Informatikai rendszerekbe betörni olyan egyszerű mint egy telefonhívást lebonyolítani. A hacker felhív egy tetszőleges céges telefonszámot, és egyszerűen elkéri az egyik felhasználó nevét és jelszavát. Meglepően és ijesztően sok ember hajlandó kiadni ezeket az információkat – állítja Kevin Mitnick a hackerek egykori királya.
Az egykori hacker és egy sikerkönyv írója, Kevin Mitnick szerint az emberek hajlandóak bízni olyanokban, akikről azt hiszik, hogy tudják miről beszélnek. Mitnick szerint senki nem ismeri annyira egy cég dolgozóit, mint maga a hacker. Azzal, hogy valaki IT- vagy termékszakértőnek adja ki magát, elnyerheti a bizalmát még az olyan biztonsági embereknek is akik az illetéktelenek távoltartására vannak kiképezve. Az úgynevezett social engineering, az emberek manipulálása a fő témája Mitnick népszerű könyvének, „A megtévesztés művészetének”. A szerző az IDC piackutatócég biztonsággal foglalkozó konferenciájának díszvendégeként hamarosan Magyarországra látogat.
A könyve látnivalóan egy figyelmeztetés. hogy túl hiszékenyek vagyunk. No de ennyire?
A könyvet valóban egyfajta oktató eszköznek szántam, hogy minél többet tudjon meg az olvasó a megtévesztési technikákról, taktikákról, stratégiákról amelyeket ipari kémek, hackerek és vandálok használnak jó, illetve ártó szándékkal. Nem számít, hogy egy cég, szervezet vagy kormányzat mennyi pénzt öl a technológiai biztonság kiépítésére, ha nem veszi a fáradságot, hogy kiképezze és kitanítsa dolgozóit. Amíg ezt meg nem teszik, a cégük ki lesz téve a social engineer támadásának.
Mit takar az ön által használt social engineer kifejezés?
Míg a közvélemény számára viszonylag ismeretlen a kifejezés, a social engineer fogalmát széles körben használják a számítógép biztonsággal foglalkozó közösségek. Olyan gyakorlott hackerről van szó, akik becsapja egy vállalat naív számítógép felhasználóját, hogy fontos információkat csaljon ki tőle.
A könyv tele van olyan történetekkel, amelyek sikeres támadásokat írnak le. Ezek valóban megtörtént eseteket?
Én is, és mások is azokat a támadási technikákat használták, amiket a könyvemben említek, persze a támadás pontos részleteit nem írtam le, a könyvben szereplő adatok kitaláltak. A lényeg az, hogy nem konkrét betöréseimről mesélek, hanem csupán azok taktikájáról, stratégiájáról, és azokról a folyamatokról amit egy social engineer nap mint nap használ.
Hogyan lett önből social engineer?
Ez még a 70-es évekre, a középiskolás éveimre nyúlik vissza, amikor találkoztam egy sráccal aki telefonbetyárkodással űzte az idejét. A telefonbetyárkodás a hackelésnek az a változata amikor a támadó teljesen feltárja egy telefonos hálózat működését, kezdve a telefontársaság alkalmazottainak megismerésétől, a rendszer teljeskörű átlátásáig. Ekkoriban történt az átállás a mechanikusról a számítógépes rendszerekre, ami nem volt sokkal előbb, mint amikor a telefonbetyárkodásból számítógépes hackelés lett. A social engineering ekkor lépett színre, hiszen amíg megpróbáltam feltárni egy telefonos rendszer titkos belső struktúráját, sokszor meg kellett változtatnom a kilétemet, telefontársasági dolgozónak kiadva magam. A cégnél különböző osztályokat és irodákat hívtam fel, hogy megszerezzem tőlük az információkat. Ehhez használnom kellett a társaság nyelvjárását, a szaknyelvet, hogy hitelesnek tűnjek. Ettől fogva kezdtem el programozást is tanulni. Mindig is nagy mókamester voltam, ezért amit tanultam, azt tanáraimon és a barátaimon teszteltem. Mindig hajtott a vágy, hogy olyan információkat szerezzek meg, ami a közvélemény számára nem érhető el.
Mi a social engineer első dolga, amikor támadást indít a célpontja ellen?
Minden támadás első fázisa a kutatás. Meg kell keresni minden szabadon hozzáférhető információt a cégről, mint például éves riportok, marketing brossurák, szabadalmazott alkalmazások, újságcikkek, iparági folyóiratok, honlapok tartalma, és még különböző információk, amelyeket a célpont szemeteskukájából ki lehet halászni, valamint meg kell tanulni mindent, amit a cégről és az emberekről meg lehet. Kinek van hozzáférése azokhoz az adatokhoz, amelyeket keresünk? Hol dolgoznak? Hol laknak? Milyen operációs rendszert használnak? Mi a szervezeti felépítése a cégnek? Ki melyik irodában dolgozik, és az hol helyezkedik el földrajzilag? Mindig úgy kell kiadnunk magunkat, mintha jogosultságunk és szükségünk lenne az adatra. Ahhoz, hogy ezt elhiggyék rólunk ismernünk kell a céges szakzsargont, a belső rendszereket, és képben kell lennünk a társasággal kapcsolatban. A kutatási szakasz után jön maga a támadás, amelynél ki kell találni az ürügyet, a cselt, amivel elnyerhetjük a megcélzott személy bizalmát és támogatását. Ha a támadást véghezvittük, megszereztük a bizalmat, és a kívánt információ már csak egy lépésre van, akkor visszatérünk a korábbi lépésekhez, mígnem sikerül megszerezni a kívánt információt.
