Bezpečnost informačních systémů není pouze záležitostí technickou, velmi významným prvkem bezpečnosti je i lidský prvek. Koneckonců i mezi správci IT panuje přesvědčení, že „největším bezpečnostním problémem je to cosi mezi židlí a klávesnicí“. Lidské chování je rozmanité a lidským chybám nejde vlastně úplně zabránit. Vždy je tedy nutno počítat se selhávajícím lidským faktorem.


Některým lidským selháním jde zabránit vhodným nastavením SW, snahou vyvinout SW tak, aby řadu chyb neumožnil, ale jsou situace, kdy nejde lidské hlouposti či naivitě technickými prostředky zabránit a toho využívá sociální inženýrství.
Chceme-li se dozvědět z určité organizace či firmy některé pro nás významné informace, můžeme postupovat různými způsoby. V mediích jsou často probíraným způsobem technické metody útočníků, tj. nabourání do systému, odchytávání paketů, útok přes webové stránky apod. Z hlediska medií jde jistě o zajímavé a přitažlivé téma. Ale upřímně řečeno, často je mnohem rychlejší a pohodlnější informace získat jinou cestou, sice ne tak dobrodružnou, ale mnohokrát kratší a méně namáhavou.

Co to je sociotechnika?

Mezi časté netechnické způsoby útočníků patří dnes tzv. sociotechniky, které využívají lidských slabin v jednání. Sociotechnika v pojetí informační bezpečnosti je přesvědčování a ovlivňování lidí s cílem oklamat je tak, aby uvěřili, že útočník je někdo jiný a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů. Při těchto metodách se útočník pokusí pomocí manipulace přesvědčit oběť, aby prozradila nějakou významnou informaci. Např. heslo je sděleno neznámému, kdo se představí jako správce systému, po telefonu nebo vloženo na podvržený formulář apod.
Další metodou sociotechniků je získání původně zcela nevinné informace, ze které si pak útočník odvodí nějakou informaci významnější. Často mají organizace na svých stránkách řadu informací, které při vhodně kombinaci mohou vést ke získání údajů pro tuto firmu či organizaci životně důležitých, které by jinak tajila. Proto, pokud sociotechnik chystá na nějakou organizaci útok, začne právě studiem internetových stránek, odkud získá jména, internetové adresy, případně telefony pracovníků firmy, šéfů atd. Pak je možno pokračovat i na osobní stránky těchto lidí, kde jsou opět někdy zajímavé informace. I když je totiž v bezpečnostní politice dané organizace nějak zajištěno, co smí a nesmí být na firemních stránkách, již obvykle nikdo nezjišťuje, co má daný člověk na svých soukromých stránkách, s čím vstupuje do diskusí na internetu atd. A zdaleka ne všichni jsou alespoň natolik obezřetní, aby měli různé přezdívky, přihlašovací jména a adresy pro různé účely. Další, co může být pro útočníka zajímavé, je vnitropodniková terminologie, utajená telefonní čísla, kód vnitropodnikového útvaru apod.
Proto by mezi základní bezpečnostní opatření mělo patřit provedení auditu stránek organizace, zjistí se, zda neobsahují zbytečné údaje, zda tam vývojář nenechal nějaké zbytečné informace. Dále je nutno dbát na to, aby informace, které jsou vhodné pro intranet, nebyly zbytečně umísťovány na internetu. Např. v loňském roce prováděla jedna moje diplomantka podobný bezpečnostní audit nejmenované organizace, resp. jejích webových stránek. Např. zde našla informace o tom, jak je v dané organizaci vytvářen login resp. způsob odvození uživatelského jména, dále zde zjistila, jaký software používají servery, apod. Zkrátka je dobré dohlédnout na to, zda informací poskytovaných veřejnosti není zbytečně moc. I z informací na první pohled nevinných může útočník získat něco vhodného pro sebe.
K těmto metodám se dá vlastně také počítat tzv. trashing, kdy se prolézají skutečné odpadky nejenom virtuální (prolézání firemních odpadů, za účelem nalezení dokumentů o struktuře sítě, jmen pracovníku, hesel atp.).

