Vilken är den mest kraftfulla metoden för att hacka ett företag eller en organisation? Buffertöverskrivningar? SQL-injektioner? Cross site-skripting?
För mig finns det en attackmetod som ofta är kraftfullare än någon annan och som inte löses med teknisk IT-säkerhet och det är den metoden som på engelska kallas ”Social engineering”. Det översätts ofta med ”Social ingenjörskonst” och är läran om att helt enkelt lura sig in dit man vill. För att komma in använder man oftast inga tekniska metoder att attackera utan förlitar sig på att helt enkel utnyttja den mänskliga naturen. Det handlar om att manipulera folk att göra det du vill att de ska göra. Faktum är att det kan vara så enkelt som att följa med ett stort gäng som går in genom en dörr med kortläsare för att komma in utan att ha ett kort. Eller det kan handla om att tala sig till en nyckel från receptionen, så att man kan komma in där man vill.
För ett antal år sedan, när jag var helt ny i säkerhetsbranschen, var jag inbjuden till en middag hos mitt jobb. Det bjöds öl, vin, champagne och god mat. Platsen var mitt i stan och på väg dit funderade jag på hur långt en oinbjuden gäst kunde komma. Så jag bestämde mig för att vara just en sådan. Visst var jag inbjuden, men ingen i personalen visste det. Frågan var om jag kunde komma in utan att bevisa att jag hörde dit. Sagt och gjort, jag gick rakt in och svarade på frågor utan att någonsin ange annat än vilket företag jag tillhörde. Denna uppgift var relativt lätt att ta reda på, även för en utomstående, så hade jag inte hört dit hade jag fått ett gratis mål mat utan problem. Sanningen och säga var detta trivialt att göra och det är rätt vanligt att så är fallet.
Det krävs inte ens en talang för det. Jag jobbade en gång för ett företag som råkade ut för en sådan attack. Jag erkänner direkt att de lurade mig också. När jag och mina vänner skulle gå och äta stod de utanför ett rum och pratade i mobilen. Det var två välklädda killar som pratade italienska. Vilket i sig är en smula märkligt, då vi inte hade några italienska kunder eller kontor. Men ingen av oss tänkte så mycket på det och när vi kom tillbaka var två datorer borta. Då ska det tilläggas att vi hade kortläsare för båda sidor av dörren. Man var tvungen att dra kort både för att ta sig in och ta sig ut. Detta hindrade dem inte för att lura alla skydd vi hade och de lyckades undvika att dra uppmärksamhet till sig trots att de egentligen borde ha upplevts som att de inte riktigt hörde dit.
Tricket för att lyckas med social ingenjörskonst är att aldrig kunna ifrågasättas. Genom att vara självsäker och någotsånär verka ha en roll. Det kan vara så enkelt som att låtsas vara vaktmästare, IT-reparatör eller byggjobbare. En enkel uniformsliknande utstyrsel och man smälter in. Resten sköter man genom att agera som ens blotta existens är helt självklar och att det inte finns något tvivel om att man ska ha de rättigheter man har eller begär.
Hur mycket man än spenderar på sina larm, brandväggar och rutiner kommer ofta attacker mot den mänskliga delen av organisationen att gå rakt igenom. Det är svårt att utbilda hundra eller tusentals medarbetare i att vara kritiska och observanta.
Dessutom kräver inte social ingenjörskonst någon djup teknisk kompetens. För mig är det helt klart att denna typ av attack troligen är den kraftfullaste du kan göra mot ett företag.
Intresserad av att syssla med det? Mitt råd är att hålla dig på den vita sidan så att säga. Att bereda sig tillgång till lokaler utan att ha där att göra är mycket ofta ett lagbrott. Även om du bara vill testa, är det fullt möjligt att hamna i domstol över det. Mitt tips är att du istället skaffar dig en karriär som social pentestare. Då får du betalt för att göra det och har dessutom kundens tillstånd.
Ett tips för den som vill förkovra sig är hackerlegenden Kevin Mitnicks bok ”the art of intrusion” som beskriver ett antal helt riktiga fall där folk lyckats lura till sig rättigheter eller saker de inte ska ha. En spännande resa in i det som inte bara är möjligt och också sant och har hänt.
Vi kommer troligen få anledning att gå in djupare på detta ämne i IT-säkerhetspodden.