W Polsce może być mowa głównie o art. 267-269 Kodeksu Karnego, w USA będzie to 18 U.S. Code § 1030 itd.). Oprócz przepisów stricte „komputerowych” mogą również dojść przepisy związane z ochroną danych osobowych (np. RODO).

Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Niezależnie więc od tego, jaką aktywnością niewłaściwą z punktu widzenia aparatu państwa się akurat zajmujesz, dwie najważniejsze rzeczy, o które powinieneś zadbać jeszcze zanim się weźmiesz za jakiekolwiek konkretne działania, to:

1. Czas (w sensie posiadania wystarczającej ilości wolnego czasu):
   • na spokojne myślenie
   • na spokojny i dokładny research
   • na realizację konkretnych działań bez niepotrzebnego pośpiechu
   • na rozłożenie różnych aktywności w szerszej perspektywie czasowej, aby utrudnić lub uniemożliwić ich korelację
2. Rozważne planowanie działań – w trzech perspektywach:
   • operacyjnej (najbliższych działań)
   • taktycznej (całej kampanii od początku do końca)
   • strategicznej (wpasowania tej kampanii i ewentualnych konsekwencji w całe dalsze życie)

Przede wszystkim zwróć uwagę na ten ostatni aspekt. Jest on najbardziej niedoceniany i najczęściej pomijany ze wszystkich – w dużej części dlatego, że większość przestępców (a już w szczególności przestępców „pospolitych”) to osoby działające impulsywnie, pod wpływem chwili i emocji. A nawet całkiem skądinąd inteligentni ludzie rzadko myślą, co będzie się działo w życiu ich i ich bliskich np. za 15 lat.

Pamiętaj jednak, że w sytuacji, gdy jeden odpowiednio skuteczny ransomware potrafi doprowadzić do strat sięgających powyżej miliarda dolarów, motywacja „organów” do szukania i ścigania sprawcy może być zgoła inna od motywacji do szukania sprawcy kradzieży roweru – a zatem próby ścigania raz zidentyfikowanego sprawcy mogą trwać właściwie dożywotnio.

Unikanie wpadek

Jeśli powyższy fakt Cię nie odstrasza, zwróć uwagę, że niemalże 100% przestępców „wpada” na jeden z trzech sposobów:

• „od razu” (dzięki pozostawionym śladom) – czyli są identyfikowani w ciągu kilku najbliższych godzin lub dni od odkrycia przestępstwa (ew. czasem sam proces identyfikacji może się przedłużać z przyczyn technicznych np. do kilku tygodni lub nawet miesięcy, ale ślady potrzebne do identyfikacji są zbierane od razu)
• wskutek nieostrożnego działania w całym dalszym życiu (np. chwalenia się pieniędzmi mocno przewyższającymi udokumentowane dochody – patrz zasada 13)
• wskutek zeznań wspólnika lub innej osoby wiedzącej o sprawie (w tym również osoby najbliższej – patrz zasada 11)

O ile obrona przed drugim i trzecim sposobem jest bardzo prosta przynajmniej do wytłumaczenia (bo z realizacją może być ciężej z uwagi na zwykłe ludzkie słabości każdego z nas), to uniknięcie wpadki w pierwszy ze sposobów jest dużo bardziej skomplikowane i nie da się opisać jednym zwięzłym punktem – wymaga natomiast bardzo starannego planowania działań, utrzymywania porządku na używanych komputerach i wiedzy z zakresu OPSEC.

Bardzo dobrym pomysłem jest też rozłożenie poszczególnych aktywności w szerszej perspektywie czasowej. Przykładowo jeśli myślisz o podrzucaniu spreparowanych pen drive’ów w różne miejsca, rozsądny będzie ich zakup:

