Κοινωνικά Χαρακτηριστικά
Η κοινωνική μηχανική διακρίνεται γενικά σε τέσσερις συνδυαστικές φάσεις, που είναι: η συγκέντρωση πληροφοριών, η ανάπτυξη σχέσεων, η εκτέλεση και η εκμετάλλευση/αξιοποίηση των αποτελεσμάτων. Έχοντας αναλύσει την πρώτη φάση και δίνοντας τον ορισμό της κοινωνικής μηχανικής στο πρώτο μέρος του άρθρου, στα επόμενα κεφάλαια αναλύονται τα ανθρώπινα και κοινωνικά χαρακτηριστικά που επιδρούν στην επίτευξη της δεύτερης φάσης (ανάπτυξη σχέσεων) καθώς και οι τεχνικές και τακτικές που χρησιμοποιούνται στην τρίτη φάση. Το άρθρο ολοκληρώνεται, παρουσιάζοντας την εκπαίδευση του προσωπικού του Οργανισμού ως τη βέλτιστη άμυνα απέναντι στην κοινωνική μηχανική.
Οι κοινωνικοί μηχανικοί χρησιμοποιούν και ταυτόχρονα εκμεταλλεύονται πολλά από τα θετικά κοινωνικά χαρακτηριστικά των ανθρώπων, όπως τα κάτωθι:
- Να είναι εξυπηρετικοί. Η εκπαίδευση που γίνεται σήμερα σε ανεπτυγμένους Οργανισμούς και εταιρείες είναι το προσωπικό να είναι ευγενικό και εξυπηρετικό, ώστε κάθε πελάτης ή συνεργαζόμενος με τον Οργανισμό να είναι ευχαριστημένος. Η καλύτερη αξιολόγηση που απολαμβάνει κάθε υπάλληλος προέρχεται ως ανατροφοδότηση (feedback) από όλους αυτούς που επικοινωνούν μαζί του και τους εξυπηρετεί. Οι περισσότεροι επομένως εκ των υπαλλήλων επιθυμούν να φανούν χρήσιμοι, αλλά τελικά αυτό μπορεί να οδηγεί στην αποκάλυψη πολλών πληροφοριών.
- Την τάση για εμπιστοσύνη. Από την ανθρώπινη φύση πηγάζει και η τάση να εμπιστευόμαστε ανθρώπους μέχρι αυτοί να αποδειχθούν ανάξιοι αυτής της εμπιστοσύνης. Κάθε φορά που κάποιος μας λέει τηλεφωνικά ότι είναι κάποιο συγκεκριμένο άτομο, εμείς αποδεχόμαστε αυτό το γεγονός ως απόλυτο δεδομένο. Η αποδοχή όμως αυτής της σύστασης πρέπει να συνοδεύεται από άλλες ανεξάρτητες αποδείξεις, που επίσης να το αποδεικνύουν.
- Τον φόβο και αίσθημα ευθύνης ώστε να μην προκαλέσουν πρόβλημα στη λειτουργία του Οργανισμού. Όλοι οι εργαζόμενοι έχουν διαισθανθεί τη δυσανασχέτηση που πολλές φορές προκαλούν κατά την ταυτοποίηση ενός προσώπου. Για την αποφυγή επιπρόσθετων προβλημάτων στην αξιολόγησή τους, πολλές φορές αποφεύγουν να διεξάγουν περαιτέρω έρευνα επί των προσωπικών στοιχείων και αποδέχονται πλήρως τις συστάσεις. Η διοίκηση του Οργανισμού θα πρέπει να ενθαρρύνει στο προσωπικό της την ευγενική ταυτοποίηση κάθε προσώπου που συνδιαλέγεται με την εταιρεία. Ο φόβος να μην έχουμε προβλήματα με την εργοδοσία ή τον προϊστάμενό μας μπορεί να προκαλεί λανθασμένες άμεσες ταχύτατες ενέργειες διεκπεραίωσης της κλήσης ή του email με πλήρη κατάργηση της επιβεβαίωσης της ταυτότητας του εξυπηρετούμενου.
- Την προσπάθεια να βρίσκουν εύκολες μεθόδους για τα εμπόδια (cut corners). Σε πολλές περιπτώσεις η προσπάθεια επίτευξης μεγαλύτερης αποδοτικότητας και χρονικού κέρδους ως υπαλλήλους, μας προκαλεί να παρακάμψουμε τακτικές που συνεχώς ανακοινώνονται από τους διαχειριστές του συστήματος. Μία από αυτές είναι το γράψιμο του κωδικού πρόσβασης σε χαρτί πάνω στην οθόνη ή τοποθέτησή του κάτω από το πληκτρολόγιο.
