ΣΔΥΝΟΛΟΓΙΚΟ ΔΚΠΑΙΓΔΤΣΙΚΟ ΙΓΡΤΜΑ ΚΑΒΑΛΑ ΥΟΛΗ ΣΔΥΝΟΛΟΓΙΚΧΝ ΔΦΑΡΜΟΓΧΝ ΣΜΗΜΑ ΗΛΔΚΣΡΟΛΟΓΙΑ Σερληθέο Social Engineering γηα ηελ παξαβίαζε πξνζσπηθώλ Γεδνκέλσλ. Μειέηε αζθαιείαο ησλ Social Networks Πηπρηαθή Δξγαζία Δηζεγεηήο: Ησάλλεο Βάββαο, Α.Μ. 3027 Δπηβιέπνπζα: Καιιηφπε σηεξνπνχινπ <2010>
Πεξίιεςε θνπφο ηεο πηπρηαθήο απηήο εξγαζίαο είλαη ε πξνβνιή ηεο θνηλσληθήο κεραληθήο, κηαο θαηλνχξηαο «επηζηήκεο», πνπ ρξεζηκνπνηείηαη γηα ηελ παξαβίαζε πξνζσπηθψλ δεδνκέλσλ κε δηάθνξεο ηερληθέο πνπ ζα αλαπηχμσ παξαθάησ. Οινέλα θαη πεξηζζφηεξν, ε δσή καο αξρίδεη θαη εμαξηάηαη ζε κεγάιν βαζκφ απφ ην δηαδίθηπν, θαη νη άλζξσπνη έρνπλ αλαπηχμεη κία θαηλνχξηα «κφδα», ηα θνηλσληθά δίθηπα, θαη κέζσ απηψλ, ε πξνβνιή ηνπ αηφκνπ ζην δηαδίθηπν. Έηζη έρεη αξρίζεη έλα απηφβνπιν ειεθηξνληθφ θαθέισκα, φρη κφλν ησλ πξνζσπηθψλ ζηνηρείσλ ησλ αηφκσλ, αιιά θαη θάηη πην ζνβαξφ, ηεο πξνζσπηθφηεηάο ηνπο. Απηφ φκσο θέξεη ζηελ επηθάλεηα πξνβιήκαηα αζθαιείαο γηα ηελ ηδησηηθή δσή ηνπ αηφκνπ, αιιά θαη θηλδχλνπο αθφκα θαη ηεο δσήο ηνπ. ηελ εξγαζία ινηπφλ, ζα πξνζπαζήζσ λα ελεκεξψζσ ηνλ θφζκν γηα ηνπο θηλδχλνπο ηεο θνηλσληθήο δηθηχσζεο, ηηο απάηεο πνπ κπνξνχλ λα ππνζηνχλ απφ απξνζεμία, αιιά θαη ζπκβνπιέο αζθαιείαο γηα ηελ πξνζηαζία ηνπο. Θα πξέπεη λα πξνζέρνπκε, δηφηη αθφκα θαη ε πην κηθξή πιεξνθνξία πνπ δεκνζηεχνπκε ζην δηαδίθηπν, κπνξεί λα ρξεζηκνπνηεζεί ελαληίνλ καο. Ζ εξγαζία είλαη ρσξηζκέλε ζε 11 θεθάιαηα θαη μεθηλάσ κε κία ηζηνξηθή αλαδξνκή ηεο θνηλσληθήο κεραληθήο, θαη ζηε ζπλέρεηα γίλεηαη κία αλάιπζε θαη παξνπζίαζε ησλ θνηλσληθψλ δηθηχσλ. Αθνινπζεί ε αλάιπζε ηεο θνηλσληθήο κεραληθήο, ησλ ηξφπσλ θαη ηερληθψλ, αιιά θαη ηελ δηεμαγσγή κηαο επίζεζεο κε βάζε ηελ θνηλσληθή κεραληθή, απφ ηελ αξρή κέρξη ην ηέινο. Δπίζεο ρξεζηκνπνηψ πνιιά παξαδείγκαηα, πνιιά απφ ηα νπνία είλαη βαζηζκέλα ζε αιεζηλέο ηζηνξίεο, κε ζθνπφ λα γίλεη θαηαλνεηφ πσο ιεηηνπξγεί απηή ε απάηε, φπσο επίζεο θαη ζηνηρεία πνπ απνδεηθλχνπλ φηη αλ είκαζηε πξνζεθηηθνί, κπνξνχκε λα δηαθξίλνπκε κία ηέηνηα απάηε. Κιείλσ ηελ εξγαζία κνπ κε ζπκβνπιέο θαη ηξφπνπο πξνθχιαμεο, ψζηε ν αλαγλψζηεο λα κπνξεί λα πξνζηαηέςεη ηνλ εαπηφ ηνπ απφ ηέηνηνπ είδνπο απάηεο. Θα ήζεια λα επραξηζηήζσ ηελ θ. σηεξνπνχινπ Καιιηφπε πνπ κνπ αλέζεζε ηελ εθπφλεζε απηήο ηεο πηπρηαθήο εξγαζίαο, παξά ηεο δπζθνιίαο ηεο απφζηαζεο, επεηδή έρσ απνρσξήζεη απφ ηελ πφιε ηεο Καβάιαο. Δδψ νθείισ επίζεο λα επραξηζηήζσ ηελ νηθνγέλεηά κνπ, πνπ κνπ ζπκπαξαζηάζεθε ζηελ πξνζπάζεηά κνπ λα νινθιεξψζσ ηηο ζπνπδέο κνπ, αιιά θαη ζπγθεθξηκέλα ζηνλ παηέξα κνπ, Βαζίιεην,
πνπ σο εθπαηδεπηηθφο ζπλέβαιε ζηελ πηπρηαθή απηή εξγαζία κε ηηο δηνξζψζεηο ηνπ. Διπίδσ ε πηπρηαθή απηή λα απνηειέζεη έλα εγρεηξίδην ελεκέξσζεο γηα ηνπο θηλδχλνπο ησλ θνηλσληθψλ δηθηχσλ, πνπ πιένλ έρνπλ κπεη γηα ηα θαιά ζηελ θαζεκεξηλφηεηά καο θαη λα απνηξέςεη έζησ θαη έλα άηνκν απφ ην λα δηεμαρζεί θάπνηα απάηε εηο βάξνο ηνπ. Σέινο, αθηεξψλσ απηή ηελ πηπρηαθή εξγαζία, εηο κλήκελ ηεο γηαγηάο θαη ηνπ παππνχ κνπ, Μαξία θαη Ησάλλε, πνπ κε ηελ βνήζεηά ηνπο κπφξεζα θαη ζπνχδαζα καθξηά απφ ηελ πφιε κνπ.
ΠΔΡΙΔΥΟΜΔΝΑ 1 Δηζαγσγή 1 1.1 Πξνβιεκαηηζκφο θαη θίλεηξα... 1 1.2 Πεξίγξακκα ηεο πηπρηαθήο εξγαζίαο... 1 2 Ιζηνξηθά ζηνηρεία ηεο Κνηλσληθήο κεραληθήο 5 2.1 Ζ ηζηνξία ηεο θνηλσληθήο κεραληθήο θαη ε εμέιημή ηεο... 5 3 Κνηλσληθά δίθηπα 8 3.1 Αλάιπζε ησλ «Κνηλσληθψλ Γηθηχσλ». 10 3.1.1 ηνηρεία «Κνηλσληθψλ Γηθηχσλ». 10 3.1.2 Έξεπλα Κνηλσληθψλ Γηθηχσλ... 11 3.1.3 Λεηηνπξγία θνηλσληθήο δηθηχσζεο... 13 3.1.4 Πξνζηαζία πξνζσπηθψλ δεδνκέλσλ. 15 3.1.5 Δθαξκνγέο 16 3.1.6 Πεξηγξαθή ησλ δεκνθηιέζηεξσλ «θνηλσληθψλ δηθηχσλ» 16 3.1.7 Πίλαθαο ηνηρείσλ ειίδσλ Υξεζηψλ.. 21 3.1.8 Πίλαθαο δεκνθηιψλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο. 22 4 Κνηλσληθή κεραληθή 23 4.1 Καηεγνξίεο Κνηλσληθψλ Μεραληθψλ... 24 4.2 ηφρνη Κνηλσληθήο Μεραληθήο... 35 5 Σξόπνη έξεπλαο θαη ζπιινγήο πιεξνθνξηώλ ζηελ Κνηλσληθή 36 Μεραληθή 5.1 Φπζηθή Έξεπλα 36 5.2 Κνηλσληθή Μεραληθή κε Υξήζε Σειεθψλνπ.. 37 5.3 Φάμηκν ησλ Απνξξηκκάησλ κηαο Δηαηξείαο. 37 5.4 On-Line Κνηλσληθή Μεραληθή. 38 5.5 Ζ Πεηζψ 40 6 Σερληθέο Κνηλσληθήο Μεραληθήο 41 6.1 Αληίζηξνθε Κνηλσληθή Μεραληθή... 41 6.2 Piggybacking Tailgating 42 6.3 Techie Talk Υξήζε Γλψζεσλ Ζιεθηξνληθψλ Τπνινγηζηψλ 45 6.4 Δπίζεζε Σχπνπ Phishing (Φάξεκα).. 46 6.4.1 Γηαδηθαζία Phishing 49 6.4.2 Πξνζηαζία απφ ην Phishing (Anti-Phishing).. 54 6.5 Δπίζεζε ηχπνπ Vishing. 60 6.5.1 Πνιχηηκα Γεδνκέλα. 62 6.5.2 Έλαξμε ηεο Δπίζεζεο.. 64 6.5.3 Πξνζηαζία απφ ην Vishing... 71 6.6 Γνχξεηνο Ίππνο Trojan Horse 72 6.6.1 Σχπνη Γνχξεησλ Ίππσλ 73 6.6.2 Σξφπνη κφιπλζεο. 75 6.6.3 Πξνζηαζία... 75 6.7 Pretexting Υξήζε Πξνζρεκάησλ 77
6.7.1 Βαζηθέο Αξρέο. 77 6.7.2 Πξνγξακκαηηζκφο θαη Υξήζε Πξνθάζεσλ 78 6.7.3 Πξνζηαζία... 79 7 Νεπξν-γισζζηθόο Πξνγξακκαηηζκόο (NLP) 80 7.1 Δθαξκνγέο NLP 82 7.2 Υξήζε NLP ζηελ Κνηλσληθή Μεραληθή.. 83 8 Δξγαιεία ηεο Κνηλσληθήο Μεραληθήο 86 8.1 Φπζηθά Δξγαιεία.. 86 8.1.1 Lock Picking θαη Shims (εξγαιεία παξαβίαζεο 86 θιεηδαξηψλ... 8.1.2 Κάκεξεο.. 88 8.1.3 GPS Trackers (Αληρλεπηέο κε ρξήζε GPS) 88 8.2 Δξγαιεία Πξνγξάκκαηα ζε ππνινγηζηέο... 91 8.2.1 Maltego.. 91 8.2.2 Social Engineer Toolkit (SET)... 98 8.3 Σειεθσληθά εξγαιεία... 98 8.3.1 Caller ID Spoofing Αιιαγή ηειεθσληθήο ηαπηφηεηαο 98 9 Αζθάιεηα ζηα Κνηλσληθά Γίθηπα 99 9.1 Εεηήκαηα Αζθαιείαο ζηελ θνηλσληθή δηθηχσζε 99 9.2 Δλέξγεηεο γηα ηελ αζθάιεηα ησλ ρξεζησλ... 103 10 Πξνζηαζία από ηελ Κνηλσληθή Μεραληθή 106 10.1 Πνιηηηθέο Αζθαιείαο.. 106 10.2 Γέθα Πξάγκαηα πνπ Πξέπεη λα Καιχπηεη ε Πνιηηηθή Αζθαιείαο γηα ηελ Κνηλσληθή Γηθηχσζε 108 10.3 πκβνπιέο Αζθαιείαο. 113 11 Δπίινγνο πκπεξάζκαηα 115 Βηβιηνγξαθία -
1. Δηζαγσγή 1.1 Πξνβιεκαηηζκφο θαη θίλεηξα Σα ηειεπηαία ρξφληα, ηα θνηλσληθά δίθηπα φπσο ην Facebook, ην Twitter θιπ, έρνπλ απνθηήζεη εθαηνκκχξηα ρξήζηεο θη έρνπλ «εηζβάιεη» γηα ηα θαιά ζηελ θαζεκεξηλφηεηά καο. Σα θνηλσληθά δίθηπα είλαη πιαηθφξκεο φπνπ δίλνπλ ηε δπλαηφηεηα ζηνπο ρξήζηεο λα παξνπζηάζνπλ ηα πξνθίι ηνπο, λα κνηξαζηνχλ θαη λα ζπλάςνπλ ζρέζεηο κε άιινπο ρξήζηεο ηνπ ίδηνπ θνηλσληθνχ δηθηχνπ. Σα θνηλσληθά δίθηπα, δίρσο ακθηβνιία είλαη έλα ρξήζηκν «εξγαιείν» επηθνηλσλίαο ησλ αλζξψπσλ πνπ ηα ρξεζηκνπνηνχλ, νη νπνίνη ρξήζηεο απμάλνληαη κε ηξνκαθηηθά γξήγνξνπο ξπζκνχο. Ζ θχζε ησλ θνηλσληθψλ δηθηχσλ είλαη ε θνηλνπνίεζε δηάθνξσλ πιεξνθνξηψλ ησλ ρξεζηψλ κε άιινπο ρξήζηεο, εθ ησλ νπνίσλ, γλσζηψλ αιιά θαη αγλψζησλ. Δδψ ινηπφλ δεκηνπξγείηαη έλα ζέκα αζθαιείαο ησλ δεδνκέλσλ πνπ επηιέγνπκε λα κνηξαζηνχκε κέζα ζηα θνηλσληθά δίθηπα θαη πφζν επηθίλδπλν κπνξεί λα είλαη απηφ. Σα είδε ησλ πιεξνθνξηψλ πνπ δεκνζηεχνπκε ζηα θνηλσληθά δίθηπα κπνξεί λα είλαη πνιιά, αιιά πνηα είλαη πξάγκαηη επηθίλδπλα θαη πνηα αζθαιή; ηελ πηπρηαθή απηή παξνπζηάδνληαη νη ηξφπνη επίζεζεο απφ ηνπο ιεγφκελνπο θνηλσληθνχο κεραληθνχο, ηα είδε ησλ πιεξνθνξηψλ πνπ κπνξεί λα είλαη αμηνπνηήζηκα κηαο επίζεζεο αιιά θαη ηξφπνη ψζηε λα πξνζηαηεπηνχκε απφ ηέηνηνπ είδνπο επηζέζεηο. 1.2 Πεξίγξακκα ηεο πηπρηαθήο εξγαζίαο Κεθάιαην 1: Δηζαγσγή ε απηφ ην θεθάιαην γίλεηαη κία ζπλνπηηθή αλαθνξά γηα ην ζέκα ηεο πηπρηαθήο εξγαζίαο, φπσο επίζεο θαη ηνλ ζηφρν θαη ηνπο πξνβιεκαηηζκνχο πνπ ζα πξέπεη λα καο δεκηνπξγεζνχλ, ιφγν ηεο λέαο ηάζεο ηεο «κφδαο», ηελ θνηλσληθή δηθηχσζε. 1
Κεθάιαην 2: Ηζηνξηθά ζηνηρεία ηεο Κνηλσληθήο κεραληθήο ε απηφ ην θεθάιαην παξνπζηάδνληαη ηζηνξηθά ζηνηρεία, πνπ καο νδεγνχλ ζην λα ζπκπεξάλνπκε φηη ε θνηλσληθή κεραληθή ππήξρε απφ πνιχ παιηά, απιψο κφιηο πξφζθαηα απέθηεζε απηή ηελ νλνκαζία. Κεθάιαην 3: Κνηλσληθά δίθηπα ε απηφ ην θεθάιαην παξνπζηάδνληαη ηα θνηλσληθά δίθηπα, ε δνκή ηνπο θαη ν ηξφπνο ιεηηνπξγίαο. Αθνινπζεί κηα έξεπλα γηα απηά ηα δίθηπα, ηη επηινγέο πξνζθέξνπλ ζηνλ ρξήζηε θαη ηα νθέιε. Δπίζεο γίλεηαη θαη κία εθηελήο παξνπζίαζε ηεο ιεηηνπξγίαο ησλ θνηλσληθψλ δηθηχσλ κε παξαδείγκαηα απφ ηνλ δηθηπαθφ ηφπν ηνπ www.facebook.com αιιά θαη ηηο δηάθνξεο εθαξκνγέο πνπ δηαηίζεληαη. Κεθάιαην 4: Κνηλσληθή κεραληθή ε απηφ ην θεθάιαην παξνπζηάδεηαη ε θνηλσληθή κεραληθή, κε φξνπο αιιά θαη παξαδείγκαηα ψζηε λα γίλεη θαηαλνεηφ ηη αθξηβψο είλαη ε θνηλσληθή κεραληθή. Αθνινπζεί κία θαηεγνξηνπνίεζε ησλ αλζξψπσλ πνπ ζα κπνξνχζαλ λα πξνβνχλ ζε ρξήζε ηεο θνηλσληθήο κεραληθήο φπσο επίζεο θαη ηνλ ζθνπφ θάζε θαηεγνξίαο θνηλσληθνχ κεραληθνχ. Κεθάιαην 5: Σξφπνη θνηλσληθήο κεραληθήο ε απηφ ην θεθάιαην δίδεηαη ε κεζνδνινγία κηαο επίζεζεο κε ρξήζε θνηλσληθήο κεραληθήο, απφ ηελ αξρή έσο ην ηέινο ηεο. Δπίζεο αλαθέξνληαη νη ηξφπνη πνπ κπνξεί κία επίζεζε λα εμαπνιπζεί. Κεθάιαην 6: Σερληθέο θνηλσληθήο κεραληθήο ε απηφ ην θεθάιαην γίλεηαη εθηελήο αλαθνξά ζηηο ηερληθέο ηεο θνηλσληθήο κεραληθήο, κε παξαδείγκαηα θαη θσηνγξαθίεο απφ αιεζηλέο επηζέζεηο. Δπίζεο αλαθέξνληαη ηα ζηνηρεία πνπ κπνξνχλ λα πξνδψζνπλ κία απάηε (ρξήζε θνηλσληθήο κεραληθήο) ψζηε λα πξνζηαηεπηεί ν επηηηζέκελνο. 2
Κεθάιαην 7: Νεπξνγισζζηθφο Πξνγξακκαηηζκφο (NLP) ε απηφ ην θεθάιαην παξνπζηάδεηαη έλα λέν είδνο ηερληθψλ, ηεο ρξήζεο ηεο NLP, ε νπνία κειεηά ηελ ςπρνινγία ηνπ αλζξψπνπ θαη πσο απηή κπνξεί λα εθθξαζηεί ή αθφκα θαη λα αιιάμεη κε ην ζψκα (ζηάζε), ηηο θηλήζεηο θαη ηηο εθθξάζεηο ελφο αλζξψπνπ. Παξνπζηάδεηαη ινηπφλ απηή ε ηερληθή θαη ην φθεινο απφ ηελ ρξήζε πάλσ ζηελ θνηλσληθή κεραληθή. Κεθάιαην 8: Δξγαιεία ηεο Κνηλσληθήο κεραληθήο ε απηφ ην θεθάιαην αλαθέξνληαη θάπνηα εξγαιεία, θπζηθά θαη πξνγξάκκαηα, πνπ ρξεζηκνπνηνχληαη θαηά ηελ δηεμαγσγή κηαο επίζεζεο ζηελ θνηλσληθή κεραληθή, φπσο εξγαιεία γηα παξαβίαζε θιεηδαξηψλ (lock picking tools), θάκεξεο θαη ζπζθεπέο παξαθνινχζεζεο κέζσ GPS. Κεθάιαην 9: Αζθάιεηα ζηα Κνηλσληθά δίθηπα ε απηφ ην θεθάιαην παξνπζηάδνληαη δεηήκαηα αζθαιείαο πνπ πξνθχπηνπλ θαηά ηελ θνηλσληθή δηθηχσζε αιιά θαη ελέξγεηεο πνπ κπνξεί ν ρξήζηεο λα πξνβεί ψζηε λα πξνζηαηεπηεί. Κεθάιαην 10: Πξνζηαζία απφ ηελ Κνηλσληθή κεραληθή ε απηφ ην θεθάιαην παξνπζηάδνληαη νη Πνιηηηθέο αζθαιείαο πνπ ζα πξέπεη λα ππάξρνπλ ζε φιεο ηηο εηαηξείεο πνπ ρξεζηκνπνηνχλ ειεθηξνληθνχο ππνινγηζηέο, ηελ ελεκέξσζε ησλ ππαιιήισλ γηα ηελ νξζή ρξήζε ησλ ειεθηξνληθψλ ππνινγηζηψλ θαη ζπζηεκάησλ ψζηε λα κελ δεκηνπξγνχληαη θελά αζθαιείαο ζηηο επηρεηξήζεηο. Δκπεξηέρνληαη δέθα πξάγκαηα πνπ ζα πξέπεη λα θαιχπηεη ε πνιηηηθή αζθαιείαο ηεο εηαηξείαο γηα ηελ θνηλσληθή δηθηχσζε αιιά θαη γεληθά ηνλ παγθφζκην ηζηφ, Δπίζεο αθνινπζνχλ δηάθνξεο ζπκβνπιέο αζθαιείαο γηα ηελ πξνθχιαμε ησλ ζπζηεκάησλ αιιά θαη ησλ ρξεζηψλ. 3
