INFORMATIKA – HATÉKONYSÁG – PROFITNÖVELÉS

Social Engeenering Reloaded

 Egy híres ember mondta egyszer: „nem félek a számítógépektől, a hiányuktól félek!” Asimovnak igaza volt.  Legalábbis részben. Azzal, hogy a mindennapi életünkbe ilyen mértékben beépült az informatika, másik sebességi fokozatba kapcsolt a fejlődés. Csakhogy a fejlődés ütemével együtt ugrásszerűen megnőtt a potenciális veszélyforrások száma is. Az internetes támadások mára szinte szokványossá váltak, és az ember szinte fel sem kapja a fejét, ha valahol megjelenik egy minden eddiginél újabb zsarolóvírus variáns. Ebben a felgyorsult világban pedig lubickolnak a megtévesztést szinte művészi szintre emelő social engeenerek.

A legtöbb felhasználó azzal áltatja magát, hogy miért pont engem szemelnének ki, hiszen én kis pont vagyok a gépezetben. Kinek kellenének az én adataim? A hackereknek természetesen nem a családi fotóink kellenek. Ők minden esetben a használható információmorzsákat igyekeznek felkutatni. Bár előfordul, hogy közvetlenül a felhasználótól igyekeznek pénzt szerezni, a motivációt többnyire mégis inkább a különböző valós hozzáférések, jogosultságok vagy jelszavak megszerzése jelenti. Ahogy az előző cikkben már kiveséztük, ha az embert támadjuk egyenes az út az adatokhoz. Nem kell semmiféle védelmi rendszert megkerülni, egyszerűen „csak” a megfelelő helyen, a megfelelő időben, a megfelelő dolgokat kell mondani. Persze ez csak látszatra ilyen egyszerű, de gondoljunk bele. A biztonsági szakemberek számára éppen elég kihívást jelent, hogy illetéktelenek ne juthassanak be mondjuk a céges hálózatba, karbantartsák a vírus és határvédelmi eszközöket, rendben legyenek a belépőkártyák, kiszűrjék a shadow IT-t, és még sorolhatnánk. Egyáltalán nem biztos, hogy marad energiájuk arra, hogy esetleges kompromittálódott felhasználói fiókot kiszűrjenek. Amit önként adtunk rá egy meggyőzésre szakosodott embernek.

Természetesen mindent lehet fokozni. Amennyiben nem IT, hanem humán alapú támadásokról beszélünk általánosan elmondható, hogy a támadás középpontjában minden esetben az emberi tényező közvetlen befolyásolása áll. Itt egyébként elvonatkoztathatunk attól, hogy a kiszemelt áldozat használ bármilyen IT eszközt vagy sem. Hiszen ilyenkor bizony az egyszeri megtévesztőnek bizony oda kell ballagnia a helyszínre, és szemtől-szemben kell állnia a potenciális áldozatokkal. Ekkor nem lesz szükség mindenféle informatikai hókuszpókuszra, annál inkább a meggyőzés képességére, és kötél idegekre. De bármilyen képzett és higgadt is a „hacker” természetesen itt a legnagyobb a lebukás veszélye. Emlékezzünk csak a Sneakers – itthon Komputerkémek – címmel futott 1992-ben készült kiváló alkotásra. Vajon hány biztonsági szolgálaton menne át itthon Robert Redford lufikkal és tortával? Valószínűleg elég sok helyen. Most tudom azt gondolják, ugyan nálunk ez elképzelhetetlen. Ilyenkor azt szoktam javasolni, hogy talán érdemes lenne mégis megpróbálni. Az ilyen támadások, előzetes megfigyelést és felkészülést igényelnek, de nem kell hozzá feketeöves IT szakembernek lenni. Ha sarkítani szeretnék, bárki által kivitelezhető. Csak úgy, mint néhány klasszikus technika mondjuk a Piggybacking ahol a támadó ráveszi valamelyik kollégát, hogy engedje be a belépőkártyájával az épületbe, mert ő otthon hagyta a kártyáját, vagy esetleg ő az új kolléga és még nincs meg a megfelelő jogosultsága. Szintén hatékony módszer lehet a Tailgating, amikor egy előzetes vizsgálat után megfigyelik a beléptetés rendjét, és egy rendezvény keretei között különösebb ellenőrzés nélkül hatolnak be az épületbe. Márpedig ha már bent vagyunk az épületben azon túl, hogy bármit telepíthet a támadó a számítógépekre, közvetlenül hozzáférhet az eszközökhöz, megrongálhatja őket, belső információkhoz is könnyebben juthat, sőt szélsőséges esetben oda is ülhet valamelyik konzol elé. Rémisztően hangzik. Nem igaz? Mégis akkor mit tehetünk, hogy megelőzzük az ilyen típusú támadásokat? A kitett helyeken mindenképpen érdemes keresni egy olyan partnert, aki időnként megkeresi a biztonsági réseket a „humán interfészeken”, azaz fontos a biztonsági szolgálat éberségének tesztelése. A biztonsági személyzet képzése ezzel párhuzamosan elengedhetetlenül szükséges, ha elejét akarjuk venni az ilyen típusú támadásoknak. Tudniuk kell, hogyan kell kiszűrni a gyanús egyéneket, és mi az, ami elárulja a támadót. Kizárni teljesen semmiképp nem tudjuk, vannak mert vannak kegyetlen profik. De azt gondolom, hogy hiába gépiesedett el a világ, még mindig az emberek mennek át többségében Alan Turing klasszikus tesztjén. Hiába védjük meg a Matrix felől az informatikai rendszereinket, ha a két említett, és egy sor egyéb, humán alapú technika ellen képtelenek vagyunk. Mert a valóság sivatagában szerencsére – vagy sajnos, ezt döntse el a kedves olvasó -, még mindig többségben vannak a hús-vér emberek.