16
POCZĄTKI
HAKIN9 7-8/2009
Z
apytaj ludzi, pracowników danej firmy,
studentów, administratorów sieci,
potencjalnej ofiary. Uważasz, że to
szalony pomysł? Masz rację, jednak podstępne
włamywanie się do cudzych systemów
zdecydowanie nie jest racjonalnym zajęciem.
Poniższy tekst ukazuje drugą stronę hakingu,
tajemnicę strzeżoną bardziej niż skrywane kody
oprogramowania. Wkrocz do świata magicznych
sztuczek i kłamstw.
Wizerunek hakera zbierającego informacje
jedynie za pomocą sieci jest kompletnie
sfałszowany. W rzeczywistości zdobycie
niezbędnych informacji wiąże się nie tylko
z ogromnym wysiłkiem intelektualnym, ale
również ze stresem, próbą pokonania samego
siebie i przezwyciężenia chęci zrezygnowania
z podjętych działań. Dlaczego tak się dzieje?
Otóż kwintesencją prawdziwego hakingu
jest perfekcyjnie opanowana sztuka zwana
socjotechniką. Można ją także określić mianem
manipulacji zachowaniami lub prościej,
sterowaniem ludźmi. To zaskakujące, ale
największe światowe włamania komputerowe
możliwe były dzięki doskonałej znajomości zasad
socjotechniki. Hakerzy nie tylko byli przygotowani
od strony merytorycznej, lecz posiadali duże
doświadczenie w wywieraniu wpływu na innych.
Kim jest socjotechnik, na czym polega jego
działanie i jak można się przed nim obronić?
Są to kluczowe pytania, na które postaramy się
odpowiedzieć w tym artykule. Zacznijmy jednak
ŁUKASZ CIESIELSKI
Z ARTYKUŁU
DOWIESZ SIĘ
w jaki sposób skonfigurować
system okien X
czym charakteryzują się
poszczególne środowiska
graficzne
odpowiemy na pytanie: Czy
FreeBSD nadaje się na
Desktop?
jak przeprowadzić wstępną
konfigurację multimediów.
CO POWINIENEŚ
WIEDZIEĆ
znać podstawowe pojęcia
związane z Linuksem
rozróżniać pojęcia: środowisko
graficzne i menedżer okien
sprawnie posługiwać się
kontem roota (co w niektórych
przypadkach
okazuje się umiejętnością
kluczową).
od scharakteryzowania takiej osoby. Uzyskany
dzięki temu obraz będzie pełniejszy i pozwoli
lepiej zrozumieć przesłanki kierujące hakerem
– socjotechnikiem.
Twój przyjaciel haker
Ilu pracowników rozmaitych firm lub
administratorów sieci wie czym jest
socjotechnika, jak się objawia i dlaczego jest
taka niebezpieczna? Niewielu, choć większość
prawdopodobnie już padła jej ofiarą. Uogólniając,
mamy tu do czynienia z szeroko pojętymi
działaniami, które zmierzają do wywołania
pewnych zachowań, wykorzystują utarte
stereotypy reakcji ludzi na określone sytuacje.
Jak nietrudno sobie wyobrazić, jest to zadanie
niezwykle skomplikowane. Na sukces składają
się w dużej mierze dodatkowe okoliczności.
Umiejętne przejęcie kontroli nad nimi sprawia,
że intruz może w pełni opanować zaistniałą
sytuację. I choć przewidywanie każdego
detalu wydaje się zadaniem niemożliwym do
wykonania, rzeczywistość zdecydowanie obala
ten mit. Większość ataków socjotechnicznych
jest skrupulatnie przemyślana i zaplanowana w
każdym szczególe. Socjotechnicy są mistrzami
projektowania własnej rzeczywistości. Wszystko
dzieje się w zatrważającym tempie i stresie. Na
domiar złego wydaje się tak realne, że ofiara
bezgranicznie wierzy w wersję przedstawioną
przez atakującego. Haker musi zapanować
nie tylko nad aktualną sytuacją, własnym
Stopień trudności
Tak robią to
prawdziwi
hakerzy – cz. 2
Rozmaite techniki, zaawansowane oprogramowanie i długie godziny
przed monitorem nie są w stanie zagwarantować hakerowi sukcesu.
Celem jest oczywiście pokonanie barier i zabezpieczeń, aby zdobyć
pożądane dane. Co zrobić w sytuacji, kiedy okazuje się, że posiadana
wiedza jest niewystarczająca? Skąd zdobyć niezbędne informacje?
17
SOCJOTECHNIKA
HAKIN9
7-8/2009
organizmem (np. biciem serca czy
oddechem), lecz przede wszystkim
myślami. Do złudzenia przypomina to
pracę magika, który znając prawdę o
wykonywanych na pokazie sztuczkach,
musi przedstawić publiczności stosowną
projekcję. Metody te stosowane są
powszechnie na całym świecie. To
właśnie socjotechnika jest fundamentem
dla reklam, marketingu, a nawet polityki.
Doświadczeni hakerzy odkryli możliwości
socjotechniki zanim powstały rozmaite
skrypty i programy, które są często
wykorzystywane przez pseudohakerów,
czyli tzw. script kiddies.
O ile w odniesieniu do hakerów
można rozróżnić tych, którymi kierują
godne przesłanki oraz ich przeciwników,
w przypadku socjotechników byłoby
to niezwykle trudne. Być może nawet
niemożliwe. Dlaczego? Ponieważ zależy
im na jednym – oszukaniu swojej ofiary
i zdobyciu niezbędnych informacji.
