Socijalni inzenjering

Univerzitet u Beogradu Fakultet Bezbednosti

Socijalni inženjering i odbrana od socijalnog inženjeringa

- Diplomski rad -

:

Fakultet Bezbednosti

Socijalni inženjering i modeli odbrane od napada socijalnim inženjeringom

- Diplomski rad -

Beograd,

2

Fakultet Bezbednosti

Socijalni inženjering i modeli odbrane od napada socijalnim inženjeringom

- Diplomski rad -

Beograd,

2

!"#$!%: Uvod&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&' (& )snovne )snovne postavke socijalno socijalnogg inženjeringa&&& inženjeringa&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&* &&&&&&&&&&* 2& +eke od osnovni osnovni tenika tenika socijalnog socijalnog inženjering inženjeringa&&&&&&&&&& a&&&&&&&&&&( ( 2&(&.azvijanje poverenja&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&( 2&2&)brnuti Socijalni inženjering&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(( 2&/&0ristup i mediji za komunikaciju&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(( /& 1endencije 1endencije u ljudskom ljudskom ponaanju ponaanju koje predstav predstavljaju ljaju klju3 klju3 uspea Socijalnog inženjeringa&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(2 /&(&4ak psioloki a5ekat&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(/   /&2&0reoptere6enje&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(/   /&/&Uzvra6anje usluge7ljubaznosti&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(/ /&8&9raenje ;dobrog< odnosa sa žrtvom&&&&&&&&&&&&&&&&&&&&&&&&&(' žrtvom&&&&&&&&&&&&& &&&&&&&&&&&&(' /&'&Di5uzija odgovornosti i moralne dužnosti&&&&&&&&&&&&&&&&&&&(* dužnosti&&&&&&&&&&&&&&& &&&&(*   /&*&=utoritet&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(* /&>&?ntegritet i doslednost&&&&&&&&&&&&&&&&&&&&&&&&&&&&& doslednost&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&(> &&&&&&&&(> 8& +ivoi odbrane odbrane od Socijalnog Socijalnog inženjeri inženjeringa&&&&& nga&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&(@ &&&&&&(@ 8&(&1 8&(&1em emel eljn jnii nivo nivo:: 0oli 0oliti tika ka be bezb zbed edno nost stii ko koja ja go govo vori ri o Socijalnom inženjeringu&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(@ 8&2& 0arametarski nivo: .azvoj svesti o bezbednosti i zatiti za sve zaposlene&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&(A 8&/& +ivo tvrave: Dodatna edukacija&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&22 8&8& +ivo istrajnosti: 1eku6e opomene&&&&&&&&&&&&&&&&&&&&&&&&&&&&&28 8&'& +ivo: and Cine Socijalnog ?nženjeringa SEC&&2' 8&*& )5anzivni nivo: Slu3ajni odgovor&&&&&&&&&&&&&&&&&&&&&&&&&&&&&2@ '& Gaklju3ak&&&&& Gaklju3ak&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&2A 2A

/

Sl&(& 0utevi napada Hsocijalnog inženjeraI i tradicionalni akera&

8

Uvod .azvojem in5ormati3kog drutva in5ormacije i njiova zatita sve vie dobijaju na zna3aju& )snovu savremenog poslovanja 3ini razmena in5ormacija koje moraju da budu pravovremene i kvalitetne i koje, ukoliko se ne 3uvaju dovoljno dobro i nau u pogrenim rukama, mogu da izazovu teke posledice za pojedinca, kompaniju pa 3ak i državu, u zavisnosti od nivoa i zna3aja in5ormacije& +ekada je raspolaganje in5ormacijama bila  privilegija pojedinaca i uprave i takve in5ormacije nisu kružile kroz sistem, ve6 su bile zaklju3avane u dobro obezbeenom se5u kojem je pristup bio strogo ograni3en, ili su se nalazile u glavi osobe kojoj je bilo poznato kome i  pod kojim uslovima i može saoptiti& Dinamika i modeli savremenog poslovanja, razvoj tenike i tenologije iziskuju da odreeni nivo neopodni in5ormacija mora biti dostupan ve6ini zaposleni u svakom trenutku da bi menadžment kompabnije pravilno 5unkcionisao i da bi svakodnevni posao mogao uspeno da se odvija& Da bi opstale i uspeno poslovale i napredovale, kompanije moraju da se prilagode ovim uslovima i troe velike sume novca za modernizaciju i uvoenje najsavremeniji sistema zatite in5ormacija i  poslovanja& )vi sistemi zatite su razvojem postali visoko pouzdani i vremenom 6e postati nepogreivi& Gbog ovog tenolokog razvoja potrebna su ve6a 5inansijska sredstva za proboj u sistem, to je navelo napada3e (, da se 5okusiraju na je5tinija i mo6nija sredstva koja imaju za metu 3oveka& 4edno od najmo6niji sredstava koje se razvijalo kroz istoriju, uporedo sa razvojem i poznavanjem psiologije 3oveka, je upravo Socijalni inženjering& Socijalni inženjering, koji predstavlja proces navoenja zaposleni obmanom da omogu6e pristup sistemu ili otkriju neku poverljivu in5ormaciju, velika je pretnja ve6ini osigurani mreža i in5ormacijama u njima& 9ubici izazvani socijalnim inženjeringom mere se stotinama miliona dolara godinje irom sveta, to ukazuje koliko zna3ajno mesto i interesovanje ova pojava zauzima& ?ako postoji veliki broj studija o socijalnom inženjeringu, ova pretnja se ipak smatra veoma stvarnom i jo uvek nanosi velike gubitke i predstavlja veliki problem kompanijama irom sveta& 0ostoji veliki broj razloga zato su napadi socijalnim inženjeringom  J  +apada3i u ovom diplomskom radu predstavljaju osobe koje iz razbi pobuda žele da neovla6eno

(

 pristupe in5ormacijama i zati6enom sistemu&

'

uspeni, neki od najzna3ajniji su loa edukacija, nepridržavanje propisani  procedura i nizak nivo bezbednosne kulture& U ovom diplomskom radu raspravlja6e se o osnovama socijalnog inženjeringa putem pružanja opteg pregleda socijalnog inženjeringa& +akon toga, diskutova6e se o tendencijama u ljudskom ponaanju koje 3ine zaposlene tako ranjivim, a samim tim socijalni inženjering tako uspenim& )ve tendencije uklju3uju jak a5ekat, preoptere6enje, uzvra6anje usluge, obmanljive veze, di5uziju odgovornosti i moralne dužnosti, autoritet, integritet i doslednost& +a kraju, u ovom radu pokua6u da pružim i de5iniciju multi-level odbrane koja 6e se pozabaviti ovim psiolokim okida3ima&  +ivoi odbrane koji su ovde de5inisani su politika sigurnosti, obuka o svesnosti o sigurnosti, obuka pružanja otpora, teku6e opomene, and Cine Socijalnog inženjeringa, i slu3ajni odgovor& and Cine Socijalnog inženjeringa SEC predstavljaju procedure, ili politiku, koji se, kada se uvedu, ponaaju kao sistem detekcije upada& )3ekujem da 6e ovaj rad dodati odreenu vrednost sigurnosti zajednice i kompanija i podignuti nivo svesti interesenata na tri na3ina: inkorporiu6i trenutno socijalno-psioloko istraživanje ove oblasti u diskusiju o razumevanju i pružanju otpora socijalnom inženjeringu, kori6enjem psioloke literature kako bi se obezbedila multi-level odbrambena strategija u cilju osposobljavanja zaposleni da se odupru  pretnjama socijalnog inženjeringa i razvijanjem koncepta ;and Cine Socijalnog inženjeringa< kao dela multi-level odbrane od socijalnog inženjeringa& Cenadžer bezbednosti ili lice zaduženo za zatitu sistema mora da vodi ra3una o poverljivosti, integritetu, i raspoloživosti svoje mreže& Kako bi  postigao ovo, on7ona mora da utvrdi koje su realne pretnje odreene mreže, i gde je ona najranjivija& )vo 6e pomo6i utvrivanju rizika date mreže& 0ored razumevanja, mora se posti6i i odluka u vezi nivoa rizika koji je dozvoljen za odreenu mrežu& 0overljivost, integritet i raspoloživost mogu se kompromitovati na direktan ili indirektan na3in putem rizika koji sa sobom nosi socijalni inženjering& )buka o svesnosti o bezbednosti obi3no se nudi kao primarna odbrana od socijalnog inženjeringa& Ceutim, trenutna istraživanja u *