• każdej sztuki osobno
• w różnych sklepach – i w miarę możliwości takich, w których nie ma monitoringu wizyjnego, a już co najmniej w takich, w których nikt Cię nie rozpozna osobiście (czyli np. przy okazji podczas wizyty w innym mieście)
• co najmniej kilku różnych modeli i pojemności
• za gotówkę, bez używania żadnych kart promocyjnych (np. do zbierania punktów)
• w niektórych przypadkach biorąc razem z pen drivem np. jakiś napój lub inną drobnostkę, w innych nie (aby dodatkowo skomplikować obróbkę danych w systemach analitycznych)
• ale przede wszystkim, co najmniej pół roku wcześniej – a najlepiej nawet ponad 2 lata wcześniej (retencja różnego typu danych w różnych miejscach wynosi najczęściej 1, 3, 6, 12, 18 lub 24 miesiące)

Planowanie

Wróćmy do wspomnianego wyżej planowania działań. Skrupulatne planowanie powinno być podstawą wszystkich Twoich działań – nie rób niczego spontanicznie, bez dokładnego przemyślenia powodów, celów, szczegółów konkretnej operacji, czy jej czasu (np. „bo akurat masz czas”).

Z drugiej strony pamiętaj, że posiadanie planu nie jest celem samym w sobie. Plany służą do tego, żeby je modyfikować – ale też żeby w międzyczasie wiedzieć, co dokładnie chcesz robić w danym momencie i w jakim kierunku chcesz iść w dłuższej perspektywie.

Perspektywa operacyjna

W perspektywie operacyjnej powinieneś planować co najmniej:

• czas na analizę ujawniających się błędów w Twoim oprogramowaniu i związane z tym dodatkowe (nieplanowane wcześniej) prace programistyczne
• działania „w realu” – np. wspomniane wcześniej podkładanie spreparowanych pen drive’ów (w oparciu o wcześniejszy rekonesans, patrz niżej)
• działania zorientowane na konkretne cele (np. poszczególne etapy infiltracji infrastruktury AD)
• działania związane z bieżącą obsługą klienta

Przy czym nie chodzi o nie wiadomo jak rozbudowane plany. Chodzi po prostu o:

• właściwą synchronizację działań
• pogodzenie tych działań z życiem prywatnym i z tym, gdzie masz w danym momencie być (wiele działań powinieneś robić tylko w bezpiecznym lokalu, co może wymagać synchronizacji czasowej z innymi aktywnościami życiowymi)
• uniknięcie działań chaotycznych: bo coś się „nagle” wydłużyło, bo o czymś zapomniałeś i teraz chcesz zrobić to na szybko itd. – bowiem właśnie takie scenariusze prowadzą do zapomnienia „ten jeden jedyny raz” o jakimś krótkim ale istotnym kroku typu włączenie VPN, wyłączenie oficjalnej komórki, podanie niewłaściwego adresu email itp.

Perspektywa taktyczna

W perspektywie taktycznej powinieneś planować co najmniej:

• plany „B” na wypadek materializacji różnych istotnych ryzyk, które jesteś w stanie zidentyfikować, a które znacząco wpływają na całokształt Twoich działań
• plan awaryjnego wyjścia z „biznesu” i zatarcia śladów
• dbanie o zaplecze „cyfrowe” (np. zakładanie różnych kont pocztowych i innych)
• dbanie o zaplecze „fizyczne” (np. wspomniane wyżej zaopatrzenie w pen drive’y, pozyskiwanie niezbędnych dokumentów, rekonesans miejsc bez kamer, ze słabą ochroną itp. sprawy wymagające działań „w realu” i kontaktów z innymi osobami)
• „mądre” korzystanie z dodatkowych dochodów (począwszy od ich fizycznej wypłaty, poprzez przechowywanie i lokowanie, po właściwe wydawanie – patrz zasada 13)

Działania te (a w szczególności te „w realu”, gdzie nie da się nie zostawić żadnych śladów) powinny być zaplanowane i realizowane w dużo szerszej perspektywie, niż korzystanie z tak zdobytych zasobów (patrz przykład z pen drive’ami wyżej) – w przeciwnym przypadku narażasz się nie tylko na dość proste wyśledzenie powiązań pomiędzy różnymi działaniami, ale wręcz na możliwość dość prostego stworzenia przekonującej linii dowodowej, pokazującej chronologię zdarzeń i proste powiązania między nimi.

