Kevin Mitnick: Ο διασημότερος hacker και η Κοινωνική Μηχανική

Μήπως, τελικά, δεν αρκεί ένα ασφαλές λειτουργικό σύστημα και ο πανάκριβος εξοπλισμός για την ασφάλεια των δεδομένων μας; Μήπως τα χειρότερα bugs είναι στο ανθρώπινο «hardware»;

Η ασφάλεια των υπολογιστών και του Διαδικτύου στις ημέρες μας είναι κάτι που επιδιώκεται απ' όλους. Τους απλούς και μεμονωμένους χρήστες απασχολεί η τύχη των προσωπικών δεδομένων τους. Τις επιχειρήσεις απασχολεί η ασφάλεια των οικονομικών συναλλαγών τους και γενικότερα κάθε τομέας της δραστηριότητάς τους όπου χρησιμοποιούνται υπολογιστικά συστήματα. Για τους παραπάνω λόγους δαπανώνται τεράστια χρηματικά ποσά για την ασφάλεια των δεδομένων, των υπολογιστών και των δικτύων. Οι απλοί χρήστες πολλές φορές αλλάζουν λειτουργικό σύστημα (π.χ., βάζουν Linux), αγοράζουν λογισμικό για την αντιμετώπιση των κακόβουλων προγραμμάτων και εγκαθιστούν κάποιο firewall. Στις επιχειρήσεις, ανάλογα με το μέγεθός τους, αυτές οι προσπάθειες είναι πιο συστηματικές. Μπορεί να αγοραστούν πανάκριβος εξοπλισμός και λογισμικό. Σε κάποιες περιπτώσεις, ειδικά στο εξωτερικό, το προσωπικό μπορεί να παρακολουθήσει και σεμινάρια σχετικά με την ασφάλεια των συστημάτων τους. Αρκούν όμως όλα αυτά; Η απάντηση είναι ξεκάθαρα όχι. Αυτό που συνήθως διαφεύγει απ' όλους είναι πως ο πιο αδύναμος κρίκος στην αλυσίδα που λέγεται ασφάλεια είναι ο ανθρώπινος παράγοντας.

Οι άνθρωποι έχουμε αδυναμίες και ελαττώματα. Κάποιες φορές δρούμε συναισθηματικά και επιπόλαια. Αυτά τα έμφυτα χαρακτηριστικά της ανθρώπινης φύσης μπορούν να καταστήσουν εντελώς άχρηστο εκείνο το πανάκριβο hardware firewall που καταξοδευτήκαμε για να αποκτήσουμε ή τη διανομή που κοπιάζαμε τόσο καιρό για να τη φέρουμε στα μέτρα μας. Ακριβώς αυτές τις αδυναμίες της ανθρώπινης φύσης εκμεταλλεύτηκε ο Kevin Mitnick, που έμελλε να γίνει ο διασημότερος hacker στον κόσμο,φυσικά, με την αρνητική έννοια του όρου. Και για αυτό κατέληξε στη φυλακή πρώτα το 1988 (για 12μήνες) και τέλος, το 1995 (για πέντε χρόνια). Όμως ο Mitnick δεν ήταν απλώς ένας «μάγος» των υπολογιστών. Κι αυτό γιατί, για να αποκτήσει πρόσβαση σε έναν server ή σε ένα δίκτυο υπολογιστών, ο Kevin χρησιμοποιούσε κάτι που λέγεται κοινωνική μηχανική. Και ήταν τόσο επιδέξιος σε αυτήν, ώστε οι πράκτορες του FBI έφτασαν στο σημείο να ζητήσουν να μπει σε απομόνωση στη φυλακή, με τη δικαιολογία ότι «μπορούσε να ξεκινήσει πυρηνικό πόλεμο, σφυρίζοντας απλώς στο τηλέφωνο»! Βέβαια, όσοι θυμούνται τα παλιά modems, καταλαβαίνουν ότι αυτό ήταν αδύνατο. Η ουσία όμως παραμένει. Ο Mitnick πετύχαινε να πάρει αυτό που ήθελε (πληροφορίες για να αποκτήσει πρόσβαση), απλώς μιλώντας στον κατάλληλο άνθρωπο.