socijalnoj psiologiji ukazuju na to da obuka o svesnosti o bezbednosti sama  po sebi ne6e osposobiti zaposlene da se odupru ubeivanju ;socijalnog inženjera<& )dbrana od socijalnog inženjeringa može uzeti u obzir ono to se zna o psiologiji ubeivanja, i razviti to znanje kako bi doprinela razumevanju ubeiva3kog napada i dinamike graenja otpora& Socijalni inženjering je toliko raznolik i složen da mu je neopodna vieslojna odbrana kao dopuna temeljnom modelu odbrane kojeg su razvili menadžeri bezbednosti& Složenost socijalnog inženjeringa leži u psiologiji žrtve i irokom dijapazonu napada koji su ograni3eni jedino matom napada3a&

>

(& )snovne postavke Socijalnog inženjeringa 9eneralno, socijalni inženjering je proces obmanjivanja ljudi kako bi odali poverljivu, privatnu ili privilegovanu in5ormaciju ili pristup akerunapada3u& Gaista nema puno razlike izmeu tenika koje se koriste za socijalni inženjering, i tenika koje se koriste kako bi se izvrila klasi3na  prevara2& Keit =& .odes, glavni tenolog pri ameri3kom )deljenju )pteg .a3unovodstva, veruje da je socijalni inženjering veoma e5ikasan& )n beleži slede6e: ;Leoma mali broj kompanija je zabrinut u vezi ovog problema, a trebali bi da budu&< Drugi su zapazili da su: ;M slu3ajevi pojave socijalnog inženjeringa prili3no u3estali< / 9audin, str& 2& Stru3njaci koji rade na poslovima bezbednosti svakako razumeju da socijalni inženjering može da predstavlja ozbiljnu ranjivu ta3ku skoro svake organizacije& Koriste6i tenike socijalnog inženjeringa nema sumnje da 6e uspeti da prodru u skoro svaki sistem koji nije adekvatno obezbeen i zati6en od ove vrste napada& ;+ikada nije trebalo manje truda za iskori6avanje socijalnog inženjeringa, niti za ulazak u teni3ki zati6en sistem<, kaže Brain DunpN, direktor analize operacija pri .ip1ec ?nc&, iz konsultantske 5irme koja se bavi analizom bezbednosti& ;Kompanije mogu zatevati da koristimo socijalni inženjering& 1o zaista radimo samo za one koji ne veruju< 9audin, str& 8& 0ro5esionalci koji rade na poslovima bezbednosti moraju razumeti i  biti svesni granica ardvera i so5tvera kako bi pružili u potpunosti bezbedno okruženje& 0ostoji realna potreba da razmiljamo sa ;ve6om jasno6u i  precizno6u o tome ta jo može da se uradi kako bi se razvila istinski obuvatna sredstva negovanja bezbednog okruženja< .usc, str& 2&

2& +eke od osnovni tenika Socijalnog inženjeringa 2

Oialdini, .obert B&P 9reen, Bet &P .usc, =ntonN 4&
Saron 9audin& Social Engineering: 1e uman Side o5 acking& ?1 Canagement& Caj (, 22&

@

0ostoji odreen broj osnovni tenika socijalnog inženjeringa koje se koriste kako bi zaposleni odali in5ormaciju ili pristup sistemu& +eki od osnovni uklju3uju izdavanje napada3a za jednog od zaposleni u kompaniji žrtve, razmenu usluga, ubeivanje žrtve da je zatev sasvim razuman, uveravanje žrtve da on7ona ne6e biti odgovorni za ono to se deava i za odluku koja se od nje zateva, uz obi3no prijateljski nastrojeno ponaanje arl, str& 28& 1enologija za promenu glasa preko tele5ona nije skupa, prili3no je e5ikasna i o njoj se puno diskutovalo u akerskoj literaturi& Leruje se da je ve6ina napada3a mukog pola& Ceutim, poto se smatra da su žene uspenije u ubeivanju, napada3 može promeniti glas u ženski glas zarad tele5onske konverzacije Bernz, str& /& 2.1.Razvijanje poverenja

0rvi od koraka napada je uspostavljanje poverenja& 4ednom kada je  poverenje uspostavljeno, napada3 6e zapo3eti sa prikupljanjem osetljivi in5ormacija i pristupa koji su neopodni radi provale u sistem& Let napada3 6e in5ormacije prikupljati polako, traže6i samo male usluge, ili 6e pak do in5ormacija dolaziti kroz naizgled nedužne razgovore& +apada3 6e dati sve od sebe da održi prividno nedužan odnos, dok u3i kompanijski žargon, imena zaposleni, imena važni servera i aplikacija, i mnotvo drugi vredni in5ormacija 9ranger, ;akerska taktika<, str& '& Uspenost socijalnog inženjeringa se zasniva na ljudskoj tendenciji da  budu od pomo6i& Le6ina ljudi, posebno oni koji su zaposleni u odeljenjima kao to su Korisni3ka služba i ?n5ormacije, ili pak na pozicijama kao to su  poslovni asistenti i sekretari kojima je ve6 sam opis posla takav da moraju da budu uslužni i da po de5oltu pokuavaju da pomognu, ranjivi su i  predstavljaju glavne mete napada3a& )vi poslovi naj3e6e zatevaju  pomaganje ljudima tokom celog dana, i nije prirodno preispitivati validnost svakog poziva& 2.2.Obrnuti Socijalni inženjering

A

4o jedna od uspeni tenika koju napada3i koriste je tenika obrnutog socijalnog inženjeringa, poznatija kao ;)brnuta žaoka< 8 & )vom tenikom napada3 izaziva problem na mreži svoje mete, ili pak na kompjuteru, i zatim sebe stavlja na raspolaganje za reavanje tog problema& 4ednom kada rei ;problem<, žrtva napada3a doživljava kao eroja i  poklanja mu svoje poverenje& Kako bi obrnuti socijalni inženjering zaista 5unkcionisao, napada3 mora da bude u stanju da se prika3i na kompjuter ili sistem pre toga, ili da poalje 5ajl kojim bi uzrokovao nastanak problema& )vo zateva dobru pripremu i istraživanje kako bi moglo da se izvede, ali može se pokazati veoma uspenom metodom 9ranger, ;akerska taktika<, str& '& 2.3.Pristup i mediji za komunikaciju

 +apad socijalnim inženjeringom se 3esto vri putem medija za komunikaciju, naj3e6e je to tele5on, gde napada3 poziva žrtvu, dolazi do željeni in5ormacija i ostvaruje cilj napada& 4edan od pristupa može biti i 5izi3ka poseta kancelariji& Samo nekoliko zaposleni ispituje posetu majstora, osobe za podrku in5ormacionim sistemima, izvoa3a radova ili 3ista3a& Svaka od ovi prevara kori6ena je u prolosti kao na3in  preruavanja kako bi se stekao 5izi3ki pristup& Leliki deo in5ormacija može se skupiti sa povrine stolova, iz sme6a ili 3ak i tele5onski imenika i plo3ica sa imenom& 4edan od savremeniji pristupa koji napada3 može preduzeti jeste da napie program ili ubaci neki koji je ve6 napisan kako bi zatražio korisni3ko ime ili lozinku u zamenu za ;veliku nagradu<& )vo se može  poslati žrtvi e-mailom, i biti isprogramirano na taj na3in da napada3u poalje in5ormaciju tamo gde je on može pokupiti& ?nstant poruke ?C, sobe za cat, i oglasne table takoe se koriste kako bi se naciljali, i izvrili napadi socijalnog inženjeringa& Qeb-site se takoe može koristiti za oblik socijalnog inženjeringa koji  je vie teni3ke prirode& +agradna igra, kod koje dobitnik dobija sve, ili bar deo uloga, kao i obe6anje da 6e se dobiti neto za ;nita< ukoliko korisnik samo da e-mail 3esto uklju3uju6i i identi5ikacioni id i lozinku ponekad je 8

