I sikkerhedssammenhæng betyder "social engineering" teknikker, der først og fremmest retter sig mod svagheder hos mennesker. Eksempelvis når en hacker (cracker) lokker et password ud af en anden person. Eller når en hacker opnår fysisk adgang til en pc eller et netværk ved at foregive at være ansat eller reparatør i firmaet.
Falske administratorer
Et typisk eksempel er hackere, der udgiver sig for at være systemadministratorer eller fra en internetudbyder, og på den måde får et intetanende offer til at afsløre sit password. Det er dog ikke kun passwords og personlige oplysninger, der kan være værdifulde for en hacker. Også tilsyneladende harmløse oplysninger om, hvilke styresystemer, der bruges, netværkets opbygning, hvor de forskellige kontorer er, kollegers ferie, telefonnumre og interne procedurer kan bruges til at skaffe sig adgang til systemer eller bygninger.
Mennesker det svageste led
Den tidligere hacker forfatteren Kevin Mitnick har udtalt, at den menneskelige faktor er det svageste led i computersikkerhed. Man kan have nok så effektive firewalls, glimrende antivirussystemer, opdaterede programmer og operativsystemer, restriktive procedurer og alarmer overalt. Men en enkelt uforsigtig medarbejder kan være nok til at gøre det hele ubrugeligt.
Dumhed eller naivitet kan sikkert få mange medarbejdere til at udlevere oplysninger, som en hacker kan bruge. Men metoderne er i dag så udspekulerede og uigennemskuelige, at selv meget påpasselige og forsigtige mennesker kan komme til at udlevere vigtige oplysninger til en hacker. Herunder et lille udpluk af de avancerede metoder.
Dumpster diving-metoden
Gennemrodning af affald fra en person eller et firma. Her kan ofte findes disketter, bånd, harddiske eller lignende. Men også personlige informationer, der kan benyttes til at knække passwords, eller som kan benyttes til at snyde sig ind i firmaet.
Den psykologiske metode
Omfatter bl.a. den ovennævnte metode, hvor hackeren udgiver sig for at være systemadministrator el.lign. Men metoden kan også være langt mere raffineret, hvor personlige oplysninger om f.eks. børns navne, fødselsdatoer, telefonnumre og lign. lokkes ud af folk i en tilsyneladende normal og venlig samtale. Erfaringen viser nemlig, at disse data meget ofte benyttes som passwords.
Trojaner-metoden
En bruger narres til selv at installere software, der kan give hackeren adgang til systemet. F.eks. ved, at hackeren sender et sjovt lille program, som brugeren intetanende installerer, og som udover at vise en sjov film eller køre et lille spil placerer en såkaldt trojansk hest på brugerens system.
Fysisk adgang
Kan en person skaffe sig fysisk adgang til en pc eller et netværk, vil han oftest også kunne bryde ind på den/det. Han kan benytte pc'er, der står tændt uden password-beskyttelse, han kan sætte sniffere på netværket, han kan ændre administrator-passwords, han kan gennemrode personlige oplysninger på papir osv. Og i mange tilfælde vil han finde passwordoplysninger skrevet ned i nærheden af pc'erne. En hacker kan udgive sig for at være reparatør, cykelbud, madleverandør, journalist, der vil skrive om firmaet el.lign.
Google-metoden
Med internettets gigantiske mængder af databaser med oplysninger om os alle sammen, er det ikke svært at finde oplysninger om familieforhold, kærestens telefonnummer, kæledyr osv. Endnu en måde at gætte sig til passwords eller en metode til at kunne bruge den psykologiske metode mere effektivt.
5 gode råd:
1. Brug din sunde fornuft
Det burde være indlysende, at sund fornuft tilsiger, at man ikke udleverer sit password til fremmede personer. Men det er straks sværere at genkende et forsøg på social engineering, hvis vedkommende ikke beder om et password.
Der findes adskillige små tommelfingerregler, der kan hjælpe dig til at gennemskue et forsøg på social engineering. Hvis du får en henvendelse udefra, kan du bl.a. se på om vedkommende:
• Nægter eller tøver med at oplyse præcis hvem han/hun er - og hvordan han/hun kan kontaktes. Specielt hvis du får at vide "jeg kan ikke kontaktes i dag - jeg skal nok ringe tilbage til dig."
• Har travlt eller skynder på dig.
• Bruger meget "name-dropping" - f.eks. "din chef, Jens, har bedt mig om..." eller "jeres it-mand, Simon, sagde du skulle...".
• Forsøger at skræmme dig til at gøre noget. F.eks. "hvis du ikke....., så kan du jo nok se, at vi ikke kan nå projektet indenfor tidsplanen", eller "nu må du tage dig sammen, ellers er det dit job, der hænger i en tynd tråd".
• Kommer med mærkelige spørgsmål, der ikke passer ind i sammenhængen eller ind i firmaet. Staver eller udtaler navne forkert.
• Beder om klassificeret information.
2. Lav procedurer for
kontrol og verifikation
Ethvert firma bør have indført procedurer for udlevering af følsomme oplysninger og kontrol af personer og henvendelser udefra.
3. Lær om metoderne
Se ovenfor.
4. Vær skeptisk
Vær altid skeptisk overfor følsomme spørgsmål udefra og overfor udefrakommende personer, der har fået adgang til dit firma eller din bopæl. Følg håndværkere rundt i bygningen, hav lås på dørene til følsomme informationer, sæt password på din pauseskærm, verificer identiteten på folk osv. osv.
5. Brug gode passwords
Mange hvis ikke de fleste forsøg på social engineering har til formål at skaffe passwords til it-systemer. Brug evt. de gode råd om passwords på www.1984.dk.
Husk, at social engineering ikke altid er ensbetydende med en direkte henvendelse fra en person. Du kan også blive narret til at give følsomme oplysninger i webformularer, mails, på papir, via din papirkurv osv.
It sikkerhed og kryptering