Информациона безбедност: Човек је најслабија карика

Кевин Митник је најпознатији хакер у историји. Још 1995. ухапшен је у спектакуларној акцији ФБИ-ја и пет година провео је иза решетака због својих вештина. Био је инспирација за филм „Takedown“, а аутор је и неколико књига, од којих су код нас преведене „Уметност обмане“ (2002) и „Уметност упада“ (2005), обе написане у сарадњи са Вилијамом Л. Сајмоном.

Када говоримо о хаковању, говоримо о искорићшавању мањкавости неког система. Да бисмо могли да уочимо мањкавости, морамо или познавати систем, или је потребно да нам неко на њих укаже. Када неко утврди грешку у неком од познатих система, најчешће се информације о томе прошире и затим многи покушају да их искористе. Митник верује да, осим сигурносних пропуста у софтверу и хардверу, постоји заправо много једноставнији начин да се жељено добије.

„Компаније троше милионе долара на мрежне сигурносне системе (firewall) и системе за контролу приступа, а тај новац је протраћен јер ниједна од тих мера не решава проблем најслабије карике у ланцу безбедности – људе који користе, администрирају и уређују компјутерске системе.“

 

Тај приступ се зове социјални инжењеринг (social engineering) и представља акт манипулације којим се људи наводе да одају поверљиве информације. Неретко, улаз је преко особе која није ни свесна да је изманипулисана, а последице временом могу бити огромне.

Заправо, неретко у медије изађе прича о великим безбедносним скандалима великих компанија, а анализом се испостави да је корен проблема непажња неког готово неприметног у „ланцу исхране”.

Као што се искоришћавају пропусти у коду, тако манипулатори искоришћавају пропусте у процедурама, али и у људском размишљању. Ако сте концентрисани, одморни, на опрезу, шансе да се такво нешто деси су мање, али ако се створе околности у којима сте под стресом, под притиском рокова или надређених, лакше ћете направити грешку. Некада то не мора бити грешка извршиоца, већ грешка у пројектовању самог система. Хајде да разрадимо пар ситуација.

Да би неко приступио вашем профилу на Фејсбуку, мора да зна ваш имејл и ширфу, је л’ тако? Тако је, али… Ако их не зна, може увек да покуша да одговори на сигурносна питања или затражи шифру на ваш имејл. Може да проба да одговори на питања, и можда ће имати среће. Ако пак не зна одговоре, опција је имејл. Тамо исто мора да има вашу шифру, или може окушати срећу са питањима. Знате да су та питања увек типска. Знате и колико људи не воле да се тиме баве, па бирају најчешћа питања? То су типска питања попут:

• Које је име вашег првог кућног љубимца?
• Како је гласило девојачко презиме ваше мајке?
• Како вам се звала омиљена наставница у школи?
• Које марке је био ваш први аутомобил?
• Како вам се звала прва симпатија?

и слично.

Колико ваших блиских пријатеља зна одговоре на ова питања? Скоро сви. Да ли је тешко доћи до тих одговора? Уз мало труда, могу се добити и од вас, а вероватно и од њих. Знате она ћаскања на славама, рођенданима и слично? Ако сте блогер или делите информације о себи на друштвеним медијима на пример, можда неке од набројаних ствари држите и јавно. Рецимо, анализа пинова каже да знатан број корисника и код оваквих, нумеричких ствари, има врло предвидљиве резултате – родитељи користе рођендане деце, заљубљени користе рођендане симпатија и слично.

Ситуација је прилично забрињавајућа, зар не. Убаците у ту рачуницу сада човека. Рецимо, замислите неки кол-центар. Процес идентификације најчешће тече на следећи начин: представите се, агент вам тражи последње цифре ЈМБГ-а и евентуално име родитеља или нешто слично. За многе од нас, већина тих података је јавно доступна, ако знате где да их тражите. Ако неким случајем и нису, могуће је створити ситуацију у којој ће неко лако доћи до њих.

Да ли сте некада, на већ поменутим славама или рођенданима, имали ситуацију да коментаришете како су вам фотографије за документа скандалозно лоше, а затим да међусобно размените пасоше, возачке или личне карте, да се „похвалите“? Да ли сте некада давали некоме да у име групе купи путно осигурање пред пут или нешто слично? Чак и да нисте, бројне су ситуације и људи који имају приступ тим подацима. Људи на вашем факултету, ваш послодавац, као и сви повезани као нпр. књиговође, туристичке агенције. Ако неко жели да то искористи, има начина. Јер за систем, ако неко зна сет информација који се користе за иденфитикацију, он је ви.

Да ли то значи да не треба да се дружите са људима? Не, наравно. Само треба да будете свесни света у коме живите.

У култном филму „Покераши“ (“Rounders”), Мет Дејмон генијално игра лик Мајка Макдермота, бриљантног покераша који се саплиће пар пута на путу ка великом новцу и светској слави. У томе му не помаже превише што има пријатеље са лошим навикама, али то није битно. Реченица којом Мајк као наратор отвара филм јесте:

„Ако у првих пола сата за столом не провалите ко је наивчина, онда сте то ви.“

Ово се односи на покер и покерашки сто, али се односи и на многе друге ситуације у животу.

Елем, погледајте филм, свакако. Савршен је. А даћу вам само пар цртица које треба да имате у виду. Коцка се тако зове јер је у питању срећа, а срећа је нешто на шта се не може утицати, је ли тако?

Тако је, у принципу. Тако је, ако играте нешто где не постоји људски фактор. На рулету, срећа је све.

Ако играте покер против живих противника, срећа је само део приче. Јер ви не играте само против игре – играте против игре, и играте против човека. Да бисте победили, не морате имати најбоље карте за столом. Морате само да учините да сви помисле да имате боље од њих. А то можете урадити и са „даскама“ (израз који се користи за слабу руку која нема шансе да победи).

Филм је стар двадесетак година и тада покер није био нешто што се редовно преносило на телевиији, као данас. Ипак, Мајк каже једну ствар својој девојци Џо (коју игра предивна Гречен Мол):

„Зашто све време говориш о томе као о коцкању? Шта мислиш, зашто пет истих људи сваке године заврши за финалним столом финала Светске покер серије (World Series of Poker)? Шта су они, најсрећнији људи у Вегасу?“

 

Ситуација се ни данас није превише променила. Ако се ослањате само на срећу, пре или касније ћете остати без ње. Ако постоји још нешто поред пуке среће, ваше шансе се повећавају.

Велики Морис Сачи је увек приликом изласка на преговоре један на један говорио: „Не морам да победим, морам само да натерам тебе да изгубиш.”