 Citnik, D&K i Sajmon, &L&: Umetnost obmane, Cikro knjiga, Beograd, 2/& str (/'&

(

to ista lozinka koja se koristi na mreži predstavlja vrlo 3esto upotrebljavanu teniku napada3a za dolazak do bitni podataka& Sa ovoliko in5ormacija, napada3 može mnogo toga da uradi )rr, str& 2&

/& 1endencije u ljudskom ponaanju koje predstavljaju klju3 uspea Socijalnog inženjeringa )bzirom da je socijalni inženjering drutvena i psioloka tenika, ima smisla pokuaj da se razume psiologija koja stoji iza socijalnog inženjeringa pre nego to se pokua sa razvojem vieslojne odbrane protiv njega& Kako bi se ovo izvelo, neopodno je razumeti tendencije u ljudskom  ponaanju koje stupaju na snagu tokom napada socijalnim inženjeringom i koje napada3i znaju da usmere i iskoriste na pravi na3in& )ve tendencije su zapravo psioloki principi koji pokazuju odreenu vrstu uticaja na ljude navode6i i da u3ine neto to ina3e ne bi u3inili& .azumevanje ovi tendencija koje stoje iza socijalnog inženjeringa pomo6i 6e u stvaranju uslova za e5ektivnu vieslojnu odbranu od njega& 3.1.Jak psiolo!ki a"ekat

4ak psioloki a5ekat je tendencija koja se mani5estuje kao poja3ano emocionalno stanje koje omogu6ava napada3u da izvu3e iz žrtve vie nego to je za o3ekivati& Ukoliko je žrtva jako iznenaena, naslu6uje neto ili pak ima ose6aj besa, tada je manje verovatno da 6e mo6i da misli o argumentima koji su joj ponueni& 4ak psioloki a5ekat se uvodi kada ;socijalni inženjer< iznese neku izjavu pri kraju interakcije, a koja izaziva jake emocije& Snažan a5ekat uklju3uje ali nije ograni3en na stra, uzbuenje ili paniku& )vo bi moglo da bude obe6anje glavne premije u iznosu od nekoliko stotina ili iljada neki nov3ani jedinica, ili pak panika usled straa da žrtvino zaposlenje zavisi od samo jedne odluke& +alet jaki emocija deluje kao mo6no ometanje, i onemogu6uje žrtvinu sposobnost da procenjuje, razmilja logi3no ili smisli neki protivargument .usc, str& 8&

((

0rotiv-3injeni3no razmiljanje je 5enomen koji je povezan sa jakim a5ektima i javlja se kada naslu6ivanje neke mogu6nosti kao to je dobijanje velike nagrade dovede do ;kratkog spoja< u logi3nom rasuivanju te osobe& Trtva ignorie 3injenicu da je verovatno6a dobijanja nagrade zapravo veoma mala i udaljena, ali i da neopravdano rizikuje stvarna i vredna dobra in5ormacije ili neovla6eni pristup radi mogu6nosti nagrade& ini se kao da  je osoba op3injena, to se deava usled naleta jaki emocija andman, str& 2AA& Qeb-site, koje prave napada3i, su naj3e6e ;oboga6eni< pop-out  prozorima, koji iska3u sa raznim porukama i ponudama, naglaavaju6i i oslanjaju6i se na iznenaenje& ?znenaenje se može posti6i zvanjem rano ujutru ili dolaženjem u veoma neobi3nim okolnostima ili sa veoma neobi3nim argumentima& ?znenaenje se takoe može posti6i kori6enjem re3i ili slika koje nose jak emocionalni naboj = V 1, str& 8& 3.2.Preoptere#enje

0ogreno protuma3ene premise mogu pro6i bez provere kada se 3uju u  brzini i kada se nalaze izmeu ubedljivi i o3igledni istina& Ukoliko osoba mora za kratko vreme da obradi dosta in5ormacija, to može uticati na njeno logi3no razmiljanje i može uzrokovati ;3ulno preoptere6enje<& Kada ljudi moraju da obrade puno in5ormacija, oni postaju ;mentalno pasivni J upijaju in5ormacije pre nego da i procenjuju< Burtner, str& 2& Do preoptere6enja može do6i i pred kraj radnog vremena, nakon napornog radnog dana ili pred kraj radne nedelje& U žurbi da zavre posao zaposleni se 3esto nesmotreno odnose sa in5ormacijama& 3.3.$zvra#anje usluge%ljubaznosti

0ostoji nepisano pravilo vezano za meuljudske odnose, koje  predstavlja takoe tendenciju u ljudskom ponaanju, da ukoliko nam neko neto dW, ili nam obe6a neto, mi svesno ili nesvesno ose6amo potrebu da uzvratimo uslugu& )vo je ta3no 3ak i kada poklon nije tražen, pa 3ak i kada  je ono to se traži zauzvrat mnogo manje vredno od samog poklona koji je (2

dat& )vo je tenika koja je poznata kao uzvra6anje usluge7ljubaznosti .usc, str& *& )vaj psioloki okida3 je dosta kori6en& Kevin Citnick, poznati aker, opisuje kakve je sve reakcije video& •

;U okruženju gde radi dosta nji, ljudi su manje skloni da temeljno  preispitaju zatev, tako da idu mentalnom pre3icomM<& .ezonovanje ide na slede6i na3in: ukoliko me neko zove i pomaže mi u reavanju odreenog problema, tada je ta osoba na mojoj strani i ne misli mi nita loe Farber, str& (&

)brnuti socijalni inženjering koristi upravo tendenciju uzvra6anja&  +apada3 se pojavljuje kao eroj koji je spreman, voljan i sposoban da rei  problem u kojem se žrtva nalazi& ak i pre nego to se problem rei, žrtva se ose6a dužnom u odnosu na napada3a& )vo je, naravno, idealna situacija za njegov napad +elson, str& /& 4o jedan od na3ina na koji se uzvra6anje može koristiti, pokazan je  putem bievioristi3ki eksperimenata& )vi eksperimenti pokazuju da kada se dvoje ljudi ne slaže oko ne3ega, ukoliko se jedno od nji u nekom trenutku  povu3e J bez obzira koliko to malo bilo J drugo 6e se ose6ati obaveznim da se takoe povu3e& Ga napada3e, ovo je relativno lako& )n7ona mora samo da zatraži vie od jednog zateva, da se zatim odrekne jednog, nakon 3ega 6e žrtva ose6ati pritisak da se odrekne drugog Oialdini, str& /@& Uzvra6anje usluga7ljubaznosti se konstantno uo3ava u ve6im okruženjima& 4edan zaposleni 6e pomo6i drugom, uz o3ekivanje da 6e mu usluga nekada možda biti vra6ena& )vo je nepisani sistem trampe koji se smatra neprocenjivim ukoliko osoba želi da bude uspena& Ceutim, ;socijalni inženjer< koristi sistem pružanja usluge zato to su njegovi7njeni motivi nepoteni, i on7ona indirektno traži neto to se ni po koju cenu ne bi trebalo dati&

