Univerzitet u Beogradu Fakultet Bezbednosti
Socijalni inženjering i odbrana od socijalnog inženjeringa
- Diplomski rad -
:
Fakultet Bezbednosti
Socijalni inženjering i modeli odbrane od napada socijalnim inženjeringom
- Diplomski rad -
Beograd,
2
Fakultet Bezbednosti
Socijalni inženjering i modeli odbrane od napada socijalnim inženjeringom
- Diplomski rad -
Beograd,
2
!"#$!%: Uvod&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&' (& )snovne )snovne postavke socijalno socijalnogg inženjeringa&&& inženjeringa&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&* &&&&&&&&&&* 2& +eke od osnovni osnovni tenika tenika socijalnog socijalnog inženjering inženjeringa&&&&&&&&&& a&&&&&&&&&&( ( 2&(&.azvijanje poverenja&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&( 2&2&)brnuti Socijalni inženjering&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(( 2&/&0ristup i mediji za komunikaciju&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(( /& 1endencije 1endencije u ljudskom ljudskom ponaanju ponaanju koje predstav predstavljaju ljaju klju3 klju3 uspea Socijalnog inženjeringa&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(2 /&(&4ak psioloki a5ekat&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(/ /&2&0reoptere6enje&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(/ /&/&Uzvra6anje usluge7ljubaznosti&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(/ /&8&9raenje ;dobrog< odnosa sa žrtvom&&&&&&&&&&&&&&&&&&&&&&&&&(' žrtvom&&&&&&&&&&&&& &&&&&&&&&&&&(' /&'&Di5uzija odgovornosti i moralne dužnosti&&&&&&&&&&&&&&&&&&&(* dužnosti&&&&&&&&&&&&&&& &&&&(* /&*&=utoritet&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(* /&>&?ntegritet i doslednost&&&&&&&&&&&&&&&&&&&&&&&&&&&&& doslednost&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&(> &&&&&&&&(> 8& +ivoi odbrane odbrane od Socijalnog Socijalnog inženjeri inženjeringa&&&&& nga&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&(@ &&&&&&(@ 8&(&1 8&(&1em emel eljn jnii nivo nivo:: 0oli 0oliti tika ka be bezb zbed edno nost stii ko koja ja go govo vori ri o Socijalnom inženjeringu&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(@ 8&2& 0arametarski nivo: .azvoj svesti o bezbednosti i zatiti za sve zaposlene&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(A 8&/& +ivo tvrave: Dodatna edukacija&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&22 8&8& +ivo istrajnosti: 1eku6e opomene&&&&&&&&&&&&&&&&&&&&&&&&&&&&&28 8&'& +ivo: and Cine Socijalnog ?nženjeringa SEC&&2' 8&*& )5anzivni nivo: Slu3ajni odgovor&&&&&&&&&&&&&&&&&&&&&&&&&&&&&2@ '& Gaklju3ak&&&&& Gaklju3ak&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&2A 2A
/
Sl&(& 0utevi napada Hsocijalnog inženjeraI i tradicionalni akera&
8
Uvod .azvojem in5ormati3kog drutva in5ormacije i njiova zatita sve vie dobijaju na zna3aju& )snovu savremenog poslovanja 3ini razmena in5ormacija koje moraju da budu pravovremene i kvalitetne i koje, ukoliko se ne 3uvaju dovoljno dobro i nau u pogrenim rukama, mogu da izazovu teke posledice za pojedinca, kompaniju pa 3ak i državu, u zavisnosti od nivoa i zna3aja in5ormacije& +ekada je raspolaganje in5ormacijama bila privilegija pojedinaca i uprave i takve in5ormacije nisu kružile kroz sistem, ve6 su bile zaklju3avane u dobro obezbeenom se5u kojem je pristup bio strogo ograni3en, ili su se nalazile u glavi osobe kojoj je bilo poznato kome i pod kojim uslovima i može saoptiti& Dinamika i modeli savremenog poslovanja, razvoj tenike i tenologije iziskuju da odreeni nivo neopodni in5ormacija mora biti dostupan ve6ini zaposleni u svakom trenutku da bi menadžment kompabnije pravilno 5unkcionisao i da bi svakodnevni posao mogao uspeno da se odvija& Da bi opstale i uspeno poslovale i napredovale, kompanije moraju da se prilagode ovim uslovima i troe velike sume novca za modernizaciju i uvoenje najsavremeniji sistema zatite in5ormacija i poslovanja& )vi sistemi zatite su razvojem postali visoko pouzdani i vremenom 6e postati nepogreivi& Gbog ovog tenolokog razvoja potrebna su ve6a 5inansijska sredstva za proboj u sistem, to je navelo napada3e (, da se 5okusiraju na je5tinija i mo6nija sredstva koja imaju za metu 3oveka& 4edno od najmo6niji sredstava koje se razvijalo kroz istoriju, uporedo sa razvojem i poznavanjem psiologije 3oveka, je upravo Socijalni inženjering& Socijalni inženjering, koji predstavlja proces navoenja zaposleni obmanom da omogu6e pristup sistemu ili otkriju neku poverljivu in5ormaciju, velika je pretnja ve6ini osigurani mreža i in5ormacijama u njima& 9ubici izazvani socijalnim inženjeringom mere se stotinama miliona dolara godinje irom sveta, to ukazuje koliko zna3ajno mesto i interesovanje ova pojava zauzima& ?ako postoji veliki broj studija o socijalnom inženjeringu, ova pretnja se ipak smatra veoma stvarnom i jo uvek nanosi velike gubitke i predstavlja veliki problem kompanijama irom sveta& 0ostoji veliki broj razloga zato su napadi socijalnim inženjeringom J +apada3i u ovom diplomskom radu predstavljaju osobe koje iz razbi pobuda žele da neovla6eno
(
pristupe in5ormacijama i zati6enom sistemu&
'
uspeni, neki od najzna3ajniji su loa edukacija, nepridržavanje propisani procedura i nizak nivo bezbednosne kulture& U ovom diplomskom radu raspravlja6e se o osnovama socijalnog inženjeringa putem pružanja opteg pregleda socijalnog inženjeringa& +akon toga, diskutova6e se o tendencijama u ljudskom ponaanju koje 3ine zaposlene tako ranjivim, a samim tim socijalni inženjering tako uspenim& )ve tendencije uklju3uju jak a5ekat, preoptere6enje, uzvra6anje usluge, obmanljive veze, di5uziju odgovornosti i moralne dužnosti, autoritet, integritet i doslednost& +a kraju, u ovom radu pokua6u da pružim i de5iniciju multi-level odbrane koja 6e se pozabaviti ovim psiolokim okida3ima& +ivoi odbrane koji su ovde de5inisani su politika sigurnosti, obuka o svesnosti o sigurnosti, obuka pružanja otpora, teku6e opomene, and Cine Socijalnog inženjeringa, i slu3ajni odgovor& and Cine Socijalnog inženjeringa SEC predstavljaju procedure, ili politiku, koji se, kada se uvedu, ponaaju kao sistem detekcije upada& )3ekujem da 6e ovaj rad dodati odreenu vrednost sigurnosti zajednice i kompanija i podignuti nivo svesti interesenata na tri na3ina: inkorporiu6i trenutno socijalno-psioloko istraživanje ove oblasti u diskusiju o razumevanju i pružanju otpora socijalnom inženjeringu, kori6enjem psioloke literature kako bi se obezbedila multi-level odbrambena strategija u cilju osposobljavanja zaposleni da se odupru pretnjama socijalnog inženjeringa i razvijanjem koncepta ;and Cine Socijalnog inženjeringa< kao dela multi-level odbrane od socijalnog inženjeringa& Cenadžer bezbednosti ili lice zaduženo za zatitu sistema mora da vodi ra3una o poverljivosti, integritetu, i raspoloživosti svoje mreže& Kako bi postigao ovo, on7ona mora da utvrdi koje su realne pretnje odreene mreže, i gde je ona najranjivija& )vo 6e pomo6i utvrivanju rizika date mreže& 0ored razumevanja, mora se posti6i i odluka u vezi nivoa rizika koji je dozvoljen za odreenu mrežu& 0overljivost, integritet i raspoloživost mogu se kompromitovati na direktan ili indirektan na3in putem rizika koji sa sobom nosi socijalni inženjering& )buka o svesnosti o bezbednosti obi3no se nudi kao primarna odbrana od socijalnog inženjeringa& Ceutim, trenutna istraživanja u *
