Kopš mūsu valstī ir izveidota kiberzemessargu apakšvienība, šķiet varam būt droši – datorsistēmu hakeri, programmu krakeri, datu fišeri un citi koderi ies Latvijai ar līkumu. Tomēr viss nav tik vienkārši, īpaša uzmanība IT drošības jautājumiem ir nepieciešama un laba lieta, bet ir vēl viena datu drošības dimensija, ko nedrīkst atstāt bez uzmanības – cik droša ir blīve starp monitoru un biroja krēsla atzveltni?
Runa, protams, ir par cilvēku-operatoru, cilvēku – datora lietotāju, cilvēku, kurš neapzinoties, ar vienu datorpeles klikšķi var no iekšpuses sagraut visrūpīgāk būvēto IT aizsargmūri. Plānojot resursu ietilpīgus kiberdrošības pasākumus militārajā jomā vai civilajā biznesā, cilvēcisko faktoru nedrīkst aizmirst, lai ar vienu telefona zvanu konkurents-pretinieks nenoliktu uz nulli visu jūsu biezo ugunsmūri.
Pēc definīcijas pieeju sistēmai ir lētāk nodrošināt izmantojot datora lietotāju nekā uzlaužot sistēmas aizsardzību. Militārajā izlūkošanā šādu sensitīvas informācijas ieguves disciplīnu sauc par HUMINT (human intelligence) jeb „cilvēkizlūkošanu”, bet civilajā sfērā vairāk iegājies apzīmējums „sociālā inženierija” (social engeneering). Cilvēks kā jebkuras drošības sistēmas elements daudzos gadījumos ir arī šīs sistēmas vājākais elements.
Šajā ierakstā apzināti neanalizēšu militāro HUMINT sfēru, lai nejauši neizmuldētos par kādu paņēmienu no viņu arsenāla un nekļūtu par ilustrāciju pats savam ierakstam. Tomēr sociālā inženierija ir sabiedrības uzmanības cienīgs fenomens par ko var runāt.
Sociālās inženierijas paņēmieni balstās uz KATRAM cilvēkam piemītošajām lēmuma pieņemšanas algoritma īpatnībām, ko psiholoģijā sauc par kognitīvām novirzēm. Kognitīvās novirzes ir domāšanas sistēmiskās kļūdas un lēmumu šabloni, pēc kuriem cilvēki vadās dažādās situācijās. Piemēram, pērkot vienu vai otru pārtikas produktu mēs katru reizi neanalizējam tirgus piedāvājumu, cenu, kvalitāti, bet paļaujamies uz iepriekšējo veiksmīgo vai neveiksmīgo pieredzi. Šāda pieeja der, ja pērkam pīrādziņus, bet “galīgi garām”, ja dalāmies ar informāciju.
Cilvēkiem piemīt daudzi rīcības šabloni un domāšanas aizspriedumu, pieminēšu tikai dažus:
Kontroles ilūzija – tieksme ticēt, ka spējam kontrolēt vai iedarboties uz notikumiem, kurus īstenībā nekontrolējam un neietekmējam.
Nepareiza izdarītās izvēles uztvere – tieksme nepamatoti augstu vērtēt savus, reiz veiktos lēmumus/izvēles.
Bailes no ekstrēmiem lēmumiem – tendence izvairīties no noteiktiem, bieži vien nepatīkamiem un asiem lēmumiem, tieksme meklēt vidusceļu.
Iespējamību noraidīšana – tieksme noraidīt problēmu iespējamību pieņemot lēmumu nenoteiktības apstākļos.
Atsevišķu gadījumu pārvērtēšanas kļūda – statistikas ignorēšana par labu atsevišķu gadījumiem, kas apstiprina vēlamo tēzi.
Pakļaušanās autoritātei – nekritiska attieksme pret autoritātēm.
Profesionālā deformācija – tendence raudzīties uz problēmām no profesijas lokā pieņemtajām pozīcijām, ignorējot plašāku viedokli.
Pirkuma racionalizācija – tieksme glorificēt savu veiksmi pēc jau izdarītā pirkuma.
Selektīva uztvere – tendence uztvert tikai to informāciju, kas saskan ar gaidīto.
…
utt, utml vidusmēra cilvēka domāšana ir tālu no loģikas likumiem un pakļauta daudzām deformācijām (sk. saiti augstāk). Tādi esam.