Oczywiście można polemizować z tym
stanowiskiem, ponieważ zdobyte dane
mogą zostać wykorzystane w rozmaity
sposób. Skoro jednak są strzeżone na
tyle pilnie, że niezbędnym okazuje się
skorzystanie z socjotechniki oznacza
to, że nie powinny przedostać się w
ręce osoby nieupoważnionej do ich
posiadania. Można jednak wyodrębnić
cztery grupy socjotechników. Pierwszą
stanowią osoby, które pragną zaspokoić
własną ciekawość. Najczęściej w
pełni satysfakcjonuje je umiejętne
wydobycie informacji, przełamanie
bariery międzyludzkiej i przeprowadzony
z powodzeniem pokaz ich umiejętności.
Hakerzy tego pokroju nie oczekują
korzyści materialnych. Chodzi jedynie o
wykonanie kolejnego kroku na drodze
zdobywania wiedzy i pogłębiania
umiejętności. Drugą grupę stanowi
szerokie grono hakerów, których celem
jest pokonywanie barier, zdobywanie
doświadczenia i udowadnianie swojego
poziomu intelektualnego. Nagrodą dla
nich jest umiejętne oszukanie ofiary,
wzbudzenie zaufania i nawiązanie
nici porozumienia, dzięki czemu są w
stanie całkowicie przejąć kontrolę nad
sytuacją. Motorem postępowania jest
stres, adrenalina i świadomość swojej
wyższości nad przeciwnikiem. Najczęściej
są to osoby poszukujące wrażeń. W
przeciwieństwie do wspomnianej wyżej
grupy, nie chodzi jedynie o radość z
posiadanej wiedzy i możliwości poznania
tego, co ukryte i tajemnicze. W tym
przypadku chodzi o coś więcej, o emocje
towarzyszące łamaniu zabezpieczeń i
prawa. Proces oszukiwania i przejmowania
kontroli nad innymi osobami stał się
priorytetem, a jego status okazał się
ważniejszy od zdobytej wiedzy. Hakerzy
reprezentujący stanowiska obu grup są do
siebie pozornie podobni, jednak szczegóły
dotyczące kierujących nimi przesłanek,
umożliwiają przejrzystą klasyfikację.
Trzeci typ hakera – socjotechnika
przeprowadza ataki dla uzyskania
korzyści materialnych. Jego celem
jest zdobycie informacji lub danych,
a następnie sprzedanie ich lub inne
działania prowadzące do zdobycia
pieniędzy lub przedmiotów wartościowych.
Socjotechnika w ich wykonaniu jest
wyjątkowo wyrachowana i skrupulatna. W
odniesieniu do uczuć atakowanej osoby są
bezwzględni. Często wierzą, że cel uświęca
środki. Pod tym względem ich przesłanki
są tożsame z przesłankami ostatniej grupy
jaką stanowią cyberterroryści. Cele tej
grupy nie pozostawiają wątpliwości. Ich
działania mają na celu pozyskanie korzyści
materialnych lub spowodowanie zniszczeń
na szeroką skalę.
Początkujący socjotechnicy
najczęściej trenują swoje umiejętności
na nieznajomych, próbując uzyskać od
nich informacje, które mogłyby okazać
się przydatne podczas włamania. Co
nimi kieruje? Trudno jednoznacznie
określić przyczyny. Być może chęć
manipulowania ludźmi, pragnienie zysku,
możliwość włamania komputerowego i
kradzież cudzych danych. Czasem jest to
po prostu chęć bycia akceptowanym w
środowisku składającym się z podobnych
osób. Bez względu na przyczyny zostania
socjotechnikiem, należy pamiętać, że jest
to zagrożenie większe niż jakikolwiek wirus,
czy małoletni haker.
Dlaczego w podtytule zostało
użyte stwierdzenie, że haker jest Twoim
przyjacielem. W bardzo krótkim czasie jest
w stanie dowiedzieć się o Tobie więcej
osobistych informacji niż sam pamiętasz.
Powyższa część tekstu zarysowała
osobowość socjotechnika, pokrótce
nakreśliła jego umiejętności i charakter.
Zdecydowanie osoby takie muszą
posiadać zdolność łatwego nawiązywania
kontaktu z innymi. To jednak byłoby
niewystarczające. Niezbędna okazuje się
też pewnego rodzaju intuicja, pozwalająca
na wybór ofiary najbardziej podatnej
na atak. Socjotechnik musi perfekcyjnie
rozpoznać osobowość i temperament
osoby, np. pracownika od którego chce
uzyskać niezbędne informacje. Dzięki
temu możliwy jest odpowiedni dobór
tematu rozmowy, komplementów, tonacji
głosu i całej otoczki, która tworzy niewinną
sytuację. Po przeprowadzonym ataku
należy się wycofać, zachowując przy tym
maksimum spokoju i zmieniając wygląd
tak szybko jak to możliwe. Podstawą do
sukcesu jest sztuka kłamania. Człowiek ma
wyuczone pewne odruchy, np. wiedząc, że
kłamstwo jest czymś złym w momencie
kiedy nie mówi prawdy odwraca wzrok
lub opuszcza głowę i patrzy w dół. W
odniesieniu do socjotechnika są to
zachowania karygodne. Podstawową
umiejętnością jest okłamywanie niczego
nie świadomych ludzi, patrząc im przy tym
głęboko w oczy. Nie można myśleć o tym,
że zostaje im wyrządzona krzywda lub
szkoda. Niestety, trzeba być bezwzględnym.