Ανακαλύπτοντας και χρησιμοποιώντας κακόβουλα όλα τα ανθρώπινα χαρακτηριστικά ξεγυμνώνονται οι ανθρώπινες ατέλειες με πολύ πιο φθηνό και εύκολο τρόπο από το να βρεθούν τα κενά ασφαλείας ενός δικτύου υπολογιστών μέσω των κλασικών συστημάτων παραβίασης. Αυτό που ιδιαίτερα πρέπει να μας ανησυχήσει είναι ότι όλα τα παραδείγματα που αναφέρονται στο παρόν άρθρο είναι γνωστά στη βιβλιογραφία μόνο από την κακή εφαρμογή της κοινωνικής μηχανικής. Η σωστή εφαρμογή της δεν αφήνει κανένα ίχνος και δεν εγείρει καμία υποψία ή ανησυχία στο προσωπικό των Οργανισμών. Θεωρούν έτσι οι εργαζόμενοι ότι ποτέ δεν έχουν πέσει θύματα και φυσικά δεν έχουν αναφέρει ποτέ την παραμικρή υποψία. Βασιζόμενοι σε έρευνες, περίπου οι μισοί από τους διαχειριστές ασφαλείας μεγάλων αμερικάνικων εταιρειών έχουν πέσει θύματα προσπάθειας απόσπασης πληροφοριών μέσω κοινωνικής μηχανικής, περισσότερες από μία φορές.
Ανθρώπινα Χαρακτηριστικά (εκμεταλλεύσιμα στην κοινωνική μηχανική)
Η κοινωνική μηχανική, ως wetware αφορά σε ψυχολογικούς παράγοντες που επιδρούν στον ίδιο τον άνθρωπο. Δύναται να είναι επιτυχής εφόσον γίνει σωστή συνδυαστική εκμετάλλευση των κοινωνικών χαρακτηριστικών αλλά και ορισμένων ανθρώπινων χαρακτηριστικών, όπως:
- Αποποίηση Ευθύνης. Σε διάφορα πειράματα που έχουν γίνει σε σύνολο ανθρώπων στο φυσικό κόσμο, κανένας δεν αναλαμβάνει ενέργειες για κάποιο θέμα, ξεκάθαρα προβληματικό για όλους, εφόσον θεωρείται ότι “κάποιος (άλλος) θα κάνει κάτι”. Τα στοχευόμενα θύματα θα βρεθούν σε μια κατάσταση όπου πολλαπλοί παράγοντες θα μηδενίσουν ή θα κάνουν διάφανη την προσωπική ευθύνη, με αποτέλεσμα την απόσπαση των πληροφοριών που επιθυμούν. Ακόμα και στον ψηφιακό κόσμο, με μελέτη του 2002, η πιθανότητα να δοθεί βοήθεια όταν ζητηθεί (help requests) είναι 3 φορές μεγαλύτερη μέσω προσωπικών μηνυμάτων, σε αντίθεση με μαζικές αποστολές μηνυμάτων. Όταν δηλαδή μεγάλο μέρος των υπαλλήλων γίνεται κοινωνός μιας συγκεκριμένης δυσλειτουργίας και μιας ευθύνης συλλογικής που απορρέει από αυτήν, είναι λιγότερο πιθανό να αντιδράσει το άτομο.
- Απόκτηση Εύνοιας. Τα στοχοποιημένα θύματα βρίσκονται σε θέση να πιστεύουν ότι παρέχοντας τη ζητούμενη βοήθεια, θα έχουν μεγάλες πιθανότητες να αξιολογηθούν θετικά και να κερδίσουν οφέλη, χωρίς να αξιολογούν την ταυτοπροσωπία του καλούντος. Αυτό περιλαμβάνει την αναρρίχηση στην ιεραρχία, τις θετικές σχέσεις με τη διοίκηση ή το άριστο feedback από τους πελάτες. Οι μέθοδοι που χρησιμοποιούνται είναι ανάλογες με το χαρακτήρα του θύματος. Συνοπτικά, στην περίπτωση άντρα, αυτός καλείται από μια ευγενική γυναικεία φωνή που θα μπορέσει να χειριστεί το θύμα εξαιρετικά. Αντίθετα, όταν πρόκειται για γυναίκα που στοχοποιείται, τότε ο κοινωνικός μηχανικός θα είναι άντρας που μπορεί να μη μοιάζει με τον Sean Connery, αλλά, θα ακούγεται τόσο καλά όσο αυτός, ώστε η γυναίκα να αποκριθεί θετικά σε όλα τα αιτήματά του.
