Sosial manipulering - fortsatt hett

LARVIK/OSLO: Joseph «Donnie Brasco» Pistone befinner i en lei situasjon. I fem og en halv time har to typer fra New York-mafiaens Colombo-familie spurt ham ut. Hvem er du for en. Er du i lomma på FBI. Hvordan vet vi at du ikke jobber for politiet?

Han hadde ikke noe valg. Han måtte la seg avhøre, alt annet ville virket veldig mistenkelig. Pistolen ligger på bordet, peker rett mot ham.

Han spør tilbake. Setter hardt mot hardt.

- Dere har jo sittet i fengsel, hvordan kan jeg vite at lovens lange arm ikke har nådd ut til dere dere. Hvordan kom dere egentlig ut av fengselet. Hvorfor skal jeg stole på dere?

Etter de intense timene, konkluderes det med at de to ikke har noe på Donnie, rollefiguren Pistone de siste årene har spilt.

Men bak ethvert dilemma, er det et nytt dilemma. Donnie er krenket, han har blitt fornærmet. Det er brudd på kodeksen. Han må slå til en, ellers framstår han som veik. Det må tenkes fort.

Han måker til han ene. Hvem han kliner til, er ingen tilfeldighet. Den ene av de to er et inntatt medlem av familien, en «made guy», «wiseguy», «uomo d'onore». Å slå til ham ville vært en dødsdom, det er brudd på kodeksen. Den andre, derimot, er en aspirant som ikke foreløpig er godtatt av familien, han er ingen «made guy». Det er han som får seg en knyttneve susende mot ansiktet.

Herr «made guy» klapper selv til Donnie. Donnie går i bakken. Han kan ikke slå tilbake, det ville fortsatt være et brudd på reglene. I stedet sparker han til aspiranten, som ligger på gulvet nedenfor. Og der ligger de. Donnie får utdelt slag på slag fra mafia-medlemmet, selv ligger han og sparker tilsvarende på aspiranten.

Men til tross for basketaket, vinner han tillit. Han kommer etter hvert langt på innsiden miljøet. Helt til slutt, flere år senere, fører dette til arrestasjon av hundrevis av mafiamedlemmer og gangstere. Pistone var faktisk FBI-agent, dypt inkognito. Du har kanskje sett filmen om hans liv, der Johnny Depp påtar seg rollen som Pistone og Donnie.

Mester

I sikkerhetsmiljøet er Pistone en legende. I løpet av sine 27 år i FBI, jobbet han totalt 22 år «undercover». Han er en mester på sosial manipulering. Og sosial manipulering er på informasjonssikkerhetsbransjens lepper om dagen, kriminelle kan tjene gode penger på å lure seg til bankhvelvets nøkkel, og ettersom internett gjør de digitale hvelvene tilgjengelig over landegrensene, har sosial manipulering, enten i ikke-målrettet eller målrettet form, blitt en stadig større trussel for nettlivet.

Ikke minst mafiaen har beveget seg til nettet. Det er ikke så rart, nettet er en svært effektiv kanal for å loppe folk for penger.

- Når det gjelder sosial manipulering, befant Joseph Pistone helt i midten av det, sier Carlos Solari.

Han er cyberteknologidirektør i Computer Sciences Corporation, men har tidligere vært it-sjef i både FBI og Det Hvite Hus. Dog - til tross for sin karriere i FBI, var det først senere han fikk kjennskap til Pistone.

- Han var tross alt inkognito, påpeker Carlos.

Han mener ting ikke er så veldig forskjellig fra Pistones store operasjon på 70-tallet og til dagens internett-baserte fiendebilde.

- Teknologien har endret seg, men ting er ikke veldig forskjellig.

FBIs personsøkerlureri

Selv drev FBI med noen andre triks i Solaris tid som it-sjef, rundt 90-tallet. Personsøkere var hett en periode. Det hadde også de kriminelle fått det med seg, personsøkere var en effektiv måte å opprette kommunikasjon på. FBI skjønte fort at de kunne gå til telekomoperatøren med ransakelsesordre og på den måten finne ut når neste store forsendelse av illegale varer var i ferd med å entre landet.