Informacja w potrzasku
Zagrożeniem dla bezpieczeństwa firm
lub urzędów nie jest oprogramowanie
antywirusowe, zapory ogniowe itd., ale
pracownicy. Brzmi to niedorzecznie i
szokująco, ale niestety jest prawdziwe.
Nie chodzi tu oczywiście o sabotaż, lecz
zagrożenie stwarzane nieświadomie.
Chociaż zdarzają się przypadki, w których
zdenerwowany na szefa pracownik
wyjawia rozmaite tajemnice firmy bez
większych zahamowań. Większość
informacji można uzyskać zwyczajnie
o nie prosząc. Pracownicy mając
świadomość istniejących w firmie
zabezpieczeń, zatrudnionej ochrony
itp. nie biorą nawet pod uwagę, że coś
może jej zagrażać. To zaskakujące, ale
świadomość społeczeństwa w odniesieniu
do socjotechniki jest znikoma. Część
uważa nawet, że przy współczesnych
zabezpieczeniach coś takiego jak
wyłudzenie informacji jest niewykonalne.
A jednak okazuje się, że jest możliwe, a
co więcej coraz powszechniejsze. Jeden
z najznakomitszych socjotechników
18
POCZATKI
HAKIN9 7-8/2009
SOCJOTECHNIKA
19
HAKIN9
7-8/2009
– Kevin Mitnick – napisał w swojej książce,
że to głupota ludzka jest przyczyną
przeprowadzonego z sukcesem ataku.
Oczywiście miał całkowitą rację.
Można by do tego dołączyć jeszcze
panującą w dzisiejszych firmach
beztroskę pracowników w stosunku do
zabezpieczeń. Jakże często zdarza się,
że po zakończeniu pracy komputer nie
zostaje wyłączony, a użytkownik jest w
dalszym ciągu zalogowany. A przecież
wystarczyłoby, że haker podając się za
nowo przyjętą osobę odpowiedzialną
za utrzymanie porządku zerknie w
sekretne zakamarki systemu. Być może
nawet miałby czas na skopiowanie
potrzebnych danych. Bruce Schneider
określił bezpieczeństwo nie jako produkt,
ale proces. Składa się na nie mnóstwo
czynników dodatkowych. Wiąże się
bezpośrednio z ludźmi i określonymi
sposobami zarządzania. Właśnie z tego
względu prześledzimy teraz klasyczne
metody, najczęściej wykorzystywane
przez atakujących, aby móc następnie
spróbować sformułować plan, który
pomoże uniknąć niechcianych sytuacji.
Co dla socjotechnika jest
najważniejsze, najistotniejsze i
najcenniejsze? Odpowiedź jest banalna
– wiedza. Jednakże dla hakera są to nie
tylko dane, które dla większości osób
wydawałyby się niepotrzebne. Dla niego
jest to furtka do realizacji swoich planów.
Celem najczęściej przyświecającym
osobom dokonującym kradzieży
informacji jest oczywiście zdobycie
czegoś cennego, jak np. informacje
ważne dla konkurencji, kapitał firmy,
rzadziej sprzęt. Podczas pierwszego etapu
działania socjotechnika, czyli przygotowań
wstępnych każda, najmniejsza broszurka
jest istotna. Chociażby dlatego, że zawiera
najczęściej numery telefonów do firmy,
a czasem także konkretne nazwiska, na
które może się powołać atakujący. Trudno
to sobie wyobrazić, jednak często zdarza
się, że dzięki zdobytej w ten sposób wiedzy
dokonywano mniej istotnych ataków.
Warto jednak wziąć pod uwagę, że takowe
istniały, a to co wydaje się bezużyteczną
wiedzą, dla hakera jest cenne. Nikt
przecież nie podejmuje ryzyka i nie
włamuje się bez konkretnego powodu.
Postarajmy się sprawdzić, jak mógłby
wyglądać atak na określoną instytucję
lub firmę. Pierwszym, co przychodzi
niemalże każdemu do głowy, jest bank.
Zagraniczne banki chętnie sprawdzają
wiarygodność klientów korzystając
z usług firm, które się w tym właśnie
specjalizują. Doskonałym przykładem
jest CreditChex (www.creditchex.net).
Jeżeli firma potwierdzi wiarygodność
danej osoby, bank także przyjmuje takie
stanowisko. W jaki sposób przebiega
taka procedura? Otóż bank kontaktuje
się z CreditChex i podaje prawidłowy
numer kupca oraz serię danych jak np.
imię i nazwisko, numer ubezpieczenia i
datę urodzenia. Oczywiście są to dane
sprawdzanej osoby, nie sprawdzającej!
Następuje weryfikacja i jeżeli wszystko
się zgadza, osoba która nas obsługuje
podaje potrzebne nam informacje.
Największym problemem może okazać
się zdobycie numeru kupca, jednak przy
odrobinie inwencji twórczej jest to możliwe.
W jaki sposób? Jest ich kilka, a wachlarz
możliwości zaczyna się od podpytaniu
znajomego pracującego w banku (mało
realne) a kończy się na stworzeniu
fikcyjnej ankiety (bardzo realne). Dlaczego
ankieta? Ponieważ gdybyśmy zadali
pytanie wprost, osoba z którą rozmawiamy
natychmiast nabrałaby podejrzeń. W takim
wypadku albo wezwałaby policję albo
zwyczajnie się rozłączyła. W odniesieniu
jednak do bankowości zawsze zostaje
wezwana policja, ponieważ wymagają
tego wewnętrzne procedury. W ankiecie
pytanie o numer kupca powinno
znajdować się pod koniec dosyć długiej
i mało istotnej serii pytań, np. godziny
otwarcia, częstotliwość dzwonienia
z zapytaniami o wiarygodność, czas
oczekiwania na odpowiedź, dokładność
uzyskanych informacji itd. W zasadzie
można pytać o wszystko co nie budzi
podejrzeń. Na końcu także powinno
się znaleźć niezobowiązujące pytanie,
np. odnośnie dalszej współpracy i
jakiś komplement dla osoby, z którą
rozmawiamy. Łatwo zauważyć, że
socjotechnika w dużej mierze opiera się
na intuicji i spontanicznych decyzjach.
