Ma 2017. december. 14, csütörtök, Szilárda napja van.

Támogassa a függetlenséget:

Hackelés számítógép nélkül?

Share

Az információ hatalom. Ezt persze már mindenki tudja, lépten-nyomon halljuk, de vajon tényleg tisztában vagyunk az általunk birtokolt információk valós súlyával ? A tapasztalatok szerint aligha.

Nincs szükség számítógépre

Az általunk használt dolgok saját magunk számára teljesen természetesek, és sajnos sokszor túlságosan engedékenyek és elnézőek vagyunk másokkal szemben, ha valaki ártalmatlannak tűnő kérdésekkel információt kér tőlünk. Sokszor nem is tudjuk, hogy áldozatai lettünk az egyik legújabb, és leghatékonyabb IT támadásnak. A mostani cikk megírását egyébként az motiválta nálam legerősebben, hogy az utóbbi években több nagy értékű laptopot vittek el ezzel a “social-engineering”-nek nevezett módszerrel céges irodákból. Tehát – sajnos – ma már nem csak információszerzésre használják az ilyen praktikákat.  Jobb, ha tudjuk mi fenyeget, ezért az ilyen események ellen való védekezés szükségességéről valószínűleg nem érdemes vitát nyitnunk.

Hiába a legújabb biztonsági rendszer, hiába a méregdrága szoftver megoldás – még mindig sebezhetőek vagyunk. Hiába vannak a számítógépek nagyon jól védve akár szoftveres, akár hardveres tűzfalakkal, hiába kell terminál szerverekre bejelentkeznünk, hogy majd onnan tudjunk hozzáférni egy harmadik szerverhez. Hiába a jól megalkotott jelszó szabályzatok és a naponta frissített hibajavítások, nem érezhetjük biztonságban magunkat. Ugyanis – igaz ez egy régi szabály, de még érvényes – egy lánc olyan erős, mint a lánc leggyengébb láncszeme. A legtöbb esetben -  és ezzel jeles biztonsági szakemberek is egyetértenek – a leggyengébb láncszem: az ember. Persze ezeket a módszereket nem csak információk megszerzésére vagy manipulálására lehet felhasználni, hanem fizikai eszközök vagy bármi más, egy potenciális behatoló számára érdekes tárgy megszerzésére is, mint azt már a bevezetőben is említettem.

Social Engineering

Az egyik leghíresebb hacker

A módszer neve “Social-Engineering”, ami kocafordításban az emberek szocializációs kapcsolatrendszerével összefüggő “mérnöki” tevékenységet takar. Már amennyiben az embert képesek vagyunk úgy szemlélni, mint egy biztonsági eszközt. Ami egy helyes feltevés: mert ebben az esetben az is. A módszer lényege egyébként nem is olyan új,  az egyszerűbb válfajait már a régebbi időkben is használták pl. a hidegháború idején adatok, tervek, vagy akár hadititok megszerzésére. De az internet térhódításával a crackerek, hackerek, és a szimpla fizetett adattolvajok tudásbázisába is bekerült a “hagyományos” tisztán programozási, jelszó visszafejtési,  és rendszerhiba felderítési, ill. kihasználási ügyeskedések mellé. Az igazi reneszánszát azonban az után kezdte el élni a Social-Engineering, miután Kevin Mitnick-et  (aki egyébként az egyik leghíresebb ex-hacker a mai napig) börtönbüntetésre ítélték különböző illegális behatolások és egyéb hagyományos hacker tevékenységek miatt. Azóta egyébként már jó útra tért, és hogy erősítse a “rablóból lesz a legjobb pandúr” elvet, alapított egy – most már nagyon jó hírű – biztonsági vállalatot “Defense Thinking” néven. A cég nem csak a “hagyományos” IT betörések ellen nyújt hathatós védelmet, hanem a social-engineering jellegű akciók ellen is hatékony. A módszer Kevin közreműködésével tudott eljutni első ízben a széles nagyközönséghez, ugyanis írt egy könyvet, amelyben összefoglalja azokat a technikákat, amelyekkel számítógép és mobiltelefon nélkül is képes lehet valaki arra, hogy “meghackelje” egy adott cég, vagy kormányhivatal szervereit, és ehhez sokszor csak alapvető technikai tudásra van szüksége, viszont nem árt, ha rendelkezik egy jó adag emberismerettel, és némi talpraesettséggel – no meg persze logikával. Nagyban “segítette” a módszer finomítását, hogy Kevin büntetése tartalmazta azt a kitételt is,  hogy jó ideig semmilyen módon nem érintkezhetett(!) számítógéppel, de még a telefonból is csak vezetékest használhatott! A social-engineer-ek által használt támadások arra épülnek, hogy az emberek alapjában véve segítőkészek egymással, és mivel a legtöbb ember szerencsére becsületes, másokról is ezt feltételezi a munkája során (sokszor tévesen). A legtöbb ember éppen ezért, szinte észre sem veszi, hogy éppen adatokat loptak tőle, ráadásul úgy, hogy saját maga segédkezett ebben. A social-engineer-ek sokszor annyira barátságosak, olyan jól beszélnek és annyira szolgálatkészek, hogy szinte a becsapott ember az, aki áldja a napot amikor megismerkedett velük.

