Kevin Mitnick: Základem jsou čtyři "A"

V únoru 2005 navštívil Prahu v rámci akce IDC IT Security Roadshow CEE 2005 Securing Business Resilience světově proslul...


V únoru 2005 navštívil Prahu v rámci akce IDC IT Security Roadshow CEE 2005
Securing Business Resilience světově proslulý hacker Kevin Mitnick, který se
proslavil obratně využívaným sociálním inženýrstvím. Při této příležitosti jsme
mu položili několik otázek.

Můžete našim čtenářům stručně přiblížit, co si vlastně lze představit pod
pojmem sociální inženýrství?
Je to umění donutit lidi, aby udělali to, co po nich žádáte. Ostatně, obchodní
a marketingové profese využívají velmi podobných postupů. Sociální inženýrství
ale představuje využití těchto technik neetickou cestou. Prostě jde o to, aby
se oběť ztotožnila s požadavkem, což je většinou prozrazení informace důležité
pro útočníka, nebo jde o nějaký úkon vypojení kabelu, změna konfigurace,
instalace softwaru. Je prostě mnoho úkonů, které jsou velmi nebezpečné, a které
tak ale mnohdy vůbec nevypadají. Sociální inženýrství je umění klamu,
ovlivňování a manipulace.

Mnohdy jste označován za "otce sociálního inženýrství". Vymyslel jste v této
oblasti něco nového, nebo jste jen obratně stavěl na základech položených
jinými?
Když jsem se před mnoha lety věnoval hackingu, používal jsem normální hackerské
techniky stejně jako sociální inženýrství. Ale stal jsem se opravdu známý jako
sociální inženýr stíhaný americkou vládou. Nicméně dosáhl jsem vysoké úrovně v
obou oblastech.
A proč je někdo úspěšný sociální inženýr? Někdo má prostě charisma, takže mu
druzí věří. To jsou třeba někteří úspěšní obchodníci a to je něco, co se
nenaučíte ze skript. Má to prostě hodně co dělat s tím, jaký se člověk narodí.
Někdo má talent prostě problém řešit a třeba i vyřešit nějakou neobvyklou
cestou. A někdo jde jen cestou odfajfkování jednotlivých bodů.

Dnes působíte takříkajíc na druhé straně barikády v osvětové oblasti, kde
varujete před riziky kybernetického prostoru. Co je podle vás nejobvyklejší
chyba obětí sociálního inženýrství?
Jednoznačně jde o neověřování identity. A to zvláště v případě, že oběť dostane
e-mail nebo má telefonát nebo jinou zprávu od cizí osoby a pokud tato cizí
osoba něco požaduje. Lidé by zkrátka měli být varováni, že může jít o sociální
inženýrství, a měli by prověřovat, jestli je to opravdu osoba, za kterou se
vydává.
V mnoha organizacích přitom neověřují ani identitu, ani autorizaci. Takže pokud
je útočník schopen se vydávat za insidera (člověka zevnitř organizace pozn.
autora), zná terminologii, jazyk, přezdívky, tak ho ostatní automaticky
považují za prověřeného. Třeba za nového zaměstnance. Ostatně, on je třeba i
novým zaměstnancem, ale nemusí být pro určitý typ informací autorizován.
Základem obrany tak jsou čtyři A: autentizace, autorizace, administrace a audit.

Stal jste se někdy vy osobně obětí sociálního inženýrství?
Ano, stal. Asi před rokem jsem byl ve Washingtonu D.C., kde jsem měl nějaké
jednání s federální telekomunikační komisí. V té době mi zatelefonoval jeden
reportér. Ptal jsem se ho, kde získal moje soukromé číslo, a on říkal, že od
mého vydavatele a že máme spolu natočit rozhovor pro agenturu AP ohledně mé
nové knihy. Ptal jsem se s kým konkrétně mluvil a on mi dal jméno mého osobního
manažera. Protože jsem spěchal, asi patnáctiminutový rozhovor jsem mu poskytl
přímo na ulici do telefonu. O týden později rozhovor vyšel a já dostal
vynadáno. Vydavatel mi vyčinil, proč jsem s oním reportérem mluvil.
Argumentoval tím, že jsme přece nechtěli v této době dávat žádné rozhovory.
Povídám si, hej, tak je to jasné obalamutil mě...


Absence zpětného kontaktu (nemožnost ověření), respektive dokonce odmítnutí
sdělení kontaktu ("ne, ne, neobtěžujte se, rád zavolám za chvíli sám", "na
tento e-mail neodpovídejte, generoval jej automatický systém" apod.).
n Neobvyklá žádost, kterou by měl správně vyřizovat někdo jiný ("váš kolega mi
slíbil pomoc a bohužel je služebně mimo/na obědě/na dovolené").
n Uvádění nějaké vyšší autority jako argumentu ("právě jsem hovořil s ředitelem/
jednatelem").
n Zvýrazňování naléhavosti příslušné žádosti, aby nebyl čas na ověřování či
přemýšlení ("opravdu to spěchá, a pokud mi nepomůžete...").
n Vyhrožování důsledky v případě, že nebudete konat dle příkazů ("bylo by jistě
nemilé, kdybych toto musel řešit s vaším nadřízeným").
n Neochota sdělovat jakékoliv další informace nebo odpovídat na doplňující
dotazy ("to není podstatné, já opravdu spěchám").
n Zmiňování mnoha jmen kolegů, známých, nadřízených apod.
n Komplimenty, pochlebování a flirtování ("slyšel jsem o vás jen chválu, a tak
jsem věděl, že mě nezklamete").