Po přípravě přichází útok

Po získání základních informací je možno přistoupit k samotnému útoku, třeba získat po telefonu nějaké významné informace. Nejsnazší útok je ve velké organizaci, kde se lidé navzájem nezdají a kde je možno třeba zavolat novému zaměstnanci a přes něj se pokusit získat informace. Sociotechnik mu zavolá, přivítá ho jako nového pracovníka ve firmě a začne např. s bezpečným nastavením hesla a připojením k síti. Nový pracovník je nadšený tím, že se zde o něj tak dobře starají, a udělal by skoro cokoliv. Navíc i pokud bude mít nějaké podezření, tak si přece na novém pracovišti nebude hned dělat problémy.
Ideální jsou velké organizace, kde se může útočník vydávat za pracovníka sice ze stejné firmy, ale jiné pobočky, ústředí atd. Pamatuji, kterak na jedné konferenci povídal zajímavý příběh pracovník auditorské firmy, která mj. prováděla bezpečnostní audit v nejmenované bance. Tento pracovník byl fingovaně najat do banky ( se souhlasem vedení) a kromě jiných pokusů o útok obvolal vybrané pracovníky s tím, že je nutno změnit heslo, které jim bylo nadiktováno po telefonu. Poté obešel všechny, kterým volal a zjišťoval, kolik lidí si změní heslo na jiné, které jim kdosi neznámý (leč jistě vystupující ve vhodné roli) nadiktuje. Dle jeho líčení to byla zhruba polovina lidí, ovšem ostatní si heslo nezměnili hlavně kvůli tomu, že to nedovedli, ne že by nechtěli.
Sociotechnici se často ptají na zdánlivě nezajímavé, nedůležité informace, které nedávají žádný smysl, ale pak je postupně poskládají dohromady a pokusí se o úspěšný útok. Mohu jen pozdvihnout obočí nad chováním jisté významné banky, ze které mi již několikrát volala paní (ovšem kdo ví odkud skutečně byla) a snažila se mi vnutit jakousi kartu (zlatou, stříbrnou, diamantovou, puntíkatou či jakou) a její hovor začínal otázkou, jaký mám plat. To skutečně pracovnice příslušného oddělení čeká, že ji budu po telefonu vykládat informace o mém platu? Pokud to ale čeká, tak se asi najdou lidé, kteří to udělají.
Dalším z tahů k oklamání lidí je získat si jejich důvěru (např. Dobrý den, já jsem ten a ten z oddělení xxx a pracuji s Jardou a Honzou, znáte Honzu? Říkal mi, že se mu moc líbíte…) oběť věří útočníkovi, že zná jejího kamaráda Honzu, protože útočník si získal i další informace z Honzova života, takže mu bude plně důvěřovat.
Důležité také je, aby oběť neměla příliš času na přemýšlení. Proto obvykle sociotechnici naléhají na důležitost daného úkonu, nebo na časovou tíseň, takže se oběť nezamyslí ani nad důsledky daného úkonu a spíš bude útok úspěšný. Další způsob je ovlivňování lidí pomocí autority: pokud například sociotechnik na oběť naléhá, že je to pro jejího šéfa a už to dávno mělo být hotové, tak chudák sekretářka ze strachu udělá, co se jí řekne.
Někteří lidé jsou velmi povídaví a ve vhodném prostředí vyzradí kde co. Velmi dobře si vzpomínám na situaci, kdy jsem čekala na letišti v Helsinkách na letadlo do Prahy. Vedle mne sedící dva obchodníci si sdělovali natolik důvěrné obchodní informace o právě uzavřeném obchodu, že by jistě šlo tyto informace vhodně zpeněžit. Nějak je vůbec nenapadlo, že na přímý let do Prahy může třeba čekat někdo další, kdo mluví česky.
Způsobů, jak útočit na lidskou hloupost, neznalost, ješitnost apod je mnoho, jedním z nejnovějších a zároveň velmi nebezpečných útoků využívajících sociotechniky je tzv. phishing. Jedná se o velmi závažnou hrozbu, o které nejsou běžní uživatelé informováni a která využívá lidské naivity až hlouposti, takže obrana je velmi složitá.

Phishing jako druh sociálního inženýrství

Phishing je druh internetového podvodu, jehož cílem je vylákat z uživatele citlivé informace jako např. číslo účtu, heslo, číslo karty a podobné citlivé položky. Při phishingu je uživatel manipulován k tomu, aby svá data zadal na podvrženou stránku a přitom je právě využito sociotechnik, které uživatele dovedou právě k využívání podvrhu. Útočník si vytvoří seznam emailových adres, na které je odeslána zpráva, která se tváři jako oficiální oznámení dané organizace - většinou finanční instituce. Pro útok jsou vybírány známé banky, takže je vysoká šance, že část oslovených je klientem této banky a na útok reaguje. Klient je vyzván k zadání svých údajů. V mailu je přímo odkaz na podvrženou stránku, která se od „ pravé“ může lišit velmi nepatrně např. jenom v lehce odlišném URL. To, že má klient svá data zadat na podvrženou stránku, je obvykle vysvětleno nějakým proběhlým bezpečnostním incidentem, který banka dobře zvládla, ale přece jen a pro jistotu potřebuje znovu některé údaje potvrdit. A to co nejrychleji. Technické provedení tohoto útoku je bohužel nesmírně snadné.
Zatím asi nejvýznamnějším útokem v České republice byl útok ze 3.3.2006 na Citibank, dále následoval útok na Českou spořitelnu. Znalost veřejnosti o tomto druhu nebezpečí je stále mizivá. Zásadní obranou je neklikat v mailu na jakékoliv odkazy. Navíc slušná banka jistě nebude na bezpečnostní incident své klienty upozorňovat e-mailem.
Mezi sociotechnické útoky můžeme snad počítat i hádání hesel. Nejde tedy o slovníkové útoky, či odchytávání hesel na síti, ale o to, že vlastníka hesla poznáme, získáme o něm vhodné informace (jména dětí, manželek, psů, značka aut atd.) a tato jména postupně můžeme zkoušet jako hesla.

