Σε ετήσια βάση οι εταιρείες δαπανούν πολλά χρήματα προκειμένου να είναι προστατευμένες από τις κυβερνο-εισβολές των hackers. Ωστόσο υπάρχει πάντα ο σημαντικότερος παράγοντας που οι hackers περιμένουν να συμβεί για να δράσουν αποτελεσματικά. Αυτό είναι το ανθρώπινο λάθος.
Πρόσφατα η Hitachi θέλησε να κατανοήσει πως οι hackers εισβάλουν μέσα σε έναν οργανισμό. Οπότε συζήτησε με μερικούς από αυτούς και τους έκανε μερικές ερωτήσεις. Οι απαντήσεις που έδωσαν, σίγουρα δεν ήταν οι αναμενόμενες.
Υπάρχει η εντύπωση για τους hackers πως είναι άτομα που κάθονται σε σκοτεινά και σκονισμένα υπόγεια προσπαθώντας να εκμεταλλευτούν τα συστήματα ασφαλείας και να πουλήσουν δεδομένα στον σκοτεινό ιστό (dark web). Πόσο ακριβής είναι αυτή η αναπαράσταση;
«Ενώ μερικοί hackers ταιριάζουν με αυτό το στερεότυπο, υπάρχουν και αυτοί που είναι το ακριβώς αντίθετο. Αυτοί είναι άνθρωποι που ζουν καλά, δεν κρύβονται στις σκιές και εργάζονται για να διεισδύσουν στις εταιρείες μπαίνοντας κυριολεκτικά από την μπροστινή πόρτα οποιουδήποτε γραφείου ή ενός συγκροτήματος γραφείων.»
«Αν ερχόμασταν στο γραφείο σας δεν θα γνωρίζατε ποτέ ότι ήμασταν hackers. Βέβαια, αυτός είναι και ο στόχος μας.»
Υπάρχουν hacker που εισβάλουν σε μια επιχείρηση ως ένας άλλος James Bond;
«Αυτό είναι σωστό. Εφόσον έχουμε σκοπό να υποκλέψουμε πληροφορίες από μια επιχείρηση ή έναν οργανισμό, περνάμε μερικές μέρες ή και εβδομάδες παρατηρώντας στο μπροστινό μέρος του κτηρίου και τους υπαλλήλους που μπορεί να βρίσκονται έξω για ένα μεσημεριανό διάλειμμα ή που να κατευθύνονται προς τα αυτοκίνητά τους μετά τη δουλειά. Παρατηρούμε πως ντύνονται, πώς μοιάζουν, αν φορούν ρούχα με επωνυμία, αν έχουν ταμπέλες με το όνομα τους – όλες αυτές τις λεπτομέρειες. Παίρνουμε φωτογραφίες υπαλλήλων και κρατάμε πολλές σημειώσεις.»
«Οι υπάλληλοι αποτελούν τον πιο αδύναμο κρίκο σε μια εταιρεία. Και αυτό δεν συμβαίνει καθώς οι περισσότεροι υπάλληλοι δεν έχουν ιδέα ποια είναι το πραγματικό τους αντικείμενο εργασίας. Αν θέλουμε να μάθουμε το που εταιρεία υστερεί σε θέματα ασφάλειας ή το τι συμβαίνει στην επιφάνεια, μπαίνουμε σε ένα κτίριο και το ανακαλύπτουμε.»