socijalnoj psiologiji ukazuju na to da obuka o svesnosti o bezbednosti sama po sebi ne6e osposobiti zaposlene da se odupru ubeivanju ;socijalnog inženjera<& )dbrana od socijalnog inženjeringa može uzeti u obzir ono to se zna o psiologiji ubeivanja, i razviti to znanje kako bi doprinela razumevanju ubeiva3kog napada i dinamike graenja otpora& Socijalni inženjering je toliko raznolik i složen da mu je neopodna vieslojna odbrana kao dopuna temeljnom modelu odbrane kojeg su razvili menadžeri bezbednosti& Složenost socijalnog inženjeringa leži u psiologiji žrtve i irokom dijapazonu napada koji su ograni3eni jedino matom napada3a&
>
(& )snovne postavke Socijalnog inženjeringa 9eneralno, socijalni inženjering je proces obmanjivanja ljudi kako bi odali poverljivu, privatnu ili privilegovanu in5ormaciju ili pristup akerunapada3u& Gaista nema puno razlike izmeu tenika koje se koriste za socijalni inženjering, i tenika koje se koriste kako bi se izvrila klasi3na prevara2& Keit =& .odes, glavni tenolog pri ameri3kom )deljenju )pteg .a3unovodstva, veruje da je socijalni inženjering veoma e5ikasan& )n beleži slede6e: ;Leoma mali broj kompanija je zabrinut u vezi ovog problema, a trebali bi da budu&< Drugi su zapazili da su: ;M slu3ajevi pojave socijalnog inženjeringa prili3no u3estali< / 9audin, str& 2& Stru3njaci koji rade na poslovima bezbednosti svakako razumeju da socijalni inženjering može da predstavlja ozbiljnu ranjivu ta3ku skoro svake organizacije& Koriste6i tenike socijalnog inženjeringa nema sumnje da 6e uspeti da prodru u skoro svaki sistem koji nije adekvatno obezbeen i zati6en od ove vrste napada& ;+ikada nije trebalo manje truda za iskori6avanje socijalnog inženjeringa, niti za ulazak u teni3ki zati6en sistem<, kaže Brain DunpN, direktor analize operacija pri .ip1ec ?nc&, iz konsultantske 5irme koja se bavi analizom bezbednosti& ;Kompanije mogu zatevati da koristimo socijalni inženjering& 1o zaista radimo samo za one koji ne veruju< 9audin, str& 8& 0ro5esionalci koji rade na poslovima bezbednosti moraju razumeti i biti svesni granica ardvera i so5tvera kako bi pružili u potpunosti bezbedno okruženje& 0ostoji realna potreba da razmiljamo sa ;ve6om jasno6u i precizno6u o tome ta jo može da se uradi kako bi se razvila istinski obuvatna sredstva negovanja bezbednog okruženja< .usc, str& 2&
2& +eke od osnovni tenika Socijalnog inženjeringa 2
Oialdini, .obert B&P 9reen, Bet &P .usc, =ntonN 4&
Saron 9audin& Social Engineering: 1e uman Side o5 acking& ?1 Canagement& Caj (, 22&
@
0ostoji odreen broj osnovni tenika socijalnog inženjeringa koje se koriste kako bi zaposleni odali in5ormaciju ili pristup sistemu& +eki od osnovni uklju3uju izdavanje napada3a za jednog od zaposleni u kompaniji žrtve, razmenu usluga, ubeivanje žrtve da je zatev sasvim razuman, uveravanje žrtve da on7ona ne6e biti odgovorni za ono to se deava i za odluku koja se od nje zateva, uz obi3no prijateljski nastrojeno ponaanje arl, str& 28& 1enologija za promenu glasa preko tele5ona nije skupa, prili3no je e5ikasna i o njoj se puno diskutovalo u akerskoj literaturi& Leruje se da je ve6ina napada3a mukog pola& Ceutim, poto se smatra da su žene uspenije u ubeivanju, napada3 može promeniti glas u ženski glas zarad tele5onske konverzacije Bernz, str& /& 2.1.Razvijanje poverenja
0rvi od koraka napada je uspostavljanje poverenja& 4ednom kada je poverenje uspostavljeno, napada3 6e zapo3eti sa prikupljanjem osetljivi in5ormacija i pristupa koji su neopodni radi provale u sistem& Let napada3 6e in5ormacije prikupljati polako, traže6i samo male usluge, ili 6e pak do in5ormacija dolaziti kroz naizgled nedužne razgovore& +apada3 6e dati sve od sebe da održi prividno nedužan odnos, dok u3i kompanijski žargon, imena zaposleni, imena važni servera i aplikacija, i mnotvo drugi vredni in5ormacija 9ranger, ;akerska taktika<, str& '& Uspenost socijalnog inženjeringa se zasniva na ljudskoj tendenciji da budu od pomo6i& Le6ina ljudi, posebno oni koji su zaposleni u odeljenjima kao to su Korisni3ka služba i ?n5ormacije, ili pak na pozicijama kao to su poslovni asistenti i sekretari kojima je ve6 sam opis posla takav da moraju da budu uslužni i da po de5oltu pokuavaju da pomognu, ranjivi su i predstavljaju glavne mete napada3a& )vi poslovi naj3e6e zatevaju pomaganje ljudima tokom celog dana, i nije prirodno preispitivati validnost svakog poziva& 2.2.Obrnuti Socijalni inženjering
A
4o jedna od uspeni tenika koju napada3i koriste je tenika obrnutog socijalnog inženjeringa, poznatija kao ;)brnuta žaoka< 8 & )vom tenikom napada3 izaziva problem na mreži svoje mete, ili pak na kompjuteru, i zatim sebe stavlja na raspolaganje za reavanje tog problema& 4ednom kada rei ;problem<, žrtva napada3a doživljava kao eroja i poklanja mu svoje poverenje& Kako bi obrnuti socijalni inženjering zaista 5unkcionisao, napada3 mora da bude u stanju da se prika3i na kompjuter ili sistem pre toga, ili da poalje 5ajl kojim bi uzrokovao nastanak problema& )vo zateva dobru pripremu i istraživanje kako bi moglo da se izvede, ali može se pokazati veoma uspenom metodom 9ranger, ;akerska taktika<, str& '& 2.3.Pristup i mediji za komunikaciju
+apad socijalnim inženjeringom se 3esto vri putem medija za komunikaciju, naj3e6e je to tele5on, gde napada3 poziva žrtvu, dolazi do željeni in5ormacija i ostvaruje cilj napada& 4edan od pristupa može biti i 5izi3ka poseta kancelariji& Samo nekoliko zaposleni ispituje posetu majstora, osobe za podrku in5ormacionim sistemima, izvoa3a radova ili 3ista3a& Svaka od ovi prevara kori6ena je u prolosti kao na3in preruavanja kako bi se stekao 5izi3ki pristup& Leliki deo in5ormacija može se skupiti sa povrine stolova, iz sme6a ili 3ak i tele5onski imenika i plo3ica sa imenom& 4edan od savremeniji pristupa koji napada3 može preduzeti jeste da napie program ili ubaci neki koji je ve6 napisan kako bi zatražio korisni3ko ime ili lozinku u zamenu za ;veliku nagradu<& )vo se može poslati žrtvi e-mailom, i biti isprogramirano na taj na3in da napada3u poalje in5ormaciju tamo gde je on može pokupiti& ?nstant poruke ?C, sobe za cat, i oglasne table takoe se koriste kako bi se naciljali, i izvrili napadi socijalnog inženjeringa& Qeb-site se takoe može koristiti za oblik socijalnog inženjeringa koji je vie teni3ke prirode& +agradna igra, kod koje dobitnik dobija sve, ili bar deo uloga, kao i obe6anje da 6e se dobiti neto za ;nita< ukoliko korisnik samo da e-mail 3esto uklju3uju6i i identi5ikacioni id i lozinku ponekad je 8
