Social engineering

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Social engineering - Kevin D. Mitnick - Umetnost obmaneNajveća pljačka banke nije izvršena ni vatrenim ni hladnim oružjem, nije izvršena ni uz pomoć kompjutera. 10 miliona američih dolara je prenešeno sa jednog računa na drugi tako što je Stenli Rifkin jednostavno od par službenika banke zatražio da to učine. Obmana (social engineering) uz detaljno planiranje i nadarenost za ophodjenje sa ljudima je najmoćnije oružje u industrijskoj špijunaži. Da li je neko siguran?

Postoji jedna hakerska izreka koja kaže "Samo je ugašen kompjuter - siguran kompjuter". Ako ubacimo elemente obmane čitav taj koncept pada u vodu jer se polazi od osnove da je naslabija karika u kompjuterskoj bezbednosti u stvari ljudski faktor. Kaže se da "obmanjivač može ubediti osobu da uključi kompjuter i time ga učini dostupnim hakerima".

Obmanjivač može a i ne mora da poseduje tehničko znanje. Glavni ciljevi dobrog obmanjivača jeste da na prijatan i neupadljiv način dodje do informacija koje se Vama čine nevažnim. Česta je greška očekivanje da će neko želeti da od Vas dobije sve neophodne informacije. Dobar obmanjivač je strpljiv i vama naizgled nevažna informacija njemu predstavlja kockicu koju će kasnije sklopiti u veću i razumljiviju sliku. Postoji više "popularnih" metoda kojima se ovi ljudi služe:

Direktan napad 

Radi se upravo o principu "tražite ono što vam treba". Mnoge su informacije danas nažalost zaštićene metodom "tajne lokacije" što znači da su informacije potpuno nezaštićene ukoliko znate gde se one nalaze. Tako je u mnogim firmama - službenici uglavnom neće pitati zašto su vam informacije potrebne ako znate pravi način da ih zatražite. Oni jednostavno ne očekuju da neko van preduzeća zna za interne procedure, izraze, protokole... 

Da bi se izvršio napad ovakvim pristupom potrebno je kao i uvek pažljivo planiranje, dobro upoznavanje sa načinom funkcionisanja tog preduzeća i slično... Sve to uglavnom ne predstavlja veliki problem ljudima kojima su informacije potrebne.

"Žaoka" ili "Dozvolite da Vam pomognem" Art of intrusion - Kevin D. Mitnick - Umeće provale - Umetnost povale

Vrlo često, obmanjivač ume da sabotira odredjeni deo servisa i da se u ključnom momentu pojavi kao spasilac nudeći svoju pomoć. Ko je ne bi prihvatio kad zna da mu gori pod nogama? Nakon što se "problem" reši, igrajući na kartu zahvalnosti i poverenja, nije teško izvući potrebne informacije. Metoda je dobila naziv "žaoka" po istoimenom filmu iz 1973.

"Obrnuta žaoka"  ili "Možete li mi pomoći?"

Obrnuta situacija u odnosu na "žaoku". Obmanjivač umesto da nudi rešenje, zapravo sebe predstavlja kao osobu u nevolji i igrajući na kartu ljudske dobrote i saosećanja dolazi do potrebnih informacija.

"Obrnuta obmana" ili "reverse social engineering" 

Ovo se može tumačiti dvojako. U smislu napada, žrtva je ta koja zove napadača (znam, zvuči iskrivljeno ali nije retka pojava) ali se isto tako može smatrati postupcima koji slede nakon što potencijalna žrtva prepozna prevaru i trudi se da na svaki način dodje do što više informacija o napadaču. 

Ko su potencijalni napadači? 

Ukratko svako kome bi koristile vaše informacije ili godio vaš pad. Konkurencija često ume biti nemilosrdna i pokušaće na sve načine da bude iznad vas. Nezadovljni zaposleni su konstantna interna pretnja (Srbija je tempirana bomba što se ovog tiče), nedavno otpušteni službenik koji zna protokole i način funkcionisanja često to može iskoristiti u svoju korist.  

hook - udica - obmana - nemoj da se upecašKako se zaštititi? 

Gledajući stvar ovako, mnogi bi rekli da ne treba imati poverenja u druge, ne treba biti dobar i fin prema drugima. Mnogi, kao što sam pomenuo, veruju da je metod "tajne lokacije" dovoljna bezbednost. Takva zaštita je bila popularna u Americi u periodu prohibicije. Mesta na kojima se točio alkohol su bila vrlo tajna i niko nije očekivao da ste policajac ako znate gde je podrum i ako znate potrebnu lozinku. U današnje vreme, to je dečja igra.

Pravi pristup se može ostvariti kroz edukaciju (učiti, učiti i samo učiti) i obuku zaposlenih.  Svest o važnosti informacija konstantno mora biti na najvišem nivou. U svetu postoje agencije koje se bave PenTestingom koje možete unajmiti i one će odraditi testiranje i procenu kompletne sigurnosti vašeg preduzeća.

Što se tiče teme, ukoliko vas nešto dodatno interesuje (dosta je ispušteno jer je tema preširoka) možete slobodno da pitate ili ako bi ste da pročitate dobru literaturu preporučujem Kevina D. Mitnicka jednog od najumešnijih hakera i osnivača organizacije "Defensive thinking" koja se bavi obukom preduzetnika u zaštiti informacija. On je napisao dve dobre knjige, prva je "Art of deception"
 ("Umetnost obmane" u izdanju "Mikro knjige") a druga je "Art of intrusion" (kod nas prevedena kao "Umeće provale" takodje u izdanju "Mikro knjige").

Srbija i region se trenutno nalaze u fazi razvoja kad se otvaraju vrata mnogim mogućnostima za ovakve igre. Sve češće u prvi plan izbijaju informacije o "visoko tehnološkom kriminalu" pa treba očekivati da će i industrijska špijunaža uskoro postati realnost. Pesimisti bi rekli: "koja industrija?" ali postoji isto jedna fina izreka posmatrana iz ugla bezbednosti informacija: "Baš onog trenutka kad se zapitate kome bi uopšte trebale informacije iz vašeg preduzeća - bar jedna osoba radi na tome da ih pribavi

17.04.2008. 20:01

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Spartak on 17.04.2008. 23:32

Zanimljivo. Znas kako se kaze, ono sto znam samo ja je tajna, ono sto znamo ti i ja moze biti tajna, ono sto znaju tri osobe je vec svima poznato ;)
Dobar tekst :)

Miss Cybernaut on 23.04.2008. 00:12

Heh...buduci da se ovde tesko prodaje sve neopipljivo (nisu ti informacije sir i kecap!) ne znam sta bi i koga interesovalo, ali da se moze doci do SVEGA, moze, nije problem. Nije ovo knowlegde-based society...

Sta Vi mislite?

:

:

:

SLAVKO ILIĆ

Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.

Facebook: /ITkutak
Twitter: @ITkutak
Mail: ITkutak.com@gmail.com