«Η φαντασία βασίζεται στην πραγματικότητα. Σε αυτήν την περίπτωση, υπάρχει σε ένα μεγάλο βαθμό μια αλήθεια. Έχουμε όλα τα είδη εργαλείων που μπορούν να καταγράψουν το οτιδήποτε. Από σήμα ταυτότητας έως μίνι κάμερες που καταγράφουν κάθε λεπτομέρεια μιας συνομιλίας. Δεν θα γνωρίζετε ποτέ ότι βρισκόμαστε εκεί. »
Πως γνωρίζουν οι hacker πως μπορούν να περπατήσουν εύκολα στο χώρο που έχουν στοχοποιήσει;
«Προσπαθούμε να γνωρίζουμε ακριβώς τον τρόπο εμφάνισης και συμπεριφοράς των υπαλλήλων. Με αυτόν τον τρόπο θα καταφέρουμε να αναμειχθούμε στην εταιρεία που σκοπεύουμε να επισκεφτούμε. Στέλνουμε τις φωτογραφίες στην ομάδα μας και μας βρίσκουν παρόμοια ρούχα, τη σωστή ετικέτα ονόματος κ.λπ. Μπορούμε να βάλουμε οποιοδήποτε λογότυπο σε οποιοδήποτε είδος ρούχων και να μοιάζω ακριβώς με τους ανθρώπους που εργάζονται σε ένα γραφείο. Μερικές φορές αντιγράφουμε ακόμη και ένα χτένισμα που είναι δημοφιλές ή τον τρόπο με τον οποίο οι άνθρωποι μιλούν μεταξύ τους. Oι hacker μπορούμε να αντιγράψουμε κάθε λεπτομέρεια με ακρίβεια – και αυτό είναι σημαντικό αν θέλει κάποιος να αναμιχθεί σε έναν χώρο εργασίας.»
«Αν σκοπεύουμε να εισβάλουμε σε ένα μέρος που παραδίδει προϊόντα, θα πρέπει να μοιάζουμε με κάθε άλλο υπάλληλο που εργάζεται στην αποθήκη. Ποτέ δεν θέλουμε να στοχεύσουμε σε μια δουλειά πολύ ψηλά είτε επειδή οι περισσότεροι άνθρωποι ξέρουν πώς μοιάζει το αφεντικό τους. Εκτός αν πρόκειται για μια τεράστια εταιρεία. Εκεί θα εκπλαγείτε από το πόσοι άνθρωποι δεν γνωρίζουν το πως πραγματικά μοιάζει το αφεντικό τους!»
«Εξετάζουμε κάθε λεπτομέρεια από μακριά, παίρνουμε φωτογραφίες, περιμένουμε μέσα σε ένα αυτοκίνητο λίγο μακριά από το μέρος, σημειώνουμε τα ρούχα, τον τρόπο που κινούνται και το οτιδήποτε άλλο. Είναι σημαντικό να γνωρίζουμε επίσης τις εισόδους και τις εξόδους και πώς θα μπορούσαμε να πλοηγηθούμε μέσα στο οποιοδήποτε κτήριο.»
Πως συμβαίνει αυτό; Εμφανίζονται ένα πρωινό και απλά εισβάλουν μέσα;
«Σχεδόν. Ως hacker σημειώνουμε ποιες εισόδους είναι εξοπλισμένες με κάμερες ή προσωπικό ασφάλειας και βρίσκουμε τις εξόδους και τις εισόδους που δεν έχουν προστασία. Υπάρχει πάντα μια πόρτα που είναι ανοιχτή και προσβάσιμη. Αυτή είναι και η πόρτα που χρησιμοποιούμε. Από εκεί, περιμένουμε κάποιον να ανοίξει την πόρτα ή να κάνει το μεσημεριανό του διάλειμμα και να συμμετάσχει σε μια συνομιλία με τους συναδέλφους του. Πολλές φορές έχει τύχει κάποιος υπάλληλος να μας έχει ανοίξει την πόρτα!»
«Θα εκπλαγείτε από το πόσο συχνά αυτό συμβαίνει. Μπορούμε να περπατήσούμε στα περισσότερα μέρη και είτε απλώς να εισβάλουμε μπαίνοντας μαζί με ένα πλήθος μεσημεριανού διαλείμματος ή να περάσουμε από την ασφάλεια απλά λέγοντας μια ιστορία.»