Η Κοινωνική Μηχανική

Τι είναι όμως η κοινωνική μηχανική (social engineering) και τι μπορούμε να διδαχθούμε από τον μεγαλύτερο hacker όλων των εποχών; Ως κοινωνική μηχανική θα ορίζαμε τη διάτου λόγου χειραγώγηση κάποιου ατόμου ή ατόμων με σκοπό την απόσπαση εμπιστευτικών πληροφοριών ή για την πραγματοποίηση κάποιων πράξεων που δίνουν πρόσβαση σε υπολογιστικά συστήματα. Υπάρχουν διάφορες τεχνικές κοινωνικής μηχανικής και όλες βασίζονται στην εκμετάλλευση των ανθρώπινων αδυναμιών και προκαταλήψεων, δηλαδή των bugs του ίδιου του ανθρώπου (δείτε το πλαίσιο «Τεχνικές Κοινωνικής Μηχανικής»). Στην πράξη, ένας ικανός κοινωνικός μηχανικός μπορεί να αποσπάσει πληροφορίες που όχι μόνο δεν βάζουν σε υποψία το θύμα, αλλά μπορεί να του δημιουργήσουν την ψευδαίσθηση πως κάνει κάτι πολύ σημαντικό ή ακόμη και πως βοηθά έναν απελπισμένο συνάδελφο του! Ουσιαστικά λοιπόν μέσω της κατανόησης της κοινωνικής μηχανικής δεν θα μάθουμε απλώς πώς να αντιμετωπίζουμε τους hackers. Κυρίως θα δούμε πώς να αντιμετωπίζουμε δύο πολύ μεγαλύτερους κινδύνους: την ανθρώπινη φύση και τον ίδιο τον εαυτό μας. Ας περάσουμε όμως στον ίδιο τον Kevin Mitnick και τα... κατορθώματά του.

Τα «κατορθώματα» του Mitnick

Η επαφή του Kevin με την κοινωνική μηχανική ξεκίνησε στην ηλικία τον 12 ετών. Κάνοντας τις κατάλληλες ερωτήσεις σε έναν οδηγό λεωφορείου, κατανόησε το μηχανισμό με τον οποίο φτιάχνονταν τα διάτρητα εισιτήρια των μέσων μαζικής μεταφοράς του Λος Άντζελες. Μη φανταστείτε κάτι τρελό. Απλώς έμαθε πού μπορεί να αγοράσει ένα δικό του σύστημα διάτρησης και το έκανε. Έτσι, ο μικρός Kevin μπορούσε να ταξιδεύει στην πόλη του δωρεάν! Στο Λύκειο μυήθηκε από το «τηλεφρικιό» με το παρατσούκλι Petronix στο λεγόμενο phone phreaking. Το phone phreaking ήταν πολύ διαδεδομένο εκείνη την εποχή και ήταν ένα είδος hacking στα τηλεφωνικά δίκτυα που επέτρεπε δωρεάν κλήσεις (σ.σ.: Για παράδειγμα, στα παλιά παλμικά συστήματα τηλεπικοινωνιών υπήρχαν οι λεγόμενοι «αριθμοί υπηρεσίας». Αν τους ήξερες, έκανες παιχνίδι!). Δωρεάν, βέβαια, ήταν οι κλήσεις για τα τηλεφρικιά, αφού συνήθως τις χρεωνόταν κάποια εταιρεία. Οι γνώσεις του αλλά και η φήμη του άρχισαν να μεγαλώνουν και σύντομα πέρασε σε πιο δύσκολους στόχους. Κατάφερε λοιπόν να υποκλέψει τον πηγαίο κώδικα του λειτουργικού συστήματος VMS. Επίσης, απέκτησε δικαιώματα διαχειριστή σε κάποιο μίνι υπολογιστή της IBM, απλώς και μόνο να κερδίσει ένα στοίχημα και το χρηματικό έπαθλο της εταιρείας. Θύματά του έπεσαν οι εταιρείες Motorola, NEC, Nokia, Sun, Fujitsu Siemens και πιθανότατα αρκετές άλλες, που όμως δεν παραδέχθηκε επίσημα. Σύντομα ο Kevin έγινε ο Νο 1 καταζητούμενος hacker στην Αμερική και παρά το ανθρωποκυνηγητό που είχε εξαπολυθεί εναντίον του από τις Αρχές, κατάφερνε να διαφεύγει επί σειρά ετών. Χρησιμοποιώντας και πάλι τεχνικές hacking και κοινωνικής μηχανικής, βρισκόταν πάντοτε ένα βήμα μπροστά από τους διώκτες του... Για να περιγράψουμε όλα τα κατορθώματα του Mitnick, θα χρειαζόμασταν ένα ολόκληρο τεύχος. Αυτό που αξίζει να αναφέρουμε, είναι ότι η τρομολαγνεία που είχαν καλλιεργήσει τα μέσα μαζικής ενημέρωσης και οι Αρχές για το πρόσωπό του πήραν απίστευτες διαστάσεις. Η κοινή γνώμη, αλλά ακόμη και ο εισαγγελέας που εξέδωσε το ένταλμα σύλληψής του, είχαν πιστέψει ότι μπορούσε να εξαπολύσει τα πυρηνικά των ΗΠΑ με τον υπολογιστή του ή με μία απλή τηλεφωνική συσκευή!