Kartellene skjønte etter hvert FBIs taktikr, og beholdt de samme personsøkerene i stadig kortere intervaller. Ni måneder. Noen få måneder. Så noen få dager. De måtte rulleres hyppig for at det ikke skulle være så lett å knytte én personsøker til én kriminell.

Men personsøkere var ikke billig. Så FBI pønsket ut et nytt triks. De satte opp en butikk i Miami, som tilbydde gratis personsøkere mot bindingstid. Skurkene bet på agnet. FBI beholdt personsøkerenes unike identifikasjonsnumre, og vips kunne katt- og mus-leken fortsette.

I dag heter disse teknikkene nettfiske, men parallellen i metodikken er påfallende. Også for Pestoni på 70-tallet.

Pestoni gikk gjennom et to ukers FBI-kurs før han skulle infiltrere mafiaen. Så bygget han seg en rollefigur. Smykketyven Donnie Brasco. Bosatt i Manhattan, ikke i Little Italy, for i Little Italy kjenner alle alle, og hvis ingen vet hvem du er, har du lite troverdighet og tillit. Dette med smykketyv var ikke tilfeldig heller, smykketyver trenger ikke jobbe i team. Derfor ville det ikke vært så rart om byens kjeltringer forhørte seg med sine kontakter og fant ut at de ikke hadde hørt om Donnie.

Videre måtte Pistone lære seg faget. Lære seg å dirke safer. Lære seg ulike alarmsystemer. Lære seg å kjenne igjen smaragder og diamanter. Lære seg prisen. Både reell pris og gatepris. Deretter kjøpte han leilighet. Bil. Alt under aliaset Donnie Brasco.

Fisket i baren

New York har fem mafiafamilier. Disse hadde ulike puber de ofte dro på etter arbeid. Pistone begynte å vanke på disse. Det måtte han gjøre i flere måneder, før han fikk gjennombrudd.

- Du må vite hvem fienden er. Mafiaen har et nært forhold, og snakker ikke med «outsidere». De er veldig mistenksomme, og du kan ikke bare gå bort og si «hei, jeg er juveltyv».

I seks til sju måneder var primært samtaletema hva han skulle spise og drikke. På den ene restauranten han ofte frekventerte, til dels var den nokså nærme der han bodde, holdt Lucchese-familien til. Et av medlemmene eide bedriften, og onsdag og torsdag pleide de å komme dit med kjærestene sine. Mandag til fredag henger mafia-gansterne med kjæresten sin, lørdag til søndag er forbeholdt familien.

Denne ene kvelden var alle samlet i lystig lag, unntatt en av gangsterne. Dama hans var dog der. Mens Pistone satt i baren, gikk hun på do. Da hun kom tilbake, sa hun hei og gikk videre. Pistone var kjapt ute med å presisere overfor bartenderen at hun hadde tatt kontakt, ikke han. Det er nok en del av kodeksen, du skal ikke ha kontakt med gangsternes kjærester.

Flere kvelder ble det slik. Hun kom alene. Sa hei. Av og til litt mer samtale. Pistone presiserte alltid overfor bartenderen etterpå, at han ikke hadde tatt initiativ til kontakt. Til slutt måtte bartenderen flire litt. Han lente seg over baren, så Pistone i øynene, og fortalte: «look, her boyfriend went bye-bye. You wanna talk to her, you’re free to talk to her.» Pistone skjønte umiddelbart at kjæresten var blitt drept.

Samtidig hadde Pistone klart å plante et frø i hodet på bartenderen. Bartenderen forstod at Pistone kjente til mafia-kodeksen. De begynte etter hvert å prate sammen om mer enn bare hva som skal spises og drikkes. Det gikk i sport. Annet. De hilste på hverandre. Hei, jeg er Don. Hei, mitt navn er Charlie. Mafiaen hilser på hverandre kun med fornavn eller kallenavn, må vite, nok et tegn til Charlie at Don kjenner sakene.

