Otázka: Sociální inženýrství jako forma počítačové kriminality
Předmět: Informatika
Přidal(a): Taofek
Abstrakt: Práce se zabývá problematikou sociálního inženýrství jako jednoho z druhů počítačové kriminality. Téma je zařazeno do stručného historického kontextu, dále jsou analyticky rozebrány jednotlivé fáze. Stěžejní část práce vychází z praktických příkladů bezpečnostních sborů, které jsou hlavním přínosem práce. Zvolené téma je zpracováno v širším kontextu finančních i bezpečnostních institutů.
Klíčová slova: Informační bezpečnost, sociální inženýrství, zneužití uživatele, Kevin Mitnick, prolamování počítačového zabezpečení.
Úvod
Vývoj lidské společnosti je neoddělitelně spojen se zajištěním bezpečného prostředí. Tuto myšlenku je možné nalézt mimo jiné také v Maslowově pyramidě potřeb. Tento teoretický model zdůrazňuje potřebu bezpečného prostředí jako předpoklad pro další vývoj jedince, konkrétně dosažení vyšších úrovní společenských potřeb a tím i uspokojení vlastních potřeb. Ne každý jedinec a každý stát vnímá bezpečnost stejným způsobem. Jako příklad můžeme uvést rozdíl ve vnímání bezpečnosti mezi těhotnou ženou a příslušníkem Armády České republiky. Rozdílné postoje ve vztahu k mezinárodní bezpečnosti budou mít například Izrael, Mali a Česká republika. Na vnímání bezpečnosti má vliv nejen geografická poloha, mezinárodní vztahy celková vyspělost státu, ale i současná společenská situace nebo členství v nadnárodních organizacích. Z pohledu bezpečnosti bychom rovněž neměli zapomínat na vliv mentality národa, náboženství, separačních tendencí a politické situace. Jako příklady můžeme uvést Venezuelu, Izrael, Irsko, Irák a mnoho dalších. Důsledky podcenění kybernetické bezpečnosti bohužel dokládají i konflikty posledních let, především anexe Krymu a konflikt v Náhorním Karabachu.
Vývoj v civilním i vojenském průmyslu je zřejmý – zlepšování technologií za účelem vyšší účinnosti. Nutno podotknout, že tento vývoj je spojen s vyššími náklady na pořízení a údržbu předmětných technologií a rovněž na školení obsluhy. Zda je tempo vývoje přiměřené z pohledu trvale udržitelného rozvoje je obtížné zhodnotit. Je však jisté, že nároky na uživatele (obsluhu) informačních technologií se neustále zvyšují. Současná situace je nelepším důkazem skutečnosti, že nejslabším článkem celého systému se již dávno stal operátor, tedy člověk obsluhující informační prostředky. Tato skutečnost je umocněna prostředím, kde je nutná flexibilita. A zde do rovnice přichází praxe bojiště i státní správy. Bojiště vyžaduje flexibilitu při řešení konfliktních situací, na druhou stranu vizí státní správy je přibližování klientům a elektronizace služeb. Jako příklad můžeme uvést teoretické východisko „New public management“, jehož zásady uvedené principy obsahují. Člověk jako operátor systému s dostatečnými právy k zásahu do chodu systému nebo s přístupem k informacím nebo provádění důležitých (často finančních) operací – je to právě operátor, který je předmětem útoků prostřednictvím sociálního inženýrství.
Definice pojmu „sociální inženýrství“
Sociální inženýrství je dnes velmi populární a diskutované téma, jak v pozitivním, tak negativním smyslu. Nejčastěji je zmiňováno v souvislosti se sociálními sítěmi. Ty zastupují weby nebo aplikace, které byly původně určeny k udržování sociálního kontaktu ve virtuálním prostředí a samozřejmě k rozšiřování těchto sítí. Původní myšlenka byla jistě úctyhodná, k negativnímu vývoji došlo neopatrností uživatelů. Rozporuplné reakce budí také předávání informací třetím stranám a některé úniky informací z některých aplikací.
Pro potřeby této práce bude „sociální inženýrství“ chápáno jako „snaha podvodem vylákat od důvěřivých uživatelů jejich osobní informace, jako jsou hesla nebo bankovní údaje, případně získat přístup k jejich počítači, za účelem instalace škodlivých programů“.
