Informaciona bezbednost: Čovek je najslabija karika

FacebookTwitterLinkedinEmail
15/07/2020
Čovek je najslabija karika

Kevin Mitnik je najpoznatiji haker u istoriji. Još 1995. uhapšen je u spektakularnoj akciji FBI-ja i pet godina proveo je iza rešetaka zbog svojih veština. Bio je inspiracija za film "Takedown", a autor je i nekoliko knjiga, od kojih su kod nas prevedene „Umetnost obmane“ (2002) i „Umetnost upada“ (2005), obe napisane u saradnji sa Vilijamom L. Sajmonom.

Kada govorimo o hakovanju, govorimo o iskorićšavanju manjkavosti nekog sistema. Da bismo mogli da uočimo manjkavosti, moramo ili poznavati sistem, ili je potrebno da nam neko na njih ukaže. Kada neko utvrdi grešku u nekom od poznatih sistema, najčešće se informacije o tome prošire i zatim mnogi pokušaju da ih iskoriste. Mitnik veruje da, osim sigurnosnih propusta u softveru i hardveru, postoji zapravo mnogo jednostavniji način da se željeno dobije.

"Kompanije troše milione dolara na mrežne sigurnosne sisteme (firewall) i sisteme za kontrolu pristupa, a taj novac je protraćen jer nijedna od tih mera ne rešava problem najslabije karike u lancu bezbednosti - ljude koji koriste, administriraju i uređuju kompjuterske sisteme."

Taj pristup se zove socijalni inženjering (social engineering) i predstavlja akt manipulacije kojim se ljudi navode da odaju poverljive informacije. Neretko, ulaz je preko osobe koja nije ni svesna da je izmanipulisana, a posledice vremenom mogu biti ogromne.

Zapravo, neretko u medije izađe priča o velikim bezbednosnim skandalima velikih kompanija, a analizom se ispostavi da je koren problema nepažnja nekog gotovo neprimetnog u „lancu ishrane”.

Kao što se iskorišćavaju propusti u kodu, tako manipulatori iskorišćavaju propuste u procedurama, ali i u ljudskom razmišljanju. Ako ste koncentrisani, odmorni, na oprezu, šanse da se takvo nešto desi su manje, ali ako se stvore okolnosti u kojima ste pod stresom, pod pritiskom rokova ili nadređenih, lakše ćete napraviti grešku. Nekada to ne mora biti greška izvršioca, već greška u projektovanju samog sistema. Hajde da razradimo par situacija.

Da bi neko pristupio vašem profilu na Fejsbuku, mora da zna vaš imejl i širfu, je l’ tako? Tako je, ali... Ako ih ne zna, može uvek da pokuša da odgovori na sigurnosna pitanja ili zatraži šifru na vaš imejl. Može da proba da odgovori na pitanja, i možda će imati sreće. Ako pak ne zna odgovore, opcija je imejl. Tamo isto mora da ima vašu šifru, ili može okušati sreću sa pitanjima. Znate da su ta pitanja uvek tipska. Znate i koliko ljudi ne vole da se time bave, pa biraju najčešća pitanja? To su tipska pitanja poput:

  • Koje je ime vašeg prvog kućnog ljubimca?
  • Kako je glasilo devojačko prezime vaše majke?
  • Kako vam se zvala omiljena nastavnica u školi?
  • Koje marke je bio vaš prvi automobil?
  • Kako vam se zvala prva simpatija?

i slično.

Koliko vaših bliskih prijatelja zna odgovore na ova pitanja? Skoro svi. Da li je teško doći do tih odgovora? Uz malo truda, mogu se dobiti i od vas, a verovatno i od njih. Znate ona ćaskanja na slavama, rođendanima i slično? Ako ste bloger ili delite informacije o sebi na društvenim medijima na primer, možda neke od nabrojanih stvari držite i javno. Recimo, analiza pinova kaže da znatan broj korisnika i kod ovakvih, numeričkih stvari, ima vrlo predvidljive rezultate – roditelji koriste rođendane dece, zaljubljeni koriste rođendane simpatija i slično.

Situacija je prilično zabrinjavajuća, zar ne. Ubacite u tu računicu sada čoveka. Recimo, zamislite neki kol-centar. Proces identifikacije najčešće teče na sledeći način: predstavite se, agent vam traži poslednje cifre JMBG-a i eventualno ime roditelja ili nešto slično. Za mnoge od nas, većina tih podataka je javno dostupna, ako znate gde da ih tražite. Ako nekim slučajem i nisu, moguće je stvoriti situaciju u kojoj će neko lako doći do njih.

Da li ste nekada, na već pomenutim slavama ili rođendanima, imali situaciju da komentarišete kako su vam fotografije za dokumenta skandalozno loše, a zatim da međusobno razmenite pasoše, vozačke ili lične karte, da se „pohvalite“? Da li ste nekada davali nekome da u ime grupe kupi putno osiguranje pred put ili nešto slično? Čak i da niste, brojne su situacije i ljudi koji imaju pristup tim podacima. LJudi na vašem fakultetu, vaš poslodavac, kao i svi povezani kao npr. knjigovođe, turističke agencije. Ako neko želi da to iskoristi, ima načina. Jer za sistem, ako neko zna set informacija koji se koriste za idenfitikaciju, on je vi.

Da li to znači da ne treba da se družite sa ljudima? Ne, naravno. Samo treba da budete svesni sveta u kome živite.

U kultnom filmu „Pokeraši“ (“Rounders”), Met Dejmon genijalno igra lik Majka Makdermota, briljantnog pokeraša koji se sapliće par puta na putu ka velikom novcu i svetskoj slavi. U tome mu ne pomaže previše što ima prijatelje sa lošim navikama, ali to nije bitno. Rečenica kojom Majk kao narator otvara film jeste:

"Ako u prvih pola sata za stolom ne provalite ko je naivčina, onda ste to vi."

Ovo se odnosi na poker i pokeraški sto, ali se odnosi i na mnoge druge situacije u životu.

Elem, pogledajte film, svakako. Savršen je. A daću vam samo par crtica koje treba da imate u vidu. Kocka se tako zove jer je u pitanju sreća, a sreća je nešto na šta se ne može uticati, je li tako?

Tako je, u principu. Tako je, ako igrate nešto gde ne postoji ljudski faktor. Na ruletu, sreća je sve.

Ako igrate poker protiv živih protivnika, sreća je samo deo priče. Jer vi ne igrate samo protiv igre – igrate protiv igre, i igrate protiv čoveka. Da biste pobedili, ne morate imati najbolje karte za stolom. Morate samo da učinite da svi pomisle da imate bolje od njih. A to možete uraditi i sa "daskama" (izraz koji se koristi za slabu ruku koja nema šanse da pobedi).

Film je star dvadesetak godina i tada poker nije bio nešto što se redovno prenosilo na televiiji, kao danas. Ipak, Majk kaže jednu stvar svojoj devojci Džo (koju igra predivna Grečen Mol):

"Zašto sve vreme govoriš o tome kao o kockanju? Šta misliš, zašto pet istih ljudi svake godine završi za finalnim stolom finala Svetske poker serije (World Series of Poker)? Šta su oni, najsrećniji ljudi u Vegasu?"

Situacija se ni danas nije previše promenila. Ako se oslanjate samo na sreću, pre ili kasnije ćete ostati bez nje. Ako postoji još nešto pored puke sreće, vaše šanse se povećavaju.

Veliki Moris Sači je uvek prilikom izlaska na pregovore jedan na jedan govorio: „Ne moram da pobedim, moram samo da nateram tebe da izgubiš.”

FacebookTwitterLinkedinEmail