socjotechniki

Socjotechniki – sprawdzony sposób na omijanie zabezpieczeń twojej sieci

Technologia to nie wszystko

Skąd się biorą socjotechniki? Mówiąc o bezpieczeństwie na myśl przychodzą nam w pierwszej kolejności zaawansowane technologie i drogie urządzenia: systemy wykrywania intruzów, systemy aktywnej prewencji, ochrony danych przed wyciekiem, bezpiecznego uwierzytelniania, autoryzowania i udostępniania zasobów. Chcąc czuć się bezpiecznymi wydajemy więc niemałe pieniądze i otaczamy się zaporami, skanerami, sondami, tokenami, czytnikami linii papilarnych czy tęczówki oka. Instalujemy systemy skanujące i filtrujące ruch pod kątem wirusów, robaków, trojanów, sygnatur ataku lub innych anomalii.

Aby przetwarzać dane z tak wielu systemów uruchamiamy kolejne, służące do logowania zdarzeń, ich korelowania, analizowania i ostrzegania nas o zagrożeniach. Wydawać by się zatem mogło, że robiąc tak wiele, tak dużym nakładem środków mamy prawo czuć się spokojnymi o bezpieczeństwo naszych systemów i przetwarzanych za ich pomocą danych. Rzeczywistość jest jednak niestety inna. Robiąc tak wiele zapomnieliśmy o rzeczy zasadniczej, która w branży bezpieczeństwa powinna być powtarzana do znudzenia – poziom bezpieczeństwa, podobnie jak wytrzymałość łańcucha nie jest wyznaczany przez sumę wszystkich jego ogniw, ale przez moc najsłabszego z nich.

Powinniśmy zatem zadać sobie pytanie „co jest tym ogniwem?”, a jeszcze lepiej „kto nim jest?”.

Socjotechniki czyli inżynieria społeczna

Technologia, nawet najdoskonalsza nie jest w stanie zabezpieczyć systemów przed ich użytkownikami. To właśnie człowiek mimo całej swojej doskonałości stanowi najsłabsze i najbardziej zawodne ogniwo w łańcuchu składającym się na proces zapewniania bezpieczeństwa. Stanowi o tym głównie ludzka psychika, która w odróżnieniu od wykonywanych przez procesory algorytmów charakteryzuje się brakiem schematyczności i nieprzewidywalnością.

Człowiek w odróżnieniu od technologii może zachować się różnie w tych samych okolicznościach. Na podejmowane przez niego decyzje wpływają nie tylko dane wejściowe ale również stres, emocje, przebyte doświadczenia i inne warunki niewystępujące w przypadku środków technologicznych. Badaniem tych właśnie warunków i zależności pomiędzy ich występowaniem a podejmowanymi przez ludzi decyzjami zajmuje się inżynieria społeczna. Płynące z niej nauki są głównym narzędziem w rękach socjotechników. I to ci ostatni stanowią zagrożenie, przed którym nie ochronią nas nawet najdroższe technologie. To oni potrafią sprawić, że czujący się bezpiecznie wśród różnych zaawansowanych systemów bezpieczeństwa użytkownicy staną się zagrożeniem dla siebie samych.

socjotechnika

Jak to działa?

Socjotechnicy do przeprowadzenia ataku nie wykorzystują zaawansowanej wiedzy technologicznej ani narzędzi w postaci wirusów czy exploitów. W ich działaniach ważniejsze od umiejętności technicznych są zdolności komunikacyjne i interpersonalne. Posługują się umiejętnie zdobywanymi informacjami, które z pozoru nieistotne pomagają w budowaniu zaufania u rozmówcy i wydobywaniu od niego kolejnych danych.

