Kevin Mitnick Budapesten: Hogyan lehet az embereket gátlástalanul manipulálni?

forrás Prim Online, 2005. január 23. 11:35
Interjú a világ leghíresebb egykori hackerével, aki az IDC budapesti IT Biztonsági konferencián tart előadást a megtévesztés művészetéről, és arról, hogy az embereket hogyan lehet gátlástalanul manipulálni. Informatikai rendszerekbe betörni olyan egyszerű mint egy telefonhívást lebonyolítani. A hacker felhív egy tetszőleges céges telefonszámot és egyszerűen elkéri az egyik felhasználó nevét és jelszavát. Meglepően és ijesztően sok ember hajlandó kiadni ezeket az információkat.

Az egykori hacker és egy sikerkönyv írója, Kevin Mitnick szerint az emberek hajlandóak bízni olyanokban akikről azt hiszik, hogy tudják miről beszélnek. Egy nemrégiben készült interjú során Mitnick szerint senki nem ismeri annyira egy cég dolgozóit, mint maga a hacker. Azzal, hogy valaki IT vagy termékszakértőnek adja ki magát, elnyerheti a bizalmát még az olyan biztonsági embereknek is, akik erre vannak kiképezve. Az un. “social engineering”, az emberek manipulálása a fő témája Mitnick népszerű könyvének, “A megtévesztés művészetének”.


Miért írta meg ezt a könyvet?

Egyfajta oktatóeszköznek szántam, hogy minél többet tudjon meg az olvasó a megtévesztési technikákról, taktikákról, stratégiákról melyeket ipari kémek, hackerek és vandálok használnak jó, illetve ártó szándékkal. Nem számít, hogy egy cég, szervezet vagy kormányzat mennyi pénzt öl a technológiai biztonság kiépítésére, ha nem veszi a fáradságot, hogy kiképezze és kitanítsa dolgozóit. Amíg ezt meg nem teszik, a cégük ki lesz téve a “social engineer” támadásának.

Mit takar az Ön által használt “social engineer” kifejezés?


Míg a közvélemény számára viszonylag ismeretlen a kifejezés, a “social engineer” fogalmát széles körben használják a számítógép biztonsággal foglalkozó közösségek. Olyan gyakorlott hackerekről van szó, aki becsapja egy vállalat naív számítógép-felhasználóját, hogy fontos információkat csaljon ki tőle.

A könyv tele van olyan történetekkel, melyek sikeres támadásokat írnak le. Ezek megtörtént eseteket írnak le?


Én is és mások is azokat a támadási technikákat használták amiket a könyvemben említek, persze a támadás pontos részleteit nem írtam le, a könyvben szereplő adatok kitaláltak. A lényeg az, hogy nem konkrét betöréseimről mesélek, hanem csupán azok taktikájáról, stratégiájáról, és azokról a folyamatokról amit egy “social engineer” nap mint nap használ.

Hogyan lett Önből “social engineer”?

Ez még a 70-es évekre, a középiskolás éveimre nyúlik vissza, amikor találkoztam egy sráccal aki telefonbetyárkodással űzte az idejét. A telefonbetyárkodás a hackelésnek az a változata, amikor a támadó teljesen feltárja egy telefonos hálózat működését kezdve a telefontársaság alkalmazottainak megismerésétől, a rendszer teljes körű átlátásáig. Ekkoriban történt az átállás a mechanikusról a számítógépes rendszerekre, ami nem volt sokkal előbb, mint amikor a telefonbetyárkodásból számítógépes hackelés lett. A social engineering ekkor lépett színre, hiszen míg megpróbáltam feltárni egy telefonos rendszer titkos belső struktúráját, sokszor meg kellett változtatnom a kilétemet, telefontársasági dolgozónak kiadva magam. A cégnél különböző osztályokat és irodákat hívtam fel, hogy megszerezzem tőlük az információkat. Ehhez használnom kellett a telefontársaság nyelvjárását, a szaknyelvet, hogy hitelesnek tűnjek. Innentől kezdve kezdtem el programozást is tanulni. Mindig is nagy mókamester voltam, ezért amit tanultam, azt tanáraimon és a barátaimon teszteltem. Mindig hajtott a vágy, hogy olyan információkat szerezzek meg emberektől, ami a közvélemény számára nem elérhető.