Documente Academic
Documente Profesional
Documente Cultură
INTELLIGENCE
George Lazăr
MSSC an 1
Cluj Napoca
2013
George Lazăr – Ingineria socială 2013
“If you know the enemy and know yourself, you need not fear the result of a hundred
battles. If you know yourself but not the enemy, for every victory gained you will also
suffer a defeat. If you know neither the enemy nor yourself,
you will succumb in every battle”
Sun TZU
INTRODUCERE
În trecut, informațiile secrete erau păzite fizic, prin prezența unor ofițeri înarmați sau
prin obstacole și bariere naturale sau artificiale. Se obișnuia practica scrierilor criptografice
sau a limbajelor inventate. Toate aceste măsuri au avut scopul de a împiedica accesul
neautorizat asupra informațiilor clasificate și păstrarea accesului autorizat doar în mâinile
câtorva persoane de încredere.
1
George Lazăr – Ingineria socială 2013
măsuri de securitate implică investiții în tehnologie de ultimă oră, cod sursă și personal
foarte bine pregătit.
1. INGINERIA SOCIALĂ
Conform definiţiilor, ingineria socială este un termen prin care se înțelege arta de a
influența, de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în
psihologia maselor de a-i face pe alții să gândească și să creadă ceea ce vrea un individ sau
un grup de indivizi 1.
1
Christopher Hadnagy, Social Engineering: The Art of Human Hacking, Wiley Publisher, 2010, p. 25.
2
Ibidem.
2
George Lazăr – Ingineria socială 2013
Pentru a avea o mai bună apreciere a ingineriei sociale, trebuie să înțelegem că este
un exercițiu psiho-social. Ingineria socială folosește declanșatori psihologici cu scopul
obținerii unei forme de putere sau influență asupra unei persoane. Folosind acești
declanșatori, victima este ușor convinsă să divulge informații sau să compromită integritatea
unor informații clasificate. Declanșatorii psihologici includ “strong affect”, suprasolicitarea,
reciprocitatea, relații bazate pe decepție, dizolvarea responsabilității și a obligației morale, a
autorității, integrității și consistenței (SANS). Declanșatorul “strong affect” se referă la
reacția umană de a trece peste parametrii logicii atunci când sunt supuși unui stres
emoțional puternic. De exemplu, dacă o victimă trăiește un sentiment puternic de frică,
euforie, exaltare, nervozitate, furie sau anticipație,atunci el sau ea este puțin probabil să
facă o analiză corectă asupra argumentelor prezentate de către atacatorul ingineriei sociale.
Inginerii sociali folosesc pretexte false pentru a crea o circumstanță în care victima sa este
inundată de emoții precum cea creată de vestea câștigării la loterie sau că un membru al
familiei are nevoie urgentă de ajutor, tocmai în ideea de a-i reduce abilitățile cognitive 3.
Reciprocitatea implică o practică socială foarte cunoscută, dacă cineva îți face o
favoare, fie că i-a fost solicitată sau nu, acea favoare va fi returnată. Inginerul social face o
favoare victimei bazându-se pe sentimentul de reciprocitate. Practica relațiilor deceptive
este folosită îndeosebi în cazul victimelor singure sau retrase, introvertite. Atacatorul
dezvoltă o falsă relație cu victima, pretinzând că ar avea multe în comun cu aceasta iar
victima consideră că a câștigat un prieten. Rezultatul acestei metode constă în ușurința cu
care victima divulgă informațiile cerute 4.
3
***, A Multi-Level Defense Against Social Engineering, SANS Institute, InfoSec Reading Room, passim.
4
Ibidem.
5
***, Social engineering and cyber attacks: The psychology of Deception , accesată prin
http://www.emc.com/collateral/white-papers/11456-soceng-wp.htm, la 27.06.2013.
3
George Lazăr – Ingineria socială 2013
avea un impact negativ asupra ei, astfel încât victima să se simtă în siguranță că nu va fi
trasă la răspundere. În acest caz victima poate fi convinsă că este obligația sa morală de a
ajuta un coleg din companie.
