Piotr PACEWICZ

Piotr PACEWICZ
Katedra Inżynierii Oprogramowania, Wydział Informatyki,
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie
E-mail: [email protected]
Socjotechnika, jako metoda do przełamywania
zabezpieczeń w systemach informatycznych
1. Wstęp
Współczesna kryptografia dostarcza informatykom zaawansowane algorytmy kryptograficzne takie jak AES, 3DES, RSA, które są powszechnie stosowane. Również
pojawiają się nowe algorytmy oparte o krzywe eliptyczne. Stanowią one podstawą
przy tworzeniu zabezpieczeń systemów informatycznych. Systemy bankowe oparte są
o klucze jednorazowe generowane przez tokeny do szyfrowania wymiany danych.
Również proste portale internetowe wykorzystują algorytmy z rodziny SHA-2 do
przechowywania informacji o haśle użytkownika w postaci niejawnej.
Przełamanie wyżej wymienionych metod wymaga od hakera posiadania sprzętu
o dużej mocy obliczeniowej lub bardzo dużej ilości cierpliwości. Hakerzy mogą stosować atak brutalny, który jest w 100% skuteczny lecz efekt jego pracy można uzyskać po upływie dni, lat a nawet wieków. Dlatego opracowano metody, które nie dają
całkowitej pewności przełamania ale są dużo szybsze. Są to ataki słownikowe lub
ataki z użyciem tęczowych tablic. Przezwyciężenie technicznych zabezpieczeń systemów informatycznych jest skomplikowane i kosztowne w przeprowadzeniu lub
proste i czasochłonne. Niemal każdy użytkownik ma zainstalowany firewall, antyvirus, antyspam. Dzięki temu przejęcie kontroli nad zwykłym komputerem nie jest
rzeczą trywialną. To przyczyniło się do szukania przez audytorów zabezpieczeń
a przez hakerów innych sposobów zdobywania danych.
Celem ataku przestaje być obecnie komputer sam w sobie lecz jego użytkownik.
Człowiek jest zarazem najsilniejszym i najsłabszym ogniwem bezpieczeństwa systemu informatycznego. Wystarczy jeden błąd człowieka, który może wynikać z naiwności, braku wiedzy lub najzwyklejszej głupoty by pomimo kosztownych i wyrafinowanych rozwiązań technicznych włamać się i uzyskać dostęp do danych poufnych.
W celu uzyskania od użytkownika informacji lub działań, które narażą cały system
audytorzy i hakerzy stosują socjotechnikę.
2. Co to jest socjotechnika?
Angielska Wikipedia definiuje socjotechnikę jako manipulacje ludźmi w celu nakłonienia ich do podjęcia określonych działań lub ujawnienia poufnych informacji. Jest
to trafna definicja i oddaje istotę inżynierii społecznej, która może być stosowana
138
Piotr Pacewicz
w kontakcie z pojedynczą osobą jak i również z grupą ludzi. Wyróżnić można trzy
elementy działania socjotechnika: zbieranie informacji, urabianie oraz wywoływanie.
3. Zbieranie informacji
Napoleon Bonaparte powiedział „Podczas wojny informacja to 90% sukcesu”, myśl ta
jest ponadczasowa i odnosi się nie tylko do prawdziwej wojny. Posiadanie i zbieranie
informacji o przeciwniku jest najważniejszym elementem socjotechniki. Zdobyta
wiedza stanowi podstawę dalszych działań socjotechnika. Ważna jest każda informacja, nawet ta najmniejsza i wydająca się bezwartościowa jak np. znajomość ulubionego rodzaju kawy prezesa przedsiębiorstwa. Informację taką można wykorzystać
w procesie urabiania.
Socjotechnik w procesie pozyskiwania informacji o obiekcie swoich zainteresowań
zbiera wszystkie dostępne publicznie dane. Wykorzystuje do tego przeglądarkę Google. Jest to bardzo zaawansowane narzędzie do eksploracji danych umieszczonych w
Internecie. Google pozwala filtrować wyniki wyszukiwania pod kątem określonego
typu plików (w wyszukiwarce wpisać należy „filetype:typ”). Umożliwia dokładne
przeszukiwanie wybranych stron, wystarczy wpisać „site:adres_www”. Dzięki temu
można odnaleźć pliki i informacje, do których nie można dotrzeć poprzez zwykłe
przeglądanie witryny internetowej.
