Douglas Schweitzer biztonsági szakértő (Computerworld) a hackerekkel, a technikákkal több írásában, igen magas szinten, és hozzáértéssel foglalkozik. A Social Engineering-ről így ír:
Röviden összefoglalva, a Social Engineering az emberek természetes, bizalomra való hajlamának kihasználása. Hackerek vagy akár egyszerűen rossz szándékú emberek is gyakran használják ezt a módszert a számítógépekhez való illetéktelen hozzáférésre és információk megszerzésére. A Social Engineering nem a hardver, a szoftver vagy a hálózat hibáit, hanem az emberi természet gyengeségeit használja ki a számítógépek feltörésére. Alkalmazásával bárki, aki csak minimális hackelési képességekkel is rendelkezik, behatolhat egy biztonságosnak tartott rendszerbe, majd hozzáférhet, módosíthatja vagy akár törölheti az ott tárolt adatokat.
Annak felmérésére, mennyire lehet érintett a rendszerünk egy, az emberi hiszékenységet kihasználó támadással szemben, tegyük fel magunknak az alábbi kérdéseket:
1. Megadnánk-e bárkinek a jelszavunkat, aki személyesen, telefonon vagy e-mailen keresztül azt állítja, hogy a számítógépünk vagy hálózatunk hibáját szeretné kijavítani? Vagy ilyen esetben azonnal értesítenénk az informatikai biztonsági személyzetet?
2. Zárolni szoktuk a munkaállomásunkat, amikor felállunk az asztalunktól, vagy a jelszó védett képernyőkímélőre hárítjuk ezt a feladatot?
3. Kérdőre vonjuk azokat az idegeneket, akik zárt területen járkálnak, és nem látható rajtuk azonosító jelzés, vagy egyszerűen csak feltételezzük, hogy legálisan tartózkodnak ott (esetleg jólöltözöttek, és ebből arra következtetünk, hogy túl fontos emberek ahhoz, hogy rákérdezhessünk)?
4. Visszautasítanánk-e egy telefonos felmérésben való részvételt, amelyben számos, a vállalatunk számítógépes rendszereivel kapcsolatos kérdés hangzik el, vagy valószínűleg részt vennénk az ígért ajándék miatt?
5. Megállítanánk-e egy nyilvánvalóan szállítóuniformisba öltözött, csomagokat cipelő embert, aki mosolyogva megkérdi, hogy merre található a levélszoba, miközben minket követve próbál bejutni egy biztonságos épületbe, vagy udvariasan kinyitnánk az ajtót, és megmutatnánk neki a keresett szobát?
6. Munkát érintő kérdésekről csak a munkahelyünkön beszélünk, vagy folytatni szoktuk a beszélgetést éttermekben vagy egyéb közterületeken is?
7. Szét szoktuk tépni a régi telefonszámokat tartalmazó listákat, vagy egyszerűen csak a szemétbe dobjuk azokat?
A Social Engineering súlya
Sokan azt hiszik, hogy a számítógépes betörések a rendszerben lévő hibákra vezethetők vissza, melyeket a behatolók képesek kihasználni. A valóságban a Social Engineering gyakran nagy szerepet játszik abban, hogy a támadó megkerülhesse a biztonsági korlátokat, úgymint a tűzfalakat vagy behatolás-érzékelő rendszereket. A számítógép-használók hiszékenysége vagy az éberség hiánya gyakran könnyű behatolást tesz lehetővé egy védett rendszerbe, akár olyan esetekben is, mikor a támadó egyáltalán nem jogosult a hozzáférésre.
A Social Engineering azért sikeres, mert a rosszindulatú személy az információhoz vagy rendszerhozzáféréshez a tudatlan és gyanútlan dolgozók segítőkész természete által juthat hozzá. Hízeleghet, a segítségünket kérheti, vagy megpróbálhat meggyőzni róla, hogy csupán számunkra kíván elvégezni egy szolgáltatást.
