Tot timpul am fost fascinat de continua luptă între cei care încearcă să securizeze o aplicaţie sau un sistem informatic şi cei care, mai devreme sau mai târziu, reuşesc să treacă peste acele protecţii. Aplicaţii, jocuri, protecţia BluRay şi HD-DVD, WEP şi mai nou WPA şi WPA2.
De fiecare dată când aflu că încă o metodă de protecţie a fost făcută una cu pământul, mă bucur, dar îmi şi vine să înjur. Mă bucur pentru că îmi place să văd progresul în direct, mă oftic pentru că iluzia mea de falsă siguranţă a fost spulberată. Partea bună este că, într-un timp destul de scurt, va apărea o metodă de protejare a datelor mai bună… dar care şi ea, la rândul ei, va fi spartă.
Am spus mai devreme că siguranţa unor date este doar o iluzie. Nu de fiecare dată se găseşte cineva să dezvolte un “lacăt” nou, pentru că niciodată siguranţa datelor tale nu se va baza doar pe soluţiile tehnice. PEBKAC. Adică tu, eu, orice altă persoană. Intră în joc nu hackerul sau crackerul tehnic, ci cel care-ţi poate manipula mintea în aşa fel încât să faci cam orice vrea el, numit în engleză “social engineer“. Nu vorbesc de hipnoză sau alte căcaturi. Vorbesc de exploatarea unor mici imense găuri în “firewall-ul uman”.
Voi ce spuneţi… aţi rezista unor astfel de atacuri?
acu’ pe bune (pana acu’ am scris la misto, sper ca te-ai prins) – scria si schneier pe blogul lui ca vreo 90% din atacuri se dau folosind tehnici de inginerie sociala & the like. De ce? Pareto principle. Simplu. E suficient sa dai userilor o ciocolata ca sa-ti spuna parola. Vreo 80-90% din parole sunt de cacat, alabala123, maxim 8-12 caractere, variatii mici ale unor cuvinte de dictionar, ce n-ar rezista la un brute force sau dic. attack mai serios sau rainbow/hash table etc. Dar nici macar atat, e suficient sa castigi putin increderea tecnicului, sa bagi un troian nedetectabil sub capota si voila.
Cum bine ai remarcat, veriga slaba e omul. Faptul ca nu are ultima versiune de WPA poate fi un issue, daca face advertise la treaba asta (e celebra recomandarea cu stergeti versiunea de wordpress by the way)
Daca ai oameni de calitate si niste proiectanti iscusiti poti obtine un sistem resonable-safe. Realitatea e, insa ;), ca managementul nu da 2 parale pe securitate si ca singura cale de a-i dezvata e the hard way…
Meh, nu m-am prins decât după primele trei comentarii. Ata ete. :)
Cât despre social engineering… Cred că va funcţiona întotdeauna, indiferent de cât de mult educi userii. Mi se pare că era şi o vorbă la un moment dat: un zâmbet poate deschide multe uşi.
Mi-amintesc de tehnica asta :) e data pe undeva prin cartile lui Mitnick – sa te prefaci ca esti orice numai tehnic nu, sa le castigi increderea, apoi… pac (bine, nu chiar pac, ideal e sa le-o tragi si sa ai timp sa pleci, nu sa fugi). E clasica treaba cu “alo, sunt de la tehnic [geeky voice here], doamna dinainte m-a sunat, trebuie doar sa intrati in app x, spuneti-mi ce parola aveati sa va dau alta”
Mai e o chestie interesantă – cât de multe chestii poţi afla despre o firmă scotocindu-i gunoiul. Este incredibil cât de multe coli de hârtie cu date confidentiale sunt pur şi simplu mototolite şi aruncate la gunoi.
Până acum, n-am văzut multe firme care să aibă în dotare shreddere şi care chiar să le folosească. E mai simplu să rupi hârtia în 4 şi să o arunci la gunoi decât să distrugi datele cum trebuie.
Apropo de asta, e interesant de citit şi No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing de Johnny Long.
Multam de sugestie. Ca tot veni vorba, ce folosesti cand esti pe pc public si vrei sa intri in conturi (blog/mail etc). Eu am gasit ceva de genul one time pass (e si plugin pt wordpress), care mi se pare OK ca idee. Sau alte metode de genul (challenge/response) care necesita insa alt server. Evident, poti raspunde voalat.
Ca o completare, nu numai ca nu se practica chestia cu shredderele, dar deja devii paranoic in ochii colegilor daca faci altfel decat ei. Am fost intrebat de diversi sefi sau oameni simpli sa le spun parola prin telefon (linie terestra). Ce sa fac, sa spun “Stiti, linia ar putea fi ascultata bla bla”)? Deci, sa privim asta ca pe un lucru bun: daca era prea multa tech-savvy, te treceau apele in momentul in care scriai parole pe pc public, asa cu ajutorul Domnului, nu se intampla nimic… :D
Oricum, there is no magic answer, si asta se vede cel mai bine in momentul in care “trebuie: sa ai 10-20 de parole bune, independente pe care cica tre’ sa le tii minte. doh…
Nu cred că mi-am verificat mail-ul/blogul de ceva timp din locaţii publice. M-am jucat în trecut cu OTP pe wordpress dar am renunţat din comoditate.