Ogromnym źródłem informacji są coraz popularniejsze sieci społecznościowe takie
jak facebook.com, nk.pl, grono.net itp. Ludzie zamieszczają na swoich profilach informacje, które mogą wydawać się nieszkodliwe. W końcu jaką krzywdę może wyrządzić poinformowanie znajomych, że lubi się wędkarstwo. Również dla socjotechnika mogą być ważne zdjęcia zamieszczane w takich portalach. Wydawać się może,
że fotografia pucharu z lodami wykonana za pomocą smartfona jest pozbawiona jakichkolwiek użytecznych socjotechnikowi informacji, lecz dzięki nowoczesnej technice takie zdjęcie zawiera geoznaczniki i pozwala określić miejsce jego wykonania.
To może dostarczyć informacje o tym, że osoba która umieściła takie zdjęcie na swoim profilu nie przebywa aktualnie w miejscu swojego zamieszkania.
Wyżej wspomniane metody pozyskiwania informacji określam mianem pasywnych
gdyż nie zawierają interakcji z ofiarą. W świecie informatyki popularnymi aktywnymi
metodami pozyskania danych jest Phishing. Polega on na tworzeniu fałszywych stron
internetowych, które wyglądają identycznie jak, te pod które się podszywamy. Jest to
popularna metoda służąca pozyskiwaniu danych do logowania w bankach lub witrynach internetowych. Adres takiej strony różni się od oryginalnego np. kolejnością
dwóch liter. Udowodnione naukowo jest, że ludzki umysł czyta od razu całe wyrazy
i nie przeszkadzają mu przestawione w środku wyrazu litery. Bewzłdaność proecsu
myślwoego nazsego mózgu stnaowi podsatwę oszustwa. Internauta wchodząc na
fałszywą stronę rozpoczyna proces logowania podając prawdziwe dane. Te są zapamiętywane a użytkownik jest przekierowywany na prawdziwą witrynę. Faktem jest,
że większość osób wykorzystuje to samo hasło i ten sam login do większości systemów informatycznych z jakich korzysta, gdyż jest mu łatwiej zapamiętać te dane.
Socjotechnika, jako metoda do przełamywania zabezpieczeń…
139
By użytkownicy zaczęli korzystać z fałszywej strony należy wskazać im ją w sposób
który nie wzbudzi podejrzeń. Audytor lub haker dzięki wcześniej zdobytym informacją
znają klucz za pomocą którego generowane są adresy e-mail w przedsiębiorstwie oraz
wie jakie są wspólne zainteresowania pracowników. Preparuje on stronę www o odpowiedniej tematyce, a następnie rozsyła emaile do pracowników, licząc na to że choć
jedna osoba skusi się i kliknie w linka zawartego w wiadomości email. Pod takim linkiem może znajdować się wcześniej wspomniana fałszywa strona, wirus, koń trojański
lub exploit. Pozwoli to na zdobyć potrzebnych, niedostępnych informacji.
W celu pozyskania największej możliwej ilości danych, socjotechnik szuka ich niemal
w każdym miejscu. Częstą praktyką, która daje duży rezultat jest grzebanie w śmieciach
jakie wyrzucają ekipy sprzątające przedsiębiorstwa. Przeważnie można odnaleźć niedokładnie zniszczone albo całkowicie nienaruszone poufne dokumenty. Uchybienia takie
związane są najczęściej z chęcią obniżenia kosztów i zakupem nieprofesjonalnej niszczarki lub jej brakiem.
4. Urabianie
Jest to proces, w którym socjotechnik zakończył zbieranie danych i na ich podstawie
kreuje scenariusz ataku. Planuje on działania, które pozwolą zdobyć zaufanie ofiary.