Σειρά έχει τώρα να δούμε κάτι πιο χειροπιαστό και συγκεκριμένα διάφορα σενάρια κοινωνικής μηχανικής, ώστε να κατανοήσουμε πώς μία φαινομενικά αθώα απάντηση μπορεί να έχει σοβαρές επιπτώσεις.

Η πιστωτική κάρτα του Κώστα

Ο Κώστας πρόσφατα έμαθε να χρησιμοποιεί Linux. Δουλεύει πολύ προσεκτικά με τον υπολογιστή του και κάνει ελάχιστες συναλλαγές μέσω Διαδικτύου και πάντα σε αξιόπιστες ιστοσελίδες. Πού και πού νοικιάζει μερικές ταινίες από το βιντεοκλάμπ της γειτονιάς του. Ο Κώστας αισθάνεται σίγουρος για την πιστωτική κάρτα του. Μόνο που ο κοινωνικός μηχανικός Γιάννης την έχει βάλει στο μάτι και γνωρίζει χοντρικά τις συνήθειες του Κώστα. Όπως θα δούμε στο παρακάτω υποθετικό σενάριο, αρκούν τρία τηλεφωνήματα για να πετύχει το στόχο του. Αρχικά, ο Γιάννης παίρνει τηλέφωνο στο βιντεοκλάμπ απ' όπου νοικιάζει ταινίες ο Κώστας. Ακολουθεί ο παρακάτω διάλογος.

– Χριστίνα Κ., Βιντεοκλάμπ Χ: Πώς μπορώ να σας εξυπηρετήσω;
– Χριστίνα, γεια σου. Είμαι ένας ευχαριστημένος πελάτης σας και θα ήθελα να στείλω μία συγχαρητήρια επιστολή στο
διευθυντή του υποκαταστήματός σας. Πώς τον λένε;
– Δημήτρη Κ. (Η Χριστίνα ενθουσιάζεται.)
– Χμ... τώρα που το σκέφτομαι, γιατί να μην στείλω μία επιστολή κατευθείαν στα κεντρικό κατάστημα της αλυσίδας; Ποιο είναι, αλήθεια, το νούμερο του υποκαταστήματός σας;
– Το υποκατάστημά μας είναι το 26. (Ο ενθουσιασμός της Χριστίνας μεγάλωσε περισσότερο και μέσα της εύχεται να είχε περισσότερους τέτοιους πελάτες.)
– ΟΚ. Σ' ευχαριστώ και καλή σου μέρα.

Δεύτερο τηλεφώνημα

Ο Γιάννης τώρα παίρνει στα κεντρικά του βιντεοκλάμπ:
– Μαρία Λ., κατάστημα Συντάγματος. Πώς μπορώ να σας εξυπηρετήσω;
– Καλημέρα, Μαρία. Είμαι ο Δημήτρης Κ, ο διευθυντής του υποκαταστήματος 26 που βρίσκεται στην πλατεία Κυψέλης.
– Ναι, κύριε Δημήτρη, πείτε μου. (Η Μαρία ήδη, ακούγοντας μία τόσο ειδική πληροφορία, όπως ο αριθμός του καταστήματος, χαλαρώνει, αφού είναι ορολογία της δουλειάς.)
– Ξέρεις, ένας πελάτης μού ζήτησε το «Ράμπο 2», αλλά δεν το έχω διαθέσιμο. Μπορείς να τσεκάρεις αν το έχετε εσείς;
– Μισό λεπτό να κοιτάξω, Δημήτρη. Ναι, εμείς το έχουμε διαθέσιμο σε τρία αντίγραφα και σε δύο το υποκατάστημα στα Πατήσια.
– ΟΚ. Σ' ευχαριστώ πολύ και καλό σου βράδυ.