Κεθάιαην 11: Δπίινγνο - πκπεξάζκαηα ε απηφ ην θεθάιαην αλαθέξνληαη ηα απνηειέζκαηα ηεο έξεπλαο ηεο πηπρηαθήο εξγαζίαο θαη επηζεκαίλνληαη ηα ζεκαληηθφηεξα ζηνηρεία γηα ηελ αζθάιεηα ησλ ρξεζηψλ ησλ θνηλσληθψλ δηθηχσλ. 4
2. Ιζηνξηθά ζηνηρεία ηεο Κνηλσληθήο Μεραληθήο 2.1 Ζ ηζηνξία ηεο θνηλσληθήο κεραληθήο θαη ε εμέιημή ηεο Δδψ θαη κεξηθά ρξφληα ν φξνο «θνηλσληθή κεραληθή» ή «social engineering» αθνχγεηαη νινέλα θαη ζπρλφηεξα. Δίλαη έλαο φξνο πνπ πεξλά αζρνιίαζηνο ζην άθνπζκά ηνπ, αιιά επηζηήκε πνπ θξχβεη πνιιά κέζα ζε δχν ιέμεηο. Πξφθεηηαη γηα έλα είδνο επηζηήκεο ρεηξηζκνχ ηνπ πιήζνπο, πνπ ρξεζηκνπνηείηαη απφ ηνπο ιίγνπο γλψζηεο ησλ κπζηηθψλ ηεο εθκεηάιιεπζεο θαη ηεο εμνπζίαο, θαη έρνπλ ηα κέζα λα ηελ επηβάιινπλ ζε φινπο καο. Όπσο θάπνηνη ζπλέιεμαλ ηα ηξηθ πνπ αλαθάιπςαλ αλά ηνπο αηψλεο νη έκπνξνη γηα ηνλ ππνινγηζκφ θαη ηελ αχμεζε ηνπ θέξδνπο ηνπο θαη έθηηαμαλ ηηο επηζηήκεο ησλ καζεκαηηθψλ θαη ηεο ζηαηηζηηθήο, έηζη, εδψ θαη ρξφληα, θάπνηνη κειεηνχλ ηελ απάηε κε θαζαξά επηζηεκνληθφ ηξφπν θαη ηελ κεηέηξεςαλ ζε επηζηήκε. Μία επηζηήκε ζεκαληηθφηαηε, δηφηη ζην γλψζηε ηεο δίλεη άκεζα δχλακε θαη εμνπζία. Πξφζθαηα ν φξνο «θνηλσληθή κεραληθή»[1] άξρηζε λα ρξεζηκνπνηείηαη επξχηαηα θαη απφ δηάθνξνπο αλζξψπνπο, ράθεξο, δηαθεκηζηέο ή αθφκα θαη αλζξψπνπο ησλ Μ.Μ.Δ. Όηαλ φινη απηνί κηινχλ γηα «θνηλσληθή κεραληθή», δελ ελλννχλ ηελ ηέρλε ηεο εμνπζίαο, αιιά ηηο δηάθνξεο ηερληθέο κε ηηο νπνίεο κπνξνχλ λα απνζπάζνπλ πιεξνθνξίεο θαη ρξήκαηα εθκεηαιιεπφκελνη ηελ αθέιεηα ησλ αλζξψπσλ. Ο φξνο πνπ ζα κπνξνχζε λα πεξηγξάςεη ηελ «θνηλσληθή κεραληθή» ή «social engineering» είλαη ε πξάμε ηεο κεζφδεπζεο αλζξψπσλ ζηελ εθηέιεζε δξάζεσλ ή απνθάιπςε εκπηζηεπηηθψλ πιεξνθνξηψλ, φρη κε ηελ παξάθακςε θσδηθψλ ή ηελ ρξήζε ηερληθψλ hacking, αιιά θεξδίδνληαο ηελ εκπηζηνζχλε ησλ «ζπκάησλ» ηνπο. Ο φξνο ζπλήζσο εθαξκφδεηαη γηα ηερλάζκαηα ή εμαπάηεζε κε ζθνπφ ηε ζπιινγή πιεξνθνξηψλ, ηελ απάηε ή πθαξπαγή θσδηθψλ πξφζβαζεο ζε ππνινγηζηηθά ζπζηήκαηα. Αλαθέξεηαη επίζεο φηη ζρεδφλ ζε φιεο ηηο πεξηπηψζεηο ν εηζβνιέαο δελ έξρεηαη πξφζσπν κε πξφζσπν κε ην ζχκα ηνπ. Ζ «θνηλσληθή κεραληθή» σο πξάμε ηεο ςπρνινγηθήο ρεηξαγψγεζεο έγηλε δεκνθηιήο απφ έλαλ ράθεξ, ηνλ Κέβηλ Μίηληθ (Kevin Mitnick)[2]. Ο Κέβηλ Μίηληθ είλαη έλαο απφ ηνπο πην δηάζεκνπο ακεξηθαλνχο ράθεξ. Έρνληαο εηζβάιεη ζε πνιιά 5
ηειεπηθνηλσληαθά δίθηπα θαη θιέβνληαο δεδνκέλα απφ απηά, ηνλ θαηαδίθαζαλ ζε θπιάθηζε γηα ειεθηξνληθά εγθιήκαηα θαη θαηνρή πιαζηψλ ζηνηρείσλ. Ο Μίηληθ απέθηεζε πνιινχο ππνζηεξηθηέο πνπ πίζηεπαλ φηη ε ηηκσξία ηνπ ήηαλ ππεξβνιηθή θαη ηνλ ζεψξεζαλ ζαλ ηνλ κεγαιχηεξν ράθεξ ηεο επνρήο καο θαζψο επίζεο θαη σο ηνλ θαιχηεξν θνηλσληθφ κεραληθφ (social engineer). Πνιχ πξηλ ηνλ Κ. Μίηληθ ππήξμαλ άηνκα πνπ ζα κπνξνχζαλ λα ζεσξεζνχλ θνηλσληθνί κεραληθνί, θαη σο ν πξψηνο θνηλσληθφο κεραληθφο ηεο ηζηνξίαο ζα κπνξνχζε λα ζεσξεζεί ν Πιάησλαο εμαηηίαο ηεο πεξίθεκεο Πνιηηείαο ηνπ, ηελ νπνία ζπλέγξαςε πεξίπνπ πξηλ απφ δπφκηζη ρηιηάδεο ρξφληα. [1] Ο θηιφζνθνο, ν νπνίνο αγσληνχζε ραξαθηεξηζηηθά γηα ηελ θνηλσληθή αδηθία πνπ έβιεπε λα εμειίζζεηαη γχξσ ηνπ, κάιινλ απεχδεζε λα βιέπεη λα θπβεξλνχλ νη δπλαηνί θαη νη άδηθνη θαη απνθάζηζε λα ζπλσκνηήζεη ελαληίνλ ηνπο. Έηζη άξρηζε λα κειεηά απηφ πνπ ζπλέβαηλε γχξσ ηνπ κε ηε δηεηζδπηηθή «ζσθξαηηθή» ζθέςε θαη θαηέιεμε ζε κηα απφ ηηο πξψηεο πνιηηηθέο ζεσξίεο φισλ ησλ επνρψλ, απηήλ ηελ νπνία πεξηγξάθεη ζηελ πεξίθεκε Πνιηηεία ηνπ. Πξνζπαζψληαο λα ζρεδηάζεη έλα θνηλσληθφ ζχζηεκα ζην νπνίν δηαθνξεηηθνί άλζξσπνη ζα ζπλππήξραλ θαη ζα ζπκβίσλαλ αξκνληθά, πξφηεηλε ην δηαρσξηζκφ ησλ αλζξψπσλ ζε δηαθνξεηηθέο «πνηφηεηεο», ζε ηξεηο βαζηθέο ηάμεηο: ζηνπο δεκηνπξγνχο (απηνχο πνπ έθαλαλ ηε βαξηά θαη ρεηξσλαθηηθή εξγαζία), ζηνπο θχιαθεο-επίθνπξνπο (ηνπο ζηξαηησηηθνχο, δηνηθεηέο θαη αμησκαηνχρνπο ηνπ θξάηνπο) θαη ηνπο βαζηιείο ή θχιαθεο-παληειείο (ηελ «αξηζηνθξαηία ηνπ πλεχκαηνο» πνπ ζα αλαιάκβαλε ην ζρεδηαζκφ θαη ηε ξχζκηζε ηνπ θξάηνπο). Ο Πιάησλαο πξφηεηλε επίζεο ηελ «ειεγρφκελε παηδεία» (δειαδή ηε δηακφξθσζε ζπγθεθξηκέλσλ αληηιήςεσλ ζηα παηδηά ηνπ θξάηνπο, κε ζθνπφ λα γίλνπλ απνδνηηθνί πνιίηεο), ηελ «ειεγρφκελε ηέρλε» (ζπδεηνχζε κάιηζηα ηελ απαγφξεπζε ησλ γξαπηψλ ηνπ Οκήξνπ θαη ηνπ Ζζίνδνπ, γηαηί παξνπζίαδαλ ηνπο ζενχο σο πνιχ ηαπεηλνχο), θαη ηελ θαηάξγεζε ηεο κνλνγακίαο γηα ηνπο «θχιαθεο» (βαζηθά, έδηλε ζηα κέιε ηεο αλψηεξεο ηάμεο ην δηθαίσκα λα κελ ππαθνχνπλ ζηηο εζηθέο αξρέο). Παξφια απηά, είλαη θαλεξφ φηη πίζηεπε φηη κηα νκάδα «θσηηζκέλσλ» πξέπεη λα αλαιάβεη κε νπνηνλδήπνηε ηξφπν ηε δηαθπβέξλεζε θαη λα νδεγήζεη ην πιήζνο ζε κηα «αλψηεξε θνηλσληθή θαηάζηαζε», ηδέεο πνπ πξψηνο ν Πιάησλαο θαηέγξαςε ζην ραξηί. Ο Πιάησλαο ζηελ Πνιηηεία πξνηείλεη, επίζεο, πξψηνο απφ φινπο ηνπο θνηλσληθνχο κεραληθνχο, ηελ «ειεγρφκελε νηθνλνκηθή αλέρεηα» ησλ θαηψηεξσλ ηάμεσλ, αθξηβψο πάλσ απφ ην φξην ηεο θηψρεηαο, κε ηε δηθαηνινγία φηη, αλ νη θαηψηεξεο ηάμεηο είλαη πνιχ πινχζηεο, δελ ζα δνπιεχνπλ πνιχ! Αιιά δελ είλαη ηα πξνεγνχκελα ν θχξηνο ιφγνο πνπ ν Πιάησλαο ζεσξείηαη «θνηλσληθφο κεραληθφο». 6
Ο πξαγκαηηθφο ιφγνο είλαη φηη ν θηιφζνθνο ήηαλ ηειηθά αξθεηά ζνθφο γηα λα παξαδερηεί φηη νη ηδέεο ηνπ έπξεπε, γηα λα ιεηηνπξγήζνπλ, λα βαζηζηνχλ ζε έλα ςέκα, ζε κηα απάηε, ζην πεξίθεκν «γελλαίνλ ςεύδνο». ηηο κέξεο καο, ε «θνηλσληθή κεραληθή» ρξεζηκνπνηείηαη επξχηεξα, ιφγσ ηνπ φηη δνχκε ζε κηα θνηλσλία πνπ ην ηερλνινγηθφ ηεο επίπεδν είλαη απμεκέλν. Όιεο ζρεδφλ νη επηρεηξήζεηο, φια ζρεδφλ ηα ζπίηηα δηαζέηνπλ ειεθηξνληθνχο ππνινγηζηέο κε πξφζβαζε ζηνλ παγθφζκην ηζηφ θη έηζη βξηζθφκαζηε αθφκα πην εχθνια ζην ζηφραζηξν ησλ «θνηλσληθψλ κεραληθψλ». Αο δνχκε φκσο πψο, άζειά καο, βνεζήζακε φινη ζην λα απμεζεί ε ηέρλε ηεο «θνηλσληθήο κεραληθήο». Ο ζεκαληηθφηεξνο παξάγνληαο είλαη ηα «θνηλσληθά δίθηπα» ή «social networks». Έλα «θνηλσληθό δίθηπν»[4] είλαη κηα θνηλσληθή δνκή πνπ θαηαζθεπάδεηαη απφ ηδηψηεο (ή νξγαληζκνχο) πνπ νλνκάδεηαη «θόκβνη» ή «nodes», νη νπνίεο δεζκεχνληαη (ζπλδένληαη) απφ έλαλ ή πεξηζζφηεξνπο εηδηθνχο ηχπνπο αιιειεμάξηεζεο, φπσο ε θηιία, ζπγγέλεηα, θνηλφ ελδηαθέξνλ, νηθνλνκηθψλ ζπλαιιαγψλ, ζεμνπαιηθψλ ζρέζεσλ, γλψζε ή αθφκα θχξνπο. Ζ θνηλσληθή αλάιπζε ηνπ δηθηχνπ «βιέπεη» ηηο θνηλσληθέο ζρέζεηο απφ ηελ άπνςε ηεο ζεσξίαο ηνπ δηθηχνπ πνπ απνηειείηαη απφ θφκβνπο θαη δεζκνχο. Οη θφκβνη είλαη νη επηκέξνπο παξάγνληεο ζην πιαίζην ησλ δηθηχσλ, θαη νη δεζκνί είλαη νη ζρέζεηο κεηαμχ ησλ θνξέσλ. Μπνξνχλ λα ππάξρνπλ πνιιά είδε δεζκψλ κεηαμχ ησλ θφκβσλ. Έξεπλα ζε κηα ζεηξά αθαδεκατθψλ πεδίσλ έρεη δείμεη φηη ηα θνηλσληθά δίθηπα ιεηηνπξγνχλ ζε πνιιά επίπεδα, απφ νηθνγέλεηεο κέρξη θαη δηεζλέο επίπεδν, θαη δηαδξακαηίδνπλ έλαλ θξίζηκν ξφιν ζηνλ θαζνξηζκφ ησλ πξνβιεκάησλ θαη ζηνλ πηζαλφ ηξφπν επίιπζήο ηνπο. 7
3. Κνηλσληθά δίθηπα Ζ αλάιπζε ησλ θνηλσληθψλ δηθηχσλ έρεη αλαδεηρζεί ζε βαζηθή ηερληθή ζηε ζχγρξνλε θνηλσληνινγία[3]. Έρεη επίζεο θεξδίζεη ζεκαληηθφ πιενλέθηεκα, αθνινπζψληαο ηελ αλζξσπνινγία, ηε βηνινγία, ηηο κειέηεο ηεο επηθνηλσλίαο, νηθνλνκίαο, γεσγξαθίαο, επηζηήκεο ησλ πιεξνθνξηψλ, νξγαλσηηθέο κειέηεο, ηελ θνηλσληθή ςπρνινγία θαη ηελ θνηλσληνγισζζνινγία, θαη έρεη γίλεη έλα δεκνθηιέο ζέκα ηεο θεξδνζθνπίαο θαη ηεο κειέηεο. Οη άλζξσπνη ρξεζηκνπνηνχλ ηελ ηδέα ηνπ «θνηλσληθνχ δηθηχνπ» γηα πεξηζζφηεξν απφ έλαλ αηψλα γηα λα ππνδειψζνπλ ηα ζπγθξνηεκέλα ζχλνια ησλ ζρέζεσλ κεηαμχ ησλ κειψλ ησλ θνηλσληθψλ ζπζηεκάησλ ζε φιεο ηηο θιίκαθεο, απφ δηαπξνζσπηθέο έσο θαη δηεζλείο ζρέζεηο. Σν 1954 ν J.A. Barnes μεθίλεζε λα ρξεζηκνπνηεί ηνλ φξν ζπζηεκαηηθά γηα λα ππνδειψζεη ηα πξφηππα ησλ ζρέζεσλ, πνπ ζα πεξηιακβάλεη ηηο έλλνηεο πνπ ρξεζηκνπνηνχληαη θαηά παξάδνζε απφ ην θνηλφ θαη εθείλεο πνπ ρξεζηκνπνηνχληαη απφ ηνπο θνηλσληθνχο επηζηήκνλεο: νξηνζεηνχληαη νκάδεο (π.ρ. θπιέο, νηθνγέλεηεο) θαη ησλ θνηλσληθψλ θαηεγνξηψλ (π.ρ. θχιν, εζλφηεηα). Μειεηεηέο φπσο ν SD Berkowitz, ν Stephen Borgatti, ν Martin Everett, ε 8
Katherine Faust, ν Linton Freeman, ν David Knoke θαη πνιινί άιινη, έρνπλ επεθηαζεί ζηε ρξήζε ηεο ζπζηεκαηηθήο αλάιπζεο ησλ θνηλσληθψλ δηθηχσλ. Οη κειέηεο αθνξνχλ είηε ηα νιόθιεξα δίθηπα (γλσζηά σο πιήξε δίθηπα) θαη ην ζχλνιν ησλ δεζκψλ πνπ ζα πεξηέρεη ζπγθεθξηκέλεο ζρέζεηο ζε κηα θαζνξηζκέλε νκάδα ηνπ ζπλφινπ, είηε ηα πξνζσπηθά δίθηπα (γλσζηά σο εγσθεληξηθά δίθηπα) θαη ηνπο δεζκνχο ησλ αλζξψπσλ φπσο ηηο πξνζσπηθέο «θιεηζηέο» θνηλφηεηέο ηνπο. Ζ δηάθξηζε κεηαμχ ησλ νιόθιεξωλ / πιήξωλ δηθηύωλ θαη ησλ πξνζωπηθώλ / εγωθεληξηθώλ δηθηύωλ έρεη εμαξηεζεί ζε κεγάιν βαζκφ απφ ην πψο νη αλαιπηέο ήηαλ ζε ζέζε λα ζπιιέμνπλ ηα δεδνκέλα πξνο κειέηε. Γειαδή, ζηα νιφθιεξα δίθηπα, γηα νκάδεο φπσο επηρεηξήζεηο, ζρνιεία ή θνηλσλίεο κειψλ, ν αλαιπηήο αλακελφηαλ λα έρεη πιήξε πιεξνθφξεζε ζρεηηθά κε ην πνηνο ήηαλ ζην δίθηπν, ελψ ζηα πξνζσπηθά δίθηπα, ν αλαιπηήο δελ κπνξνχζε λα γλσξίδεη εάλ ηα δεισκέλα ζηνηρεία ησλ κειψλ είλαη ηα αιεζή. 9
