Oszust sprawnie wykorzystujący sposoby manipulacji, atakując najsłabsze ogniwo każdej instytucji – źle wyszkolonego pracownika, który nie zachowuje poufności w odniesieniu do służbowych tajemnic – może uzyskać dostęp do firmy, wykraść dane czy dokonać w nich zmian. Nie musi wcale być hakerem, ba, wystarczy mu bardzo podstawowa wiedza o komputerach! Koncerny tracą miliony w wyniku przeprowadzanych regularnie ataków socjotechnicznych. W skrajnym przypadku jeden człowiek może doprowadzić do bankructwa nawet średniej wielkości przedsiębiorstwo.
Jak to się dzieje? Możliwość zmiany czyichś poglądów, zachowań i decyzji (socjotechnika) bądź pozyskania tajnych danych (inżynieria socjalna) jest po prostu opłacalna. W XXI wieku siłę, posłuch i pieniądze uzyskuje się, obracając informacjami. Odpowiednia wiadomość przekazana właściwej osobie we właściwym czasie i miejscu ma wartość większą niż złoto. Sztuczki socjotechniki i inżynierii socjalnej można wykorzystać na wiele sposobów. W niniejszym artykule przedstawimy ich potencjał w jednym tylko zastosowaniu: do instalowania własnego oprogramowania na komputerze ofiary. Taki zakończony sukcesem atak daje jego sprawcy otwartą furtkę do firmowej sieci, możliwość rejestrowania każdego naciśnięcia klawiszy przez dowolnego pracownika, zdalnego obserwowania ich poczynań, przeglądania i pobierania dokumentów itd.
Wstyd okradzionego
Ofiary rzadko są skłonne informować o tym, co się stało. Przeprowadzony atak oprócz wymiernych strat obniża także wiarygodność i niszczy wizerunek firmy, co niekiedy bywa bardziej dotkliwe niż doraźne koszty. Jest to przyczyną, dla której brakuje wiarygodnych danych na temat liczby ataków, ich skuteczności czy odsetka względem typowych włamań hakerskich. Pośrednim dowodem, że takie zdarzenia mają miejsce, jest coraz częstsze zatrudnianie w firmach “socjotechnicznych ochroniarzy”. Zwłaszcza zagraniczne koncerny inwestują w kursy i szkolenia dla swoich pracowników czy wręcz zatrudniają specjalistów od inżynierii socjalnej, aby ustrzec się podobnego zagrożenia w przyszłości.
W Polsce sytuacja jest zupełnie inna. Brak wiarygodnych danych o niebezpieczeństwie ze strony manipulacji socjotechnicznych jest w przez szefów rodzimych firm odbierany jako brak zagrożenia. Lekceważenie problemu prowadzi do takich sytuacji, jak ta sprzed kilku miesięcy: student kupił za 20 zł używany dysk twardy, zawierający poufne dane jednego z największych polskich banków. Nośnik, będący skarbem dla potencjalnych włamywaczy, został przez pierwotnego właściciela… wyrzucony na śmietnik.
Zaczyna się od kłamstwa
Inżynieria socjalna korzysta z wielu reguł stanowiących trzon wywierania wpływu na ludzi (patrz: “$(LC167614:Podstawowe reguły socjotechniczne)$”). Jednakże najważniejszym i najczęściej używanym narzędziem jest najpospolitsze kłamstwo. Ma ono wiele odmian: od podawania się za kogoś, kim się nie jest, poprzez wmawianie nieistniejących sytuacji i zdarzeń, po wywoływanie strachu, stresu i poczucia winy. Poniżej przedstawimy kilka przykładów wykorzystania reguł socjotechnicznych oraz innych mechanizmów wywierania wpływu.
