Legătura slabă în securitatea cibernetică: factorul uman

Legătura slabă în securitatea cibernetică: factorul uman

714

«Dacă îți cunoști inamicii și te cunoști pe tine însuți, nu trebuie să-ți fie frică de rezultatul a o sută de bătălii» Sun Tzu, Arta războiului, cartea a III a.
Ca și în secolul VI î.e.n., și astăzi rolul cunoștinţelor și informaţiilor este esenţial în luarea de decizii la nivel funcţional și strategic. În era IoT (Internet of Things) și a comunicaţiilor digitale, care este valoarea informaţiilor voastre și cât sunt acestea de securizate?
De fapt, puterea informaţiilor este bine cunoscută de companiile moderne, care dispun de analiști care să eva- lueze competiţia (Business Intelligence), de specialiști în securitatea fizică pentru a preveni accesul neautorizat în corporaţie, și de soft-uri tehnologic avansate care să prevină intruziunea infractorilor cibernetici. Dar, din păcate, nu este suficient pentru a proteja compania și a preveni accesul nedorit.
Evident, toate contramăsurile sunt inutile atunci când atacurile utilizează metodologii care pot ocoli toate procedurile menite să protejeze bunurile. De fapt, chiar și cele mai sofisticate încuietori din lume pot fi deschise cu ușurinţă dacă proprietarul îţi dă cheia, fără să-și dea seama. Din aceste motive, cei mai buni hacker-i combină „forţa brută” tehnologică, cu ingineria socială, pentru a le facilita accesul într-un sistem prin înșelăciune.
Faimosul hacker și expert în ingineria socială, Kevin Mitnick, descrie ingineria socială ca „utilizarea influenţei și a persuasiunii pentru a-i înșela și manipula pe alţii, prin convingerea acestora că cel care se ocupă de așa ceva este altcineva decât este”. Alţi autori definesc ingineria socială ca „arta sau știinţa manipulării umane pentru a obţine informaţii confidenţiale și sensibile”.
Conform rapoartelor Clusit1 și Verizon2 pe 2016, așa numitele „metode de elicitare”, o serie de tehnici de colectare de date utilizate pentru a obţine cunoștinţe sau informaţii de la oameni, prin exploatarea slăbiciunilor comune ale comportamentului uman, au reprezentat cele mai critice aspecte în securitatea informaţiilor în 2015. Printre cele mai cunoscute tehnici se numără phishing-ul, mail-uri în sine inofensive trimise cu scop de fraudă, destinate să instaleze printr-un simplu „click” malware pe calculatorul vostru și să vă fure credenţiale private.
Nu subestimaţi apelurile telefonice de la colegi suspecţi (în companiile mari este dificil să cunoști pe toată lumea) menite să obţină informaţii confidenţiale. Ceva mai complicat, dar nu mai puţin utilizată ca metodă, este așa numita „plonjare în tomberon” („Dumpster diving”) – scotocirea prin gunoi în căutarea de informaţii -, „momeala” („Baiting”) – abandonarea în anumite locuri, cum ar fi lift, baie sau hol, a unor dispozitive infectate, de genul stick-urilor USB, care odată conectate la calculator instalează programe maliţioase -, „umbra” („Tailgating”) – urmărirea îndeaproape a cuiva care are permisiunea și abilitatea de a intra în zone private, pentru a obţine o intruziune ilegală – și în cele din urmă „spionarea peste umăr” („Shoulder surfing”) – spionarea victimei din spate pentru a-i fura credenţialele de acces la sistem, adesea victima este urmărită atunci când își utilzează smartphone-ul sau când își introduce PIN-ul la un ATM sau la un POS. Aceste tehnici reprezintă doar preludiul unui atac cibernetic, pentru violarea confidenţialităţii, integrităţii și disponibilităţii informaţiilor3.