Perspektywa strategiczna

Ta perspektywa jest z różnych względów najbardziej niedoceniana przez wiele osób. Zarazem w tej perspektywie nie ma żadnych konkretnych rad, które można by przekazać nie znając szczegółów życia konkretnej osoby.

W planowaniu strategicznym chodzi o plany na całe życie Twoje i osób, za które jesteś odpowiedzialny – przede wszystkim dzieci, żony i innych najbliższych osób. Plany obejmujące przede wszystkim zabezpieczenie finansowe w najważniejszych scenariuszach:

• Twój „biznes” wypali i będziesz mieć dodatkowe dochody – zostaniesz przy bezpiecznej zasadzie 13, czy chcesz osiągnąć coś więcej kosztem dodatkowego ryzyka?
  • na jaki poziom ryzyka jesteś gotowy teraz, a na jaki za np. 12-15 lat, gdy Twoje dzieci dorosną i się usamodzielnią?
  • na jaki poziom ryzyka jesteś gotowy, mając zdiagnozowaną terminalną chorobę i perspektywę np. 2 lat w miarę „normalnego” życia? (nie wliczaj w to ostatniej fazy choroby, gdy nie będziesz już zdolny do żadnych dalszych działań)
• Twój „biznes” nie wypali finansowo, ale nadal pozostanie po nim ryzyko wpadki – będziesz mógł tak po prostu z niego wyjść i skutecznie zatrzeć ślady?
  • co planujesz robić (a czego nie), aby było to możliwe?
  • z jakimi osobami (lub typami osób) chcesz w ogóle wchodzić w jakiekolwiek układy i znajomość, a z jakimi nie?
• co jeśli zostaniesz złapany? – jak Twoja rodzina powinna zostać zabezpieczona na taką ewentualność?
• kto i ile musi wiedzieć o Twojej działalności na potrzeby ewentualnej sukcesji?

Czas

Bardzo ważnym aspektem planowania operacyjnego w branży bezpieczeństwa IT jest czas – w sensie pory dnia. Dokładnie takie same działania mogą dać bardzo różne efekty w zależności wyłącznie od momentu ich wykonania – tj. gdy adresaci tych działań:

• są w większości poza komputerem (np. śpią, oglądają seriale, myją się, są w drodze z/do pracy, odprowadzają dzieci do szkoły itd.)
• właśnie zaczynają pracę (dodatkowy modyfikator: w poniedziałek)
• są już po pierwszej kawie, raz jeszcze przeglądają pocztę i zbierają się do wzięcia za realną pracę
• wrócili do biura po obiedzie, są lekko senni i mniej uważni, nieco bardziej skłonni do zaufania w wiarygodnie brzmiącą treść, niż przed obiadem
• powoli kończą pracę (dodatkowy modyfikator: w piątek)

Ten temat jest bardzo dobrze rozpoznany w legalnym marketingu i powstało do niego mnóstwo różnych opracowań mówiących np. o jakich porach wysyłać mailingi reklamowe, publikować filmy na Youtube w zależności od tematyki itd. Tutaj obowiązują dokładnie te same zasady.

Aczkolwiek w branży bezpieczeństwa IT dochodzi jeszcze jeden wektor, którego w legalnym marketingu nie ma: godziny działania działów bezpieczeństwa (IT i funkcjonalnego) różnych firm:

• standardowe godziny pracy – pełna obsada i największe ryzyko, że Twoje działania zostaną dostrzeżone i powstrzymane
• poza godzinami pracy (wieczór, noc, weekend) – czyli gdy odbywają się „standardowe” dyżury, normalnie planowane, najczęściej w pełnym składzie dyżurnych
• poza godzinami pracy, w dni specjalne: Boże Narodzenie, Wielkanoc, Dzień Niepodległości, Dzień Dziękczynienia, finał Superbowl, Sylwester, globalne imprezy firmowe dla pracowników typu „wigilia firmowa” itp. – czyli gdy dyżury odbywają się albo w maksymalnie okrojonym składzie, albo wręcz są całkowicie wstrzymane

O czymś zapomnieliśmy? Masz jakieś ciekawe doświadczenia, którymi chciałbyś się podzielić? Opisz je w komentarzu poniżej.

Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.