Ο Γιάννης μέσα στην εβδομάδα παίρνει και άλλα τηλέφωνα ως Δημήτρης από το υποκατάστημα 26, ζητώντας πότε το ένα και πότε το άλλο. Είναι πάντοτε ευγενικός και τυπικός και ήδη η φωνή του έχει γίνει οικεία στη Μαρία.

Τελευταίο τηλεφώνημα και φαρμακερό!

Αυτήν τη φορά, ο Γιάννης τηλεφωνεί στη Μαρία παριστάνοντας και πάλι το διευθυντή του καταστήματος 26, αλλά τώρα ακούγεται αναστατωμένος:
– Καλησπέρα, Μαρία! Εσείς είχατε πρόβλημα με τους υπολογιστές σας;
– Όχι, όλα είναι μια χαρά...
– Σε εμάς το δίκτυο δεν λειτουργεί εδώ και ώρα. Μήπως μπορείς να με βοηθήσεις λίγο;
– Ναι...
– Έχω εδώ έναν πελάτη που θέλει να νοικιάσει το «Matrix». Το όνομα του είναι Κώστας Κ. Μπορείς να τσεκάρεις αν είναι αξιόπιστος; Μήπως έχει καθυστερήσει να επιστρέψει ταινίες;
– Ναι, τον βρήκα. Όχι, εδώ και δύο χρόνια είναι άψογος
– Έχει ξεχάσει την πιστωτική κάρτα του. Αφού είναι αξιόπιστος, δεν μου λες τον αριθμό της και την ημερομηνία λήξης για να τον εξυπηρετήσω;
– Ναι. Μισό λεπτό... Γράφεις; Η πιστωτική κάρτα του είναι...

Στόχος επετεύχθη! Χρησιμοποιώντας κοινωνική μηχανική και με μερικά τηλεφωνήματα, ο Γιάννης είχε μόλις αποκτήσει την πιστωτική κάρτα του Κώστα, ενώ η Μαρία νόμιζε πως βοήθησε έναν συνάδελφο και έναν καλό πελάτη...

Ο υπολογιστής της γραμματέως

Ο κοινωνικός μηχανικός Γιάννης αυτήν τη φορά θέλει να αποκτήσει πρόσβαση στον υπολογιστή της Σοφίας Κ., που εργάζεται ως γραμματέας σε μία πολυεθνική εταιρεία. Και πάλι, σηκώνει το τηλέφωνο και παριστάνει κάποιον άλλο για να κερδίσει την εμπιστοσύνη της. Αυτήν τη φορά, υποκρίνεται ότι είναι ένας «ειδικός», ένας τεχνικός δικτύων μίας συνεργαζόμενης εταιρείας. Ο διάλογος μπορεί να είναι κάπως έτσι:

– Σοφία Κ. Πώς μπορώ να σας εξυπηρετήσω;
– Γεια σου, Σοφία. Είναι ο τεχνικός Αλέξης Τ. από την εταιρεία Χ που έχει αναλάβει τα δίκτυά σας. Μήπως έχεις κάποιο πρόβλημα; Δουλεύουν όλα κανονικά;
– Ναι, όλα μια χαρά.
– ΟΚ. Υπάρχει ένα πρόβλημα με το δίκτυο και ίσως επηρεάσει και εσένα.
– Αχ, μη μου λες τέτοια, γιατί έχω πολλή δουλειά...
– Χμ... ΟΚ. Σε περίπτωση που σου συμβεί, πάρε με τηλέφωνο στο κινητό 693 34567ΧΧ για να σου το φτιάξω όσο πιο σύντομα γίνεται. Μόνο κάνε μου μία χάρη, για να ξέρω ποιον υπολογιστή να φτιάξω.
– Μα εγώ είμαι άσχετη από υπολογιστές!
– Είναι εύκολο. Πήγαινε πίσω στο κουτί του υπολογιστή, ακολούθησε το καλώδιο του δικτύου έως τον τοίχο και πες μου τι νούμερα γράφει εκεί.
– Ναι. Λέει θύρα 5-67.