Bez tego każdy atak jest z góry skazany na porażkę. Każdy proces urabiania jest indywidualny i wymaga sporej dozy kreatywności od socjotechnika. Dlatego nie ma uniwersalnego szablonu tworzenia scenariusza. Istnieje jedynie szereg wskazówek:
•
•
•
•
•
•
im więcej czasu poświęci się zbieraniu informacji tym większa szansa powodzenia,
im prostszy scenariusz tym większe szanse na sukces,
obiektowi ataku należy podsunąć logiczne wnioski,
scenariusz powinien sprawiać wrażenie spontanicznego,
jeśli socjotechnik ma podobne zainteresowania co ofiara jego szanse na sukces znacząco rosną,
należy znać inteligencję i typ osoby, z którą się kontaktujemy.
5. Wywołanie
Jest to zadanie pytania lub zasugerowanie działania obiektowi ataku socjotechnicznego po tym, jak dzięki urabianiu zdobyliśmy jego zaufanie. Można określić to jako
symulację, która ma wywołać konkretną reakcję. Dla socjotechnika jest to umiejętność odpowiedniego formułowania wypowiedzi oraz pytań. Natomiast amerykańska
National Seciurity Agency definiuje wywołanie jako „subtelne pozyskanie informacji
w toku pozornie normalnej rozmowy”.
Skuteczność zawdzięcza się chęci człowieka do bycia miłym, profesjonalnym i dobrze poinformowanym w czasie rozmowy. Często wywołanie następuje po serii pochwał dla rozmówcy. Dlatego jedyną obroną jest zachowanie czujności i kontroli nad
tym co mówimy.
140
Piotr Pacewicz
6. Przykładowy scenariusz
Pewnego popołudnia zadzwonił telefon. Na ekranie wyświetlał się nieznany numer
komórkowy, po odebraniu z głośnika telefonu dobiegał głos miłej pani, która przedstawiła się jako telemarketer banku, w którym ofiara posiada konto. Zadała ona pytanie czy poświęcone zostanie jej 5 minut czasu, akceptacja tego rozpoczęła przedstawianie oferty związanej z posiadaniem kary kredytowej. Następnie ofiara zapytała ją
czy informacje, które podała odnajdzie w witrynie internetowej banku. Gdy usłyszała
odpowiedź twierdzącą, grzecznie podziękowała za udzielenie jej informacji i powiedziała, że poczyta jeszcze o tym i jeśli będzie dalej zainteresowana kartą kredytową to
uda się do oddziału banku w swojej miejscowości. Telemarketerka, z którą rozmawiała zaproponowała, że przygotuje wstępną umowę i jeśli się namyśli to wystarczy udać
się do wskazanej wcześniej placówki, złożyć podpis i będzie można się cieszyć kartą
kredytową. Wystarczyło tylko podać swoje dane osobowe z dowodu osobistego, numer identyfikacji klienta oraz wprowadzić hasło w klawiaturze telefonu w celu uwierzytelnienia posiadacza konta. Nasz obiekt ataku socjotechnicznego chcąc być
uprzejmym poinformował, że jest studentem i taka usługa nie jest mu potrzebna, po
czym się rozłączył.
Powyższy opis dla większości osób wydaje się zwyczajną rozmową z lekko natrętnym
telemarketerem, lecz są podstawy by twierdzić, że był to atak z wykorzystaniem socjotechniki. Szczęśliwie nasza ofiara jest audytorem wewnętrznym systemów bezpieczeństwa informacji i jest świadoma zagrożenia, to uratowało ją przed skradzeniem
jej tożsamości.
Pierwsze potknięcia dzwoniący zaliczył na etapie zbierania informacji – nie wiedział,
że dzwoni do studenta, który posiada konto studenckie. Nie zebrał odpowiednich
informacji na temat procedur obowiązujących telemarketera – nie przedstawił się na
początku rozmowy tylko podał, że dzwoni z banku, zadzwonił z niezastrzeżonego
numeru komórkowego. Również dopytywał o to czy są stałe wpływy na konto. Jeśli
w rzeczywistości była to telemarketerka banku to powinna mieć dostęp do systemu
banku i informację o tym.
