728 x 90

Jak planować, aby nie wpaść?

Jak planować, aby nie wpaść?

Przede wszystkim, trzeba postawić sprawę jasno. Zajmując się czymś, co nie podoba się państwu, albo konkretnym osobom na wysokich stanowiskach (np. ransomware czy whistleblowing), możesz zacząć być ścigany jako przestępca – nawet jeśli działasz w dobrej wierze.

W Polsce może być mowa głównie o art. 267-269 Kodeksu Karnego, w USA będzie to 18 U.S. Code § 1030 itd.). Oprócz przepisów stricte „komputerowych” mogą również dojść przepisy związane z ochroną danych osobowych (np. RODO).


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Niezależnie więc od tego, jaką aktywnością niewłaściwą z punktu widzenia aparatu państwa się akurat zajmujesz, dwie najważniejsze rzeczy, o które powinieneś zadbać jeszcze zanim się weźmiesz za jakiekolwiek konkretne działania, to:

  1. Czas (w sensie posiadania wystarczającej ilości wolnego czasu):
    • na spokojne myślenie
    • na spokojny i dokładny research
    • na realizację konkretnych działań bez niepotrzebnego pośpiechu
    • na rozłożenie różnych aktywności w szerszej perspektywie czasowej, aby utrudnić lub uniemożliwić ich korelację
  2. Rozważne planowanie działań – w trzech perspektywach:
    • operacyjnej (najbliższych działań)
    • taktycznej (całej kampanii od początku do końca)
    • strategicznej (wpasowania tej kampanii i ewentualnych konsekwencji w całe dalsze życie)

Przede wszystkim zwróć uwagę na ten ostatni aspekt. Jest on najbardziej niedoceniany i najczęściej pomijany ze wszystkich – w dużej części dlatego, że większość przestępców (a już w szczególności przestępców „pospolitych”) to osoby działające impulsywnie, pod wpływem chwili i emocji. A nawet całkiem skądinąd inteligentni ludzie rzadko myślą, co będzie się działo w życiu ich i ich bliskich np. za 15 lat.

Pamiętaj jednak, że w sytuacji, gdy jeden odpowiednio skuteczny ransomware potrafi doprowadzić do strat sięgających powyżej miliarda dolarów, motywacja „organów” do szukania i ścigania sprawcy może być zgoła inna od motywacji do szukania sprawcy kradzieży roweru – a zatem próby ścigania raz zidentyfikowanego sprawcy mogą trwać właściwie dożywotnio.

Unikanie wpadek

Jeśli powyższy fakt Cię nie odstrasza, zwróć uwagę, że niemalże 100% przestępców „wpada” na jeden z trzech sposobów:

  • „od razu” (dzięki pozostawionym śladom) – czyli są identyfikowani w ciągu kilku najbliższych godzin lub dni od odkrycia przestępstwa (ew. czasem sam proces identyfikacji może się przedłużać z przyczyn technicznych np. do kilku tygodni lub nawet miesięcy, ale ślady potrzebne do identyfikacji są zbierane od razu)
  • wskutek nieostrożnego działania w całym dalszym życiu (np. chwalenia się pieniędzmi mocno przewyższającymi udokumentowane dochody – patrz zasada 13)
  • wskutek zeznań wspólnika lub innej osoby wiedzącej o sprawie (w tym również osoby najbliższej – patrz zasada 11)

O ile obrona przed drugim i trzecim sposobem jest bardzo prosta przynajmniej do wytłumaczenia (bo z realizacją może być ciężej z uwagi na zwykłe ludzkie słabości każdego z nas), to uniknięcie wpadki w pierwszy ze sposobów jest dużo bardziej skomplikowane i nie da się opisać jednym zwięzłym punktem – wymaga natomiast bardzo starannego planowania działań, utrzymywania porządku na używanych komputerach i wiedzy z zakresu OPSEC.

