Najveća pljačka banke nije izvršena ni vatrenim ni hladnim oružjem, nije izvršena ni uz pomoć kompjutera. 10 miliona američih dolara je prenešeno sa jednog računa na drugi tako što je Stenli Rifkin jednostavno od par službenika banke zatražio da to učine. Obmana (social engineering) uz detaljno planiranje i nadarenost za ophodjenje sa ljudima je najmoćnije oružje u industrijskoj špijunaži. Da li je neko siguran?
Postoji jedna hakerska izreka koja kaže "Samo je ugašen kompjuter - siguran kompjuter". Ako ubacimo elemente obmane čitav taj koncept pada u vodu jer se polazi od osnove da je naslabija karika u kompjuterskoj bezbednosti u stvari ljudski faktor. Kaže se da "obmanjivač može ubediti osobu da uključi kompjuter i time ga učini dostupnim hakerima".
Obmanjivač može a i ne mora da poseduje tehničko znanje. Glavni ciljevi dobrog obmanjivača jeste da na prijatan i neupadljiv način dodje do informacija koje se Vama čine nevažnim. Česta je greška očekivanje da će neko želeti da od Vas dobije sve neophodne informacije. Dobar obmanjivač je strpljiv i vama naizgled nevažna informacija njemu predstavlja kockicu koju će kasnije sklopiti u veću i razumljiviju sliku. Postoji više "popularnih" metoda kojima se ovi ljudi služe:
Direktan napad
Radi se upravo o principu "tražite ono što vam treba". Mnoge su informacije danas nažalost zaštićene metodom "tajne lokacije" što znači da su informacije potpuno nezaštićene ukoliko znate gde se one nalaze. Tako je u mnogim firmama - službenici uglavnom neće pitati zašto su vam informacije potrebne ako znate pravi način da ih zatražite. Oni jednostavno ne očekuju da neko van preduzeća zna za interne procedure, izraze, protokole...
Da bi se izvršio napad ovakvim pristupom potrebno je kao i uvek pažljivo planiranje, dobro upoznavanje sa načinom funkcionisanja tog preduzeća i slično... Sve to uglavnom ne predstavlja veliki problem ljudima kojima su informacije potrebne.
"Žaoka" ili "Dozvolite da Vam pomognem"
Vrlo često, obmanjivač ume da sabotira odredjeni deo servisa i da se u ključnom momentu pojavi kao spasilac nudeći svoju pomoć. Ko je ne bi prihvatio kad zna da mu gori pod nogama? Nakon što se "problem" reši, igrajući na kartu zahvalnosti i poverenja, nije teško izvući potrebne informacije. Metoda je dobila naziv "žaoka" po istoimenom filmu iz 1973.
"Obrnuta žaoka" ili "Možete li mi pomoći?"
Obrnuta situacija u odnosu na "žaoku". Obmanjivač umesto da nudi rešenje, zapravo sebe predstavlja kao osobu u nevolji i igrajući na kartu ljudske dobrote i saosećanja dolazi do potrebnih informacija.
"Obrnuta obmana" ili "reverse social engineering"
Ovo se može tumačiti dvojako. U smislu napada, žrtva je ta koja zove napadača (znam, zvuči iskrivljeno ali nije retka pojava) ali se isto tako može smatrati postupcima koji slede nakon što potencijalna žrtva prepozna prevaru i trudi se da na svaki način dodje do što više informacija o napadaču.
Ko su potencijalni napadači?
Ukratko svako kome bi koristile vaše informacije ili godio vaš pad. Konkurencija često ume biti nemilosrdna i pokušaće na sve načine da bude iznad vas. Nezadovljni zaposleni su konstantna interna pretnja (Srbija je tempirana bomba što se ovog tiče), nedavno otpušteni službenik koji zna protokole i način funkcionisanja često to može iskoristiti u svoju korist.
Kako se zaštititi?
Gledajući stvar ovako, mnogi bi rekli da ne treba imati poverenja u druge, ne treba biti dobar i fin prema drugima. Mnogi, kao što sam pomenuo, veruju da je metod "tajne lokacije" dovoljna bezbednost. Takva zaštita je bila popularna u Americi u periodu prohibicije. Mesta na kojima se točio alkohol su bila vrlo tajna i niko nije očekivao da ste policajac ako znate gde je podrum i ako znate potrebnu lozinku. U današnje vreme, to je dečja igra.
Pravi pristup se može ostvariti kroz edukaciju (učiti, učiti i samo učiti) i obuku zaposlenih. Svest o važnosti informacija konstantno mora biti na najvišem nivou. U svetu postoje agencije koje se bave PenTestingom koje možete unajmiti i one će odraditi testiranje i procenu kompletne sigurnosti vašeg preduzeća.
Što se tiče teme, ukoliko vas nešto dodatno interesuje (dosta je ispušteno jer je tema preširoka) možete slobodno da pitate ili ako bi ste da pročitate dobru literaturu preporučujem Kevina D. Mitnicka jednog od najumešnijih hakera i osnivača organizacije "Defensive thinking" koja se bavi obukom preduzetnika u zaštiti informacija. On je napisao dve dobre knjige, prva je "Art of deception"
("Umetnost obmane" u izdanju "Mikro knjige") a druga je "Art of intrusion" (kod nas prevedena kao "Umeće provale" takodje u izdanju "Mikro knjige").
Srbija i region se trenutno nalaze u fazi razvoja kad se otvaraju vrata mnogim mogućnostima za ovakve igre. Sve češće u prvi plan izbijaju informacije o "visoko tehnološkom kriminalu" pa treba očekivati da će i industrijska špijunaža uskoro postati realnost. Pesimisti bi rekli: "koja industrija?" ali postoji isto jedna fina izreka posmatrana iz ugla bezbednosti informacija: "Baš onog trenutka kad se zapitate kome bi uopšte trebale informacije iz vašeg preduzeća - bar jedna osoba radi na tome da ih pribavi"
17.04.2008. 20:01
Spartak on 17.04.2008. 23:32
Zanimljivo. Znas kako se kaze, ono sto znam samo ja je tajna, ono sto znamo ti i ja moze biti tajna, ono sto znaju tri osobe je vec svima poznato ;)
Dobar tekst :)
Miss Cybernaut on 23.04.2008. 00:12
Heh...buduci da se ovde tesko prodaje sve neopipljivo (nisu ti informacije sir i kecap!) ne znam sta bi i koga interesovalo, ali da se moze doci do SVEGA, moze, nije problem. Nije ovo knowlegde-based society...
Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.
Facebook: /ITkutak Twitter: @ITkutak Mail: ITkutak.com@gmail.com
Sta Vi mislite?