Social Engineering Hackάροντας τον Άνθρωπο


Ο Jayson E. Street είναι ένας τύπος με γυαλιά και ένα ζεστό χαμόγελο. Φυσικά δεν μοιάζει καθόλου με το στερεότυπο των hacker που παρουσιάζεται συχνά σε ταινίες (δηλαδή κάπως χλωμός, και αντικοινωνικός). Ο Jayson όμως είναι hacker και μάλιστα hacker ανθρώπων…

social Hack

Street ο master της εξαπάτησης: Είναι social engineer, και ειδικεύεται στην ευαισθητοποίηση σε θέματα ασφάλειας και παραβιάσεις που απαιτούν φυσική παρουσία. Είναι ειλικρινής, φιλικός, χαμογελάει πάντα, και εκτός του ότι εργάζεται σε αυτό τον τομέα, είναι επίσης και InfoSec Ranger στην Pwnie Express, είναι γνωστός για τα βιβλία του και τις διαλέξεις του σε όλο τον κόσμο.

Οι επαγγελματίες της ασφάλειας των πληροφοριών γενικά συμφωνούν ότι οι άνθρωποι είναι ο πιο αδύναμος κρίκος στην ασφάλεια. Οι εργαζόμενοι πρέπει να έχουν πρόσβαση, προκειμένου να κάνουν τη δουλειά τους, και έτσι οι εισβολείς στοχεύουν όλο και περισσότερο σε αυτούς αντί για το δίκτυο, προκειμένου να διεισδύσουν στο σύστημα.

Ένας επιτυχημένος social engineer πρέπει να έχει ένα ευρύ σύνολο δεξιοτήτων. Το πιο σημαντικό φαίνεται να είναι το να μπορεί να κατανοήσει το βάθος του ανθρώπινου συναισθήματος. Το να διαβάζει τα πρόσωπα των ανθρώπων, να ερμηνεύει χειρονομίες, ειδικά σε μια ξένη χώρα με αισθητά διαφορετικό πολιτισμό, είναι μια πολύ δύσκολη υπόθεση που χρειάζεται απεριόριστη πρακτική και των δεξιότητες.

Ουσιαστικά, ένας έμπειρος social engineer είναι ότι πιο κοντινό έχουμε στην έκφραση “αναγνώστης μυαλού.” Από την έκφραση ενός προσώπου και την κατάσταση που αντιμετωπίζει μπορεί να δημιουργήσει ένα σενάριο που του δίνει το πλεονέκτημα.

Όπως είπε κάποτε ο Ernest Hemingway: «Όταν οι άνθρωποι μιλούν, ακούστε απόλυτα. Οι περισσότεροι άνθρωποι δεν ακούν ποτέ.” Λοιπόν, αυτό κάνουν και οι social engineers.

Οι πληροφορίες είναι το πιο πολύτιμο αγαθό στον κόσμο του σήμερα, και o Jayson ξέρει πώς να τις πάρει. Κατά τη διάρκεια συνέντευξης που έδωσε στο HNS, ανέφερε παραστατικά πως κατάφερε να παραβιάσει δίκτυα στις ΗΠΑ, τη Μαλαισία, την Ιορδανία, τη Γερμανία, την Τζαμάικα, τη Γαλλία και το Λίβανο.Jayson Street hack

Τα εργαλεία του;

“Έσπασα μια τράπεζα στη Βηρυτό του Λιβάνου, φορώντας ένα DEF CON δερμάτινο μπουφάν. Δεν μιλώ αραβικά ή γαλλικά, και ειλικρινά, δεν δένω καλά σε αυτή την πόλη”, θυμάται ο Jayson.

Όπως μπορείτε να φανταστείτε, αυτό δεν τον σταμάτησε. Κατέληξε σε μια καρέκλα γραφείου ενός υπαλλήλου που του επέτρεψε να συνδέσει το Hak5 Rubber Ducky USB του στον υπολογιστή του. Στο τέλος της “επίσκεψης” στην τράπεζα, είχε το διαχειριστικό ID του υπαλλήλου της τράπεζας χρήστη, τον κωδικό πρόσβασης τους και μια smart card.

“Οπλισμένος με αυτές τις πληροφορίες μπορώ να βρω το δρόμο μου στην εσωτερική τους LAN.”

Φυσικά οι υπεύθυνοι της Τράπεζας σοκαρίστηκαν με την χαλαρή ασφάλεια. Ήξεραν ότι αν ήταν κάποιος άλλος με αυτό το είδος της πρόσβασης θα μπορούσε αδειάσει τα ταμεία.