- Σχέσεις Εμπιστοσύνης, Ευγένεια και Φιλικότητα. Κάθε οργανωμένη επίθεση κοινωνικής μηχανικής χτίζει σχέσεις εμπιστοσύνης σε διάφορα επίπεδα, ώστε να γίνει πιο επιτυχής. Από μια σειρά γεγονότων τα θύματα αισθάνονται ότι γνωρίζουν καλά τον επιτιθέμενο, ακόμα και αν δεν τον έχουν γνωρίσει ποτέ από κοντά. Σε πολλές περιπτώσεις οι επιθέσεις κοινωνικής μηχανικής έχουν εκτελεστεί από πρώην περιστασιακά εργαζόμενους σε εταιρείες, που εν συνεχεία προσποιούνται τη συνέχιση της εργασίας σε άλλο υποκατάστημα, π.χ. τραπεζικό, ώστε να εξαπατήσουν τα θύματά τους, π.χ. παλαιούς συναδέλφους της ίδιας τράπεζας.
- Ενοχές και Συμπόνια. Τις ενοχές στα αισθήματά μας μπορεί να τις χρησιμοποιήσει ψευδώς το υποτιθέμενο θύμα, όπως π.χ. ένας άμοιρος νεαρός που υποτίθεται πως ανήκει στην ασφάλεια του δικτύου και μας είναι πολύ δύσκολο να του αρνηθούμε τη βοήθεια. Οι περισσότεροι από εμάς θα πράξουν ότι είναι δυνατό στο να εξυπηρετήσουν σε μια τέτοια περίπτωση, καθώς μας δημιουργείται αίσθημα συμπόνιας προς τον προσποιούμενο τον επαγγελματικά ευάλωτο.
- Απόσπαση Προσοχής και Αντιπερισπασμός. Ως ανθρώπινα όντα μπορούμε να επικεντρωθούμε σε συγκεκριμένο αριθμό καθηκόντων και καταστάσεων. Κυρίως αφοσιωνόμαστε σε γεγονότα που εξελίσσονται τη συγκεκριμένη στιγμή και απαιτούν άμεσες ενέργειες και δίνουμε μικρότερη σημασία σε έκτακτα συμβάντα, φαινομενικά χαμηλότερης σημασίας. Στην περίπτωση αυτή ο επιτιθέμενος αποσπά τις πληροφορίες που επιθυμεί πιο εύκολα.
- Αμφιλογία και Συμμόρφωση. Όταν οι οδηγίες έχουν αμφιλεγόμενη ερμηνεία, τότε συνήθως είτε εφαρμόζουμε κάτι εντελώς διαφορετικό είτε παρακάμπτουμε την οδηγία εντελώς. Ο κοινωνικός μηχανικός θα προσπαθήσει να εντοπίσει δυσνόητες οδηγίες στην πολιτική ασφαλείας, που στην πράξη θα ερμηνεύονται με ένα συνήθη εντελώς διαφορετικό τρόπο εντός του Οργανισμού για λόγους ευκολίας. Ταυτόχρονα θα προσπαθήσει να πείσει ότι η συμμόρφωση με τους κανονισμούς δεν θα παραβιαστεί, αφού έτσι (λανθασμένα) πράττεται απ’ όλο το υπόλοιπο προσωπικό.
- Διοίκηση και Εξουσία. Η συμπεριφορά στους προϊσταμένους είναι τις περισσότερες φορές πολύ διαφορετική απ’ ό,τι στο χαμηλόβαθμο προσωπικό. Η τακτική αυτή αφήνει κενά ασφαλείας σε μια ενδεχόμενη τηλεφωνική προσποίηση από έναν κοινωνικό μηχανικό.
Για έναν επαγγελματία στην ασφάλεια πληροφοριών, η κοινωνική μηχανική είναι η ικανότητα/τέχνη ενός ανθρώπου να παρεισφρέει σε υπολογιστικά συστήματα και συνεπώς σε ευαίσθητες πληροφορίες, μέσω εκμετάλλευσης ανθρώπινων ψυχολογικών αδυναμιών. Αντί δηλαδή ο κακόβουλος παρείσακτος να προσπαθεί να αντιμετωπίσει και να «σπάσει» την ασφάλεια του υπολογιστικού συστήματος εκμεταλλευόμενος κάποια αδυναμία φυσική, λογισμικού ή υλικού ώστε να εισχωρήσει στο δίκτυο, μπορεί αντίθετα να προσπαθήσει να εκμεταλλευτεί τις ανθρώπινες αδυναμίες, π.χ. αποσπώντας του τον κωδικό εισόδου ενός υπαλλήλου, καλώντας τον τηλεφωνικά και προσποιούμενος το διαχειριστή (administrator) του δικτύου. Η μέθοδος κοινωνικής μηχανικής μπορεί να εξελιχθεί πολύ πιο πολύπλοκη από μια τηλεφωνική κλήση. Σε κάθε περίπτωση ο στόχος του επιτιθέμενου είναι σε πρώτο βαθμό να κερδίσει την εμπιστοσύνη ενός η περισσότερων υπαλλήλων.