Jeżeli rozmówca nabierze podejrzeń
należy natychmiast zmienić technikę i
dalszy ciąg rozmowy lub wycofać się.
Należy mieć na uwadze, że sprawnie
przeprowadzony atak, może zapewnić
nam źródło, z którego będzie możliwe
czerpanie dalszych korzyści w przyszłości.
Jest to istotna sprawa, ponieważ
pozyskanie nowego przysparza niekiedy
dodatkowych trudności lub nie udaje się.
Socjotechnik nigdy nie nastawia się w taki
sposób, że zdobędzie cenne informacje
za pierwszym razem i w dodatku od
jednej ofiary. Najczęściej musi krok po
kroku szukać dalszego tropu. Właśnie
dlatego tak ważne są drobne informacje, o
których była mowa w cz. 1, np. partnerzy z
którymi współpracuje firma czy placówka.
We wspomnianym wyżej przypadku
bank X korzysta z firmy zewnętrznej
CreditChex. Atakujący nie dzwoni do
banku w celu uzyskania informacji, lecz
do jego partnera. Jednak informacje
dzięki temu uzyskane pozwalają na
robienie przelewów i kradzież cudzego
mienia. Czy banki nie wdrażają procedur,
które mogły ochronić je przed tego typu
działaniami? Zasady takie już od bardzo
dawna funkcjonują. Prawidłowo osoba, z
którą była prowadzona rozmowa powinna
oddzwonić na numer podany w systemie
banku. Gdyby pracownik stosował się do
przyjętych procedur, atak byłby niemożliwy
lub bardzo utrudniony. Zawiodła jednak
ludzka natura i ufność. Intruz okazał
się wiarygodny, ponieważ posiadał
wszelkie niezbędne informacje. Przykład
ten pokazuje, że nawet najdoskonalsze
zabezpieczenia w bankach nie są w
stanie ochronić przed atakami. Haker
– socjotechnik nie musi nawet korzystać
z komputera. Nieustannie udoskonalane
oprogramowanie chroni jedynie przed
włamaniami amatorów, wirusami i
programami jak np. konie trojańskie. Cóż
jednak z tego, jeżeli doświadczeni hakerzy
w dalszym ciągu mogą mieć dostęp
do środków na kontach klientów banku?
Warto mieć to na uwadze, gdyż dzięki
temu możliwe jest zrozumienie, dlaczego
wszelkie informacje mające związek z
danymi klienta banku są skrywane. Kody
PIN znajdują się na papierze, którego nie
można podejrzeć pod światłem lub hasła
jednorazowe, które często wydawane są w
formie zdrapki itp.
Największym błędem w
rozbudowanych firmach, posiadających
wiele wydziałów jest ufność pracowników
do siebie nawzajem. Nawet do tych
osób, których nigdy nie widzieli. Często
pracownicy dzwonią do innych wydziałów
18
POCZATKI
HAKIN9 7-8/2009
SOCJOTECHNIKA
19
HAKIN9
7-8/2009
i proszą o pewne informacje. Gdyby się
im przyjrzeć okazałyby się nieistotne.
Nie ma zatem powodu, dla którego ktoś
miałby ich nie podać. W ten sposób myśli
każdy, kto nie ma jeszcze odpowiedniej
świadomości na temat działań
socjotechnicznych i skutków, będących
ich następstwem. Zastanówmy się, co jest
celem atakującego? Pierwszorzędnym
oczywiście będzie osiągnięcie pewnych
korzyści. Jednak aby było to możliwe,
musi on wcielić się w określoną rolę, np.
pracownika firmy, urzędnika itp. Do tego
niezbędne są dane personalne nowej
postaci. Zdobycie ich jest banalnie proste,
ponieważ nikt ich nie ukrywa. Dlaczego?
Otóż pojedynczo są nieistotne, natomiast
świadomość czyhającego zagrożenia
jest wśród pracowników niestety
niewystarczająca. Jeżeli uzyskane przez
socjotechnika informacje zostaną zebrane
w jedną całość, okaże się, że zyskał
tożsamość danego pracownika. W takim
wypadku stanowi poważne zagrożenie.
Wcześniej jednak nikt się nie zastanawiał,
że podane informacje jak np. imię,
nazwisko, stanowisko w firmie, czy numer
identyfikacyjny, który prawie zawsze jest
jawny, mogą zaszkodzić firmie. Dodatkowo
wiadomo też w jakim wydziale czy
mieście pracuje ofiara ataku. Nietrudno
wyobrazić sobie sytuację, w której do
firmy X dzwoni telefon. Odbiera sekretarka.
