BLACKHOLE.sk

   Takze v tychto blogoch by som vas rad zoznamil so socialnym inzinierstvom a s jeho menej ci viac znamymi odvetviami. Serial bude mat maximalne 10 casti a budem sa ho snazit dopisat do letnych prazdnin. Niezeby som nemal moc casu, ale poznate to :) Najdite si 3 hodiny na napisanie clanku, ktory vam aj tak niekto nasledne znechuti. Budem cerpat prevazne z vlastnych skusenosti, zauzivanych metod, perfektnej Mitnickovej knihy, z ktorej zoberiem mozno par technik a ak budem potrebovat pripadne konkretny priklad, budem linkovat zdroje, aby sme tu nerozsirili povest plagiatorov. Kazda cast serialu bude mat konkretne zameranie (ako napr. v prvom je to zaklady-pojmy-historia-osoby). Aby som nezabudol, tak nakoniec samozrejme patri oblubene upozornenie: autor neruci za psychicku ujmu, ktoru tymto mozete sposobit vasim vhodne vybranym obetiam, ale odporuca azet. takze ak dovolite zacnem.

V prvej casti by sme si mali povedat hlavne o akom-takom socialnom inzinierstve (social engineering, sociotechnika) nielen v it svete. So socialnym inzinierstvom sa mozeme stretnut vsade - doma, na ulici, v obchode, praci ci skole. Mozte ho aplikovat (a pravdepodobne tak obcas, mozno nevedomky robite) na vasich znamych alebo neznamych pri potrebe zmanipulovat niekoho.

Pre lepsie pochopenie textu si ujasnime niekolko veci:
Socialne inzinierstvo je vlastne metoda, pri ktorej utocnik zmanipuluje osobu za ucelom vykonania urcitej cinnosti, pripadne ziskania udajov.
Socialny inzinier je clovek, ktory svojimi vedomostami, charizmou, inteligenciou alebo proste stastim manipuluje svoje obete.
Phishing (odvodene od fishing=lovit ryby) je metoda, pri ktorej sa utocnik snazi dostat od obete urcite udaje (najcastejsie id a heslo) manipulovanim (napr. vytvorenim fake stranky ceskej banky a rozposlanim emailu, v ktorom upozornime jej klientov, aby sa cez nasu fake stranku prihlasili pre overenie funkcnosti emailu).
Trashing (odvodene od trash = odpad, smeti) je metoda, pri ktorej dotycny utocnik vybera vyhodene (najcastejsie do smeti) najroznejsie spisy, kancelarske papiere a emaily, za ucelom ziskania co najvacsieho mnozstva informacii o danej firme. Myslim si, ze toto by nam co sa tyka pojmov malo v prvych par clankoch stacit.

Socialne inzinierstvo v realnom zivote?
Ako som uz spomenul, socialne inzinierstvo mozeme vidiet vsade. Povedzme, ze stojite v preplnenom autobuse, natlaceni na sedacky a ludi dookola. Vedla vas stoji 50 rocny milo vyzerajuci pan s palickou. Medzi vami sa uvolni miesto na sedenie na neurcitej zastavke a jeden z vas by sa mal postavit. Co takto povedat dotycnemu nieco ako "sadnite si vy pane, s tou palickou uz dlho nevydrzite" a zacat s nim viest rozhovor. Po minutke nenapadne primiesate do rozhovoru ze prave idete z nemocnice, alebo do nemocnice na operaciu kolena, pretoze nemozete poriadne ani stat bez pridrzania sa. Co urobi logicky pan, ku ktoremu ste boli zdvorili? Uvolni vam miesto. Popripade niekto, kto vas pocuva a stoji okolo. Neeticke? Zatial nerieste. Predstavme si dalsiu modelovu situaciu - sme na strednej skole a mame predstupit k odpovedi. Najprv zvazime par veci - da sa manipulovat s dotycnym ucitelom? Je ucitel priatelsky alebo nenavidi svoj zivot? Tieto odpovede ziskate jedinou cestou a to pozorovanim a naslednou dedukciou. Pozorovanie je pri sociotechnike velmi dolezite a pokial vieme odpozorovat a zapamatat si zdanlivo nesuvisiace fakty ci symboly, mozme sa vyvarovat mnohym odhaleniam a trapnym situaciam. Dalsia situacia: stojime v rade v obchodnom dome a v ruke drzime iba mlieko. Pred nami su pri kazdej pokladni ludia, chystajuci sa vykladat svoj privelky nakup na pas. Co urobite? V prvom rade pozorujete, vsimate si, aky typ cloveka stoji za kosikom - ma dieta? Ma mp3jku? Vyzera komunikativny? Ma partnera? Toto vsetko su veci, ktore si prebereme v jednej z nasledujucich casti serialu. Po vyhliadnuti vhodnej obete k nej pristupime (povedzme ze pre tento krat to bude pani s dietatom) a ponukneme jej svoju pomoc. "Nechajte tak, ja vam pomozem to vylozit. Urcite je to strasne tazke a ublizite si. Aj tak mam len mieko." Nenapadne vsuniete do rozhovoru to, ze za nou musite cakat cely cas pocas jej platenia tym, ze spomeniete, ze mate iba mieko. Co dotycna urobi? Pokial viete dobre zahrat situaciu, jednoznacne vas pusti. Tolko ukazky socialneho inzinierstva aplikovaneho na realny zivot.

Naco je socialne inzinierstvo dobre a ako ho moze vyuzit hacker?
Pokial utocnik potrebuje ziskat data o nejakej firme, pripadne neopravneny pristup, tym najlepsim sposobom je sociotechnika. Ako raz povedal Einstein: "Na svete su iba dve veci nekonecne. Vesmir a ludska hlupost. I ked tym prvym si niecom som isty." Tak toto mozeme potvrdit aj my. Najslabsim clankom kazdeho systemu, kazdeho serveru, kazdej firmy a organizacie na svete je clovek. System moze byt hocijako prespikovany odchytavanim, blokovanim, filtrovanim, vyhodnocovanim a analyzami, ked utocnikovi staci zavolat na ustrednu, predstavit sa ako udrzbar a dojednat si termin schodzky so serverom. Dajme tomu, ze mame skoro dokonale zabezpecenu firmu po "softwarovej" stranke. A teraz si predstavme sociotechnika, ktory caka na vhodnu prilezitost, z odpadkov pripadne telefonatom zisti podrobnosti o firme a pride pocas upratovania vstupnej haly s prosbou a mierne rozculeny, klopajuc na upratovacku nech mu otvori, pretoze sa potrebuje dostat surne po nejake spisy. Co urobi neskolena upratovacka? Vidi pana v obleku, ktory tvrdi, ze ma na tretom poschodi v oddeleni ktoreho nazov pozna kancelariu, od ktorej ma ona v ruke kluce a pan potrebuje surne spisy. A zaroven vidi nutnost a mozne problemy, pripadnu vypoved z neuposluchnutia zamestnanca. Otvori.

Tak, v prvej casti sme si ukazali co je sociotechnika, ako ju vyuzit a vysvetlili sme si niektore pojmy. Myslim, ze od dalsej casti mozeme zacat. Dufam, ze ju napisem hned zajtra.