3.1 Αλάιπζε ησλ «Κνηλσληθψλ Γηθηχσλ» 3.1.1 ηνηρεία «θνηλσληθψλ δηθηχσλ» Απφ ηε κηα πιεπξά, δελ ππάξρεη ηίπνηα γηα ηα θνηλσληθά δίθηπα πνπ λα είλαη αζπλήζηζην. Οη αλαιπηέο [4] ησλ θνηλσληθψλ δηθηχσλ ρξεζηκνπνηνχλ κηα εμεηδηθεπκέλε γιψζζα γηα ηελ πεξηγξαθή ηεο δνκήο θαη ηνπ πεξηερνκέλνπ ησλ θνηλσληθψλ δηθηχσλ. Όκσο ηα δεδνκέλα ησλ θνηλσληθψλ δηθηχσλ κπνξνχλ λα ραξαθηεξηζηνχλ θαη λα θαηαλνεζνχλ ρξεζηκνπνηψληαο ηηο ηδέεο θαη ηηο έλλνηεο γλσζηψλ κεζφδσλ, φπσο ε ηκεκαηηθή έξεπλα θάζε ηνκέα θαη δηαζηαχξσζε φισλ ησλ ηκεκάησλ ζπλνιηθά. Απφ ηελ άιιε πιεπξά, ηα ζχλνια ησλ δεδνκέλσλ πνπ νη αλαιπηέο ησλ θνηλσληθψλ δηθηχσλ αλαπηχζζνπλ, ζπλήζσο θαηαιήγνπλ λα αλαδεηνχλ αξθεηά δηαθνξεηηθά δεδνκέλα απφ ηα ζπκβαηηθά δεδνκέλα ησλ απιψλ δηθηχσλ. Ζ βαζηθή ηδέα ελφο «θνηλσληθνχ δηθηχνπ» είλαη πνιχ απιή. Έλα θνηλσληθφ δίθηπν είλαη έλα ζχλνιν παξαγφλησλ πνπ ελδέρεηαη λα έρνπλ ζρέζεηο κεηαμχ ηνπο. Σα δίθηπα κπνξνχλ λα έρνπλ ιίγνπο ή πνιινχο θνξείο, θαη έλα ή πεξηζζφηεξα είδε ζρέζεσλ κεηαμχ ησλ θνξέσλ. Γηα λα νηθνδνκήζνπκε κηα αληίιεςε ελφο θνηλσληθνχ δηθηχνπ, κηα πιήξε θαη απζηεξή πεξηγξαθή ηεο δηακφξθσζεο ησλ θνηλσληθψλ ζρέζεσλ είλαη έλα αλαγθαίν ζεκείν εθθίλεζεο γηα ηελ αλάιπζε. Ζ πνζφηεηα ησλ πιεξνθνξηψλ πνπ ρξεηαδφκαζηε γηα λα πεξηγξάςνπκε έζησ θαη κηθξά θνηλσληθά δίθηπα κπνξεί λα είλαη αξθεηά κεγάιε. Ζ δηαρείξηζε φισλ απηψλ ησλ δεδνκέλσλ θαη ε επεμεξγαζία ηνπο ψζηε λα κπνξνχκε λα δνχκε ηα πξφηππα ηεο θνηλσληθήο δνκήο κπνξεί λα είλαη θνπξαζηηθή θαη πνιχπινθε. Όια ηα θαζήθνληα ησλ κεζφδσλ ησλ θνηλσληθψλ δηθηχσλ γίλνληαη επθνιφηεξα κε ηε ρξήζε εξγαιείσλ απφ ηα καζεκαηηθά. Γηα ηνλ ρεηξηζκφ ησλ ζηνηρείσλ ησλ δηθηχσλ, θαζψο θαη γηα ηνλ ππνινγηζκφ ησλ δεηθηψλ πνπ πεξηγξάθνπλ ηα δίθηπα, είλαη ρξήζηκε ε θαηαγξαθή ησλ πιεξνθνξηψλ ζε κήηξεο. Δπίζεο, γηα ηελ εηθνλνπνίεζε ησλ κνληέισλ, ηα ζρεδηαγξάκκαηα θαη νη γξαθηθέο παξαζηάζεηο είλαη ρξήζηκεο. 10
3.1.2 Έξεπλα θνηλσληθψλ δηθηχσλ Αλαιχζεηο [5] ησλ θνηλσληθψλ δηθηχσλ έρνπλ ρξεζηκνπνηεζεί ζηελ επηδεκηνινγία ψζηε λα βνεζήζνπλ λα θαηαλνεζεί πψο απηέο νη κνξθέο αλζξψπηλεο επαθήο εληζρχνπλ ή παξεκπνδίδνπλ ηελ εμάπισζε δηαθφξσλ αζζελεηψλ φπσο ην HIV ζε έλαλ πιεζπζκφ. Δπίζεο κπνξεί λα είλαη απνηειεζκαηηθφ εξγαιείν γηα ηε καδηθή επηηήξεζε, θαζνδήγεζε ηεο θνηλήο γλψκεο ή γηα ηε δηάδνζε λέσλ ηδεψλ θαη πξαθηηθψλ, δηάδνζε εηδήζεσλ θ.η.ι. Ο Robin Dunbar πξφηεηλε φηη ην ηππηθφ κέγεζνο ελφο εγσθεληξηθνχ δηθηχνπ πξέπεη λα πεξηνξίδεηαη ζε πεξίπνπ 150 κέιε, ιφγσ ηεο πηζαλήο «χπαξμεο» νξίνπ ζηελ ηθαλφηεηα ηνπ αλζξψπηλνπ εγθεθάινπ ζηνλ ηνκέα ηεο επηθνηλσλίαο. Βαζίδεηαη ζε κηα ζεσξία ηεο θνηλσληνινγίαο, ζην φηη ππάξρεη έλα είδνο νξίνπ ηνπ κέζνπ αλζξψπνπ 11
κέζα ζε κία θνηλφηεηα, ζηελ ηθαλφηεηα λα αλαγλσξίδεη ηα κέιε θαη λα παξαθνινπζεί ηα ζπλαηζζεκαηηθά γεγνλφηα γηα φια ηα κέιε ηεο. Ο Mark Granovetter ζε κηα κειέηε αλαθάιπςε φηη νη πεξηζζφηεξν αδχλακνη δεζκνί κπνξεί λα είλαη ζεκαληηθφηεξνη θαηά ηελ αλαδήηεζε πιεξνθνξηψλ ή θαηλνηνκηψλ, δηφηη νη θιίθεο έρνπλ ηελ ηάζε λα έρνπλ πην νκνηνγελείο γλψκεο θαζψο θαη πνιιά θνηλά ραξαθηεξηζηηθά. Οη ππεξεζίεο ησλ θνηλσληθψλ δηθηχσλ επηθεληξψλνληαη ζηε δεκηνπξγία θνηλσληθψλ ζρέζεσλ κεηαμχ ησλ αλζξψπσλ, (π.ρ. λα έρνπλ θνηλά ελδηαθέξνληα ή δξαζηεξηφηεηεο) θαη απνηεινχληαη νπζηαζηηθά απφ κηα αλαπαξάζηαζε ηνπ θάζε ρξήζηε (δειαδή ην πξνθίι), ησλ θνηλσληθψλ δεζκψλ ηνπ θαη κηα πνηθηιία επηπξφζζεησλ ππεξεζηψλ. Οη πεξηζζφηεξεο θνηλσληθέο ππεξεζίεο δηθηχνπ είλαη webbased θαη παξέρνπλ ζηνπο ρξήζηεο ηα κέζα γηα λα αιιειεπηδξνχλ-επηθνηλσλνχλ κέζσ ηνπ δηαδηθηχνπ, φπσο κε ρξήζε e-mails ή θαη άκεζσλ κελπκάησλ(live texting). Οη ηζηφηνπνη θνηλσληθήο δηθηχσζεο επηηξέπνπλ ζηνπο ρξήζηεο λα κνηξαζηνχλ ηδέεο, δξαζηεξηφηεηεο, εθδειψζεηο θαη ηα ελδηαθέξνληά ηνπο εληφο ησλ επηκέξνπο δηθηχσλ ηνπο. Οη θχξηνη ηχπνη [4] ησλ θνηλσληθψλ ππεξεζηψλ δηθηχσζεο είλαη απηέο πνπ πεξηιακβάλνπλ ηνκείο ρσξηζκέλνπο ζε θαηεγνξίεο (φπσο παιηνί ζπκκαζεηέο ζρνιείσλ θαη παλεπηζηεκίσλ) ηα κέζα γηα λα ζπλδεζνχκε κε θίινπο (ζπλήζσο κε ηελ ρξήζε ησλ ζειίδσλ-πξνθίι ησλ ρξεζηψλ) θαη έλα ζχζηεκα ζχζηαζεο γλσζηψλ ή θίισλ πνπ «πξνζθέξεη» πεξηζζφηεξε εκπηζηνζχλε ζηνλ ρξήζηε. Απηέο ηηο δεκνθηιείο κεζφδνπο ρξεζηκνπνηνχλ πνιιά απφ ηα θνηλσληθά δίθηπα, φπσο ην Facebook, ην Myspace, ην Twitter θαη ην Bebo, πνπ ρξεζηκνπνηνχληαη επξέσο αλά ηνλ θφζκν. Τπήξμαλ θάπνηεο πξνζπάζεηεο γηα ηελ ηππνπνίεζε απηψλ ησλ ππεξεζηψλ γηα λα απνθεπρζεί ε αλάγθε γηα δηπιέο θαηαρσξήζεηο ησλ θίισλ θαη ησλ ζπκθεξφλησλ (πξφηππν FOA), αιιά απηφ έρεη νδεγήζεη ζε νξηζκέλεο αλεζπρίεο ζρεηηθά κε ηελ ηδησηηθή δσή ησλ κειψλ. Παξφιν πνπ νξηζκέλα απφ ηα κεγαιχηεξα θνηλσληθά δίθηπα ηδξχζεθαλ κε ζθνπφ λα κεηαθέξνπλ ηηο πξαγκαηηθέο θηιίεο ηνπ θφζκνπ ζε ςεθηαθφ επίπεδν, πνιιά άιια δίθηπα ζηφρεπζαλ ζην λα δεκηνπξγήζνπλ ηερλεηέο θηιίεο κέζσ ελδηαθεξφλησλ, φπσο ε κνπζηθή, ηα βηβιία θαη άιια, ψζηε λα πξνζθέξνπλ ηηο ππεξεζίεο ηνπο κε ζθνπφ ην θέξδνο. 12
3.1.3 Λεηηνπξγία θνηλσληθήο δηθηχσζεο ε γεληθέο γξακκέο, νη ππεξεζίεο θνηλσληθήο δηθηχσζεο επηηξέπνπλ ζηνπο ρξήζηεο λα δεκηνπξγήζνπλ έλα πξνθίι γηα ηνλ εαπηφ ηνπο θαη κπνξεί λα ρσξηζηεί ζε δχν επξείεο θαηεγνξίεο [6]: ηελ εζσηεξηθή θνηλσληθή δηθηχσζε (ISN) θαη ηελ εμσηεξηθή θνηλσληθή δηθηχσζε (ESN). Μία εζσηεξηθή θνηλσληθή δηθηχσζε είλαη κία θιεηζηνχ θαη ηδησηηθνχ ηχπνπ θνηλφηεηα πνπ απνηειείηαη απφ κηα νκάδα αλζξψπσλ πνπ αλήθνπλ ζε κία εηαηξεία, έλαλ νξγαληζκφ, κία νξγάλσζε θ.η.ι. Μία εμσηεξηθή θνηλσληθή δηθηχσζε είλαη δηαζέζηκε θαη πξνζβάζηκε ζε φινπο ηνπο ρξήζηεο ηνπ δηαδηθηχνπ ψζηε λα επηθνηλσλνχλ θαη έρεη ζρεδηαζηεί γηα λα πξνζειθχζεη ηνπο δηαθεκηζηέο. Σα δίθηπα εμσηεξηθήο θνηλσληθήο δηθηχσζεο κπνξνχλ λα είλαη κηθξέο εμεηδηθεπκέλεο θνηλφηεηεο (δειαδή λα ζπλδένληαη κε έλα εληαίν θνηλφ ζπκθέξνλ, π.ρ. 13
ζπληαγέο καγεηξηθήο, fun-club θαιιηηερλψλ, νκάδσλ θ.η.ι.) ή λα είλαη κεγάιεο γεληθνχ ηχπνπ ηζηφηνπνη θνηλσληθήο δηθηχσζεο (π.ρ. Facebook, Myspace θ.η.ι.). Χζηφζν, ζε νπνηνπδήπνηε ηχπνπ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο, ε ιεηηνπξγία είλαη παξφκνηα. Οη ρξήζηεο κπνξνχλ λα αλεβάζνπλ κηα εηθφλα ηνπ εαπηνχ ηνπο, λα δεκηνπξγήζνπλ πξνθίι θαη ζπρλά κπνξνχλ λα είλαη «θίινη» κε άιινπο ρξήζηεο. ηηο πεξηζζφηεξεο ππεξεζίεο θνηλσληθήο δηθηχσζεο, νη ρξήζηεο πξέπεη λα επηβεβαηψλνπλ φηη είλαη θίινη, πξηλ ζπλδεζνχλ κε θάπνηνλ «θίιν» θαη λα δψζνπλ ηελ έγθξηζή ηνπο ζηα δηάθνξα αηηήκαηα κεηαμχ ησλ ρξεζηψλ. Δπίζεο, ζηα θνηλσληθά δίθηπα ππάξρνπλ ιεηηνπξγίεο ψζηε λα κπνξνχλ νη ρξήζηεο λα ξπζκίζνπλ πνηεο απφ ηηο πξνζσπηθέο πιεξνθνξίεο ζα είλαη πξνζβάζηκεο ζε άιινπο ρξήζηεο, φπσο πνηνο κπνξεί λα δεη ην πξνθίι ηνπο ή κέξνο ησλ ιεπηνκεξεηψλ ησλ ρξεζηψλ ή αθφκα θαη λα επηθνηλσλήζεη κε απηνχο, θ.η.ι. Οη ηζηνζειίδεο θνηλσληθήο δηθηχσζεο έρνπλ ζπλήζσο έλα ηκήκα αθηεξσκέλν ζηα ζρφιηα απφ ηνπο θίινπο ηνπο (ζην facebook π.ρ. απηφ ην ζεκείν νλνκάδεηαη Wall). ηελ αξρή, απηή ήηαλ κηα δπλαηφηεηα πνπ ελζάξξπλε ηνπο αλζξψπνπο λα γξάςνπλ κελχκαηα ζρεηηθά κε ην πξφζσπν ηνπ ζπγθεθξηκέλνπ πξνθίι, αιιά κε ηελ πάξνδν ηνπ ρξφλνπ νη άλζξσπνη άξρηζαλ λα γξάθνπλ ηηο πξνζσπηθέο ηνπο ηδέεο, ηδενινγίεο θαη ζρφιηα γηα δηάθνξα ζέκαηα, δεκηνπξγψληαο έηζη κηα κνξθή ζπλνκηιίαο. Δπίζεο ππάξρεη ε δπλαηφηεηα δεκηνπξγίαο νκάδσλ πνπ κνηξάδνληαη θνηλά ελδηαθέξνληα, θνηλέο απφςεηο θ.η.ι. Γεδνκέλνπ φηη ε αχμεζε ηεο δεκνηηθφηεηαο ηεο θνηλσληθήο δηθηχσζεο βξίζθεηαη ζε κηα ζπλερή αχμεζε, λέεο ρξήζεηο ηεο ηερλνινγίαο ζπλερψο παξαηεξνχληαη. ηελ πξσηνπνξία ησλ αλαδπφκελσλ ηάζεσλ ζηνπο ηζηφηνπνπο θνηλσληθήο δηθηχσζεο είλαη ε έλλνηα ηνπ «πξαγκαηηθνχ ρξφλνπ», ε νπνία ζε πξαγκαηηθφ ρξφλν επηηξέπεη ζηνπο ρξήζηεο λα γξάςνπλ έλα θείκελν (π.ρ. κε ηη αζρνινχληαη ηελ ζπγθεθξηκέλε ζηηγκή ή ηη έρνπλ ζην λνπ ηνπο) ην νπνίν ζηε ζπλέρεηα κεηαδίδεηαη παξφκνηα κε έλα δσληαλφ ηειενπηηθφ πξφγξακκα θαη εκθαλίδεηαη ζε φινπο ηνπ «θίινπο» ηνπ θνηλσληθνχ δηθηχνπ. Οη θίινη πιένλ, κπνξνχλ λα ζρνιηάζνπλ, λα απαληήζνπλ ζε απηφ ην θείκελν. 14
3.1.4 Πξνζηαζία πξνζσπηθψλ δεδνκέλσλ Γηα ηηο κεγάιεο ππεξεζίεο θνηλσληθήο δηθηχσζεο έρνπλ ππάξμεη απμαλφκελεο αλεζπρίεο ζρεηηθά κε ηνπο ρξήζηεο, δηφηη δίλνπλ πάξα πνιιέο πξνζσπηθέο πιεξνθνξίεο. Οη ρξήζηεο ησλ ππεξεζηψλ απηψλ πξέπεη λα έρνπλ επίγλσζε ησλ θηλδχλσλ θινπήο ησλ ζηνηρείσλ-δεδνκέλσλ ηνπο. Χζηφζν, νη κεγάιεο ππεξεζίεο ζπλεξγάδνληαη κε ηελ επηβνιή ηνπ λφκνπ πεξί πξνζηαζίαο δηθαησκάησλ, ψζηε λα απνηξέςνπλ ηέηνηα θαηλφκελα ππνθινπήο. Δπηπιένλ, ππάξρεη ε απεηιή ηεο ηδησηηθήο δσήο ζε ζρέζε κε ηελ ηνπνζέηεζε πνιιψλ πξνζσπηθψλ πιεξνθνξηψλ, απφ δηάθνξεο θεξδνζθνπηθέο εηαηξίεο πνπ ζα κπνξνχλ λα θάλνπλ ρξήζε απηψλ ησλ πιεξνθνξηψλ, δίρσο ηελ ζπγθαηάζεζε ησλ ρξεζηψλ. Πνιχ απιφ παξάδεηγκα, ηα εθαηνκκχξηα e- mails πνπ απνζηέιινληαη, φηη ν ρξήζηεο θέξδηζε ην ιαρείν ή αγνξά πιηθψλ θαη κε αγαζψλ κε ζθνπφ ηελ εμαπάηεζε ησλ ρξεζηψλ. 15
3.1.5 Δθαξκνγέο Οη ππεξεζίεο ησλ θνηλσληθψλ δηθηχσλ ρξεζηκνπνηνχληαη νινέλα θαη πεξηζζφηεξν ζηηο λνκηθέο θαη πνηληθέο έξεπλεο. Πιεξνθνξίεο πνπ ηνπνζεηνχληαη ζε ηζηνζειίδεο φπσο ην MySpace θαη ην Facebook έρνπλ ρξεζηκνπνηεζεί απφ ηελ αζηπλνκία (εγθιεκαηνινγηθή αλάιπζε) ελψ ζε νξηζκέλεο πεξηπηψζεηο, πεξηερφκελν πνπ δεκνζηεχηεθε ζε ζειίδεο ρξεζηψλ-δξαζηψλ, έρεη ρξεζηκνπνηεζεί ζην δηθαζηήξην. Γηα παξάδεηγκα [7], ζηε Βξεηαλία έρνπλ ζπιιεθζεί άηνκα επεηδή «αλέβαζαλ» ζην πξνθίι ηνπο θσηνγξαθίεο ηνπο κε φπια πνπ είραλ θσηνγξαθεζεί [8] ζε δεκφζηνπο ρψξνπο. Ζ θνηλσληθή δηθηχσζε πξφζθαηα άξρηζε λα ρξεζηκνπνηείηαη απφ δηάθνξεο πνιηηηθέο εγεζίεο. Οη ππεξεζίεο απηέο απνηεινχλ έλα γξήγνξν θαη εχθνιν ηξφπν γηα ηελ πνιηηηθή λα πάξεη ηε γλψκε ηνπ θνηλνχ θαη λα θξαηνχλ ελήκεξν ην θνηλφ ζρεηηθά κε ηηο δξαζηεξηφηεηέο ηνπο. 3.1.6 Πεξηγξαθή ησλ δεκνθηιέζηεξσλ «θνηλσληθψλ δηθηχσλ» Αθνινπζνχλ ζηνηρεία θαη πεξηγξαθή [9], [10], [11], [12], [13] γηα ηα δεκνθηιέζηεξα θνηλσληθά δίθηπα. 16
