Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt.
Usadili ho v konferenčnej miestnosti a priviedli projektantov aj manažérov. Spoločnosť v tom čase už 14 mesiacov pracovala na jedinečnom projekte a ich najväčší konkurent výrazne zaostával. Konzultant vzal do ruky projekty výrobku a so slovami: „Budem v najbližších dňoch trocha pracovať doma“, si ich zasunul do kufríka. Ekonómov sa opýtal, koľko bude stáť výroba a kto dodá potrebné komponenty, od ľudí z marketingu zistil, kedy má byť produkt uvedený na trh a ako bude vyzerať. Po pár hodinách všetkým srdečne potriasol rukami, poďakoval sa a vyšiel z budovy. O pár dní neskôr spoločnosť zistila, že „konzultanta“ si najal ich najväčší konkurent. Konkurent priniesol výrobok na trh ako prvý.
Skutočná udalosť, o ktorej informoval internetový mesačník Computer Security Alert, je typickým príkladom sociálneho inžinierstva – metódy prieniku do systémov s využitím psychologických trikov namiesto technických prostriedkov.
Lacný prienik do drahých systémov
Ciele „sociálnych inžinierov“ sú rovnaké, ako ciele crackerov, ktorí pracujú technickými prostriedkami: získanie prístupu k cudziemu systému, priemyselná špionáž, finančný podvod alebo krádež identity s cieľom získať možnosť vystupovať v mene niekoho iného.
Obeťou sociálneho inžinierstva nemusí byť len firma, ktorá omylom odoslala svoje dokumenty konkurencii, ale aj bežný občan, ktorý prišiel o financie, pretože pri vyberaní peňazí z bankomatu niekto odpozeral jeho PIN.
Elegancia sociálneho inžinierstva spočíva práve v jednoduchosti jeho techník – namiesto hľadania bezpečnostnej diery v počítačovom systéme stačí v mnohých firmách jednoducho vojsť do budovy, na vrátnici nahlásiť falošné meno, prejsť sa kanceláriami a prečítať si vstupné heslo do systému z lístočkov, ktoré si zamestnanci s obľubou nalepujú priamo na monitory.
Výhodou je, že kým na prienik do systému „tradičnou“ technickou metódou je zväčša nutné, aby administrátor systému zanedbal svoje povinnosti, na začiatok úspešného prieniku sociálnym inžinierstvom stačí, ak nie je v strehu ktorýkoľvek radový zamestnanec. Pochopiteľne, obe metódy sa často kombinujú: sociálnym inžinierstvom sa získa základný prístup do počítačovej siete a dielo je potom dokonané z bezpečia domova cez internet.
Útočník je sexy
Sociálne inžinierstvo vyžaduje od útočníka najmä odvahu, empatiu, herecké schopnosti a schopnosť využiť tradičné ľudské vlastnosti vo svoj prospech. Typicky ide najmä o márnomyseľnosť, radosť z možnosti pomôcť iným a zároveň tendenciu dôverovať kolegom a snahu nadbiehať nadriadeným.
Sociálne inžinierstvo prebieha najčastejšie cez telefón, kde je najjednoduchšie prebrať na seba zvolenú úlohou. Najpoužívanejšou rolou crackera je „autorita“ alebo „zamestnanec dôveryhodnej partnerskej firmy“. „Tu je Milan Petráš, marketingový riaditeľ. Kolega, potrebujem od vás jednu láskavosť: technici odišli na obed a ja sa neviem dostať do svojho počítača…“ Alebo iný variant: „Tu je Zuzana Andrejčáková, asistentka generálneho riaditeľa,“ predstaví sa útočníčka skutočným menom asistentky vášho šéfa. „Sme práve na dôležitom rokovaní mimo Bratislavy a ja som zabudla v kancelárii finančný plán – mohli by ste mi ho, prosím, odfaxovať…“
V prípade osobného kontaktu určite nebude crackerom vychudnutý čudák s hrubým rámom okuliarov, ale skôr vysoká blondínka s koketným hlasom a poodhaleným poprsím. „Len včera som nastúpila a neviem, kde mám nájsť všetky tie dokumenty…“
Okrem „hlúpeho používateľa v problémoch“ je obľúbenou rolou aj opravár či pracovník technickej podpory alebo konzultant z renomovanej spoločnosti.
Nedôveruj a preveruj
Proti sociálnemu inžinierstvu neexistuje jednoduchá obrana. Bez dôvery medzi zamestnancami by totiž nemohli podniky fungovať a s kolegami, ktorí vám nikdy nie sú ochotní pomôcť, by bola práca v kancelárii neznesiteľná. Sociálny inžinier od vás nikdy nežiada priveľa informácií naraz, mozaiku o vašej firme si skladá po častiach, z drobných informácií získaných od rôznych ľudí. Prezradiť ho však môžu detaily – napríklad keď nazve vášho dovolenkujúceho kolegu Jozef, hoci všetci známi ho volajú Dodo. Jediným spôsobom, ako predchádzať sociálnym útokom, je systematické vzdelávanie a informovanie zamestnancov o takýchto hrozbách.
Ak ste vedúci pracovník a zaujímalo by vás, ako je vaša firma náchylná podľahnúť útoku sociálnych inžinierov, je dobré položiť si aj takúto otázku: „Ak by mi podriadený, ktorého osobne nepoznám, cez telefón odmietol prezradiť dôležitú informáciu, ktorú naliehavo potrebujem – potrestal by som ho alebo pochválil?“
Autor: Richard Havroš
