Samograj
- 13.01.2003
Krąg zagadnień związanych z bezpieczeństwem działania systemów informatycznych stale się poszerza, a gdy uwzględnić obszary sąsiadujące z informatyką - może dziś obejmować praktycznie wszystko.
Krąg zagadnień związanych z bezpieczeństwem działania systemów informatycznych stale się poszerza, a gdy uwzględnić obszary sąsiadujące z informatyką - może dziś obejmować praktycznie wszystko.
Dla felietonisty to niebywała gratka, gdyż, dopóki liczba luk w systemach i pomysłów na ich wykorzystywanie zdaje się nie mieć granic, jest to niemal temat-samograj.
Na nikim już nie robią wrażenia kolejne wirusy i nigeryjskie listy (u mnie ostatnio średnio dwa listy tygodniowo). W tej ostatniej sprawie ciekawostką może być jedynie rodzaj antylistu, którego treść (zob.http://www1.gazeta.pl/wyborcza/1,34471,1206793.html) - mimo że mało wiarygodna - robi zabawne wrażenie, szczególnie na tych, którzy znają stylistykę oryginałów.
Co, wobec tego, nowego, a jeszcze interesującego wydarzyło się w tej dziedzinie w ostatnim czasie?
Coraz lepiej mają się specjaliści od tzw. kradzieży tożsamości, pracowicie gromadzący dane o różnych osobach, by potem wiarygodnie wystąpić w ich roli i wziąć na ich konto kredyt (niemały) lub dokonać zakupu (też nie byle jakiego). Gdy mówiłem o tym na pewnej konferencji, ponad dwa lata temu, zostało to odebrane jak księżycowa bajka. Dziś zaś wiemy, że tylko w USA w roku 2000 liczba ofiar w tej dziedzinie sięgnęła pół miliona.
Rok później było to ponad 700 tys., a "plany" na rok 2002 mówiły już o milionie osób.
Jeżeli w ogóle stosowna jest taka paralela - powtarza się tu historia wirusów komputerowych. By je tworzyć, kiedyś trzeba było być wybitnym fachowcem, dziś wystarczy umiejętność dobrania i poskładania gotowych kawałków, dostępnych w sieci.
W dziedzinie kradzieży tożsamości też powoli nie trzeba już mrówczej pracy i zabiegów o uzyskanie, a to czyjejś daty urodzenia, a to nazwiska panieńskiego matki tej osoby. Na rynek weszli kiepsko opłacani i eksploatowani do granic pracownicy różnych gorących linii, help desków i call centers, którym klienci sami ochoczo podają przez telefony tak łakome kąski informacji, jak identyfikatory, hasła i numery rachunków bankowych. Dane pozwalające uwiarygodnić kredyt na dobry samochód kosztują na tym "rynku" nie więcej niż kilkadziesiąt dolarów. Przy załatwianiu wszystkiego na odległość ryzyko wpadki jest znikome, a realne staje się tylko obciążenie konta ofiary.
Już ze trzydzieści lat temu uczono mnie, że mając na pieńku z operatorem komputera i będąc zmuszonym do zwolnienia go, należy mu zapłacić z góry nawet i za rok, ale niech przez minutę dłużej nie ma on dostępu do czegokolwiek. Uczono mnie tego w Zjednoczonym Królestwie, gdzie niedawno wykryto, że korzystając z łączy serwisowych X.25 systemu informatycznego kilku biur podróży, wyłudzono sumę idącą w setki tysięcy funtów, a może i więcej.
Co ciekawe - wpadł na to bank, któremu podejrzane wydały się liczne "okrągłe" (zawsze w pełnych tysiącach) kwoty zwrotów za nie wykorzystane usługi. Do zacierania śladów sprawca wykorzystał program z Internetu, a szansę na jego wykrycie fachowcy określają jako znikomą.
Obsługująca tę sieć firma zwolniła kilkuset pracowników serwisu po przejęciu innej, zaniedbując przy tym zmiany zabezpieczeń, a zemsta - jak wiadomo - jest rozkoszą bogów...
Dalej: ktoś komputerowo podrobił czeki i najpierw kupił za nie, a potem sprzedał (z zyskiem!) towar za kilka milionów dolarów. Ktoś inny podobnie wyłudził kredyt na 10 milionów, pieniądze przelał za granicę i znikł, a agent CIA skasował od pracodawcy milion na podstawie spreparowanej komputerowo faktury za nigdy nie dostarczone towary.
Wszystkich przebiło jednak kilku pensjonariuszy jednego z więzień: spreparowali oni komputerowo dokument nakazujący ich zwolnienie i wysłali do dyrektora zakładu, w którym siedzieli, a ten skwapliwie polecenie wykonał.