Socjotechnika wytrych bezpieczeństwa informacji
Transkrypt
Socjotechnika wytrych bezpieczeństwa informacji
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Socjotechnika wytrych bezpieczeństwa informacji Autor: Agnieszka Zalewska 12.07.2007. Zmieniony 30.07.2010. Pojęcie "socjotechnika" z pozoru może brzmieć obco. Wielu z nas bez zastanowienia odpowie, że nigdy się z nią nie spotkało. Podobnie brzmiałyby odpowiedzi, jeżeli zapytalibyśmy, kto miał do czynienia z socjotechnikiem. Czy tak jest naprawdę? Przyjrzyjmy się na początku samemu pojęciu. Socjotechnika często określana jest jako inżynieria społeczna, socjalna. W fachowej literaturze można spotkać się z kilkoma jej definicjami. Dla przykładu Słownik Encyklopedyczny Edukacji Obywatelskiej socjotechnikę przedstawia jako ogół metod, środków i działań praktycznych zmierzających do wywołania pożądanych przemian w postawach lub zachowaniach społecznych. Jako podstawowe metody socjotechniczne wymienia perswazje, manipulację, intensyfikację lęku. W praktyce oddziaływania socjotechniczne kierowane są zarówno na emocje (np. strach, współczucie, miłość), jak i intelektualne (prezentacja danych statystycznych, powoływanie się na badania i autorytety naukowe). Social Engineering, czyli inżynieria socjalna, we współczesnym świecie jest dziedziną hackingu zajmującą się aspektami manipulacji ludźmi. Kim zatem jest socjotechnik? Bazując na powyższych definicjach socjotechnik przedstawia się jako osoba, która posługując się manipulacją wydobywa od innych informacje. Nie można jednoznacznie stwierdzić, iż jest to wymuszenie przekazania danych. Socjotechnik do każdego ataku dokładnie się przygotowuje. Często poświęca trochę czasu na poznanie żargonu firmy, specyfiki jej działalności. Następnie dopiero atakuje. Dlaczego to robi? Odpowiedzi może być wiele - dla własnej satysfakcji, ciekawości; dla pokazania innym, że on też potrafi lub zwyczajnie na prośbę kogoś, kto potrzebuje konkretnych, niepublikowanych danych konkurencyjnej firmy. Najbardziej znanym w świecie socjotechnikiem jest Kevin Mitnick. Jeszcze jakiś czas temu człowiek, którego panicznie bała się Ameryka oraz osoba, która była najintensywniej poszukiwana przez FBI. Obecnie Kevin współpracuje z rządem amerykańskim, wykorzystując swoją wiedzę dla zapewnienia bezpieczeństwa informacji. Wcześniej Mitnick wykorzystywał swoje umiejętności, chęć poznawania nowych technologii oraz naiwność innych ludzi do pozyskiwania niejawnych informacji. Jak sam twierdzi łamał ludzi nie hasła. W jaki sposób atakuje socjotechnik? Metod może być wiele. Najprostszą z nich jest wykonanie telefonu. Banalne i z pozoru może się wydawać, że w taki sposób socjotechnik nie jest w stanie pozyskać chronionych przez firmę danych. Nic bardziej mylnego. Od recepcjonistki, która dziennie odbiera nawet setki telefonów może zdobyć informacje, które poskładane w całość mogą stanowić zagrożenie dla firmy. Zwykle pracujące w recepcji osoby są przyzwyczajone do dziwnych pytań, na które szybko dają odpowiedź, aby mieć chwilę wytchnienia do kolejnego telefonu czy gościa. Warto tutaj zaznaczyć, że celem socjotechnika nie musi być firma, mogą nim być np. banki czy jednostki samorządu terytorialnego. Wyzwaniem dla niego są miejsca, w których trudniej o pozyskanie informacji. Zapewne ogromną satysfakcję daje zdobycie danych z jednostek, które, zgodnie z ich przeznaczeniem, powinny te informacje chronić. Ileż to razy spotkaliśmy się z telefoniczną prośbą o podanie danych, bo komuś zawiesił się komputer, a pilnie są mu one potrzebne. W takich sytuacjach często nikt się nie zastanawia nad zagrożeniem, ale z reguły robi koleżeńską przysługę, bo przecież każdy z nas może być kiedyś w podobnej sytuacji i też będziemy chcieli, aby ktoś nam pomógł. To właśnie naszą naiwność i często naturalną chęć niesienia pomocy innym wykorzystuje socjotechnik. Sposoby i przykłady metod działania socjotechnika mogłabym tu mnożyć. Jednak moim celem jest zwrócenie uwagi na płynące z tej sfery zagrożenie dla bezpieczeństwa firmy, banków, a nawet bezpieczeństwa państwa. Uważam, że w tej chwili należy się skupić nad tym, jak się bronić przed tego typu atakami. Tutaj nie wystarczą najnowsze techniczne zabezpieczenia, ponieważ atak socjotechnika skierowany jest na najsłabsze ogniwo systemu bezpieczeństwa - na człowieka. Trudno jest nauczyć każdego pracownika ograniczonego zaufania w stosunku do innych w taki sposób, aby ten nie popadł w paranoję ze swoją czujnością. Najważniejsze są tutaj szkolenia i odpowiednie zapisy w polityce bezpieczeństwa każdej firmy czy instytucji oraz ich realizacja. Należy położyć w nich nacisk na klasyfikowanie informacji jako niejawne oraz na takie, które są jawne. Jednakże przy tych ostatnich należy również spisać procedury ich przekazywania, szczególnie na zewnątrz. Nie można dopuścić do sytuacji, w której informacje z kategorii "jawne" przekazujemy każdej zainteresowanej nimi osobie. Sposób podawania danych powinien się odbywać poprzez różnego typu możliwości uwierzytelniania osoby, która o nie prosi. Obecnie bagatelizuje się ważność każdej informacji. Dba się o te z klauzulą np. "niejawne", a te bez oznaczenia mogą swobodnie "wypływać". Z drugiej strony coraz częściej mówi się o bezpieczeństwie firm, co może http://www.witczak.priv.pl Kreator PDF Utworzono 7 March, 2017, 16:16 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT sugerować powolne wprowadzenie zmian organizacyjnych, proceduralnych w celu zapewnienia bezpieczeństwa informacji. Coraz więcej pism branżowych porusza temat zabezpieczenia informacji nie tylko od strony technicznej, co pozwala sądzić, że w przyszłości będziemy lepiej przygotowani na ataki socjotechnika. Więcej informacji na ten temat można znaleźć w artykułach dotyczących polityki bezpieczeństwa. Polecam również, artykuł Krzysztofa Janickiego "Social Engineering czyli współczesne zagrożenia sieci komputerowych", w którym znajdują się ważne wskazówki zarówno dla administratorów jak i zwykłych użytkowników sieci. za http://www.gazeta-it.pl http://www.witczak.priv.pl Kreator PDF Utworzono 7 March, 2017, 16:16