Proč je sociální inženýrství nebezpečné?
Odpověď je celkem jednoduchá: Protože funguje. Tato odpověď ale nic neříká o
tom, proč sociální inženýrství funguje a především jak se mu bránit.
Sociální inženýrství je zkrátka umění klamu. Jeho cílem je vytvořit v člověku
nějakým způsobem dojem, že situace je jiná, než ve skutečnosti je. Jinými
slovy: člověk nepozná, že mu telefonuje, e-mailuje nebo ho jinak oslovuje
podvodník, ale na základě některých uměle vytvořených indicií se domnívá, že
komunikuje s někým úplně jiným (důvěryhodným). Sociální inženýrství má ostatně
kořeny i v klasických podvodech reálného světa: falešní výběrčí doplatků za
vodu, plyn či elektřinu jsou velmi jasným příkladem. Přitom v kybernetickém
prostoru je sociální inženýrství zneužíváno více než kde jinde díky
standardizované komunikaci a díky možnosti nesmírně jednoduchého ústupu i
špatnému zajišťování stop v globálním médiu, jakým je internet. Sociální
inženýrství využívají nejrůznější e-mailoví červi (jen od počátku letošního
roku: Mytob.A se vydával za zprávu od FBI nebo Zar se vydával za sbírku na
pomoc obětem ničivé vlny tsunami v Asii). Stejně tak ho využívají i další
škodlivé kódy (třeba dialery pro to, aby si je uživatel do počítače dobrovolně
nainstaloval) nebo hackeři ("vyplňte tento formulář, a dostanete zdarma...").
Proti sociálnímu inženýrství se lze velmi obtížně bránit třeba už proto, že
člověk si vůbec nemusí uvědomit a to ani dodatečně že se stal terčem útoku.
Navíc si při cíleném útoku útočník sám (a pečlivě!) vybírá místo, čas a způsob
jeho provedení, takže jsou všechny výhody na jeho straně. Není proto divu, že
zpravidla bývá úspěšný.

Obrana
Z výše uvedeného by se dalo lehce odvodit, že proti sociálnímu inženýrství není
obrany. Pravda je ale spíše taková, že úspěšnost útočníků je dána
nepřipraveností obětí. V sociálním inženýrství totiž nepomohou žádné sebelepší
technické prostředky, když selže nejslabší článek systému: člověk. Neexistuje
zde zkrátka žádná technická "záchranná brzda" a více než v případech jiných
typů incidentů se projevuje absence školení, informací nebo obecného povědomí o
bezpečnosti.
Kromě neznalosti nebo neinformovanosti je dalším problémem usnadňujícím útok
pomocí sociálního inženýrství také přílišná důvěřivost (nebo pohodlnost při
ověřování informací). Sociální inženýrství lze totiž velmi snadno odhalit.
Stačí se jen nenechat zatlačit do defenzivy a neústupně hájit své pozice.
Jakmile se někdo bude snažit změnit zaběhané postupy a podmínky, ihned
zbystřete pozornost. V případě e-mailu je ověření snadné a nikdo jen trochu
soudný se jistě nebude zlobit, když zvednete telefon a zvláštní požadavek si
ověříte (třeba když vám přijde e-mail od "nového firemního správce hardwaru",
tak není nic jednoduššího, než zvednout telefon, vytočit linku podnikového
technického oddělení a s dotyčnou osobou chtít hovořit osobně a následně jí
třeba jen poděkovat za dobrou radu nebo vznést doplňující dotaz). V případě
telefonátu pak není nic jednoduššího, než se vymluvit na naléhavý hovor na
druhé lince a vzít si zpáteční kontakt. Varovným příznakem použití sociálního
inženýrství (viz samostatná tabulka) číslo jedna je totiž přímé či nepřímé
odmítnutí sdělit jakékoliv identifikační údaje.
Dále je nutné dodržovat určité hranice. Pokud vám nepřísluší operovat s
nějakými informacemi nebo daty, nečiňte tak. Někdy je sice pokušení velké
(ostatně, veleúspěšný e-mailový červ s přílohou vydávající se za fotografii
tenistky Anny Kurnikovové by asi mohl hovořit za vše), ale mějte na paměti
možné následky. I když vás někdo žádá o provedení úkonu za nepřítomného kolegu,
buďte velmi obezřetní snaha o zachránění kolegy před průšvihem může v konečném
důsledku znamenat, že se do maléru dostanete sami.
Ovšem obrana před sociálním inženýrstvím nesmí ležet pouze na bedrech uživatelů
také instituce by měla převzít svůj díl zodpovědnosti. Třeba vytvořením systému
klasifikace dat, který pak může sloužit jednotlivým uživatelům jako vodítko.
Nebo používáním technologie elektronického podpisu coby ověřovacího prvku u
e-mailů. Či pravidelným školením z oblasti IT bezpečnosti. Zkrátka a dobře: To,
že sociální inženýrství funguje, není ani tak zásluha útočníků jako spíše
nedocenění velikosti tohoto problému na straně (potenciálních) obětí.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.