Citnik, D&K i Sajmon, &L&: Umetnost obmane, Cikro knjiga, Beograd, 2/& str (/'&
(
to ista lozinka koja se koristi na mreži predstavlja vrlo 3esto upotrebljavanu teniku napada3a za dolazak do bitni podataka& Sa ovoliko in5ormacija, napada3 može mnogo toga da uradi )rr, str& 2&
/& 1endencije u ljudskom ponaanju koje predstavljaju klju3 uspea Socijalnog inženjeringa )bzirom da je socijalni inženjering drutvena i psioloka tenika, ima smisla pokuaj da se razume psiologija koja stoji iza socijalnog inženjeringa pre nego to se pokua sa razvojem vieslojne odbrane protiv njega& Kako bi se ovo izvelo, neopodno je razumeti tendencije u ljudskom ponaanju koje stupaju na snagu tokom napada socijalnim inženjeringom i koje napada3i znaju da usmere i iskoriste na pravi na3in& )ve tendencije su zapravo psioloki principi koji pokazuju odreenu vrstu uticaja na ljude navode6i i da u3ine neto to ina3e ne bi u3inili& .azumevanje ovi tendencija koje stoje iza socijalnog inženjeringa pomo6i 6e u stvaranju uslova za e5ektivnu vieslojnu odbranu od njega& 3.1.Jak psiolo!ki a"ekat
4ak psioloki a5ekat je tendencija koja se mani5estuje kao poja3ano emocionalno stanje koje omogu6ava napada3u da izvu3e iz žrtve vie nego to je za o3ekivati& Ukoliko je žrtva jako iznenaena, naslu6uje neto ili pak ima ose6aj besa, tada je manje verovatno da 6e mo6i da misli o argumentima koji su joj ponueni& 4ak psioloki a5ekat se uvodi kada ;socijalni inženjer< iznese neku izjavu pri kraju interakcije, a koja izaziva jake emocije& Snažan a5ekat uklju3uje ali nije ograni3en na stra, uzbuenje ili paniku& )vo bi moglo da bude obe6anje glavne premije u iznosu od nekoliko stotina ili iljada neki nov3ani jedinica, ili pak panika usled straa da žrtvino zaposlenje zavisi od samo jedne odluke& +alet jaki emocija deluje kao mo6no ometanje, i onemogu6uje žrtvinu sposobnost da procenjuje, razmilja logi3no ili smisli neki protivargument .usc, str& 8&
((
0rotiv-3injeni3no razmiljanje je 5enomen koji je povezan sa jakim a5ektima i javlja se kada naslu6ivanje neke mogu6nosti kao to je dobijanje velike nagrade dovede do ;kratkog spoja< u logi3nom rasuivanju te osobe& Trtva ignorie 3injenicu da je verovatno6a dobijanja nagrade zapravo veoma mala i udaljena, ali i da neopravdano rizikuje stvarna i vredna dobra in5ormacije ili neovla6eni pristup radi mogu6nosti nagrade& ini se kao da je osoba op3injena, to se deava usled naleta jaki emocija andman, str& 2AA& Qeb-site, koje prave napada3i, su naj3e6e ;oboga6eni< pop-out prozorima, koji iska3u sa raznim porukama i ponudama, naglaavaju6i i oslanjaju6i se na iznenaenje& ?znenaenje se može posti6i zvanjem rano ujutru ili dolaženjem u veoma neobi3nim okolnostima ili sa veoma neobi3nim argumentima& ?znenaenje se takoe može posti6i kori6enjem re3i ili slika koje nose jak emocionalni naboj = V 1, str& 8& 3.2.Preoptere#enje
0ogreno protuma3ene premise mogu pro6i bez provere kada se 3uju u brzini i kada se nalaze izmeu ubedljivi i o3igledni istina& Ukoliko osoba mora za kratko vreme da obradi dosta in5ormacija, to može uticati na njeno logi3no razmiljanje i može uzrokovati ;3ulno preoptere6enje<& Kada ljudi moraju da obrade puno in5ormacija, oni postaju ;mentalno pasivni J upijaju in5ormacije pre nego da i procenjuju< Burtner, str& 2& Do preoptere6enja može do6i i pred kraj radnog vremena, nakon napornog radnog dana ili pred kraj radne nedelje& U žurbi da zavre posao zaposleni se 3esto nesmotreno odnose sa in5ormacijama& 3.3.$zvra#anje usluge%ljubaznosti
0ostoji nepisano pravilo vezano za meuljudske odnose, koje predstavlja takoe tendenciju u ljudskom ponaanju, da ukoliko nam neko neto dW, ili nam obe6a neto, mi svesno ili nesvesno ose6amo potrebu da uzvratimo uslugu& )vo je ta3no 3ak i kada poklon nije tražen, pa 3ak i kada je ono to se traži zauzvrat mnogo manje vredno od samog poklona koji je (2
dat& )vo je tenika koja je poznata kao uzvra6anje usluge7ljubaznosti .usc, str& *& )vaj psioloki okida3 je dosta kori6en& Kevin Citnick, poznati aker, opisuje kakve je sve reakcije video& •
;U okruženju gde radi dosta nji, ljudi su manje skloni da temeljno preispitaju zatev, tako da idu mentalnom pre3icomM<& .ezonovanje ide na slede6i na3in: ukoliko me neko zove i pomaže mi u reavanju odreenog problema, tada je ta osoba na mojoj strani i ne misli mi nita loe Farber, str& (&
)brnuti socijalni inženjering koristi upravo tendenciju uzvra6anja& +apada3 se pojavljuje kao eroj koji je spreman, voljan i sposoban da rei problem u kojem se žrtva nalazi& ak i pre nego to se problem rei, žrtva se ose6a dužnom u odnosu na napada3a& )vo je, naravno, idealna situacija za njegov napad +elson, str& /& 4o jedan od na3ina na koji se uzvra6anje može koristiti, pokazan je putem bievioristi3ki eksperimenata& )vi eksperimenti pokazuju da kada se dvoje ljudi ne slaže oko ne3ega, ukoliko se jedno od nji u nekom trenutku povu3e J bez obzira koliko to malo bilo J drugo 6e se ose6ati obaveznim da se takoe povu3e& Ga napada3e, ovo je relativno lako& )n7ona mora samo da zatraži vie od jednog zateva, da se zatim odrekne jednog, nakon 3ega 6e žrtva ose6ati pritisak da se odrekne drugog Oialdini, str& /@& Uzvra6anje usluga7ljubaznosti se konstantno uo3ava u ve6im okruženjima& 4edan zaposleni 6e pomo6i drugom, uz o3ekivanje da 6e mu usluga nekada možda biti vra6ena& )vo je nepisani sistem trampe koji se smatra neprocenjivim ukoliko osoba želi da bude uspena& Ceutim, ;socijalni inženjer< koristi sistem pružanja usluge zato to su njegovi7njeni motivi nepoteni, i on7ona indirektno traži neto to se ni po koju cenu ne bi trebalo dati&
3.&.'ra(enje )dobrog* odnosa sa žrtvom
(/