Ja vairākus gadus Las Vegasā norisinās pilnīgi legāla hakeru konference „Defcon”, kas pārsvarā veltīta kibernētiskajiem uzbrukuma un aizsardzības „ieročiem”, bet tās ietvaros sociālie „hakeri” sacenšas savā starpā un demonstrē brīnumus publikas priekšā ar „plika” telefona palīdzību iegūstot sensitīvu informāciju no pasaules lielākajām korporācijām. Bieži vien sociālās inženierijas speciālisti tiek pie rezultāta ne tikai ātrāk par saviem kibernētiskajiem „brāļiem un māsām” , bet arī padara to daudz efektīvāk salīdzinot ar tiem resursiem, kas tiek ieguldīti, lai sagatavotu un paveiktu IT hakeru uzbrukumu. Īpaši iespaidīgi strādā kombinācija, kad sociālais hakeris darbojas IT hakera uzbrukuma interesēs un atver tam „ķēķa durvis”, lai turpinātu uzbrukumu merķa-objekta datiem.
“Both social engineering and technical attacks played a big part in what I was able to do. It was a hybrid. I used social engineering when it was appropriate, and exploited technical vulnerabilities when it was appropriate.”
Sociālo hakeru sacensību noteikumi ir samērā vienkārši. Rīkotāji vēl pāris nedēļas pirms sacensībām izdala dalībniekiem sarakstu ar nejauši izvēlētām firmām un sarakstu ar „karodziņiem” – aprakstu par ziņām, kuras nepieciešams iegūt. Sagatavošanās laikā sociālās inženierijas speciālisti vāc ziņas no atklātiem avotiem, gatavo savu „leģendu” un meklē īsto „vājo posmu”. Sacensību dienā dalībnieks skatītāju klātbūtnē izmantojot tikai telefonu sazinās ar mērķa kompāniju un izmantojot savu meistarību vāc „karodziņus”.
Paņēmieni ir visdažādākie, bet diezgan bieži sociālie hakeri zvanot firmas darbiniekiem stādās priekšā kā tās pašas firmas „datoriķi”-Informācijas tehnoloģiju nodaļas speciālisti un piedāvā „kolēģiem” uzstādīt datorā kādu sistēmai kritiski svarīgu „ielāpu” (patch), kas, protams, ir īsts „Trojas zirgs” ar ko piekļūt firmas datiem. Ja sarunas biedrs sāk kaut nedaudz šaubīties, lietā tiek likta informācija, ko sociālais hakeris ievāca sagatavošanas periodā.
Labs piesegums hakerim ir statistikas institūcijas darbinieka „maska”, jo zvanot piemēram firmas grāmatvedim diezgan vienkārši pierunāt viņu aizpildīt veidlapu, kas izskatās kā īsta, jo izveidota atbilstoši visiem birokrātijas priekšrakstiem. Vidusmēra grāmatvedis aizpildīs un nosūtīs prasīto, kamēr cits zvanīs uz statisko institūciju, lai pārbaudītu vai tiešām šāda aptauja tiek veikta. Kas reālajā dzīvē notiks visticamāk?
Retāk sociālie hakeri stādās priekšā kā tās pašas firmas analītīķi, kuri vāc informāciju pētījumam vai draudzīgi noskaņotie žurnālisti, lūdzot ieiet no firmas darbinieka datora, kādā tīmekļa vietnē, kur nepieciešams aizpildīt „ļoti interesantu un svarīgu” aptaujas lapu. Bieži par firmas vājo posmu hakeri izvēlas pārdošanas speciālistus, jo „viņu veselais saprāts izgaist mirklī, kad tiek piesolīts iespaidīgs līgums”.
Īstenībā sociāla inženierija ir ļoti sens fenomens, bet mūsu informācijas laikmeta tas piedzīvo strauju attīstību pateicoties informācijas aprites apjomam un iespējām, kas agrāk nebija iedomājamas. Komersantiem jāsaprot, ka sociālajiem inženieriem tagad ir pieejams plašs informācijas klāsts par firmas amatpersonām, korporatīvo vēsturi un kultūru, firmas hierarhiju un pats galvenais darbinieku profiliem sociālajos tīklos, kas nodrošina perfektas „leģendēšanas” iespējas.
“Garbage can provide important details for hackers: names, telephone numbers, a company’s internal jargon.”