Μόλις βρουν πρόσβαση σε ένα χώρο, οι χάκερς αναζητούν έναν υπολογιστή ή το δωμάτιο διακομιστή για να ξεκινήσουν το χακάρισμα;
«Οχι. Περιμένουμε για μερικές μέρες, επισκεπτόμαστε κοινόχρηστους χώρους, προσποιούμαστε ότι είμαστε κάποιοι καλεσμένοι για μια συνάντηση και φέρνουμε ντόνατς. »
«Ναι. Οτιδήποτε έχει να κάνει με φαγητό λειτουργεί!»
«Τα ντόνατς κυρίως στις Η.Π.Α. είναι πάντα μια καλή λύση για να περπατήσουμε σε ένα μέρος!»
Τα ντόνατς και τα γλυκά ως δόλωμα
«Οι άνθρωποι δεν κάνουν ποτέ ερωτήσεις όταν μπαίνουμε σε ένα δωμάτιο με ντόνατς! Είναι τόσο χαρούμενοι που μας μιλούν σχεδόν για τα πάντα εφόσον έχουμε ένα κουτί με ντόνατς στα χέρια μας. Μπορούμε να μάθουμε πού βρίσκονται τα δωμάτια διακομιστών, πού βρίσκεται το γραφείο του Διευθύνοντος Συμβούλου – σχεδόν το οτιδήποτε. Μια φορά, ένας φορητός υπολογιστής καθόταν στο κοινό δωμάτιο χωρίς καμία επίβλεψη. Αυτό έκανε τη δουλειά μας πολύ πιο εύκολη. »
«Οι άνθρωποι θα σου πουν το οτιδήποτε εάν σε εμπιστεύονται και συχνά το φαγητό χτίζει εμπιστοσύνη. Έτσι είναι η ανθρώπινη ψυχολογία.»
Πού είναι τα πιο αδύναμα σημεία σε μια εταιρεία ή ένα γραφείο;
«Σίγουρα δεν είναι ο φύλακας. Είναι συνήθως ένας βοηθός διαχείρισης ή κάποιος άλλος υπάλληλος. Οι περισσότεροι άνθρωποι δεν γνωρίζουν όλους όσους εργάζονται μέσα σε ένα γραφείο, οπότε δεν έχουν ιδέα ότι δεν θα έπρεπε να βρισκόμαστε εκεί. Εφόσον μοιάζουμε με όλους τους άλλους και συμπεριφερόμαστε όπως όλοι οι άλλοι, μπορώ να εισβάλουμε αρκετά εύκολα. »
«Μια ολόκληρη εταιρεία μπορεί να είναι αδύναμη εφόσον δεν έχουν εκπαιδευτεί για να εντοπίσουν έναν hacker ή να κάνουν ερωτήσεις.»
«Πολλές φορές μια εταιρεία θα εκπαιδεύσει υπαλλήλους χαμηλότερου επιπέδου αλλά όχι την ίδια την διοίκηση.»