Η Σοφία ικανοποιήθηκε που θα έχει άμεση εξυπηρέτηση και αισθάνθηκε και λίγο geek που έκανε κάτι τόσο δύσκολο.

Δεύτερο τηλεφώνημα στην εταιρεία

– Καλημέρα. Είμαι ο Θανάσης από το λογιστήριο της εταιρείας Χ. Επειδή εδώ έχουμε μπερδέματα με κάτι καλώδια, μήπως μπορείτε να απενεργοποιήσετε για 20 λεπτά τη θύρα 5-67;
– Χμ, ΟΚ.

Η Σοφία έπειτα από αυτό παίρνει τρομοκρατημένη τηλέφωνο τον τεχνικό Αλέξη Κ., που στην πραγματικότητα είναι ο κοινωνικός μηχανικός.

– Αλέξη, είχες δίκιο. Αυτή η καταραμένη βλάβη επηρέασε και εμένα. Σε παρακαλώ, φτιάξε το άμεσα.
– ΟΚ. Θα κάνω ό,τι μπορώ. Δοκίμασε και πάλι σε 20 λεπτά και πάρε με τηλέφωνο να με ενημερώσεις αν όλα είναι εντάξει.

Η Σοφία ξαναπαίρνει τον «τεχνικό» και τον ευχαριστεί για την άμεση αποκατάσταση της «βλάβης». Στην πραγματικότητα, η θύρα ήταν απενεργοποιημένη για λίγα λεπτά και δεν υπήρχε καμία βλάβη.

– Όλα είναι εντάξει τώρα, Αλέξη, σ' ευχαριστώ.
– Χαίρομαι. Αλλά για να μη σου ξανασυμβεί, πρέπει να κάνεις κάτι και πάλι.
– Μα σου είπα ότι είμαι άσχετη από υπολογιστές...
– Μια χαρά τα κατάφερες και πριν. Λοιπόν, θα μπεις στο Ίντερνετ. Θα κατεβάσεις αυτό το μικρό πρόγραμμα που θα
σου πω και θα το εγκαταστήσεις στον υπολογιστή σου.

Η Σοφία τώρα αισθανόταν γκουρού στους υπολογιστές. Μόνο που είχε εγκαταστήσει έναν Δούρειο Ίππο στο PC της με το δήθεν patch της σελίδας που της υπέδειξε ο «τεχνικός» Αλέξης.

Συμπεράσματα

Οι παραπάνω ιστορίες μάς διδάσκουν ότι όσο καλά προστατευμένος και αν είναι ο υπολογιστής μας μέσω λογισμικού και πανάκριβου εξοπλισμού, θα υπάρχει πάντα ένας μεγάλος κίνδυνος: η ανθρώπινη φύση που εξαπατάται εύκολα. Θα πρέπει λοιπόν να προσέχουμε, γιατί ακόμη και μία φαινομενικά ασήμαντη πληροφορία μπορεί να οπλίσει έναν κακόβουλο κοινωνικό μηχανικό...