3.&.'ra(enje )dobrog* odnosa sa žrtvom

(/

1akoe, jo jedna od tenika koju napada3i koriste je graenje ;dobrog< odnosa sa žrtvom radi ispunjenja svog skrivenog cilja& 4edan od na3ina na koji se ovo može uraditi je deljenje in5ormacije i razgovor o nekom zajedni3kom neprijatelju po sistemu J ;+eprijatelj mog neprijatelja  je moj prijatelj<& Kevin Citnick opisuje da je njegova omiljena prevara bila kada je varao zaposlenog koji je ve6 sumnjao na njega i imao negativan stav,  predstavljaju6i se da je neko drugi& Citnick se odlu3io da uspostavi odnos sa zaposlenim kroz e-mail, dele6i sa njim odreenu in5ormaciju i tenologiju, a ne traže6i nita za uzvrat& 1akoe, pomogao je u3vr6ivanju te veze tako to  je pri3ao negativno o ;Kevinu Citnick-u<, jer zaposleni nije svatio da je upravo K& Citnick taj koji odgovara na e-mailove& +akon to je odnos uspostavljen, Kevin je mogao da prikupi veliki broj in5ormacija o sistemu koji meta koristi Farber, str& (& )vaj primer objanjava situaciju u kojoj napada3 žrtvu ubeuje da imaju zajedni3kog neprijatelja& Ceutim, postoje i obrnuti slu3ajevi gde se  barijera nepoverenja probija i odnos sa žrtvom izgrauje na zajedni3kom interesovanju za odreeni obi ili stvaranju privida da se nalaze u sli3noj situaciji, davanjem poklona i mnogim drugim na3inima& 4ednom kada se  barijera nepoverenja probije i ;prijateljski< odnos razvije, postoji veliki broj na3ina na koji se može iskoristiti& Dobar primer ovoga je poznati =) napad, koji je dokumentovan od strane L?9==+1-e& +apada3 je pozvao i pri3ao sa zaposlenim u službi teni3ke podrke, koriste6i =), vie od sat vremena& U jednom trenutku tokom razgovora, +apada3 je pomenuo da su njegova kola na prodaju& 1eni3ar je bio zainteresovan, tako da je napada3 poslao e-mail sa dodatkom, u kojem se nalazila slika auta& Ceutim, dodatak je bio ;oboga6en< i backdoor eXploitom koji je otvorilo konekciju kroz =) 5ireYall Ligilante, str& 2& )vaj na3in napada je vrlo e5ikasan i 5unkcionie u velikom broju situacija& +amera je da žrtva oseti kako ona i onaj koji je poziva razmiljaju sli3no, ili žele iste stvari u životu& Lerovanje da neko ima karakteristike identi3ne ili sli3ne naima, pruža snažan podsticaj da se prema toj osobi opodimo sa naklono6u, pa 3ak i da joj verujemo bez opravdanog razloga .usc, str& *& 3.+.,i"uzija odgovornosti i moralne dužnosti

(8

0omo6u di5uzije odgovornosti žrtva se navodi da misli da ne6e on7ona  biti odgovoran7na za svoje postupke& ?roni3no, ova tendencija može da 5unkcionie veoma dobro uz kori6enje moralne dužnosti kao motiva ubeivanja& Coralna dužnost se uvodi u igru onda kada meta ose6a da radi neto to 6e pomo6i da neki zaposleni sa3uva svoj posao, da pomaže kompaniji, ili bar da izbegava ose6aj krivice +elson, str& 8&  +apada3 navodi žrtvu da misli kako on7ona donosi odluke koje zna3e razliku izmeu uspea ili neuspea kompanije, ili ;zaposlenog< koji zove, nagovetavaju6i da onaj koji zove može ostati bez posla zbog neke svoje odluke& )vo je veoma teka odluka za ve6inu ljudi, i zaposleni 6e se lake složiti ukoliko veruje da on7ona ne6e biti odgovoran7na za postupak& 3.-.utoritet

0ostoji izuzetno jaka tendencija u ljudskom ponaanju da ne dovode u  pitanje i bezuslovno sprovode svaki nalog upu6en od strane osoba koje oli3avaju autoritet& ?nteresantno je da autoritet za zaposlene mogu  predstavljati, pored pretpostavljeni u preduze6u u kojem rade, i javne li3nosti sportisti, glumci, politi3ari i mnogi drugi& 4edna od studija dramati3no ilustruje ovu tendenciju& Bolni3arke u 22 razli3ite zdravstvene stanice bile su zamoljene da daju dozu neprepisanog leka pacijentima, i to samo na osnovu nareenja dobijeni preko tele5ona to je protiv pravila od strane lekara kojeg nikad nisu videle, i pri tom im je bilo re3eno da daju dozu koja je dva puta ja3a od maksimalne dnevne doze& )va nareenja su o3igledno morala biti preispitanaP pa ipak, u A'Z slu3ajeva, bolni3arke su zaista nabavile dozu i krenule da je daju pacijentu, pre nego to su i presreli  posmtra3i .usc, str& *& )vaj dramati3an primer pokazuje da su ljudi u stanju da u3ine mnogo za onoga kojeg smatraju autoritetom& .azmislite o uticaju koji lažni direktor ili zamenik direktora može imati na zapolsenog koji nije bio adekvatno edukovan i pripremljen za svoj posao& )vu tendenciju 3ini jo mo6nijom 3injenica da se smatra izazovom i da je zaposlene stra kada treba potvrditi legitimnost datog autoriteta& )vaj nedostatak perspektive ostavlja ovu tendenciju na upotrebu bilo kome ko je voljan da sebe predstavi kao osobu od autoriteta&

('

3./.0ntegritet i doslednost

judi imaju tendenciju da slede naredbe na radnom mestu, 3ak iako te naredbe možda uopte nisu dobre i pametne& Ga neke zaposlene, pitanje je integriteta ;u3initi ono to je re3eno da treba da se uraditi<, pa 3ak i ako  posumnjaju da zatev možda nije opravdan J svi žele da budu deo tima& 1a tendencija je toliko jaka da 6e ljudi izvriti naredbu 3ak i ako misle da je tu naredbu smislio neki od kolega& Ukoliko dobije raspored odmora, napada3 može iskoristiti odsustvo nekog zaposlenog za eksploataciju upravo ove tendencije& 4o jedan od aspekata integriteta i doslednosti jeste taj da ljudi uglavnom teže da veruju da drugi izražavaju svoje prave stavove onda kada neto izjavljuju& Ukoliko ne postoji jak dokaz koji ide u prilog suprotnom, ljudi 6e verovati da osoba sa kojom pri3aju govori istinu o onome to ose6a ili pak treba da ose6a& )va težnja da se veruje drugima zasnovana je pre svega na njiovoj sopstvenoj iskrenosti pri izražavanju ose6anja .usc, str& >& Lažno je ovde ista6i da ve6ina ovi tendencija u ljudskom ponaanju ne predstavljaju negativne pojave i da su 3esto 3ak i neopodne da bi jedan kolektiv mogao uspeno da 5unkcionie& Cenadžeri moraju da neguju ove osobine kod zaposleni, ali takoe i da zaposlene pripreme i osposobe za adekvatnu odbranu i zatitu od napada upravo usmereni na nji&

8& +ivoi odbrane od Socijalnog inženjeringa

(*

9raenje sistema odbrane od socijalnog inženjeringa sli3no je graenju bilo koje jake odbrane& Klju3 je odrediti koje su slabosti i pretnje i rizici, a zatim otkloniti nedostatke i zatititi se od ti rizika& )dbrana mora da ima nekoliko slojeva zatite, tako da 3ak i ako napada3 uspe da prodre kroz jedan sloj, treba da postoji jo slojeva koji bi trebali da ga zaustave, to  je od klju3ne važnosti& U jednom trenutku, strategija mora postati vie od same odbrane& )bzirom da su mu date neograni3ene mogu6nosti za  pokuavanje, napada3 6e pomo6u socijalnog inženjeringa na kraju na6i ili 3ak stvoriti slabu ta3ku& 1o je razlog zato sistem mora da se bori protiv toga, ili bar da prepozna da je napadnut& Koncept and Cine Socijalnog ?nženjeringa, koje su postavljene irom mreže, pruža mogu6nost odbrane& SEC kako 6e biti nazivane u ostatku ovog rada su osmiljene kako bi u3inile i neto vie od  jednostavnog spre3avanja napada3a da se probije& )ne su osmiljene da otkriju napada3a to nam daje mogu6nost da, uz kvalitetan kontranapad, na duži rok otklonimo ovu pretnju& )vaj koncept se sastoji iz vie nivoa odbrane&

