Autor: Vojtěch Bednář, externí redaktor ICTsecurity   

Tak zvané sociální inženýrství patří již od počátku k základním nástrojům hackování, nabourávání bezpečnostních opatření v elektronických systémech. Jak je to možné? Jaké jsou jeho základní principy a jejich aplikace? Odpovědí na tyto otázky je věnován náš text.

Východisko

Samotný termín „sociální inženýrství“ není příliš přesný. V segmentu počítačové bezpečnosti se jedná o označení takových postupů, které umožňují obcházet systémy zabezpečení nikoliv jejich technickým překonáním, ale využitím jejich klientů, fyzických uživatelů. Předpokládá se, že každý systém byť vybavený velmi kvalitní ochranou před neautorizovaným přístupem musí kdykoliv umožnit přístup autorizovaný. Pokud následně útočník využije autorizovanou osobu k útoku, chráněný systém není schopen rozlišit mezi ním a touto autorizovanou osobou. Přesvědčit ke „spolupráci“ jakkoliv poučeného a obezřetného člověka – uživatele – je pak jednodušší, než oklamat technický systém.

Protože nelze předpokládat, že by uživatel informační infrastruktury s útočníkem spolupracoval o své vlastní vůli (pokud by věděl, o koho jde), potřebuje ho útočník k tomu, aby udělal, co potřebuje donutit. Sociální inženýrství je tak vlastně jiný název pro lest, pro uvedení v omyl. Důsledkem této lsti je, že útočník překoná ochranu systému, o který usiloval tak, jako kdyby se jednalo o jeho autorizovaného uživatele. Případně dokonce s aktivní pomocí autorizovaného uživatele.

Tato definice „sociálního inženýrství“ není sociologicky ani psychologicky příliš správná, ale je dlouhodobě zažitá. Možná trochu paradoxně, nejúspěšnější útočníci historie i současnosti, hackeři a profesionální bezpečnostní experti používají právě postupy sociálního inženýrství častěji, než bychom si mohli myslet. Důvody pro to jsou jednoduché. Mnoho informačních systémů je technicky velmi dobře zajištěno. Množství jejich bezpečnostních nedostatků klesá, s využitím mezer je stále obtížnější je napadat. Naproti tomu bezpečnostní „kvality“ uživatelů jsou víceméně konstantní. Uživatelé se tak stávají největší bezpečnostní hrozbou – a sociální inženýrství cestou jejího využití.

Principy obelhání

Jak již bylo řečeno, základním principem sociálního inženýrství ve vztahu k překonávání ochrany informačních technologií je obelhání legitimního uživatele. Uživatel je pro útočníka klíč, i když skutečným klíčem bývá něco jiného, co útočník nemůže sám použít, či získat. Typicky se jedná o kombinaci jméno/heslo, o čipovou kartu a její PIN, někdy o PIN samotný. Existují cesty, jak může útočník k těmto „klíčům“ přijít, ale například krádež volně položené čipové karty samozřejmě není sociálním inženýrstvím. To musí být oním „obelháním“ uživatele.

Z hlediska obecných principů existují dva přístupy k sociálnímu inženýrství, které lze od sebe odlišit z hlediska spoluúčasti osoby, vůči které je postup aplikován. V prvním případě, který bychom mohli označit jako pasivní je napadený (který nemusí být totožný s poškozeným) využit coby poskytovatel údajů, nebo jiného z hlediska útočníka vzácného statku. Ve druhém je nejenom poskytovatelem, ale současně vykonavatelem útočníkovy vůle. Napadený tedy s útočníkem (o kterém neví, že je útočník) aktivně spolupracuje. Je zřejmé, že první přístup je pro útočníka jednodušší, zatímco druhý bezpečnější.