Inżynieria socjalna czy społeczna? |
Utarło się, by w Polsce tłumaczyć angielski zwrot social engineering jako inżynieria socjalna, gdy określamy działania mające na celu pozyskanie dostępu do informacji czy firmy. Natomiast mianem inżynierii społecznej określano mechanizmy wywierania wpływu na całe narody, stosowane w systemach totalitarnych (faszyzm, komunizm). W polskiej edycji popularnej encyklopedii Wikipedia taki układ obowiązywał jeszcze do niedawna. Jakiś czas temu ktoś stwierdził, że hasło inżynieria socjalna “budzi raczej skojarzenia z opieką społeczną niż informatyką”. W efekcie zmieniono definicję na inżynieria społeczna (informatyka), istniejącemu zaś do tej pory pojęciu inżynieria społeczna dopisano zakres: politologia. Autor niniejszego artykułu jest zwolennikiem pierwotnych definicji. |
Lenistwo nie popłaca
Administratorzy systemów komputerowych w firmach zmuszają pracowników do częstej zmiany haseł i nie pozwalają na to, by różne aplikacje wykorzystywane przez tego samego użytkownika były chronione tym samym hasłem. To dobre podejście, ale jak we wszystkim – trzeba zachować umiar i równowagę. Mało kto chce i potrafi zapamiętać kilka sekwencji składających się z pozbawionych sensu zlepków liter i cyfr o długości co najmniej sześciu znaków (a owa przypadkowość kodów dostępu to wymóg zabezpieczający przed złamaniem haseł metodą słownikową). Do tego jeszcze należałoby zmieniać je co miesiąc lub dwa tygodnie. Przymuszani pracownicy bardzo często idą na łatwiznę, stosując hasła “klawiaturowo” łatwe do zapamiętania, czyli np. qwe123 lub zaq12wsx. Kody te spełniają wymogi stawiane przez administratorów, ale jednocześnie są znane socjotechnikom na całym świecie. Nietrudno jest dotrzeć w Internecie do listy takich popularnych zbitek liter i cyfr. Włamywacz, gdy już uzyska login jakiegoś użytkownika z firmy i “końcówkę” sieci, to zanim przeprowadzi bardziej wyrafinowane działania w cely znalezienia hasła do firmowych danych, z pewnością wypróbuje wszystkie popularne kody z takiej listy.
Wniosek: Administratorzy nie powinni przesadzać z restrykcjami dotyczących haseł. Stawianie zbyt rygorystycznych wymogów prowadzi do szukania przez pracowników sposobów na ułatwienie sobie życia kosztem bezpieczeństwa firmy.
Tu pojawia się jeszcze jeden, bardzo zbliżony problem. Użytkownicy lubią stosować te same hasła również poza firmą – mniej mają wtedy do zapamiętania. Socjotechnik może stworzyć fałszywą stronę, na której oferuje jakąś nagrodę (wypłatę pieniężną) dla wylosowanych użytkowników jego serwisu – wystarczy tylko, że się zarejestrują. Stosując ten mechanizm, liczy on na to, że leniwy pracownik użyje tego samego (co w firmie) loginu i hasła przy rejestrowaniu konta w jego serwisie.
Wniosek: Pracownicy powinni być uświadomieni, że haseł i loginów stosowanych w firmie nie wolno używać w komputerach prywatnych oraz w serwisach internetowych niezwiązanych z zadaniami służbowymi.
Kusząca płyta CD
Skuteczny socjotechnik nie musi być wcale hakerem, ale nie oznacza to, że nie może nim być. Najlepszym sposobem na dokonanie infiltracji firmy jest zainstalowanie na jej komputerach własnego programu. Inżynieria socjalna podpowiada co najmniej kilka mechanizmów rozwiązania tego bardzo trudnego na pierwszy rzut oka zadania.
Pierwszy ze sposobów na instalację własnego szperacza wewnątrz atakowanej firmy wymaga skorzystania z reguły niedostępności (patrz: “$(LC167614:Podstawowe reguły socjotechniczne)$”), czyli odwołania się do zwykłej ludzkiej ciekawości. Wyobraźmy sobie taką sytuację: Kowalski wchodzi do toalety i widzi na podłodze CD-ROM z napisem: “Płace zarządu – ściśle tajne, tylko dla upoważnionych”. Konia z rzędem temu, kto z czystej ciekawości nie sprawdzi zawartości takiej płytki. Tak też czyni nasz Kowalski i znajduje na niej jeden dokument Worda. Otwiera go. Napęd przez chwilę “rzęzi”, po czym zostaje wyświetlony komunikat, że plik jest uszkodzony i nie można go odczytać. Kowalski więc stwierdza, że ma pecha i w najlepszym przypadku wyrzuca CD-ROM do kosza, a w najgorszym – podrzuca w to samo miejsce, gdzie go znalazł. Nie wie jednak, że plik nie był uszkodzony, a komunikat został wyświetlony przez odpowiednio spreparowane makro. To samo makro chwilę wcześniej zainstalowało na komputerze trojana. Jeżeli Kowalski podrzucił nośnik z powrotem, to plon zapewne będzie jeszcze większy, bo prawdopodobnie jeszcze wielu pracowników firmy wpadnie w tę pułapkę. Mimo że ten przepis jest popularnym przykładem na szkoleniach z zakresu bezpieczeństwa, to liczba firm i ich pracowników, którzy padli ofiarą tej sztuczki, jest olbrzymia.
Wniosek: Pracownicy powinni być przeszkoleni, że pod żadnym pozorem nie wolno im używać nieznanych nośników czy programów. Ponadto organizacja siedziby firmy powinna ograniczyć (lub zupełnie wykluczyć) kontakt pracowników z klientami do niezbędnego minimum. Osoba postronna nie powinna mieć możliwości wejścia na teren przedsiębiorstwa, by coś niepostrzeżenie podrzucić.