8&(&1emeljni nivo: 0olitika bezbednosti koja govori o Socijalnom inženjeringu  +ijedna tvrava ne6e opstati bez jake i stabilne osnove& )snova  bezbednosti in5ormacija je njena politika& 0olitika bezbednosti postavlja standarde i nivo bezbednosti koji 6e sistem imati& 1akoe, ona mora pružiti sistemu 5leksibilno stanje koje se može podesiti ukoliko je to neopodno& )va osnova je tim važnija ukoliko politika bezbednosti titi sistem od socijalnog inženjeringa& Socijalni inženjering cilja na ljude, a oni moraju znati kako da odgovore na sumnjive zateve& Ustanovljena politika pomaže krajnjim korisnicima da se ose6aju kao da nemaju nijedan drugi izbor osim da se odupru molbama napada3a& Gaposleni ne bi smeli da budu u poziciji gde moraju da razmiljaju da li odreena in5ormacija sme ili ne sme da se oda& )vo mora unapred biti de5inisano od strane menadžera koji su ozbiljno razmislili o vrednosti date in5ormacije i procenili rizike i pretnje&

(>

Cenadžeri bezbednosti, prilikom konstruisanja politike bezbednosti i sistema zatite moraju po6i od zaposlenog, njegove edukacije i ja3anja samopouzdanja& ?z studija ;meta-saznanja< u teoriji ubeivanja, istraživa3i su otkrili da je jedan od na3ina da zaposleni izgradi otpor prema ubeivanju zapravo razvijanje samopouzdanja u sopstvenog miljenja& 0ove6anje samopouzdanja samog zaposlenog, tako to 6e se postaviti jasna politika, smanjuje ansu da 6e ubeiva3 imati preteran uticaj na zaposlenog 0ettN ;Ciljenje<, str& >22& 0olitika bezbednosti mora se pozabaviti sa nekoliko oblasti kako bi  postala temelj otpora socijalnom inženjeringu& 1rebala bi se pozabaviti i kontrolom pristupa in5ormacijama, postavljanjem naloga, dozvolom pristupa i promeni lozinke& 1akoe, trebala bi se baviti bravama, ?D-om, unitavanjem papira, i pra6enjem posetioca& 0olitika mora imati izgraenu disciplinu, i pre svega, mora se primenjivati[ 9ranger, ;Borbene strategije<, str& 2&  +ivo odbrane u politici sigurnosti u odnosu na socijalni inženjering,  pomo6i 6e zaposlenom da se odbrani od napada i da kontrolie i kanalie svoje ponaanje u odreenim situacijama =utoritet i Di5uzija odgovornosti7moralne dužnosti i dr&& 0olitike imaju e5ekat balansiranja kada neko za koga zaposleni pretpostavi da je autoritet, pozove na tele5on& 0olitika takoe postavlja odgovornost za odatu in5ormaciju ili pristup, tako da nema sumnje da se islklju3ivo na teret zaposlenog stavlja ukoliko oda  privilegovanu in5ormaciju ili pristup&

8&2&0arametarski nivo: .azvoj svesti o bezbednosti i zatiti za sve zaposlene 4ednom kada se ustanovi i odobri temelj politike bezbednosti, svi zaposleni trebali bi da se obu3e u tome da postanu svesni važnosti  bezbednosti& 0olitika bezbednosti pruži6e uputstva za obuku, kao i motivaciju& 0olitike koje su dobro razmotrene, i zatim prenete zaposlenima, mogu zaista uticati na to na koji na3in 6e zaposleni odgovoriti na neki zatev& Svest o bezbednosti je neto mnogo komplikovanije od pukog napominjanja ljudima da ne odaju svoje i5re& Gapravo, poznati aker Kevin

(@

Citnick je u jednom razgovoru rekao ;+ikada nisam nikoga pitao za i5ru<&  +jegov cilj je bio mnogo složeniji od toga& Bio je to cilj ;stvaranja ose6aja  poverenja, a zatim iskori6avanje istog< emos, str& 2-/& Gaposleni moraju znati da prepoznaju koju vrstu in5ormacija ;socijalni inženjer< može iskoristiti, i koje vrste razgovora su sumnjive, to zateva kvalitetnu edukaciju i disciplinovano sprovoenje procedura& Gaposleni bi trebalo da znaju kako da prepoznaju poverljivu in5ormaciju, i trebalo bi da u potpunosti razumeju svoju odgovornost kada je re3 o zatiti te in5ormacije& 1akoe, moraju znati kako da kažu ;ne< kada je to potrebno, i da imaju podrku svoje uprave u situcaijama kada tako neto može da dovede u pitanje njiov integritet i posao 9ranger, ;Borbene strategije<, str& /& Svi zaposleni trebalo bi da budu svesni osnovni znakova koji su  prisutni tokom napada socijalnim inženjeringom& +eki od ovi znakova  predstavljaju odbijanje onog koji poziva da dW neki kontakt, žurba, isputanje imena, zastraivanje, 3udna pitanja, i traženje zabranjeni in5ormacija& Gaposleni moraju biti spremni da ispitaju poziva3a, i da zadrže in5ormaciju 3ak i kada izgleda da to nema rezultata 9ranger, ;Borbene strategije<, str& /& Gaposleni bi trebali da budu svesni da 6e iskusan ;socijalni inženjer<  prvo pokuati da izgradi odnos poverenja& +apada3 6e zatim iskoristiti ovaj odnos kako bi stekao vredne in5ormacije& Leliki deo in5ormacija može se dobiti kroz oputen razgovor o temama kao to su kompanijski žargon, imena i pozicije važni ljudi unutar kompanije, zna3ajni dogaaji, sveukupna organizaciona struktura, i imena zna3ajni servera emos, str& 2/& 0lan obuke trebalo bi da prati politiku sigurnosti, ali postoje neke klju3ne stavke koje svi korisnici moraju da zapamte:  Znati šta ima vrednost   J Le6ina ljudi potcenjuje svoje podatke i  pristup pre nego im se naka3i napada3 ili njiov ard ;pukne<& 1rebalo bi da razmisle o tome i da budu svesni ta treba da rade i kolika je njiova teta ukoliko se nau u situaciji da najednom ne mogu da pristupe svom kompjuteru ili da im odreene in5ormacije nedostaju& )vo bi bar trebalo da im pomogne da postanu svesni da ono na 3emu su radili protekli nekoliko godina J ima neku vrednost i da mora da se titi& (A

 Prijatelji nisu uvek prijatelji   J 0rijateljstva koja su ostvarena putem tele5ona, i prijatelji koji, iz bilo koji razloga, postavljaju pitanja koja se ti3u  privilegovani in5ormacija, možda uopte i nisu prijatelji& +apada3i 6e se u najve6em broju slu3ajeva sprijateljiti sa svojim žrtvama mnogo pre nego to uopte zatraže bilo ta& Svi korisnici trebalo bi da budu svesni da samo zato to se neko deklarie kao da je prijatelj, ne zna3i da mu se zaista može u  potpunosti verovati kada je re3 o davanju privilegovani podataka ili  pristupa& U zavisnosti od vrednosti podataka i nivoa sigurnosti koji se zateva na datoj mreži, napada3i mogu da primene razraene metode kako  bi uverili žrtvu da su im oni prijatelji& 0otencijalno, ovo bi moglo da se deava u odreenom vremenskom intervalu koji može da podrazumeva dane, nedelje, pa 3ak i godine&  Šifre su lične J ?ako neki akeri nikada ne6e pitati za i5ru, drugi 6e smisliti veoma ubedljive razloge zato zaposleni treba da dW svoju i5ru  potpunom strancu& +a nesre6u, bez obuke ljudi uglavnom daju svoje i5re  bez mnogo razmiljanja& \i5re se mogu odati i elektronskim7pismenim putem& Qeb stranice i emailovi mogu nuditi velike nagrade za upisivanje na njiov sajt, ili pak  putem aplikacije& Korisni3ko ime i i5re koje mnogi ljudi koriste na ovim sajtovima, 3esto su isti kao i oni koje koriste na mreži& Ukoliko sajt ili aplikacija zatevaju e-mail adresu, napada3 je verovatno ve6 saznao žrtvin domen& ?nstant poruke i ;sobe za cat< takoe mogu biti plodno tle za ;socijalne inženjere<, gde oni mogu ste6i vredan pristup, in5ormaciju ili i5re& Uniforme su jeftine J +apada3 se može pojaviti u preduze6u i  predstaviti se kao da ima opravdan i legitiman razlog da bude tu& U mnogim  preduze6ima ve6 samo obla3enje uni5orme done6e privatanje& Lažno je obu3iti zaposlene da ne dopuste da samo uni5orma bude razlog to se neko nalazi na mestu na kom ina3e ne bi trebalo da bude& Uni5orme su je5tine i lako i je nabaviti& +emojte zaboraviti da je gotovo svaka in5ormacija vredna nekome ko pokuava da provali u kompjuterski sistem, pa tako 3ak i / sekundi pristupa kompjuteru mogu postaviti savrenu smisalicu za obrnuti drutveni inženjering&

