Αγοράσατε το ακριβότερο firewall της αγοράς, εγκαταστήσατε το καλύτερο λογισμικό anti-virus και το τελειότερο IDS, αλλά στο σχεδιασμό της ασφάλειας υπάρχει ένας ‘Αδύναμος Κρίκος’ τον οποίο έχετε παραβλέψει: Η ανθρώπινη φύση!
Αν κάποιος παραπλανήσει τους νόμιμους χρήστες των πληροφοριακών συστημάτων και τους αποσπάσει κωδικούς ασφαλείας ή την άδεια χρήσης των υπολογιστών τους, τότε τα πολύπλοκα και εξειδικευμένα συστήματα προστασίας από παράνομη πρόσβαση έχουν αποτύχει. Κάθε κλέφτης γνωρίζει καλά ότι ο απλούστερος τρόπος να παραβιάσει ένα σπίτι είναι να ξεκλειδώσει την πόρτα με το κλειδί, παρά να διαρρήξει την κλειδαριά ή να σπάσει το παράθυρο.
Στη γλώσσα της ασφάλειας πληροφορικής, η διαδικασία απόκτησης αυτού του κλειδιού ονομάζεται Social Engineering. Για λόγους οικονομίας αποδίδω τον όρο στα ελληνικά, με τη λέξη απάτη – χρησιμοποίηση δόλου ή ψεύδους προς παραπλάνησιν (Αντιλεξικόν – Θεολ. Βοσταντζόγλου). Οι απατεώνες, χωρίς να έχουν εξειδικευμένες τεχνικές γνώσεις, αλλά χρησιμοποιώντας την εξυπνάδα τους, τη γνώση της ανθρώπινης φύσης, κάποιες φαινομενικά επουσιώδεις πληροφορίες για την επιχείρηση, ακόμα και μεθόδους εκφοβισμού, παραπλανούν τους χρήστες και τους πείθουν να τους αποκαλύψουν εμπιστευτικές πληροφορίες που αφορούν στην ασφάλεια των συστημάτων. Έτσι έχουν στα χέρια τους τα ‘κλειδιά’ που θα τους επιτρέψουν να παραβιάσουν τα συστήματα και σε πολλές περιπτώσεις χωρίς το ‘θύμα’ να έχει καταλάβει τίποτε.
Η μέθοδος της απάτης
Τα μέσα εξαπάτησης είναι συνήθως απρόσωπα, το e-mail, το τηλέφωνο ή το διαδίκτυο. Οι απατεώνες προσποιούνται ένα συνάδελφο, ένα ανώτερο στέλεχος ή έναν έμπιστο εξωτερικό συνεργάτη – δικηγόρο ή επιθεωρητή. Ο απατεώνας δεν είναι μόνο καλός ηθοποιός, αλλά ταυτόχρονα μπορεί και ‘διαβάζει’ τους ανθρώπους και αντιλαμβάνεται ποια είναι η προσφορότερη τακτική προσέγγισης.
Οι περισσότερο δημοφιλείς τρόποι είναι:
- Τηλεφωνεί ή στέλνει e-mail σε κάποιον, προσποιούμενος υπάλληλο του τμήματος Πληροφορικής, ο οποίος χρειάζεται το userid και το password του χρήστη, για να επιλύσει κάποιο πρόβλημα που αφορά στο δίκτυο ή στον ίδιο το χρήστη.
Πρόσφατη έρευνα του European Network and Information Security Agency (ENISA), (Νοέμβριος 2008), κατέδειξε το πόσο ευάλωτοι είναι οι χρήστες σε απλές τεχνικές απάτης. Το 42% ανταποκρίθηκε σε εμφανώς πλαστό e-mail, ενώ το 23% των αποδεκτών στοχευμένης επίθεσης πραγματοποίησε ενέργειες που θα εξέθεταν τα συστήματα σε παράνομο λογισμικό. - Αντίθετα, επικοινωνεί με το IT, παριστάνοντας ανώτατο στέλεχος της εταιρείας που ξέχασε το password και χρειάζεται αυτή την πληροφορία επειγόντως.
- Πιάνει ψιλή κουβέντα με κάποιον υπάλληλο και δημιουργεί μια ‘σχέση εμπιστοσύνης’. Δεν χτυπάει κατευθείαν στο στόχο του, αλλά ξεκινά από τη γραμματέα, τον παρκαδόρο ή το φρουρό της εισόδου. Μαθαίνει την αργκό της εταιρείας, ονόματα στελεχών ή ακρωνύμια και εκμαιεύει πληροφορίες χρήσιμες για την παραβίαση της ασφάλειας.
