Sima ügy

A nemrégen érkezett a hazai mozikba Kettős Játék című, triplacsavaros thriller, amely az ipari kémek érdekes világába kalauzol minket - csakhogy gyakorlatilag koránt sincs szükség ennyi intrikára, és olyan furmányos eszközökre, mint azt a film sugallja. Csupán egy öltöny, némi számítástechnikai és színészi érzék, icipici tájékozottság, és egy jó adag magabiztosság szükséges hozzá - no meg két kávé.

Ugyanis egy találékony elme Angliában fogta magát, felvett egy öltönyt, vett két kávét, majd elkezdett határozottan sétálni egy pénzügyi szolgáltatásokat nyújtó, az angol tőzsdén jegyzett és a Financial Times-ban is sokat emlegetett cég bejáratához. A biztonsági őr látva hogy nem tudja elővenni - az amúgy nem létező – kártyáját, segítőkészen beengedte.



Innentől kezdve az embernek szabad útja volt: kellemetlen kérdésekkel nem zaklatták (mégis ki maga és mit keres itt?), kiadta magát dolgozónak, majd 20 telefonhívást eleresztett a helyi alkalmazottaknak (amiből 17 mindenféle visszakérdezés nélkül segített is, valószínűleg azért, mert látták hogy belső számról van szó), amiből kiderítette - pontosabban lekérdezte - a rendszer biztonsági kódjait, és úgy mászkált az adatbázisban, akár egy cégvezető.

De emberünk még többre vágyott, és meg is kapta: gond nélkül mászkált be a középvezetők és az alkalmazottak nyitva hagyott irodáiba, átnézte az ott lévő, piaci áron igencsak drágának számító legtitkosabb adatokat is, sőt az egyik barátját is behívta segíteni. Mindezt egy teljes hétig játszotta, aminek végére jó viszonyba lett az alkalmazottakkal, a biztonsági őrrel pedig már a keresztnevükön szólították egymást. Ha akarta volna, a cég összes iratát eladja valakinek nagyon sok pénzért - vagy csak deviánsat játszik, és ingyen felrakja a netre.

Háttér

Az utóbbi két eset azért nem történt meg, mivel az illető Colin Greenless volt, a Siemens Enterprise Communications biztonsági szakértője, aki épp egy sajátos kísérletet végzett - de lehetett volna bárki más. Colin az emberi tényezőt - biztonság technikai kifejezéssel a social engineeringet, vagyis az emberek természetes, bizalomra való hajlamát -, és nagyvállalatokra jellemző sok száz alkalmazottból eredő káoszt használta ki, hogy megszerezze a cég bizalmas adatait - kikerülve mindenféle informatikai, vagy biztonságtechnikai védelmet.

„A hi-tech biztonsági berendezések teljességgel védtelenek az effajta támadásokkal szemben, a legtöbb alkalmazottnak pedig fogalma sincs arról, mikor próbálják őket manipulálni” - nyilatkozta Greenless a kísérlet végeztével.

A dolog alapvetően arra épül, hogy az emberek tisztelik a magabiztosságot, és bíznak az általuk megszokott rendszerben - valamint alapvetően embertársaikban is (vagy ha ez utóbbit nem is, akkor se akarnak kötekedő bunkónak látszani segítőkész jófej helyett).

Tehát ha valaki egy tengerkék, használt overallban magabiztosan azt állítja, hogy ő egy vízvezeték szerelő, akkor az esetek nagy többségében ezt el is hiszik neki. Sőt, az emberei elme talál is valami reális magyarázatot az ott tartózkodására, még akkor is, ha ezt elviekben semmi nem indokolja („biztos a főnök hívta a csöpögő csap miatt...”). Ezzel magyarázható az is, hogy ha Budapesten magabiztosan felmutatunk egy bérletet, akkor az ellenőr azt megnézve továbbenged minket - még akkor is, ha a bérlet történetesen két éve lejárt.

Elméletek

A fenti példát megvizsgálva rájöhetünk, hogy nincs is olyan nehéz dolga annak, aki némi gazdasági kémkedésre kívánja adni a fejét - főleg akkor nem, ha az illető történetesen egy bosszúvágyó volt alkalmazott. Az akció után csupán némi kapcsolati háló szükséges a megfelelő vevő megtalálására - ugyanis a sarki kisboltban biztos nem fogadnak el gazdasági titkokat, két kiló kenyérért, meg némi szalámiért.

Azonban könnyen lehet, hogy a sokat emlegetett UD-s ügylet lehallgatóit ekképp helyezték el, vagy a titkosszolgálat néha ugyanígy dolgozik. Nem egy nagy ördöngösség, és még gyanakodni se fogunk - ellentétben azzal, ha véletlenül rányitnánk az este közepén egy full fekete, modern nindzsaruhában lévő csávóra, aki épp a főnök gépén matat valamit.

Az eset viszont roppant elgondolkodtató, ugyanis az effajta operáció látszólag megállíthatatlan. Mennyire elterjed az effajta iparai kémkedés, illetve adatlopás? Ez egy egyedi példa, vagy mások is a használják? Akár épp most is - mondjuk abban a bankban, ahol a pénzemet és a hozzáféréshez szükséges adatokat tárolják? A kérdések jogosak, a válaszokat viszont csak Isten tudja...