Przeczytałem dzisiaj artykuł w magazynie Hakin9 o atakach socjotechnicznych. Pierwsze moje skojarzenie to książki Kevina Mitnicka – największego, najlepszego hakera (a także socjotechnika) w historii internetu. Chyba każdy o nim słyszał :)

O jego sposobach ataku i ogólnie życiu powstały 2 książki – Sztuka podstępu (2002 rok) oraz
Ścigany – rozmowy z Kevinem Mitnickiem (2003), które gorąco polecam, aby przeczytać. Pierwsza opisuje w jaki sposób można złamać ludzi i systemy zabezpieczeń w różnego typu instytucjach, druga jest opisem najgorętszej części życia Mitnicka – kiedy był ścigany przez FBI i deptała mu po piętach ;)

Artykuł w magazynie Hakin9 jest jak dla mnie nie na miejscu i lekko śmieszny. Ja rozumiem, że lekko rozjaśnia sprawy ataków socjotechnicznych, ale na pewno nie jest on na średnim poziomie trudności jak to określił twórca. Tym bardziej, że dopiero w połowie 2 strony zaczynają się jakies konkretne przykłady ataków… a tak to do tej pory (przez 1,5 strony!) opisywane są przyczyny „Dlaczego socjotechnik atakuje” – tak jakby to nie było oczywiste. Po tem zaczynają się szczegóły – czyli sposób w jaki powinniśmy myśleć, aby „złapać haczyk” na innej osoby.

Tak, czy siak opisy ataków używane w tych przykładach są lekko naciągane. Ponieważ:

• ankiety – takimi rzeczami zajmuje się sekretarka w firmie, a nie osoba od działu finansowego. Chyba, że… socjotechnikowi uda się sekretarkę przechytrzyć, aby przełączyła do działu ksęgowego, a potem powiedzieć inną bajeczkę. Ale także sekretarka podczas przełączania powinna powiedzieć kogo i w jakiej sprawie przełącza.
• wyłudzanie towaru – trzeba znać szereg bardzo ważnych, poufnych danych firmy. Jest to bardzo ciężkie do zdobycie. A także sprawy reklamacyjne nie są załatwiane w 100% przez telefon. Trzeba takie rzeczy mieć poświadczone odpowiednim papierkiem.
• trojan – po pierwsze w większości komputerów są zainstalowane programy antywirusowe, a z drugiej strony osoba odbierająca telefon nie musi się NIC znać na komputerze. A komputerami w firmie zajmuje się osobny dział w firmie, i to z nim powinna kontaktować się taka osoba w sprawie instalacji dodatkowego oprogramowania na komputerze.

Ja rozumiem, że mam bardziej „zdrowsze” podejście do takich spraw, ponieważ mam większą wiedzę informatyczną, niż inni, ale bez przesady, aby takie rzeczy pisać, które nie mają odzwierciedlenia w rzeczywistości.

Wszystkie tego typu rzeczy mają sens, jak szereg łańcuchów po drodze zawiedzie – czyli nie będzie informatyka w firmie, sekretarka nie przekaże informacji kto dzwoni i po co, a osoba odbierająca telefon po prostu uwierzy na słowo osobie po drugiej stronie słuchawki.

Podsumowując – oprócz tego, że socjotechnik musi mieć dar przekonywania ludzi, umieć odpowiednio intonować głos, znać psychikę ludzi i ogólnie umieć zachować się w różnych nieprzewidzianych specyficznych sytuacjach, to także musi mieć niebywałe szczęście, aby cały ten podstęp mu się udał.
Ciekaw jestem ile godzin/dni pracy musi spędzić takich socjotechnik, zanim dotrze do informacji, których potrzebuje. Ciekawe ile prób musi podjąć do zdobycia celu. Tego typu danych nigdzie nikt nie ujawnia :P

A poniżej błąd jednego z administratorów WP:

Anonimowy dostęp FTP do serwera WP :] żyć, nie umierać!