V současnosti lze celkem úspěšně zabezpečit oprávnění jednotlivých uživatelů i přístup k intranetovým či internetovým sítím. Existuje ovšem problematika, která je pro bezpečnostní specialisty stále velmi obtížně řešitelná. Jedná se o zneužívání lidského prvku, jinými slovy také „wetware“ či „meatware“. Pod těmito pojmy si můžeme představit zneužití nevědomosti či neopatrnosti uživatele. Hlavní problém těchto metod spočívá ve složitosti jejich ošetření z pohledu zabezpečení. Útok prováděný touto formou zpravidla zahrnuje provedení několika operací, které jednotliví uživatelé provádějí často oprávněně, a tedy není možné tuto činnost ošetřit. I přes složitost této problematiky však probíhají odborně vedené kurzy a školení, které si kladou za cíl zvýšit rezistenci uživatelů proti útokům tohoto druhu [6].
Historický vývoj
Zneužívání lidské otevřenosti nebo dobroty samozřejmě sahá až do dávné historie. V kontextu této práce je významné především období, kdy se začínal rozvíjet tzv. phreaking, neboli zneužívání rozvíjejících se telefonních technologií a sítí. Jedním z průkopníků metod sociálního inženýrství je Kevin Mitnick, který průběh své kariéry popisuje například v knize Umění klamu. Zde uvádí, že na počátku odhalil tehdejší systém označování autobusových jízdenek, a po obstarání označovacího strojku a neoznačených jízdenek (zpravidla z odpadkových košů na autobusových nádražích) mohl prakticky neomezeně cestovat. Poté přesunul svůj zájem na nově vzniklé telefonní ústředny. Brzy si osvojil žargon i znalosti z dané oblasti a těchto znalostí začal záhy využívat ve svůj prospěch. Prostřednictvím telefonického hovoru dokázal získat téměř jakékoliv informace, které následně využil k přístupu do objektů či například k provedení neautorizovaných finančních příkazů. Nezbytnou součástí jeho činnosti bylo získání přístupu k důvěrným informacím. Konkrétněji se jednalo o interní předpisy, ve kterých byly popsány například instalační postupy a metody oprav technických zařízení. Po jeho zatčení a odsouzení začal spolupracovat s odborníky, kteří se zabývali počítačovou bezpečností. S jeho spoluprací došlo ke zvýšení důrazu na odbornost uživatelů a jejich školení v oblasti odolnosti vůči útokům tzv. „sociotechniků“. Mimo Kevina Mitnicka bychom samozřejmě našli ještě další představitele a odborníky v této oblasti.
Bezpečnostní vrstvy
Bavíme-li se o bezpečnosti či zabezpečení, je vždy namístě zmínit jednotlivé bezpečnostní vrstvy. V první řadě bezpečnost spočívá v zabezpečení objektů. Tomuto druhu bezpečnosti se někdy říká také fyzická bezpečnost. Jejím smyslem je fyzicky ochránit budovy a zajistit kontrolu vstupujících osob. K zajištění fyzické bezpečnosti jsou využívány osoby (například bezpečnostní agentury, hlídači) a technické prostředky – čidla, kamerové systémy, biometrické senzory. Druhou vrstvou je oblast personálního zabezpečení, která se zabývá bonitou zaměstnanců firmy, jejich spolehlivostí, prověrkami a podobně. Z pohledu statistiky velmi často dochází k počítačovým útokům ze strany bývalých nebo současných zaměstnanců poškozené firmy. Další vrstvou je tzv. operativní bezpečnost, pod kterou je zahrnuto zabezpečení prováděných operací a procesů, zajištění jejich integrity a také oprávněnosti. Poslední bezpečnostní vrstvou je vrstva komunikační. Pod tímto pojmem si můžeme představit zabezpečení komunikačních centrál a komunikačních kanálů. Cílem je tedy zabezpečit funkci centrály v relevantní době a zajistit jejich řádné fungování. Zabezpečení komunikačních kanálů představuje zajištění toku informací, jejich integrity a autorizaci komunikujících stran, tedy vyloučení metod jako například man-in-the-middle sniffingu.
Průběh útoku
Stejně jako většina útoků, i v případě zneužití meatware je útok typicky rozčleněn do několika fází. Jednotlivé fáze zásadním způsobem ovlivňují průběh útoku. Některé útoky jsou výjimečné tím, že některou fázi neobsahují. Takovým případem je například útok založený na neplánované příležitosti.