Ο σκοπός είναι έμμεσα ή άμεσα να αποκτηθούν προσωπικές ή εταιρικές πληροφορίες, που θα οδηγήσουν τον κακόβουλο κοινωνικό μηχανικό (social engineer) πιο κοντά στην απόκτηση οικονομικών ή πληροφοριακών οφελών. Μερικές αρχικές πληροφορίες και ευαίσθητα δεδομένα που ενδέχεται να γίνουν πολύ χρήσιμες με ελάχιστη αξιοποίηση είναι: κωδικοί (passwords), τραπεζικοί λογαριασμοί, κάρτες εισόδου, κωδικοί πρόσβασης ή κλειδιά, τηλεφωνικές λίστες προσωπικού με αντιστοίχιση θέσεων, προσωπικές πληροφορίες, λεπτομέρειες για το εσωτερικό δίκτυο σε τοπικές θέσεις ή σε διακομιστές, καθήκοντα, κατανομή και ιστορικό θέσεων προσωπικού. Οι πληροφορίες αυτές δεν περιορίζονται και κάθε δυνατός συνδυασμός μπορεί να φανεί χρήσιμος για διαφορετικό κακόβουλο κοινωνικό μηχανικό.
Ο διαχειριστής ενός δικτύου αντιμετωπίζει τον κοινωνικό μηχανικό ως απώτερο παραβάτη ασφαλείας του δικτύου, μέσω παραπλάνησης και εξαπάτησης. Η κατανόηση των αποτελεσμάτων που επιφέρει, των δυνατοτήτων που έχουμε για την αντιμετώπιση, καθώς και οι ευκαιρίες για εκπαίδευση του προσωπικού μας ως διαχειριστές δικτύου, είναι αυτά που θα ελαχιστοποιήσουν τον κίνδυνο έκθεσης σε κάθε προσπάθεια παραβίασης ασφαλείας μέσω κοινωνικής μηχανικής.
ΒΙΒΛΙΟΓΡΑΦΙΑ
1. Thomas R. Peltier CISSP, CISM (2006): Social Engineering: Concepts and Solutions, Information Systems Security, 15:5, 13-21, http://dx.doi.org/10.1201/1086.1065898X/46353.15.4.20060901/95427.3
2. Kurt Manske (2000): An Introduction to Social Engineering, Information Systems Security, 9:5, 1-7, http://dx.doi.org/10.1201/1086/43312.9.5.20001112/31378.10
3. Infosecurity Magazine, “Social engineering: Re-defining the human factor”, 24 May 2010, http://www.infosecurity-magazine.com/view/9697/social-engineering-redefining-the-human-factor/
4. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal: A Global Perspective, 18:1, 40-46, http://dx.doi.org/10.1080/19393550802623214
5. Alistair S. Duff (2005): Social Engineering in the Information Age, The Information Society: An International Journal, 21:1, 67-71, http://dx.doi.org/10.1080/01972240590895937
6. Cadet Derek Kvedar, 2nd Lieutenant Michael Nettis and Dr. Steven P Fulton, USAF Academy, “The Use of Formal Social Engineering Techniques to Identify Weaknesses during a Computer Vulnerability Competition”
7. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal:A Global Perspective, 18:1, 40-46, http://dx.doi.org/10.1080/19393550802623214
8. Lena Laribee, Captain, USAF, “Development of Methodical Social Engineering Taxonomy Project”, Naval Postgraduate School, June 2006, http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm
9. Security Tip (ST04-014), US CERT, http://www.us-cert.gov/ncas/tips/st04-014
10. Christopher J. Hadnagy & Eric Maxwerll, Social Engineering Capture the Flag Results, Defcon 20, http://www.Social-Engineering.org
Διαβάστε ολόκληρο το άρθρο σε μορφή pdf
Για έναν επαγγελματία στην ασφάλεια πληροφοριών, η κοινωνική μηχανική είναι η ικανότητα/τέχνη ενός ανθρώπου να παρεισφρέει σε υπολογιστικά συστήματα και συνεπώς σε ευαίσθητες πληροφορίες μέσω εκμετάλλευσης ανθρώπινων ψυχολογικών αδυναμιών
Χαράλαμπος Γκιώνης