Rajz: Tóth Róbert
Főnöknek adva ki magát, a főhős a Hacker című film egyik jelenetében elkéri a biztonsági őr jelszavát, így sikerül bejutnia a megcélzott tévétársaság rendszerébe és levetítenie kedvenc sci-fi tévésorozatának egyik epizódját. E korántsem életidegen filmbéli példa is mutatja: hiába védettek az informatikai rendszerek, ha felhasználóik nincsenek tisztában a biztonság értékével.
Érdekes felmérést végeztek pár éve az InfoSecurity Europe konferencia szervezői. Arra próbáltak rávenni embereket, hogy adják meg irodai számítógépeik jelszavát: döbbenetes, de a nagy többség erre valamilyen formában hajlandó is volt. (Igaz, akadtak óvatosabbak is: egy vezérigazgató például „csak” annyit volt hajlandó elárulni, hogy a lánya keresztnevét használja…) Kevesen fognak gyanút akkor is, ha például a rendszergazdaként bemutatkozó személy megkéri őket, változassák meg jelszavukat egy általa kijelölt szóra.
A Social Engineering
LÉNYEGE. Olyan informatikai- és más adatlopási technikák gyűjtőfogalma, amelyek során a hackerek és a szélhámosok nem elsősorban vírusokra, kémprogramokra vagy más technikai eszközökre, hanem az emberi hiszékenységre, a manipulálhatóságra építve szereznek meg jelszavakat, törnek be vállalati rendszerekbe, csapolnak meg bankszámlákat.
VÉDEKEZÉSI MÓDOK. • Mindig legyünk tudatában annak, hogy kinek milyen információt adunk ki. • Ha bizonytalanok vagyunk a másik személyazonosságában, akkor ellenőrizzük le – például javasoljuk, hogy visszahívjuk. • Ne használjunk „talált” adathordozót.
A hackerek egyre gyakrabban használják a technikai eszközök mellett a személyes adatokra vagy szélhámos módszerekhez hasonló manipulálási technikákra épülő informatikai adatlopás – az úgynevezett social engineering – eszközét. Erre egy Magyarországon tartott előadása során Martin Pivetta, a McAfee üzletfejlesztési menedzsere is felhívta a figyelmet. A hackerek célzott támadások előtt nem csak az információk végtelen tárházát nyújtó Google keresőoldalhoz fordulnak (amelyet egyébként 95 százalékuk használ ilyen célra), de a MySpace-hez vagy az iWiW-hez hasonló közösségi oldalakról, a blogokból, vagy éppen az adatbázisokba feltöltött önéletrajzokból is megpróbálnak minél többet megtudni kiszemelt áldozataikról. A megszerzett információ birtokában pedig könnyebben tudnak akár érzékeny adatokhoz is hozzájutni.
Hatványozottabban jelentkezik a pszichológiai felkészülés jelentősége vállalatok elleni támadások esetén. A hacker például fejvadásznak adva ki magát információhoz juthat a cég biztonsági rendszereiről, projektjeiről. Gyakori trükk a „kukabúvárkodás” is: a kidobott merevlemezekről visszanyert információ sokat érhet. Az emberi hiszékenységen is alapulhat támadás; egy ilyen módszer lehet, ha a kiszemelt cég parkolójában a hacker „egészen véletlenül” USB-meghajtókat felejt egy autó mellett a földön, vagy éppen liftben, mosdóban „hagy el” figyelemfelkeltő feliratú CD-ket. Ezeken az „izgalmas tartalom” mellett legtöbbször automatikusan települő billentyűzetfigyelő program található. A „szerencsés megtalálók” pedig nagy valószínűséggel vállalati számítógépeiken nézik meg az eszköz tartalmát, s észre sem veszik, hogy a hacker már megfigyeli a komputerüket.
Az emberi hiszékenységet használják ki az önmagukat más jellegű szoftvernek kiadó programok is. „Ezek valódi célja, hogy átvegyék a gép felett az irányítást” – figyelmeztet Gombás László, a Symantec magyarországi képviseletének rendszermérnöke. Az Errorsafe, a WinFixer és társaik internetezés során bizonyos weboldalak böngészésekor Windows rendszerüzenethez hasonló reklámokat jelenítenek meg. Az ilyen üzenetek arra „figyelmeztetik” a felhasználót, hogy valami gond van a gépével – például vírust talált rajta, vagy éppen a régebbi fájlok miatt túlságosan lassan működik -, de egy program letöltésével egy csapásra megoldhatja a problémát. Az ingyenes próbaverzió telepítése után a szoftver „felismer” pár problémát, ám jelzi, hogy azok megoldására csak a teljes értékű, megvásárlandó program képes. Így arra ösztönzik a felhasználót, hogy pénzt fizessen – egy kémprogramért!