Příprava
Příprava je první fází útoku. V příkladech uvedených v knize Kevina Mitnicka Umění klamu můžeme pozorovat jistou podobnost, která spočívá právě v této fázi útoku. Pravděpodobně nejdůležitějším faktorem je sbírání informací ještě před zahájením samotného útoku. Praxe ukazuje, že nejdůležitějšími informacemi jsou jména vedoucích pracovníků, jejich telefonické kontakty, informace o organizaci a pracovních postupech napadené organizace. Jména vedoucích pracovníků a telefonické kontakty jsou často uvedeny na oficiálních stránkách firem, nebo jsou poskytovány i na telefonický dotaz. Nejjednodušší způsob odhalení organizace firmy a pracovních postupů je buď prostřednictvím osobního rozhovoru se zaměstnanci firmy nebo různé dotazy pokládané například v průběhu emailové korespondence nebo v rámci řešení problémů jako je reklamace, stížnosti či naopak pochvaly. Příprava představuje naprosto esenciální část útoku a často vyžaduje značnou časovou dotaci. Nicméně velmi významným způsobem ovlivňuje pravděpodobnost úspěchu
útoku.
Ofenzivní fáze
Během některých útoků, je-li to potřeba, se útočník nachází na místě osobně, jindy využívá komunikace prostřednictvím informačních technologií. Velmi častá je kombinace znalostí se získanými informacemi, krádeže identity nebo využívání typických firemních aspektů, jako je respektování vyšších hodností v rámci policie, armády a podobně. Je velmi důležité si uvědomit, že často jsou ze strany pracovníků napadené firmy kladeny otázky, na které útočník nezná správnou odpověď. Prostřednictvím telefonátu na jiné pracoviště či jiným pracovníkům lze v některých případech získat žádané informace. V případě, že útočník nakonec potřebnou informaci získá, opakovaně zavolá do napadené firmy a pokračuje v útoku s velkou pravděpodobností úspěchu. Překvapivý fakt je, že neúspěšné útoky nejsou často ani rozpoznány, natož teprve ohlášeny příslušným pracovištím. Během ofenzivní fáze útočník využívá svých charakterových vlastností, komunikačních schopností i sebeovládání. Z celého útoku je právě tato fáze nejnáročnější a v útočníkovi budí pocit adrenalinu, vzrušení a často také nadřazenosti či uspokojení.
Závěrečná fáze
Neméně důležitou fází útoku je právě jeho řádné zakončení. Překvapivě ze strany útočníka často dochází k nečekaným zvratům v jednání. I přes evidentní úspěch je konverzace často prodlužována a rozšiřována o další požadavky. Během sofistikovanějších útoků dochází např. k instalaci tzv. „Backdoor systémů“, nebo „Remote control systémů“, které v budoucnu útočníkovi umožňují snadné obejití zabezpečovacích opatření. Předmětem závěrečné fáze bývá také zametení stop po útoku nebo útočníkovi či zabránění jeho odhalení. Proto je velmi významná pro zachování anonymity útočníka a úspěšné ukončení útoku.
Praktické příklady
Velmi důležitým aspektem při obraně proti útokům je ochrana interních informací, pracovních postupů a bezpečnostních směrnic. Zde dochází ke kolizi mezi poskytováním informací zákazníkům a ochraně důvěrných informací. Tato kolize představuje vážnou komplikaci například pro státní sféru. Z jedné strany je vývoj moderní společnosti charakteristický tendencí naplnit všechny požadavky klientů, z druhé strany jsou posunovány hranice firemního soukromí. Stabilita této hranice závisí na jejím jasném vymezení v interních předpisech podniku nebo organizace.
Například u Policie ČR jsou poměrně jasně stanoveny osoby, které mají právo seznamovat se s obsahem jednotlivých spisů. Na druhou stranu existují informace, které jsou povinně zveřejňovány. Významným bezpečnostním krokem je bezpochyby institut vyhrazení práva na poskytování informací v choulostivých případech a poskytování informací prostřednictvím tiskového mluvčího. Všechny tyto kroky jsou mimo jiné realizovány proto, aby nedocházelo k šíření informací citlivého charakteru. Většina organizací má tendenci si citlivé informace chránit a tuto ochranu uskutečňuje prostřednictvím vnitřních předpisů. Klasickým příkladem jsou minimální požadavky na délku a složení hesla i intranetovým sítím (mimo jiné také použití velkých písmen, číslic a zvláštních znaků). Jedním z aspektů zabezpečení je povinnost změnit heslo v přiměřeném intervalu. A právě tyto změny některé operátory donutí k zápisu hesla v okolí počítače. Paradoxem zůstává, že i po mnoha letech bezpečnostního vývoje je možné nalézt u některých operátorů heslo zapsané v kompletním znění v okolí monitoru. Závažnější jsou