Autoritatea rămâne una dintre cele mai eficiente mijloace de obținere a informațiilor.
Oamenii sunt condiționați să respecte caracterul autoritar, în special cei care au o poziție
profesională de subordonare. Este foarte ușor pentru un practicant al ingineriei sociale să-și
asume vocea sau tonalitatea unui superior în cadrul unei convorbiri telefonice în vederea
obținerii de informații.
6
Paul Ekman, Emotions Revealed, Second Edition: Recognizing Faces and Feelings to Improve
Communication and Emotional Life, Holt Paperbacks, 2007, pp.81-92.
7
Christopher Hadnagy, op. cit., passim.
4
George Lazăr – Ingineria socială 2013
Apelul către suportul cu clienții este una dintre metodele clasice datorită
pregătirii și rigorilor impuse agenților atunci când vorbesc cu un client. Acești agenți de
suport tehnic sau comercial sunt o pradă ușoară pentru asemenea atacuri datorită
deschiderii pe care trebuie să o aibă față de clienți.
Cel mai cunoscut tip de inginerie socială bazată pe tehnica de calcul este
phishingul care se bazează în mod tradițional pe suportul oferit de către poșta
electronică. Utilizatorii sunt induși în eroare de link-uri ce par a fi oficiale însă sunt
defapt redirecționări către un formular ce colectează informații bancare și personale de
la utilizatori.
5
George Lazăr – Ingineria socială 2013
Un caz devenit deja celebru este al hackerului american Kevin Mitnick, declarat unul
dintre cei mai căutați hackeri ai tuturor timpurilor pentru săvârșirea infracțiunii de obținere
de acces neautorizat asupra convorbiriilor Biroului Federal de Investigații. Printre acuzații
se mai adaugă și atacuri la adresa Pentagonului, a departamentului de înmatriculări auto din
statul California, IBM, Motorola, Nokia, Sun Microsystems, Fujistu Siemens. Fiind într-un
secol în care social media nu exista, efectele sale nu s-au propagat atât de rapid încât să
ajungă la urechile celor care vroiau să exploateze acest avantaj în scopul săvârșirilor de
acțiuni ilicite și ilegale însă a creat suficiente daune financiare companiilor și imaginii
Biroului Federal de Investigații. Astăzi, o breșă de securitate la adresa FBI-ului ar putea
constitui o problemă de siguranță națională dacă modul de obținere a accesului neautorizat
ar cădea în mâini greșite.
8
Frank Stopa, The human skills: elicitation and interviewing, CreateSpace Independent Publishing
Platform, 2010, p. 10.
6
George Lazăr – Ingineria socială 2013
Educația rămâne una dintre cele mai efective metode de apărare împotriva ingineriei
sociale. După cum am mai specificat în rândurile anterioare, ingineria socială manipulează
atribute specifice luării de decizie a factorului uman. Apărarea împotriva atacurilor de
inginerie socială este de cele mai multe ori lasătă pe seama omului, ori oamenii de la orice
nivel sunt expuși și vulnerabili. Pe măsură ce ingineria socială se schimbă și educația
trebuie să țină pasul făcând din aceasta un proces continuu. 9
Membri unei organizații ar trebui să fie instruiți cu privire la cele mai prevalante
metode de inginerie socială, cum să identifice din timp trăsăturile acestui tip de atac și cum
să răspundă în fața acestor amenințări. Procedurile de raportare și de urmărire a unor
asemenea atacuri trebuie foarte clar trasate în politica de securitate a organizației. Potrivit
lui Thor Olavsrud, există câteva practici de bază care pot impiedica un atac de inginerie
socială. Acesta recomandă vigilența și analiza informației ce urmează a fi comunicată, să ia
în calcul împuternicirea pe care o are solicitantul, să fie atent la întrebările care nu se
potrivesc persoanei respective și pe care în mod normal nu le-ar adresa niciodată sau dacă
există un sentiment de presiune în ceea ce privește răspunsul la întrebări, bazați-vă pe
instinct și dacă există dubii consultați-vă cu un supervizor. Executând acești pași la nivel de
invid se pot preveni atacurile de inginerie socială. 10
9
Fail Fairhurst, The power of framing: creating the language of leadership, Jossey-Bass Publishing,
2010, pp.25-28.