1akoe, jo jedna od tenika koju napada3i koriste je graenje ;dobrog< odnosa sa žrtvom radi ispunjenja svog skrivenog cilja& 4edan od na3ina na koji se ovo može uraditi je deljenje in5ormacije i razgovor o nekom zajedni3kom neprijatelju po sistemu J ;+eprijatelj mog neprijatelja je moj prijatelj<& Kevin Citnick opisuje da je njegova omiljena prevara bila kada je varao zaposlenog koji je ve6 sumnjao na njega i imao negativan stav, predstavljaju6i se da je neko drugi& Citnick se odlu3io da uspostavi odnos sa zaposlenim kroz e-mail, dele6i sa njim odreenu in5ormaciju i tenologiju, a ne traže6i nita za uzvrat& 1akoe, pomogao je u3vr6ivanju te veze tako to je pri3ao negativno o ;Kevinu Citnick-u<, jer zaposleni nije svatio da je upravo K& Citnick taj koji odgovara na e-mailove& +akon to je odnos uspostavljen, Kevin je mogao da prikupi veliki broj in5ormacija o sistemu koji meta koristi Farber, str& (& )vaj primer objanjava situaciju u kojoj napada3 žrtvu ubeuje da imaju zajedni3kog neprijatelja& Ceutim, postoje i obrnuti slu3ajevi gde se barijera nepoverenja probija i odnos sa žrtvom izgrauje na zajedni3kom interesovanju za odreeni obi ili stvaranju privida da se nalaze u sli3noj situaciji, davanjem poklona i mnogim drugim na3inima& 4ednom kada se barijera nepoverenja probije i ;prijateljski< odnos razvije, postoji veliki broj na3ina na koji se može iskoristiti& Dobar primer ovoga je poznati =) napad, koji je dokumentovan od strane L?9==+1-e& +apada3 je pozvao i pri3ao sa zaposlenim u službi teni3ke podrke, koriste6i =), vie od sat vremena& U jednom trenutku tokom razgovora, +apada3 je pomenuo da su njegova kola na prodaju& 1eni3ar je bio zainteresovan, tako da je napada3 poslao e-mail sa dodatkom, u kojem se nalazila slika auta& Ceutim, dodatak je bio ;oboga6en< i backdoor eXploitom koji je otvorilo konekciju kroz =) 5ireYall Ligilante, str& 2& )vaj na3in napada je vrlo e5ikasan i 5unkcionie u velikom broju situacija& +amera je da žrtva oseti kako ona i onaj koji je poziva razmiljaju sli3no, ili žele iste stvari u životu& Lerovanje da neko ima karakteristike identi3ne ili sli3ne naima, pruža snažan podsticaj da se prema toj osobi opodimo sa naklono6u, pa 3ak i da joj verujemo bez opravdanog razloga .usc, str& *& 3.+.,i"uzija odgovornosti i moralne dužnosti
(8
0omo6u di5uzije odgovornosti žrtva se navodi da misli da ne6e on7ona biti odgovoran7na za svoje postupke& ?roni3no, ova tendencija može da 5unkcionie veoma dobro uz kori6enje moralne dužnosti kao motiva ubeivanja& Coralna dužnost se uvodi u igru onda kada meta ose6a da radi neto to 6e pomo6i da neki zaposleni sa3uva svoj posao, da pomaže kompaniji, ili bar da izbegava ose6aj krivice +elson, str& 8& +apada3 navodi žrtvu da misli kako on7ona donosi odluke koje zna3e razliku izmeu uspea ili neuspea kompanije, ili ;zaposlenog< koji zove, nagovetavaju6i da onaj koji zove može ostati bez posla zbog neke svoje odluke& )vo je veoma teka odluka za ve6inu ljudi, i zaposleni 6e se lake složiti ukoliko veruje da on7ona ne6e biti odgovoran7na za postupak& 3.-.utoritet
0ostoji izuzetno jaka tendencija u ljudskom ponaanju da ne dovode u pitanje i bezuslovno sprovode svaki nalog upu6en od strane osoba koje oli3avaju autoritet& ?nteresantno je da autoritet za zaposlene mogu predstavljati, pored pretpostavljeni u preduze6u u kojem rade, i javne li3nosti sportisti, glumci, politi3ari i mnogi drugi& 4edna od studija dramati3no ilustruje ovu tendenciju& Bolni3arke u 22 razli3ite zdravstvene stanice bile su zamoljene da daju dozu neprepisanog leka pacijentima, i to samo na osnovu nareenja dobijeni preko tele5ona to je protiv pravila od strane lekara kojeg nikad nisu videle, i pri tom im je bilo re3eno da daju dozu koja je dva puta ja3a od maksimalne dnevne doze& )va nareenja su o3igledno morala biti preispitanaP pa ipak, u A'Z slu3ajeva, bolni3arke su zaista nabavile dozu i krenule da je daju pacijentu, pre nego to su i presreli posmtra3i .usc, str& *& )vaj dramati3an primer pokazuje da su ljudi u stanju da u3ine mnogo za onoga kojeg smatraju autoritetom& .azmislite o uticaju koji lažni direktor ili zamenik direktora može imati na zapolsenog koji nije bio adekvatno edukovan i pripremljen za svoj posao& )vu tendenciju 3ini jo mo6nijom 3injenica da se smatra izazovom i da je zaposlene stra kada treba potvrditi legitimnost datog autoriteta& )vaj nedostatak perspektive ostavlja ovu tendenciju na upotrebu bilo kome ko je voljan da sebe predstavi kao osobu od autoriteta&
('
3./.0ntegritet i doslednost
judi imaju tendenciju da slede naredbe na radnom mestu, 3ak iako te naredbe možda uopte nisu dobre i pametne& Ga neke zaposlene, pitanje je integriteta ;u3initi ono to je re3eno da treba da se uraditi<, pa 3ak i ako posumnjaju da zatev možda nije opravdan J svi žele da budu deo tima& 1a tendencija je toliko jaka da 6e ljudi izvriti naredbu 3ak i ako misle da je tu naredbu smislio neki od kolega& Ukoliko dobije raspored odmora, napada3 može iskoristiti odsustvo nekog zaposlenog za eksploataciju upravo ove tendencije& 4o jedan od aspekata integriteta i doslednosti jeste taj da ljudi uglavnom teže da veruju da drugi izražavaju svoje prave stavove onda kada neto izjavljuju& Ukoliko ne postoji jak dokaz koji ide u prilog suprotnom, ljudi 6e verovati da osoba sa kojom pri3aju govori istinu o onome to ose6a ili pak treba da ose6a& )va težnja da se veruje drugima zasnovana je pre svega na njiovoj sopstvenoj iskrenosti pri izražavanju ose6anja .usc, str& >& Lažno je ovde ista6i da ve6ina ovi tendencija u ljudskom ponaanju ne predstavljaju negativne pojave i da su 3esto 3ak i neopodne da bi jedan kolektiv mogao uspeno da 5unkcionie& Cenadžeri moraju da neguju ove osobine kod zaposleni, ali takoe i da zaposlene pripreme i osposobe za adekvatnu odbranu i zatitu od napada upravo usmereni na nji&
8& +ivoi odbrane od Socijalnog inženjeringa
(*
9raenje sistema odbrane od socijalnog inženjeringa sli3no je graenju bilo koje jake odbrane& Klju3 je odrediti koje su slabosti i pretnje i rizici, a zatim otkloniti nedostatke i zatititi se od ti rizika& )dbrana mora da ima nekoliko slojeva zatite, tako da 3ak i ako napada3 uspe da prodre kroz jedan sloj, treba da postoji jo slojeva koji bi trebali da ga zaustave, to je od klju3ne važnosti& U jednom trenutku, strategija mora postati vie od same odbrane& )bzirom da su mu date neograni3ene mogu6nosti za pokuavanje, napada3 6e pomo6u socijalnog inženjeringa na kraju na6i ili 3ak stvoriti slabu ta3ku& 1o je razlog zato sistem mora da se bori protiv toga, ili bar da prepozna da je napadnut& Koncept and Cine Socijalnog ?nženjeringa, koje su postavljene irom mreže, pruža mogu6nost odbrane& SEC kako 6e biti nazivane u ostatku ovog rada su osmiljene kako bi u3inile i neto vie od jednostavnog spre3avanja napada3a da se probije& )ne su osmiljene da otkriju napada3a to nam daje mogu6nost da, uz kvalitetan kontranapad, na duži rok otklonimo ovu pretnju& )vaj koncept se sastoji iz vie nivoa odbrane&