Αν χρησιμοποιεί το τηλέφωνο, μαγνητοφωνεί και το σήμα τηλεφωνικής αναμονής που έχει η εταιρεία, ώστε να πείσει τον υπάλληλο ότι είναι συνάδελφος ή παραποιεί τον τηλεφωνικό του αριθμό, στην περίπτωση που ο άλλος έχει αναγνώριση κλήσεων. - Μαζεύει οποιαδήποτε πληροφορία που αφορά στην επιχείρηση και μπορεί να του χρησιμεύσει. Ψάχνει στο διαδίκτυο, στις εφημερίδες, ακόμα και στα σκουπίδια. Αν ο στόχος είναι καλός, δεν διστάζει να φτιάξει ένα πρόχειρο συνεργείο καθαριότητας ή να προσληφθεί ο ίδιος ως επιστάτης, ώστε να έχει τις πληροφορίες από πρώτο χέρι. Η υπομονή είναι το μεγαλύτερο προσόν του απατεώνα και οποιαδήποτε πληροφορία, όσο ασήμαντη και να είναι μπορεί να χρησιμεύσει.
- Καταχράται την εμπιστοσύνη των κοινωνικών δικτυακών τόπων. Το Facebook, το Myspace και το Linked In είναι εξαιρετικά δημοφιλείς κοινωνικοί δικτυακοί τόποι, τους οποίους οι χρήστες εμπιστεύονται. Ένα πλαστό e-mail προερχόμενο δήθεν από το Facebook μπορεί να είναι: «Η ιστοσελίδα μας, βρίσκεται υπό συντήρηση. Πατήστε εδώ για να ενημερώσετε τα στοιχεία σας». Φυσικά, αν πατήσετε το link, θα μεταφερθείτε στη σελίδα του απατεώνα και θα αποκαλύψετε τα προσωπικά σας στοιχεία.
- Η επινοητικότητα των απατεώνων δεν έχει τέλος. Φθάνουν στο σημείο να δημιουργήσουν οι ίδιοι πρόβλημα στο δίκτυο, ώστε να εμφανιστούν ως σωτήρες. Έτσι αποκτούν την εμπιστοσύνη των χρηστών και όταν στη συνέχεια στείλουν e-mail με επισυναπτόμενο αρχείο που περιέχει παράνομο λογισμικό, ο χρήστης το ανοίγει χωρίς δεύτερη σκέψη.
Οι τρόποι προστασίας
Η προστασία των συστημάτων πληροφορικής από το Social Engineering πρέπει να είναι μέρος του συνολικού σχεδίου ασφάλειας, αν και πολλές φορές παραβλέπεται. Μη θεωρείτε αυτονόητο ότι οι χρήστες ξέρουν να προστατεύσουν τον εαυτό τους. Αν δεν ενημερωθεί ρητά, ο μέσος χρήστης δεν έχει λόγο να αμφισβητήσει κάποιον που εμφανίζεται ως απολύτως δικαιολογημένος να ζητά πληροφορίες. Ακόμα και οι άνθρωποι της Πληροφορικής που έχουν μεγαλύτερη ευαισθησία σε θέματα ασφάλειας, διστάζουν να ζητήσουν στοιχεία ταυτότητας από έναν εξοργισμένο άνθρωπο που ισχυρίζεται ότι ανήκει στην ανώτερη διοίκηση.
Το πρώτο και καλύτερο μέτρο για την προστασία από το Social Engineering είναι οι πολιτικές ασφάλειας που καθορίζουν τις διαδικασίες με τις οποίες διευθετούνται αιτήματα, τα οποία αφορούν ευαίσθητα δεδομένα. Για να είναι όμως οι πολιτικές αυτές αποτελεσματικές, πρέπει:
- Όλα τα μέλη της διοίκησης να αποδεχθούν τις πολιτικές και να αντιληφθούν την αναγκαιότητα της ταυτοποίησης των στοιχείων τους, όταν ζητούν passwords εκτός της κανονικής διαδικασίας.
- Οι πολιτικές να επικοινωνούνται σε όλους τους χρήστες του δικτύου, παράλληλα με ενημέρωση για την αναγκαιότητα της συμμόρφωσής τους και με κατάλληλη εκπαίδευση.
- Να υπάρχουν συγκεκριμένες ποινές για τυχόν παραβίαση των πολιτικών, οι οποίες να είναι γνωστές στους χρήστες.
