Socjotechnika wytrych bezpieczeństwa informacji

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Socjotechnika wytrych bezpieczeństwa informacji
Autor: Agnieszka Zalewska
12.07.2007.
Zmieniony 30.07.2010.
Pojęcie "socjotechnika" z pozoru może brzmieć obco. Wielu z nas bez zastanowienia odpowie, że nigdy
się z nią nie spotkało. Podobnie brzmiałyby odpowiedzi, jeżeli zapytalibyśmy, kto miał do czynienia z
socjotechnikiem. Czy tak jest naprawdę?
Przyjrzyjmy się na początku samemu pojęciu. Socjotechnika często określana jest jako inżynieria
społeczna, socjalna. W fachowej literaturze można spotkać się z kilkoma jej definicjami. Dla przykładu
Słownik Encyklopedyczny Edukacji Obywatelskiej socjotechnikę przedstawia jako ogół metod, środków i
działań praktycznych zmierzających do wywołania pożądanych przemian w postawach lub zachowaniach
społecznych. Jako podstawowe metody socjotechniczne wymienia perswazje, manipulację, intensyfikację
lęku. W praktyce oddziaływania socjotechniczne kierowane są zarówno na emocje (np. strach,
współczucie, miłość), jak i intelektualne (prezentacja danych statystycznych, powoływanie się na badania
i autorytety naukowe). Social Engineering, czyli inżynieria socjalna, we współczesnym świecie jest
dziedziną hackingu zajmującą się aspektami manipulacji ludźmi. Kim zatem jest socjotechnik? Bazując
na powyższych definicjach socjotechnik przedstawia się jako osoba, która posługując się manipulacją
wydobywa od innych informacje. Nie można jednoznacznie stwierdzić, iż jest to wymuszenie przekazania
danych. Socjotechnik do każdego ataku dokładnie się przygotowuje. Często poświęca trochę czasu na
poznanie żargonu firmy, specyfiki jej działalności. Następnie dopiero atakuje. Dlaczego to robi?
Odpowiedzi może być wiele - dla własnej satysfakcji, ciekawości; dla pokazania innym, że on też potrafi
lub zwyczajnie na prośbę kogoś, kto potrzebuje konkretnych, niepublikowanych danych konkurencyjnej
firmy. Najbardziej znanym w świecie socjotechnikiem jest Kevin Mitnick. Jeszcze jakiś czas temu człowiek, którego panicznie bała się Ameryka oraz osoba, która była najintensywniej poszukiwana przez
FBI. Obecnie Kevin współpracuje z rządem amerykańskim, wykorzystując swoją wiedzę dla zapewnienia
bezpieczeństwa informacji. Wcześniej Mitnick wykorzystywał swoje umiejętności, chęć poznawania
nowych technologii oraz naiwność innych ludzi do pozyskiwania niejawnych informacji. Jak sam twierdzi łamał ludzi nie hasła. W jaki sposób atakuje socjotechnik? Metod może być wiele. Najprostszą z nich
jest wykonanie telefonu. Banalne i z pozoru może się wydawać, że w taki sposób socjotechnik nie jest w
stanie pozyskać chronionych przez firmę danych. Nic bardziej mylnego. Od recepcjonistki, która dziennie
odbiera nawet setki telefonów może zdobyć informacje, które poskładane w całość mogą stanowić
zagrożenie dla firmy. Zwykle pracujące w recepcji osoby są przyzwyczajone do dziwnych pytań, na które
szybko dają odpowiedź, aby mieć chwilę wytchnienia do kolejnego telefonu czy gościa. Warto tutaj
zaznaczyć, że celem socjotechnika nie musi być firma, mogą nim być np. banki czy jednostki samorządu
terytorialnego. Wyzwaniem dla niego są miejsca, w których trudniej o pozyskanie informacji. Zapewne
ogromną satysfakcję daje zdobycie danych z jednostek, które, zgodnie z ich przeznaczeniem, powinny te
informacje chronić. Ileż to razy spotkaliśmy się z telefoniczną prośbą o podanie danych, bo komuś
zawiesił się komputer, a pilnie są mu one potrzebne. W takich sytuacjach często nikt się nie zastanawia
nad zagrożeniem, ale z reguły robi koleżeńską przysługę, bo przecież każdy z nas może być kiedyś w
podobnej sytuacji i też będziemy chcieli, aby ktoś nam pomógł. To właśnie naszą naiwność i często
naturalną chęć niesienia pomocy innym wykorzystuje socjotechnik. Sposoby i przykłady metod
działania socjotechnika mogłabym tu mnożyć. Jednak moim celem jest zwrócenie uwagi na płynące z tej
sfery zagrożenie dla bezpieczeństwa firmy, banków, a nawet bezpieczeństwa państwa. Uważam, że w
tej chwili należy się skupić nad tym, jak się bronić przed tego typu atakami. Tutaj nie wystarczą
najnowsze techniczne zabezpieczenia, ponieważ atak socjotechnika skierowany jest na najsłabsze ogniwo
systemu bezpieczeństwa - na człowieka. Trudno jest nauczyć każdego pracownika ograniczonego
zaufania w stosunku do innych w taki sposób, aby ten nie popadł w paranoję ze swoją czujnością.
Najważniejsze są tutaj szkolenia i odpowiednie zapisy w polityce bezpieczeństwa każdej firmy czy
instytucji oraz ich realizacja. Należy położyć w nich nacisk na klasyfikowanie informacji jako niejawne
oraz na takie, które są jawne. Jednakże przy tych ostatnich należy również spisać procedury ich
przekazywania, szczególnie na zewnątrz. Nie można dopuścić do sytuacji, w której informacje z kategorii
"jawne" przekazujemy każdej zainteresowanej nimi osobie. Sposób podawania danych powinien się
odbywać poprzez różnego typu możliwości uwierzytelniania osoby, która o nie prosi. Obecnie
bagatelizuje się ważność każdej informacji. Dba się o te z klauzulą np. "niejawne", a te bez oznaczenia
mogą swobodnie "wypływać". Z drugiej strony coraz częściej mówi się o bezpieczeństwie firm, co może
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 16:16
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
sugerować powolne wprowadzenie zmian organizacyjnych, proceduralnych w celu zapewnienia
bezpieczeństwa informacji. Coraz więcej pism branżowych porusza temat zabezpieczenia informacji nie
tylko od strony technicznej, co pozwala sądzić, że w przyszłości będziemy lepiej przygotowani na ataki
socjotechnika. Więcej informacji na ten temat można znaleźć w artykułach dotyczących polityki
bezpieczeństwa. Polecam również, artykuł Krzysztofa Janickiego "Social Engineering czyli współczesne
zagrożenia sieci komputerowych", w którym znajdują się ważne wskazówki zarówno dla administratorów
jak i zwykłych użytkowników sieci.
za http://www.gazeta-it.pl
http://www.witczak.priv.pl
Kreator PDF
Utworzono 7 March, 2017, 16:16