Kui me räägime inimeste manipuleerimisest (ehk social engineeringust), siis tuleb mulle kohe meelde Kevin Mitnick (ja muidugi Frank William Abagnale, kes ei tegelenud küll IT-ga kuid oli sellegi poolest väga osav manipuleerija). Kevin Mitnick oli umbes 5 aastat vangis seoses erinevate arvuti- ja kommunikatsioonisüsteeme puudutavate kuritegude eest ja Frank Abagnale veetis vähem kui 5 aastat vangis pettuste/võltsimiste jms. eest (tal oli väidetavalt vähemalt 8 täiesti erinevat identiteeti).
Alustame siis sellest, et mida social engineering endast kujutab. Social engineering kasutab ära inimlikke nõrkusi (ja/või rumalust), et pääseda ligi infole, ressurssidele (näit. IT ressursid) jne. Selle eesmärgi täitmiseks on välja mõeldud igasuguseid erinevaid tehnikaid ja need lähevad küllaltki tihti läbi, sest suurem osa inimesi katsub olla abivalmis ja kuulekas (paljudes kohtades on see nõue lausa töökirjelduses sees). Sellepärast öeldaksegi, et süsteemi nõrgim lüli asub tooli ja ekraani vahel. Üks hea näide nendest "inimlikest nõrkustest" on tahtmine mitte võlgu jääda. Seda ära kasutada on lihtne... kui sa teed midagi sellist, mis teist inimest aitab, siis jääb tihti sellele inimesele tunne nagu ta võlgneks sulle midagi (mis muudab ta veidi vastutulelikumaks su soovide suhtes). See asi toimib ka vastupidi... kellele ei meeldiks olla see "hea inimene", kes teise hädast välja aitab. Sa võid helistada oma ohvrile ja kurta kuidas ülemus elab seljas ja sul oleks vaja mingi asi/ülesanne ära teha, et muidu võid kinga saada jne... paljud inimesed oskavad seostuda sellega ja üldjuhul tahavad aidata (sest nad ise sooviks ka abi sellises olukorras). Social engineeringu meetodeid on väga palju ja kõigist me siin rääkida ei jõuaks.
Mida peab silmas pidama on see, et tihti küsitakse sellist infot, mis esijalgu tundub kahjutu. Tavaliselt ei tule sul keegi ligi, et "Ütle mulle oma kasutajanimi ja salasõna!" (seda juhtub üliharva). Tavaliselt jagatakse rünne laias laastus kahte faasi - info kogumine ja rünne ise. Suurem osa ajast läheb info kogumise alla, sest sellest sõltub kas rünnak on edukas või mitte. Info kogumine võib olla lihtne telefonikõne (nagu eelpool mainitud), kust sa saad paar infokildu, mis üksi ei paista eriti tähtsad olevat (aga kui neid piisavalt palju koguneb, hakkad sa nö. suurt pilti nägema). Dumpster diving on ka üsna vanakooli tehnika. Nagu nimi vihjab, lähed sa prügikasti sobrama. Inimesed viskavad igasugu tähtsat infot ära ilma sellest korralikult vabanemata, ehk siis ei kasutata paberihunti (kuigi isegi läbi hundi lastud dokumente on vahel võimalik kokku kleepida... kui aega ja kannatust on). Kogutud info on oluline, sest see aitab sul veenda oma ohvrit, et sa oled tõepoolest see kellena sa ennast tutvustad ning et ta võib sind usaldada. Frank Abagnale ütles näiteks, et arsti ja piloodi teesklemine oli raske, sest sa pidid olema kursis vastavate terminitega (ehk lingoga). Kui sa eeltööd ei tee ja üritad teisi piloote veenda, et sa oled üks neist, siis võetakse sind päris kiiresti vahele.
Mida peaks siis enda kaitsmiseks ära tegema? No esimene samm oleks kindlasti koolitamine. Tuleb personali õpetada ära tundma selliseid nõkse. Väärtuslik info on väärtuslik sõltumata sellest, et kas see tuli ülemuse või koristaja käest. Seega tuleks koolitada kõiki. Omast kogemusest lisan ma juurde ka näiteks sellise asja, et paljudel (eriti veidi vanematel) arvutikasutajatel on selline suhtumine, et ah kes see ikka mind soovib rünnata... mul nagunii midagi võttmist väärt ei ole. Selline võlts turvatunne muudab minu arust ka ohvriks langemise tõenäosust suuremaks. Teine samm oleks siis reeglite määramine. Kui inimesel on täpselt määratud reeglid ees, siis on lihtsam vältida igasugu lõkse. Näiteks kui öeldakse, et X infot võib väljastada ainult juhataja kirjaliku loa alusel, siis tavaliselt libedast jutust ei piisa... rõhk sõnal tavaliselt). Kõik see ei tohiks jääda ainult teooria tasandile vaid ka praktiliselt tuleks teste läbi viia... saata phishing kirju, teha telefonikõnesid jne. Sammuti ei tohiks see ühekordne sündmus olla vaid seda tuleks vahetevahel korrata. Minu isiklik arvamus on, et tehnoloogial on küll tähtis roll turvalisuse tagamisel aga mitte nii tähtis kui eelmisel kahel. Frank Abagnail näiteks ütles, et ükski süsteem ei ole lollikindel. Peaaegu igal süsteemil on kaks suurt puudust. Esiteks... ükski tehnoloogia ei aita social engineeringu vastu... kui ma helistan sulle veenan sind tegema seda mida ma tahan siis ei ole tehnoloogiast eriti kasu. Teine lähenemine on lihtne... kui ma ikkagi panen sulle püstoli kuklasse, siis sa teed mida ma käsin. Sel juhul ei pruugi koolitus ja reeglid ka aidata... äkki sul on teine PIN kood veel, mida häda korral kasutada... aga kui sa piisavalt palju kardad (näiteks ründaja on teadlik, et kaks PIN-i on), siis sa lihtsalt ei julge kasutada seda.
Nagu ma eespool mainisin, on social engineering väga lai teema, nii et siin jõudsin ma sellest väga väikese osa ära katta. Kui on soovi lähemalt tutvuda asjaga (et kes seda kasutab, milleks, millised ründevektorid on olemas jne.), siis soovitan külastada social-engineer.org lehte.
No comments:
Post a Comment