Bardzo dobrym pomysłem jest też rozłożenie poszczególnych aktywności w szerszej perspektywie czasowej. Przykładowo jeśli myślisz o podrzucaniu spreparowanych pen drive’ów w różne miejsca, rozsądny będzie ich zakup:

  • każdej sztuki osobno
  • w różnych sklepach – i w miarę możliwości takich, w których nie ma monitoringu wizyjnego, a już co najmniej w takich, w których nikt Cię nie rozpozna osobiście (czyli np. przy okazji podczas wizyty w innym mieście)
  • co najmniej kilku różnych modeli i pojemności
  • za gotówkę, bez używania żadnych kart promocyjnych (np. do zbierania punktów)
  • w niektórych przypadkach biorąc razem z pen drivem np. jakiś napój lub inną drobnostkę, w innych nie (aby dodatkowo skomplikować obróbkę danych w systemach analitycznych)
  • ale przede wszystkim, co najmniej pół roku wcześniej – a najlepiej nawet ponad 2 lata wcześniej (retencja różnego typu danych w różnych miejscach wynosi najczęściej 1, 3, 6, 12, 18 lub 24 miesiące)

Planowanie

Wróćmy do wspomnianego wyżej planowania działań. Skrupulatne planowanie powinno być podstawą wszystkich Twoich działań – nie rób niczego spontanicznie, bez dokładnego przemyślenia powodów, celów, szczegółów konkretnej operacji, czy jej czasu (np. „bo akurat masz czas”).

Z drugiej strony pamiętaj, że posiadanie planu nie jest celem samym w sobie. Plany służą do tego, żeby je modyfikować – ale też żeby w międzyczasie wiedzieć, co dokładnie chcesz robić w danym momencie i w jakim kierunku chcesz iść w dłuższej perspektywie.

Perspektywa operacyjna

W perspektywie operacyjnej powinieneś planować co najmniej:

  • czas na analizę ujawniających się błędów w Twoim oprogramowaniu i związane z tym dodatkowe (nieplanowane wcześniej) prace programistyczne
  • działania „w realu” – np. wspomniane wcześniej podkładanie spreparowanych pen drive’ów (w oparciu o wcześniejszy rekonesans, patrz niżej)
  • działania zorientowane na konkretne cele (np. poszczególne etapy infiltracji infrastruktury AD)
  • działania związane z bieżącą obsługą klienta

Przy czym nie chodzi o nie wiadomo jak rozbudowane plany. Chodzi po prostu o:

  • właściwą synchronizację działań
  • pogodzenie tych działań z życiem prywatnym i z tym, gdzie masz w danym momencie być (wiele działań powinieneś robić tylko w bezpiecznym lokalu, co może wymagać synchronizacji czasowej z innymi aktywnościami życiowymi)
  • uniknięcie działań chaotycznych: bo coś się „nagle” wydłużyło, bo o czymś zapomniałeś i teraz chcesz zrobić to na szybko itd. – bowiem właśnie takie scenariusze prowadzą do zapomnienia „ten jeden jedyny raz” o jakimś krótkim ale istotnym kroku typu włączenie VPN, wyłączenie oficjalnej komórki, podanie niewłaściwego adresu email itp.
Perspektywa taktyczna

W perspektywie taktycznej powinieneś planować co najmniej:

  • plany „B” na wypadek materializacji różnych istotnych ryzyk, które jesteś w stanie zidentyfikować, a które znacząco wpływają na całokształt Twoich działań
  • plan awaryjnego wyjścia z „biznesu” i zatarcia śladów
  • dbanie o zaplecze „cyfrowe” (np. zakładanie różnych kont pocztowych i innych)
  • dbanie o zaplecze „fizyczne” (np. wspomniane wyżej zaopatrzenie w pen drive’y, pozyskiwanie niezbędnych dokumentów, rekonesans miejsc bez kamer, ze słabą ochroną itp. sprawy wymagające działań „w realu” i kontaktów z innymi osobami)
  • „mądre” korzystanie z dodatkowych dochodów (począwszy od ich fizycznej wypłaty, poprzez przechowywanie i lokowanie, po właściwe wydawanie – patrz zasada 13)

Działania te (a w szczególności te „w realu”, gdzie nie da się nie zostawić żadnych śladów) powinny być zaplanowane i realizowane w dużo szerszej perspektywie, niż korzystanie z tak zdobytych zasobów (patrz przykład z pen drive’ami wyżej) – w przeciwnym przypadku narażasz się nie tylko na dość proste wyśledzenie powiązań pomiędzy różnymi działaniami, ale wręcz na możliwość dość prostego stworzenia przekonującej linii dowodowej, pokazującej chronologię zdarzeń i proste powiązania między nimi.

