Najveća pljaÄka banke nije izvršena ni vatrenim ni hladnim oružjem, nije izvršena ni uz pomoć kompjutera. 10 miliona ameriÄih dolara je prenešeno sa jednog raÄuna na drugi tako što je Stenli Rifkin jednostavno od par službenika banke zatražio da to uÄine. Obmana (social engineering) uz detaljno planiranje i nadarenost za ophodjenje sa ljudima je najmoćnije oružje u industrijskoj špijunaži. Da li je neko siguran?
Postoji jedna hakerska izreka koja kaže "Samo je ugašen kompjuter - siguran kompjuter". Ako ubacimo elemente obmane Äitav taj koncept pada u vodu jer se polazi od osnove da je naslabija karika u kompjuterskoj bezbednosti u stvari ljudski faktor. Kaže se da "obmanjivaÄ može ubediti osobu da ukljuÄi kompjuter i time ga uÄini dostupnim hakerima".
ObmanjivaÄ može a i ne mora da poseduje tehniÄko znanje. Glavni ciljevi dobrog obmanjivaÄa jeste da na prijatan i neupadljiv naÄin dodje do informacija koje se Vama Äine nevažnim. ÄŒesta je greška oÄekivanje da će neko želeti da od Vas dobije sve neophodne informacije. Dobar obmanjivaÄ je strpljiv i vama naizgled nevažna informacija njemu predstavlja kockicu koju će kasnije sklopiti u veću i razumljiviju sliku. Postoji više "popularnih" metoda kojima se ovi ljudi služe:
Direktan napad
Radi se upravo o principu "tražite ono što vam treba". Mnoge su informacije danas nažalost zaštićene metodom "tajne lokacije" što znaÄi da su informacije potpuno nezaštićene ukoliko znate gde se one nalaze. Tako je u mnogim firmama - službenici uglavnom neće pitati zašto su vam informacije potrebne ako znate pravi naÄin da ih zatražite. Oni jednostavno ne oÄekuju da neko van preduzeća zna za interne procedure, izraze, protokole...
Da bi se izvršio napad ovakvim pristupom potrebno je kao i uvek pažljivo planiranje, dobro upoznavanje sa naÄinom funkcionisanja tog preduzeća i sliÄno... Sve to uglavnom ne predstavlja veliki problem ljudima kojima su informacije potrebne.
"Žaoka" ili "Dozvolite da Vam pomognem"
Vrlo Äesto, obmanjivaÄ ume da sabotira odredjeni deo servisa i da se u kljuÄnom momentu pojavi kao spasilac nudeći svoju pomoć. Ko je ne bi prihvatio kad zna da mu gori pod nogama? Nakon što se "problem" reši, igrajući na kartu zahvalnosti i poverenja, nije teško izvući potrebne informacije. Metoda je dobila naziv "žaoka" po istoimenom filmu iz 1973.
"Obrnuta žaoka" ili "Možete li mi pomoći?"
Obrnuta situacija u odnosu na "žaoku". ObmanjivaÄ umesto da nudi rešenje, zapravo sebe predstavlja kao osobu u nevolji i igrajući na kartu ljudske dobrote i saosećanja dolazi do potrebnih informacija.
"Obrnuta obmana" ili "reverse social engineering"
Ovo se može tumaÄiti dvojako. U smislu napada, žrtva je ta koja zove napadaÄa (znam, zvuÄi iskrivljeno ali nije retka pojava) ali se isto tako može smatrati postupcima koji slede nakon što potencijalna žrtva prepozna prevaru i trudi se da na svaki naÄin dodje do što više informacija o napadaÄu.
Ko su potencijalni napadaÄi?
Ukratko svako kome bi koristile vaše informacije ili godio vaš pad. Konkurencija Äesto ume biti nemilosrdna i pokušaće na sve naÄine da bude iznad vas. Nezadovljni zaposleni su konstantna interna pretnja (Srbija je tempirana bomba što se ovog tiÄe), nedavno otpušteni službenik koji zna protokole i naÄin funkcionisanja Äesto to može iskoristiti u svoju korist.
Kako se zaštititi?
Gledajući stvar ovako, mnogi bi rekli da ne treba imati poverenja u druge, ne treba biti dobar i fin prema drugima. Mnogi, kao što sam pomenuo, veruju da je metod "tajne lokacije" dovoljna bezbednost. Takva zaštita je bila popularna u Americi u periodu prohibicije. Mesta na kojima se toÄio alkohol su bila vrlo tajna i niko nije oÄekivao da ste policajac ako znate gde je podrum i ako znate potrebnu lozinku. U današnje vreme, to je deÄja igra.
Pravi pristup se može ostvariti kroz edukaciju (uÄiti, uÄiti i samo uÄiti) i obuku zaposlenih. Svest o važnosti informacija konstantno mora biti na najvišem nivou. U svetu postoje agencije koje se bave PenTestingom koje možete unajmiti i one će odraditi testiranje i procenu kompletne sigurnosti vašeg preduzeća.
Što se tiÄe teme, ukoliko vas nešto dodatno interesuje (dosta je ispušteno jer je tema preširoka) možete slobodno da pitate ili ako bi ste da proÄitate dobru literaturu preporuÄujem Kevina D. Mitnicka jednog od najumešnijih hakera i osnivaÄa organizacije "Defensive thinking" koja se bavi obukom preduzetnika u zaštiti informacija. On je napisao dve dobre knjige, prva je "Art of deception"
("Umetnost obmane" u izdanju "Mikro knjige") a druga je "Art of intrusion" (kod nas prevedena kao "Umeće provale" takodje u izdanju "Mikro knjige").
Srbija i region se trenutno nalaze u fazi razvoja kad se otvaraju vrata mnogim mogućnostima za ovakve igre. Sve ÄešÄ‡e u prvi plan izbijaju informacije o "visoko tehnološkom kriminalu" pa treba oÄekivati da će i industrijska špijunaža uskoro postati realnost. Pesimisti bi rekli: "koja industrija?" ali postoji isto jedna fina izreka posmatrana iz ugla bezbednosti informacija: "Baš onog trenutka kad se zapitate kome bi uopšte trebale informacije iz vašeg preduzeća - bar jedna osoba radi na tome da ih pribavi"
17.04.2008. 20:01
Spartak on 17.04.2008. 23:32
Zanimljivo. Znas kako se kaze, ono sto znam samo ja je tajna, ono sto znamo ti i ja moze biti tajna, ono sto znaju tri osobe je vec svima poznato ;)
Dobar tekst :)
Miss Cybernaut on 23.04.2008. 00:12
Heh...buduci da se ovde tesko prodaje sve neopipljivo (nisu ti informacije sir i kecap!) ne znam sta bi i koga interesovalo, ali da se moze doci do SVEGA, moze, nije problem. Nije ovo knowlegde-based society...
Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.
Facebook: /ITkutak Twitter: @ITkutak Mail: ITkutak.com@gmail.com
Sta Vi mislite?