dnes je 29.3.2024

Input:

Lidský faktor v bezpečnosti informačních systémů, sociální inženýrství

10.12.2014, , Zdroj: Verlag Dashöfer

6.5.4
Lidský faktor v bezpečnosti informačních systémů, sociální inženýrství

RNDr. Dagmar Brechlerová, Ph.D., České vysoké učení technické v Praze, Fakulta biomedicínského inženýrství, Kladno

Člověk jako zásadní riziko při použití informačních technologií

Bezpečnost informačních systémů zdaleka není jen záležitostí technickou, velmi významným prvkem této (ne)bezpečnosti je totiž prvek lidský. Lze dokonce říci, že člověk je obvykle stále nejslabším článkem informačního systému.

Některé statistiky uvádějí, že 50–80 % ztrát informací je způsobeno managementem vlastní organizace. Důvody jsou prosté: zatímco řadový pracovník může mít některé přístupy omezeny, management organizace potřebuje mít přístup co nejširší. Z toho vyplývá riziko pro porušení důvěrnosti informací, což je ovšem jen jedno z hledisek informační bezpečnosti. Personál organizace může být zranitelný také kvůli hrozbám tzv. sociálního inženýrství (viz dále), kdy útočník prostřednictvím promyšlené manipulace zneužívá přirozené důvěřivosti člověka. Vzhledem k tomu, že úroveň technických zabezpečení se stále zvyšuje, útočníci se stále více orientují právě směrem ke zneužití lidského činitele, kde jsou často velmi úspěšní.

Nutno zdůraznit, že zajišťování bezpečnosti informací není pouze otázkou zajištění důvěrnosti informací. Dalšími dvěma základními pilíři informační bezpečnosti jsou dostupnost a integrita informací, přičemž je nutné zajistit všechny tři tyto aspekty současně. Problém bezpečnosti je právě v tom, jak tyto základní požadavky vybalancovat.

Sociální inženýrství

Některým lidským selháním jde zabránit vhodným nastavením SW, je proto snaha vyvinout jej tak, aby řadu chyb vůbec neumožnil. V určitých situacích však lidské neznalosti, únavě, chybám, zlému úmyslu či důvěřivosti nelze technickými prostředky zabránit. Toho právě využívá sociální inženýrství, které zneužívá lidských emocí včetně zvědavosti.

Mezi časté netechnické způsoby útočníků patří dnes tzv. sociotechniky, nebo též sociální inženýrství (social engineering), které využívají lidských slabin v jednání. Sociotechnika je přesvědčování a ovlivňování lidí s cílem oklamat je tak, aby uvěřili, že útočník je někým jiným, a zmanipulovat je k vyzrazení informací nebo provedení určitých úkonů. Při těchto metodách se útočník pokusí oběť přesvědčit, aby prozradila nějakou významnou informaci. Např. neznámému člověku, který se představí jako správce systému, je sděleno heslo telefonicky nebo je vloženo do podvrženého formuláře apod. Často je dokonce cílem vyvolat u oklamaného přesvědčení, že udělal dobrou věc, někomu pomohl, např. své firmě, apod. Je možné, že útočník bude velmi dobře připraven, může jít i o útok skupiny více osob.

Nadbytečné a nebezpečné informace

Další metodou sociotechniků je získání původně zcela nevinné informace, z níž si pak útočník odvodí nějakou významnější informaci. Často mají organizace na svých stránkách řadu jednotlivých nedůležitých informací, z nichž je však možné odvodit další údaje pro organizaci životně důležité, které by jinak tajila. Proto pokud sociotechnik připravuje na nějakou organizaci útok, začne právě studiem internetových stránek, odkud získá jména, internetové adresy, případně telefony pracovníků firmy, šéfů atd. Pak je možno pokračovat na osobní stránky těchto lidí, kde bývají další zajímavé informace. I když je totiž v rámci bezpečnostní politiky dané organizace stanoveno, co smí a nesmí být na firemních stránkách, obvykle již nikdo nezjišťuje, co jednotliví zaměstnanci uvádějí na svých soukromých stránkách, na facebookovém profilu, s čím vstupují do diskusí na internetu apod. Ne všichni jsou natolik obezřetní, aby alespoň používali pro různé účely různé mailové adresy. Pro útočníka pak není složité dohledávat si přes vyhledávač různé informace a skládat si o oběti celkem přesný obraz.

Sociotechnické triky

Po získání základních informací je možno přistoupit k samotnému útoku, např. získat telefonicky nějaké významné informace. Nejsnazší je útok ve velké organizaci, kde se lidé navzájem neznají a kde je možno třeba zavolat novému zaměstnanci a přes něj se dostat k informacím. Útok prostřednictvím telefonu je zvláště nebezpečný proto, že oběť obvykle nemá čas ověřovat identitu útočníka ani pravdivost jeho sdělení.

Phishing

Phishing je druh internetového podvodu, jehož cílem je vylákat z uživatele citlivé informace jako např. číslo účtu, heslo, číslo karty a podobné citlivé položky. Při phishingu je uživatel manipulován k tomu, aby svá data zadal například na podvrženou stránku, a přitom je využito sociotechnik, které uživatele dovedou právě k využívání podvrhu. Útočník si vytvoří (respektive často odněkud zkopíruje) seznam
e-mailových adres, na něž je odeslána zpráva, která se tváří jako oficiální oznámení dané organizace – dosud nejčastěji finanční instituce. Pro útok jsou zatím vybírány hlavně známé banky, takže je vysoká pravděpodobnost, že část oslovených je klientem této banky a na útok reaguje.

Technické provedení tohoto útoku je bohužel velmi jednoduché. Jeho účinnost se podle dostupných informací pohybuje zhruba mezi 2–20 procenty. Tímto způsobem se dají snadno získat údaje, které pak slouží zejména k vybírání účtů, ale také

Nahrávám...
Nahrávám...