Ο αμφιλεγόμενος κ.Mitnick

Το 1979, όταν ήταν 16 ετών, έπεσε στα χέρια του Mitnick ο κωδικός πρόσβασης στο σύστημα όπου η DEC ανέπτυσσε το λειτουργικό RSTS/E. O Mitnick δεν έχασε την ευκαιρία και αντέγραψε το λειτουργικό. Καταδικάστηκε γι' αυτό το 1988 σε 12 μήνες φυλακή και 3 χρόνια ελεύθερος με περιοριστικούς όρους. Στις αρχές της δεκαετίας του 1990, παραβίασε τα συστήματα της εταιρείας τηλεπικοινωνιών Pacific Bell, με αποτέλεσμα να εκδοθεί ένταλμα εναντίον του. Από τότε ξεκίνησε μία εκστρατεία για τη σύλληψή του, με τα ΜΜΕ και τις Αρχές να τον παρουσιάζουν ως τον υπέρτατο hacker, έτοιμο να καταστρέψει τα πάντα. Συνελήφθη έπειτα από δυόμισι χρόνια, το 1995, στη Βόρεια Καρολίνα. Πάνω του βρέθηκαν κινητά τηλέφωνα-κλώνοι, κωδικοί για κινητά, και ψεύτικες ταυτότητες. Όπως αποδείχτηκε, είχε «εισβάλει» στο FBI και στην DEC, αλλά και σε συστήματα της Motorola, της NEC, της Nokia, της Sun και της Fujitsu. Η δίκη του έγινε το 1999, έπειτα από τέσσερα χρόνια προφυλάκιση, και εκεί δήλωσε ένοχος σε μία σειρά αδικημάτων για να πετύχει συμβιβασμό. Στο μεταξύ όμως, με τη δημοσιότητα που είχε πάρει η υπόθεσή του, φιλοτεχνήθηκε μία μεγαλοποιημένη εικόνα για τον Mitnick, στον οποίο αποδίδονται πολύ περισσότερα απ' όσα είχε κάνει. Υποτίθεται πως είχε καταφέρει να παραβιάσει συστήματα στην Pacific Bell, στο Πεντάγωνο, στη Novell, σε πανεπιστήμια και σχολικές περιφέρειες, υπόκλεπτε e-mails, έκανε δωρεάν τηλεφωνήματα, αλλά και παρακολουθούσε πράκτορες της NSA. To τι είναι αλήθεια και τι όχι, δεν θα το μάθουμε ποτέ, αν και ο ίδιος έχει εκδώσει τρία βιβλία όπου εξιστορεί τη δική του εκδοχή. Ο Mitnick αποφυλακίστηκε υπό όρους το 2000, αφού έκανε οκτώ μήνες σε απόλυτη απομόνωση (σ.σ.: Οι Αρχές πίστευαν όντως ότι μπορούσε να ξεκινήσει παγκόσμιο πόλεμο με ένα τηλεφώνημα!). Μέχρι το 2003, του είχαν επιβληθεί περιοριστικοί όροι: για κάποιο διάστημα του απαγόρευαν να χρησιμοποιεί οτιδήποτε άλλο εκτός από σταθερό τηλέφωνο. Έκτοτε βγάζει αρκετά χρήματα ως σύμβουλος ασφάλειας μέσω της εταιρείας που έχει φτιάξει, αλλά και από τα τρία βιβλία που έχει εκδώσει – δείτε τα [3], [4], [5]. Η πραγματική ιστορία του έγινε ντοκιμαντέρ το 2001 με τίτλο «Freedom Downtime» [6] από το ιστορικό περιοδικό «2600», το οποίο είχε ξεκινήσει την καμπάνια «Free Kevin». Στο [7] μπορείτε να δείτε μία συνέντευξή του Mitnick στο «2600», λίγο καιρό μετά την οριστική απελευθέρωσή του, το 2003.

Δεν αρκεί να τρέχουμε μια ασφαλή διανομή....

Βασικές Τεχνικές Κοινωνικής Μηχανικής

Pretexting
Είναι η βασική τεχνική. Εδώ ο επιτιθέμενος κατασκευάζει και εφαρμόζει ένα σενάριο στο θύμα του, με στόχο να του αποσπάσει τις πληροφορίες που θέλει. Συνήθως, το pretexting βασίζεται σε ένα αληθοφανές ψέμα, μία πληροφορία για τις συνήθειες του θύματος και σχεδόν πάντα στην προσποίηση κάποιου άλλου προσώπου. Πολλές φορές, ο επιτιθέμενος αρκεί να θέσει μερικές εύστοχες ερωτήσεις σε έναν άνθρωπο του οποίου έχει κερδίσει την εμπιστοσύνη.

Κλοπή με εκτροπή
Πρόκειται για τεχνική που προέρχεται από τους κοινούς κλέφτες. Έχει στόχο να εκτρέψει το θύμα από τον αρχικό προορισμό του, με σκοπό την κλοπή. Στο πιο απλό σενάριο, ο επιτιθέμενος επιχειρεί εξαπατά έναν μεταφορέα (π.χ., μίας πληροφορίας) ότι ο παραλήπτης δεν βρίσκεται εκεί που νομίζει, αλλά εκεί που θα του πει ο ίδιος, με σκοπό να υποκλέψει αυτό που μεταφέρει. Μία παραλλαγή είναι ο συνδυασμός pretexting με εκτροπή. Με αυτήν, ο επιτιθέμενος ξεφουρνίζει μία πιστευτή ιστορία σε κάποιον ανώτερο υπάλληλο, για να τον πείσει να αλλάξει ο ίδιος τις οδηγίες προς το μεταφορέα και να τον κατευθύνει εκεί που θέλει, ώστε να του πάρει την πληροφορία.