Existují obecné postupy, jak přesvědčit napadeného o potřebě či nutnosti spolupracovat s útočníkem (ať už pasivně, nebo aktivně). První z nich je založen na tom, že se útočník vydává za někoho, koho napadený zná a komu důvěřuje. Čím je iluze důvěryhodnosti dokonalejší, tím pravděpodobnější je, že napadený bude spolupracovat. Významnou limitu tohoto přístupu ale představuje fakt, že útočník může po napadeném chtít pouze to, co by po něm mohla chtít autorita, za kterou se vydává (pojmem autorita se běžně má namysli např. nadřízený, ale v tomto případě může jít o kolegu, či podřízeného). Úspěšnost útoku tedy závisí na vhodně volené autoritě a jejím vhodně voleném chování. Není přitom podstatné, aby šlo o chování, které je pro danou autoritu typické, ale které je v jejím kontextu možné, respektive z hlediska napadeného pravděpodobné.

Druhá možnost je vydávání se útočníka za někoho, koho napadený osobně nezná, respektive, jehož chování si nedokáže jasně definovat, ale koho považuje za významnou autoritu. Příkladem může být to, že zaměstnanec na určité pozici ve firmě osobně nezná nadřízeného, který se nachází tři úrovně nad ním – prostě s ním nepřichází do kontaktu. Žádá-li jej o něco takto vysoká „šarže“, má jen omezené možnosti neuposlechnout nejenom pro to, že se jedná o vzdáleného nadřízeného ale i proto, že napadený není k jeho osobě schopen připojit konkrétní představu o chování. Výsledkem je, že předpokládá, že dotyčný může vše.

Princip „vzdáleného nadřízeného“ má podobné omezení jako princip „známé autority“. V tomto případě se ale nejedná o omezení možnosti chtít po napadeném to, co by po něm mohl reálně chtít tento nadřízený. Meziúrovňová komunikace v organizaci tam, kde má tento princip smysl (tedy v organizaci se čtyřmi a více úrovněmi řízení) může vzbuzovat od počátku nedůvěru napadeného. Tuto nedůvěru překonává gravitace významnosti masky útočníka, ale nemusí ji překonat vždy. Naopak překoná-li ji, lze dosáhnout zisku řádově vyšších, než v předchozím případě.

Dalším principem (a posledním, který si zde vyjmenujeme) je „autorita ex machina“. Autoritou v tomto případě, jak název napovídá, nemusí být pouze stroj. Typickým příkladem využití daného postupu v útoku typu sociální inženýrství je „automaticky rozeslaný email, který vás žádá o potvrzení vašeho hesla“. Za tímto emailem se nenachází žádná manifestovaná osoba, ale pravděpodobně část programu, která potřebuje zadat heslo. Mnoho lidí má tendenci automatickým autoritám, ve skutečnosti se ale může jednat o cokoliv, co je součástí úředního, zcela formalizovaného přístupu, explicitně důvěřovat a to mnohem více, než osobně známým autoritám i lidem na vyšším firemním, nebo společenském postavení. Důvodem je, že za strojem obvykle útočníka nehledáme ani podvědomě.

Postupy

V předchozí části jsme popsali tři obecné principy, které používají útočníci při přímé komunikaci s napadenými – princip lokální autority, vzdáleného nadřízeného a autority ex machina. Tyto principy jsou poměrně obecné, jejich aplikace obsahují ještě další prvky, které mají za cíl zvýšit pravděpodobnost úspěchu. Podívejme se nejprve na příklady jejich využití.

Příklad 1: Místní autorita

Útočník napíše napadenému email podepsaný jeho blízkým spolupracovníkem, který ale momentálně není v práci. V emailu požaduje zprostředkování drobného zásahu do informačního systému firmy pomocí účtu napadeného (útočník se vymlouvá na to, že si nepamatuje své heslo a nemá ho u sebe až e pokud k zásahu nedoje, hrozí mu postih). Napadený zásah spočívající ve změně informací o klientech firmy provede, aniž by ho napadlo, že tím dotyčné klienty a v důsledku i sebe poškozuje – je útočníkem volen tak, aby měl k daným informacím přístup a změny provedené jim nepůsobily okamžitě podezřele. Současně „kolegovi“ posílá data získaná z IS. Stává se tak aktivně spolupracujícím napadeným.