A social-engineer-ek sokszor annyira barátságosak, olyan jól beszélnek és annyira szolgálatkészek, hogy szinte a becsapott ember az, aki áldja a napot amikor megismerkedett velük.
 Amíg egy szép napon rá nem jön mi is történt valójában, ha egyáltalán rájön.. Ugyan ki az a friss munkaerő, aki ha kap egy telefonhívást a következő tartalommal, ne mondaná be a számokat? ” – Szia! A helpdesktől vagyok és mivel te új vagy itt, be kell állítanom a hálózati hozzáférésedet. Be tudnád nekem mondani a matricán lévő számokat a géped oldalán? Köszi!” Pedig ha az adott ember nem helpdesk-es, csak a konkurencia által felbérelt ember, és  konkrét célja van veled, így már jóval közelebb került ahhoz, hogy hozzáférjen a gépen tárolt  – mondjuk – céges ügyfél adatbázishoz. Esetleg még egy telefonhívást kapsz, amiben feltelpíttet(!) veled egy “hibajavítást” és már a gépeden is van egy trójai, amivel aztán át is veszi az irányítást…

A legnagyobb számítógépes csalás eset a Guinessből

Röviden leírok egy történetet, amely nagyon jellemző az ilyen támadásokra, és azért is érdekes, mert a Guiness rekordok könyvébe is bekerült: a “legnagyobb számítógépes csalás” kategória alatt található meg. Az érdekessége, hogy még számítógépet sem használtak fel az elkövetéshez!

Információ megszerzése:

Adott egy ember, aki egy olyan cégnek dolgozott, amely egy fajta biztonsági tároló rendszert fejlesztett bankok számára az “átutalási szoba” adataihoz. Ezt az eszközt akkor használják, ha meghibásodik a központi gép. A dolog természetéből adódóan tudta, hogy az ott dolgozó tisztviselők milyen módszerrel végezték a pénzátutalásokat. Érdekes megfigyelése volt, hogy a jogosult tisztviselők reggelente egy kódot kaptak, amivel egy telefonszám felhívásával egy telefonkezelőn keresztül tudtak utalni. Ezt a fontos kódot  minden nap – lustaságból kifolyólag – felírták egy papírra, majd kitűzték a szoba egy meghatározott helyére. Egy reggel a csaló, mivel megfigyelte a műveleteket, bement ebbe a szobába, és úgy csinált, mintha a napi munkáját végezné, de jegyzetelés közben egy pár oldalpillantást vetve a cetlire megjegyezte a számsort.

Információ felhasználása:

Délután a cég előcsarnokában lévő fülkéből hívta az “átutalási szobát”. A Bank  Nemzetközi Főosztályának a munkatársaként mutatkozott be.

Hiába a hardware, ha egyszerűen belógnak

A nő kérte a hivatali számát, és mivel erre a kérdésre már fel volt készülve: megadta. Majd a telefonos hölgy rákérdezett a kódra is. Miután ezt is megadta, valamivel több, mint tízmillió dollárt utaltatott át magának egy svájci – persze magán – számlaszámra. Ezek után a hölgy kérte a “bankközi elszámolási számot”. Itt majdnem elbukott a csaló, ugyanis erre a kérdésre nem számított. De azonnal válaszolt a kérdésre: “ellenőriznem kell, visszahívlak”. Ekkor felhívta a bank másik részlegét, itt viszont már az átutalási szoba hivatalnokának adta ki magát. Ott megszerezte a számot, és visszahívta az előbbi hölgyet – a tranzakció megtörtént.. Pár nap után Svájcban felvette az összeget, majd gyémántokra cserélte egy orosz ügynökkel (ez a történet “romantikusabb része”). Visszafelé pedig simán átvitte a vámon a táskájában. Az ilyen módszerek alkalmazásához elsősorban jó kommunikációs készség, és jó megfigyelőképesség kell. Sajnos sok ember a tehetségét rossz dolgokra fordítja.

