ASIS International je přední mezinárodní sdružení bezpečnostních profesionálů s více jak 34.000 členy po celém světě a delší než 50ti letou tradicí, jehož základní vizí je rozvoj celosvětové bezpečnosti. Posláním sdružení je podpora dokonalosti a zvyšování prestiže bezpečnostního oboru.


Rizika sociálního inženýrství

Datum: 09. 10. 2009

Schopnost prolomit kód značně přitahuje mediální pozornost. Ale existuje ještě jiný způsob prolomení hesla, a totiž sociální inženýrství, což je cesta, která je snadněji proveditelná a proti níž se lze obtížněji bránit, protože využívá slabin lidské povahy. V zásadě sociální inženýrství spočívá v tom, že zmanipulujete někoho k tomu, aby vám vydal informace, jako je např. heslo, které umožní příjemci této informace dostat se do systému.


„Proč se nabourávat do něčí sítě, když si o heslo můžete požádat,“ tvrdí nezávislý konzultant v oblasti IT bezpečnosti, John Palumbo.

Podle společnosti Siemens Enterprise Communications sídlící v Německu je sociální inženýrství jednou z nejúčinnějších metod jak organizacím zcizit jejich důvěrné informace. V testu nedávno provedeném společností Siemens se 85% administrativních pracovníků nechalo tímto způsobem podvést. „Většina zaměstnanců si zoufale neuvědomuje, že jsou manipulováni,“ říká Colin Greenless, konzultant ze společnosti Siemens působící v oblasti bezpečnosti a prevence podvodů.

Některé triky jsou dle jeho názoru obecně známé, jako např. vyžádání si útržků neškodných informací, jejichž pomocí může být později – pokud jsou poskládány – docíleno značného efektu. Další triky se spoléhají na naše hluboce zakořeněné vychování být za každé situace slušný. Např. pokud následujete osobu v těsném závěsu skrze zabezpečené dveře, nebo pokud nesete dvě kávy a „čekáte, až vám někdo otevře dveře,“ vysvětluje Greenless. Dle jeho názoru jsou více ohroženy větší organizace. Doporučuje, aby byla prováděna školení, která by zvyšovala informovanost zaměstnanců a která by zaměstnance seznamovala s možnostmi, že mohou být např. kontaktováni falešným IT pracovníkem. Zaměstnancům by mělo být doporučeno, aby nejdříve zavolali na oddělení IT (za použití čísla, které dostali předem, nikoli čísla, které jim sdělí návštěvník), kde by si vyžádali potvrzení. Pokud je tento pracovník fyzicky přítomen, měl by být požádán o prokázání totožnosti. Greenless rovněž tvrdí, že je důležité mít dostatečnou fyzickou ostrahu v hlavním výpočetním středisku.

Společnost Siemens uskutečnila test na mapování sociálního inženýrství v jedné velké finanční společnosti. Během jednoho týdne byl bezpečnostní konzultant ze společnosti Siemens schopen: vstupovat do firemní kanceláře, aniž by ho ochranka zkontrolovala, pracovat ve firemní zasedací místnosti po dobu několika dní, volně se pohybovat po několika podlažích a místnostech, v nichž bylo k dispozici velké množství důvěrných informací, a vstupovat do firemních výpočetních a telekomunikačních středisek.

Tento konzultant také volal zaměstnancům z interních telefonních linek, představoval se jako zaměstnanec IT oddělení a požadoval informace. Z celkového počtu 20 oslovených uživatelů mu 17 sdělilo svá uživatelská jména a hesla, čímž poskytli volajícímu snadný přístup k důvěrným elektronickým informacím firmy. Greenless tvrdí, že provedení této manipulace bylo až překvapivě jednoduché. Její úspěch spočíval zejména v kombinaci základních triků a důvěřivosti lidí.

Autor: John Wagley, Security management 9/2009