Hakowanie ludzkich umysłów - droga do naszych komputerów
W jednej ze scen w filmie „Naciągacze”(„Matchstick Men”), główny bohater, w którego postać wcielił się Nicolas Cage, rozmawia z aktorką Alison Lohman:
Lohman: Nie sprawiasz wrażenia złego człowieka.
Cage: I dlatego jestem w tym dobry.
W tym dialogu zawarta jest fundamentalna zasada wszelkich nieczystych zagrywek, niezależnie od tego, czy mają one miejsce w świecie cyfrowym, czy rzeczywistym –. wykorzystanie podstępu do uśpienia czyjejś czujności jest dla złodzieja bardzo pomocne. Hakerzy w swoim żargonie nazywają to inżynierią społeczną.
Inżynieria społeczna polega na hakowaniu ludzkiego umysłu, czyli na czymś, co jest dużo prostsze niż wyszukiwanie nowych luk bezpieczeństwa w oprogramowaniu i wykorzystywanie ich jako bramy do korporacji. Takie słabe punkty w software, zwane punktami zero-days, mogą kosztować na czarnym rynku hakerów dziesiątki tysięcy dolarów. Te pieniądze można zaoszczędzić, jeżeli któregoś z użytkowników uda się podstępem wykorzystać do zainstalowania wirusa na jego własnym komputerze. Tak naprawdę nie ma sensu wyważać zamka, jeżeli możesz kogoś namówić, żeby po prostu wpuścił cię do domu.
Jaki jest przepis na dobry atak z wykorzystaniem inżynierii społecznej? Kluczową sprawą jest ludzka ciekawość, którą można sprowokować na wiele sposobów - przykładowo przykuwającym uwagę postem na Facebook’u lub emailem od sławnego artysty z tytułem odnośnie branży twojej firmy. Jednym z najgłośniejszych ataków ostatnich lat był atak na RSA, który rozpoczął się, gdy jeden z pracowników otworzył maila zatytułowanego „201. Recruitment Plan” („Plan zatrudniania pracowników na rok 2011”). Uruchomienie załącznika tej wiadomości spowodowało szereg zmian, które doprowadziły do wycieku tajnych informacji. Podczas gdy hakowanie systemów komputerowych wymaga wiedzy na temat słabych punktów oprogramowania, to do hakowania ludzkich umysłów potrzeba innego rodzaju wiedzy – przede wszystkim w jakiego rodzaju emaile i linki potencjalna ofiara może kliknąć.
Jednym ze sposobów na zdobycie tych informacji jest uwzględnienie pracy zawodowej i zainteresowań celu hakera, a chyba nie ma lepszego źródła danych na ten temat niż wszelkie portale społecznościowe. Samo przejrzenie profilu na LinkedIn odkrywa historię zatrudnienia i zajmowane stanowisko, a jeden rzut okiem na konto na Facebook’u ujawnia sieć znajomych oraz hobby. Mimo tego, że w ostatnich latach portale społecznościowe znacznie poprawiły kontrolę dostępu do prywatnych danych, wielu użytkowników nie korzysta z tych mechanizmów lub nieumyślnie sprawia, że są one bezużyteczne przez dodanie do grona znajomych kogoś, kogo tak naprawdę nie znają. Badanie wykazało, że statystyczny fałszywy profil na Facebooku posiada średnio 72. „znajomych” – ponad 5 razy więcej niż typowy użytkownik portalu.
Hakowanie ludzkich umysłów przybiera również inne formy. Przykładowo ulubioną techniką hakerów jest optymalizacja wyszukiwarek internetowych (SEO –. search engine optimization). Założeniem SEO jest zwiększenie rankingu danej strony internetowej w wyszukiwarkach takich jak Google. W przypadku czystych intencji, jest to jak najbardziej legalne. Jednak jeśli chodzi o hakerów, takie działanie zwiększa prawdopodobieństwo, że ktoś odwiedzi złośliwą stronę. Są również techniki znacznie mniej opierające się na technologii, chociażby tak banalne jak rozmowa telefoniczna, która uśpi czujność ofiary.
Niedawno firma Check Point zasponsorowała badanie wykonane przez Dimensional Research, z którego wynika, że 43. z badanych 853 specjalistów IT na całym świecie było celami ataków opartych o schemat inżynierii społecznej. Badanie wykazało również, że nowi pracownicy są najbardziej narażeni na ataki – 60% specjalistów uznało, że nowozatrudnieni są w „grupie dużego ryzyka” w przypadku ataków inżynierii społecznej. Niestety mimo tego zagrożenia, organizacja szkoleń jest raczej pomijana. Tylko 26% respondentów przeprowadza wstępne szkolenia, a 34% nie edukuje swoich pracowników w ogóle. Na szczęście ta tendencja zaczyna się zmieniać i coraz więcej przedsiębiorstw przykłada wagę do zagrożeń bezpieczeństwa oraz do tego, na jakie techniki inżynierii społecznej mogą być narażeni użytkownicy.
Szkolenia to kluczowy element obrony przed atakami, jednak proces bezpieczeństwa zaczyna się od zdefiniowania dobrej polityki dotyczącej ochrony danych. Wlicza się w to kontrola, kto ma dostęp do jakich danych, oraz takie zorganizowanie polityki, aby wspierała firmę i sprzyjała działaniu przedsiębiorstwa. Następnie pracownicy powinni zostać przeszkoleni odnośnie zdefiniowanych reguł, a szkolenie powinno zakończyć się sprawdzianem. Ważnym elementem jest dzielenie się informacjami na temat wykrytych ataków, co pozwoli pracownikom lepiej zrozumieć w jaki sposób mogą paść ofiarą ataku. Często odpowiednia doza ostrożności może zdziałać cuda –. jeżeli otrzymany niespodziewany email zawiera prośbę o poufne informacje, odpiszmy do nadawcy aby upewnić się, że wiadomość nie jest sfabrykowana.
Wsparciem dla całości powinna być ochrona sieci i urządzeń końcowych zgodnie z najlepszymi praktykami i z wykorzystaniem najnowszych aktualizacji dotyczących bezpieczeństwa. Jednak najważniejszy element walki z hakowaniem ludzkich umysłów wymaga raczej zmiany postawy użytkowników niż broni opartej na technologii. Jeżeli istnieje antywirus dla myśli użytkowników, to powinien być on zaktualizowany o wiedzę na temat polityki bezpieczeństwa korporacji oraz informacje na temat tego, jak atakujący próbują przechytrzyć swoje ofiary. Zawarcie takich informacji w szkoleniu może sprawić, że zamiast martwić się problemami związanymi z wyciekiem danych będziemy mogli spać spokojnie.
Autor tekstu: Tomer Teller, ewangelista ds. bezpieczeństwa oraz badacz w firmie Check Point Software Technologies