Pakke

Etter et par uker ble Pistone invitert med på en gambling-klubb av Charlie etter barens stengetid. Pistone ble presentert for litt ulike folk. «Dette er Don, det er en venn av meg». Slik ble kveldene en stund. Men den tiende måneden inne i inkognito-oppdraget bestemte Pistone seg for å slå til. Han møter opp i baren, har med seg en pakke smykker. Han gir pakken til Charlie, men sier ingenting om at det er smykker i den. Alt han sier er at han vil ha 15.000 dollar for den. Charlie tar den, og putter den under baren. Prisen 15.000 er nøye uttenkt. Det er gateverdi, pluss mulighet for Charlie til å putte litt provisjon på toppen.

Det går tre uker. Pistone spør ikke om pakken. Charlie sier ikke noe om pakken. De to fortsetter å spille terning på klubb etter stengetid. Men en kveld Pistone går inn på baren, sier Charlie «hei, Don, noen etterlot denne konvolutten til deg.» Når Pistone åpner konvolutten vel hjemme, viser den seg å inneholde penger. Pistone, «Don», har kommet langt. Nå vet Charlie at Don trolig er en juveltyv. Og snakken glir over fra mat, drikke, sport og terninger og over til juveler.

Pistone blir også introdusert for en fyr fra Colombo-familien, Jilly Greca. En dag blir han invitert til fyrens klubb. Det førte til at han begynte å henge med fyrens gjeng. Etter å ha hengt med gjengen en stund, kommer to karer fra Colombia-familien ut av fengsel. De er sultne på å tjene penger, og har to konkrete steder de vil rane. Så drar gjengen på spaning, og Pistone sjekker ut alarmsystemet.

- Jeg forteller dem sånn og sånn, og at denne alarmen kan jeg ikke. Du må være en virkelig person når du jobber inkognito, du kan ikke late som du vet alt, for ingen vet alt.

Persisk teppe

Dette fører til at han blir beordret til en klubb.

- Donnie, hvis du ikke overbeviser meg om at du er en såpass god tyv som du sier, er eneste måten du kommer ut av dette lokalet via det teppet der, sier Jilly Greca.

Håper det i det minste er et persisk teppe, tenker Pistone, før han altså går gjennom et fem timers maraton-forhør.

Den påfølgende slåsskampen brytes opp. Pistone vet han ikke kan henge mer med Colombo-familien, kjemien er ødelagt. Det var da Pestoni kom i kontakt med Bonanno-familien. En familie han ble svært nær med, til og med innviet som ekte mafia-mann, en «wiseguy», «made man».

Etter seks og et halvt år, må FBI avbryte operasjonen etter at Pistone har fått i oppdrag å drepe et annet mafia-medlem. Det er et oppdrag du ikke sier nei til i mafiaen, du forhandler ikke en gang pris. Du sier bare ja. Og selv om Pistone sikkert har gjort mye på gråsiden av loven opp igjennom årene «undercover», er det naturligvis litt komplisert å være lovforkjemper på innsiden av et kriminelt syndikat. Den store nei-grensen settes ved drap.

- Vold er uunngåelig i en slik verden. Akkurat som i den vanlige verden, vil det alltid være sjalusi og misunnelse, sier Pistone.

Redd for hai, brusautomaten farlig

Hva har så denne røverhistorien fra 70-tallet å gjøre med internett? Det tok selv Carlos Solari litt tid å se sammenhengen. Men så ble det åpenbart. Donnie Brasco i baren - det er målrettet nettfiske i den fysiske verden. Deretter er det slag på slag med sosial manipulering hele veien.

Mange it-selskaper har fått sikkerhetsbrudd på tilsvarende vis. Sist ut kunne Telenor fortelle at de har fått skurker på innsiden av brannmuren på denne måten, men lista er lang. Ikke minst har det velkjente sikkerhetsselskapet RSA selv blitt angrepet denne veien.