8&/&+ivo tvrave: Dodatna edukacija 2

0ored obuke svi zaposleni i podizanja nivoa svesnosti o mogu6nosti napada socijalnim inžinjeringom, neopodno je posebnu pažnju obratiti na dodatnu edukaciju ;uslužnog< osoblja& U ovu grupu spada osoblje koje radi na ?n5ormacijama, u Korisni3koj službi, poslovni asistenti, sekretari7ce i recepcionari, kao i sistem administratori7inženjeri, uopte, trebalo bi da uklju3uje sve one 3iji je posao da pomažu drugima& Dobra obuka i dosledno sprovoenja propisani pravila i procedura 6e spre3iti da zaposleni oda in5ormaciju koja je napada3u potrebna, 3ak i uprkos njegovom ubeivanju& Skoranje studije pokazuju da obuka može ljude u3initi otpornijim na ubeivanje& Cože se koristiti nekoliko tenika iz  programa obuke u pružanju otpora u okviru socijalne psiologije, kako bi se zaposleni na odgovaraju6i na3in pripremili da se odupru tenikama ubeivanja koje primenjuje napada3& )akcinisanje* J predstavlja simulaciju ili trening teniku kojom se

zaposlenom daju oslabljeni argumenti koje može koristiti napada3& )vo 5unkcionie po istom principu kao i spre3avanje irenja ;zaraze< ubrizgavanjem bolesti subjektu u oslabljenom obliku& Gaposleni 6e biti izloženi svim mogu6im argumentima koje napada3 može koristiti&1akoe,  bi6e izloženi i argumentima napada3a kao odgovora na jake pobijaju6e argumente koje u odreenoj situaciji koriste zaposleni& Studije ukazuju na to da je ovo e5ektivna i dugoro3na tenika graenja otpora& 0roblem je jedino u tome to ovaj program podrazumeva da onaj ko obu3ava zaposlene mora da  bude sposoban da predvidi argumente ;socijalnog inženjera< Sagarin, str& '2>& $pozorenje  Jje jo jedna od tenika graenja otpora koju su testirali

socijalni psiolozi& 0siolozi su testirali upozoravanje subjekata ne samo o sadržaju dolaze6e poruke, ve6 i o nameri ubeivanja koja prati poruku& 0rosleivanje sadržaja izazvalo je ve6i otpor nego prosleivanje namere ubeivanja& 0rakti3na primena obuke o pružanju otpora jeste da upozori ne samo da 6e napada3 pokuati da ubedi zaposlenog, ve6 J to je jo važnije, da 6e argumenti koje napada3 koristi biti manipulativni, obmanjuju6i i neiskreni& Gaposlenima se mora re6i da su namere napada3a kriminalne, i da oni nameravaju da kradu od nji& )va crno-bela terminologija je neopodna ukoliko upozorenje treba da ima e5ekta Sagarin, str& '2>&

2(

Druge studije pokazuju da se otpor protiv ubeivanja može pove6ati ukoliko zaposleni ima neko pretodno znanje iz ove oblasti i ukoliko zaposleni sebe doživljava kao dobro obavetenu osobu& )vaj dodatni otpor izazvan je potrebom za saznajnim zatvaranjem Kruglanski, str& @>8& 0rakti3na primena ovi studija je ta da, to su zaposleni obaveteniji na ovu temu, i to su pouzdaniji u želji da zatite privilegovane in5ormacije i  pristup, manje je verovatno da 6e dozvoliti sebi da budu ubeeni& Provera realnosti J jedan od razloga neuspea tokom obuke u

razvijanju svesti o bezbednosti, jeste taj da ljudi obi3no gaje nerealan optimizam po pitanju sopstvene neranjivosti& )vakvo verovanje mnoge navodi da ignoriu opravdane rizike, i ne uspeju da preduzmu mere da i neutraliu& Ceutim, jednom kada i nasamarite i pokažete im da su zaista ranjivi, trening postaje mnogo e5ektniji Sagarin, str& '/*&

0ostoje tri 5aze uo3ene osetljivosti na rizik: •

•

•

0rva je svesnost J znanje da je rizik prisutan& 1reba napomenuti da je ovo je ta3ka gde se, na žalost, zavrava ve6ina treninga o razvijanju svesti o zna3aju zatite i bezbednosti& Druga je opta osetljivost, to je zapravo verovanje u verovatno6u  postojanja rizika, ali za druge ljude& 1re6a 5aza je li3na osetljivost, koja se postiže kada osoba uvidi sopstvenu ranjivost& 1rening koji ukazuje na zna3aj svesti o  bezbednosti, kao i obuka za pružanje otpora, ima6e samo ograni3enu vrednost ukoliko osoba ne dostigne nivo li3ne osetljivosti Sagarin, str& '8&

.uenje percepcije li3ne neranjivosti nije saznajna vežba, ve6 je eksperimentalna vežba& .e6i zaposlenom da napada3 može da ga prevari, nije dovoljno da se suprotstavi njegovom stavu neranjivosti& Dobar primer ukazivanja na ranjivost bio bi da se prilikom ediukacije u idealnom slu3aju u3esnicima dala ansu da budu prevareni i pre nego to  predavanje 3ak i po3ne& Cogu6nosti su ograni3ene samo ne3ijom matom&

22

4edna od ideja je i da stru3njak iz ove oblasti doe ili nazove pre 3asa, kako bi dobio to vie in5ormacija od oni koji 6e prisustvovati ovom  predavanju J naravno, uz kori6enje tenika socijalnog inženjeringa& Gatim  bi predava3 pustio ovu osobu na 3as, i otkrio koliko je on7ona uspeo7la da sazna od svakog u3esnika na ovom predavanju& +a taj na3in, ljudi bi bili u stanju da svate da su zaista ranjivi na ovu vrstu napada& 4o jedan od na3ina da se pokaže ranjivost u3esnika jeste da se razvije aplikacija koja 6e neo3ekivano iskrsnuti i tražiti korisni3ko ime i i5ru zaposlenom& +a njoj 6e pisati neto poput: ;Laa konekcija je izgubljena& Colimo vas ponovo unesite vae korisni3ko ime i i5ru<& )va aplikacija zatim vra6a poruku koja obavetava zaposlenog da je prevaren7a& U svakom slu3aju, trening bezbednosti koji je u vezi sa socijalnim inženjeringom, trebalo bi da uklju3uje strategiju koja u3esnicima dozvoljava da vide koliko  je lako da budu nasamareni& )vo je zaista jedini e5ektivan na3in da se uti3e na smanjenje kompleksa neranjivosti, tako da 6e zaposleni personalizovati trening i truditi se da uo3e taktike socijalnog inženjeringa& Sve u svemu, teku6e studije pokazuju da 6e pokuaji da se ljudi obu3e tako da budu otporni na ubeiva3ke napade, verovatno biti uspeni do tog stepena da 6e zaposleni prisvojiti dve osnovne odlike: 0rva je da zaposleni mora da svati da poziva3 pokuava da manipulie njimP Druga, i klju3na odlika je ta da zaposleni mora da svati da je on7ona i li3no ranjiv7a na takve manipulacije Sagarin, str& '8& •