Nagyobb szervezeteknél egy behatoló munkatársnak is álcázhatja magát, akinek hozzáférésre van szüksége a saját rendszere állítólagos leállása miatt. Megpróbálhat beszélgetésbe elegyedni velünk, sőt akár egyik kollégánk nevét is megemlítheti, hogy ezáltal is szorosabb kapcsolatot alakítson ki, mely végül elvezethet a kölcsönös segítőkészség érzéséhez. Hatósági személynek is tettetheti magát, hogy trükkök segítségével szerezzen tőlünk információkat. Régi csel, hogy hálózati hibaelhárítónak álcázza magát, akinek egy azonosítóra és jelszóra van szüksége annak ellenőrzésére, hogy elhárult-e a hiba, és ne is forduljon többé elő. A csaló ráveheti az alkalmazottat, hogy árulja el neki a kívánságának megfelelő jogokkal rendelkező hozzáférési azonosítókat.
Tippek a Social Engineering ellen
Álljon itt néhány tipp, hogyan járhatunk túl egy, a Social Engineeringre szakosodott hacker eszén:
1. Ha nem tudjuk azonosítani a telefonálót, aki a számítógépes rendszerrel kapcsolatos vagy egyéb érzékeny információkra kíváncsi, akkor ne áruljunk el neki semmit. Ragaszkodjunk az azonosításához azáltal, hogy kikeressük a cég telefonkönyvéből, és visszahívjuk. Ez az eljárás csak kis kényelmetlenséget okoz a szokásos tevékenységek végzésében, de potenciálisan nagy károkat előzhetünk meg a használatával.
2. A külső cégektől érkező rendszerkarbantartó technikusokat kísérje el egy helyi rendszergazda (akit minden bizonnyal már ismerünk). Amennyiben a helyi adminisztrátor nem ismerős, vagy a technikus egyedül érkezik, akkor bölcs döntés felhívni az általunk ismert rendszergazdát. Sajnos sok ember nem szívesen teszi ezt meg, mert fél, hogy emiatt majd paranoiásnak tartják, illetve kínos kimutatni, hogy nem bízik meg a látogatóban.
3. A személyes hozzáférésünkhöz tartozó jelszót csak nekünk szabad tudnunk. A rendszergazdáknak vagy karbantartó technikusoknak nincs szüksége a jelszavunkra, hiszen rendelkeznek saját azonosítóval, ami olyan rendszerjogokat biztosít számukra, hogy a jelszavunk nélkül is mindent el tudnak intézni. Ha egy rendszergazda a jelszavunk után érdeklődik, legyünk gyanakvóak!
Sajnos sok számítógép-használó tévesen azt feltételezi, hogy a hálózati adminisztrátorok, a biztonsági személyzet és a szoftverfejlesztők minden szükségeset megtesznek a hálózat biztonságosan tartásában. Amennyiben a felhasználók úgy gondolják, hogy nem kell elővigyázatosnak lenniük, akkor hamis biztonságérzetbe ringathatják magukat. A hálózat megvédése nem csupán az informatikai személyzetre tartozik. Fontos emlékezni rá, hogy a hálózat és minden rajta lévő számítógép csak annyira biztonságos, mint a leggyengébb láncszem. Bizonyosodjunk meg arról, hogy nem mi vagyunk a leggyengébb láncszem!
A Social Engineering lehet(ne) hasznos is
A módszert a ˝white-hat˝ hackerek, vagyis a rendszerek biztonságát tesztelő hackerek is gyakran alkalmazzák, hogy megtalálják a gyenge pontokat és a hiszékeny alkalmazottakat. Nemcsak a rendszergazdaként pózolás tartozik a Social Engineering eszköztárába: az igazán profik éjszakai takarítónak jelentkeznek, majd jelszavak után kutatnak a papírkosarakban, a fiókokban vagy a monitorokra ragasztott sárga cédulákon.
A magyar büntető törvénykönyv módosítását a Legfőbb Ügyészség szerint az indokolta, hogy amíg 1997-ben a számítógépes bűncselekmények által okozott kár 91,5 millió forintra rúgott, addig ez az érték 1998-ra 220 millió, 1999-re pedig 1,66 milliárd forintra nőtt. Tavaly 1,04 milliárd forintos kárt regisztráltak, ám a felderítetlen és a nyilvánosságra nem hozott ügyekkel együtt a teljes összeg akár az évi 4-5 milliárd forintot is elérheti. A hackerek ellen korábban garázdaság és rongálás miatt próbáltak vádat emelni, a 2003. január elsején életbe lépett módosítás azonban büntethetővé teszi az informatikai rendszerbe történő jogtalan belépést, működésének akadályozását (például a DoS-támadásokat), az informatikai eszközökkel (vírusok, exploitok) történő visszaélést, és az informatikai csalást (például weblapok jogosulatlan felülírását).