ovšem systémové chyby. Takovým příkladem může být resetování hesla po telefonickém vyžádání do všeobecně známého tvaru. Pro útočníka je v tomto případě snadné zavolat na helpdesk, vyžádat resetování hesla a následně se přihlásit pomocí všeobecně známého tvaru hesla. Pravděpodobně nejlepším zdrojem citlivých informací jsou místa, kde je uložena sdílená tiskárna. Ta je totiž často umístěná na místě, které je dostupné více pracovníkům, často zde bývají zanechány citlivé informace v listinné (nezabezpečené) formě. Obecné pravidlo zní, že pokud nejsou informační technologie zabezpečeny fyzicky, je vždy možné je prolomit. Dnes jsou již běžně dostupné programy zajišťující dostatečnou úroveň kryptového zabezpečení (např. software VeraCrypt), který dostatečným způsobem zabezpečí ochranu informací. Pokud ovšem není informační technika zabezpečená fyzicky, je tuto ochranu podstatně snazší prolomit. Jako příklad mohou sloužit případy, kdy byly do prostoru bankomatů umístěny neoprávněně nainstalované kamery, které snímali klávesnici bankomatu při zadávání PIN kódu. V kombinaci se snímacím zařízením, které bylo nainstalováno přímo na bankomatu byly následně vytvářeny nelegální kopie platebních karet s odhaleným PIN kódem. Poměrně snadným způsobem, jak odhalit uživatelská hesla je instalace zařízení ke snímání stisknutých kláves (keyloggery), které ukládají záznamy do interní paměti, nebo je dokonce odesílají. I tato metoda předpokládá možnost fyzického přístupu k technice. Ne vždy je vývoj spojen se zvyšováním bezpečnosti. Příkladem může být upuštění od využívání tokenů společností Sberbank CZ, a.s. Tokeny využívala pro ověřování přístupu i během zadávání transakcí v internetovém bankovnictví. Výhodou tokenu je naprostá izolovanost o jiných technologií (např. mobilního telefonu) a síly jeho zabezpečení. V praxi bylo v podstatě nemožné zabezpečení prolomit bez fyzického přístupu k tokenu. I přes uvedené výhody se společnost rozhodla upustit od dalšího využívání této technologie. Na druhou stranu rychlý rozvoj a dostupnost technologií přispívá k rozšiřování informační bezpečnosti. Za průlomový vývoj je možné považovat využívání biometrického zabezpečení, především čtečky otisků prstů. Tento způsob zabezpečení (dnes hojně využívaný) se vyznačuje vysokou mírou spolehlivosti. V kombinaci s rychlostí zadávání a obtížným prolomením (otisk prstu nelze napodobit pouhým odpozorováním) se jedná o účinný způsob, jak zabezpečit autentizaci. Běžně je v současnosti zaváděno nebo využíváno dvoufázové ověřování bankovních transakcí.
Závěr
I přes všestranný rozvoj zabezpečení je vyloučení lidské chyby nebo zneužití uživatele (operátora) nepravděpodobné. Z jedné strany je žádoucí omezit možnosti uživatele, na druhou stranu řešení složitějších situací vyžaduje flexibilitu systému. Tyto tendence budou velmi pravděpodobně existovat i nadále vzhledem k společenskému vývoji, jak bylo popsáno výše. Kybernetická bezpečnost je samozřejmě komplexní problematika a opírá se o celé spektrum oblastí. Existuje přímá úměra mezi zabezpečením systému (informací) a personální a objektovým zabezpečením. A i zde je možné nalézt protichůdné tendence – z jednoho pohledu je důležité zabezpečit přístup k informaci pouze určeným osobám, zajistit integritu a dostupnost informace, a z druhého pohledu je třeba zajistit také rychlý přístup k informaci a její dostupnost na různých místech. Splnění těchto požadavků je nelehký úkol ovlivňovaný stanovenými prioritami.
Sociální inženýrství představuje v dnešní době efektivní způsob, jak prolomit i pokročilé zabezpečení. Nejlepší metodou, jak zabránit úspěšnému útoku sociotechnika, je jasné stanovení množství a charakteru poskytovaných informací. Velkým přínosem je také proškolení personálu, který má na celkové zabezpečení esenciální vliv. Kvalitu personálu vždy ovlivňuje míra odbornosti, která je často negativně ovlivňována vysokou mírou fluktuace personálu. Do budoucna lze předpokládat výskyt tohoto druhu útoků i rozvoj příslušných bezpečnostních školení. Z pohledu společnosti je velmi důležité přikládat patřičný důraz na osobní i firemní bezpečnost a na zajištění důvěrných informací. Moderní svět je charakteristický neosobním kontaktem, a proto je třeba rozvíjet nové druhy informačního zabezpečení a adaptaci lidí na nové bezpečnostní hrozby. Komunikace a sdílení informací mezi bezpečnostními experty představuje perspektivu pro zajištění zdravého vývoje společnosti.