Głos w słuchawce przedstawia się jako
pracownik, podaje nazwisko i miejsce
pracy. Następnie prosi o przesłanie mu
listy telefonów do wszystkich pracowników
firmy. Sekretarka waha się, ponieważ
tajemniczy głos (nieznany jej wcześniej)
wydaje się mało wiarygodny. Socjotechnik
natychmiast to wyczuwa. Co robi w
takiej sytuacji? Z całą pewnością nie
wycofuje się, ponieważ przewidział, że tak
będzie i przygotował koło ratunkowe. Dla
uwierzytelnienia swojej tożsamości, podaje
swój numer identyfikacyjny i stanowisko w
firmie. W tym momencie słychać stukanie
klawiatury, czyli sekretarka sprawdza
w systemie, czy podane informacje są
prawdziwe. Atakujący może dodać dla
pewności, że chyba się przeziębił, bo ma
katar i głos mu się zmienia. Jaki będzie
wynik? Sukces! Dane personalne się
zgadzają, a zmodyfikowany głos został
w miarę racjonalnie wytłumaczony.
Wszystko zależy od dwóch elementów
– przygotowania merytorycznego oraz
umiejętności werbalnych i słownych.
Został tu podany typowy przykład
wycieku informacji w firmach i rozmaitych
instytucjach. Im bardziej rozbudowaną
organizację ma atakowany obiekt, tym
łatwiej ulega socjotechnikom. Przyczyna
jest niezwykle prosta. Otóż w dużych
zakładach osoby nie są w stanie poznać
każdego pracownika. Łatwo podszyć się
pod kogoś kim się nie jest. Perspektywa
ta jest dosyć przerażająca, zwłaszcza
jeśli dotyczy pilnie strzeżonych tajemnic
np. marketingowych, jak chociażby
nowa taryfa w danej sieci komórkowej.
W jaki sposób można tego uniknąć?
Należy mieć świadomość, że nawet
pojedyncza, nic nie znacząca informacja
dla socjotechnika jest bezcenna. Po
zebraniu takich danych może on stworzyć
profil danej osoby, co jak wiadomo
umożliwi mu atak. Sytuacjom takim
zawsze towarzyszy otoczka pozornego
bezpieczeństwa, ponieważ wprawny haker
potrafi przekonać ofiarę, że można mu
całkowicie zaufać. Niezbędne są szkolenia
pracowników w zakresie bezpieczeństwa,
procedur. Należy uświadomić im o jakim
zagrożeniu jest mowa. Nie wolno zdradzać
używanego w firmie żargonu, podawać
telefonów do innych pracowników, a
zwłaszcza numerów ich identyfikatorów.
Może okazać, że rozmówca będzie byłym
pracownikiem, doskonale znającym
panujące w zakładzie zwyczaje i przepisy
wewnętrzne. Koniecznie trzeba sprawdzić,
czy osoba za którą się podaje w
rzeczywistości nadal pracuje. Poważnym
błędem jest podawanie danych, kiedy
dzwoni rozmówca. Prawidłowo rozmowa
taka powinna zostać przerwana, a
rozmówca otrzymać telefon zwrotny.
Jeżeli odbierze, ryzyko oszustwa zostanie
znacznie zmniejszone. A co jeżeli przykład
wyłudzenia informacji nastąpi w banku?
Skutki mogą okazać się tragiczne. Do tej
pory nie braliśmy tego pod uwagę, ale
przecież haker może podszywając się
pod serwis komputerowy, przeprowadzić
wywiad na temat systemu operacyjnego,
zabezpieczeń, a nawet haseł dostępu!
Wydaje się to niemożliwe, jednak wiele
firm przeprowadza konserwacje systemów
w sposób zdalny. Oznacza to, że
pracownicy mają kontakt z informatykami
jedynie przez telefon. Niestety znajomość
informatyki w społeczeństwie nadal
jest na niskim poziomie i większość
związanych z nią terminów to magia.
Wyobraźmy sobie sytuację, że dzwoni
telefon. Pracownica odbiera. Głos
przedstawia się i mówi, że dzwoni z działu
informatyki, ponieważ było zgłoszenie
zawirusowania systemu lub konieczność
zainstalowania nowych sterowników dla
karty graficznej. Następnie przeprowadza
ankietę w sposób opisany powyżej, czyli
najpierw błahe pytania, a następnie
istotne dla włamania. Oczywiście uzyskuje
wszelkie informacje a z kont w niedługim
czasie znika potężna suma pieniędzy.
Do dzieła!
Nie istnieje uniwersalna technika ataku.
Sposób działający na każdą ofiarę. Haker
musi mieć przede wszystkim intuicję,
potrafić zachować spokój i opanowanie,
skoncentrować się na zaistniałej sytuacji.
Każdy niepożądany odruch może
zaprzepaścić dotychczasowe działania.
Istnieje jednak kilka metod dających
pewne podstawy ułatwiające atak. Wybór
odpowiedniej znacznie zwiększa szanse na
sukces. Należy jednak pamiętać, że każda
z opisanych poniżej metod jest formą
ataku bezpośredniego, co w mniejszym
lub większym stopniu naraża socjotechnika
na schwytanie. Niestety sztuka ta zostaje
najczęściej wykorzystywana w celu
zdobycia poufnych informacji, co w
przeważającej części przypadków jest
niezgodne z prawem. Zacznijmy jednak
od najprostszego sposobu na zdobycie
informacji – wywiadu.
Nie jest to jednak wywiad rozumiany
jako gatunek dziennikarski. W praktyce z
pewnością forma ta by się nie sprawdziła.
