Na samom početku svog studenstkog života imao sam veliku sreću i zadovoljstvo da upoznam ljude mojih godina koji programiraju od 7. razreda osnovne škole. Ti mladi ljudi bili su izuzetno uspešni programeri, što potvrđuju osvojene stipendije, svetska i nacionalna priznanja iz ove oblasti. Oni svojim znanjem doprinose razvoju nauke uopšte, ali i poboljšanju uslova života. S obzirom na takvu reputaciju u naučnom svetu, kao i na njihovu sposobnost i inteligenciju, naivno bi bilo pomisliti da oni ne mogu da dođu do neke šifre ili koda koji bilo ko koristi za ličnu zaštitu. Mnogo vremena provedenog za kompjuterom utrošenog u pisanju beskrajnih linija koda, u očima laika je dovoljno dobra predispozicija da jedan programer bude sposoban da otkrije tuđi „kod“ ili šifru. Zvuči logično. Ali nije baš tako.
Upravo družeći se sa ovim ljudima, ja sam, tek tada, ustvari upoznao za mene dotad nepoznate oblasti društvenih nauka. Verovatno se pitatekako.
Nemali broj puta bio sam prisutan kada su oni ljudima objašnjavali da se ne bave krađom šifri, da to, pored toga što je ilegalno, nije ni moralno, a i apsolutno im je nezanimljivo kao programerima. Njihov argument je bio da za to ne treba nikakvo posebno znanje iz tehničke oblasti. Cela stvar se izvodi pomoću socijalnog inženjeringa.
Socijalni inženjering? Šta je to?
Socijalni inženjering kao pojam prvi put je upotrebljen ne tako davne 1997. godine. Objašnjen je kao „umetnost i nauka navođenja ljudi da vam ispune želju“. Iako tek tada definisana, ova pojava je bila prisutna u drugačijim oblicima u istoriji ljudskog društva. Oduvek su postojali pokušaji uveravanja suprotne strane u tačnost iznetih podataka. Tako je ova pojava bila prvi put zabeležena u sudskim procesima prilikom uveravanja porote i sudija u nevinost ili krivicu lica kojem se sudi. Vremenom se ova pojava razvijala da bi danas predstavljala najlakši i najbolji način dolaska do mnogih informacija koje su definisane kao „tajne“.
Zašto je poznavanje socijalnog inženjeringa danas bitno?
S obzirom na to da nas mnogi nazivaju „internet generacijom“bitno je poznavati ovu pojavu da ne bismo postali žrtva napada socijalnim inženjeringom. Često cilj socijalnog inženjeringa može biti otkrivanje nečije šifre, a šifra sama po sebi predstavlja zaštitu od neovlašćenog pristupa prostoru, nalogu, folderu, fajlu itd. Zato je bitno da se, kao korisnici šifri, znamo na pravi način zaštititi. U ovom slučaju govoriću samo o oblicima napada socijalnim inženjeringom na internetu.
Društvene mreže
Odlika društvenih mreža jeste da se putem njih lako dolazi u kontakt sa nepoznatim ljudima. Upravo zbog toga one mogu biti iskorišćene i za lažno predstavljanje. Nikada ne možete sa sigurnošću znati ko stoji iza profila neke nepoznate osobe, ali ta osoba svakako može iskoristiti ovaj oblik kontakta sa vama i izvršiti napad socijalnim inženjeringom. Često se korisnici socijalnog inženjeringa poigravaju sa emocijama, na primer empatijom ili dopadanjem, putem kojih se žrtva lako može naterati da nešto uradi na svoju štetu. Ovo se često dešava jer se socijlane mreže koriste prilično neobazrivo i time se izvršiocima socijalnog inženjeringa olakšava napad. Lažnim predstavljanjem napadač može saznati mnoge informacije o vama i iskoristiti ih protiv vas. Ako je pak cilj dolaženje do šifri, o čemu je u ovom tekstu konkretno reč, mnoge društvene mreže koriste sigurnosna pitanja koja se zasnivaju na podacima vezanim za vas i vaš život (ime prvog kućnog ljubimca, naziv osnovne škole u koju ste išli i sl. ). Odgovor na sigurnosno pitanje može biti baš ta informacija koju je napadač saznao lažno se predstavljajući i komunicirajući sa vama.
Fišing
Društvene mreže koriste, kao oblik autorizacije ili provere ovlašćenja pristupa, unošenje šifre, što je urađeno radi žaštite samih korisnika. Ovakve šifre se otkrivaju takozvanim fišingom. Fišing predstavlja način dolaska do šifre uz pomoć web stranice koja izgleda identično kao originalna i njenog slanja na adresu žrtve. Kada podatke za autorizaciju unesete na lažnoj web stranici, ti podaci će direktno otići u ruke lica koje je napravilo web stranicu i samim tim je napad izvršen. Dakle, kada unosite šifru bilo gde, obratite pažnju da li je to zaista originalan sajt. Uporedite tačan naziv stranice sa onim koji je napisan u okviru web adrese koju ste otvorili jer fišing stranice uglavnom koriste modalitete originalnog naziva. Nikako ne bi trebalo unositi šifru na stranici čiji link ste dobili mejlom sa nepoznate adrese, iako stranica izgleda identično originalnoj.
Upotreba foruma
Često se dešava da izvršioci socijalnog inženjeringa targetiraju grupe potencijalnih žrtava. Zato napadač pronalazi forum ili teme na forumima gde ulazi u diskusiju o nekoj temi i uz interesantne komentare ostavlja link sa nekim sadržajem. Kada pritisnete na link koji je okačen, možete skinuti neki maliciozni softver na svoj uređaj ili možete biti odvedeni na fišing stranicu.
Instalacija softverskog kilogera (keylogger)
Kilogeri predstavljaju programe ili hardverske komponente koje pamte vaše aktivnosti na računaru, uglavnom prate otkucaje na tastaturi ili čuvaju i prosleđuju snimke ekrana (screenshoots) izvršiocu. Ove informacije se u određenim vremenskim intervalima šalju na adresu izvršioca socijalnog inženjeringa u toku rada na računaru. Ako govorimo o softverskom kilogeru, on ima oblik programa koji se instalira da bi radio u pozadini računara i sakupljao informacije u vezi sa njegovim korišćenjem. Uz pomoć kilogera izvršilac socijalnog inženjeringa može pronaći svaku šifru koju lice prema kojem je uperen napad koristi pri pristupanju bilo kom nalogu.
Upotreba kilogera predstavlja samo jedan od metoda za dolazak do šifre. Kilogeri se instaliraju kao dodatak u toku skidanja uz glavni program ili izvršilac namenski instalira kiloger koristeći neznanje, nepažnju, nemar ili poverenje žrtve. Kilogeri predstavljaju sredstva pomoću kojih se neposredno dolazi do šife. Sve što prethodi instalaciji ili postavljanju predstavlja umetnost socijalnog inženjeringa.
Prosečan korisnik društvenih mreža trebalo bi da bude upoznat sa osnovama socijalnog inženjeringa. Navedeni oblici napada predstavljaju samo neke od načina kako izvršilac dolazi do šifre koje žrtva koristi u bilo koju svrhu. Načina i metoda ima zaista mnogo. Na korisniku šifre je da zna kako što bolje da se zaštiti da ne bi postao žrtva ovakve vrste napada.
Miloš Mijailović
časopis InterFON