Příklad 2: Vzdálený nadřízený

Pracovníku - uživateli informačních technologií ve firmě zatelefonuje člověk, který se představí jako vzdálený nadřízený (např. vedoucí divize). Pracovníka pověří tím, aby jeho jménem na svém oddělení ihned sehnal přihlašovací údaje kteréhokoli pracovníka k informačnímu systému, jinak podniku hrozí vážný problém. Než se pracovník stihne zeptat svých kolegů, útočník mu sdělí, že věc příliš spěchá, ať mu dá své vlastní. Pravděpodobně tak učiní – stává se pasivně spolupracujícím napadeným

Příklad 3: Autorita ex machina

Klasický útok typu Phishing. Útočník pošle napadenému email, který vypadá jako od informačního systému podniku. Email požaduje přihlášení k intranetovému portálu pomocí běžných údajů a následně potvrzení formuláře. Email „je rozeslán automaticky všem uživatelům, u kterých hrozí riziko, že došlo k napadení. Abychom riziko odstranili, je potřeba vytvořit nové heslo“. Přiložený odkaz vede na falešnou webovou stránku a heslo ve skutečnosti odcizí.

První z předchozích tří případů ilustroval využití falešné kolegiality na pracovišti. Vyšší autorita se v tomto případě stává objektem, proti kterému se útočník spolu s napadeným vymezuje. Dva kolegové, z nichž jeden je falešný se tak stávají „spolubojovníky“, což vede k porušení bezpečnostních zásad ze strany kolegy pravého.

Druhý případ je klasickou ukázkou „vzdáleného nadřízeného“ který má navíc možnost napadeného dostat pod časový tlak. Ten způsobuje stres a následně tlak na rychlé rozhodnutí, které je špatné. Napadený chce vyhovět naléhajícímu nadřízenému a z důvodu časového omezení jej neověřuje.

První dva případy využívají koncentrace napadeného, třetí naopak zakládá na její nepřítomnosti. Mnoho organizací rozesílá svým pracovníkům řadu emailů s formuláři, které je třeba vyplňovat a dokumenty, které se musí číst. Mnoho z nich je mechanických a opakujících se. Tím se snižuje koncentrace i na ty významné a uživatel spíš spolupracuje. Pro lepší ilustraci tohoto využití „efektu sériové slepoty“ doporučujeme film Císařův Pekař.

Účinky

Předchozí příklady ilustrovaly použití tří základních efektů – časové tísně a stresu, kolegiality, a rozostření pozornosti -  na útoky typu sociálního inženýrství, směřované jednou k aktivní participaci napadeného a dvakrát k víceméně pasivní spolupráci s útočníkem. K těmto příkladům je potřeba doplnit jednu poznámku: jakkoliv mohou zapsány vypadat nedůvěryhodně a snadno prohlédnutelně, ve skutečnosti nejsou. Pozitivně na ně reagují i poučení a jinak velmi ostražití lidé.

Vedle zmíněných postupů existují i další varianty „katalyzátorů úspěchu“. Vedle stresující je možné použít čistě formální komunikaci. Útočníci vyvolávají dojem insidera – obvykle použitím familiérního jazyka, hantýrky organizace. Pozornost napadeného lze odvádět dotazy nesouvisejícími s primárním cílem útoku nebo tak, že za hlavní cíl komunikace je vydáváno něco jiného (prosím, zjistěte mi, co se nachází v dokumentu X a přitom mi dejte to heslo, kterým se přihlašujete do systému). Komunikaci útočníka a napadeného je možné opakovat (zvyšuje se tím důvěryhodnost útočníka i ochota napadeného spolupracovat), nebo ji směřovat na více napadených, kteří bezprostředně komunikují mezi sebou (násobné zvyšování důvěryhodnosti za cenu počátečního vyššího rizika vyzrazení).

Závěr

Šířka pásma postupů i principů využití sociálního inženýrství při napadání komunikačních infrastruktur a technologií je nesmírně široká. Zde jsme vyjmenovali a přiblížili pouze některé z nich, ty, s nimiž je nejčastěji možné se setkat v praxi. Protože fantazie útočníků je ale nekonečná, nemže být tento popis ani zdaleka vyčerpávající. Ale také by neměl být brán jako inspirativní.