Do poštovního klienta Vám přišel zajímavý email od známého, na ulici jste našel datovou klíčenku, přišel k Vám nový člověk, CD s daty jste vyhodil do koše, všude používáte jednotné heslo, proč číst co se děje na monitoru, když je tam stejně jediná volba OK, copak asi dělá tento program, naše paní účetní hesla nemusí mít, však už je to starší paní, jistě pane Novák sice Vás vidím poprvé v životě, ale jste potencionálně významný klient, proč by byl problém si na mém PC poslat email, facebook, twitter, libimseti copak je za problém o sobě něco napsat …… To vše jsou některé z možností, které umožní útočníkovy získat veškeré potřebné přístupy. Představte si situaci, že veškeré Vaše technické prostředky zmizí server, Váš počítač, mobilní telefon, platební karta, Váš email … A co hůř, ovládá je někdo kdo má zájem Vás poškodit. Často se ve své praxi setkávám s názorem, že my máme vše zálohované, my máme IT, kteří se nám o vše starají, kdo by se o nás zajímal …. Bohužel praxe je taková, že zálohy se sice dělají, ale opravdu dostatečně, opravdu každou zálohu kontrolujete ? Jsou Vaši IT specializování na praktickou IT bezpečnost ? Pracujete v oboru, kde nemáte žádnou konkurenci ? Není ve Vašem okolí někdo kdo by Vám záviděl úspěch ? Dovolím si zde uvést ze své praxe pár příkladů jak lehce obejít veškerou bezpečnost.Na začátek je důležité říct, že sebelepší zabezpečení má jednu společnou a zásadní slabinu. Tou slabinou je člověk. Vždy existuje někdo kdo má k datům přístup, vždy existuje někdo kdo zná hesla, vždy bude existovat možnost tyto hesla a přístupy získat….
Příklad číslo 1Společnost AAA s.r.o. je velmi progresivní a dynamická firma, která ve své velice krátké historii získala nemalý podíl na trhu. Jejich aktivní zabezpečení je na velmi vysoké úrovni, společnost si uvědomuje důležitost dat obsažených na serverech. Nechtějí však omezovat zaměstnance v práci a tak mají všichni relativně vysoká práva pro přístup do sítě. Tohoto faktoru využil útočník při svém útoku. Na plochu parkoviště před sídlem společnosti proto volně poházel barevné USB klíčenky. Samozřejmě cílem není obdarovat kolemjdoucí, ale cílený útok. Na USB klíčence je škodlivý kód, který nemusí řešit jinak dokonalé zabezpečení oproti útokům zvenčí. Útočník během pár minut získává veškerá potřebná data. Příklad číslo 2Společnost BBB s.r.o. má paranoidního správce sítě, pravidelně prochází všechny logy na zařízeních, pravidelně kontroluje celou síť, pravidelně mění hesla, pravidelně se účastní všech možných i nemožných školení …. Pro útočníka je velice těžké se do sítě dostat. Nakonec nachází slabý článek. Slečna Marie je řekněme lehce korpulentní, delší dobu již hledá vhodný protějšek a večery tráví u internetu hledáním své vysněné lásky. Útočník postupně sbírá veškeré informace a vytváří profil dokonalého protějšku slečny Marie… Marie se zamilovala. Útočník se stavuje za svojí novou láskou do práce s obědem, kytkou růží a … žádostí zda si může od ní z počítače poslat email. Útočník má plnou kontrolu nad sítí.Příklad číslo 3Katka je hlavní účetní ve velké mezinárodní společnosti. Nemá ráda IT oddělení, jsou divný pořád jí něco zakazují, přikazují, omezují. Zrovna nedávno však vyhrála svůj malý boj. Má ráda svůj účetní program, provází ji již několik let přes několik firem. Doslova si vykřičela vyšší práva na administraci programu. Má pořád čekat, až některý z těch neschopných divných adminů dohraje nějakou hru a přijde ji nainstalovat upgrade ? Takhle si všechno dělá sama a má klid. A hele zrovna přišel upgrade. Kontroluje si pečlivě všechny znaky zaslaného emailu ( poštovní klient ho označil za spam ), ale ano vše je oki, poslal jí to upgrade@jejioblibenyucetnisoftware.cz. Instaluje upgrade, pročítá instrukce, vše je v pořádku. Útočník právě převzal kompletní správu nad celým systémem.
