Sociální sítě jako hackerský nástroj

Sociální sítě jsou bezpečnostní riziko. To je fakt, který si uvědomuje Evropská Unie, odborníci, čtenáři tohoto serveru a díky příležitostné přízni obecných médií i laická veřejnost. Texty a diskuze zabývající se rizikovostí sociálních sítí vyjmenovávají jednotlivá rizika a slabá místa, avšak často opomíjejí jednu zásadní věc. Sociální sítě totiž nepředstavují problém pouze pro bezpečnost, identitu a osobní data jejich uživatelů. Mohou se také stát nástrojem práce hackerů snažících se napadnout firemní infrastruktury, přičemž běžní uživatelé představují nikoli cíl, ale pouze nástroj k dosažení cíle. Sociální sítě se hodí pro tento typ útoků mnohem lépe než celá řada jiných nástrojů.

Sociální inženýrství

Výraz uvedený v titulku tohoto odstavce je velmi často používán nesprávným způsobem. Pod pojmem sociální inženýrství se má (obecně) na mysli snaha o cílenou manipulaci chování člověka, nebo skupiny lidí k tomu, aby tento člověk (lidé) vykonali nějakou činnost, kterou sám útočník vykonat nemůže. Ve skutečnosti je sociální inženýrství vázáno na účinek vůči skupině osob – jedině tak může být sociální a nikoli psychologickou metodou.

Aktivity útočníků nesměřované vůči jednotlivcům tak ve skutečnosti představují spíše manipulaci, respektive cílenou snahu o uvedení oběti v omyl. Nechejme ale debat o přesnosti nebo nepřesnosti užívaných pojmů, podívejme se spíše na jejich obsah – a nebezpečnost.

To, co bývá označováno, jako sociální inženýrství je vůbec nejnebezpečnější hackerskou metodou překonávání ochran firemních a institucionálních infrastruktur. Přinejmenším od časů Kevina Mitnicka je prokázáno, že manipulace s legitimním uživatelem systému je mnohem snazší a efektivnější cestou k jeho obsahu, než komplikované překonávání technologických bariér.

Přitom technické možnosti, jak tuto manipulaci vyloučit, jsou velice omezené. Dokonce i pravděpodobně jediná perspektivní cesta k nim (důsledné používání nezcizitelných autentizačních postupů, především biometriky) nevylučuje zhoubnou aktivitu ze strany útočníků.

V sociálním prostředí

Sociální sítě (v ČR především Facebook) nepřinášejí z hlediska využití „sociálního inženýrství“ k útokům na firemní struktury nic převratně nového, avšak mohou působit jako velmi účinný katalyzátor. Jejich specifický typ komunikace, pro který jsou uživateli vyhledávány, relativně vysoká míra anonymity a přitom dostupnost kohokoli, je předurčuje k tomu, aby v procesu překonávání systémových ochran sloužily jako telefonní seznam, databanka údajů, komunikační kanál a dokonce jako nástroj zpětné vazby.

Mnohem efektivněji než tradiční komunikační cesty, a to ať už síťové (telefon), nebo internetové (e-mail). Je možné předpokládat, že sociální sítě k účelům proniknutí do informačních infrastruktur již využívány jsou. Lze v nich totiž s úspěchem využít několika efektů, které jsou dalšími „tradičními“ metodami dosažitelné jen obtížně.

První z těchto efektů je možnost familiarizace oběti a metody postupného navazování kontaktů. Facebook umožňuje (když to provedete šikovně) přesvědčit člověka, kterého neznáte, nejen o tom, že vás zná, ale že jste dokonce přátelé, spolupracovníci a že máte společné známé. Odtud už je pouze krůček k tomu, kdy si oběť začne myslet nejenom, že vás zná, ale dokonce i že spolu sdílíte některé informace, které nejsou jinak běžně dostupné.