8&(&1emeljni nivo: 0olitika bezbednosti koja govori o Socijalnom inženjeringu +ijedna tvrava ne6e opstati bez jake i stabilne osnove& )snova bezbednosti in5ormacija je njena politika& 0olitika bezbednosti postavlja standarde i nivo bezbednosti koji 6e sistem imati& 1akoe, ona mora pružiti sistemu 5leksibilno stanje koje se može podesiti ukoliko je to neopodno& )va osnova je tim važnija ukoliko politika bezbednosti titi sistem od socijalnog inženjeringa& Socijalni inženjering cilja na ljude, a oni moraju znati kako da odgovore na sumnjive zateve& Ustanovljena politika pomaže krajnjim korisnicima da se ose6aju kao da nemaju nijedan drugi izbor osim da se odupru molbama napada3a& Gaposleni ne bi smeli da budu u poziciji gde moraju da razmiljaju da li odreena in5ormacija sme ili ne sme da se oda& )vo mora unapred biti de5inisano od strane menadžera koji su ozbiljno razmislili o vrednosti date in5ormacije i procenili rizike i pretnje&
(>
Cenadžeri bezbednosti, prilikom konstruisanja politike bezbednosti i sistema zatite moraju po6i od zaposlenog, njegove edukacije i ja3anja samopouzdanja& ?z studija ;meta-saznanja< u teoriji ubeivanja, istraživa3i su otkrili da je jedan od na3ina da zaposleni izgradi otpor prema ubeivanju zapravo razvijanje samopouzdanja u sopstvenog miljenja& 0ove6anje samopouzdanja samog zaposlenog, tako to 6e se postaviti jasna politika, smanjuje ansu da 6e ubeiva3 imati preteran uticaj na zaposlenog 0ettN ;Ciljenje<, str& >22& 0olitika bezbednosti mora se pozabaviti sa nekoliko oblasti kako bi postala temelj otpora socijalnom inženjeringu& 1rebala bi se pozabaviti i kontrolom pristupa in5ormacijama, postavljanjem naloga, dozvolom pristupa i promeni lozinke& 1akoe, trebala bi se baviti bravama, ?D-om, unitavanjem papira, i pra6enjem posetioca& 0olitika mora imati izgraenu disciplinu, i pre svega, mora se primenjivati[ 9ranger, ;Borbene strategije<, str& 2& +ivo odbrane u politici sigurnosti u odnosu na socijalni inženjering, pomo6i 6e zaposlenom da se odbrani od napada i da kontrolie i kanalie svoje ponaanje u odreenim situacijama =utoritet i Di5uzija odgovornosti7moralne dužnosti i dr&& 0olitike imaju e5ekat balansiranja kada neko za koga zaposleni pretpostavi da je autoritet, pozove na tele5on& 0olitika takoe postavlja odgovornost za odatu in5ormaciju ili pristup, tako da nema sumnje da se islklju3ivo na teret zaposlenog stavlja ukoliko oda privilegovanu in5ormaciju ili pristup&
8&2&0arametarski nivo: .azvoj svesti o bezbednosti i zatiti za sve zaposlene 4ednom kada se ustanovi i odobri temelj politike bezbednosti, svi zaposleni trebali bi da se obu3e u tome da postanu svesni važnosti bezbednosti& 0olitika bezbednosti pruži6e uputstva za obuku, kao i motivaciju& 0olitike koje su dobro razmotrene, i zatim prenete zaposlenima, mogu zaista uticati na to na koji na3in 6e zaposleni odgovoriti na neki zatev& Svest o bezbednosti je neto mnogo komplikovanije od pukog napominjanja ljudima da ne odaju svoje i5re& Gapravo, poznati aker Kevin
(@
Citnick je u jednom razgovoru rekao ;+ikada nisam nikoga pitao za i5ru<& +jegov cilj je bio mnogo složeniji od toga& Bio je to cilj ;stvaranja ose6aja poverenja, a zatim iskori6avanje istog< emos, str& 2-/& Gaposleni moraju znati da prepoznaju koju vrstu in5ormacija ;socijalni inženjer< može iskoristiti, i koje vrste razgovora su sumnjive, to zateva kvalitetnu edukaciju i disciplinovano sprovoenje procedura& Gaposleni bi trebalo da znaju kako da prepoznaju poverljivu in5ormaciju, i trebalo bi da u potpunosti razumeju svoju odgovornost kada je re3 o zatiti te in5ormacije& 1akoe, moraju znati kako da kažu ;ne< kada je to potrebno, i da imaju podrku svoje uprave u situcaijama kada tako neto može da dovede u pitanje njiov integritet i posao 9ranger, ;Borbene strategije<, str& /& Svi zaposleni trebalo bi da budu svesni osnovni znakova koji su prisutni tokom napada socijalnim inženjeringom& +eki od ovi znakova predstavljaju odbijanje onog koji poziva da dW neki kontakt, žurba, isputanje imena, zastraivanje, 3udna pitanja, i traženje zabranjeni in5ormacija& Gaposleni moraju biti spremni da ispitaju poziva3a, i da zadrže in5ormaciju 3ak i kada izgleda da to nema rezultata 9ranger, ;Borbene strategije<, str& /& Gaposleni bi trebali da budu svesni da 6e iskusan ;socijalni inženjer< prvo pokuati da izgradi odnos poverenja& +apada3 6e zatim iskoristiti ovaj odnos kako bi stekao vredne in5ormacije& Leliki deo in5ormacija može se dobiti kroz oputen razgovor o temama kao to su kompanijski žargon, imena i pozicije važni ljudi unutar kompanije, zna3ajni dogaaji, sveukupna organizaciona struktura, i imena zna3ajni servera emos, str& 2/& 0lan obuke trebalo bi da prati politiku sigurnosti, ali postoje neke klju3ne stavke koje svi korisnici moraju da zapamte: Znati šta ima vrednost J Le6ina ljudi potcenjuje svoje podatke i pristup pre nego im se naka3i napada3 ili njiov ard ;pukne<& 1rebalo bi da razmisle o tome i da budu svesni ta treba da rade i kolika je njiova teta ukoliko se nau u situaciji da najednom ne mogu da pristupe svom kompjuteru ili da im odreene in5ormacije nedostaju& )vo bi bar trebalo da im pomogne da postanu svesni da ono na 3emu su radili protekli nekoliko godina J ima neku vrednost i da mora da se titi& (A
Prijatelji nisu uvek prijatelji J 0rijateljstva koja su ostvarena putem tele5ona, i prijatelji koji, iz bilo koji razloga, postavljaju pitanja koja se ti3u privilegovani in5ormacija, možda uopte i nisu prijatelji& +apada3i 6e se u najve6em broju slu3ajeva sprijateljiti sa svojim žrtvama mnogo pre nego to uopte zatraže bilo ta& Svi korisnici trebalo bi da budu svesni da samo zato to se neko deklarie kao da je prijatelj, ne zna3i da mu se zaista može u potpunosti verovati kada je re3 o davanju privilegovani podataka ili pristupa& U zavisnosti od vrednosti podataka i nivoa sigurnosti koji se zateva na datoj mreži, napada3i mogu da primene razraene metode kako bi uverili žrtvu da su im oni prijatelji& 0otencijalno, ovo bi moglo da se deava u odreenom vremenskom intervalu koji može da podrazumeva dane, nedelje, pa 3ak i godine& Šifre su lične J ?ako neki akeri nikada ne6e pitati za i5ru, drugi 6e smisliti veoma ubedljive razloge zato zaposleni treba da dW svoju i5ru potpunom strancu& +a nesre6u, bez obuke ljudi uglavnom daju svoje i5re bez mnogo razmiljanja& \i5re se mogu odati i elektronskim7pismenim putem& Qeb stranice i emailovi mogu nuditi velike nagrade za upisivanje na njiov sajt, ili pak putem aplikacije& Korisni3ko ime i i5re koje mnogi ljudi koriste na ovim sajtovima, 3esto su isti kao i oni koje koriste na mreži& Ukoliko sajt ili aplikacija zatevaju e-mail adresu, napada3 je verovatno ve6 saznao žrtvin domen& ?nstant poruke i ;sobe za cat< takoe mogu biti plodno tle za ;socijalne inženjere<, gde oni mogu ste6i vredan pristup, in5ormaciju ili i5re& Uniforme su jeftine J +apada3 se može pojaviti u preduze6u i predstaviti se kao da ima opravdan i legitiman razlog da bude tu& U mnogim preduze6ima ve6 samo obla3enje uni5orme done6e privatanje& Lažno je obu3iti zaposlene da ne dopuste da samo uni5orma bude razlog to se neko nalazi na mestu na kom ina3e ne bi trebalo da bude& Uni5orme su je5tine i lako i je nabaviti& +emojte zaboraviti da je gotovo svaka in5ormacija vredna nekome ko pokuava da provali u kompjuterski sistem, pa tako 3ak i / sekundi pristupa kompjuteru mogu postaviti savrenu smisalicu za obrnuti drutveni inženjering&