•

8&8&+ivo istrajnosti: 1eku6e opomene Lieslojna odbrana mora6e da uklju3i redovne opomene i kontrolu razvijane svesti o bezbednosti& 4edan udarac na obuci gde se ljudi obu3avaju da se odbrane od socijalnog inženjeringa, bi6e e5ektivan samo tokom kratkog vremenskog perioda& .edovne i kreativne opomene neopodne su da bi ljudi bili svesni opasnosti koje mogu da vrebaju sa druge strane naizgled prijateljskog poziva& Dobar primer potrebe za redovnim opomenama jeste standardna taktika policijske službe& Cnoga policijska odeljenja daju redovne izvetaje svojim jedinicama o onima koji su nedavno nastradali na dužnosti& )vo bi 2/

trebalo da bude konstantna opomena da je posao koji obavljaju opasan i da moraju da budu na oprezu& 1o se takoe radi i da bi oni zadržali oprez prema speci5i3nim opasnostima sa kojima su se suo3ili drugi policajci& +a isti na3in, zaposleni se moraju redovno upozoravati na postoji mogu6nost da napada3 pokua da ukrade in5ormaciju od nji, tako da se naro3ito in5ormiu o nedavnim takvim pokuajima&

8&'&+ivo: and Cine Socijalnog ?nženjeringa SEC SEC su zamke mine koje se postavljaju u sistemu kako bi otkrile i spre3ile napad& Ba kao i mina na bojnom polju, ova zamka se postavlja kako bi ;eksplodirala< u lice napada3a& )na 6e unititi tajnovitost, možda i ;obogaljiti< napada3a, i zaustaviti napad& SEC 6e uzbuniti zaposlenog, i obavestiti ga da je napad u toku, pa da samim tim treba da se time pozabavi, ili zauzme stav poja3ane sigurnosti& Dole je predloženo nekoliko ideja, ali ideje su zaista beskona3ne, i ograni3ene jedino ograni3enjem kreativnosti menadžera bezbednosti& Opravdano poznavanja svi zaposleni  J rabar napada3 ne6e

oklevati da ueta pravo u kompaniju i po3ne da gleda oko sebe i prikuplja neopodne in5ormacije& 4ednom kada se ve6 nae u zgradi i pristupi zabranjenom prostoru, postoje neograni3ene mogu6nosti za napada3a& \i5re mogu biti zapisane na papiri6ima zalepljenim na tastaturi ili monitoru, tele5onski imenici kompanije, poverljive in5ormacije mogu ležati svuda unaokolo u kabinetima ili 3ak i na službeni3kim stolovima i tampa3ima& Da bi se ovi slu3ajevi predupredili ili da bi se na nji reagovalo u svakoj organizacionoj jedinici mora da postoji osoba koja poznaje sve zaposlene, 3iji je posao da zna sve koji su na spratu, ili imaju dozvolu da  budu na odreenom odeljenju& Cnoga odeljenja ve6 imaju nekoga ko to radi, ne zato to mu je to u opisu posla, ve6 zato to mu je to i u prirodi& Da bi ovo  bio SEC, ta osoba bi morala biti obavetena o rizicima bezbednosti usled 5izi3kog prisustva napada3a, i trebala bi biti ovla6ena da može neto brzo da uradi kako bi se obratila posetiocu koji nema pratnju& )va mina bila bi korisna 3ak i kada bi se za obezbeenje koristili identi5ikacioni bedževi koje  bi dodeljivalo obezbeenje i na kojima bi obavezno moralo da stoji vreme dolaska i odlaska i potpis lica kod koga je posetioc bio, zato to napada3i obi3no 5alsi5ikuju bedž i o3ekuju da i niko ne6e proveravati& )sobe koje bi 28

trebalo da se bave ovim poslom su naj3e6e zaposlene na poslovima 5izi3kog i teni3kog obezbeenja preduze6a& entralizovan bezbednosni registar  J Leliku pomo6 u spre3avanju

napada predstavlja centralizovani registar bezbednosni deavanja koji se nadgleda od strane osoblja zaduženog za bezbednost in5ormacija& Svaki put kada se službenik zamoli da dW neku in5ormaciju, ili da resetuje i5ru, ili pak ako ima neki sumnjivi poziv, to bi se trebalo evidentirati u ovaj centralni registar& Ukoliko napada3 dobija in5ormacije od jednog zaposlenog, i koristi to da bi razgovarao sa drugim zaposlenim, tada se obrazac može zapaziti u registru& im se obrazac primeti, službenici obezbeenja mogu preduzeti akciju da zaustave napad upozoravaju6i zaposlene o prisustvu napada3a& Gaposleni koji su obu3eni i znaju da moraju prijaviti sve zateve koji su vezani za bezbednost, teže 6e odati poverljivu in5ormaciju, a da pre toga dobro ne razmisle o tome& Dobro poznata tenika ;+ogom-u-vrata< F?1D u3i nas da su ljudi mnogo spremniji da se slože sa zatevom ukoliko su ve6 ranije pristali na manji zatev povezan sa tim& Studije su pokazale da neadekvatno odlaganje izmeu zateva može izazvati otpor i zna3ajno smanjiti e5ekat& =ko se uzmu u obzir ova istraživanja, tada zatev za log-ovanjem može pomo6i u  povezivanju ovi zateva 3ak i ukoliko su se zatevi javljali u razmaku od nekoliko dana ili nedelja smanjuju6i e5ekat F?1D-a i pove6avaju6i otpor 9uadagno, str& /@& =žuriranje na centralni bezbednosni registar mora se nadgledati u realnom vremenu konstantno, tako da ova SEC mora da iskoristi sve opcije obavetavanja kojima ova kompanija raspolaže& 4edan od na3ina da se ovo uradi jesu i e-mail obavetenja koja stižu na odreeni nalog, i zavaljuju6i kojima se alarmira menadžer bezbednosti& U zavisnosti od u3estalosti log-ovanja i veli3ine kompanije, možda bi groupYare paket bolje radio, ili pak opcija dinami3ke baze podataka& Kako bi centralni registar delovao kao e5ikasan SEC, sva  bezbednosna deavanja moraju biti registrovana, a zaposleni J posebno oni na ?n5ormacijama i u Korisni3koj službi J se moraju proceniti delom i na osnovu njiove privrženosti ovakvoj politici& .egistar mora biti centralizovan i nadgledan tako da napada3 ne može da jednostavno pree na nekog drugog unutar iste organizacije ukoliko na jednom mestu naie na otpor& 2'

Obavezan povratni poziv - 0redstavlja prili3no poznatu proceduru

koja doprinosi e5ektu land mine& 1o je procedura koja zateva da osoblje na ?n5ormacijama ili pak sistem administratori, uzvrate poziv svakom ko zateva resetovanje i5re, ili neku drugu sumnjivu in5ormaciju& 0ovratni  poziv 6e potvrditi tele5onski broj, i to bi trebalo da je broj tele5ona koji je naveden u imeniku za osobu koja zove& )vo je procedura koja 6e pobediti lukavstvo kori6enja 0B] sistema i prebacivanja na druge lokale kako bi meta koja nita ne sumnja pomislila da onaj koji zove, zove sa nekog unutranjeg lokala, jer odreeni zvuk pokazuje samo na lokalni trans5er& Ukoliko poziva3 pokua da objasni zato se ne može obaviti povratni poziv, ili ukoliko broj tele5ona nije broj koji je službenik o3ekivao, tada osoblje ?n5ormacija treba da ima slobodu da ne mora da odobri zatev, i mora se evidentirati u sigurnosni registar& U jednom intervjuu, Kevin Citnick je upitan koja je najuobi3ajenija  prevara& )n je odgovorio da je to odavanje interni brojeva tele5ona& judi imaju tendenciju da pomažu ljudima za koje se 3ini da su zaposleni u kompaniji, zato to se žrtva plai ukora& SEC 6e pomo6i da ova prevara ne  bude uspena Farber, str& (& lju4na pitanja  J 4o jedan SEC je postavljen tako to se koristi

