Łamanie warstwy ósmej

Chyba nawet dzieci wiedzą, kim jest haker wszech czasów - Kevin Mitnick. Ci, którzy przeczytali jego "Art of deception", zorientowali się, że oprócz umiejętności czysto technicznych korzystał z innego narzędzia, może nawet istotniejszego niż specjalistyczna wiedza. Jeszcze przed paroma laty było o nim niemal cicho. Teraz o inżynierii społecznej, zwanej też socjotechniką, zrobiło się naprawdę głośno.

Chyba nawet dzieci wiedzą, kim jest haker wszech czasów - Kevin Mitnick. Ci, którzy przeczytali jego "Art of deception", zorientowali się, że oprócz umiejętności czysto technicznych korzystał z innego narzędzia, może nawet istotniejszego niż specjalistyczna wiedza. Jeszcze przed paroma laty było o nim niemal cicho. Teraz o inżynierii społecznej, zwanej też socjotechniką, zrobiło się naprawdę głośno.

Powszechnie wiadomo, że każdy system bezpieczeństwa jest tak słaby, jak jego najsłabsze ogniwo. Na nic więc mogą zdać się warte setki tysięcy euro firewalle czy IPS-y, kiedy na końcu łańcucha znajdzie się najbardziej niezabezpieczony i podatny na różnego rodzaju oddziaływania element - człowiek. Nie bez przyczyny więc jest on nazywany warstwą ósmą modelu OSI/ISO.

Niepokojące jest, że niewielu menedżerów działów bezpieczeństwa IT zdaje sobie sprawę z powagi zagrożenia. Spowodowane jest to zapewne dość dużym oddaleniem inżynierii społecznej od IT. Poza słowem "inżynieria" nie ma tutaj prawie nic technicznego. Dlaczego prawie? O tym trochę później. Inżynieria społeczna bywa też określana mianem dywersji psychologicznej. Tak czy siak wszystko to czysta zabawa z umysłem oraz stereotypami i przyzwyczajeniami człowieka. W oczach krakera jest to narzędzie, które pozwala na osiągnięcie tego samego celu innymi drogami. Postarajmy się zatem nieco przybliżyć zagrożenia, jakie z punktu widzenia bezpieczeństwa IT może nieść ten nietechniczny z pozoru wątek.

Homo homini lupus est

Atak na warstwę 8

Atak na warstwę 8

Ludzie, mimo że są znacznie bardziej podejrzliwi niż np. 10 lat temu, z reguły traktują pewne zachowania jako charakterystyczne dla pewnych zawodów, funkcji społecznych itp. W odniesieniu do tych zachowań codzienna ostrożność zanika. Za przykład może posłużyć osoba w białym kitlu spacerująca po szpitalnym korytarzu ze stetoskopem na szyi i w drewniakach na nogach. Dla lepszego wrażenia dodajmy jeszcze okulary. Każdy bez zastanawiania powie, że ma do czynienia z lekarzem. Jeśli dodatkowo na ścianie gabinetu wiszą "ładne" dyplomy z "ładnymi" pieczątkami, to damy temu człowiekowi pokroić nawet własną twarz (przypadek Hanny Bakuły). Podobne mechanizmy "podszywania się" wykorzystują również krakerzy, a ich celem jest uzyskanie od "czynnika ludzkiego" możliwie wielu informacji, tak aby ten nie zorientował się, że jest obiektem ataku psychologicznego.

Każdy adept inżynierii społecznej powinien sięgnąć po znakomitą książkę Roberta B. Cialdiniego "Wywieranie wpływu na ludzi. Teoria i praktyka". Tytuł brzmi bardzo amerykańsko i książka wydaje się typowym poradnikiem dla naiwnych. Wcale jednak tak nie jest. Pan Cialdini może okazać się bardzo pomocny w usprawnieniu pracy "inżynierskiej". Definiuje sześć podstawowych reguł, którymi w swoich postępowaniach kierują się ludzie. Wykorzystując je możemy łatwiej wywoływać pożądane zachowania obiektu ataku.

Wzajemność jest podstawową regułą, którą wykorzystują atakujący. Polega ona na tym, że otrzymując coś, nawet niewielkiego i na pozór nieznaczącego (np. uśmiech), czujemy się zobowiązani do odpłacenia w podobny sposób. Ta zasada postępowania wpajana jest nam od dziecka i stała się naturalnym elementem codziennego postępowania. Osoby, które opierają się na wzajemności, często uważane są za aspołeczne i wykluczane.

Fazy ataku socjotechnicznego

Fazy ataku socjotechnicznego

Druga z reguł wg Cialdiniego to konsekwencja. Często utożsamiana jest z uporem. Polega na tym, że po podjęciu decyzji o rozpoczęciu określonych działań bardzo niechętnie ją weryfikujemy - także z uwagi na naciski zewnętrzne. Jej przeciwieństwo, czyli niekonsekwencja uważana jest za poważną ułomność charakteru.

