady (chyba ze to tez jest w Twoim interesie, wtedy zalecam wspolprace ale wyczulona na pytania jak podalem wczesniej - vide obsluga klienta)
- zdecydowane 'NIE' jest lepsze od krecenia i sciemniania ze to to albo tamto (tak samo odpowiedziec na niektore pytania 'nie wiem' jest nieco glupie skoro osoba pyta o to co na pewno wiemy - jak z Outlook'iem)
- idac za technikami negocjacji (jedna z metod typu win-win ale grajac na zwloke) jest grzeczne udzielenie odpowiedzi ze nie masz uprawnien do podejmowania decyzji i na tym etapie musisz skontaktowac sie z przelozonym - oznacza to ze sa dobre checi do wspolpracy ale brak kompetencji... a to juz nie jest od Ciebie zalezne. Jesli osoba naciska, grzecznie ale stanowczo odmawiasz udzielania jakichkolwiek dalszych informacji 'nie jestes osoba do tego uprawniona'... - w tym wypadku zdecydowanie nalezy powiadomic przelozonego lub potocznie zwanego 'bezpiecznika' w Twojej firmie aby wiedzial ze takie cos mialo miejsce... najlepiej przygotowujac to w postaci notatki.

Praca u jednego z polskich operatorow GSM nauczyla mnie jednego - papier przyjmie wszystko... wiec zawsze miej 'dupochron' :-)

Spetznaz - bardzo cenne uwagi! Urzedasy najczesciej maja to gleboko w powazaniu bo to nie ich dane osobowe, nie ich pieniadze i nie ich zycie... Jeden taki wprost mi kiedys powiedzial "Panie! Za takie pieniadze jak tu dostaje to ja mam to w dupie!"

[DeepFree]

To Witam kolegę po fachu. Również pracowałem dla jednej z sieci telefoni komórkowej. Fakty są takie że nie chcieli mnie słuchać kiedy doszło do wycieku ważnych dla firmy informacji przez łatwowierność jednego z pracowników dostałem telefon że może Pan do nas wróci ten projekt nie był taki zły itd itp.
Powiedziałem Nie i wolę pracować na własny rachunek.

Aktualnie prowadzę szkolenia dla kilku firm z zagadnienia Socjotechnika. I temat jest tematem morze.......
Z ludzi wyciągnie się wszystko i cały tak zwany hacking można sobie darować wystarczy ułożyć odpowiednią historyjkę dobrze ją poprzeć i finito każdy łyknie haczyk.

Serdecznie Zapraszam na swoje forum dyskusyjne które powstało szmat czasu temu. Bezpośrednio po tłumaczeniu książki w której poraz pierwszy użyto zwrotu socjotechnik zgadnijcie czyja to książka...

Serdecznie Zapraszam
http://forum.socjotechnik.pl/

[eMCe]

hihi rzeczywiście temat rzeka..

w zasadzie wszystko co chciałem powiedzieć już zostało powiedziane ale fajny kawałek tekstu upatrzyłem więc zacytuje:

Z: - Raczej jeden dostawca... PC-ty do w zasadzie Dell'e, tanie, stabilne i dostawa do biura w 2h po zamówieniu hehe...
J: - Jasne, to bardzo istotne.

[TQM]

Hmmm nie bardzo rozumiem dlaczego akurat to podkresliles no ale niech bedzie...

Swoja droga... jak czytam forum ostatnio to mam dziwne wrecz nieodparte wrazenie, ze coraz wiecej osob probuje wyciagnac z nas informacje jak cos zrobic wymyslajac coraz fajniejsze historyjki...

Sorry ale jakos w wiekszosc nie wierze :-) Nie mowie ze sa lipne i nikogo nie oskarzam o klamstwo bo nie mam zadnych dowodow... ale - nagle mamy mase ludzi ktorzy chca ratowac kolegow, mase anonimowych listow itp... Ja rozumiem ze mezczyzna czy kobieta moze miec swoja przeszlosc o ktorej woli zapomniec i to jeszcze uznaje - to prywatne zycie, pewien szacunek, itd... ale coraz wiecej postow w podobnym tonie sie trafia... nie sadzicie ze to dziwne?!

Czyzby nagle w Polsce ilosc 'zyczliwych' tak wzrosla (albo ilosc przekretow na boku ktore chcemy ukryc)? W swietle obecnej sytuacji politycznej to pytanie retoryczne...

Od ponad miesiac juz mi chodzi po glowie, ze ktos sie zwyczajnie z nami bawi :-)

[markossx]

dokładnie, odnoszę identyczne wrażenie, tqm

[eMCe]

[QUOTE=tqm;6435]Hmmm nie bardzo rozumiem dlaczego akurat to podkresliles no ale niech bedzie.../QUOTE]

hihi chciałem pokazać ze żadnych info najlepiej jest nie udzielać...

teraz Pan J: może zadzwonić do kogoś innego z tej firmy i przedstawić się za pracownika z Dell'a wyciągając następne informacje
Kevin Mitnick opisywał taką sytuację w swojej książce kiedy zaczynając od nieistotnych zdawało by się informacji - dostał się do kluczowych...