Perspektywa strategiczna

Ta perspektywa jest z różnych względów najbardziej niedoceniana przez wiele osób. Zarazem w tej perspektywie nie ma żadnych konkretnych rad, które można by przekazać nie znając szczegółów życia konkretnej osoby.

W planowaniu strategicznym chodzi o plany na całe życie Twoje i osób, za które jesteś odpowiedzialny – przede wszystkim dzieci, żony i innych najbliższych osób. Plany obejmujące przede wszystkim zabezpieczenie finansowe w najważniejszych scenariuszach:

  • Twój „biznes” wypali i będziesz mieć dodatkowe dochody – zostaniesz przy bezpiecznej zasadzie 13, czy chcesz osiągnąć coś więcej kosztem dodatkowego ryzyka?
    • na jaki poziom ryzyka jesteś gotowy teraz, a na jaki za np. 12-15 lat, gdy Twoje dzieci dorosną i się usamodzielnią?
    • na jaki poziom ryzyka jesteś gotowy, mając zdiagnozowaną terminalną chorobę i perspektywę np. 2 lat w miarę „normalnego” życia? (nie wliczaj w to ostatniej fazy choroby, gdy nie będziesz już zdolny do żadnych dalszych działań)
  • Twój „biznes” nie wypali finansowo, ale nadal pozostanie po nim ryzyko wpadki – będziesz mógł tak po prostu z niego wyjść i skutecznie zatrzeć ślady?
    • co planujesz robić (a czego nie), aby było to możliwe?
    • z jakimi osobami (lub typami osób) chcesz w ogóle wchodzić w jakiekolwiek układy i znajomość, a z jakimi nie?
  • co jeśli zostaniesz złapany? – jak Twoja rodzina powinna zostać zabezpieczona na taką ewentualność?
  • kto i ile musi wiedzieć o Twojej działalności na potrzeby ewentualnej sukcesji?

Czas

Bardzo ważnym aspektem planowania operacyjnego w branży bezpieczeństwa IT jest czas – w sensie pory dnia. Dokładnie takie same działania mogą dać bardzo różne efekty w zależności wyłącznie od momentu ich wykonania – tj. gdy adresaci tych działań:

  • są w większości poza komputerem (np. śpią, oglądają seriale, myją się, są w drodze z/do pracy, odprowadzają dzieci do szkoły itd.)
  • właśnie zaczynają pracę (dodatkowy modyfikator: w poniedziałek)
  • są już po pierwszej kawie, raz jeszcze przeglądają pocztę i zbierają się do wzięcia za realną pracę
  • wrócili do biura po obiedzie, są lekko senni i mniej uważni, nieco bardziej skłonni do zaufania w wiarygodnie brzmiącą treść, niż przed obiadem
  • powoli kończą pracę (dodatkowy modyfikator: w piątek)

Ten temat jest bardzo dobrze rozpoznany w legalnym marketingu i powstało do niego mnóstwo różnych opracowań mówiących np. o jakich porach wysyłać mailingi reklamowe, publikować filmy na Youtube w zależności od tematyki itd. Tutaj obowiązują dokładnie te same zasady.

Aczkolwiek w branży bezpieczeństwa IT dochodzi jeszcze jeden wektor, którego w legalnym marketingu nie ma: godziny działania działów bezpieczeństwa (IT i funkcjonalnego) różnych firm:

  • standardowe godziny pracy – pełna obsada i największe ryzyko, że Twoje działania zostaną dostrzeżone i powstrzymane
  • poza godzinami pracy (wieczór, noc, weekend) – czyli gdy odbywają się „standardowe” dyżury, normalnie planowane, najczęściej w pełnym składzie dyżurnych
  • poza godzinami pracy, w dni specjalne: Boże Narodzenie, Wielkanoc, Dzień Niepodległości, Dzień Dziękczynienia, finał Superbowl, Sylwester, globalne imprezy firmowe dla pracowników typu „wigilia firmowa” itp. – czyli gdy dyżury odbywają się albo w maksymalnie okrojonym składzie, albo wręcz są całkowicie wstrzymane

O czymś zapomnieliśmy? Masz jakieś ciekawe doświadczenia, którymi chciałbyś się podzielić? Opisz je w komentarzu poniżej.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.