A magyar törvényalkotók feltehetően nem tanulmányozták az amerikai hackertörvényt, az 1998-as Digital Millennium Copyright Act (DMCA) hatását: szakértők szerint a törvény visszavetette a számítógépes biztonságot, mert a ˝töréseket˝ korábban publikáló szakértők retorziótól tartva nem teszik közzé a biztonsági réseket, így azok kijavítására sem kerülhet sor. A profitorientált informatikai bűnözők jóval egyszerűbben juthatnak be egy rendszerbe egy nem publikus, így ki sem javított biztonsági rés ismeretében, míg korábban a ˝törések˝ csak rövid ideig éltek: nyilvánosságra kerülésük után a gyártó kényszerítve volt a hiba kijavítására.
Van, amiben lehet ˝követni amerikai példákat˝, de úgy érzem, egy profitpárti – és nem bűnözésellenes – törvény esetén nem. A meggondolatlan utánzás ˝jó szokásunk˝. Ebben csak egy nagy gond van: később igen nehéz helyrehozni azokat a károkat, amiket ez a meggondolatlanság okoz (vonatkozik ez törvényalkotásra, alkalmazásra egyaránt).
A büntethető szakértelem
Illegalitásba vonulnak a szakértők
A szakemberek többsége nem vállalja a kockázatot, és inkább elzárkózik az ilyen jellegű információk korábban szinte természetesnek számító közlésétől: a holland Niels Ferguson például megtagadta az Intel HDCP digitális videoszabványának ˝fatális hibájának˝ ismertetését, mivel attól tart, hogy rendszeres amerikai útjai során lecsaphat rá az FBI. Egy másik közismert szakértő, Fred Cohen levette a webről ˝Forensix˝ nevű programját, és több közismert számítógép-biztonsági honlap is megszűnt vagy öncenzúrát gyakorol. A megfélemlített szakértők az Anti-DMCA.org honlapon tiltakoznak a hackertörvény ellen.
A szoftvergyártók és a szórakoztatóipar ugyanakkor tovább szigorítanák a törvényt: Fritz Hollings szenátor segítségével az amerikai kongresszus elé került a Security Systems Standards and Certification Act (SSSCA), amely kötelezővé tenné a beépített másolásvédelmet minden szórakoztatóelektronikai és számítástechnikai termékben. A törvényjavaslat tovább szigorítaná a büntetési tételeket: elfogadása esetén a másolásvédelem megkerüléséért öt év börtön és félmillió dolláros büntetés is kiszabhatóvá válna. A linuxosok szerint az SSSCA tervezete kriminalizálja az egész szabad forráskód mozgalmat.
Kevin Mitnick
Az FBI eddigi történetének egyik legalaposabb embervadászata elől menekülő szökevényeként végrehajtott hőstetteiből cikkek, könyvek, akció és dokumentumfilmek tucatjai születtek. A szövetségi börtönből történt 2000. évi szabadulása óta Mitnick élete teljesen megváltozott: a világ egyik legkeresettebb számítógép-biztonsági szakembere lett. A megtévesztés művészetében a világ leghíresebb hackere ismét igazolja a régi mondást, miszerint ˝rablóból lesz a legjobb pandúr.˝
Feltárván elénk a hacker összetett elméjét, Mitnick különböző üzleti vállalkozások kárára elkövetett valós átverések, csalások és Social Engineering támadások – és azok következményeinek – forgatókönyvét mutatja be. Az információbiztonság emberi tényezőire koncentrálva elmondja, hogy miért nem elég a világ összes tűzfala és titkosító protokollja arra, hogy leszerelje a céges adatbázisokban kutakodni vágyókat, vagy a rendszert tönkretenni szándékozó ingerült alkalmazottakat. Mitnick bemutatja, milyen veszélynek vannak kitéve még a legjobban őrzött információs rendszerek is a magát adóellenőrnek vagy más, látszólag ártalmatlan embernek kiadó eltökélt csalók miatt. A történeteket mind a támadó, mind az áldozat szemszögéből elmesélve az ˝A megtévesztés művészete˝ egy igazi krimi megkapó és olvasmányos stílusában mondja el; miért sikerülhettek az egyes támadások – és hogyan lehetett volna elkerülni azokat.
