Social engineering, czyli o naukach społecznych w świecie technologii.
Technologia to nie wszystko.
Mówiąc o bezpieczeństwie i zabezpieczeniach na myśl przychodzą nam w pierwszej kolejności zaawansowane technologie i drogie urządzenia: systemy wykrywania intruzów, systemy aktywnej prewencji, ochrony danych przed wyciekiem, bezpiecznego uwierzytelniania, autoryzowania i udostępniania zasobów. Chcąc czuć się bezpiecznymi wydajemy więc niemałe pieniądze i otaczamy się zaporami, skanerami, sondami, tokenami, czytnikami linii papilarnych czy tęczówki oka. Instalujemy systemy skanujące i filtrujące ruch pod kątem wirusów, robaków, trojanów, sygnatur ataku lub innych anomalii. Aby przetwarzać dane z tak wielu systemów uruchamiamy kolejne, służące do logowania zdarzeń, ich korelowania, analizowania i ostrzegania nas o zagrożeniach. Wydawać by się zatem mogło, że robiąc tak wiele, tak dużym nakładem środków mamy prawo czuć się spokojnymi o bezpieczeństwo naszych systemów i przetwarzanych za ich pomocą danych. Rzeczywistość jest niestety bardzo brutalna. Robiąc tak wiele zapomnieliśmy o rzeczy zasadniczej – poziom bezpieczeństwa, podobnie jak wytrzymałość łańcucha nie jest wyznaczany przez sumę wszystkich jego ogniw, ale przez moc najsłabszego z nich. Pytanie „co jest tym ogniwem?” nie doprowadzi nas do odpowiedzi. Powinniśmy bowiem zapytać nie „co”, a „kto” nim jest.
Inżynieria społeczna.
Technologia, nawet najdoskonalsza nie jest w stanie zabezpieczyć systemów przed ich użytkownikami. Człowiek mimo całej swojej doskonałości stanowi najsłabsze i najbardziej zawodne ogniwo w łańcuchu składającym się na proces zapewniania bezpieczeństwa. Stanowi o tym głównie ludzka psychika, która w odróżnieniu od wykonywanych przez procesory algorytmów charakteryzuje się brakiem schematyczności i nieprzewidywalnością. Człowiek w odróżnieniu od technologii może zachować się różnie w tych samych okolicznościach. Na podejmowane przez niego decyzje wpływają nie tylko dane wejściowe ale również stres, emocje, przebyte doświadczenia i inne warunki niewystępujące w przypadku środków technologicznych. Badaniem tych właśnie warunków i zależności pomiędzy ich występowaniem a podejmowanymi przez ludzi decyzjami zajmuje się inżynieria społeczna. Płynące z niej nauki są głównym narzędziem w rękach socjotechników. I to ci ostatni stanowią zagrożenie, przed którym nie ochronią nas nawet najdroższe technologie. To oni potrafią sprawić, że czujący się bezpiecznie wśród różnych zaawansowanych systemów bezpieczeństwa użytkownicy staną się niebezpieczni dla siebie samych.
Jak to działa?
Socjotechnicy do przeprowadzenia ataku nie wykorzystują zaawansowanej wiedzy technologicznej ani narzędzi w postaci wirusów czy exploitów. W ich działaniach ważniejsze od umiejętności technicznych są zdolności komunikacyjne i interpersonalne. Posługują się umiejętnie zdobywanymi i przekazywanymi informacjami, które z pozoru nieistotne pomagają w budowaniu zaufania u rozmówcy i wydobywaniu od niego kolejnych danych. Posługując się gotowymi, przygotowanymi na różne okoliczności scenariuszami rozmów potrafią dysponując jedynie takim wąskim materiałem jak ogólne dane teleadresowe firmy wyłudzić od jej pracownika cenne informacje lub nakłonić go do wykonania określonych czynności, takich jak np. uruchomienie komendy na swoim komputerze czy odwiedzenie zainfekowanej strony internetowej. W tym celu podawać się mogą np. za teleankieterów, pracowników dostawcy Internetu, kontrahentów czy współpracowników z innego oddziału firmy. Przykładowy scenariusz rozmowy telefonicznej będącej atakiem socjotechnicznym może wyglądać następująco:
1. Intruz dzwoni do naszej firmy przedstawiając się jako np. pracownik dostawcy Internetu i prosi o połączenie z działem IT
2. Od pracownika dowiaduje się, że obsługą informatyczną zajmuje się firma zewnętrzna X
3. Oszust dzwoni więc do innego pracownika przedstawiając się jako pracownik firmy X i prosi o podanie adresu mailowego w celu przetestowania poczty, z którą podobno zgłoszono problemy
4. Po kilku dniach oszust wysyła na otrzymany adres e-mail spreparowaną wiadomość (jako pracownik firmy X) i prosi w niej o uruchomienie załączonej „poprawki bezpieczeństwa”
Powyższy scenariusz wydaje się być banalny. Im bardziej jest jednak banalny tym bardziej będziemy bagatelizować zagrożenie z nim związane. A czy możemy ze stuprocentową pewnością założyć, że w naszej firmie nie pracuje żadna osoba, której czujność da się w prosty sposób uśpić? Wróćmy do naszego łańcucha złożonego z drogich i skomplikowanych systemów zabezpieczeń. To właśnie ów pracownik o mniej wyczulonej uwadze, który może dać się zwieść wprawnemu socjotechnikowi stanowi jego najsłabsze ogniwo. To on jest w stanie, chociaż nieświadomie, pomóc intruzowi w pokonaniu najlepszych nawet zabezpieczeń technicznych. I to on właśnie złudnie czując się bezpiecznym stanowi dla nas realne niebezpieczeństwo.
Jak się chronić?
Skoro techniczne środki zaradcze dają się obejść za pomocą inżynierii społecznej, to aby się przed nią bronić również należy przedsięwziąć działania o charakterze nietechnicznym. Pierwszym krokiem, od którego powinniśmy zacząć jest opracowanie i wdrożenie polityki bezpieczeństwa. Powinna ona zawierać m.in. definicje procedur i zaleceń dotyczących ujawniania informacji przez pracowników firmy oraz wzory dokumentów służących przekazywaniu określonych danych i udzielaniu dostępu do nich. Bardzo istotne jest, aby stosowane one były nie tylko w stosunku do osób nieznajomych, ale również tych, których tożsamości nie jesteśmy w stanie potwierdzić. To, że ktoś przedstawia nam się w rozmowie telefonicznej czy e-mailu jako określona osoba nie musi oznaczać, iż rzeczywiście nią jest. Samo wdrożenie polityki bezpieczeństwa to jednak nie wszystko. Bezpieczeństwo powinno być traktowane nie jako stan, ale stały, podlegający kontroli i udoskonalaniu proces. Dlatego bardzo istotnym jego elementem jest ciągłe edukowanie pracowników mające na celu wypracowanie nawyków dbania o poufność informacji i ograniczonego zaufania.
Mam nadzieję, że niniejszym artykułem przybliżyłem niektórym z Państwa aspekty bezpieczeństwa nie związane bezpośrednio z żadną technologią. W świecie, w którym codzienne, najprostsze nawet operacje wiążą się z elektronicznymi transakcjami i bazami przetwarzającymi dane za pośrednictwem sieci i komputerów każdy z nas powinien wykazywać się dużą ostrożnością i ograniczonym zaufaniem. Przenoszenie zachowań wypracowanych przez firmową politykę w sferę życia prywatnego stanowić może dobry sposób na zwiększenie poziomu swojego bezpieczeństwa i pomóc nam w ciągłym zachowywaniu czujności.