Highway

Schneck Zsolt, MasterIT
Schneck Zsolt, MasterIT
Forrás: ITB
Kevés a „Csalók kíméljenek!” felirat

Social Engineering Reloaded

Isaac Asimov mondta egyszer: „Nem a számítógépektől, a hiányuktól félek!” Igaza volt. Azzal, hogy a mindennapi életünkbe ilyen mértékben beépült az informatika, magasabb sebességi fokozatba kapcsolt a fejlődés. Csakhogy a fejlődés ütemével együtt ugrásszerűen megnőtt a potenciális veszélyforrások száma is.

Annyira szokványossá váltak az internetes támadások, hogy az ember szinte fel sem kapja a fejét, ha valahol megjelenik egy újabb zsarolóvírus-variáns. A felgyorsult világban pedig lubickolnak a megtévesztést szinte művészi szintre emelő social engineerek. A legtöbb felhasználó azzal áltatja magát, hogy „Miért pont engem szemelnének ki, kis pont vagyok én a gépezetben. Kinek kellenének az én adataim?”

A hekkereknek természetesen nem a családi fotóink kellenek. Ők a használható információmorzsákra hajtanak. Bár előfordul, hogy közvetlenül a felhasználótól igyekeznek pénzt szerezni, a motivációt többnyire mégis inkább a különböző valós hozzáférések, jogosultságok vagy jelszavak megszerzése jelenti. Ha az embert támadjuk, egyenes az út az adatokhoz. A biztonsági szakemberek számára éppen elég kihívást jelent, hogy illetéktelenek ne juthassanak be a céges hálózatba, karbantartsák a vírus- és határvédelmi eszközöket, rendben legyenek a belépőkártyák, kiszűrjék a shadow-IT-t, és még sorolhatnánk. Egyáltalán nem biztos, hogy marad energiájuk arra, hogy esetlegesen kompromittálódott felhasználói fiókokra szűrjenek. Amelyet önként adtunk át egy meggyőzésre szakosodott embernek.

 

Esendő emberek vagyunk

Ha nem IT-, hanem humán alapú támadásokról beszélünk, elvonatkoztathatunk attól, hogy a kiszemelt áldozat használ-e bármilyen IT-eszközt vagy sem. Ilyenkor az egyszeri megtévesztőnek oda kell ballagnia a helyszínre, és szemtől-szemben kell állnia a potenciális áldozatokkal. Nincs szüksége informatikai hókuszpókuszokra, inkább a meggyőzés képességére, és kötélidegekre. De bármilyen képzett és higgadt is a hekker, itt a legnagyobb a lebukás veszélye. Emlékezzünk csak a „Sneakers” (itthon „Komputerkémek”) címmel futott, 1992-es filmre! Vajon hány biztonsági szolgálaton menne át nálunk Robert Redford lufikkal és tortával? Talán nálunk ez elképzelhetetlen? Érdemes lenne megpróbálni!

Az ilyen támadások, előzetes megfigyelést és felkészülést igényelnek, de nem kell hozzá feketeöves IT-szakembernek lenni. Ha sarkítani szeretnénk, bárki által kivitelezhető. Csak úgy, mint néhány klasszikus technika, mondjuk a „piggybacking”:  a támadó ráveszi valamelyik kollégát, hogy engedje be a belépőkártyájával az épületbe, mert ő otthon hagyta a sajátját, vagy esetleg ő az új kolléga, és még nincs meg a megfelelő jogosultsága.

Hatékony módszer a „tailgating” is, amikor megfigyelik a beléptetés rendjét, és egy rendezvény keretei között különösebb ellenőrzés nélkül hatolnak be az épületbe. Márpedig, ha már bent vagyunk az épületben, azon túl, hogy bármit telepíthetünk a számítógépekre, közvetlenül hozzáférhetünk az eszközökhöz, megrongálhatjuk azokat, belső információkhoz is könnyebben juthatunk, sőt, szélsőséges esetben oda is ülhetünk valamelyik konzol elé. Rémisztően hangzik.

 

Mit tehetünk, hogy megelőzzük az ilyen típusú támadásokat?

A kitett helyeken mindenképpen érdemes keresni egy olyan partnert, aki időnként teszteli a biztonsági réseket a „humán interfészeken”.  A biztonsági személyzet képzése ezzel párhuzamosan elengedhetetlen a megelőzésben. Tudniuk kell, hogyan lehet kiszűrni a gyanús egyéneket, mi az, ami elárulja a támadót. Kizárni teljesen nem tudjuk, vannak kegyetlen profik. De azt gondoljuk, hiába gépiesedett el a világ, többnyire csak az emberek mennek át Alan Turing klasszikus tesztjén. A valóságban szerencsére (vagy sajnos, döntse el a kedves olvasó), még a hús-vér emberek vannak többségben.