Najslabija karika

Tvrdnja da je čovek najslabija karika u lancu bezbednosti informacionog sistema zvuči kao šala, ali je ta šala mnogima presela. Zato uz sve rutere, firewall‑ove i bezbednosne programe morate obezbediti da svi zaposleni poštuju pravila koja će učiniti sistem otporni(ji)m na napade bazirane na socijalnom inženjeringu.

Do 2020. godine odrašće čitava generacija koja je spoznala život u primarno digitalnom svetu ili, kako je još nazivaju, „Generacija C“ (Connected). Nova pokolenja zasnivaće svoj život na informaciono‑komunikacionim tehnologijama, kao i tehnologijama koje će tek biti razvijene, najverovatnije na postulatima veštačke inteligencije. Sve aktivnosti koje čine našu svakodnevicu ubrzano se preslikavaju u virtuelni svet i unose novu dimenziju u postojanje ljudskog roda. Iako su promene prvenstveno pozitivne i podižu kvalitet čovekovog života, negativni aspekti, kao što su različite vrste kriminalnih i terorističkih aktivnosti, takođe se preslikavaju u sajberprostor.

Socijalni inženjering

Bezbednost u sajberprostoru postala je značajan faktor funkcionisanja informaciono‑komunikacionih sistema. Razvijeni su različiti softverski i hardverski bezbednosni mehanizmi koji manje ili više efikasno štite informacioni sistem od kompromitacije.

Treba imati u vidu da je korisnik sistema čovek koji je ograničen svojim evolutivnim razvojem, uprkos napretku Generacije C. Čovekov mentalni sklop nije u stanju da prati brzinu razvoja tehnoloških rešenja i postoji raskorak između naše percepcije stvarnosti i odvijanja događaja u virtuelnom svetu.

Metode uticaja na čovekovo razmišljanje, a samim tim i ponašanje, nauka je razvijala vekovima dok su metode uticaja na savremene informacione sisteme mlade koliko i sama tehnologija, a to je nešto više od pola veka. Imajući navedeno u vidu, postaje jasno da su mogućnosti uticaja na osobu daleko razvijenije od načina uticaja na informacione sisteme.

Socijalni inženjering predstavlja veštinu manipulisanja ljudima u cilju ostvarivanja željenih ciljeva. Često se koristi kao metod napada na informacione sisteme u cilju prethodnog prikupljanja informacij a o sistemu. Prema nekim procenama, čak 60 odsto kompanija i organizacija bilo je izloženo ovoj vrsti napada tokom 2016. godine, dok je taj procenat u bankama čak 80 odsto. Činjenica da gotovo sve armije i bezbednosne agencije razvijaju ogranke za sajberratovanje govore u prilog tvrdnjama da se takvi napadi shvataju veoma ozbiljno.

Trikovi obmanjivača

Metode koje se koriste u socijalnom inženjeringu postaju sve sofisticiranije. Robert Beno Cialdini, predavač na univerzitetima u Arizoni, Santa Kruzu i Stenfordu, postavio je šest osnovnih principa na kojima se zasniva socijalni inženjering.

Reciprocitet >> Ljudi se osećaju dužnim onim osobama koje nešto čine za njih ili im daju poklone i osećaju potrebu da im se na neki način oduže. Napadač u prvi mah uradi nešto za žrtvu, da joj neki poklon, pozajmi novac ili učini neku uslugu. Nakon toga, žrtva želi da učini nešto zauzvrat. Iz osećanja potrebe da uzvrati uslugu, žrtva može često biti izvor informacija ili postupaka koji kompromituju informacioni sistem, pogotovo ukoliko napadač to vešto inicira.

Socijalno dokazivanje >> Kada su ljudi nesigurni u vezi sa svojim postupcima ili poslovnim aktivnostima, osećaju potrebu da ostave utisak na okruženje da su samouvereni i da znaju šta rade. Upravo na toj prividnoj samouverenosti počiva mogućnost manipulacije žrtvom. S obzirom na to da žrtva nije sigurna šta treba da uradi u određenoj situaciji, biće sklona tome da uradi pogrešnu stvar, kojom se ugrožava informacioni sistem, kako bi ostavila utisak jake osobe pune samopouzdanja. Takvo ponašanje može biti izraženo na radnom mestu gde vlada konkurencija među zaposlenima. Vešt napadač može iskoristiti ovakvu situaciju ili je čak sam iskonstruisati.