Latvijā telefoniskā krāpšanās nav nekas jauns, no pensionāriem runātīgie cietumnieki regulāri un veiksmīgi izkrāpj naudu. Jaunam, aktīvam, izglītotam cilvēkam var likties, ka ar viņu jau nekās līdzīgs nevar notikt. Pareizi cietuma iemītnieki ne velti apkrāpj bezpalīdzīgos sirmgalvjus, ar laupītāja intelektu nevienu citu viegli „neapjāsi” . Bet iedomājaties, ka pie lietas ķersies ļoti gudrs, erudīts, ar aktiera talantu apveltīts un tehnoloģijas apguvis krāpnieks, cik cilvēki spēs tādam pretoties. Daudzi? Varbūt, bet ne visi… Lai neiekristu telefona hakeru slazdos darbiniekiem ļoti skaidri jāapzinās, kāda rakstura informācija ir aizsargājama, lai telefoniski izskanējušais jautājums iedarbinātu iekšējos „trauksmes signālus”.
Secinājums no augstākminētā ir viens: Ieguldot lielus līdzekļus IT ugunsmūru būvēšanai, jāparedz :
1) adekvātu personāla apmācību par to kas ir aizsargājamā informācija;
2) regulāras (vismaz ikgadējas) instruktāžas, seminārus;
3) neatkarīgu drošības auditu, ko vislabāk būtu uzticēt tiem pašiem …sociālajiem inženieriem :).
“A company can spend hundreds of thousands of dollars on firewalls, intrusion detection systems and encryption and other security technologies, but if an attacker can call one trusted person within the company, and that person complies, and if the attacker gets in, then all that money spent on technology is essentially wasted.”
UPD1 17:30 Svaigs piemērs. Eleganti un ienesīgi.
http://www.freep.com/article/20130423/NEWS06/304230093
Paldies “Jurčikam” par acīgumu.
vara bungas 
Āmen.
Jācer, ka tieši tie teksti par NATO kursiem un semināriem, ar kuriem cenšas pievilināt dalībniekus sai kibergrupai, arī ir tie, kuros mācīs kas ir pareizi un kas nav un ka nav jāplātās puspāli pie alus kausa par saviem dienas kibervaroņdarbiem :D!
tas pats par sevi. Bet es gribēju teikt, ka drošības jautājumos neapmācīts/formāli apmācīts/lietas būtību neizpratis IT sistēmu lietotājs ir tāds pats drauds drošībai kā DDos uzbrukumi vai niknie vīrusi.
Taktiskajās mācībās arvien mobiļņiki tiek izmantoti. Kas traucē iezvanīties kādam vidēja ranga komandierim un bargā balsī nobļauties par nepieciešamību pārcelt uguni uz citu sektoru minot cita starpā ticamu identifikācijas informāciju. Sekas var būt graujošas, bet ugunsmūris neskarts.
PS neuzskatu sevi par izņēmumu. puse no kognitīvo deformāciju saraksta punktiem man piemīt pilnā apmērā 🙂
Šobrīd vairs nav iespējams nodalīt informācijas un komunikāciju tehnoloģijas, tā kā jautājums ir pamatots. Pēdējais Sīrijas hakeru uzbrukums ziņu kanāla mājas lapai ASV un ziņas publicēšana par terora aktu Baltajā namā, kurā ievainots prezidents izraisīja veselu vētru pasaules biržās. Izrādās, ka eksistē programmas, kuras spēj saprast rakstīto un automātiski atbilstoši to saturam patstāvīgi veic biržas darījumus. Tikai viņas, muļķītes, nespēj atšķirt patiesu ziņu no falšas. Rezultātā viens otrs ir iekritis uz lielu naudu. Diemžēl , bet esam kļuvuši pārāk atkarīgi no komunikāciju un datoru tehnoloģijām.
A es ko te visu laiku kladzinu par 4GW… tas ir piemērs kā var šaut uz pretinieku 🙂 . Varbūt te pameklēt izcilības rezerves. izmaksas minimālas, kā AM un FM patīk!
Par hakeru uzbrukumu!
http://www.usatoday.com/story/theoval/2013/04/23/obama-carney-associated-press-hack-white-house/2106757/
http://www.freep.com/article/20130423/NEWS06/304230093
No turku hakeriem uzlauzta izstāžu kompleksa Rāmava mājaslapa. Labais muzoniņš!
http://webcache.googleusercontent.com/search?q=cache:xLNoNDEba0sJ:www.aml-ramava.lv/+&cd=1&hl=lv&ct=clnk&gl=lv
Nu ko, vai fronte tēva pagalmā?
Nu nē, turki tač kā brāļi – abi esam NATO, nekāds kariņš, blue on blue 😀