Linux Inside
52
Κοινωνική Μηχανική
Του Διονύση Συρμαλή <dsyrmalis@gmail.com>
Ο Διονύσης έχει πάντα ένα partition ελεύθερο για τη δοκιμή νέων διανομών.
Ταινία: Freedom
DownTime (2600)
Η
ασφάλεια των υπολογιστών και του Διαδικτύου στις
ημέρες μας είναι κάτι που επιδιώκεται απ’ όλους.
Τους απλούς και μεμονωμένους χρήστες απασχολεί
η τύχη των προσωπικών δεδομένων τους. Τις επιχειρήσεις
απασχολεί η ασφάλεια των οικονομικών συναλλαγών τους και
γενικότερα κάθε τομέας της δραστηριότητάς τους όπου χρη-
σιμοποιούνται υπολογιστικά συστήματα.
Για τους παραπάνω λόγους δαπανώνται τεράστια χρηματι-
κά ποσά για την ασφάλεια των δεδομένων, των υπολογιστών
και των δικτύων. Οι απλοί χρήστες πολλές φορές αλλάζουν
λειτουργικό σύστημα (π.χ., βάζουν Linux), αγοράζουν λογι-
σμικό για την αντιμετώπιση των κακόβουλων προγραμμάτων
και εγκαθιστούν κάποιο firewall. Στις επιχειρήσεις, ανάλογα
με το μέγεθός τους, αυτές οι προσπάθειες είναι πιο συστη-
ματικές. Μπορεί να αγοραστούν πανάκριβος εξοπλισμός και
λογισμικό. Σε κάποιες περιπτώσεις, ειδικά στο εξωτερικό, το
προσωπικό μπορεί να παρακολουθήσει και σεμινάρια σχετικά
με την ασφάλεια των συστημάτων τους.
Αρκούν όμως όλα αυτά; Η απάντηση είναι ξεκάθαρα όχι.
Αυτό που συνήθως διαφεύγει απ’ όλους είναι πως ο πιο αδύ-
ναμος κρίκος στην αλυσίδα που λέγεται ασφάλεια είναι ο αν-
θρώπινος παράγοντας. Οι άνθρωποι έχουμε αδυναμίες και
ελαττώματα. Κάποιες φορές δρούμε συναισθηματικά και επι-
πόλαια. Αυτά τα έμφυτα χαρακτηριστικά της ανθρώπινης φύ-
σης μπορούν να καταστήσουν εντελώς άχρηστο εκείνο το
πανάκριβο hardware firewall που καταξοδευτήκαμε για να
αποκτήσουμε ή τη διανομή που κοπιάζαμε τόσο καιρό για να
τη φέρουμε στα μέτρα μας.
Ακριβώς αυτές τις αδυναμίες της ανθρώπινης φύσης εκμε-
ταλλεύτηκε ο Kevin Mitnick, που έμελλε να γίνει ο διασημότε-
ρος hacker στον κόσμο,
φυσικά, με την αρνητική
έννοια του όρου. Και γι'
αυτό κατέληξε στη φυλα-
κή πρώτα το 1988 (για 12
μήνες) και, τέλος, το
1995 (
για πέντε χρόνια).
Όμως ο Mitnick δεν
ήταν απλώς ένας «μά-
γος» των υπολογιστών.
Κι αυτό γιατί, για να αποκτήσει πρόσβαση σε έναν server ή σε
ένα δίκτυο υπολογιστών, ο Kevin χρησιμοποιούσε κάτι που
λέγεται κοινωνική μηχανική. Και ήταν τόσο επιδέξιος σε αυ-
τήν, ώστε οι πράκτορες του FBI έφτασαν στο σημείο να ζητή-
σουν να μπει σε απομόνωση στη φυλακή, με τη δικαιολογία
ότι «μπορούσε να ξεκινήσει πυρηνικό πόλεμο, σφυρίζοντας
απλώς στο τηλέφωνο»! Βέβαια, όσοι θυμούνται τα παλιά
modems, καταλαβαίνουν ότι αυτό ήταν αδύνατο. Η ουσία
όμως παραμένει. Ο Mitnick πετύχαινε να πάρει αυτό που
ήθελε (πληροφορίες για να αποκτήσει πρόσβαση), απλώς μι-
λώντας στον κατάλληλο άνθρωπο.
Η Κοινωνική Μηχανική
Τι είναι όμως η κοινωνική μηχανική (social engineering) και
τι μπορούμε να διδαχθούμε από τον μεγαλύτερο hacker
όλων των εποχών; Ως κοινωνική μηχανική θα ορίζαμε τη διά
του λόγου χειραγώγηση κάποιου ατόμου ή ατόμων με σκοπό
την απόσπαση εμπιστευτικών πληροφοριών ή για την πραγ-
ματοποίηση κάποιων πράξεων που δίνουν πρόσβαση σε υπο-
λογιστικά συστήματα. Υπάρχουν διάφορες τεχνικές κοινωνι-
κής μηχανικής και όλες βασίζονται στην εκμετάλλευση των
ανθρώπινων αδυναμιών και προκαταλήψεων, δηλαδή των
bugs του ίδιου του ανθρώπου (δείτε το πλαίσιο «Τεχνικές Κοι-
νωνικής Μηχανικής»).
Στην πράξη, ένας ικανός κοινωνικός μηχανικός μπορεί να
αποσπάσει πληροφορίες που όχι μόνο δεν βάζουν σε υποψία
το θύμα, αλλά μπορεί να του δημιουργήσουν την ψευδαίσθη-
ση πως κάνει κάτι πολύ σημαντικό ή ακόμη και πως βοηθά
Mitnick: Ο διασημότερος hacker
και η Κοινωνική Μηχανική
Ο διασημότερος
κοινωνικός μηχανικός,
Kevin Mitnick.
Μήπως, τελικά, δεν αρκεί ένα ασφαλές λειτουργικό σύστημα και ο
πανάκριβος εξοπλισμός για την ασφάλεια των δεδομένων μας; Μήπως τα
χειρότερα bugs είναι στο ανθρώπινο «hardware»;