8&/&+ivo tvrave: Dodatna edukacija 2
0ored obuke svi zaposleni i podizanja nivoa svesnosti o mogu6nosti napada socijalnim inžinjeringom, neopodno je posebnu pažnju obratiti na dodatnu edukaciju ;uslužnog< osoblja& U ovu grupu spada osoblje koje radi na ?n5ormacijama, u Korisni3koj službi, poslovni asistenti, sekretari7ce i recepcionari, kao i sistem administratori7inženjeri, uopte, trebalo bi da uklju3uje sve one 3iji je posao da pomažu drugima& Dobra obuka i dosledno sprovoenja propisani pravila i procedura 6e spre3iti da zaposleni oda in5ormaciju koja je napada3u potrebna, 3ak i uprkos njegovom ubeivanju& Skoranje studije pokazuju da obuka može ljude u3initi otpornijim na ubeivanje& Cože se koristiti nekoliko tenika iz programa obuke u pružanju otpora u okviru socijalne psiologije, kako bi se zaposleni na odgovaraju6i na3in pripremili da se odupru tenikama ubeivanja koje primenjuje napada3& )akcinisanje* J predstavlja simulaciju ili trening teniku kojom se
zaposlenom daju oslabljeni argumenti koje može koristiti napada3& )vo 5unkcionie po istom principu kao i spre3avanje irenja ;zaraze< ubrizgavanjem bolesti subjektu u oslabljenom obliku& Gaposleni 6e biti izloženi svim mogu6im argumentima koje napada3 može koristiti&1akoe, bi6e izloženi i argumentima napada3a kao odgovora na jake pobijaju6e argumente koje u odreenoj situaciji koriste zaposleni& Studije ukazuju na to da je ovo e5ektivna i dugoro3na tenika graenja otpora& 0roblem je jedino u tome to ovaj program podrazumeva da onaj ko obu3ava zaposlene mora da bude sposoban da predvidi argumente ;socijalnog inženjera< Sagarin, str& '2>& $pozorenje Jje jo jedna od tenika graenja otpora koju su testirali
socijalni psiolozi& 0siolozi su testirali upozoravanje subjekata ne samo o sadržaju dolaze6e poruke, ve6 i o nameri ubeivanja koja prati poruku& 0rosleivanje sadržaja izazvalo je ve6i otpor nego prosleivanje namere ubeivanja& 0rakti3na primena obuke o pružanju otpora jeste da upozori ne samo da 6e napada3 pokuati da ubedi zaposlenog, ve6 J to je jo važnije, da 6e argumenti koje napada3 koristi biti manipulativni, obmanjuju6i i neiskreni& Gaposlenima se mora re6i da su namere napada3a kriminalne, i da oni nameravaju da kradu od nji& )va crno-bela terminologija je neopodna ukoliko upozorenje treba da ima e5ekta Sagarin, str& '2>&
2(
Druge studije pokazuju da se otpor protiv ubeivanja može pove6ati ukoliko zaposleni ima neko pretodno znanje iz ove oblasti i ukoliko zaposleni sebe doživljava kao dobro obavetenu osobu& )vaj dodatni otpor izazvan je potrebom za saznajnim zatvaranjem Kruglanski, str& @>8& 0rakti3na primena ovi studija je ta da, to su zaposleni obaveteniji na ovu temu, i to su pouzdaniji u želji da zatite privilegovane in5ormacije i pristup, manje je verovatno da 6e dozvoliti sebi da budu ubeeni& Provera realnosti J jedan od razloga neuspea tokom obuke u
razvijanju svesti o bezbednosti, jeste taj da ljudi obi3no gaje nerealan optimizam po pitanju sopstvene neranjivosti& )vakvo verovanje mnoge navodi da ignoriu opravdane rizike, i ne uspeju da preduzmu mere da i neutraliu& Ceutim, jednom kada i nasamarite i pokažete im da su zaista ranjivi, trening postaje mnogo e5ektniji Sagarin, str& '/*&
0ostoje tri 5aze uo3ene osetljivosti na rizik: •
•
•
0rva je svesnost J znanje da je rizik prisutan& 1reba napomenuti da je ovo je ta3ka gde se, na žalost, zavrava ve6ina treninga o razvijanju svesti o zna3aju zatite i bezbednosti& Druga je opta osetljivost, to je zapravo verovanje u verovatno6u postojanja rizika, ali za druge ljude& 1re6a 5aza je li3na osetljivost, koja se postiže kada osoba uvidi sopstvenu ranjivost& 1rening koji ukazuje na zna3aj svesti o bezbednosti, kao i obuka za pružanje otpora, ima6e samo ograni3enu vrednost ukoliko osoba ne dostigne nivo li3ne osetljivosti Sagarin, str& '8&
.uenje percepcije li3ne neranjivosti nije saznajna vežba, ve6 je eksperimentalna vežba& .e6i zaposlenom da napada3 može da ga prevari, nije dovoljno da se suprotstavi njegovom stavu neranjivosti& Dobar primer ukazivanja na ranjivost bio bi da se prilikom ediukacije u idealnom slu3aju u3esnicima dala ansu da budu prevareni i pre nego to predavanje 3ak i po3ne& Cogu6nosti su ograni3ene samo ne3ijom matom&
22
4edna od ideja je i da stru3njak iz ove oblasti doe ili nazove pre 3asa, kako bi dobio to vie in5ormacija od oni koji 6e prisustvovati ovom predavanju J naravno, uz kori6enje tenika socijalnog inženjeringa& Gatim bi predava3 pustio ovu osobu na 3as, i otkrio koliko je on7ona uspeo7la da sazna od svakog u3esnika na ovom predavanju& +a taj na3in, ljudi bi bili u stanju da svate da su zaista ranjivi na ovu vrstu napada& 4o jedan od na3ina da se pokaže ranjivost u3esnika jeste da se razvije aplikacija koja 6e neo3ekivano iskrsnuti i tražiti korisni3ko ime i i5ru zaposlenom& +a njoj 6e pisati neto poput: ;Laa konekcija je izgubljena& Colimo vas ponovo unesite vae korisni3ko ime i i5ru<& )va aplikacija zatim vra6a poruku koja obavetava zaposlenog da je prevaren7a& U svakom slu3aju, trening bezbednosti koji je u vezi sa socijalnim inženjeringom, trebalo bi da uklju3uje strategiju koja u3esnicima dozvoljava da vide koliko je lako da budu nasamareni& )vo je zaista jedini e5ektivan na3in da se uti3e na smanjenje kompleksa neranjivosti, tako da 6e zaposleni personalizovati trening i truditi se da uo3e taktike socijalnog inženjeringa& Sve u svemu, teku6e studije pokazuju da 6e pokuaji da se ljudi obu3e tako da budu otporni na ubeiva3ke napade, verovatno biti uspeni do tog stepena da 6e zaposleni prisvojiti dve osnovne odlike: 0rva je da zaposleni mora da svati da poziva3 pokuava da manipulie njimP Druga, i klju3na odlika je ta da zaposleni mora da svati da je on7ona i li3no ranjiv7a na takve manipulacije Sagarin, str& '8& •