MySpace.com Δίλαη κηα δηεζλήο ηζηνζειίδα πνπ πξνζθέξεη e-mail, πξνζσπηθή ζειίδα, ρψξν ζπδεηήζεσο (forum), θνηλσληθέο νκάδεο (groups), πξνεπηζθφπεζε αξρείσλ ήρνπ θαη εηθφλαο. Δγγεγξακκέλνη ρξήζηεο: πάλσ απφ 125.000.000 Γεκνθηιέο ζε Υώξεο: Ζ.Π.Α., Γεξκαλία, Μεμηθφ, Ηηαιία Τπνζηεξηδόκελα δεδνκέλα: Φσηνγξαθίεο, κνπζηθή, βίληεν Δξγαιεία επηθνηλσλίαο ρξεζηώλ: πξφγξακκα chat, γεγνλφηα (events), ζχληνκεο δεκφζηεο αλαθνηλψζεηο (bulletins), νκάδεο ρξεζηψλ (Groups) Υαξαθηεξηζηηθά ησλ πξνθίι ρξεζηώλ: Φσηνγξαθία ηαπηφηεηαο, θάιεζκα θίισλ, θαηάζηαζε ρξήζηε (online), επηινγή ηαπεηζαξίαο ηνπ πξνθίι (skin), επηινγή ςπρνινγηθήο δηάζεζεο, ζηαηηζηηθά ζηνηρεία. Δπηινγέο αζθαιείαο (privacy): θξαγή ρξήζηε, αλαθνξά spam (θαθφβνπιν ινγηζκηθφ), πξνζσπηθά κελχκαηα θαη αλαθνηλψζεσλ. Καηάηαμε Google: 8 Καηάηαμε Alexa: 7 Facebook.com Δίλαη έλα θνηλσληθφ δίθηπν-εξγαιείν πνπ ζπλδέεη αλζξψπνπο κεηαμχ ηνπο. Δγγεγξακκέλνη ρξήζηεο : παξαπάλσ απφ 500.000.000 Γεκνθηιέο ζε Υώξεο: Ζ.Π.Α., Ζλσκέλν Βαζίιεην, Διιάδα, Σνπξθία, Γαιιία, Καλαδάο Τπνζηεξηδόκελα δεδνκέλα : Φσηνγξαθίεο, κνπζηθή, βίληεν Δξγαιεία επηθνηλσλίαο ρξεζηώλ: πξφγξακκα chat, γεγνλφηα 17
(events), ζχληνκεο δεκφζηεο αλαθνηλψζεηο (bulletins), νκάδεο ρξεζηψλ (Groups) Υαξαθηεξηζηηθά ησλ πξνθίι ρξεζηώλ: Φσηνγξαθία ηαπηφηεηαο, θάιεζκα θίισλ, θαηάζηαζε ρξήζηε (online), επηινγή ηαπεηζαξίαο ηνπ πξνθίι (skin), επηινγή ςπρνινγηθήο δηάζεζεο, ζηαηηζηηθά ζηνηρεία. Δπηινγέο αζθαιείαο (privacy): θξαγή ρξήζηε, αλαθνξά spam (θαθφβνπιν ινγηζκηθφ), πξνζσπηθά κελχκαηα θαη αλαθνηλψζεσλ. Καηάηαμε Google: 7 Καηάηαμε Alexa: 5 Hi5.com Ηζηνζειίδα θνηλσληθήο δηθηχσζεο κε θίινπο. Δγγεγξακκέλνη ρξήζηεο: πεξίπνπ 70.000.000 Γεκνθηιέο ζε Υώξεο: Ζ.Π.Α., Πεξνχ, Μεμηθφ, Πνξηνγαιία, Σατιάλδε Τπνζηεξηδόκελα δεδνκέλα: Φσηνγξαθίεο, κνπζηθή Δξγαιεία επηθνηλσλίαο ρξεζηώλ: Οκάδεο ρξεζηψλ (Groups) Υαξαθηεξηζηηθά ησλ πξνθίι ρξεζηώλ: Φσηνγξαθία ηαπηφηεηαο, θάιεζκα θίισλ, θαηάζηαζε ρξήζηε (online), επηινγή ηαπεηζαξίαο ηνπ πξνθίι (skin), ζηαηηζηηθά ζηνηρεία. Δπηινγέο αζθαιείαο (privacy): θξαγή ρξήζηε, αλαθνξά spam (θαθφβνπιν ινγηζκηθφ), πξνζσπηθά κελχκαηα θαη αλαθνηλψζεσλ. Καηάηαμε Google: 6 Καηάηαμε Alexa: 15 18
Bebo.com Δγγεγξακκέλνη ρξήζηεο: πεξίπνπ 22.400.000 Γεκνθηιέο ζε Υώξεο: Ζ.Π.Α., Ζλσκέλν Βαζίιεην, Ηξιαλδία, Απζηξαιία, Νέα Εειαλδία. Τπνζηεξηδόκελα δεδνκέλα: Φσηνγξαθίεο, κνπζηθή, βίληεν Δξγαιεία επηθνηλσλίαο ρξεζηώλ: Γεγνλφηα (events), ζχληνκεο δεκφζηεο αλαθνηλψζεηο (bulletins), νκάδεο ρξεζηψλ (Groups) Υαξαθηεξηζηηθά ησλ πξνθίι ρξεζηώλ: Φσηνγξαθία ηαπηφηεηαο, θάιεζκα θίισλ, επηινγή ηαπεηζαξίαο ηνπ πξνθίι (skin), ζηαηηζηηθά ζηνηρεία. Δπηινγέο αζθαιείαο (privacy): θξαγή ρξήζηε, αλαθνξά spam (θαθφβνπιν ινγηζκηθφ), πξνζσπηθά κελχκαηα θαη αλαθνηλψζεσλ. Καηάηαμε Google: 7 Καηάηαμε Alexa: 116 Twitter.com Δγγεγξακκέλνη ρξήζηεο: πεξίπνπ 105.000.000 Γεκνθηιέο ζε Υώξεο: Ζ.Π.Α., Γεξκαλία, Ηαπσλία, Καλαδάο, Ζλσκέλν Βαζίιεην. Τπνζηεξηδόκελα δεδνκέλα: Φσηνγξαθίεο Δξγαιεία επηθνηλσλίαο ρξεζηώλ: χληνκεο δεκφζηεο αλαθνηλψζεηο (bulletins), νκάδεο ρξεζηψλ (Groups) Υαξαθηεξηζηηθά ησλ πξνθίι ρξεζηώλ: Φσηνγξαθία ηαπηφηεηαο, θάιεζκα θίισλ, θαηάζηαζε ρξήζηε (online). Δπηινγέο αζθαιείαο (privacy): θξαγή ρξήζηε, αλαθνξά spam (θαθφβνπιν ινγηζκηθφ), πξνζσπηθά κελχκαηα. Καηάηαμε Google: 12 Καηάηαμε Alexa: 750 19
20
3.1.7 Πίλαθαο ζηνηρείσλ ζειίδσλ ρξεζηψλ Αθνινπζεί έλαο πίλαθαο [14] κε ηηο θαηαγεγξακκέλεο επηζθέςεηο ρξεζηψλ δηαθφξσλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο ηνπ κήλα Ηαλνπαξίνπ 2009. 21
3.1.8 Πίλαθαο δεκνθηιψλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο [15] 22
4. Κνηλσληθή κεραληθή Όπσο αλαθέξζεθε παξαπάλσ, «θνηλσληθή κεραληθή» είλαη ε πξάμε ηεο κεζόδεπζεο αλζξώπσλ ζηελ εθηέιεζε δξάζεσλ ή απνθάιπςε εκπηζηεπηηθώλ πιεξνθνξηώλ, θαη όρη κε ηε ρξήζε ηερληθώλ κεζόδσλ hacking, αιιά κε έλαλ πην ηερληθό ηξόπν, ην ηέρλαζκα ηεο εκπηζηνζύλεο. Δπίζεο ε «θνηλσληθή κεραληθή» κπνξεί αιιηψο λα νξηζηεί σο: ε δηαδηθαζία ηεο εμαπάηεζεο αλζξώπσλ γηα λα απνθαιύςνπλ ηελ πξόζβαζε ή εκπηζηεπηηθέο πιεξνθνξίεο. Ο φξνο εθαξκφδεηαη γηα ηερλάζκαηα ή εμαπάηεζε κε ζθνπφ ηε ζπιινγή πιεξνθνξηψλ θαη ηελ απάηε, γηα πξφζβαζε ζε πιεξνθνξίεο πνπ κπνξνχλ λα ρξεζηκνπνηεζνχλ ψζηε λα γίλεη θάπνηα απάηε. Θα αλαθεξζεί έλα παξάδεηγκα, κία αιεζηλή ηζηνξία [16], γηα ηελ θαηαλφεζε ηνπ φξνπ ηεο «θνηλσληθήο κεραληθήο» θαη ηε δξαζηεξηνπνίεζή ηεο. Έλα πξσηλφ, πξηλ κεξηθά ρξφληα, κηα νκάδα άγλσζησλ αηφκσλ επηζθέθζεθε κηα κεγάιε επηρείξεζε δηαλνκψλ θαη είραλ πξφζβαζε ζε νιφθιεξν ην δίθηπν ηεο επηρείξεζεο. Πψο έγηλε απηφ; Με ηε ιήςε κηθξψλ πιεξνθνξηψλ πξφζβαζεο, ζηγάζηγά, απφ δηάθνξνπο εξγαδφκελνπο ζηελ ελ ιφγσ επηρείξεζε. Πξψηνλ, έθαλαλ ηελ έξεπλα ζρεηηθά κε ηελ εηαηξεία γηα δχν κέξεο, πξηλ θαλ παηήζνπλ ην πφδη ηνπο ζην ρψξν ηεο εηαηξείαο. Γηα παξάδεηγκα, έκαζαλ ηα νλφκαηα βαζηθψλ ζηειερψλ. ηε ζπλέρεηα πξνζπνηήζεθαλ φηη έραζαλ ην θιεηδί γηα ηελ θχξηα είζνδν, θαη θάπνηνο ηνπο άλνημε ηελ πφξηα γηα λα κπνπλ. ηε ζπλέρεηα έραζαλ ηα δηαθξηηηθά ηεο ηαπηφηεηάο ηνπο ψζηε λα εηζέιζνπλ ζε πξνζηαηεπφκελε πεξηνρή ηεο εηαηξείαο, θαη έλαο θηιηθφο 23
ππάιιεινο άλνημε ηελ πφξηα γηα απηνχο. Οη άγλσζηνη γλψξηδαλ φηη ν ππεχζπλνο ηεο εηαηξείαο βξηζθφηαλ εθηφο πφιεο, θη έηζη ήηαλ ζε ζέζε λα εηζέιζνπλ ζην γξαθείν ηνπ θαη λα απνζπάζνπλ νηθνλνκηθά δεδνκέλα απφ ηνλ ππνινγηζηή ηνπ. Έςαρλαλ ζηα ζθνππίδηα ηεο εηαηξείαο γηα νηηδήπνηε ρξήζηκν αληηθείκελν θαη πιεξνθνξία. Δίραλ έξζεη ζε ηειεθσληθή επαθή κε ηνλ ππεχζπλν ψζηε λα κειεηήζνπλ ηελ θσλή ηνπ, κε ζθνπφ λα κπνξνχλ λα ηειεθσλήζνπλ νη ίδηνη θάλνληαο ηνλ ηφλν ηεο θσλήο ηνπο ίδην κε ηνπ ππεπζχλνπ θαη ππνθξηλφκελνη κηα βηαζχλε ηνπ ππεπζχλνπ φηη ρξεηάδεηαη ηνλ θσδηθφ πξφζβαζεο ηνπ δηθηχνπ ηνπο άκεζα, θαηάθεξαλ θαη ηνλ απφζπαζαλ. Πιένλ νη άγλσζηνη, αθνχ είραλ ηνλ θσδηθφ ζηα ρέξηα ηνπο, εκθαλίζηεθαλ ζαλ ηερληθνί δηθηχνπ πνπ αζθνχζαλ έιεγρν αζθαιείαο γηα ηελ εηαηξεία. Έηζη απέθηεζαλ πιήξε πξφζβαζε ζην εηαηξηθφ δίθηπν ηεο επηρείξεζεο θαη πξφζβαζε ζηα νηθνλνκηθά ζηνηρεία πνπ ρξεηάδνληαλ. 4.1 Καηεγνξίεο θνηλσληθψλ κεραληθψλ Καηεγνξίεο [17] ησλ αλζξψπσλ πνπ θάλνπλ (ή ζα κπνξνχζαλ λα θάλνπλ) ρξήζε ηεο θνηλσληθήο κεραληθήο είλαη: 1. Υάθεξο 2. Γνθηκαζηέο αζθαιείαο δηεηζδχζεσο 3. Οη θιέθηεο ηαπηφηεηαο 4. Γπζαξεζηεκέλνη ππάιιεινη 5. Γξαθεία πιεξνθνξηψλ 6. Άλζξσπνη ζηηο πσιήζεηο 7. Οη θπβεξλήζεηο 8. Βηνκεραληθή θαηαζθνπεία 1. Κνηλσληθνί κεραληθνί: Υάθεξο 24
Οη ράθεξο ρξεζηκνπνηνχλ πνιιέο θνξέο ηελ θνηλσληθή κεραληθή, δηφηη ν αλζξψπηλνο παξάγνληαο είλαη ε κεγαιχηεξε αδπλακία ζε έλα ζχζηεκα αζθαιείαο. Αθνχ ν ράθεξ αθηεξψζεη ρξφλν κε ηε δένπζα επηκέιεηα ζηελ έξεπλα θάζε πηπρήο ηνπο ζηφρνπ, κπνξεί λα μεθηλήζεη ηελ επίζεζε θαη κπνξεί λα θαηαζηξέςεη κία επηρείξεζε κέζα ζε ιίγα ιεπηά. Ζ απφθηεζε πιεξνθνξηψλ πξνζσπηθνχ ραξαθηήξα θαη νη θσδηθνί πξφζβαζεο απνκαθξπζκέλσλ ινγαξηαζκψλ ρξεζηψλ είλαη ηα κέζα πνπ ζα ρξεζηκνπνηήζεη ζηε ζπλέρεηα γηα λα μεθηλήζεη κηα επίζεζε ζην ζηφρν ηνπ. Παξαθάησ αθνινπζνχλ θάπνηα παξαδείγκαηα απφ ην δηαδίθηπν γηα λα γίλεη θαηαλνεηφ ην πφζν θαηαζηξνθηθή κπνξεί λα είλαη κία επίζεζε. AOL Έλαο ράθεξ θάιεζε έλα κέινο ηεο ηερληθήο ππνζηήξημεο ηεο AOL θαη κίιεζε καδί ηνπ γηα πάλσ απφ κία ψξα. Καηά ηελ δηάξθεηα ηεο θιήζεο, ν ράθεξ αλέθεξε φηη ην απηνθίλεηφ ηνπ ήηαλ πξνο πψιεζε. Υξεζηκνπνηψληαο ηηο δεμηφηεηέο ηνπ γηα νηθνδφκεζε θηιίαο θαη ρξεζηκνπνηψληαο θηιηθφ χθνο ζηελ νκηιία ηνπ, θέξδηζε ηελ εκπηζηνζχλε ηνπ εξγαδνκέλνπ ηεο AOL γξήγνξα. Ο εξγαδφκελνο έδεημε ελδηαθέξνλ γηα ην απηνθίλεην ηνπ ράθεξ. Ο ράθεξ ηνπ έζηεηιε κηα θσηνγξαθία κέζσ e-mail. Σν e-mail φκσο, εθηφο απφ ηελ θσηνγξαθία, πεξηείρε θαη θαθφβνπιν θψδηθα, πνπ δεκηνπξγνχζε θελά αζθαιείαο ζην εζσηεξηθφ δίθηπν ηεο AOL. Έηζη ν ράθεξ είρε 25
απνθηήζεη πξφζβαζε ζε πάλσ απφ 200 ινγαξηαζκνχο θαη κπνξνχζε πιένλ λα απνζπάζεη φηη πιεξνθνξίεο ήζειε. Fluffi Bunni Ζ Fluffi Bunni ήηαλ κία νκάδα ράθεξο πνπ ζπλδχαδε ηελ θνηλσληθή κεραληθή θαη ηελ ειεθηξνληθή πεηξαηεία γηα λα θαηαζηξέθνπλ εηαηξείεο. Ξεθίλεζαλ κία επίζεζε κεηά ηα γεγνλφηα ηηο 11 επηεκβξίνπ ζηε Νέα Τφξθε, θαη παξαπνίεζαλ κηα ηζηνζειίδα κε έλα κήλπκα πνπ έγξαθε «Fluffi Bunni Goes Jihad». Απηφ ηνπο έβαιε ζην ζηφραζηξν ηνπ FBI. Δίραλ ελεξγήζεη θαη άιιεο επηζέζεηο θαη παξαπνηήζεηο ζε πάλσ απφ 100 ηζηνζειίδεο ζε κία εκέξα, ζπκπεξηιακβαλνκέλσλ ησλ attrition.org, securityfocus.com θαη πνιιέο άιιεο. Σν FBI ραξαθηήξηζε ηελ πξάμε απηή, ζε κηα έθζεζε ηνπ Ννεκβξίνπ 2001, σο αληί-ακεξηθαληθή θαη πσο είλαη ελάληηα ζηνλ πφιεκν θαηά ηεο ηξνκνθξαηίαο. Ζ Fluffi Bunni έθεξε ζε ακεραλία θνξπθαίνπο νξγαληζκνχο αζθαιείαο ζην δηαδίθηπν απφ ηελ εηζβνιή ζηνπο ππνινγηζηέο ηνπο θαη ηελ αληηθαηάζηαζε δηθψλ ηνπο ηζηνζειίδσλ κε έλα κήλπκα : «Fluffi Bunni ownz you» θαη κία ςεθηαθή θσηνγξαθία ελφο ξνδ θνπλειηνχ. 26
2. Κνηλσληθνί κεραληθνί: Γνθηκαζηέο αζθαιείαο δηεηζδχζεσο Οη δνθηκαζηέο αζθαιείαο είλαη άηνκα πνπ δνθηκάδνπλ έλα ζχζηεκα γηα ηπρφλ ηξσηά ζεκεία θαη παξάλνκεο πξνζβάζεηο. Οη δνθηκαζηέο απηνί ρξεζηκνπνηνχλ πνιιά ζηνηρεία ηεο θνηλσληθήο κεραληθήο αιιά θαη άιιεο ηερληθέο παξφκνηεο κε απηέο πνπ ρξεζηκνπνηνχλ νη ράθεξο γηα λα απνζπάζνπλ πιεξνθνξίεο απφ αλππνςίαζηνπο εξγαδφκελνπο θαη λα απνθηήζνπλ θσδηθνχο πξφζβαζεο ζηα ζπζηήκαηα ηεο εηαηξείαο. Οη εηαηξείεο κε ηηο δηαδηθαζίεο ειέγρνπ ηαπηφηεηαο, ηνίρνη πξνζηαζίαο, VPNs θαη ινγηζκηθά παξαθνινχζεζεο δηθηχνπ δελ κπνξνχλ λα είλαη πιήξσο αζθαιείο, εάλ έλαο ππάιιεινο δίλεη άζειά ηνπ πιεξνθνξίεο, απαληψληαο ζε εξσηήζεηο πνπ γίλνληαη απφ θάπνηνλ θνηλσληθφ κεραληθφ. 27