“A laptopokért jöttem”

A másik social-engineering történet érdekessége, hogy az irodaház, ahol ez megesett,  földszinti, állandó személyzettel rendelkező portával és egy emeleti portaszolgálattal  is rendelkezik, ráadásul a beléptető rendszer is chipkártyás. Hab a tortán, hogy be van kamerázva az egész épület, amit állandóan figyelnek. Legalább három cégről hallottam, akit már károsítottak meg ilyen módszerekkel csak az utóbbi években. Tehát nem árt, ha résen vagyunk az ismeretlen emberekkel kapcsolatban. Az egyik esetben állítólag az történt, hogy munkaidő után valaki, aki nem volt feltűnő a portaszolgálat számára, be akart menni az emeleti irodába. Azt állította, hogy a laptopokat gyártó cégtől jött (meg is nevezte) garanciális javítás miatt. A portás felengedte, az emeleti – üres irodából – pedig összepakolt pár laptopot, majd köszönt, és kiment a kijáraton. És most jön a dolog szinte hihetetlen része: nem is olyan sok idő elteltével még másodszor is visszajött, majd ugyanazzal a trükkel ismét feljutott és elhozott még egy gépet. Állítólag ez alkalommal a portás még fel is kísérte.

És most jön a dolog szinte hihetetlen része: nem is olyan sok idő elteltével még másodszor is visszajött, majd ugyanazzal a trükkel ismét feljutott és elhozott még egy gépet. Állítólag ez alkalommal a portás még fel is kísérte.
 Ebből a két példából is jól látszik, hogy mekkora hatalma van a mások iránti túlzott bizalomnak. Nem azt akarom mondani ezzel, hogy legyünk mindenkivel szemben ellenségesek, akit nem ismerünk. Azt viszont igen, hogy bátran használjunk a jól bevált szabályokat az ilyen esetek kiszűrésére, és ne higgyük azt, hogy ez a bizalmatlanság illetlenség is a részünkről. A nagyobb cégeknek fokozottan ajánlott átgondolniuk az emberekre vonatkozó információs és beléptetési szabályokat. “A megtévesztés művészete” könyv egy elég jó támpontot ad arra nézve, hogy hogyan tudjuk megelőzni a károkat, legyenek azok tárgyi, pénzügyi vagy tisztán “információbirtoklási” természetűek. A nagyobb cégeknél ez utóbbiak jelentik a jelentősebb értéket, mert az eszközök szerencsére pótolhatóak, de az üzleti titkok kiszivárgása néha sokkal nagyobb következményekkel járhat mint gondolnánk.

 

Nézd meg a főoldalt is!
   



LIKE-olj!


Tényező.hu | Nem mindennapi hírek. Független, újságírók által fenntartott és szerkesztett, teljesen cenzúra mentes, tényeket, és magánvéleményeket tartalmazó elektronikus médum.

Print Friendly Nyomtatás Az oldal PDF verziója PDF

Ajánlott cikkek:

Őstulkok, avagy a magyar média működési módja
Az iraki dosszié - a valóságban
Végső cél: Irán - az elhallgatott Sunday Herald cikk
Szeptemberfeszt a Népligetben (videó)
PRAVDA: A terrorizmus elleni háború nem létezik
Orbán: "Hazugságoktól hemzseg a költségvetés."
"Demokráciaexport" bombákkal. Iránnak is?
Interjú Salát Gergely Kína-szakértővel
Az X-faktor esete Kínával
Várkonyi Balázs - az Edigital titkáról
Az Euronicsból ki, az Expertbe be
"Hétköznapi Honvédelem" címmel TV műsor indul

Comments Closed

Nem lehet hozzászólni


Bejelentkezés
tárhelytárhely