Jaké lidské vlastnosti využívá sociotechnik?

Většina autorů, kteří se zabývají socitechnikami, udává těchto šest základních lidských vlastností, které se dají použít pro sociotechnický útok. Je proto při jakémkoliv jednání mít podobné techniky sociotechniků na paměti a počítat s nimi.

1. Autorita – lidé mají tendenci se podřídit osobě s větší funkcí (mocí). Jedinou obranou proti tomuto je dodržování určitých bezpečnostních pravidel všemi a pracovník, který odmítne podat informace třeba řediteli firmy, pokud tento nemůže prokázat identitu, nesmí být potrestán ( ale právě naopak). Z hlediska bezpečnosti by si měli být všichni rovni.
2. Sympatie – sociotechnik může získat sympatie oběti několika způsoby: stejné názory, zájmy, sport atd. Pokud sociotechnik získá sympatie případné oběti, pak od ní může získat příslušné informace.
3. Vzájemnost – je mnohem větší pravděpodobnost, že sociotechnikům oběť vyhoví, když pro ní předtím něco udělají. Například sociotechnik nejprve vyřeší problém se sítí ( i třeba imaginární) a pak řekne oběti, ať si nainstaluje program, který bude síť hlídat, což přitom ve skutečnosti může být trojan, keyscan atp. Obranou je opět dodržování bezpečnostní politiky ve všech situacích.
4. Důslednost – lidé mají tendenci se podřídit, jestliže předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti.
5. Společenský souhlas – sociotechnik zavolá a zeptá se zda-li nemá oběť čas, že by potřeboval vyplnit dotazník, který už všichni ostatní s ním vyplnili. Zde je onen tlak : „ Již všichni...“
6. Vzácná příležitost – viz posílání mailů. Tohoto způsobu využívá kdekdo: prvních 100 vyhrává, byl jste vylosován ( nakonec zjistíte, že tzv. vylosováni byli všichni). Jenom vyplňte Vaše údaje atd.

Kevin Mitnick – legenda sociotechniky

Řada výše uvedených poznatků pochází od nejslavnějšího socitechnika Kevia Mitnicka. Server DNAIndia.com sestavil zajímavý žebříček deseti „nejúspěšnějších hacků“ historie. Mezi těchto deset nejvýznamnějších hackerů historie (a zde je termín hacker míněn šířeji než je obvyklé) patří právě Kevin Mitnick a jeho sociální inženýrství, který dokonce získal první místo. Kevin Mitnick, dnes již téměř „mediální hvězda“, působil na počátku 90. let 20. století. Mitnick nebyl zdatný programátor či odborník na bezpečnost sítí, ale spíše výborný psycholog. On sám své aktivity označuje spíše pojmem sociální inženýrství a proslul svou drzostí a schopností „vetřít se“ skoro kamkoliv. Mnoho informací či dokonce přístupových hesel získal pouhým telefonátem, kdy se vydával za pracovníka technického oddělení a „zmatená“ sekretářka, ale i zkušenější a rádoby technicky zdatnější uživatelé bez mrknutí oka prozradili své heslo. Ve své době pronikal do systémů věhlasných firem jako je například Motorola, Nokia, Fujitsu nebo Sun Microsystems. Jeho činnost ukončila FBI v roce 1995, byl potrestán a v roce 2000 pak byl propuštěn na podmínku. Dnes se mimo jiné zabývá přednáškami o bezpečnosti právě v souvislosti se sociálním inženýrstvím. Jeho kniha Umění klamu vyšla v překladu i v České republice.
Sociotechnické útoky patří mezi velmi úspěšné, útočník navíc nemusí mít ani tolik odborné znalosti, jako spíše být milý, schopný empatie, dobrý herec apod. Bezpečnostní politika každé organizace by měla počítat také se sociotechnickými útoky a její dodržování by mělo podobným útokům zabránit resp. Pokud zaměstnavatel své pracovníky školí také v bezpečnosti IT (což je jistě žádoucí), pak by obsahem takových školení měla být také informace o sociotechnikách.

e-mail: dagmar (tečka) brechlerová (zavináč) autori (tečka) ccb (tečka) cz