Chodzi raczej o wypytanie danej osoby,
ale zrobienie tego w taki sposób aby
nie nabrała ona podejrzeń. Kluczem do
sukcesu jest oczywiście odpowiednie
dobieranie słownictwa i układanie
pytań w takiej kolejności, aby zasypać
informatora błahostkami, natomiast
te kluczowe pytania zadać dopiero w
połowie rozmowy. Nigdy nie kończymy
po uzyskaniu satysfakcjonujących
odpowiedzi, ponieważ pracownik, z
którym była prowadzona rozmowa
natychmiast zacznie o niej rozmyślać i
nabierze podejrzeń. Podstawowa zasada
w przypadku socjotechniki mówi, że
20
POCZATKI
HAKIN9 7-8/2009
SOCJOTECHNIKA
21
HAKIN9
7-8/2009
nie powinno się zatrzaskiwać za sobą
wszystkich drzwi. Nigdy nie wiadomo
czy nawiązane kontakty nie okażą
się potrzebne w przyszłości. Zawsze
kończymy wywiad niezobowiązującą
rozmową lub pytaniem, na które
odpowiedź jest oczywista i jawna. Jakie
preteksty są najczęściej wykorzystywane
podczas takich rozmów? Zasadniczo
można wyróżnić dwa, chociaż realnym
ograniczeniem jest tylko wyobraźnia i
zdolności osoby wyłudzającej informacje.
Pierwsza to powołanie się na biuro
zarządu firmy, dyrekcji lub prezesa, np.
Dzień dobry! Mówi xxx z biura zarządu.
Dzwonie w bardzo pilnej sprawie....
Tekst ten musi zostać wypowiedziany
pewnie i stanowczo, a jednocześnie
socjotechnik musi znać personalia
osoby, na którą się powołuje. Można
też udawać roztargnionego i odrobinę
zestresowanego pracownika, który musi
podać informacje swojemu szefowi.
Niestety nie zna ich, ponieważ zepsuł się
komputer (został zawirusowany, awaria
dysku twardego itd.) lub zgubił notatki.
Metoda ta odegrana z odpowiednią
dramaturgią okazuje się niemalże zawsze
skuteczna.
Druga metoda polega na stworzeniu
pozornego zaufania. W momencie, gdy
pracownik uzna, że dana osoba jest
wiarygodna atak zostanie uwieńczony
pożądanymi informacjami. Socjotechnik
ma świadomość podejrzliwości dla
nieznajomych oraz pewnego rodzaju
oporów związanych właśnie z brakiem
zaufania. Nie jest jednak prawdą, że ludzie
są nieufni z natury. Doświadczeni hakerzy
nastawiają się na pokonanie dystansu
dzielącego socjotechnika i ofiarę. W
pewnych sytuacjach warto zaplanować
tok rozmowy. Jest oczywistym, że w
praktyce przebiegnie ona nieco inaczej,
jednak świadomość konkretnego planu
zapobiegnie wpadnięciu w panikę w
momencie wpadki. W jaki sposób zdobyć
zaufanie pracownika lub pracownicy?
Trudno ujednolicić odpowiedź na to pytanie,
ponieważ nie istnieje jeden czynnik, który
mógłby to zagwarantować. Na sukces
składa się zespół wielu rozmaitych cech,
zachowań, a nawet wygląd socjotechnika.
Choć kobiet zajmujących się socjotechniką
jest zdecydowanie mniej niż mężczyzn,
mają one niezwykły dar przekonywania
i już sam głos kobiecy może przełamać
barierę podejrzliwości. Wyobraźmy sobie
sytuację, że dzwoni mężczyzna i prosi
o pomoc. Dokładnie zna imię osoby, z
którą rozmawia. Tłumaczy, że niezbędna
jest mu pomoc, a on sam pracuje w
innym wydziale tej samej firmy. Rozmowa
przebiega w niezwykle miłym tonie,
natomiast ofiara nabiera coraz szybciej
przekonania, że atakujący jest przemiłą
osobą. W jednej chwili z tajemniczego
nieznajomego staje się sympatycznym
kolegą z pracy. Po uzyskaniu pożądanych
informacji warto ofiarować swoją pomoc
w przyszłości. Może to być zdanie w
stylu: Bardzo Ci dziękuję. Bez Twojej
pomocy nie wiem co bym zrobił. Gdybyś
potrzebował mojej pomocy dzwoń śmiało
na ten numer.... Oczywiście pod podanym
numerem nie będzie przemiłego hakera,
z którym rozmawiał pracownik. Dlaczego
takie sytuacje mają miejsce? Ponieważ
ludzie w czasach, kiedy każdego dnia setki
ludzi zostają oszukane w dziesiątkach
dziedzin życia społecznego, w dalszym
ciągu w to nie wierzą. Wystarczy użyć
fachowej terminologii, np. ... wyślij mi proszę
projekt BlueSun, ... połącz mnie z Janem.
Pracuje w dziale X na trzecim piętrze albo
... padł nam serwer FastMaster. Wyślij mi
hasła to spróbuję to naprawić. Myślisz, że
to nie może być prawdziwe? Niestety to
prawda – ludzie są naiwni.
Inna technika opiera się na tzw.
socjotechnice zwrotnej. Polega ona na
sprowokowaniu takiej sytuacji, żeby ofiara
sama skontaktowała się z hakerem i
poprosiła o pomoc. Oczywiście haker
staje się fikcyjną postacią i występuje
w tej roli pod przybranym nazwiskiem.
Może się zdarzyć, że ofiara odkryje próbę
ataku i będzie starała się wydobyć jak
najwięcej informacji o socjotechniku. W
takim wypadku role zostaną odwrócone.
Typowym przykładem pierwszej wersji
tej metody jest sytuacja, w której do
firmy dzwoni haker – socjotechnik.
