Informatikai rendszerekbe betörni olyan egyszerű, mint egy telefonhívást lebonyolítani. A hacker felhív egy tetszőleges céges telefonszámot és egyszerűen elkéri az egyik felhasználó nevét és jelszavát. Meglepően és ijesztően sok ember hajlandó kiadni ezeket az információkat. Az egykori hacker és egy sikerkönyv írója, Kevin Mitnick szerint az emberek hajlandóak bízni olyanokban akikről azt hiszik, hogy tudják miről beszélnek. Egy nemrégiben készült interjú során Mitnick szerint senki nem ismeri annyira egy cég dolgozóit, mint maga a hacker. Azzal, hogy valaki IT vagy termékszakértőnek adja ki magát, elnyerheti a bizalmát még az olyan biztonsági embereknek is akik erre vannak kiképezve. Az úgynevezett „social engineering”, az emberek manipulálása a fő témája Mitnick népszerű könyvének, „A megtévesztés művészetének”. AZ IDC jóvoltából következzék a neves hackerrel készített interjú.
Miért írta meg ezt a könyvet?
Egyfajta oktató eszköznek szántam, hogy minél többet tudjon meg az olvasó a megtévesztési technikákról, taktikákról, stratégiákról melyeket ipari kémek, hackerek és vandálok használnak jó, illetve ártó szándékkal. Nem számít, hogy egy cég, szervezet vagy kormányzat mennyi pénzt öl a technológiai biztonság kiépítésére, ha nem veszi a fáradságot, hogy kiképezze és kitanítsa dolgozóit. Amíg ezt meg nem teszik, a cégük ki lesz téve a „social engineer” támadásának.
Mit takar az Ön által használt „social engineer” kifejezés?
Míg a közvélemény számára viszonylag ismeretlen a kifejezés, a „social engineer” fogalmát széles körben használják a számítógép biztonsággal foglalkozó közösségek. Olyan gyakorlott hackerekről van szó aki becsapja egy vállalat naiv számítógép felhasználóját, hogy fontos információkat csaljon ki tőle.
A könyv tele van olyan történetekkel, melyek sikeres támadásokat írnak le. Ezek megtörtént eseteket írnak le?
Én is és mások is azokat a támadási technikákat használták, amiket a könyvemben említek, persze a támadás pontos részleteit nem írtam le, a könyvben szereplő adatok kitaláltak. A lényeg az, hogy nem konkrét betöréseimről mesélek, hanem csupán azok taktikájáról, stratégiájáról, és azokról a folyamatokról, amit egy „social engineer” nap mint nap használ.
Hogyan lett Önből „social engineer”?
Ez még a 70-es évekre, a középiskolás éveimre nyúlik vissza, amikor találkoztam egy sráccal, aki telefonbetyárkodással űzte az idejét. A telefonbetyárkodás a hackelésnek az a változata, amikor a támadó teljesen feltárja egy telefonos hálózat működését, kezdve a telefontársaság alkalmazottainak megismerésétől, a rendszer teljeskörű átlátásáig. Ekkoriban történt az átállás a mechanikusról a számítógépes rendszerekre, ami nem volt sokkal előbb, mint amikor a telefonbetyárkodásból számítógépes hackelés lett. A social engineering ekkor lépett színre, hiszen míg megpróbáltam feltárni egy telefonos rendszer titkos belső struktúráját, sokszor meg kellett változtatnom a kilétemet, telefontársasági dolgozónak kiadva magam. A cégnél különböző osztályokat és irodákat hívtam fel, hogy megszerezzem tőlük az információkat. Ehhez használnom kellett a telefontársaság nyelvjárását, a szaknyelvet, hogy hitelesnek tűnjek. Innentől kezdve kezdtem el programozást is tanulni. Mindig is nagy mókamester voltam, ezért amit tanultam, azt tanáraimon és a barátaimon teszteltem 🙂 Mindig hajtott a vágy, hogy olyan információkat szerezzek meg emberektől, ami a közvélemény számára nem elérhető.
Mi a social engineer első dolga mikor támadást indít a célpontja ellen?