veliki broj pitanja kako bi se potvrdio identitet onoga ko poziva i zateva neku internu in5ormaciju, ili pokuava da iznudi resetovanje i5re& Pravilo )5ri Pitanja*  J je dobro i treba ga koristiti, ali ga treba

unapred pripremiti sa zaposlenima& )vo pitanje pruža listu pitanja i odgovora koje osoblje na ?n5ormacijama može iskoristi kako bi se utvrdio identitet onoga ko zove& 0itanja bi trebala da budu o3igledna za zaposlene, ali ne i za ostale& 0rimer bi moglo biti pitanje: ;Koji je bio model vaeg prvog auta^< Svaki korisnik 6e pružiti odgovore za listu kada se njiov nalog uvede& 0itanja i odgovori su dostupni ?n5ormacijama, koje zatim potvruju identitet kada poziva3 traži resetovanje i5re& 4edna od varijacija na ovu temu bi bila da se koriste in5ormacije kojima se raspolaže u bazi podataka, ukoliko je to mogu6e& Ceutim, ovakve in5ormacije mogu biti dovoljno javne tako da napada3 može imati pristup njima& 6ažna pitanja J Ukoliko nijedan od ovi sistema nije postavljen, mogu poslužiti i lažna pitanja& ažno pitanje je pitanje koje navodi na 2*

 pogrenu in5ormaciju i onome ko zove daje ansu da krene pravilno, ili da napad gradi na lažnoj in5ormaciji& )vo bi napada3u dalo mogu6nost da odgovori najboljom improvizacijom koju jedan prevarant može da smisli&  +aravno, nije važno koliko dobro je to odraeno, jer je prevarant ve6  prevaren& 0rimer bi mogao biti: ;), 9ospodine Smit, kako je vaa 6erka^ Da li se oporavlja od nesre6e^< Ukoliko poziva3 kaže: ;Coja 6erka nije imala udes<, ili ;+emam 6erku<, poziva3 je proao jedan test& U tom slu3aju, zaposleni bi se izvinio i rekao da je verovatno pomeao sa nekim& Ceutim, ukoliko poziva3 po3ne da pri3a o nesre6i, ili dopusti da zaposleni pri3a o nesre6i, tada je napada3 upecan& Gaposleni bi trebalo odma da obavesti obezbeenje o ovome& )va SEC je korisna 3ak i ako se za potvrdu koriste 0?+ brojevi& Ukoliko su 0?+ brojevi verbalni, onda se oni mogu slu3ajno 3uti, a ukoliko su ukucani na tele5onu J mogu se slu3ajno videti& )va procedura je u velikoj meri nalik magiji& )naj ko je koristi ne može sa sigurno6u da kaže ta je uradio, bez obzira na to kakav je odgovor& 1akoe, procedura ne može da se koristi toliko 3esto, da drugi napada3i ne  bi po3eli da u3e na tome& )vo mora biti tajna koja 6e biti namenjena samo za one zaposlene na ?n5ormacijama, kao i za osoblje obezbeenja i neopodno  je povremeno menjati je& Politika )7olimo sa4ekajte* J 0sioloka literatura insistira na

3injenici da je ljude mnogo lake ubediti da urade neto sumnjivo, ukoliko su izloženi pritisku, iznenaenju, ili preoptere6enju& SEC koji 6e se izboriti sa ovim jeste politika koja zateva da svaki sumnjivi poziv ili bilo koji poziv kojim se traži resetovanje i5re ili neka privilegovana in5ormacija, bude stavljen na 3ekanje& )vo 6e usporiti radnju, i dati zaposlenom vremena da razmisli o onom to se traži, da konsultuje predpostavljenog& 1okom 3ekanja, zaposleni može da log-uje zatev, da konsultuje nekog od kolega, ili odlu3i na koji na3in 6e potvrditi identi5ikaciju& )vde je od klju3ne važnosti - dobiti minut vremena i obraditi in5ormaciju koja je data, kako bi se utvrdilo da li je legitimna, da li treba jo neka potvrda, ili je naprosto treba odbiti& )vo su samo neke od ideja& SEC se moraju svatiti ozbiljno ukoliko odbrambeni stav treba da ima iole e5ekta& ?sklju3ivo odbrana, bez o5anzivne ili obrnute pijunaže, ostavlja mrežu otvorenom za svaki napad& Ukoliko

2>

zaposleni tokom napada ne nau3i nita o napada3u, tada 6e napada3 sigurno  pobediti&

8&*&)5anzivni nivo: Slu3ajni odgovor  Gavrni nivo odbrane je Slu3ajan odgovor& )vo je od klju3ne važnosti, iz razloga to nije sutina samo se odbraniti od napada& +akon nailaska na otpor napada3 6e krenuti dalje i pokuati da nae nekoga u kompaniji ko nema dovoljan nivo znanja o bezbednosti, ili ga to prosto ne zanima& 1reba da postoje dobro de5inisane procedure sa kojima zaposleni može odma da krene 3im posumnja da neto nije u redu& Edukacija i procedure bi trebalo da omogu6e zaposlenom da krene za napada3em agresivno, u isto vreme obavetavaju6i i ostale potencijalne žrtve& Ukoliko ne postoji slu3ajan odgovor, svaki zaposleni koji ima posla sa nekim napada3em, zapravo vodi novu bitku& U meuvremenu, napada3  postaje sve bolji u razumevanju odbrane date organizacije& 0rocedure slu3ajnog odgovora zaustavljaju taj proces& im se neki ;socijalni inženjer< otkrije u bilo kom delu organizacije, napad je otkriven i zaposleni se upozoravaju da je napada3 prisutan, i ta treba da o3ekuju pri susretu sa njim7njom& Lažno je imati jednu visoko stru3nu osobu na odeljenju koja 6e raditi na tome da budno nadgleda ovakve incidente, tako da se napad može brzo i e5ikasno otkriti& )vo bi trebalo da je ista osoba koja ima uvid u centralni registar i u kojem je evidentiran svaki sumnjivi zatev&

'& Gaklju3ak 

2@

Socijalni inženjering je realna pretnja, i to pretnja koja trenutno ima  prili3no jake e5ekte& )vo ne6e zauvek ostati tako& 4ednom kada kompanije uzmu socijalni inženjering za ozbiljno i priznaju da su ranjive, i po3nu da  primenjuju drutvene nauke kako bi se zatitili od ove pretnje uz vieslojnu odbranu, socijalni inženjering posta6e mnogo teži napada3ima za izvoenje, ako ne i nemogu6& Sutina borbe protiv socijalnog inženjeringa je svest o potrebi kontinuirane edukacije zaposleni i insistiranju na doslednom sprovoenju  bezbednosne politike i procedura kompanije i stalno testiranje njiove spremnosti da odgovore na ove napade, da se odbrane i da nastoje da  pronau i ;eliminiu< napada3a& .azvojem ove oblasti i investiranjem u edukaciju zaposleni može se zna3ajno utedeti na vremenu i sredstvima, jer  posledice napada mogu biti viestruko teže po kompaniju&

iteratura 2A

=V1 , 22& S=+S U.: http://rr.sans.org/social/within.php Farber, Dan&
9ranger, Sara&
/

9uadagno, .osanna E&P Oialdini, .obert B& <)nline 0ersuasion: =n EXamination o5 9ender Di55erences in Oomputer-Cediated ?nterpersonal ?n5luence&R 9roup DNnamics: 1eorN, .esearc, and 0ractice: Lol& *(, Cart 22, /@'(& arl& <0eople acking: 1e 0sNcologN o5 Social EngineeringR 1eXt o5 arl`s 1alk at =ccess =ll =reas ??? '7>7A> http://pacetstorm.decepticons.org/docs/social U.: engineering/aaatal.html

Kruglanski, =rie Q&P Qebster, Donna C&P Klem, =dena& *& andman, 4anetP 0ettN, .oss, 8, =pril 2, 2AA-/2( emos, .obert& , 2& GD+et  +eYs& U.: http://dnet.com.com/-10011(---61.html?legac,%dnn eYis, Edge&
)rr, Oris&
/(