Kolejna dziura warstwy ósmej to tzw. dowód społeczny. Potocznie określana mianem "owczego pędu". Kiedy widzimy, jak postępują inni, chcemy robić to samo wychodząc z założenia, że "jeżeli większość tak robi, to na pewno nie może to być złe". Zwłaszcza jeżeli znajdujemy się w sytuacji, w której nie do końca wiemy jak się zachować. Ponadto, widząc nawet negatywne zachowania, nie potępiamy ich, jeżeli tak zachowuje się większa grupa ludzi.

Następna w kolejności sympatia może również stać się orężem w rękach krakera. Chodzi tu o to, że bardziej jesteśmy skłonni realizować prośby pochodzące od osób, które budzą naszą sympatię lub które przynajmniej trochę (choćby z widzenia) znamy. Sympatia może wynikać z wielu różnych czynników, np. tembru głosu przyjemnego dla ucha, podobieństw w poglądach, stylu życia, pochlebstw. Poza tym jak wiemy z "Rejsu", lubimy to, co już znamy.

Bardzo silnie oddziałują na nas także osoby, które z jakiegoś powodu traktujemy jako autorytet lub uważamy, że należy im się szacunek. To właśnie z autorytetem wiąże się piąta już reguła. Znakomicie widać to w relacjach student - wykładowca. Studenci pierwszy raz pojawiając się na wykładach nie znają swojego nauczyciela, a mimo to jeżeli ten zwróci się do nich z jakąś prośbą niemalże na pewno zostanie ona spełniona. Ponadto wielu ludzi lubi być komuś posłusznymi, ponieważ posłuszeństwo wpajane jest od dziecka (dzieci wobec rodziców, uczniowie wobec nauczycieli, pracownicy wobec przełożonych).

Wreszcie ostatnia z reguł to niedostępność. Mówi ona, że skłonni jesteśmy do przypisywania większej wartości rzeczom czy celom, do których trudno nam się zbliżyć. Sztandarowym wręcz przykładem realizacji tej reguły są wszelkiego rodzaju "wyprzedaże ostatnich sztuk" produktów. Uznajemy, że jeżeli teraz tej rzeczy nie kupimy, to już jej nigdzie nie dostaniemy. I wpadamy w sidła zastawione przez psychologów sprzedaży.

W kategoriach metodologii fazy działań "inżynieryjnych" można traktować w sposób podobny jak w przypadku typowych ataków na systemy informatyczne, gdzie najpierw należy przeprowadzić rekonesans, potem poznać słabości atakowanych zasobów, następnie przygotować narzędzia i wreszcie przypuścić właściwy atak.

Ogólna nazwa "inżynieria społeczna" to worek, do którego wrzucane są rozmaite kawałki układanki. Potocznie uważa się, że jest to nawiązywanie bezpośredniego kontaktu z innym człowiekiem w drodze rozmowy telefonicznej lub osobiście. Nic bardziej mylnego. Obecnie stosunkowo niewielki procent "inżynierów" ucieka się do tej najbardziej podstawowej formy działania. Większość korzysta z narzędzi, które są szybkie i masowe w działaniu. Spam, phishing, ostatnio także pojawiające się w sieciach P2P jeszcze zupełnie cieplutkie filmy, które po ściągnięciu nagle wymagają sterowników dostępnych z takiej, a takiej strony - to typowe narzędzia social engineeringu. Zacznijmy jednak od podstawowej formy kontaktu - bezpośredniej interakcji z drugim człowiekiem i rozmowy.

<hr>

Piotr Walas, dyrektor techniczny firmy Panda Software

W wielu wypadkach pracownicy firm nie zdają sobie sprawy, jak potężne są technologie informacyjne, których na co dzień używają, oraz jaką wartość posiadają dane, którymi się posługują. Aby uchronić się przed stratami spowodowanymi przez ataki z użyciem inżynierii społecznej, należy - oprócz posiadania spójnej polityki bezpieczeństwa i skutecznych środków technicznych do walki z zagrożeniami IT - prowadzić ustawiczne działania mające na celu edukację użytkowników w zakresie świadomego posługiwania się informacją i przygotować ich na ataki. Socjotechnika wykorzystuje niezdolność ludzi do przystosowywania się do nowych warunków życia, w którym na dobre zagościły technologie informacyjne. A dodatkowo rosnąca zależność naszej kultury od informacji sprawia, że inżynieria społeczna staje się jednym z większych zagrożeń dla systemów bezpieczeństwa. Dlatego podejmowane działania, które ograniczą to zjawisko, mają tym większe znaczenie, im bardziej idea społeczeństwa informacyjnego staje się naszą codziennością.


TOP 200