Hogy-hogy ilyen könnyedén manipulálhatók az emberek?
Az emberi természet ilyen. Szerintem az emberek nagyon bíznak másokban és nagyon hiszékenyek. Hajlamosak azt hinni, hogy morálisan mások is ugyan olyanok, mint ők maguk. Nem próbálkoznának rászedni vagy megtéveszteni senkit, ezért nem feltételezik, hogy ez velük megtörténhet. A profi social engineer képes manipulálni kívánságainkat, hogy segítőkészek legyünk, hatással van együttérzésünkre, hiszékenységünkre és még a kíváncsiságunkra is.
Mi a különbség egy előre megfontolt támadás és egy közvetett támadás között?
Egy napon beszáll a liftbe egy nagyvállalatnál, és látja, hogy valaki elejtett egy floppy lemezt. A lemez piros, rajta van a cég logója, és nagy betűkkel rá van írva, hogy „Bizalmas – Alkalmazottak fizetési adatai”. Egy ilyenfajta szituációban Ön szerint az emberek többsége mit tenne? Kíváncsiságunkra hallgatva, betennénk a lemezt a gépbe és megnéznénk, hogy mi van rajta. Esetleg találhatnánk egy „bérlista” vagy egy „fizetések visszamenőleg” Word ikont. Valószínűleg megnyitnánk a file-t, hogy megnézzük mennyit keresnek a többiek a mi fizetésünkhöz képest. Mi történik ekkor? Hibaüzenetet kapunk például: „A program nem tudja megnyitni az adott file-t” vagy „A file sérült”. A felhasználó nem jön rá, hogy amit csinált az nem más, mint installált egy trójai lovat a gépére, ami szabad bejárást nyit a hackernek az illető gépébe. Aztán valószínűleg átadná a lemezt a HR osztálynak, ahol ők is berakják a gépbe, hogy megnézzék mi az, és így a hackernek már két géphez van hozzáférése. Ez a közvetett támadás klasszikus példája.
Közvetlen támadásnak nevezzük azt, amikor a támadó ténylegesen kommunikál az „áldozattal” akár telefonon, személyesen, faxon vagy email-en. Az esetek többségében a támadó valaki másnak adja ki magát – egy másik alkalmazottnak, eladónak, magas rangú vezetőnek – és megpróbálja rávenni áldozatát arra, hogy kiadja a számára fontos információt, vagy hogy futtasson egy szoftware-t, vagy látogasson el egy weboldalra, ami a végén tönkreteszi a vállalat infrastruktúráját. Vegyük például a John Wiley & Sons irodát – a célpontot. Első dolog, hogy készítünk egy hamis weboldalt, amely külsőre teljesen legálisnak tűnik. A honlap tartalmaz egy regisztrációs részt ahol a látogató email címmel és jelszóval tudja magát regisztrálni. Ezután a támadó email-t küld 1000 Wiley alkalmazottnak bátorítva őket, hogy regisztráljanak, mert óriási nyeremények várnak rájuk. Az emailben természetesen ott van a hamis weboldalra mutató link is. Tegyük fel, hogy csak 10 százalék reagál az e-mailre továbbá, hogy a reagálók 10 százaléka ugyanazzal a jelszóval regisztrál , mint amit bent az irodában használ. (Azért hogy ne kelljen annyi jelszót észben tartani legtöbbünk ugyanazt a jelszót használja mindenhol!) Ezzel a 25 email címmel és jelszóval már el lehet kezdeni a támadást.
Van valami különös árulkodó jel, ami sejteti velünk, hogy egy social engineer áldozatává váltunk, és ha van akkor milyen stratégiát válasszunk, hogy elkerüljük a támadást?
A leggyakoribb ilyen árulkodó jel, amikor valaki nem akarja megadni a számát, amin vissza lehet hívni. A legjobb stratégia pedig megkérdezni magunktól: miért én? Miért engem hívott? Van valami különleges abban, amit csinálok? Ha valaki ismeretlen megkér, hogy csinálj meg valamit neki – akármennyire ártalmatlannak tűnik – nézd meg jó alaposan, hogy mire is kér. Különösen az új embereknek kellene figyelniük, mert ők nagyon veszélyeztetettek: gyakran nem ismerik a biztonsági házirendet és az eljárásokat, kevés emberrel találkoztak még a cégnél szemtől szembe, ezért nem mindig tudják, hogy kikkel állnak szemben. Ezért esik meg, hogy az újoncok sokkal jobban megbíznak másokban, sokkal kooperatívabbak, csak hogy megmutassák, ők csapatjátékosok. Kevésbé valószínű, hogy megkérdőjelezik a forrást, főleg ha az a hierarchiában feljebb áll nála.