Niedokładne zebranie danych o ofierze i banku spowodowało, że na etapie urabiania
i realizowania wykreowanego przez nią scenariusza nie zyskała zaufania. Nie przeszkodziło to jednak jej w podjęciu próby wywołania, czyli poproszeniu o dane osobowe
osoby, z którą rozmawia i dane potrzebne do skorzystania z bankowości internetowej.
Ponieważ inżynieria społeczna jest obiektem zainteresowań naszego audytora, który
odebrał telefon stanowi on trudny cel ataku. Sprawdził on zatem czy scenariusz wykreowany do rozmowy ze nim miałby szansę powodzenia podczas rozmowy ze zwyczajnym klientem banku wykorzystującym usługi bankowości elektronicznej. Osoba,
którą poddał testowi była wcześniej uświadamiana przez niego o zagrożeniach jakie
niesie wyjawienie danych osobowych. Pomimo tego była ona skłonna uwierzyć
i stwierdziła, że jeśli była by jej potrzebna karta kredytowa to skusiłaby się na możliwość szybszego załatwienia karty i podałaby dane, o które zostałaby poproszona.
Socjotechnika, jako metoda do przełamywania zabezpieczeń…
141
Haker, który uzyskałby wyżej wymienione informacje o osobie i jej koncie mógłby
bez problemów skraść osobowość, zaciągnąć kredyt, wybrać pieniądze. Problematyczne byłoby też dochodzenie odszkodowania i umorzenie potencjalnego długu,
gdyż ze strony banku wygląda to na prawidłową transakcję dokonaną przez właściciela rachunku bankowego.
7. Podsumowanie
Najlepszą metodą obrony przed atakiem socjotechnicznym jest poznanie mechanizmów
takiego ataku. Dzięki temu wzrośnie czujność i tak jak socjotechnik zaczniesz zwracać
uwagę na szczegóły, które mogą być podstawą do zmanipulowania twojej osoby. Również zalecane jest kontrolowanie informacji jaką zamieszcza się o sobie w Internecie.
Często nieświadomie udostępniane są informacje np. większość nowoczesnych smartfonów automatycznie umieszcza na portalach społecznościowych zdjęcie, które właśnie
wykonaliśmy lub ma uruchomioną aplikację „moi znajomi w pobliżu” a to pozwala nas
namierzyć z dokładnością do 20 m. Tak więc czujność i zdrowy rozsądek powinien być
na pierwszym miejscu.
Istnieją witryny takie jak www.123people.com , które pozwalają w bardzo szybki sposób wyszukać wszelkie informacje o konkretnej osobie, portale w których można szybko sprawdzić czy wskazana osoba jest zarejestrowana w KRS i co właściwie posiada.
Informacje o nas już są w Internecie. Nie ma sensu ułatwiać pracy socjotechnikom.
Zalecam zapoznać się z literaturą wymienioną poniżej. Są w niej opisane i omówione
rzeczywiste ataki socjotechniczne.
Literatura
1.
2.
3.
Hadnagy Ch., tł. Witkowska M.: Socjotechnika Sztuka zdobywania władzy nad umysłami, Helion Gliwice 2011
Mitnick K., Simon W.: Sztuka Podstępu, Helion Gliwice 2003
Socjotechnika, dostępna w Internecie: www.social-engineer.org/framework/
Streszczenie
W referacie przedstawiono i opisano metody działań socjotechnicznych, które służą im
do zdobywania poufnych informacji lub infiltracji systemów informatycznych. Dzięki
temu czytelnik zwiększy swoją świadomość zagrożeń czyhających na niego. Dodatkowo zaprezentowany jest rzeczywisty scenariusz, z którym spotkał się autor niniejszego
artykułu oraz parę porad, które pomogą przeciwstawić się atakowi socjotechnicznemu.
142
Piotr Pacewicz
Social Engineering as a way to break into secure
IT systems
Summary
In this referee are presented and described methods, which social engineers use to collect confidential information or infiltration IT systems. Reader will increase his awareness about threats, which waits for him. Additionally there is described real scenario,
which encounter author of that article and a few advices about how to resists social
engineering attack.