3. Κνηλσληθνί κεραληθνί: Κιέθηεο ηαπηνηήησλ Ζ θινπή ηαπηφηεηαο είλαη ε ρξήζε ησλ επαίζζεησλ πιεξνθνξηψλ φπσο νλνκάησλ, αξηζκψλ ηξαπεδηθψλ ινγαξηαζκψλ, δηεπζχλζεσλ, εκεξνκεληψλ γέλλεζεο θαη ν αξηζκφο θνηλσληθήο αζθάιηζεο, ρσξίο ηε γλψζε ησλ ηδηνθηεηψλ. είλαη: Μέζνδνη γηα ηε ζπιινγή πιεξνθνξηψλ ζρεηηθά κε ηελ ηαπηφηεηα θάπνηνπ Σν Phishing Ζ εηαηξεία εξεπλψλ Gartner, εθηηκά φηη 57 εθαηνκκχξηα Ακεξηθαλψλ ελειίθσλ, έιαβε κία «phishing» επίζεζε κέζσ ειεθηξνληθνχ ηαρπδξνκείνπ ην πξνεγνχκελν έηνο. Πεξηζζφηεξα απφ ηα κηζά άηνκα πνπ απάληεζαλ ζε απηά ηα κελχκαηα, ήηαλ ηα ζχκαηα θινπήο ηεο ηαπηφηεηάο ηνπο. Σν ςάμηκν ησλ απνξξηκκάησλ (Dumpster Diving) Μία άιιε επξέσο ρξεζηκνπνηνχκελε κέζνδνο γηα ηε ζπιινγή πιεξνθνξηψλ ζρεηηθά κε ηελ ηαπηφηεηα θάπνηνπ είλαη ην ςάμηκν ησλ απνξξηκκάησλ ηνπ. Οη ηδηψηεο θαη νη επηρεηξήζεηο πεηνχλ ζηα απνξξίκκαηα έγγξαθα πνπ πεξηέρνπλ επαίζζεηεο 28
πιεξνθνξίεο φπσο δηεπζχλζεηο, ηειέθσλα, απνδείμεηο πηζησηηθψλ θαξηψλ ή αθφκα θαη αξηζκνχο θνηλσληθήο αζθάιηζεο. Απηέο νη πιεξνθνξίεο κπνξνχλ λα ρξεζηκνπνηεζνχλ γηα ηελ θαηαζθεπή κηαο ηαπηφηεηαο. To Skimming Μία άιιε κέζνδνο πνπ ρξεζηκνπνηείηαη είλαη ην Skimming. Σν Skimming είλαη ε απφζπαζε πιεξνθνξηψλ απφ ηηο καγλεηηθέο ηαηλίεο πνπ δηαζέηνπλ νη πηζησηηθέο θάξηεο. Απηή ε απάηε είλαη εχθνιν λα πξαγκαηνπνηεζεί ζε κέξε φπσο εζηηαηφξηα ή νπνηνδήπνηε κέξνο πνπ δίλεηαη ε πηζησηηθή θάξηα. Ο απαηεψλαο πεξλά ηελ θάξηα απφ έλαλ θνξεηφ ζαξσηή θαη αληηγξάθεη ηα ζηνηρεία ηεο καγλεηηθήο ηαηλίαο. Έηζη κπνξεί λα θαηαζθεπάζεη κηα πιαζηή πηζησηηθή θάξηα, πνπ ε καγλεηηθή ηεο ηαηλία πεξηέρεη ηηο πιεξνθνξίεο πηζηά αληηγξακκέλεο απφ ηελ γλήζηα, θη έηζη κπνξεί λα πεξάζεη απφ ηνπο ειέγρνπο αζθαιείαο επηηπρψο. Γηάζεκνη θιέθηεο ηαπηφηεηαο Έλα δεκνθηιέο παξάδεηγκα ηεο θινπήο ηαπηφηεηαο εκθαλίδεηαη ζηελ ηαηλία «Πηάζε κε αλ κπνξείο» ( Catch me if you Can ) θαη βαζίδεηαη ζηελ αιεζηλή ηζηνξία ηνπ Frank Abagnale. Ο Frank ππνδπφηαλ φηη είλαη γηαηξφο, δηθεγφξνο, επηζεσξεηήο θπιαθήο θαη πηιφηνο. Χο πηιφηνο ηεο PanAM Airlines πέηαμε γηα πάλσ απφ έλα εθαηνκκχξην κίιηα, ζε πάλσ απφ 26 ρψξεο θαη έκεηλε ζε δηάθνξα μελνδνρεία, ηα νπνία ρξεσλφηαλ ε εηαηξεία. Ο Frank ρξεζηκνπνίεζε πιαζηνπξνζσπία, pretexting θαζψο θαη άιιεο ηερληθέο γηα λα πξαγκαηνπνηήζεη ηεο απάηεο ηνπ. 29
4. Κνηλσληθνί κεραληθνί: Γπζαξεζηεκέλνη Τπάιιεινη Τπάξρνπλ πνιινί ιφγνη γηα λα δπζαξεζηεζεί έλαο ππάιιεινο. Οη βαζηθνί ιφγνη είλαη νη ππεξσξίεο, ε θαθή ακνηβή, ε ζπρλή κε επηβξάβεπζή ηνπ ή αθφκα θαη ε κε αλακελφκελή ηνπ πξναγσγή. Όηαλ έλαο εξγαδφκελνο γίλεη δπζαξεζηεκέλνο κε ηνλ εξγνδφηε ηνπ, αξρίδεη λα ραιάεη ε ζρέζε κεηαμχ ηνπο. Απηή ζπρλά είλαη κία κνλφπιεπξε θαηάζηαζε, θαζψο ν εξγαδφκελνο ζπλήζσο ζα πξνζπαζεί λα θξχςεη ηελ δπζαξέζθεηά ηνπ γηα λα κελ ηεζεί ε ζέζε εξγαζίαο ηνπ ζε θίλδπλν. Ζ δπζαξέζθεηα κπνξεί λα γίλεη θνηλή θαη ζε άιινπο εξγαδφκελνπο, ρσξίο ηελ άκεζε πξφζεζε ηνπ δπζαξεζηεκέλνπ εξγαδφκελνπ, θαζψο ζα επηδηψθεη λα βξεη θάπνηα αηηηνιφγεζε γηα ηε δπζαξέζθεηά ηνπ κέζσ ηεο θνηλσληθήο ελίζρπζεο. Κνηλέο κεζφδνη Γηαζπνξά θεκψλ Αθξαία έκθαζε ζε αξλεηηθά ζέκαηα Φζίλνπζα πνξεία ηεο ζπλνιηθήο παξαγσγηθφηεηαο Κινπή Ο θίλδπλνο θινπήο απμάλεηαη κε ηνπο δπζαξεζηεκέλνπο ππαιιήινπο, δεδνκέλνπ φηη ζπρλά αηζζάλνληαη ζαλ λα ηνπο νθείινληαη πεξηζζφηεξα απφ φζα ιακβάλνπλ. ε κία πξνζπάζεηα λα δηνξζψζεη απηφ, είλαη πνιχ ζπρλέο νη θινπέο δηαθφξσλ αληηθεηκέλσλ. Σα αληηθείκελα απηά κπνξνχλ λα θπκαίλνληαη απφ απιά πιηθά γξαθείνπ, ζην πιηθφ ηνπ ππνινγηζηή, κέρξη θαη ζηελ πλεπκαηηθή ηδηνθηεζία ηεο εηαηξείαο. Γηαξξνή εηαηξηθψλ κπζηηθψλ ε πνιιέο πεξηπηψζεηο, ηα κπζηηθά ηεο εηαηξείαο, πεξηιακβαλφκελσλ θαη ηεο πλεπκαηηθήο ηδηνθηεζίαο αιιά θαη πιεξνθνξίεο φπσο νξγαλνγξάκκαηα θαη εηαηξηθέο εθδειψζεηο, ζπρλά κπνξνχλ λα κνηξάδνληαη κε ηνλ έμσ-εηαηξηθφ θφζκν απφ δπζαξεζηεκέλνπο ππαιιήινπο. 30
Υξήζε ησλ θνηλσληθψλ δηθηχσλ Οη δπζαξεζηεκέλνη ππάιιεινη είλαη πηζαλφ λα δηαδίδνπλ αξλεηηθέο πιεξνθνξίεο γηα ηηο εηαηξείεο κέζσ ησλ θνηλσληθψλ δηθηχσλ. Ζ θαηάζηαζε απηή είλαη κελ ζεβαζηή γηα πνιινχο δπζαξεζηεκέλνπο ππαιιήινπο, δεδνκέλνπ φηη είλαη πξφζπκνη λα κνηξαζηνχλ ηηο αξλεηηθέο ηνπο εκπεηξίεο, αθεηέξνπ δε, κπνξεί νη πιεξνθνξίεο θαη νη θήκεο λα κελ είλαη βάζηκεο, αιιά ζπθνθαληηθέο. Έηζη απηφ δεκηνπξγεί έλα κεγάιν πξφβιεκα ζηελ εηθφλα κηαο εηαηξείαο. Αθνινπζεί έλα παξάδεηγκα γηα ην πσο έλαο δπζαξεζηεκέλνο ππάιιεινο ρξεζηκνπνηεί έλα θνηλσληθφ δίθηπν γηα λα πξνθαιέζεη δεκηά ζηελ εηαηξεία πνπ εξγάδεηαη (ή εξγαδφηαλ) Αξρηθά κπνξεί λα μεθηλήζεη κε ην λα αλαγξάθεη αλαθνηλψζεηο ζην πξνθίι ηνπ, ηνπ ηχπνπ: «Ζ ΑΒΓ εηαηξεία είλαη απαηεψλεο, κείλεηε καθξηά ηνπο» ή «Απαξάδεθηε ζπκπεξηθνξά θαθή εμππεξέηεζε ζε πειάηε» Άιινο ηξφπνο είλαη λα δεκηνπξγήζεη έλα group κε ζέκα ηελ εηαηξεία, θαη εθεί λα αλαξηά εθηφο απφ θαθέο θήκεο, εηαηξηθά έγγξαθα φπσο νηθνλνκηθά ζηνηρεία ή λα αλαθέξεη ηαθηηθέο κάξθεηηλγθ ηεο εηαηξείαο. Δπίζεο κπνξεί λα δεκηνπξγήζεη ςεχηηθα πξνθίι, ψζηε λα ππάξρνπλ θαη άιια άηνκα πνπ «ππήξμαλ» ζχκαηα απάηεο ηεο ελ ιφγν εηαηξείαο, θη έηζη λα είλαη πην πηζηεπηφο ζηνπο άιινπο ρξήζηεο ηνπ θνηλσληθνχ δηθηχνπ. 5. Κνηλσληθνί κεραληθνί: Γξαθεία πιεξνθνξηψλ Σα γξαθεία πιεξνθνξηψλ ζπιιέγνπλ δεδνκέλα θαη ηα πξνζθέξνπλ ζε δηάθνξνπο νξγαληζκνχο φπσο ην FBI, ην ππνπξγείν Δζληθήο Ακχλεο θαη ζε άιινπο νξγαληζκνχο. Οη εηαηξείεο απηέο απνηεινχλ πςειφ ζηφρν γηα ηνπο θνηλσληθνχο κεραληθνχο γηαηί πεξηέρνπλ ηεξάζηηεο πνζφηεηεο πιεξνθνξηψλ πνπ ζα κπνξνχζαλ λα ρξεζηκνπνηεζνχλ γηα ηηο δξαζηεξηφηεηέο ηνπο. Απηέο νη εηαηξείεο ζπιιέγνπλ δεδνκέλα θαη ζηελ πξαγκαηηθφηεηα θαθειψλνπλ ηνλ θαζέλα καο. Οη πιεξνθνξίεο κπνξεί λα είλαη νπνηεζδήπνηε, φπσο δεδνκέλα ρξεκαηηζηεξηαθψλ ελεξγεηψλ, δηεπζχλζεηο θαηνηθίαο, ηειέθσλα, εξγαζία θαη άιια πνιιά. 31
Παξαδείγκαηα απφ γξαθεία-εηαηξείεο ζπιινγήο πιεξνθνξηψλ. LexisNexis (πξψελ ChoicePoint) Δίλαη κία εηαηξία πνπ ζπιιέγεη πξνζσπηθά ζηνηρεία, πιεξνθνξίεο ή δεδνκέλα ρξεκαηηζηεξηαθψλ ζπλαιιαγψλ, θαη ηα πσιεί ζε άιιεο εηαηξείεο γηα ρξήζε ζην εκπφξην ή άιινπο λφκηκνπο ζθνπνχο. Δίλαη κία εηαηξεία πνπ αλαιακβάλεη λα δηθηπψζεη εηαηξείεο κε άιιεο, ζε ηνκείο φπσο κάξθεηηλγθ, εχξεζεο δπλακηθνχ πξνζσπηθνχ θαη άιια. DocuSearch Δίλαη ν αξραηφηεξνο πάξνρνο ηεο on-line έξεπλαο θαη αλαδήηεζεο πιεξνθνξηψλ ζηελ Ακεξηθή. Πξνζθέξεη ζηνλ ρξήζηε επηινγέο φπσο, αληηζηνίρεζε θνηλσληθνχ αξηζκνχ (Α.Φ.Μ.) κε ην πξφζσπν, εχξεζε ζηνηρείσλ γηα πηλαθίδεο απηνθηλήησλ, ηπρψλ δηθαζηηθέο απνθάζεηο ή πνηληθά κεηξψα γηα θάπνην πξφζσπν, ηειεθσληθνχο αξηζκνχο, πεξηνπζηαθά ζηνηρεία ή αθφκα θαη ζηνηρεία ινγαξηαζκψλ απφ ηξάπεδεο. Όιεο απηέο ηηο πιεξνθνξίεο βεβαίσο, δελ είλαη δηαζέζηκεο ζηνλ θαζέλα, αιιά γηα λα είλαη ε εηαηξεία λνκηθά δηαζθαιηζκέλε, γηα θάζε θαηεγνξία αλαδήηεζεο έρεη ιίζηα κε πνηνπο αλζξψπνπο κπνξνχλ λα έρνπλ δηθαίσκα λα ιάβνπλ απηά ηα πξνζσπηθά ζηνηρεία (Ννκηθά πξφζσπα θαη ινηπά) Discreet Research (Γηαθξηηηθή Έξεπλα) Δίλαη κία εηαηξεία πνπ παξέρεη δηάθνξεο πιεξνθνξίεο ζηνλ ρξήζηε, φπσο ν εληνπηζκφο ελφο αηφκνπ ή αθφκα θαη ν έιεγρνο ηνπ πνηληθνχ κεηξψνπ θάπνηνπ αηφκνπ! Οη εηαηξίεο απηέο, ρξεζηκνπνηνχλ ηελ θνηλσληθή κεραληθή, σο κέζνλ ζπιινγήο απηψλ ησλ δεδνκέλσλ - πιεξνθνξηψλ. Όπσο θαη ζηελ Docusearch θη εδψ ππάξρνπλ φξνη γηα ην πνηνο κπνξεί λα ιάβεη πιεξνθνξίεο γηα θάπνην πξφζσπν θαη ηη είδνπο πιεξνθνξηψλ κπνξεί λα ιάβεη, βάζεη λνκνζεζίαο. 32
6. Κνηλσληθνί κεραληθνί: Άλζξσπνη ζηηο πσιήζεηο Οη άλζξσπνη ζηηο πσιήζεηο έρνπλ έλα πξντφλ ή κηα ππεξεζία θαη ην πξνσζνχλ γηα λα ην αγνξάζεη ην θνηλφ. ηελ πξνζπάζεηά ηνπο θάλνπλ ζπρλή ρξήζε ηεο θνηλσληθήο κεραληθήο. Pretexting Πξνζρήκαηα Οη άλζξσπνη πνπ αζρνινχληαη κε ηηο πσιήζεηο ρξεζηκνπνηνχλ ζπρλά ην pretexting γηα λα θάλνπλ έξεπλα αγνξάο. Δίλαη πνιχ ζπρλφ λα θάλνπλ κία αληαγσληζηηθή έξεπλα γηα λα βξνπλ π.ρ. ηε ζσζηή ηηκή γηα ην πξντφλ ηνπο ή άιια ραξαθηεξηζηηθά πνπ κπνξνχλ λα πξνζζέζνπλ ζην πξντφλ. Παζεηηθή ζπιινγή πιεξνθνξηψλ ηνλ ηνκέα ησλ πσιήζεσλ, νη άλζξσπνη ρξεζηκνπνηνχλ επίζεο άιιεο κεζφδνπο γηα ηε ζπιινγή πιεξνθνξηψλ ζρεηηθά κε ηνπο πηζαλνχο πειάηεο. Απηέο είλαη ε εμέηαζε πηζαλψλ ηνπνζεζηψλ ησλ πειαηψλ, εθηειψληαο αλαδεηήζεηο ζην δηαδίθηπν γηα ηηο πσιήζεηο ζηνπο αλζξψπνπο. Άιιε κέζνδνο είλαη ε έξεπλα ζε ηνπηθέο εθεκεξίδεο ή ηα δειηία ηχπνπ. Απηφο είλαη έλαο πνιχ θαιφο ηξφπνο λα βξεζεί έλαο ζηφρνο πψιεζεο γηα ηα πξντφληα ηνπο. 33
7. Κνηλσληθνί κεραληθνί: Οη Κπβεξλήζεηο Οη θπβεξλήζεηο ρξεζηκνπνηνχλ κεζφδνπο θνηλσληθήο κεραληθήο ζε ηαθηηθή βάζε ζην πιαίζην ησλ πξνζπαζεηψλ ηνπο λα επεξεαζηεί ε θνηλή γλψκε θαη λα ππνζηεξίμεη ηηο δξάζεηο ηεο θπβέξλεζεο. Απηφ κπνξεί λα γίλεη ζε κία δνκεκέλε βάζε απφ πνιηηηθνχο ή θξαηηθνχο νξγαληζκνχο. Όηαλ κηιάκε γηα θνηλσληθή κεραληθή ζε κία θπβέξλεζε, ν φξνο παίξλεη κηα νιφθιεξε λέα έλλνηα: Σνπιάρηζηνλ κε ηελ επξχηεξε έλλνηα, είλαη ε κεζφδεπζε κηαο επξχηεξεο νκάδαο κέζσ λφκσλ θαη αξρψλ. Απηφ βέβαηα ζε πνιιέο πεξηπηψζεηο δελ είλαη θαθφ, αιιά κε ηνπο λφκνπο θαη ηηο αξρέο γίλεηαη έλαο δηαρσξηζκφο κε ην ηη είλαη θαιφ θαη ηη θαθφ. Πιεξνθνξηαθά, ζηελ ηαηλία Wag the Dog θαηαδεηθλχνληαη νη κέζνδνη θνηλσληθήο κεραληθήο πνπ ρξεζηκνπνηνχληαη απφ ηνπο πνιηηηθνχο. Ο έιεγρνο ηεο θνηλήο γλψκεο Οη θπβεξλήζεηο ζπρλά ρξεζηκνπνηνχλ δηάθνξεο κεζφδνπο θνηλσληθήο κεραληθήο γηα ηελ άκεζε δεκφζηα γλψκε. Απηέο κπνξνχλ λα ιάβνπλ ηε κνξθή πιαζηψλ εηδήζεσλ πνπ θαίλεηαη λα είλαη πξαγκαηηθέο εηδήζεηο, αιιά νη νπνίεο είλαη πξνπαγάλδα. Μία άιιε κέζνδνο είλαη ε ζχλδεζε κε δεκνθηιψλ ζηφρσλ κε άιινπο δεκνθηιείο ζηφρνπο κε ζθνπφ λα κελ ππάξρνπλ αληηδξάζεηο απφ ηνλ ιαφ. Ννκηζκαηηθή πνιηηηθή Ζ αμία ησλ ρξεκάησλ ελ κέξεη θαζνξίδεηαη απφ ηε λνκηζκαηηθή πνιηηηθή ηεο θπβέξλεζεο. Οη θπβεξλήζεηο έρνπλ δηαθνξεηηθνχο ζηφρνπο σο πξνο ηελ ζηνρεπκέλε ηηκή ηνπ λνκίζκαηνο θαη βαζίδεηαη ζε ζηφρνπο φπσο ε επθνιία ησλ εμαγσγψλ ή ηεο αγνξαζηηθήο δχλακεο ηνπ ηνπηθνχ λνκίζκαηνο ζηηο εηζαγσγέο. Απηφ ζπρλά επεξεάδεηαη απφ ηελ θνηλσληθή κεραληθή ηεο κείσζεο ησλ απνζεκάησλ, κέζσ ηνπ ειέγρνπ γηα ην πφζα κεηξεηά είλαη δηαζέζηκα ζηελ αγνξά. Υξήζε ηεο γιψζζαο Μηα θνηλή κέζνδνο θνηλσληθήο κεραληθήο πνπ ρξεζηκνπνηείηαη απφ ηηο θπβεξλήζεηο είλαη ν επεξεαζκφο ηεο ρξήζεο ηεο γιψζζαο, γηα λα ηξνπνπνηήζεη ηελ 34