Γίνεται προφανές πως είναι πολύ πιο απλό για τους hacker να μπουν σε μια εταιρεία και να ολοκληρώσουν ένα χακάρισμα από όσο πιστεύουμε οι περισσότεροι από εμάς. Τι θα μπορούσαν να κάνουν οι εταιρείες για να αποτρέψουν τέτοιου είδους παραβιάσεις;
«Το καλύτερο πράγμα που θα μπορούσαν να κάνουν οι εταιρείες είναι να επενδύσουν στην εκπαίδευση. Αλλά αυτή δεν πρέπει να γίνεται για ένα μόνο ζήτημα. Η εκπαίδευση πρέπει να πραγματοποιείται με συνέπεια και για όλους τις βαθμίδες των υπαλλήλων. Οι περισσότερες εταιρείες δεν ασχολούνται με την ανώτερη διοίκηση ή τους βοηθούς, που και αυτοί μπορούν επίσης να διαρρεύσουν πληροφορίες. »
«Το θέμα είναι πως όπως οι hacker εφευρίσκουμε συνεχώς νέους τρόπους για να λάβουμε πληροφορίες, έτσι οι εταιρείες πρέπει να επενδύσουν σε έναν τύπο εκπαίδευσης ώστε να μην μείνουν πίσω αναπόφευκτα. »
«Πιστεύουμε πως η εκπαίδευση είναι σημαντική, αλλά είναι επίσης σημαντικό να είστε προετοιμασμένοι. Πρέπει να μάθετε τι πρέπει να ρωτήσετε σε άτομα που δεν τα έχετε ξαναδεί και να διδάξετε στους υπαλλήλους πως πρέπει να είναι θεμιτό το να αμφισβητούν την παρουσία κάποιου. »
Εν κατακλείδι
Γίνεται κατανοητό πως η διαδικασία της παραβίασης ενός κυβερνοχώρου ή των κρίσιμων δεδομένων μιας επιχείρησης αποτελεί για τους hackers απλά την κορυφή του παγόβουνου. Υπάρχουν πολλά και κρίσιμα σημεία ασφάλειας που πρέπει να καλυφθούν πρώτα. Ο σκοπός είναι να μην καταφέρει κάποιος να προλάβει να φτάσει στο σημείο να παραβιάσει τα κρίσιμα δεδομένα μια επιχείρησης.
Όπως αποκάλυψαν οι hackers, χρησιμοποιούν ως πρώτη μέθοδο την Κοινωνική Μηχανική (Social Enginnering).
Τι είναι η Κοινωνική Μηχανική
Η Κοινωνική Μηχανική είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών. Αν και είναι παρόμοια με το τέχνασμα ή την απλή απάτη, ο όρος είναι κυρίως συνδεδεμένος με την εξαπάτηση ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών που είναι απαραίτητες για την πρόσβαση σε κάποιο υπολογιστικό σύστημα. Συνήθως αυτός που την εφαρμόζει δεν έρχεται ποτέ πρόσωπο με πρόσωπο με το άτομο που εξαπατά ή παραπλανά. Παρόλο που ο όρος ίσως να μην είναι ακριβής ή επιτυχημένος έχει πλέον καθιερωθεί.
Στηρίζεται κυρίως στην ανθρώπινη περιέργεια και στην άγνοια. Πολλοί, είτε λόγω ευπιστίας είτε λόγω ευγένειας δεν αρνούνται να δώσουν στοιχεία σε κάποιον που τους το ζητάει ευγενικά ή κάτω από δήθεν «πίεση».
Πως αντιμετωπίζεται η μέθοδος της Κοινωνικής Μηχανικής;
Η καλύτερη αντιμετώπιση της απειλής της Κοινωνικής Μηχανικής είναι η πρόληψη.
Οι υπάλληλοι όλων των βαθμίδων θα πρέπει καταρχήν να αναγνωρίζουν τις μεθόδους επιθέσεων της κοινωνικής μηχανικής. Θα πρέπει να είναι προετοιμασμένοι για το ενδεχόμενο αυτής της επίθεσης και να αμφισβητούν την παρουσία κάποιου που δεν γνωρίζουν, στο χώρο εργασίας τους. Τέλος θα πρέπει να αναγνωρίζουν την αξία της πληροφορίας που ένας κοινωνικός μηχανικός θα αναζητήσει.
Οι εταιρείες και οργανισμοί θα πρέπει να έχουν πάντοτε ενημερωμένο το λογισμικό τους για λόγους ασφαλείας. Κρίνεται απαραίτητο να προβαίνουν συχνά σε ασκήσεις ετοιμότητας μέσω ελέγχου ευπαθειών (penetration testing).
Εσείς τι μέτρα πρόληψης έχετε λάβει για να μην καταφέρει ένας hacker να σας παραβιάσει τα κρίσιμα δεδομένα της επιχείρησης σας;