Ennél is fontosabb, hogy Mitnick jóváteszi életének korábbi szakaszában elkövetett bűneit. Egyedi irányelvekkel lát el bennünket azzal kapcsolatban, hogyan hozhatunk létre olyan eljárásokat, képzési programokat és kézikönyveket, amelyek biztosítják, hogy a cég kifinomult biztonságtechnikai eszközeibe fektetett pénzt nem az ablakon dobtuk ki. A biztonsági sebezhetőség megelőzésével kapcsolatos tanácsait abban a reményben adja, hogy ezentúl az emberek éberebben védekezzenek a biztonságot fenyegető legnagyobb veszély, az emberi természet ellen.
Kevin Mitnick, és régi kollégája, Alex Kasper vezetésével intenzív kurzust indított. A kurzus metodikáját Mitnick cége, a Defensive Thinking fejlesztette ki. A rövid, de hatékonynak tűnő képzés lényege a technikák megismerésén túl a résztvevők önértékelésének növelése – hiszékenységük csökkentése. Fontos elem még az éberség, és a figyelem tréning is. A kurzus végeztével hiteles okmányt kapnak a résztvevők. Az oktatás technikai része a modern pszichológia, és pszichiátria ismert pszichoterápiás módszereit alkalmazza: szerepjátékok, csoport terápia, személyiségfejlesztési gyakorlatok, transzperszonális kapcsolat erősítés.
Kevin D. Mitnick világszerte több vállalat biztonsági tanácsadója, a Los Angeles központú Defensive Thinking tanácsadó cég egyik alapítója. Az amerikai Szenátus kormányzati ügyeket vizsgáló bizottsága előtt tanúskodott a kormányzati információs rendszer biztonságát garantáló törvénykezés szükségességéért. Cikkeit a főbb hírmagazinok és üzleti lapok jelentetik meg, szerepelt a Court TV-n, a Good Morning America, a 60 Minutes, és a CNN Burden of Proof és Headline News műsoraiban, több üzleti eseményen volt vezérszónok. Heti rádióműsort vezetett a Los Angeles-i KFI AM 640 rádiónál. William L. Simon több nagy sikerű könyv, egy díjnyertes film és forgatókönyv írója.
Utószó
Remélem sikerült egy hacker technika bemutatása, megmutatása. A cél természetesen nem az, hogy ennek gyakorlására biztassam az olvasót – ellenkezőleg, hogy lebeszéljem róla. A módszer olyan komoly szakmai, pszichológiai tudást kíván meg, ami kevés embernek a sajátja. Ha az előbb felsorolt két „alappillért” megtanulja valaki, akkor elmondhatja, hogy ért az informatikához, és diplomázott pszichológiából – miután a Social Engineering vagy a Reverse Engineering (ez annyiban különbözik a Social Engineeringtől, hogy ez esetben az „áldozattal” azt is el kell hitetni, hogy ő a kezdeményező) ennél sokkal többet jelent, és sokkal többet kíván meg. Nélkülözhetetlen a kommunikációs készség, az emberismeret, a gyors döntésképesség, szuggesztivitás stb.
Az írásom fő célja az volt, a bemutatáson túl, a Tisztelt Olvasó bepillantson a „kulisszák mögé”, és érzékelje azt, ami a legfontosabb: a klasszikus számítógépes „betörések” felett lassan eljár az idő, úgy, mint más hagyományos módszer felett is. Az újak, a Cross Site Scripting, a Social Engineering a programok ismeretén, programozáson stb. túl jóval többet igényelnek.
Az említetteken túl olyan tudást és képességeket igényel, amiről bátran mondhatom, mérföldkő a hacker társadalomban, a tevékenységükben. Mindennek természetesen megvan az árnyoldala is, mert semmi nem garantálja, hogy csak a white hackerek ismerik meg ezeket. Az azonban mégis biztató, hogy ezeknek a módszereknek köszönhetően „lemorzsolódnak” azok a crackerek, akik fő célja a haszonszerzés, vandál pusztítás volt.
A cikk kizárólag ismertetés céljából készült, bárki által elérhető irodalom segítségével. Senkit nem bíztat a módszer kipróbálására – inkább lebeszél arról. Ha valaki mégis megpróbál élni a cikkben leírtakkal, a felelősség csak őt terheli.