Човешкият фактор – слабото звено в системите за сигурност

Елена Янева | 23 юли 2010 | IT Сигурност | Няма коментари

„Можете да похарчите цяло състояние за техника и услуги, и сигурността на мрежата ви да бъде все така уязвима пред изтърканите похвати на манипулацията.“ Кевин Митник*

Трудно ще намерите подробно документиран случай на социално инженерство (social engineering). От една страна, организациите-жертви по-скоро биха прикрили подобен пробив в сигурността. От друга страна, служителите, спомогнали за изтичането на поверителна информация, много често не разбират, че са станали неволни съучастници в атаката.

Основната цел на социалното инженерство е същата, като на хакерството: придобиването на неоторизиран достъп до системи или информация, с цел измама, кражба на идентичност, индустриален шпионаж, или причиняване на друга вреда.
Основната разлика е, че социалното инженерство използва главно психологически методи, а именно естествената за човека склонност да се доверява. (Дори за умели хакери много често е по-лесно да пробият сигурността и да получат желаната информация, като просто вдигнат телефона и попитат Марианка от счетоводството за паролата й, вместо да използват техническите си умения.) Типичните цели на подобни атаки са телекомите, известни корпорации и финансови институции, военни и правителствени организации, болници.

Атаките на социалното инженерство протичат на две нива: физическо и психологическо.
Физическото ниво са офиси, телефони, кошчета за боклук, служебна поща.
На работното място социалният инженер може просто да влезе, представяйки се за лице по поддръжката, и да се разходи, докато намери няколко въргалящи се по бюрата пароли. Или незабелязано да наблюдава как усърден служител въвежда паролата си (shoulder surfing).
Още по-лесни са атаките по телефона. Изключително уязвими звена и чудесна точка за прицел са служителите в хелп десковете, които са обучени да предоставят информация и да бъдат максимално полезни.**
Кошчетата за боклук са друг богат източник на фирмена информация. Списъци с телефонни номера, организационни таблици, ръководства за фирмената политика, календари и мемота от срещи, разпечатки с лични данни или логин детайли – изхвърлените листове съдържат всичко необходимо, за да се възпроизведе структурата на организацията, начинът на функциониране, както и да се получи достъп до мрежата й.
Невероятно, но факт: дори изтърканият хакерски номер с изпращане на имейли до всички от името на системния администратор, с искане за паролите на служителите, все още работи.

Какво прави социалното инженерство толкова ефективно? Психологическият подход, използващ утвърдени методи за убеждаване: представяне за някой друг, конформизъм, позоваване на авторитетна фигура, разсейване на отговорността или просто дружелюбно отношение.
В компании със стотици и хиляди служители кражбата на идентичност не е трудна. Най-често използваните роли са: лица, отговарящи за техническата поддръжка, мениджъри, други служители или доверени трети лица (напр. асистент на генералния мениджър, който се обажда да каже, че генералният мениджър е разрешил предоставянето на поверителната информация).
Конформизмът също работи – когато служителят е убеден, че всички негови колеги вече са предоставили паролите си, напрежението намалява, отговорността се размива и получаването на паролата е много по-лесно.
Желанието да впечатлиш шефа е още една човешка слабост, която социалният инженер умело използва. Служителите по правило се чувстват длъжни да отговорят на всички въпроси на лицата, които са в позиция на власт в съответната организация.
Молбата за помощ, придружена от усмивка, лек флирт или ласкателство са други популярни методи за въздействие. Обичайната ни склонност да вярваме в доброжелателността на колегата отсреща и да му съдействаме, значително улеснява задачата на психо хакера.

Независимо от използвания метод, целта е жертвата да бъде убедена, че социалният инженер е човек, на когото може да има доверие при разкриването на поверителна информация.
И така, при всички скъпоструващи защити, сигурността на компанията много често може да се окаже в ръцете на Марианка от счетоводството, която се е опитала да съдейства на симпатичния нов „колега“ от ИТ отдела.