10
Ibidem.
7
George Lazăr – Ingineria socială 2013
verificarea realității (SANS) 11. Potrivit Institutului SANS, personalul cheie sunt acei oameni
care au cel mai frecvent contact cu publicul, fiind cei mai susceptibili tentativelor de
inginerie socială. Inocularea presupune instruirea în diferitele tipuri de argumente pe care
inginerii sociali vor încerca să le expună. Dacă membri unei organizații cunosc capcanele și
modul de operare al acestor atacatori vor fi mai pregătiți să acționeze corespunzător. În
plus, personalul cheie trebuie avertizat că argumentele unui inginer social vor fi
manipulative, deceptive, nesincere și că intenția acestuia este de a obține informații. În cele
din urmă, ceea ce Institutul SANS descrie ca o verificare a realității devine o necesitate. Cei
mai mulți oameni nu-și vor recunoaște propriile vulnerabilități de aceea este indicat și chiar
ideal să existe simulări ale atacurilor în vederea expunerii acelor slăbiciuni. De îndată ce o
persoană își recunoaște defectele/vulnerabilitățile în termeni de securitate procedurală, acea
persoană va fi mai puțin vulnerabilă unui atac 12.
11
***, A Multi-Level Defense Against Social Engineering, SANS Institute, InfoSec Reading Room, passim.
12
Ibidem .
13
Ian Mann, Hacking the human, Gower Publishing, 2008, p.52.
8
George Lazăr – Ingineria socială 2013
de informații pentru care angajații au lucrat necontenit. Mai mult, un astfel de incident poate
fi privit de către angajați ca o lipsă de profesionalism a manangementului în ciuda
numeroaselor avertizări venite din partea angajaților. Luând în derâdere temerile unor
angajați cu privire la incidente de securitate pot pe viitor să ricoșeze rezultând demisia unor
oameni valoroși care nu se simt apreciați și ascultați atunci când au dreptate.
În cele din urmă, indivizii trebuie să se simtă împuterniciți pentru a verifica dacă o
acțiune sau o cerere pentru informații este legimită și autoritatea de a spune nu atunci când
măsurile de securitate nu sunt întrunite conform politicii de securitate. Din nou, subliniem
importanța aplicării regulilor tuturor indiferent de gradul acestora în interiorul organizației.
De cele mai multe ori, inginerii sociali obțin informațiile dorite în cea mai mare parte
datorită aparenței de autoritate aspect care nu este contestat de subordonați, aceștia fiind
instruiți să execute ordine și să fie obedienți. Dacă membri unei organizații știu că sunt
sprijiniți de către management în ceea ce privește aplicarea procedurilor de securitate, cu
siguranță aceștia se vor asigura că sunt îndeplinite corect, conform politicilor de securitate.
9
George Lazăr – Ingineria socială 2013
CONCLUZII
Inginerie socială este la ora actuală una dintre cele mai mari amenințări la adresa
securității unei organizații fiindcă mută focusul de pe online în offline, apelând la elemente
de psihologie individuală și de masă. O accentuare al acestui fenomen ar crea și probleme
de natură socială datorită lipsei generale de încredere sau și mai corect spus, datorită
sentimentului atacatorului de reușită prin minciună, decepție și manipulare.
Ingineria socială poate fi catalogată drept o problemă de securitate națională dacă obținerea
de informații clasificate și distribuirea lor naște tensiuni ce pot escalada.
10
George Lazăr – Ingineria socială 2013
BIBLIOGRAFIE
11