De glatte tunger på spil - om "social engineering".

Artikel skrevet af Kenneth Bernholm
Artiklen blev vist i IT-avisen ComON d. 9. september 2004

BEDRAGERI. Hackere kommer ikke kun ind gennem netværket. Nogle gange møder de op i receptionen og får lov at gå frit rundt i virksomheden. Det kaldes social engineering.

Udtrykket ”social engineering” kan ikke oversættes direkte til dansk, men det kommer fra samme skuffe som ordene bedrageri og manipulation.

Det er forfalskning af identiteter og udnyttelse af folks naturlige autoritetstro. Hvis hackeren ikke kan skaffe sig adgang til virksomhedens servere via netværket, kan han finde på at ringe op til receptionisten og udgive sig for at være virksomhedens nye systemadministrator, som i øvrigt lige skal have oplyst hendes brugernavn og adgangskode.

Autoritet kan forfalskes
”Det er hackernes udtryk for at udnytte folks tillid til deres medmennesker og fra narre dem informationer,” forklarer direktør Mette Nikander fra it-sikkerhedsvirksomheden C-cure i Holte. Hun understreger samtidig, at social engineering kan være meget andet end en hacker, der ringer op og spørger efter adgangskoder under falsk identitet. Mette Nikander

”Eksempelvis kan der komme en mand ind i receptionen iført arbejdstøj fra en kendt virksomhed – måske TDC. Han siger, at der er opstået et problem, og at han bliver nødt til at gennemgå teleinstallationerne. Måske har han endda tidligere pr. telefon fået oplyst, at den it- og teleansvarlige er på ferie, og ved at henvise til denne persons navn kan han lyde endnu mere overbevisende. På den måde får han måske et gæstekort og kan frit gå rundt i virksomhenden.”


Men det er ikke nødvendigvis kun eksterne hackere, der kan finde på at udføre social engineering. Ifølge Mette Nikander kan det også ske internt I huset, hvor nysgerrige medarbejdere misbruger kollegernes tillid.

Det har direktør Torben Rune fra it-rådgivningsvirksomheden Netplan et smukt eksempel på: ”Et tilfælde fra den virkelige verden handler om en vinduespudser, der havde en bibeskæftigelse med at stjæle fladskærme fra sine kunder. Om dagen kunne han nærstudere vinduernes og virksomhedens låse- og adgangsmekanismer, og om natten kunne han bruge denne viden til at bryde ind. Det er også social engineering.”

Vigtigt at oplyse om reglerne
”Der er mange forskellige måder at blive snydt på, og de mest nederdrægtige hackere bruger andre angrebsvinkler end den it-mæssige,” forklarer Torben Rune. ”Et klart signal om, at man er udsat for social engineering er, hvis man pludselig bliver afkrævet informationer, som man normalt ikke vil afgive. Når nogen begynder at tale om pinkoder og adgangskoder, skal man være på vagt.”

Præcis når det gælder brugernavne og adgangskoder, har Torben Rune et ganske simpelt fif, der passende kan indføres i virksomhendens sikkerhedspolitik:

”Indfør en politik om, at brugernavne og adgangskoder aldrig må udtales med munden. Så er det nemt at blive mistænksom, hvis nogen pludselig bryder denne regel.”

Torben Rune og Mette Nikander er enige om, at det vigtigste dog er at oplyse medarbejderne om virksomhedens sikkerhedspolitik og gøre den til en del af dagligdagen. For som Mette Nikander siger det: ”Man kan jo ikke blive sur på en medarbejder for at bryde sikkerheden, hvis man ikke har fortalt om reglerne.”

 

Powered by wpsnet.com