În consecinţă, faptul esenţial care trebuie înţeles este că achiziţionarea unor informaţii aparent neimportante permit adesea infractorilor cibernetici să ocolească contramăsurile sistemice. Kevin Mitnick spune:„de ce să pierzi timpul cu strategii elaborate când poţi printr-un simplu apel telefonic să obţii informaţii de la oameni nevinovaţi și neavertizaţi și să le folosești pentru a deschide ușa.”
Până și cei mai bine pregătiţi oameni pot cădea în capcana ingineriei sociale, deoarece cele mai utilizate slăbiciuni se bazează pe prejudecăţi comportamen- tale și cognitive (scurtături și euristică) care conduc la o evaluare incorectă, profitând de evaluarea eronată a informaţiilor deţinute. Omul este infailibil și emoţiile umane pot fi adesea exploatate împotriva utilizatorilor și organizaţiei.
Prin urmare, până și cei mai bine pregătiţi utilizatori pot cădea victime. Este celebru cazul directorului CIA, John Brennan, căruia i-a fost compromis email- ul. De fapt, în octombrie 2015, un grup de hacker-i denumit CWA (Crackas With Attitude), prin tehnici de inginerie socială și în urma unor discuţii cu ingineri de la renumitul furnizor american de comunicaţii Verizon, au pătruns în contul de email al victimei de pe AOL (American Online), preluând administrarea contului și accesul la documente relevante și sensibile.
Atacurile prin inginerie socială pot produce nu doar pierderi economice dar pot afecta și reputaţia prin impactul asociat, care în multe cazuri este cu mult mai mare și care poate afecta serios stabilitatea organizaţiei.
Aceste fenomene trebuie să facă parte din cultura de securitate, instruire și conștientizare a angajaţilor în privinţa ameninţărilor existente, comportamentului riscant și a celor mai bune practici. Evident, fără a ne- glija contramăsurile tehnice cum ar fi scanarea email-urilor, update-urile de software, verificarea angajaţilor, utiliza- rea criptării, a firewall-urilor și a sistemelor de detectare a intruziunilor.
Pentru a reduce efectiv riscurile unor astfel de atacuri, trebuie să adoptaţi metode de instruire interactivă pen- tru angajaţi, prin „analize”, „interpretarea de roluri”, simulări, supervizate în permanenţă de un corp de control, căruia angajaţii să îi poată raporta și căruia să îi poată pune întrebări despre situaţiile dubioase care pot apărea în activitatea lor. Tehnicile folosite de atacatori sunt bine puse la punct și exploatează scheme de persuasiune4, care în absenţa unei instruiri corespunzătoare pot păcăli pe oricine.
© Cybersecurity Trends multumește autorului și GCSEC Newsletter, unde a fost publicat articolul în premieră, în limba engleză (numărul din octombrie 2016).

Note:

1 CLUSIT – Italian Association for information security, Report 2016, https://clusit.it/rapportoclusit/
2 Verizon’s 2016 Data Breach Investigations Report, http://www. verizonenterprise.com/verizon-insights-lab/dbir/2016/
3 Isabella Corradini, Luisa Franchina, Social Engineering: technological and human aspects, Themis Edition
4 R. B. Cialdini, Influence: The Psychology of Persuasion, 1984

autor: Michele Gallante,

GCSEC

Michele este un avocat practicant înscrisîn ordinul avocaților din Roma. După o diplomă de jurist obținută la Universitatea Roma Tre, a elaborat o teză de cercetare cu titlul „Dileme juridice privind utilizarea dronelor în conflictele armate” la Universitatea din Washington, secția juridică, Seattle, USA. După studii, a obținut un Master în «Homeland Security» în campusul universitar Bio-Medico din Roma, unde a aprofundat aspecte privind problemele de securitate, protecţia datelor şi confidenţialitate. În prezent este cercetător în cadrul Fundaţiei Global Cyber Security Center (Poste Italiene), cu privire la problematici juridice privind siguranța informatică.