Οι πολιτικές πρέπει να είναι σαφείς και να διευθετούν ζητήματα, όπως:
- Διαχείριση password: ελάχιστο μήκος κωδικού, πολυπλοκότητα, αλλαγή σε τακτά χρονικά διαστήματα, απαγόρευση ευκολομνημόνευτων λέξεων (γενέθλια, ονόματα κ.λπ.), απαγόρευση αναγραφής του.
- Απαγόρευση αποκάλυψης εμπιστευτικών κωδικών σε οποιονδήποτε, εξαιρέσεις (αν υπάρχουν) και υπό ποιες συνθήκες. Ποιες διαδικασίες πρέπει να ακολουθηθούν αν κάποιος το ζητήσει.
- Υποχρεωτική αποσύνδεση (log-off) ή χρήση screensavers με προστασία κωδικού ή αν ο χρήστης λείψει από τη θέση του. Προληπτικά μέτρα κατά την πληκτρολόγηση του password.
- Μέτρα για τη φυσική ασφάλεια, που θα απαγορεύουν στους επισκέπτες ή προμηθευτές την ελεύθερη πρόσβαση στο computer room (π.χ. για να εγκαταστήσουν ένα key logger).
- Διαδικασίες ταυτοποίησης των χρηστών από και προς το IT (π.χ. μυστικά PINs, τηλεφωνική επιβεβαίωση).
- Διαδικασίες καταστροφής εγγράφων, δίσκων ή άλλων μέσων αποθήκευσης χρήσιμων πληροφοριών.
Μια καλή πρακτική για την προστασία από το Social Engineering είναι η δημιουργία κεντρικής βάσης δεδομένων, όπου καταγράφονται όλα τα περιστατικά εξαπάτησης. Για παράδειγμα, αν μία γραμματέας δεχθεί τηλεφώνημα ή e-mail από κάποιον που ισχυρίζεται ότι είναι ο υπεύθυνος ασφάλειας του IT και της ζητά να του αποκαλύψει τον κωδικό πρόσβασής της στο σύστημα, να μπορεί να αναφέρει το περιστατικό σε κάποιον αρμόδιο υπάλληλο ή υπηρεσία και αυτό να καταγραφεί.
Έτσι, οι υπεύθυνοι ασφαλείας θα είναι σε θέση να αντιλαμβάνονται ότι κάποιοι προσπαθούν να παρεισφρήσουν στο δίκτυο της επιχείρησης και να τεθούν σε επιφυλακή.
Όλα είναι θέμα εκπαίδευσης
Η τεχνική του Social Engineering είναι ο ευκολότερος και ο πιο διαδεδομένος τρόπος για έναν απατεώνα να παραβιάσει τα συστήματα ασφαλείας και να αποκτήσει πρόσβαση στα πληροφοριακά συστήματα της επιχείρησης. Εντούτοις, οι εταιρείες αν και ξοδεύουν τεράστια ποσά για τη θωράκιση των συστημάτων τους από επιθέσεις τεχνικής φύσεως, δεν δίνουν την απαραίτητη προσοχή στην αποφυγή εκμετάλλευσης του ‘ανθρώπινου παράγοντα’.
Η θέσπιση πολιτικών είναι το πρώτο βήμα για την προστασία της επιχείρησης από Social Engineering, αλλά ίσως το σημαντικότερο είναι η εκπαίδευση των εργαζομένων και η ενημέρωσή τους για τους κινδύνους που απορρέουν από τέτοιου είδους απάτες. Οι άνθρωποι που πέφτουν στην παγίδα του Social Engineering – είτε πρόκειται για κομπίνα κάποιου που προσποιείται το διευθυντή που θέλει αλλαγή password είτε για e-mail ενός ξένου – τάχα – πλούσιου Νιγηριανού με λεφτά για πέταμα – είναι αυτοί που δεν έχουν ακούσει ποτέ τίποτα για παρόμοιες απάτες. Η ενημέρωση για την ασφάλεια και η συνειδητοποίηση των κινδύνων πρέπει να είναι μέρος της εκπαίδευσης κάθε εργαζόμενου που χρησιμοποιεί το δίκτυο και τα συστήματα πληροφορικής και για να είναι αποτελεσματική πρέπει να είναι συνεχής.
Ο εκπαιδευμένος και ενημερωμένος χρήστης είναι και προστατευμένος, γεγονός που αποδεικνύεται περίτρανα στην περίπτωση του Social Engineering.
Της Ελένης Σωτηρίου
CISA, CISM