Przedstawia się jako informatyk i tłumaczy,
że wystąpił problem z systemem i może
to zagrozić utratą danych. Można jednak
temu zapobiec instalując specjalną
łatę bezpieczeństwa. Pracownik po
krótkich przemyśleniach sam prosi o
przesłanie programu. Haker spełnia
prośbę i instruuje w jaki sposób należy
zainstalować poprawkę. Niewinna sytuacja,
a jednak pracownik nie ma pojęcia, że
właśnie ujawnił wszystkie dane firmy. W
rzeczywistości program był trojanem, a
dokładniej jego serwerem. Teraz w prosty
sposób, korzystając z trojana – klienta,
atakujący przeszukuje zawartość dysku
twardego komputera firmy. Doskonałym
obiektem ataków są nowi pracownicy,
ponieważ nie znają oni jeszcze całej kadry.
Wystarczy dowiedzieć się kogo przyjęto w
ostatnim czasie i na nim skoncentrować
atak. Dodatkowo osoby takie chcą
pokazać się od najlepszej strony, są
miłe i uczynne. Aby uniknąć tego typu
sytuacji konieczne są częste szkolenia
pracowników w zakresie bezpieczeństwa.
Wspominaliśmy już o tym jednak działania
takie to podstawa funkcjonowania firmy. Nie
pomogą programy antywirusowe i ściany
ogniowe (i tak mało kto z pracowników
potrafi je obsłużyć) w sytuacji, gdy
pracownicy nie wiedzą jak rozpoznać atak
socjotechniczny i co w takich sytuacjach
zrobić. Na wyobraźnię najdobitniej działa
groźba formatowania dysku. Jeżeli dana
osoba usłyszy, że dysk twardy musi
zostać sformatowany, ponieważ wirusa
nie można usunąć, natychmiast zacznie
myśleć o ratowaniu swoich danych. Dla
socjotechnika otwiera się szeroki wachlarz
możliwości. Należy jednak pamiętać, że
nie wolno pod żadnym pozorem podawać
obcej osobie (zwłaszcza przez telefon)
poufnych informacji, np. loginów i haseł,
kodów PIN itd. Warto także po każdej
podejrzanej sytuacji zmienić hasło. Dzięki
temu, nawet jeśli pracownik padnie
ofiarą ataku, uniknie go w przyszłości.
Gdzie można spodziewać się ataku
na firmę? Odpowiedź jest prosta, w
każdym jej sektorze. Niektóre z obszarów
funkcjonowania danej firmy są strzeżone
doskonale, natomiast inne prawie w ogóle.
Pierwsze ataki z oczywistych względów
zapewne nastąpią na te drugie. Jeśli firma
uznała segment za mniej ważny oznacza
to, że pracownicy są tam mniej przeczuleni
na ataki socjotechniczne, uważając
posiadane informacje za nieistotne.
Kolejna taktyka to wprowadzanie
ofiary w zakłopotanie, zdenerwowanie,
a nawet wściekłość. Załóżmy, że
znamy podstawowe dane osoby
odpowiedzialnej w firmie za przelewy, np.
wypłat pracowników. Chcemy natomiast
poznać informacje dotyczące pracownika
20
POCZATKI
HAKIN9 7-8/2009
SOCJOTECHNIKA
21
HAKIN9
7-8/2009
nazywającego się Jan Kowalski. Sprawa
jest prosta. Wystarczy zadzwonić do
niego, poinformować, że zgodnie z
jego życzeniem cała wypłata została
przelana na inne, fikcyjne konto. Jaki
będzie efekt? Natychmiastowy wybuch
wściekłości Jana. Aby załagodzić sprawę,
socjotechnik zaczyna się tłumaczyć
(oczywiście wszystko zgodnie z planem)
i proponuje, że naprawi szkodę. Niestety
do tego potrzebne mu będzie kilka
informacji. Teraz atakujący bez skrupułów
wyciąga z pracownika wszystko co go
interesuje. Po kilku minutach oddzwania i
mówi, że wszystko udało się przywrócić.
Zarówno haker jak i ofiara są zadowoleni,
ponieważ osiągnęli cele. Przeraża
łatwość z jaką socjotechnicy potrafią
zdobywać informacje. Nawet te bardzo
strzeżone, z klauzulą tajności. Jak można
się przed tym uchronić? Po pierwsze
skuteczną metodą potwierdzenia
tożsamości osoby dzwoniącej jest
wspomniane już oddzwonienie na numer
pracownika. Nawet jeśli nie odbierze i
włączy się automatyczna sekretarka,
będzie to pomocne, ponieważ umożliwi
porównanie obu głosów (dzwoniącego i
nagranego na sekretarkę). Drugą kwestię
stanowią identyfikatory pracowników.
Ponieważ większość firm używa ich
do potwierdzania tożsamości, należy
nadać im charakter poufny. Bardzo
niewiele danych potrzeba, aby uznać
nieznajomego za jednego z pracowników.
A przecież większość tych informacji
można zdobyć w ciągu kilku chwil!
Przeprowadzane szkolenie powinno w
dużym stopniu położyć nacisk na zbytnią
ufność. Te same zasady dotyczą również
administratorów sieci wewnętrznych,
a nawet pracowników ochrony. To
jednak nie wszystko. W ostatnim
czasie niezwykle modne stało się
instalowanie skomplikowanych urządzeń,
których zadaniem jest uwierzytelnianie
pracownika. Niestety dla doświadczonych
hakerów – socjotechników pokonanie
tego typu zabezpieczeń to tylko kwestia
czasu. Mają one zatem sens jedynie, kiedy
działają w tajemnicy. Zdradzenie intruzowi
rodzaju zabezpieczeń z jakich korzysta
firma, daje mu możliwość odpowiedniego
przygotowania do ataku.