Tento stav je klíčový proto, aby oběť útoku byla ochotna nechat se útočníkem zmanipulovat. To znamená například poskytnout mu informace, které poskytovat nemá, a které poslouží útočníkovi k přístupu do systému, do nějž je jeho oběť autorizována, zatímco on na začátku nikoliv. Další lidé, uživatelé sociální sítě, přitom mohou nevědomky sehrát roli více nebo méně aktivních spolupracovníků, aniž by to věděli.

Není záměrem popisovat zde podrobně metody, jak získat důvěru uživatele sociálních sítí. Mnoho těch použitelných ale najdete v článku, který nedávno vyšel zde na Lupě. Mnoho uživatelů například automaticky akceptuje návrhy na zařazení do seznamu přátel, což by dělat neměli. Ti, kteří si své virtuální přátele „lustrují“, se orientují velmi často podle toho, kolik společných kontaktů sdílí. Z toho vyplývá, že útočník může získat důvěru své oběti tím, že nejprve získá důvěru jejich známých.

Na lidi působí důvěryhodněji ti, kteří jsou jim podobní, přesněji, kteří se obdobně chovají. I to je faktor, který může útočník snadno využít ve svůj prospěch. Stačí přitom, aby hacker prošel informace veřejně dostupné z profilu oběti, diskuze, kterých se účastní, skupiny, do nichž se připojuje, nejlépe aktivně. Ideálním podpůrným nástrojem jsou také data z profilů přátel oběti.

Facebook a firma

Zakázat zaměstnancům používat sociální sítě, najmě Facebook, je sice řešení, které se na první pohled přímo nabízí. Problém jeho zneužitelnosti k „sociálnímu“ útoku ve snaze dostat se k firemní síti či aplikaci to ale neřeší ani zdaleka. Kterýkoli insider, kterékoli informační infrastruktury, může být poměrně dlouhou dobu „zpracováván“ mimo její prostředí, přičemž koncovým nástrojem pro získání například přihlašovacích údajů, nebo vykonání kompromitující práce může být něco jiného. Také je potřeba mít na zřeteli fakt, že zakázané ovoce chutná vždy nejlépe. Pro sociální sítě to platí mnohem více, než pro „běžné“ surfování na Internetu.

Jako druhá možnost boje proti manipulaci uživateli informační infrastruktury pomocí sociálních sítí se tedy nabízí jejich programové a přesně definované využívání (např. vytvoření firemní skupiny s ověřenými identitami všem zaměstnanců). I v tomto případě se ale stále jedná o polovičaté řešení. Útočník je sice vystaven problému, jak do takto vzniklé skupiny (ve smyslu neformální struktury uživatelů, ne skutečné „skupiny“) proniknout, jakmile se mu to ale podaří, bude působit mnohem důvěryhodnějším dojmem.

Odpověď na otázku, jak zabránit zneužití sociálních sítí k provedení útoku na síť firemní se tedy spíše, než v přístupu k sociálním sítím nachází ve firemní kultuře jako celku. Jestliže zaměstnanci – uživatelé infrastruktury vědí, že jejich nadřízený by jim prostřednictvím sítě nikdy nic nepřikazoval, nebudou útočníkovi věřit, že je to ve skutečnosti on. Jestliže je k nim vlastní firma vstřícná natolik, že nemají potřebu ji dělat „malé naschvály“, nenechají se k tomu zlákat ani virtuálním šotkem. Pokud budou svým skutečným autoritám důvěřovat, nehrozí, že by podlehli autoritám falešným.

To jsou však jen obecná doporučení, a předávat je zde odborníkům nemá příliš význam. Skutečné jádro bezpečného používání sociálních sítí z hlediska organizací a ochrany před hackery, zneužívajícími psychologických a sociologických metod, spočívá jen a pouze v neustálé edukaci uživatelů. Těch, kterým není možné Facebook efektivně zakázat. A kteří se tak rádi přihlašují do podvodných skupin…