θνηλή γλψκε. Τπαγνξεχνληαο ηηο ιέμεηο πνπ ρξεζηκνπνηνχληαη γηα ηελ πεξηγξαθή ησλ αλζξψπσλ ή ηα γεγνλφηα, νη θπβεξλήζεηο είλαη ζε ζέζε λα πιαηζηψλνπλ ηηο ζπδεηήζεηο θαηά ηξφπν πνπ λα είλαη επλντθφο γη απηνχο. Παξαδείγκαηα ρξήζεο γιψζζαο: Σξνκνθξάηεο = αγσληζηήο ηεο ειεπζεξίαο Βαζαληζηήξηα = ζθιεξέο ηαθηηθέο αλάθξηζεο 8. Κνηλσληθνί κεραληθνί: Βηνκεραληθή θαηαζθνπεία ηελ βηνκεραληθή θαηαζθνπεία γίλεηαη ρξήζε ηεο θνηλσληθήο κεραληθήο γηα απφζπαζε πιεξνθνξηψλ γηα αληαγσληζηηθνχο ζθνπνχο ή αθφκα θαη ηελ θαηαζηξνθή κηα αληίπαιεο επηρείξεζεο. 4.2 ηφρνη Κνηλσληθήο Μεραληθήο Οη βαζηθνί ζηφρνη ηεο θνηλσληθήο κεραληθήο είλαη ίδηνη κε ηνπο ζηφρνπο ηνπ hacking ζε γεληθέο γξακκέο: λα απνθηεζεί παξάλνκε πξφζβαζε ζε ζπζηήκαηα ή πιεξνθνξίεο, γηα λα δηαπξαρζεί απάηε, εηζβνιή ζε δίθηπα, βηνκεραληθή θαηαζθνπεία, θινπή ηαπηφηεηαο ή απιά λα δηαηαξάμνπλ ην ζχζηεκα ή ην δίθηπν. Σππηθνί ζηφρνη πεξηιακβάλνπλ ηειεθσληθέο εηαηξείεο, κεγάιεο εηαηξείεο, ρξεκαηννηθνλνκηθέο θπξίσο, ηδξχκαηα, ζηξαηησηηθέο θαη θπβεξλεηηθέο ππεξεζίεο. Ζ εχξεζε πξαγκαηηθψλ παξαδεηγκάησλ απφ επηζέζεηο ηχπνπ θνηλσληθήο κεραληθήο είλαη δχζθνιε, δηφηη ηα ζχκαηα εηαηξείεο, δελ ζέινπλ λα παξαδερζνχλ φηη έπεζαλ ζχκαηα εμαπάηεζεο, δηφηη κπνξεί λα βιάςεη ηελ θήκε ηνπ νξγαληζκνχ ηνπο. 35
5. Σξόπνη έξεπλαο θαη ζπιινγήο πιεξνθνξηώλ ζηελ Κνηλσληθή Μεραληθή 5.1 Φπζηθή έξεπλα Οη επηζέζεηο ηχπνπ θνηλσληθήο κεραληθήο δηεμάγνληαη ζε δχν επίπεδα: ζσκαηηθά θαη ςπρνινγηθά. Πξψηα, ζα επηθεληξσζεί ζηελ θπζηθή ξχζκηζε γηα ηελ επίζεζε: ηνλ ρψξν εξγαζίαο, ην ηειέθσλν, ηα ζθνππίδηα ή αθφκα θαη on-line πξφζβαζε. ηνλ ρψξν εξγαζίαο, ν ράθεξ κπνξεί απιά λα ηνλ επηζθεθηεί θαη λα ππνθξηζεί φηη είλαη εξγαδφκελνο ζηελ ζπληήξεζε ή ζχκβνπινο ν νπνίνο έρεη πξφζβαζε ζηελ νξγάλσζε. ηε ζπλέρεηα, ν εηζβνιέαο ςάρλεη ζηα γξαθεία κέρξη λα βξεη θσδηθνχο πξφζβαζεο (π.ρ. πνιινί ηνπο έρνπλ γξακκέλνπο ζε ραξηηά πνπ 36
βξίζθνληαη θνιιεκέλα πάλσ ζηηο νζφλεο ησλ ππνινγηζηψλ ηνπο) θαη ηφηε πιένλ θεχγεη απφ ην θηίξην κε άθζνλεο πιεξνθνξίεο γηα ηελ πξφζβαζε ζην δίθηπν, πνπ ζα θάλεη απφ άιινλ ρψξν. Μηα άιιε ηερληθή γηα ηε ζπιινγή πιεξνθνξηψλ είλαη λα ζηαζεί ζε κηα κεξηά θαη λα παξαθνινπζεί ηνπο εξγαδνκέλνπο ψζηε λα δεη ηνλ θσδηθφ ηελ ψξα πνπ ηνλ πιεθηξνινγνχλ. 5.2 Κνηλσληθή κεραληθή κε ρξήζε ηειεθψλνπ Σν πην δηαδεδνκέλν είδνο[16] επίζεζεο ηεο θνηλσληθήο κεραληθήο δηελεξγείηαη απφ ην ηειέθσλν. Έλαο ράθεξ ζα ηειεθσλήζεη θαη ζα κηκεζεί θάπνηνλ ζε κηα ζέζε εμνπζίαο ή θάπνηνλ πνπ ελδηαθέξεηαη (π.ρ. γηα λέα ζέζε εξγαζίαο) θαη ζηαδηαθά ζα απνζπάζεη πιεξνθνξίεο απφ ηνλ εξγαδφκελν πνπ κηιάεη. Σα γξαθεία πιεξνθνξηψλ είλαη ηδηαίηεξα επηξξεπείο ζε ηέηνηνπ είδνπο επηζέζεηο. 5.3 Φάμηκν ησλ απνξξηκκάησλ κηαο εηαηξείαο 37
Έλα ηεξάζηην πνζφ πιεξνθνξηψλ κπνξεί λα ζπιιέγεηαη απφ ηνπο θάδνπο απνξξηκκάησλ [16][18] κηαο εηαηξείαο. Οη πηζαλέο δηαξξνέο αζθαιείαο ζηα απνξξίκκαηα είλαη: ηειεθσληθνί θαηάινγνη ηεο εηαηξείαο, νξγαλσηηθά δηαγξάκκαηα, ππνκλήκαηα, εγρεηξίδηα ηεο πνιηηηθήο ηεο εηαηξείαο, εκεξνιφγηα ζπλαληήζεσλ, εθδειψζεσλ θαη δηαθνπψλ, εγρεηξίδηα ησλ ζπζηεκάησλ, εθηππσκέλα αληίγξαθα επαίζζεησλ δεδνκέλσλ ή νλφκαηα ρξεζηψλ θαη θσδηθνί πξφζβαζεο, αληίγξαθα ηνπ πεγαίνπ θψδηθα, επηζηνιφραξηα ή αθφκα θαη παιηφ πιηθφ ησλ ππνινγηζηψλ (π.ρ. ζθιεξνί δίζθνη). Οη πεγέο απηέο κπνξνχλ λα παξέρνπλ κηα πινχζηα θιέβα πιεξνθνξηψλ γηα ηνλ ράθεξ. Οη ηειεθσληθνί θαηάινγνη κπνξνχλ λα δψζνπλ νλφκαηα θαη αξηζκνχο ηειεθψλσλ πνπ νη ράθεξο κπνξνχλ λα ζηνρεχζνπλ θαη λα κηκεζνχλ. Σα νξγαλνγξάκκαηα πεξηέρνπλ πιεξνθνξίεο γηα ηα άηνκα πνπ βξίζθνληαη ζε ζέζεηο εμνπζίαο ζηελ εηαηξεία. Σα εγρεηξίδηα ηεο πνιηηηθήο ηεο εηαηξείαο κπνξνχλ λα παξέρνπλ πιεξνθνξίεο γηα ην επίπεδν αζθαιείαο ηεο εηαηξείαο. Σα εκεξνιφγηα κπνξνχλ λα δψζνπλ πιεξνθνξίεο γηα ην πνχ βξίζθνληαη νη εξγαδφκελνη ζε κία δεδνκέλε ζηηγκή. Σα εγρεηξίδηα ζπζηεκάησλ, ηα επαίζζεηα δεδνκέλα, θαζψο θαη άιιεο πεγέο ηερληθψλ πιεξνθνξηψλ κπνξνχλ λα δψζνπλ αθξηβείο θσδηθνχο πνπ ρξεηάδεηαη ν ράθεξ ψζηε λα απνθηήζεη πξφζβαζε ζην δίθηπν ηεο εηαηξείαο. Σέινο, ην παιηφ πιηθφ φπσο ζθιεξνί δίζθνη, κπνξνχλ λα απνηειέζνπλ άξηζηε πεγή πιεξνθνξηψλ. 5.4 On-Line Κνηλσληθή Μεραληθή Σν δηαδίθηπν είλαη έλα γφληκν έδαθνο γηα ηνπο θνηλσληθνχο κεραληθνχο ψζηε 38
λα πξνβνχλ ζε ζπγθνκηδή θσδηθψλ πξφζβαζεο. [16] Ζ πξσηνγελήο αδπλακία είλαη φηη πνιινί ρξήζηεο επαλαιακβάλνπλ ζπρλά ηε ρξήζε ελφο απινχ θσδηθνχ γηα πνιινχο ινγαξηαζκνχο. Έηζη, φηαλ ν ράθεξ έρεη έλαλ θσδηθφ πξφζβαζεο, ηφηε κπνξεί λα κπεη ζε πνιινχο ινγαξηαζκνχο. Έλαο ηξφπνο κε ηνλ νπνίν νη ράθεξο επηηπγράλνπλ ππνθινπή θσδηθψλ πξφζβαζεο είλαη κέζσ ελφο on-line εληχπνπ πνπ απνζηέιινπλ ζηνπο ζηφρνπο ηνπο. Δίλαη κία θφξκα, ζπλήζσο πηζηφ αληίγξαθν απφ θφξκεο πνπ απνζηέιινπλ κεγάινη ηζηφηνπνη απφ ηνπο δηαρεηξηζηέο δηθηχσλ ζε ρξήζηεο ηνπο πνπ δεηάεη δηάθνξα ζηνηρεία ηνπο γηα εμαθξίβσζε ησλ ζηνηρείσλ ηνπο, π.ρ. γηα λα κελ δηαγξαθεί ν ινγαξηαζκφο ηνπο. Απηά ηα e-mails ζπλήζσο απνζηέιινληαη απφ δηεπζχλζεηο παξαπιήζηεο κε ηηο αιεζηλέο. 39
5.5 Ζ πεηζψ Οη ράθεξο νη ίδηνη δηδάζθνπλ ηελ θνηλσληθή κεραληθή απφ κία ςπρνινγηθή νπηηθή, ηνλίδνληαο πψο λα δεκηνπξγήζεη ην ηέιεην ςπρνινγηθφ πεξηβάιινλ γηα ηελ επίζεζε. Οη βαζηθέο κέζνδνη πεηζνχο πεξηιακβάλνπλ: πιαζηνπξνζσπία, απφθηεζε ηεο εχλνηαο, ηεο ζπκκφξθσζεο, δηάρπζε ησλ επζπλψλ, θαζψο θαη ππνηηζέκελε θηιία απφ παιηά. Αλεμαξηήησο ηεο κεζφδνπ πνπ ρξεζηκνπνηείηαη, ν θχξηνο ζηφρνο είλαη λα πεηζηεί ην άηνκν φηη ν ράθεξ είλαη ζηελ πξαγκαηηθφηεηα έλα άηνκν πνπ κπνξεί λα ηνλ εκπηζηεπζεί ψζηε λα γλσζηνπνηήζεη ηηο νπνηεζδήπνηε επαίζζεηεο πιεξνθνξίεο. Σν άιιν ζεκαληηθφ ηξηθ είλαη λα κελ δεηήζεη πάξα πνιιέο πιεξνθνξίεο ζε κία ζηηγκή, αιιά λα δεηήζεη ιίγεο απφ ην θάζε άηνκν ρσξηζηά. Πιαζηνπξνζσπία γεληθά ζεκαίλεη ε δεκηνπξγία θάπνηνπ είδνπο ραξαθηήξα πνπ ππνδχεηαη έλαλ ξφιν. Όζν απινχζηεξνο είλαη ν ξφινο απηφο, ηφζν ην θαιχηεξν. Μεξηθέο θνξέο απηφ κπνξεί λα ζεκαίλεη απιψο ηελ δήηεζε πιεξνθνξίαο, ιέγνληαο π.ρ. «Γεηα ζνπ, είκαη ν Γεκήηξεο απφ ην Σερληθφ Σκήκα θαη ρξεηάδνκαη ηνλ θσδηθφ πξφζβαζήο ζνπ» αιιά απηφ δελ ιεηηνπξγεί πάληα. Άιιεο θνξέο, νη ράθεξο ζα κειεηήζνπλ έλα πξαγκαηηθφ άηνκν ζε έλαλ νξγαληζκφ θαη πεξηκέλεη έσο φηνπ παξνπζηαζηεί επθαηξία, θαη ηφηε ηνλ κηκείηαη απφ ην ηειέθσλν. ε πεξίπησζε ακθηβνιίαο, ν θαιχηεξνο ηξφπνο γηα λα ιάβεη πιεξνθνξίεο ζε κία επίζεζε είλαη ην θηιηθφ ζηπι. Ζ ηδέα, ζε απηήλ ηελ πεξίπησζε, είλαη φηη ν κέζνο ρξήζηεο-ζηφρνο ζέιεη λα πηζηεχεη πσο ζην ηειέθσλν είλαη ζπλάδειθνο θαη λα ζέιεη λα ηνλ βνεζήζεη, νπφηε ζα απαληήζεη ζηηο εξσηήζεηο ηνπ ράθεξ. Δηδηθά ζηηο γπλαίθεο 40
γίλεηαη ε ρξήζε θιεξη θαη θνιαθεπηηθψλ ζρνιίσλ ψζηε λα ζπλεξγαζηνχλ πεξαηηέξσ. 6. Σερληθέο Κνηλσληθήο Μεραληθήο Ο επθνιφηεξνο ηξφπνο γηα λα απνθηήζεη θάπνηνο πξφζβαζε ζε έλα ζχζηεκα ειεθηξνληθνχ ππνινγηζηή είλαη απιψο λα δεηήζεη ηελ άδεηα. Έλα δίθηπν δελ είλαη πνηέ απφιπηα αζθαιέο παξά ηελ θξππηνγξάθεζε θαη ηελ ηερλνινγία αζθαιείαο πνπ δηαζέηεη, δηφηη δελ κπνξεί λα απαιιαρζεί απφ ηνλ πην αδχλακν θξίθν, ηνλ αλζξψπηλν παξάγνληα. Γελ έρεη ζεκαζία πφζα firewalls, πφζα VPNs ή ζπζθεπέο απφθξπςεο δηαζέηεη, εάλ νη ππάιιεινη είλαη πξφζπκνη λα δψζνπλ ηελ πξφζβαζε ζηα ζπζηήκαηα, ζε φπνηνλ ην δεηήζεη. Έλαο θνηλσληθφο κεραληθφο είλαη θάπνηνο πνπ ρξεζηκνπνηεί εμαπάηεζε, πεηζψ θαη επηξξνή γηα λα απνζπάζεη πιεξνθνξίεο. ηελ θνηλσληθή κεραληθή ην γεγνλφο φηη «έλα θνξφηδν γελληέηαη αλά ιεπηφ», ηνπο δίλεη ηελ επθαηξία λα παξαθάκςνπλ νξηζκέλα απφ ηα πην αζθαιή δίθηπα δεδνκέλσλ ζηνλ θφζκν. Δίλαη ε θαηαλφεζε ηεο αλζξψπηλεο ςπρνινγίαο θαη κε κεζνδηθφ ηξφπν λα επεξεάζεη θάπνηνλ ψζηε λα δψζεη επαίζζεηεο πιεξνθνξίεο ή λα ρνξεγήζεη πξφζβαζε ρσξίο άδεηα. Τπάξρνπλ πνιιέο ηερληθέο [19] πνπ ρξεζηκνπνηνχληαη ζηελ θνηλσληθή κεραληθή θαη ζα αλαθεξζνχλ παξαθάησ. 6.1 Αληίζηξνθε Κνηλσληθή Μεραληθή 41
Ζ αληίζηξνθε [20] θνηλσληθή κεραληθή πεξηγξάθεη κηα θαηάζηαζε θαηά ηελ νπνία ν ζηφρνο ή νη ζηφρνη θαζηζηνχλ ηελ αξρηθή πξνζέγγηζε ψζηε λα πξνζθέξεη ζηνλ ράθεξ ηηο πιεξνθνξίεο πνπ ζέιεη. Έλα ηέηνην ζελάξην [16] κπνξεί λα θαίλεηαη απίζαλν, αιιά γηα παξάδεηγκα έλαο εξγαδφκελνο ζην ηκήκα ηερληθήο βνήζεηαο ζα κπνξνχζε λα δεηήζεη ηελ ηαπηφηεηα θαη ηνλ θσδηθφ ελφο ρξήζηε, θαη λα ην ιάβεη, ζηελ πξαγκαηηθφηεηα φκσο κπνξεί λα ιχζεη ηα πξνβιήκαηα ρσξίο απηέο ηηο πιεξνθνξίεο. ηελ πεξίπησζε ηεο αληίζηξνθεο θνηλσληθήο κεραληθήο, ζε κία επίζεζε, ζα δεκηνπξγήζεη κία θαηάζηαζε φπσο ηερληθφ πξφβιεκα ηνπ δηθηχνπ, ζηε ζπλέρεηα ζα δηαθεκίδεη κηα ιχζε, θαη ζα παξέρεη βνήζεηα φηαλ ηνπ δεηεζεί, φπσο ζην παξάδεηγκα πνπ αθνινπζεί. Έλαο ζπλεξγάηεο ράθεξ κεηνλνκάδεη ή κεηαθηλεί έλα αξρείν, έηζη ψζηε ν ζηφρνο λα πηζηέςεη φηη ην αξρείν δελ ππάξρεη πιένλ. Ο ράθεξ εηθάδεηαη φηη κπνξεί λα βξεη ην αξρείν, θαη ν ζηφρνο, πνπ πνιιέο θνξέο λνκίδεη φηη ην αξρείν ράζεθε εμαηηίαο ηνπ, ζα δεηήζεη βνήζεηα απφ ηνλ ράθεξ, ππνηηζέκελν ζπλεξγάηε ηνπ. Οπφηε ηνπ δεηά λα ηνπ δψζεη πξφζβαζε απφ ηνλ ινγαξηαζκφ ηνπ ζηφρνπ, ψζηε λα κπνξέζεη λα ηνλ βνεζήζεη. Έηζη πνιχ απιά, ν ράθεξ επαλαθέξεη ην αξρείν πνπ είρε πεηξάμεη, θαη έηζη έρεη απνθηήζεη ην φλνκα ρξήζηε θαη ηνλ θσδηθφ ηνπ ζηφρνπ ηνπ. 42