Posvećenost i doslednost >> Ljudi ne vole da odustaju od dogovora. Pretpostavka je da će čovek učiniti nešto što se dogovorio s drugom osobom, bilo da je taj dogovor usmeni ili pismeni. To podrazumeva da žrtva ima časne namere od samog početka i da dogovor nije deo unapred smišljene prevare. Iz tog razloga, napadači za tu svrhu biraju časne osobe. One su dosledne u izvršavanju svojih obaveza i čvrsto se drže svojih stavova, sistema vrednosti i načela. Napadač veštom manipulacijom može ovakvoj osobi predstaviti aktivnost za ostvarenje svojih ciljeva kao nešto što je unapred dogovoreno i što je potrebno uraditi do kraja. Zbog doslednosti, žrtva može u drugi plan staviti razmišljanje o samoj aktivnosti i na taj način prevideti eventualno štetne posledice svog delovanja.

Sviđanje >> Ljudi vole da izađu u susret osobama koje im se sviđaju. Takođe, ljudi su skloniji da favorizuju one koji su fizički atraktivni zatim osobe slične sebi ili one koji im laskaju odnosno obilato dele komplimente. Čak i neke slučajne zajedničke karakteristike, kao što je recimo ime deteta, mogu povećati stepen naklonosti.

Autoritet >> Ljudi su naučeni da poštuju autoritete. Pojam autoriteta i njegovi pojavni oblici menjaju se tokom vremena i zavise od sredine u kojoj se posmatraju. Mogu se poštovati: titule, hijerarhijski položaj u organizaciji, oblačenje skupe odeće, vožnja luksuznog automobila, popularnost u javnosti i slično. Posebnu vrstu poštovanja autoriteta izazivaju uniformisana lica ili pripadnici bezbednosnih službi. Odavanje izgleda autoriteta napadači često koriste jer žrtva izvršava njihove naloge, a na štetu informacionog sistema, čak i ako su ti zahtevi nelegitimni.

Oskudnost >> U osnovi ekonomske teorije pojam nedostatka odnosi se na količinu ponude i potražnje: ukoliko je nečega manje, to je vrednije. Što je neka stvar ređa, to je više ljudi želi. Uzmimo primer osobe koja odlazi na posao i na travnjaku ugleda USB memorijski disk. Da li će ga uzeti i prvom prilikom pogledati šta se na njemu nalazi? Odgovor je: „Da, hoće“ i to potvrđuju različita istraživanja. USB memorija na travnjaku je retkost, za razliku od prodavnice računarske opreme gde ih ima napretek. Stoga osoba pridaje predmetu veću vrednost od realne. Na disku se može nalaziti zlonamerni softver koji je u stanju da nanese veliku štetu informacionom sistemu na koji bude konektovan.

Poznat je primer malicioznog softvera Stuxnet kojim su 2010. napadnuta iranska nuklearna postrojenja za obogaćivanje nuklearnog goriva. Maliciozni softver prenet je na sistem upravo putem USB memorije jer informacioni sistem nije imao vezu sa spoljašnjim svetom i čak se nije pouzdano znala ni lokacija samog postrojenja. Stuxnet je povećao broj obrtaja centrifuge za obogaćivanje nuklearnog goriva do tačke preopterećenja. Na taj način oštećena je oprema i naneta je znatna šteta iranskom nuklearnom programu.

Socijalni inženjering na delu

Pre primene nekog od opisanih načina napada, napadač će analizirati psihološki profil žrtve i sistem koji je predmet napada. Definisaće ciljeve napada, tj. šta je očekivani rezultat napada, kao i način kako će se dobijene informacije dalje koristiti u svrhu kompromitovanja sistema. Neke od najčešće korišćenih tehnika socijalnog inženjeringa su:

Pecanje >> koristi linkove ili skriptove inkorporirane u priloge e‑mail‑ova kako bi se žrtva navela da klikne na željenu lokaciju. Skript tada prikuplja podatke o žrtvi kao što su korisničko ime, lozinka i drugo.

Građenje scenarija za napad >> u kome napadač kreira situaciju u kojoj će žrtva reagovati na način na koji će otkriti željene informacije o sistemu.

Građenje i iskorišćavanje bliskosti sa žrtvom  >>  napadač se na neki način zbliži sa žrtvom ili koristi već postojeću bliskost radi prikupljanja informacija.

Nekoliko saveta

Posledice napada na informacione sisteme korišćenjem socijalnog inženjeringa mogu biti veoma ozbiljne. Najefikasnija odbrana jeste podizanje svesti o potrebi zaštite u sajberprostoru, o čemu svedoče masovni napadi korišćenjem ransomware virusa koji se takođe zasniva na aktivnosti korisnika. Zato:

  • Nikome ne otkrivajte svoje poverljive podatke, kao što su lozinka, PIN i slično.
  • Nikada ne otvarajte priloge u e‑mail‑ovima nepoznatih pošiljalaca.
  • Dobro razmislite pre nego što kliknete na bilo koji link.

dr Goran Kunjadić, specijalista za IT bezbednost