Phishing
Εδώ έχουμε με μία ομάδα τεχνικών που όλες αποσκοπούν να εξαπατήσουν το θύμα ώστε να δώσει μία ιδιωτική ή απόρρητη πληροφορία. Για παράδειγμα, phishing είναι τα e-mails που λαμβάνουμε όπου κάποιος άγνωστος μας πληροφορεί ότι κερδίσαμε ένα εκατομμύριο δολάρια και θέλει «απλώς» να του απαντήσουμε στο e-mail με τον τραπεζικό λογαριασμό μας (σ.σ.: Φτου! Ώστε ήταν απατεώνες; Εγώ περίμενα το εκατομμύριο!). Παλιότερα, αυτό γινόταν και μέσω τηλεφώνου (phone phishing), όπου ένα αυτόματο σύστημα ή ο θύτης ζητούσε από το θύμα να του δώσει κωδικούς ή PIN, δήθεν για να επιβεβαιώσει ή να διορθώσει κάτι. Ακόμα, υπάρχει το baiting, όπου ο επιτιθέμενος αφήνει ένα κατάλληλο δόλωμα, π.χ., ένα USB stick με δήθεν απόρρητα στοιχεία, σε ένα σημείο για να το δει και να το πάρει το θύμα. Στην πράξη, το δόλωμα είναι Δούρειος Ίππος. Αρκεί το θύμα να το εισαγάγει στον υπολογιστή του και τα υπόλοιπα θα τα αναλάβει το κακόβουλο λογισμικό που θα εγκατασταθεί κάτω από τη μύτη του.

Quid pro quo
Στα Λατινικά, σημαίνει «κάτι για κάτι άλλο». Το σκεπτικό είναι απλό: Δώσε σε κάποιον κάτι που έχει ανάγκη για να του αποσπάσεις κάτι πολύ πιο σημαντικό, π.χ., τον κωδικό του υπολογιστή του. Στην πιο απλή περίπτωση, κάποιος καλεί τυχαίους εσωτερικούς αριθμούς σε μία εταιρεία, παριστάνοντας τον τεχνικό που καλεί για να λύσει κάποιο πρόβλημα. Μόλις βρει έναν υπάλληλο που αντιμετωπίζει κάποιο πρόβλημα, του το λύνει, ενώ παράλληλα τον ωθεί να του δώσει πρόσβαση στον υπολογιστή του. Το δεύτερο παράδειγμα με τη γραμματέα περιέχει μία μορφή quid pro quo σε συνδυασμό με pretexting.

Tailgating
H πιο απλή και τυπική τεχνική για να αποκτήσει κάποιος μη εξουσιοδοτημένη πρόσβαση σε ένα μέρος με αυτόματο σύστημα ασφαλείας. Απλώς ακολουθεί έναν εξουσιοδοτημένο και ανυποψίαστο υπάλληλο έως την πόρτα με το σύστημα ασφαλείας και μπαίνει μαζί του. Ο υπάλληλος μπορεί από ευγένεια να του κρατήσει την πόρτα ανοικτή χωρίς καν να ρωτήσει ποιος είναι ή, αν τον ρωτήσει, μπορεί να πιστέψει την ιστορία που θα του πει ο επιτιθέμενος για να του ανοίξει την πόρτα.

•
Σύνδεσμοι
[1] Wikipedia - Kevin Mitnick: http://goo.gl/Crnio
[2] Wikipedia - Social Engineering: http://goo.gl/uKBsk
[3] Kevin Mitnick «The Art of Deception" (2005) http://goo.gl/J4sEh
[4] Kevin Mitnick: «The Art Of Intrusion» (2002) http://goo.gl/rwtc3
[5] Kevin Mitnick: «Ghost in the Wires» (2011) http://goo.gl/J4sEh
[6] Ταινία «Freedom DownTime» από το περιοδικό «2600»: http://goo.gl/Gs4aX
[7] Συνέντευξη του Mitnick στο «2600» το 2003: http://goo.gl/rEnjq