«Δεν είμαι ο καλύτερος κωδικοποιητής ή προγραμματιστής exploit. Δεν είμαι και δεν πρόκειται να γίνω ποτέ ένας τέτοιος τύπος. Αλλά δεν χρειάζεται να είναι, αν έχω ένα κατσαβίδι και μπορώ να πάρω το σκληρό δίσκο από το διακομιστή σας. Δεν χρειάζεται να παρακάμψω το firewall, αν μπορώ να παρακάμψω τον ρεσεψιονίστ,” αναφέρει.jaysonstreet spotthegeek hack

Ο Jayson συνεχίζει:

“Πέρυσι κατάφερα να παρακάμψω το σύνολο της υποδομής ενός ξενοδοχείου υψηλής κατηγορίας στη γαλλική Ριβιέρα, φορώντας Ninja Turtles πιτζάμες και περπατώντας χωρίς παπούτσια.”

Η αυτοπεποίθηση είναι το κλειδί. Κατά τη διάρκεια αυτής της βόλτας έπεσε πάνω σε μια απροστάτευτη είσοδο στο χώρο των εργαζομένων, και μέσα σε 30 λεπτά ήταν στο εταιρικό γραφείο.

Στις εγκαταστάσεις αυτές μετά από τις ώρες γραφείου η ασφάλεια ήταν ανύπαρκτη: γραφεία, ξεκλείδωτοι υπολογιστές, συρτάρια ανοιχτά…

«Δεν είχα ποτέ πρόβλημα οπουδήποτε, ακόμη και σε κυβερνητικά ή χρηματοπιστωτικά ιδρύματα. Στην πραγματικότητα, ένας φρουρός κάποτε βοήθησε να βγάλω το διακομιστή έξω από την αίθουσα υπολογιστών και να τον βάλω στο αυτοκίνητό μου”, θυμάται χαρούμενα.

Αντί – social engineering

“Δεν προσπαθώ να καταστρέψω εταιρείες. Κάνω δεσμεύσεις για κοινωνική ευαισθητοποίηση – η δουλειά μου είναι να εκπαιδεύω ανθρώπους για να μπορούν να καταλάβουν,” αναφέρει.

Ο Jayson μάλιστα φαίνεται να προσπαθεί πραγματικά να πιαστεί. Στη τελευταία του “επίθεση” έκανε ύποπτες κινήσεις επίτηδες για να εκδηλωθεί. Μάταια…

“Πρόσφατα έσπασα ένα πολύ ασφαλές κτίριο στη Νέα Υόρκη απέναντι από το Ground Zero, φορώντας ένα μπλουζάκι που έγραφε ‘Your company’s computer guy.’

Μετά την παραβίαση πήγε πίσω στο κτίριο και εξήγησε στους εμπλεκόμενους το τι ακριβώς συνέβη και γιατί. Είναι το σημείο της δουλειάς του που αποσκοπεί στην αύξηση της ευαισθητοποίησης σε θέματα ασφάλειας.

“Παρά την έκβαση των επιθέσεων μου, δε έχω συναντήσει ποτέ ένα ηλίθιο χρήστη,” σημειώνει. “Βλέπω όμως αμόρφωτους χρήστες που δεν έχουν την κατάλληλη εκπαίδευση” αναφέρει, και εξηγεί ότι η εκπαίδευση για την ασφάλεια θα πρέπει να είναι ένα ουσιαστικό μέρος της κατάρτισης των εργαζομένων.

Οι συμβουλές του;

1. Εάν έχετε την αίσθηση ότι κάτι δεν πάει καλά, ακούστε τη φωνή που σας λέει να αντιδράσετε.

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.

2. Οι οργανισμοί θα πρέπει να έχουν ορισμένους ανθρώπους που θα μπορούν να τους καλούν σε περίπτωση αμφιβολίας, ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου μέσω της οποίας μπορεί να φθάσει βοήθεια. Κάθε εργαζόμενος πρέπει να γνωρίζει ότι αν δει ένα ύποπτο πρόσωπο να τριγυρνάει, ή να όταν λαμβάνει κάποιο ύποπτο e-mail, ότι μπορεί να ειδοποιήσει κάποιο, ο οποίος θα διερευνήσει το τι συμβαίνει. “Μην πλησιάζετε το πρόσωπο, μην ανοίξετε το συνημμένο, ενημερώστε την ασφάλεια”, συμβουλεύει.

Αυτή η συμβουλή μπορεί να ακούγεται απλή, αλλά οι περιπέτειες του Jayson σε όλο τον κόσμο αποδεικνύουν ότι ακόμα και οι μεγαλύτεροι οργανισμοί στον κόσμο εξακολουθούν να μην έχουν θέσει σε εφαρμογή βασικά μέτρα ασφαλείας και δεν έχουν εκπαιδευμένους υπαλλήλους.

Hacking; Οι άνθρωποι παραμένουν ο πιο αδύναμος κρίκος της ασφάλειας.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news