Minden támadás első fázisa a kutatás. Meg kell keresni minden szabadon hozzáférhető információt a cégről, mint például éves riportok, marketing brossúrák, szabadalmazott alkalmazások, újságcikkek, iparági folyóiratok, honlapok tartalma, és még különböző információk, amiket a célpont szemeteskukájából ki lehet halászni(!), valamint meg kell tanulni mindent, amit a cégről és az emberekről meg lehet. Ki rendelkezik hozzáféréssel azokhoz az adatokhoz, amit keresünk? Hol dolgoznak? Hol laknak? Milyen operációs rendszert használnak? Mi a szervezeti felépítése a cégnek? Ki melyik irodában dolgozik, és az hol helyezkedik el földrajzilag? Emlékezzünk, hogy mindig úgy kell kiadnunk magunkat, mintha jogosultságunk és szükségünk lenne az adatra. Ahhoz, hogy ezt elhiggyék rólunk, ismernünk kell a céges szakzsargont, a belső rendszereket, és képben kell lennünk a céggel kapcsolatban. A kutatási szakasz után jön maga a támadás, melynél ki kell találnunk az ürügyet, a cselt, amivel elnyerhetjük a személy bizalmát és támogatását. Ha a támadást véghezvittük, megszereztük a bizalmat, és a kívánt információ már csak egy lépésre van tõlünk, akkor visszatérünk a korábbi lépésekhez, míg meg nem szereztük a kívánt információt.
Hogy van az, hogy a social engineerek ilyen könnyedén tudják manipulálni az embereket?
Az ember természetét használják ki. Véleményem szerint az emberek nagyon bíznak másokban és nagyon hiszékenyek. Hajlamosak azt hinni, hogy mások is ugyanazzal a morállal rendelkeznek, mint ők maguk. Nem próbálkoznának rászedni vagy megtéveszteni senkit, ezért nem feltételezik, hogy ez velük megtörténhet. A profi social engineer képes manipulálni kívánságainkat, hogy segítőkészek legyünk, együttérzésünket, hiszékenységünket és még a kíváncsiságunkat is.
Mi a különbség egy előre megfontolt támadás és egy közvetett támadás között?
Képzelje el, hogy egy nagyvállalatnál dolgozik Egy napon beszáll a liftbe, és látja, hogy valaki elejtett egy floppy lemezt. A lemez piros, rajta van a cég logója, és nagy betűkkel rá van írva, hogy „Bizalmas – Alkalmazottak fizetési adatai”. Egy ilyenfajta szituációban Ön szerint az emberek többsége mit tenne? Kíváncsiságunkra hallgatva, betennénk a lemezt a gépbe és megnéznénk, hogy mi van rajta. Talán lenne egy „bérlista” és egy „fizetések visszamenőleg” Word ikon. Valószínűleg megnyitnánk a file-t, hogy megnézzük mennyit keresnek a többiek a mi fizetésünkhöz képest. Mi történik ekkor? Hibaüzenetet kapunk például: „A program nem tudja megnyitni az adott file-t” vagy „A file sérült”. A felhasználó nem jön rá, hogy amit csinált az nem más, mint installált egy trójai lovat a gépére, ami szabad bejárást nyit a hackernek az illető gépébe. Aztán valószínűleg átadná a lemezt a HR osztálynak, ahol ők is berakják a gépbe, hogy megnézzék mi az, és így a hackernek már 2 géphez van hozzáférése. Ez a közvetett támadás klasszikus példája.
Közvetlen támadásnak nevezzük azt, amikor a támadó ténylegesen kommunikál az „áldozattal” akár telefonon, személyesen, faxon vagy e-mailen. Az esetek többségében a támadó valaki másnak adja ki magát – egy másik alkalmazottnak, eladónak, magas rangú vezetőnek – és megpróbálja rávenni áldozatát arra, hogy kiadja a számára fontos információt, vagy hogy futtasson egy szoftvert, vagy látogasson el egy weboldalra, ami a végén tönkreteszi a vállalat infrastruktúráját.