6.2 Piggybacking Tailgating Μία απφ ηηο απινχζηεξεο θαη απφ ηηο πην απνηειεζκαηηθέο ηαθηηθέο θνηλσληθήο κεραληθήο είλαη ην Piggybacking[21] ή αιιηψο Tailgating. ην πιαίζην ηεο αζθάιεηαο, ν φξνο piggybacking ή tailgating ρξεζηκνπνηείηαη γηα λα πεξηγξάςεη ηελ θαηάζηαζε θαηά ηελ νπνία έλαο ή πεξηζζφηεξνη άλζξσπνη πνπ αθνινπζνχλ έλα εμνπζηνδνηεκέλν πξφζσπν, θαη φηαλ απηφ αλνίμεη ηελ πφξηα λνκίκσο, απηνί αθνινπζνχλ θαη απνθηνχλ πξφζβαζε ζε κία πεξηνρή αζθαιείαο. Ζ δηαθνξά ηνπ Piggybacking κε ην tailgating είλαη φηη ην πξψην ππνδειψλεη ζπγθαηάζεζε ηνπ εμνπζηνδνηεκέλνπ πξνζψπνπ, ελψ ην tailgating ζεκαίλεη ηελ πξάμε δίρσο ηε ζπγθαηάζεζή ηνπ. Δίλαη ε ηερληθή πνπ ν θνηλσληθφο κεραληθφο πξνζπαζεί λα εηζέιζεη ζε θάπνηα θπζηθή εγθαηάζηαζε καδί κε έλα ή πεξηζζφηεξα άηνκα, πνπ έρνπλ ηελ άδεηα λα εηζέιζνπλ. Έλα παξάδεηγκα απηνχ είλαη ν θνηλσληθφο κεραληθφο λα εκθαλίδεηαη ζηελ πεξηνρή φπνπ νη εξγαδφκελνη βγαίλνπλ έμσ απφ ην θηίξην γηα λα θαπλίζνπλ ή λα θάλνπλ δηάιεηκκα. Δθεί ππνθξίλεηαη πσο αλήθεη ζην πιήζνο θαη φηαλ νη εξγαδφκελνη ηειεηψζνπλ ην θάπληζκα ή ην δηάιεηκκα, απηφο ζα αθνινπζήζεη ην πιήζνο ησλ εξγαδνκέλσλ πνπ εηζέξρνληαη ζην θηίξην, πξνζπαζψληαο λα παξαθάκςεη ηνλ ελδερφκελν έιεγρν αζθαιείαο, φπσο ηελ αλάγλσζε ηαπηνηήησλ. Έλα άιιν παξάδεηγκα[22] είλαη φηαλ έλαο θνηλσληθφο κεραληθφο εκθαλίδεηαη ζηελ πφξηα ησλ εγθαηαζηάζεσλ πνπ ζέιεη λα εηζέιζεη, κηα βξνρεξή κέξα θνπβαιψληαο έλα κεγάιν θνπηί. Χο ππάιιεινο ζα πξνζπαζήζεη λα εθκεηαιιεπηεί 43
ηελ θαινζχλε θαη ηελ επγέλεηα δεηψληαο απφ ηνλ θχιαθα λα ηνπ αλνίμεη ηελ πφξηα, δηφηη δελ κπνξεί λα ρξεζηκνπνηήζεη ηα θιεηδηά ηνπ. Δπεηδή νη άλζξσπνη γεληθά ζέινπλ λα βνεζνχλ ηνλ ζπλάλζξσπφ ηνπο, ν θχιαθαο ζα αλνίμεη ηελ πφξηα αζθαιείαο θη έηζη ζα παξέρεη πξφζβαζε ζηνλ θνηλσληθφ κεραληθφ. Μέζνδνη[21] ηνπ piggybacking tailgating θαη ηξφπνη πξνζηαζίαο : Ζ ζπκκεηνρή ζε έλα κεγάιν πιήζνο πνπ επηηξέπεηαη λα εηζέιζεη ζηελ πεξηνρή, θαη πξνζπνίεζε φηη είλαη κέινο ηνπ πιήζνπο πνπ είλαη ζε κεγάιν βαζκφ αλεμέιεγθην. Βξίζθνληαο έλα εμνπζηνδνηεκέλν άηνκν θαη εμαπαηψληαο ηνλ ψζηε λα λνκίζεη φηη ν θνηλσληθφο κεραληθφο έρεη άδεηα εηζφδνπ, ψζηε λα πεξάζνπλ καδί ηνλ ηπρφλ έιεγρν αζθαιείαο. Δπίπεδα αζθαιείαο γηα tailgating piggybacking Αλάινγα κε ην είδνο ηεο ηνπνζεζίαο, πνηθίιινπλ ηα επίπεδα αζθαιείαο. Οξηζκέλα ζεκεία ειέγρνπ έρνπλ πνιχ πςειά επίπεδα θαηά ηα νπνία ειέγρνληαη φια ηα άηνκα αλεμάξηεηα, θαη σο εθ ηνχηνπ είλαη ηθαλά λα εκπνδίζνπλ ζρεδφλ φιεο ηηο ηαθηηθέο ηνπ piggybacking- 44
tailgating. Απηά κπνξεί λα πεξηιακβάλνπλ άηνκα κε έληνλε αλζξψπηλε επηηήξεζε ή ηξηζδηάζηαηα ζπζηήκαηα αλίρλεπζεο φξαζεο ππνινγηζηψλ φπσο απηά ζηα αεξνδξφκηα, ηα δηακεξίζκαηα κε ζπξσξνχο ή ηηο πεξηζηξεθφκελεο ζχξεο. ε εγθαηαζηάζεηο πςειήο αζθαιείαο ζπλήζσο ρξεζηκνπνηνχλ αζθαιείο πεξηζηξεθφκελεο πφξηεο ή mantraps (φπσο ζηηο ηξάπεδεο) γηα λα απνθεπρζεί ην tailgating, θη έηζη θαζίζηαηαη απαγνξεπηηθή ε ρξήζε απηήο ηεο ηερληθήο γηα ηνπο θνηλσληθνχο κεραληθνχο. 6.3 Techie Talk Υξήζε γλψζεσλ ειεθηξνληθψλ ππνινγηζηψλ Πνιινί ράθεξο ή γλψζηεο ηεο ηερληθήο ζεκάησλ αζθαιείαο ρξεζηκνπνηνχλ ηηο γλψζεηο ηνπο ζηνπο ηνκείο αζθαιείαο γηα επηζέζεηο θνηλσληθήο κεραληθήο, πνπ ππφβαζξν έρνπλ ηελ ηερληθή θαη φρη ηελ αλζξψπηλε ςπρνινγία. Έλα παξάδεηγκα απηνχ είλαη φηαλ έλαο θνηλσληθφο κεραληθφο ηειεθσλεί ζε θάπνηα εηαηξεία θαη ππνδχεηαη θάπνηνλ ππάιιειν ηερληθήο ππνζηήξημεο. Αθνινπζεί έλα παξάδεηγκα[23] γηα ην πψο κπνξεί λα κνηάδεη έλα ηέηνην ηειεθψλεκα : Κνηλσληθφο κεραληθφο : «Γεηα ζαο, είκαη ν Γηάλλεο Β. από ην ηκήκα ηερληθήο αζθαιείαο. Έρνπκε πιεξνθνξεζεί γηα θάπνηα δηαξξνή θωδηθώλ, θαη ηειεθωλώ γηα λα δηαβεβαηωζώ πωο νη εξγαδόκελνη ζα αιιάμνπλ ηωλ θωδηθό ηνπο. Ο δηθόο ζαο θωδηθόο ζπγθεθξηκέλα έρεη πξνβιήκαηα αζθαιείαο θαη ζα ήζεια λα πξνβνύκε ζε θάπνηεο ελέξγεηεο ώζηε λα αιιαρζεί.» Τπάιιεινο : «Βεβαίωο.» Κνηλσληθφο κεραληθφο : «Ωξαία, πξώηα ζέιω λα θξαηήζεηε παηεκέλα ηα θνπκπηά control, alt θαη delete ηαπηόρξνλα. Έηζη ζα ζαο αλαδπζεί έλα παξάζπξν. Δθεί παηήζηε ζηελ αιιαγή θωδηθνύ πξόζβαζεο. Τώξα είλαη ζεκαληηθό λα ζθεθηείηε έλαλ δύζθνιν θωδηθό, πνπ ζα πεξηέρεη αξηζκνύο θαη γξάκκαηα. Τη θωδηθό ζθέθηεζηε λα εηζάγεηε;» 45
Τπάιιεινο : «Γελ μέξω ηη ιέηε γηα password123, είλαη αζθαιέο ;» Κνηλσληθφο κεραληθφο : «Βεβαίωο, εληάμεη είλαη. Πιεθηξνινγήζηε ηνλ θαηλνύξην θωδηθό θαη παηήζηε ΟΚ. Τώξα αιιάρζεθε ν θωδηθόο ζαο θαη ην ζύζηεκα είλαη θαη πάιη αζθαιέο. Δπραξηζηώ γηα ην ρξόλν ζαο.» Με κία αλάιπζε ησλ δηαιφγσλ ζα πξνζέμνπκε νξηζκέλα πξάγκαηα. Ο θνηλσληθφο κεραληθφο παξνπζηάδεηαη νλνκαηηθά (αθφκα θαη ρξήζε επηζέηνπ) ψζηε λα δψζεη έλα θχξνο ζηνλ ηίηιν ηνπ, θαη λα γίλεη πην εχθνια πηζηεπηφο ζηνλ ππάιιειν. Δπίζεο ηνπ δίλεη κηα αλαθνξά γηα ην πξφβιεκα πνπ έρεη δεκηνπξγεζεί θαη ζηε ζπλέρεηα ηνπ δεκηνπξγεί έλα θιίκα άγρνπο φηη ν δηθφο ηνπ θσδηθφο έρεη ππνθιαπεί. Έηζη ηνπ δεκηνπξγεί έλα αίζζεκα επζχλεο γηα ηπρφλ απψιεηεο πιεξνθνξηψλ απφ ην ζχζηεκα ηεο εηαηξείαο. ηε ζπλέρεηα ηνλ θαζεζπράδεη πξνηείλνληάο ηνπ ηε ιχζε γηα ην πξφβιεκα. Γλσξίδνληαο θαιά ην ζχζηεκα αζθαιείαο ησλ ππνινγηζηψλ ηνπ δίλεη αθξηβείο νδεγίεο γηα ην πψο ζα πξνβεί ζηηο ελέξγεηεο πνπ ηνπ δεηάεη. Έηζη ν ππάιιεινο δελ θέξεη θακία αληίξξεζε θαη αθνινπζεί ηηο νδεγίεο ηνπ θνηλσληθνχ κεραληθνχ κε πίζηε θαη εκπηζηνζχλε, θαη απηφ θαίλεηαη ζην φηη ηνλ ζπκβνπιεχεηαη γηα ηελ εχξεζε λένπ θσδηθνχ πξφζβαζεο. Έηζη ν θνηλσληθφο κεραληθφο έρεη ζηα ρέξηα ηνπ έλαλ θσδηθφ πξφζβαζεο ησλ ζπζηεκάησλ ηεο εηαηξείαο. 6.4 Δπίζεζε ηχπνπ Phishing (ςάξεκα) Σν Phishing [24] είλαη κηα λέα κέζνδνο εμαπάηεζεο ησλ θαηαλαισηψλ ελφο νξγαληζκνχ, ζπλήζσο θεξδνζθνπηθνχ, θαη ζπλίζηαηαη θπξίσο ζηελ απαηειή πθαξπαγή ησλ εκπηζηεπηηθψλ πιεξνθνξηψλ ησλ θαηαλαισηψλ, φπσο πξνζσπηθά ή επαίζζεηα δεδνκέλα, νηθνλνκηθά δεδνκέλα θιπ, κε ζθνπφ ηελ παξάλνκε ρξήζε ηνπο απφ ηνλ Phisher γηα ηελ πξφθιεζε βιάβεο μέλεο πεξηνπζίαο. Δίλαη έλα έγθιεκα απάηεο κε ρξήζε ειεθηξνληθνχ ππνινγηζηή σο κέζνπ ζηελ πιεηνςεθία ησλ πεξηπηψζεσλ, γηα ηε δηάπξαμε ηεο νπνίαο, ζπλήζσο, ελεξγνχληαη πξάμεηο πνπ ζπληζηνχλ παξάλνκε ηδηνπνίεζε κε απαηειά κέζα ζηνηρείσλ ηαπηφηεηαο θαη εκπηζηεπηηθψλ 46
πιεξνθνξηαθψλ δεδνκέλσλ, νη νπνίεο πξάμεηο δηελεξγνχληαη επί ζθνπψ βιάβεο μέλεο πεξηνπζίαο, θαη απνηειεί, επί ηνπ παξφληνο, κηα απφ ηηο κεγαιχηεξεο απεηιέο γηα ηνπο ρξήζηεο ηνπ δηαδηθηχνπ. Με ηε βνήζεηα θπξίσο ηεο απξφζθιεηεο εκπνξηθήο επηθνηλσλίαο ην γλσζηφ Spam- ή ρξεζηκνπνηψληαο bots (ινγηζκηθά πξνγξάκκαηα πνπ ιεηηνπξγνχλ αδηαιείπησο ζε έλαλ ππνινγηζηή, απηνκαηνπνηψληαο ζπλήζεηο ιεηηνπξγίεο ηνπ ζπζηήκαηνο) γηα ηελ απηνκαηνπνηεκέλε ζηφρεπζε ησλ ππνςεθίσλ ζπκάησλ ηνπο ή άιιεο παξφκνηεο κεζφδνπο, νη Phishers, εκθαληδφκελνη θπξίσο ζην δηαδίθηπν σο εθπξφζσπνη ελφο νξγαληζκνχ ηα ραξαθηεξηζηηθά ηνπ νπνίνπ έρνπλ αληηγξάςεη παξάλνκα, πξνβαίλνπλ ζε δφιηεο πξάμεηο ή παξαιείςεηο κε ηηο νπνίεο πείζνπλ ηα ζηνρεπκέλα ζχκαηά ηνπο, ηα νπνία ελδέρεηαη λα είλαη άδεια, λ απνθαιχςνπλ ή εηζάγνπλ ζε ζπζηήκαηα ειεθηξνληθψλ ππνινγηζηψλ ζηνηρεία ηεο ηαπηφηεηάο ηνπο θαη εκπηζηεπηηθέο πιεξνθνξίεο κε ζθνπφ λα ρξεζηκνπνηήζνπλ νη Phishers απηέο ηηο πιεξνθνξίεο γηα λα πξνζπνξίζνπλ ζηνλ εαπηφ ηνπο ή ηξίηνλ παξάλνκν πεξηνπζηαθφ φθεινο πξνμελψληαο βιάβε ζε πεξηνπζηαθά ζηνηρεία ησλ ζπκάησλ ηνπο. ηνλ ηνκέα ηεο αζθάιεηαο ησλ ππνινγηζηψλ, ην phishing είλαη ε δηαδηθαζία πνπ επηρεηξνχλ λα απνθηήζνπλ επαίζζεηεο πιεξνθνξίεο, φπσο νλφκαηα ρξήζηε, θσδηθνχο πξφζβαζεο ή ζηνηρεία πηζησηηθψλ θαξηψλ ή ινγαξηαζκψλ απφ απαηεψλεο πνπ ζπκπεξηθέξνληαη σο αμηφπηζην πξφζσπν ζην πιαίζην κηαο ειεθηξνληθήο επηθνηλσλίαο. Ζ επηθνηλσλία απηή, πνπ εκθαλίδεηαη πσο είλαη απφ θάπνηεο δεκνθηιείο θνηλσληθέο ηζηνζειίδεο, ηζηνζειίδεο δεκνπξαζηψλ, online επεμεξγαζηέο πιεξσκήο ή δηαρεηξηζηέο ρξεζηκνπνηείηαη γηα λα πξνζειθχζνπλ ην αλππνςίαζην θνηλφ. Σν phising ζπλήζσο γίλεηαη κέζσ e-mail θαη ζα θαηεπζχλεη ηνπο ρξήζηεο λα εηζάγνπλ ηα ζηνηρεία ηνπο ζε κηα πιαζηή ηζηνζειίδα, ηεο νπνίαο ε αηζζεηηθή θαη εκθάληζε είλαη ζρεδφλ παλνκνηφηππε κε ηηο θαλνληθέο ηζηνζειίδεο. Σν phishing είλαη κηα ηαθηηθή ηεο θνηλσληθήο κεραληθήο πνπ ρξεζηκνπνηείηαη γηα λα μεγειάζεη ην ρξήζηε θαη εθκεηαιιεχεηαη ηελ θαθή ρξεζηηθφηεηα ησλ πθηζηάκελσλ ηερλνινγηψλ αζθαιείαο ησλ ηζηνζειίδσλ. Οη πξνζπάζεηεο γηα ηελ αληηκεηψπηζε ηνπ απμαλφκελνπ αξηζκνχ ησλ αλαθεξζέλησλ πεξηζηαηηθψλ phishing πεξηιακβάλνπλ λνκνζεζία, εθπαίδεπζε ρξεζηψλ, ηελ επαηζζεηνπνίεζε ηνπ θνηλνχ θαη ηερληθά κέηξα αζθαιείαο. Μία ηερληθή phishing πεξηγξάθεηαη ιεπηνκεξψο ην 1987, ζε έλα έγγξαθν θαη ε παξνπζίαζή ηνπ έγηλε ζηελ δηεζλή έθζεζε ηεο Hewlett-Packard Users Group Interex. Ζ πξψηε θαηαγεγξακκέλε αλαθνξά ηνπ φξνπ «phishing» αλαθέξεηαη ζηελ 47
Αmerica Online (AOL) ζηηο 2 Ηαλνπαξίνπ ηνπ 1996, φπνπ ράθεξο έθιεβαλ ή παξάλνκα ηδηνπνηνχληαλ ηνπο ινγαξηαζκνχο λνκίκσλ ρξεζηψλ ηεο AOL, κε παξάλνκε ρξήζε θσδηθψλ πξφζβαζεο πνπ άλεθαλ ζε αλππνςίαζηνπο ρξήζηεο ηεο AOL, αλ θαη ν φξνο κπνξεί λα είρε εκθαληζηεί λσξίηεξα ζην πεξηνδηθφ hacker 2600. Οη phishers έρνπλ σο ζηφρν πειάηεο ηξαπεδψλ θαη ζπγθεθξηκέλα ηηο online ππεξεζίεο πιεξσκψλ. E-mails, πνπ ππνηίζεηαη φηη είλαη απεζηαικέλα απφ ηελ ππεξεζία εζσηεξηθνχ εηζνδήκαηνο, έρνπλ ρξεζηκνπνηεζεί γηα λα απνζπαζηνχλ επαίζζεηα δεδνκέλα απφ ηνπο θνξνινγνχκελνπο ησλ Ζ.Π.Α. Οη ηζηφηνπνη θνηλσληθήο δηθηχσζεο είλαη πιένλ ν πξσηαξρηθφο ζηφρνο ησλ phishers, δεδνκέλνπ φηη ηα πξνζσπηθά ζηνηρεία ζε ηέηνηεο ηζηνζειίδεο κπνξνχλ λα ρξεζηκνπνηεζνχλ γηα θινπή ηαπηφηεηαο. Οη πεξηζζφηεξεο κέζνδνη phishing ρξεζηκνπνηνχλ θάπνηα κνξθή ηερληθήο εμαπάηεζεο πνπ έρεη ζρεδηαζηεί ψζηε λα θάλεη κηα ζχλδεζε ζε θάπνηα πιαζηνγξαθεκέλε ηζηνζειίδα κέζσ δεζκνχ πνπ ππάξρεη ζε έλα e-mail. Ζ ιάζνο γξαθή (π.ρ. νξζνγξαθηθά ιάζε) ηζηνζειίδσλ είλαη κία ηερληθή ηνπ phishing. Οη πεξηζζφηεξνη άλζξσπνη ζπλδένπλ ην phishing κε e-mails φπνπ έρνπλ δεζκνχο (links) πιαζηνχο κε παξαπιήζηα ηαπηφηεηα, φπσο ηξαπεδψλ, εηαηξείεο πηζησηηθψλ θαξηψλ ή άιιεο επηρεηξήζεηο φπσο ηελ Amazon θαη ην ebay. Απηά ηα κελχκαηα, ζηελ πξψηε ηνπο φςε θαίλνληαη απζεληηθά θαη ζα πξνζπαζήζνπλ λα θάλνπλ ην ζχκα λα απνθαιχςεη πξνζσπηθέο πιεξνθνξίεο ηνπ. Αιιά ηα κελχκαηα ειεθηξνληθνχ ηαρπδξνκείνπ είλαη κφλν έλα κηθξφ θνκκάηη ελφο ειεθηξνληθνχ 48