•
8&8&+ivo istrajnosti: 1eku6e opomene Lieslojna odbrana mora6e da uklju3i redovne opomene i kontrolu razvijane svesti o bezbednosti& 4edan udarac na obuci gde se ljudi obu3avaju da se odbrane od socijalnog inženjeringa, bi6e e5ektivan samo tokom kratkog vremenskog perioda& .edovne i kreativne opomene neopodne su da bi ljudi bili svesni opasnosti koje mogu da vrebaju sa druge strane naizgled prijateljskog poziva& Dobar primer potrebe za redovnim opomenama jeste standardna taktika policijske službe& Cnoga policijska odeljenja daju redovne izvetaje svojim jedinicama o onima koji su nedavno nastradali na dužnosti& )vo bi 2/
trebalo da bude konstantna opomena da je posao koji obavljaju opasan i da moraju da budu na oprezu& 1o se takoe radi i da bi oni zadržali oprez prema speci5i3nim opasnostima sa kojima su se suo3ili drugi policajci& +a isti na3in, zaposleni se moraju redovno upozoravati na postoji mogu6nost da napada3 pokua da ukrade in5ormaciju od nji, tako da se naro3ito in5ormiu o nedavnim takvim pokuajima&
8&'&+ivo: and Cine Socijalnog ?nženjeringa SEC SEC su zamke mine koje se postavljaju u sistemu kako bi otkrile i spre3ile napad& Ba kao i mina na bojnom polju, ova zamka se postavlja kako bi ;eksplodirala< u lice napada3a& )na 6e unititi tajnovitost, možda i ;obogaljiti< napada3a, i zaustaviti napad& SEC 6e uzbuniti zaposlenog, i obavestiti ga da je napad u toku, pa da samim tim treba da se time pozabavi, ili zauzme stav poja3ane sigurnosti& Dole je predloženo nekoliko ideja, ali ideje su zaista beskona3ne, i ograni3ene jedino ograni3enjem kreativnosti menadžera bezbednosti& Opravdano poznavanja svi zaposleni J rabar napada3 ne6e
oklevati da ueta pravo u kompaniju i po3ne da gleda oko sebe i prikuplja neopodne in5ormacije& 4ednom kada se ve6 nae u zgradi i pristupi zabranjenom prostoru, postoje neograni3ene mogu6nosti za napada3a& \i5re mogu biti zapisane na papiri6ima zalepljenim na tastaturi ili monitoru, tele5onski imenici kompanije, poverljive in5ormacije mogu ležati svuda unaokolo u kabinetima ili 3ak i na službeni3kim stolovima i tampa3ima& Da bi se ovi slu3ajevi predupredili ili da bi se na nji reagovalo u svakoj organizacionoj jedinici mora da postoji osoba koja poznaje sve zaposlene, 3iji je posao da zna sve koji su na spratu, ili imaju dozvolu da budu na odreenom odeljenju& Cnoga odeljenja ve6 imaju nekoga ko to radi, ne zato to mu je to u opisu posla, ve6 zato to mu je to i u prirodi& Da bi ovo bio SEC, ta osoba bi morala biti obavetena o rizicima bezbednosti usled 5izi3kog prisustva napada3a, i trebala bi biti ovla6ena da može neto brzo da uradi kako bi se obratila posetiocu koji nema pratnju& )va mina bila bi korisna 3ak i kada bi se za obezbeenje koristili identi5ikacioni bedževi koje bi dodeljivalo obezbeenje i na kojima bi obavezno moralo da stoji vreme dolaska i odlaska i potpis lica kod koga je posetioc bio, zato to napada3i obi3no 5alsi5ikuju bedž i o3ekuju da i niko ne6e proveravati& )sobe koje bi 28
trebalo da se bave ovim poslom su naj3e6e zaposlene na poslovima 5izi3kog i teni3kog obezbeenja preduze6a& entralizovan bezbednosni registar J Leliku pomo6 u spre3avanju
napada predstavlja centralizovani registar bezbednosni deavanja koji se nadgleda od strane osoblja zaduženog za bezbednost in5ormacija& Svaki put kada se službenik zamoli da dW neku in5ormaciju, ili da resetuje i5ru, ili pak ako ima neki sumnjivi poziv, to bi se trebalo evidentirati u ovaj centralni registar& Ukoliko napada3 dobija in5ormacije od jednog zaposlenog, i koristi to da bi razgovarao sa drugim zaposlenim, tada se obrazac može zapaziti u registru& im se obrazac primeti, službenici obezbeenja mogu preduzeti akciju da zaustave napad upozoravaju6i zaposlene o prisustvu napada3a& Gaposleni koji su obu3eni i znaju da moraju prijaviti sve zateve koji su vezani za bezbednost, teže 6e odati poverljivu in5ormaciju, a da pre toga dobro ne razmisle o tome& Dobro poznata tenika ;+ogom-u-vrata< F?1D u3i nas da su ljudi mnogo spremniji da se slože sa zatevom ukoliko su ve6 ranije pristali na manji zatev povezan sa tim& Studije su pokazale da neadekvatno odlaganje izmeu zateva može izazvati otpor i zna3ajno smanjiti e5ekat& =ko se uzmu u obzir ova istraživanja, tada zatev za log-ovanjem može pomo6i u povezivanju ovi zateva 3ak i ukoliko su se zatevi javljali u razmaku od nekoliko dana ili nedelja smanjuju6i e5ekat F?1D-a i pove6avaju6i otpor 9uadagno, str& /@& =žuriranje na centralni bezbednosni registar mora se nadgledati u realnom vremenu konstantno, tako da ova SEC mora da iskoristi sve opcije obavetavanja kojima ova kompanija raspolaže& 4edan od na3ina da se ovo uradi jesu i e-mail obavetenja koja stižu na odreeni nalog, i zavaljuju6i kojima se alarmira menadžer bezbednosti& U zavisnosti od u3estalosti log-ovanja i veli3ine kompanije, možda bi groupYare paket bolje radio, ili pak opcija dinami3ke baze podataka& Kako bi centralni registar delovao kao e5ikasan SEC, sva bezbednosna deavanja moraju biti registrovana, a zaposleni J posebno oni na ?n5ormacijama i u Korisni3koj službi J se moraju proceniti delom i na osnovu njiove privrženosti ovakvoj politici& .egistar mora biti centralizovan i nadgledan tako da napada3 ne može da jednostavno pree na nekog drugog unutar iste organizacije ukoliko na jednom mestu naie na otpor& 2'
Obavezan povratni poziv - 0redstavlja prili3no poznatu proceduru
koja doprinosi e5ektu land mine& 1o je procedura koja zateva da osoblje na ?n5ormacijama ili pak sistem administratori, uzvrate poziv svakom ko zateva resetovanje i5re, ili neku drugu sumnjivu in5ormaciju& 0ovratni poziv 6e potvrditi tele5onski broj, i to bi trebalo da je broj tele5ona koji je naveden u imeniku za osobu koja zove& )vo je procedura koja 6e pobediti lukavstvo kori6enja 0B] sistema i prebacivanja na druge lokale kako bi meta koja nita ne sumnja pomislila da onaj koji zove, zove sa nekog unutranjeg lokala, jer odreeni zvuk pokazuje samo na lokalni trans5er& Ukoliko poziva3 pokua da objasni zato se ne može obaviti povratni poziv, ili ukoliko broj tele5ona nije broj koji je službenik o3ekivao, tada osoblje ?n5ormacija treba da ima slobodu da ne mora da odobri zatev, i mora se evidentirati u sigurnosni registar& U jednom intervjuu, Kevin Citnick je upitan koja je najuobi3ajenija prevara& )n je odgovorio da je to odavanje interni brojeva tele5ona& judi imaju tendenciju da pomažu ljudima za koje se 3ini da su zaposleni u kompaniji, zato to se žrtva plai ukora& SEC 6e pomo6i da ova prevara ne bude uspena Farber, str& (& lju4na pitanja J 4o jedan SEC je postavljen tako to se koristi