Sosial manipulering har vært på sikkerhetsbransjens lepper i årevis, ikke minst på diverse it-sikkerhetskonferanser opp gjennom åra, slik som Telenor Security Awareness Tour anno 2008, Watchoms Paranoia i 2009, Hackcon i 2010, RSA-konferansen i London i 2011, Norsis’ «Sikkert nok!» i 2012 og ikke minst på Informasjonssikkerhetsforums (ISF) høstkonferanse denne uka i Larvik.

Det er mange som går fem på, det er lett å la seg lure.

- Om du skulle sammenligne mennesker med et operativsystem, ville vi kanskje vært Windows 95, sier Tim Harwood fra SANS.

Han påpeker at bedrifter kanskje bruker 100 dollar i året per ansatt på datautstyr. Per person brukes det kanskje 5-10 dollar på kunnskapsutvikling.

- I gamle dager var den store faren løven. Det du måtte gjøre, var å løpe fortere enn personen du var sammen med. Men folk overvurderer visuell risiko og undervurderer risiko de ikke kan se. På stranden, hva er måten du er mest bekymret for å dø på? Mange vil svare å bli spist av en stor hvithai, men oddsene for det er faktisk 1 til 251.800.000. I USA er det dobbelt så sannsynlig, med 1 til 112.000.000, at du blir drept av en brusautomat. Du får ikke brusen, du rister på automaten, og den faller over deg, sier Harwood, og legger til at dette ikke er statistikk som er funnet på.

Master om manipulering

Ernst Kristian Henningsen har skrevet en masteroppgave ved Høgskolen i Gjøvik om sosial manipulering, og i prosessen gjort seg mange betraktninger om temaet.

- Vi liker å hjelpe hverandre, og å gjøre mot andre som andre gjør mot oss. Holder jeg opp døren for deg, så gjør du det for meg. Men hva om jeg åpner den første, ulåste døren, og blir med deg bort mot neste dør som er låst? Ville du da spurt «unnskyld, jobber du her?»

Det samme brukes i valgkampen, påpeker han. Den rosen eller de bollene føles kanskje ikke som all verden, men tar man imot rosen føler man gjerne en forpliktelse til å stå igjen og høre på hva personen har å si. Gjengjeldelse, ikke nødvendigvis av samme verdi.

- Jeg er selv veldig bevisst på presset man får, men klarer ikke selv å gå videre. Selv om det jo ikke er riktig at noen som gir den en vannflaske skal kunne ta ti minutter av din tid, for din tid er verdt mer enn en vannflaske.

Et typisk eksempel på sosial manipulering i en bedrift, ville for eksempel vært om bedriften hadde en bakdør. Kanskje folk kommer ut for å røye. Så kan du stå og snakke med folk, bygge tillit. Si «i går var en drittdag, men i dag er en bra dag på jobben!» Smalltalk. Du har jo tid til å stå der lenge, men på et eller annet tidspunkt skal de inn. Da er det bare å følge etter. Det skal en del til for at de stopper og spør deg hvem du er. Kanskje de egentlig burde vite hvem du er, og da hadde det blitt flaut å spørre.

- Du utnytter tilliten, og da har du nådd første mål. Så er det tilbake til start igjen.

Så du har kommet inn i bygningen. Hvem er du, spør kanskje noen. Jeg er fra helpdesk, svarer du.

- Du har en grunn, og du må også ha en grunn til å gjøre det du gjør. Hvis du står og prøver å dirke opp serverrommet, må du ha en grunn. Den trenger ikke være legitim. Tester gjennomført viser at det handler ikke om den logiske grunnen. Om den som forstår svaret ikke forstår sammenhengen, kanskje han føler seg dum og ikke tør spørre av flauhet.

Det er det samme med epost, påpeker Henningsen, men da går det litt kjappere. Du kan samle info om personen og legge ved i eposten, så skaper det større tillit. Det handler bare om å få personen til å åpne et vedlegg med ondsinnet programvare. En digital versjon av den analoge trojanske hesten Donnie Brasco.