Vegyük például a John Wiley & Sons irodát – a célpontot. Első dolog, hogy készítünk egy hamis weboldalt, amely külsőre teljesen legálisnak tűnik. A honlap tartalmaz egy regisztrációs részt, ahol a látogató e-mail címmel és jelszóval tudja magát regisztrálni. Ezután a támadó e-mailt küld 1000 Wiley alkalmazottnak bátorítva őket, hogy regisztráljanak, mert óriási nyeremények várnak rájuk. Az e-mailben természetesen ott van a hamis weboldalra mutató link is. Tegyük fel, hogy csak 10% reagál az e-mailre továbbá, hogy a reagálók 10%-a ugyanazzal a jelszóval regisztrál, mint amit bent az irodában használ. (Azért hogy ne kelljen annyi jelszót észben tartani legtöbbünk ugyanazt a jelszót használja mindenhol!) Ezzel a 25 e-mail címmel és jelszóval már el lehet kezdeni a támadást.
Ön szerint mi fogja legjobban meglepni az olvasókat a könyvében?
Azt hiszem, az ügyes technikák, amivel a social engineer megtéveszti és manipulálja az embereket, és ráveszi olyan dolgokra, amire csak akarja. A másik pedig az a fajta hiszékenység, amit az áldozatok mutatnak, miközben áldozatul esnek. Saját tapasztalatból tudom, hogy rengeteg naiv, hiszékeny, sebezhető ember van. P. T. Barnum azt mondta egyszer, hogy „minden percben születik egy balek”. Remélhetőleg ez a könyv segít abban, hogy egyre kevesebb balek legyen, vagy legalább megtanítja őket, hogy ne váljanak a social engineerek támadásainak áldozatává.
Van valami különös árulkodó jel ami sejteti velünk, hogy egy social engineer áldozatává váltunk, és ha van, akkor milyen stratégiát válasszunk, hogy elkerüljük a támadást?
A leggyakoribb ilyen árulkodó jel, amikor valaki nem akarja megadni a számát, amin vissza lehet hívni. A legjobb stratégia pedig megkérdezni magunktól: miért én? Miért engem hívott? Van valami különleges abban, amit csinálok? Ha valaki ismeretlen megkér, hogy csinálj meg valamit neki – akármennyire ártalmatlannak tűnik -, nézd meg jó alaposan, hogy mire is kér.
Az új alkalmazottak miért sebezhetőek ennyire?
Az új emberek gyakran nem ismerik a biztonsági házirendet és az eljárásokat, kevés emberrel találkoztak még a cégnél szemtől szembe, ezért nem mindig tudják, hogy kikkel állnak szemben. Ezért esik meg, hogy az újoncok sokkal jobban megbíznak másokban, sokkal kooperatívabbak, csak hogy megmutassák, ők csapatjátékosok. Kevésbé valószínű, hogy megkérdőjelezik a forrást, főleg ha az a hierarchiában feljebb áll nála.
Mit szeretne elérni az embereknél a könyvével?
Azt szeretném, ha megértenék, bárkit lehet manipulálni. Lesznek az olvasók között olyanok is, akik azt hiszik, hogy őket soha nem lehet majd ezekkel a technikákkal megtéveszteni, de még a leghozzáértőbbeket is érhetik meglepetések. Nem is olyan régen én is egy social engineer áldozatává váltam. Washington D.C.-ben voltam akkor, amikor az eset történt, éppen a Szövetségi Kommunikációs Bizottságnál intéztem az ügyeimet, ezért egy kicsit zavart voltam. Egy riporter felhívott azzal, hogy a kiadóm szeretné, hogy beszéljek vele. Tudtam, hogy a kiadóm éppen a könyvem reklámkampányán dolgozik és a riporter olyan névre hivatkozott, ami teljesen reálisnak tűnt nekem. Miután a sztori lement, a kollegáim a Wiley-nál megkérdezték, hogy miért beszéltem ezzel a fickóval? Azt hiszem egy social engineer áldozatává váltam… Bárki lehet sebezhető, ha egy gyakorlott social engineerrel áll szemben. Azt szeretném elérni a könyvemmel, hogy az emberek legyenek egy kicsit tájékozottabbak. Végezetül meg kell értenünk, hogy a való világban vannak emberek, akik készek csalni, hazudni, lopni és embereket manipulálni, csak, hogy elérjék amit akarnak. Amíg nem kezdünk el gondolkodni azon, hogy milyen sebezhetőek vagyunk, cégünk vagyonát és saját állásunkat veszélyeztetjük.