Czy jest ktoś, kto oprze się pokusie
odebrania prezentu? Prawdopodobnie
niewielu. Początkujący hakerzy zastanawiają
się w jaki sposób zainstalować u kogoś
trojana. Rozwiązanie jest tak banalne, że
mało kto na nie wpada. Wystarczy założyć
fikcyjne konto e-mail, mające w nazwie
atrakcyjny login. Następnie wystarczy
wysłać wiadomość do potencjalnej ofiary
wraz ze stosownym załącznikiem (czyli
serwerem trojana). W treści wystarczy
wpisać, że informacje zostały wysłane
w postaci takiego pliku ze względu na
zmniejszenie objętości. Doświadczenie
pokazuje, że pomysłowość nie zna granic.
Ilu socjotechników, tyle wiarygodnych
historii, które kuszą i sprawiają, że ofiara
zawsze klika na załącznik. Załączniki
to jednak nie wszystko. Coraz częściej
pojawiają się fałszywe strony internetowe
lub wyskakujące okienka. Mechanizm
działania jest identyczny jak w przypadku
wiadomości e-mail. Muszą być kolorowe,
zawierać atrakcyjne zdjęcia, na których
znajdują się uśmiechnięci ludzie (rzekomi
zwycięzcy rozmaitych konkursów itp.). Być
może stwierdzenie, że każdy wpada w
sidła hakerów – socjotechników byłoby
mocno przebarwione. Prawdą jest jednak,
że w pułapkę wpada ogromna liczba
pracowników, urzędników i użytkowników
sieci. W ten sposób rozprzestrzeniły się
jednak z najgroźniejszych wirusów, np. Love
Letter, Anna Kurnikova.
Swojego czasu modne były
ogłoszenia zamieszczane właśnie przez
socjotechników, które informowały, że
autor odkrył metodę na włamywanie się
do kont e-mail. Polegało to na wpisaniu w
tytule i treści określonej frazy, a następnie
wysłanie takiej wiadomości na podany
adres e-mail. Na czym polegała sztuczka?
W treści trzeba było wpisać login i hasło
do własnego konta oraz login do konta
innej osoby. Loginy można wytłumaczyć,
ale po co hasło? Twórcy tłumaczyli, że
są one niezbędne do jakiejś tajemniczej
weryfikacji. Jakie były skutki? Setki naiwnych
użytkowników Internetu wysyłało informacje
o własnych kontach na adresy e-mail
przygotowane przez hakerów, którzy w ten
sposób mieli do nich całkowity dostęp.
Bardziej złośliwi zmieniali swoim ofiarom
hasła i dzięki temu uniemożliwiali dostęp.
Przypadek ten pokazuje w jaki sposób
można wykorzystać chęć posiadania
wiedzy zastrzeżonej dla nielicznych.
Niestety ludzie lubią podążać do celu
możliwie najkrótszą drogą i często kończy
się to tragicznie.
Choć mogłoby wydawać się, że
przedstawione powyżej sytuacje wyczerpują
temat, niestety tak nie jest. Dlaczego ludzie
posiadający duże doświadczenie w pracy,
osoby które ukończyły renomowane,
wyższe uczelnie ulegają oszustwom
socjotechników? Być może wpływa na
to nadmierna świadomość istniejących
zagrożeń. Jest ich tak wiele, że z czasem
pracownicy zaczynają je lekceważyć,
ponieważ od dłuższego czasu i tak nic się
nie wydarzyło. Na taki moment czekają
socjotechnicy. Ich dodatkowym atutem
jest niezwykła umiejętność rozpraszania
myśli swojej ofiary. Pozwala to na szybkie
przemycenie swojej wersji historii do
świadomości danej osoby. Dzięki temu
szybko zostaje nawiązana nić porozumienia
i osiągnięty cel.
Podsumowanie
Artykuł miał na celu wskazanie najczęściej
stosowanych przez hakerów technik
oszukiwania ludzi oraz kilka porad, dzięki
którym można uniknąć problemów. Niestety
w dalszym ciągu ostrożność nie jest
największym atutem firm. Wyrzucają one
śmieci i dokumenty zawierające wszelkie
niezbędne informacje pozwalające na
przeniknięcie nieznajomego do wewnątrz.
Nagle okazuje się, że osoba której nikt
wcześniej nie widział staje się najlepszym
kolegą i poznaje wszelkie tajemnice
dotyczące przyszłego celu. Dopóki firmy i
urzędy nie uświadomią sobie, że stosowane
zabezpieczenia są niewystarczające, gdyż
problemem jest człowiek, socjotechnika
będzie rozkwitać. Hakerzy natomiast
zamiast tracić czas na skomplikowane
zapory i systemy autoryzacji, po prostu
zadzwonią prosząc o login i hasło niczego
nie podejrzewającego pracownika. Czy
jest on naiwny? Zdecydowanie nie, jest
nieprzeszkolony. Uważasz, że Twoja firma
jest bezpieczna? Mylisz się, ponieważ
każdego dnia uchodzą z niej cenne
informacje. Powiedz STOP! Zorganizuj
szkolenie!
Łukasz Ciesielski
Autor od lat zajmuje się systemami z rodziny Linuksa,
zwłaszcza Debianem i Slackware. W wolnych chwilach
pisze programy w C/C++, Javie, Pythonie, Pascalu (także
z wykorzystaniem bibliotek Qt i GTK). Od kilku lat autor
zajmuje się zabezpieczeniami sieci i systemu.
Kontakt z autorem: lucas.ciesielski@o2.pl.