Posługując się przygotowanymi na różne okoliczności scenariuszami rozmów potrafią dysponując jedynie takim wąskim materiałem jak ogólne dane teleadresowe firmy wyłudzić od jej pracownika cenne informacje lub nakłonić go do wykonania określonych czynności, takich jak np. uruchomienie komendy na swoim komputerze czy odwiedzenie zainfekowanej strony internetowej. W tym celu podawać się mogą np. za teleankieterów, pracowników dostawcy Internetu, kontrahentów czy współpracowników z innego oddziału firmy. Przykładowy scenariusz rozmowy telefonicznej będącej atakiem socjotechnicznym może wyglądać następująco:

  1. Intruz dzwoni do naszej firmy przedstawiając się jako np. pracownik dostawcy Internetu i prosi o połączenie z działem IT
  2. Od pracownika dowiaduje się, że obsługą informatyczną zajmuje się firma zewnętrzna X
  3. Oszust dzwoni więc do innego pracownika przedstawiając się jako pracownik firmy X i prosi o podanie adresu mailowego w celu przetestowania poczty, z którą podobno zgłoszono problemy
  4. Po kilku dniach oszust wysyła na otrzymany adres e-mail spreparowaną wiadomość (jako pracownik firmy X) i prosi w niej o uruchomienie załączonej „poprawki bezpieczeństwa”

Powyższy scenariusz wydaje się być banalny. Im bardziej jest jednak banalny tym bardziej będziemy bagatelizować zagrożenie z nim związane. A czy możemy ze stuprocentową pewnością założyć, że w naszej organizacji nie pracuje żadna osoba, której czujność da się w prosty sposób uśpić?

Wróćmy do naszego łańcucha złożonego z drogich i skomplikowanych systemów zabezpieczeń. To właśnie ów pracownik o mniej wyczulonej uwadze, który może dać się zwieść wprawnemu socjotechnikowi stanowi jego najsłabsze ogniwo. To on jest w stanie, chociaż nieświadomie, pomóc intruzowi w pokonaniu najlepszych nawet zabezpieczeń technicznych. I to on właśnie złudnie czując się bezpiecznym stanowi dla nas realne zagrożenie.

Jak się chronić?

Skoro techniczne środki zaradcze dają się obejść za pomocą socjotechniki, to aby się przed nią bronić również należy przedsięwziąć działania o charakterze nietechnicznym. Pierwszym krokiem, od którego powinniśmy zacząć jest opracowanie i wdrożenie polityki bezpieczeństwa. Powinna ona zawierać m.in. definicje procedur i zaleceń dotyczących ujawniania informacji przez pracowników firmy oraz wzory dokumentów służących przekazywaniu określonych danych i udzielaniu dostępu do nich. Bardzo istotne jest, aby stosowane one były nie tylko w stosunku do osób nieznajomych, ale również tych, których tożsamości nie jesteśmy w stanie potwierdzić. To, że ktoś przedstawia nam się w rozmowie telefonicznej czy e-mailu jako określona osoba nie musi oznaczać, iż rzeczywiście nią jest.

Samo wdrożenie polityki bezpieczeństwa to jednak nie wszystko. Bezpieczeństwo powinno być traktowane nie jako stan, ale stały, podlegający kontroli i udoskonalaniu proces. Dlatego bardzo istotnym jego elementem jest ciągłe edukowanie pracowników mające na celu wypracowanie nawyków dbania o poufność informacji i ograniczonego zaufania. Najlepiej sprawdzającą się i przynoszącą najlepsze efekty formą edukacji są dedykowane szkolenia dla pracowników. Na szkoleniach takich zapoznaje się ich z realnymi przykładami ataków socjotechnicznych i sposobami na ich rozpoznawanie oraz unikanie. Szkolenia takie mimo niewielkiego kosztu pozwalają znacznie podnieść bezpieczeństwo organizacji i świadomość jej pracowników.

Testy socjotechniczne

Dobrym sposobem na sprawdzenie efektywności naszych polityk i procedur jest przeprowadzenie kontrolowanych testów socjotechnicznych. Socjotechniki przeprowadzone na zamówienie pozwolą ocenić realne bezpieczeństwo organizacji i mogą posłużyć jako okazja do przeszkolenia kadry.

W świecie, w którym codzienne, najprostsze nawet operacje wiążą się z elektronicznymi transakcjami i bazami przetwarzającymi dane za pośrednictwem sieci i komputerów każdy z nas powinien wykazywać się dużą ostrożnością i ograniczonym zaufaniem. Przenoszenie zachowań wypracowanych przez firmową politykę w sferę życia prywatnego stanowić może dobry sposób na zwiększenie poziomu swojego bezpieczeństwa i pomóc nam w ciągłym zachowywaniu czujności. Wówczas socjotechniki nie powinny być nam straszne.

 

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.