veliki broj pitanja kako bi se potvrdio identitet onoga ko poziva i zateva neku internu in5ormaciju, ili pokuava da iznudi resetovanje i5re& Pravilo )5ri Pitanja* J je dobro i treba ga koristiti, ali ga treba
unapred pripremiti sa zaposlenima& )vo pitanje pruža listu pitanja i odgovora koje osoblje na ?n5ormacijama može iskoristi kako bi se utvrdio identitet onoga ko zove& 0itanja bi trebala da budu o3igledna za zaposlene, ali ne i za ostale& 0rimer bi moglo biti pitanje: ;Koji je bio model vaeg prvog auta^< Svaki korisnik 6e pružiti odgovore za listu kada se njiov nalog uvede& 0itanja i odgovori su dostupni ?n5ormacijama, koje zatim potvruju identitet kada poziva3 traži resetovanje i5re& 4edna od varijacija na ovu temu bi bila da se koriste in5ormacije kojima se raspolaže u bazi podataka, ukoliko je to mogu6e& Ceutim, ovakve in5ormacije mogu biti dovoljno javne tako da napada3 može imati pristup njima& 6ažna pitanja J Ukoliko nijedan od ovi sistema nije postavljen, mogu poslužiti i lažna pitanja& ažno pitanje je pitanje koje navodi na 2*
pogrenu in5ormaciju i onome ko zove daje ansu da krene pravilno, ili da napad gradi na lažnoj in5ormaciji& )vo bi napada3u dalo mogu6nost da odgovori najboljom improvizacijom koju jedan prevarant može da smisli& +aravno, nije važno koliko dobro je to odraeno, jer je prevarant ve6 prevaren& 0rimer bi mogao biti: ;), 9ospodine Smit, kako je vaa 6erka^ Da li se oporavlja od nesre6e^< Ukoliko poziva3 kaže: ;Coja 6erka nije imala udes<, ili ;+emam 6erku<, poziva3 je proao jedan test& U tom slu3aju, zaposleni bi se izvinio i rekao da je verovatno pomeao sa nekim& Ceutim, ukoliko poziva3 po3ne da pri3a o nesre6i, ili dopusti da zaposleni pri3a o nesre6i, tada je napada3 upecan& Gaposleni bi trebalo odma da obavesti obezbeenje o ovome& )va SEC je korisna 3ak i ako se za potvrdu koriste 0?+ brojevi& Ukoliko su 0?+ brojevi verbalni, onda se oni mogu slu3ajno 3uti, a ukoliko su ukucani na tele5onu J mogu se slu3ajno videti& )va procedura je u velikoj meri nalik magiji& )naj ko je koristi ne može sa sigurno6u da kaže ta je uradio, bez obzira na to kakav je odgovor& 1akoe, procedura ne može da se koristi toliko 3esto, da drugi napada3i ne bi po3eli da u3e na tome& )vo mora biti tajna koja 6e biti namenjena samo za one zaposlene na ?n5ormacijama, kao i za osoblje obezbeenja i neopodno je povremeno menjati je& Politika )7olimo sa4ekajte* J 0sioloka literatura insistira na
3injenici da je ljude mnogo lake ubediti da urade neto sumnjivo, ukoliko su izloženi pritisku, iznenaenju, ili preoptere6enju& SEC koji 6e se izboriti sa ovim jeste politika koja zateva da svaki sumnjivi poziv ili bilo koji poziv kojim se traži resetovanje i5re ili neka privilegovana in5ormacija, bude stavljen na 3ekanje& )vo 6e usporiti radnju, i dati zaposlenom vremena da razmisli o onom to se traži, da konsultuje predpostavljenog& 1okom 3ekanja, zaposleni može da log-uje zatev, da konsultuje nekog od kolega, ili odlu3i na koji na3in 6e potvrditi identi5ikaciju& )vde je od klju3ne važnosti - dobiti minut vremena i obraditi in5ormaciju koja je data, kako bi se utvrdilo da li je legitimna, da li treba jo neka potvrda, ili je naprosto treba odbiti& )vo su samo neke od ideja& SEC se moraju svatiti ozbiljno ukoliko odbrambeni stav treba da ima iole e5ekta& ?sklju3ivo odbrana, bez o5anzivne ili obrnute pijunaže, ostavlja mrežu otvorenom za svaki napad& Ukoliko
2>
zaposleni tokom napada ne nau3i nita o napada3u, tada 6e napada3 sigurno pobediti&
8&*&)5anzivni nivo: Slu3ajni odgovor Gavrni nivo odbrane je Slu3ajan odgovor& )vo je od klju3ne važnosti, iz razloga to nije sutina samo se odbraniti od napada& +akon nailaska na otpor napada3 6e krenuti dalje i pokuati da nae nekoga u kompaniji ko nema dovoljan nivo znanja o bezbednosti, ili ga to prosto ne zanima& 1reba da postoje dobro de5inisane procedure sa kojima zaposleni može odma da krene 3im posumnja da neto nije u redu& Edukacija i procedure bi trebalo da omogu6e zaposlenom da krene za napada3em agresivno, u isto vreme obavetavaju6i i ostale potencijalne žrtve& Ukoliko ne postoji slu3ajan odgovor, svaki zaposleni koji ima posla sa nekim napada3em, zapravo vodi novu bitku& U meuvremenu, napada3 postaje sve bolji u razumevanju odbrane date organizacije& 0rocedure slu3ajnog odgovora zaustavljaju taj proces& im se neki ;socijalni inženjer< otkrije u bilo kom delu organizacije, napad je otkriven i zaposleni se upozoravaju da je napada3 prisutan, i ta treba da o3ekuju pri susretu sa njim7njom& Lažno je imati jednu visoko stru3nu osobu na odeljenju koja 6e raditi na tome da budno nadgleda ovakve incidente, tako da se napad može brzo i e5ikasno otkriti& )vo bi trebalo da je ista osoba koja ima uvid u centralni registar i u kojem je evidentiran svaki sumnjivi zatev&
'& Gaklju3ak
2@
Socijalni inženjering je realna pretnja, i to pretnja koja trenutno ima prili3no jake e5ekte& )vo ne6e zauvek ostati tako& 4ednom kada kompanije uzmu socijalni inženjering za ozbiljno i priznaju da su ranjive, i po3nu da primenjuju drutvene nauke kako bi se zatitili od ove pretnje uz vieslojnu odbranu, socijalni inženjering posta6e mnogo teži napada3ima za izvoenje, ako ne i nemogu6& Sutina borbe protiv socijalnog inženjeringa je svest o potrebi kontinuirane edukacije zaposleni i insistiranju na doslednom sprovoenju bezbednosne politike i procedura kompanije i stalno testiranje njiove spremnosti da odgovore na ove napade, da se odbrane i da nastoje da pronau i ;eliminiu< napada3a& .azvojem ove oblasti i investiranjem u edukaciju zaposleni može se zna3ajno utedeti na vremenu i sredstvima, jer posledice napada mogu biti viestruko teže po kompaniju&
iteratura 2A
=V1 , 22& S=+S U.: http://rr.sans.org/social/within.php Farber, Dan&
9ranger, Sara&
/
9uadagno, .osanna E&P Oialdini, .obert B& <)nline 0ersuasion: =n EXamination o5 9ender Di55erences in Oomputer-Cediated ?nterpersonal ?n5luence&R 9roup DNnamics: 1eorN, .esearc, and 0ractice: Lol& *(, Cart 22, /@'(& arl& <0eople acking: 1e 0sNcologN o5 Social EngineeringR 1eXt o5 arl`s 1alk at =ccess =ll =reas ??? '7>7A> http://pacetstorm.decepticons.org/docs/social U.: engineering/aaatal.html
Kruglanski, =rie Q&P Qebster, Donna C&P Klem, =dena& *& andman, 4anetP 0ettN, .oss, 8, =pril 2, 2AA-/2( emos, .obert& , 2& GD+et +eYs& U.: http://dnet.com.com/-10011(---61.html?legac,%dnn eYis, Edge&
)rr, Oris&
/(