«ςαξέκαηνο» (phishing). Άιινη ηξφπνη θαη ρψξνη «ςαξέκαηνο» είλαη: Σα ζχληνκα κελχκαηα κέζσ πξνγξακκάησλ επηθνηλσλίαο (msn) Απνζηνιή SMS ζε θηλεηά ηειέθσλα Σα chat rooms Οη ςεπδείο δηαθεκίζεηο πνπ βξίζθνληαη ζε δηάθνξεο ηζηνζειίδεο Γηθηπαθνί ηφπνη αλαδήηεζεο εξγαζίαο 6.4.1 Γηαδηθαζία Phishing Ζ δηαδηθαζία[25] ηνπ phishing πεξηιακβάλεη : ρεδηαζκφ Οη phishers απνθαζίδνπλ πνηα επηρείξεζε ζα απνηειέζεη ηνλ ζηφρν ηνπο θαη θαζνξίδνπλ πψο λα πάξνπλ ηηο δηεπζχλζεηο ειεθηξνληθνχ ηαρπδξνκείνπ ησλ πειαηψλ ηεο. Δγθαηάζηαζε Μφιηο βξεη ηνλ ζηφρν ηνπ αξρίδεη λα δεκηνπξγεί κεζφδνπο γηα ηελ παξάδνζε ησλ κελπκάησλ θαη ηελ ζπιινγή δεδνκέλσλ. Σηο πεξηζζφηεξεο θνξέο, απηφ πεξηιακβάλεη δηεπζχλζεηο ειεθηξνληθνχ ηαρπδξνκείνπ θαη κηα ηζηνζειίδα. Δπίζεζε Απηφ είλαη ην βήκα πνπ ν phisher ζηέιλεη έλα ςεχηηθν κήλπκα πνπ θαίλεηαη λα είλαη απφ κηα αμηφπηζηε πεγή. πιινγή Ο phisher θαηαγξάθεη ηηο πιεξνθνξίεο πνπ έρεη απνζπάζεη απφ ηα ζχκαηα, απφ ηηο πιαζηέο ηζηνζειίδεο πνπ έρεη παξαπέκςεη ηα ζχκαηά ηνπ. Κινπή ηαπηφηεηαο θαη απάηε Ο phisher ρξεζηκνπνηεί ηηο πιεξνθνξίεο πνπ έρεη ζπγθεληξψζεη γηα λα πξαγκαηνπνηήζεη παξάλνκεο αγνξέο ή ζπλαιιαγέο. 49
Γεδνκέλνπ φηη νη πεξηζζφηεξνη άλζξσπνη δελ ζα απνθαιχςνπλ ηνλ ηξαπεδηθφ ηνπο ινγαξηαζκφ, πηζησηηθή θάξηα ή ηνλ θσδηθφ αξηζκφ ζε θαλέλαλ, νη Phishers πξέπεη λα ιάβνπλ επηπιένλ κέηξα γηα λα εμαπαηήζνπλ ηα ζχκαηά ηνπο ψζηε λα δψζνπλ ηηο πιεξνθνξίεο απηέο. Έηζη ζπρλά ρξεζηκνπνηνχλ πξαγκαηηθά ινγφηππα εηαηξεηψλ θαη αληηγξάθνπλ λφκηκα e-mails, αληηθαζηζηψληαο ηνπο δεζκνχο κε δηθνχο ηνπο δεζκνχο. Δπίζεο ρξεζηκνπνηνχλ πιαζηνγξαθεκέλεο δηεπζχλζεηο απνζηνιέα ησλ emails. Σα πεξηζζφηεξα κελχκαηα ειεθηξνληθνχ «ςαξέκαηνο» δίλνπλ ζην ζχκα έλαλ ιφγν ψζηε λα αλαιάβεη άκεζε δξάζε, σζψληαο ηνλ λα πξψηα λα ελεξγήζεη θαη κεηά λα ζθεθηεί. Σα κελχκαηα απηά απεηινχλ ζπρλά ην ζχκα κε αθχξσζε ηνπ ινγαξηαζκνχ ηνπο εάλ δελ απαληήζεη εγθαίξσο. Οξηζκέλα επραξηζηνχλ ην ζχκα γηα κηα αγνξά πνπ πνηέ δελ έθαλε, θαη δεδνκέλνπ φηη ην ζχκα δελ ζέιεη λα ράζεη ρξήκαηα, αθνινπζεί ηνλ ζχλδεζκν πνπ πεξηγξάθεη ην e-mail δίλνληαο ζηνλ phisher ηηο πιεξνθνξίεο πνπ ρξεηάδεηαη. Σν πην θνηλφ ηέρλαζκα είλαη ην spoofing δηεπζχλζεσλ. Πνιιά πξνγξάκκαηα ειεθηξνληθνχ ηαρπδξνκείνπ επηηξέπνπλ ζηνπο ρξήζηεο λα εηζάγνπλ ηα επηζπκεηά ζηνηρεία ηνπο ζηα πεδία «Απφ» θαη «Απάληεζε ζε» ζηα ζηνηρεία απνζηνιήο ελφο ειεθηξνληθνχ κελχκαηνο. Απηφ θαζηζηά εχθνιν ζηνπο phishers λα δεκηνπξγήζνπλ κελχκαηα πνπ λα κνηάδνπλ ζαλ λα πξνέξρνληαη απφ κηα λφκηκε πεγή. Οξηζκέλνη δηαθνκηζηέο ειεθηξνληθνχ ηαρπδξνκείνπ, επηηξέπνπλ ζηνπο ππνινγηζηέο λα ζπλδεζνχλ κε ην απιφ πξσηφθνιιν κεηαθνξάο ηαρπδξνκείνπ (SMTP), ρσξίο ηε ρξήζε ελφο θσδηθνχ πξφζβαζεο. Απηφ επηηξέπεη ζηνπο phishers ηελ απεπζείαο ζχλδεζε κε ην δηαθνκηζηή e-mail ψζηε λα απνζηείιεη κελχκαηα πξνο ηα ζχκαηα. 50
Άιια θφιπα πεξηιακβάλνπλ : Παξαπιήζηεο νλνκαζίεο ηζηνζειίδσλ. Απηέο νη δηεπζχλζεηο URLs κνηάδνπλ πξαγκαηηθέο, αιιά εθηξέπνπλ ην ζχκα ζε πιαζηνγξαθεκέλεο ηζηνζειίδεο, δεκηνπξγία ησλ phishers. Γξαθηθά. Με ηνλ θαζνξηζκφ ησλ πξνγξακκάησλ πνπ ρξεζηκνπνηεί ην ζχκα γηα e-mail θαη «ζεξθάξηζκα» ζην δηαδίθηπν, ν phisher κπνξεί λα ηνπνζεηήζεη ηηο εηθφλεο απφ ηελ κπάξα δηεπζχλζεσλ θαη ηα ινπθέηα αζθαιείαο πάλσ απφ ηελ πξαγκαηηθή κπάξα δηεπζχλζεσλ θαη θαηάζηαζεο. Αλαδπφκελα παξάζπξα θαη πιαίζηα. Σα αλαδπφκελα παξάζπξα πνπ εκθαλίδνληαη πάλσ απφ έλαλ ηζηφηνπν κπνξνχλ λα πεξηέρνπλ θάπνηνλ θαθφβνπιν θψδηθα. HTML. Οξηζκέλα e-mails κνηάδνπλ κε απιφ θείκελν, αιιά κπνξνχλ λα πεξηιακβάλνπλ έλαλ θψδηθα ηεο HTML (γιψζζα πξνγξακκαηηζκνχ) πνπ πεξηέρνπλ αφξαην θψδηθα κε ζθνπφ λα παξαθάκπηνπλ ηα πξνγξάκκαηα πξνζηαζίαο. «Γειεηεξίαζε» ηεο DNS cache ηνπ server (Domain Name System ή χζηεκα Ολνκάησλ Σνκέσλ). Δίλαη ε δηαδηθαζία πνπ έλαο phisher αιιάδεη ηελ δηεχζπλζε DNS κηαο ηζηνζειίδαο. Απηφ πξνθαιεί ηνλ θαζέλα πνπ πξνζπαζεί λα επηζθεθηεί ηελ ηζηνζειίδα απηή, ζην λα θαηεπζπλζεί απηφκαηα ζε κηα άιιε ηζηνζειίδα (πνιιέο 51
θνξέο, ην πηζηφ αληίγξαθν πνπ ν phisher έρεη δεκηνπξγήζεη) Key loggers. Πξνγξάκκαηα πνπ θαηαγξάθνπλ ην θάζε θνπκπί πνπ πιεθηξνινγνχκε ζε έλα αξρείν, πνπ ζηε ζπλέρεηα απνζηέιιεηαη ζηνλ phisher. Ίρλε θαη Spyware. Πξνγξάκκαηα πνπ θαηαγξάθνπλ ηηο online ελέξγεηεο ησλ ρξεζηψλ θαη θξαηνχλ ζηνηρεία θαη δεδνκέλα απφ ηζηνζειίδεο πνπ ν ρξήζηεο επηζθέθηεθε. Απηά βνεζνχλ ηνλ Phisher ψζηε λα κπνξεί λα ζρεδηάζεη ηελ απάηε θαιχηεξα, καζαίλνληαο ηηο ζπλήζεηεο ζπγθεθξηκέλσλ ρξεζηψλ ζηφρσλ. 52
53
6.4.2 Πξνζηαζία απφ ην phishing (Anti-Phishing) 54
Γηα ηελ αζθάιεηα ησλ ρξεζηψλ απφ κεζφδνπο Phishing βνεζνχλ θάπνηα πξνγξάκκαηα φπσο πξνγξάκκαηα ηείρνπο πξνζηαζίαο (firewalls) θαη ινγηζκηθά θαηά ησλ ηψλ (Antivirus). Σα πξνγξάκκαηα βνεζνχλ, αιιά ν ρξήζηεο δελ κπνξεί λα είλαη απνιχησο αζθαιήο, δηφηη ν ίδηνο απνηειεί έλαλ αδχλακν θξίθν ζηελ πξνζηαζία ηνπ. Τπάξρνπλ θάπνηα απνθαιππηηθά ζεκάδηα ζηα κελχκαηα ειεθηξνληθνχ ηαρπδξνκείνπ πνπ κπνξνχλ λα πξνδψζνπλ έλαλ phisher. Απηά είλαη : 1. Γεληθνί ραηξεηηζκνί φπσο «Αγαπεηέ πειάηε». Δάλ θάπνηνο νξγαληζκφο πνπ ζπλεξγάδεζηε ζαο ζηείιεη κήλπκα, ζα πξέπεη λα έρεη ην πιήξεο φλνκά ζαο ζε απηφ. 2. Απεηιέο γηα αθχξσζε ινγαξηαζκψλ θαη αηηήκαηα γηα άκεζε δξάζε, φπσο «παξαθαιψ απαληήζηε εληφο πέληε εκεξψλ ή ζα αθπξψζνπκε ηνλ ινγαξηαζκφ ζαο» είλαη ςεπδείο δηφηη πνιχ απιά, νη εηαηξείεο δελ ζέινπλ λα ράζνπλ έλαλ πειάηε. 3. Οη αηηήζεηο γηα πξνζσπηθέο πιεξνθνξίεο. Οη πεξηζζφηεξεο επηρεηξήζεηο δελ δεηνχλ πξνζσπηθά ζηνηρεία κέζσ ηειεθψλνπ ή κέζσ e-mail. 4. Ύπνπηεο ζπλδέζεηο. χλδεζκνη πνπ είλαη κεγαιχηεξνη απφ ην θαλνληθφ, πεξηέρνπλ ην ζχκβνιν @ ή νξζνγξαθηθά ιάζε ζα κπνξνχζαλ λα είλαη ζεκάδηα ηνπ ειεθηξνληθνχ «ςαξέκαηνο». 5. Αλνξζνγξαθίεο θαη θαθή γξακκαηηθή. Σερλνινγηθά κέζα πξνζηαζίαο απφ επηζέζεηο Phishing Ζ ρξήζε ηερλνινγηθψλ µέζσλ [26] γηα ηελ πξνζηαζία απφ επηζέζεηο Phishing αθνξά ζε ηερλνινγίεο αζθαιείαο πιεξνθνξηαθψλ ζπζηεµάησλ θαη ελδείθλπηαη λα γίλεηαη ζε ηνπιάρηζηνλ ηξία επίπεδα πξνζηαζίαο: 1. client-side επίπεδν 2. server-side επίπεδν 3. services-provider-side επίπεδν Client-side επίπεδν: 55
Σν επίπεδν client-side αθνξά ζηελ αληηµεηψπηζε ηνπ πξνβιήµαηνο ηνπ Phishing απφ ηνπο ηειηθνχο ρξήζηεο - θαηαλαισηέο (end-users). ην επίπεδν απηφ µπνξεί λα γίλεη ρξήζε ησλ εμήο ηερλνινγηψλ αζθαιείαο πιεξνθνξηαθψλ ζπζηεµάησλ: 1. ρξεζηµνπνίεζε desktop protection agents 2. θαηάιιειε δηαξξχζµηζε ησλ παξαµέηξσλ επηθνηλσλίαο 3. απελεξγνπνίεζε ησλ παξαµέηξσλ ηνπ ινγηζµηθνχ πξνγξάµµαηνο θπιινµέηξεζεο ηζηνζειίδσλ 4. ρξεζηµνπνίεζε ςεθηαθήο ππνγξαθήο θαη πηζηνπνίεζεο ειεθηξνληθήο αιιεινγξαθίαο 5. εγξήγνξζε ζε δεηήκαηα αζθαιείαο Ζ ρξεζηµνπνίεζε ησλ desktop protection agents µπνξεί λα πεξηιαµβάλεη: 1. anti-virus πξνζηαζία 2. πξνζσπηθφ firewall 3. ζχζηεµα αλαγλψξηζεο ελεξγεηψλ παξαβίαζεο ηεο αζθάιεηαο ηνπ ζπζηήµαηνο (intrusion detection system πξνζηαζία) 4. πξνζηαζία απφ ηελ απξφζθιεηε εµπνξηθή επηθνηλσλία (antispam πξνζηαζία) 5. πξνζηαζία απφ θαθφβνπια, θπξίσο θαηαζθνπεπηηθά, ινγηζµηθά πξνγξάµµαηα (malware θαη spyware πξνζηαζία) Ζ ρξεζηµνπνίεζε ησλ θαηάιιεια ζπλδπαζµέλσλ desktop protection agents απνζθνπεί ζηελ παξνρή πξνζηαζίαο ηνπ πιεξνθνξηαθνχ ζπζηήµαηνο ηνπ ηειηθνχ ρξήζηε - θαηαλαισηή µε ηελ ελεξγνπνίεζε ησλ εμήο ιεηηνπξγηψλ: 1. αλίρλεπζε θαη µπινθάξηζµα ζε πξαγµαηηθφ ρξφλν («on the fly») θάζε απφπεηξαο δηάξξεμεο πιεξνθνξηαθνχ ζπζηήµαηνο, εηζαγσγήο 56
θαη εγθαηάζηαζεο ζ απηφ δεµηνγφλνπ ινγηζµηθνχ θψδηθα ππνθξππηφµελνπ ζε ζπλεµµέλα αξρεία ειεθηξνληθψλ µελπµάησλ, εθηειέζηµα αξρεία, µεηαθεξφµελα αξρεία, DHTML, ή νπνηνδήπνηε άιιν πεξηερφµελν. 2. αλίρλεπζε θαη µπινθάξηζµα ζε πξαγµαηηθφ ρξφλν ηεο απξφζθιεηεο εµπνξηθήο επηθνηλσλίαο. 3. δηαξθψο αλαλεψζηµε anti-virus θαη anti-spam πξνζηαζία µε απηνµαηνπνηεµέλε µεηαθνξά θαη εγθαηάζηαζε θάζε λέαο έθδνζεο ησλ ελ ιφγσ ηερλνινγηψλ αζθαιείαο. 4. αλίρλεπζε θαη µπινθάξηζµα ζε πξαγµαηηθφ ρξφλν θάζε µε εμνπζηνδνηεµέλεο απφπεηξαο ζχλδεζεο θαη επηθνηλσλίαο πνπ επηρεηξεί ην πιεξνθνξηαθφ ζχζηεµα ηνπ ηειηθνχ ρξήζηε - θαηαλαισηή µε νπνηνδήπνηε ηξίηνλ (unauthorized outbound connections) ζπλεπεία ιεηηνπξγίαο εθηειέζηµνπ ινγηζµηθνχ θψδηθα ή νπνηαζδήπνηε εθαξµνγήο πνπ ελεξγνχλ απφ ην πιεξνθνξηαθφ ζχζηεµα ηνπ ηειηθνχ ρξήζηε - θαηαλαισηή. 5. αλίρλεπζε αλσµαιηψλ ζε νπνηαδήπνηε εηζεξρφµελε ή εμεξρφµελε επηθνηλσλία πξνο θαη απφ ην δίθηπν πιεξνθνξηαθψλ ζπζηεµάησλ ηνπ ηειηθνχ ρξήζηε - θαηαλαισηή. 6. αλίρλεπζε θάζε εηζαγσγήο θαη εγθαηάζηαζεο spyware θαη malware ινγηζµηθνχ θαη µπινθάξηζµα θάζε εμεξρφµελεο επηθνηλσλίαο απφ ην πιεξνθνξηαθφ ζχζηεµα ηνπ ηειηθνχ ρξήζηε - θαηαλαισηή πξνο δηαδηθηπαθνχο ηφπνπο πνπ παξαθνινπζνχλ ή µε νπνηνλδήπνηε ηξφπν ζπλδξάµνπλ ηελ θπθινθνξία spyware θαη malware. Ζ θαηάιιειε δηαξξχζµηζε ησλ παξαµέηξσλ επηθνηλσλίαο ππαγνξεχεη ηελ απνθπγή εμαηξεηηθά πνιχπινθσλ ινγηζµηθψλ πξνγξαµµάησλ θαη εθαξµνγψλ πνπ λα είλαη ζε ιεηηνπξγία απφ ην πιεξνθνξηαθφ ζχζηεµα ηνπ ηειηθνχ ρξήζηε - θαηαλαισηή. Σα πεξηζζφηεξα απφ ηα πην εµπνξηθά ινγηζµηθά πξντφληα επηηξέπνπλ πιένλ ηελ απελεξγνπνίεζε απφ ηνλ ρξήζηε - θαηαλαισηή ιεηηνπξγηψλ ηνπ πξντφληνο πνπ δηαηίζεληαη σο πξνεπηιεγµέλεο ιεηηνπξγίεο (default settings). Ο ηειηθφο ρξήζηεο - θαηαλαισηήο µπνξεί, επίζεο, λα απελεξγνπνηήζεη ηηο 57
παξαµέηξνπο ηνπ browser πνπ είλαη επάισηεο, ή ηνπιάρηζηνλ νη πην ζπλήζεο ζηελ πξνηίµεζε θαη θαθφβνπιε ρξήζε ηνπο απφ ηνπο Phishers γηα ηελ νξγάλσζε θαη εθηέιεζε επίζεζεο Phishing. Παξάµεηξνη ηνπ browser πνπ µπνξνχλ λα απελεξγνπνηεζνχλ πεξηιαµβάλνπλ: 1. ε ιεηηνπξγία window popup 2. ε ππνζηήξημε Java runtime 3. ε ππνζηήξημε ActiveX ιεηηνπξγίαο 4. ε απηνµαηνπνηεµέλε εθηέιεζε πνιπµεζηθψλ εθαξµνγψλ (multimedia auto-play θαη auto-execute extensions) 5. ε απνζήθεπζε µε αζθαιψλ (non-secure) cookies Server-side επίπεδν: Σν επίπεδν server-side αθνξά ζηελ αληηµεηψπηζε ηνπ πξνβιήµαηνο ηνπ Phishing απφ ηα εθηεζεηµέλα ζε ελδερφµελε επίζεζε Phishing πιεξνθνξηαθά ζπζηήµαηα µίαο επηρείξεζεο ή ελφο νξγαληζµνχ. Οη πξνηεηλφµελεο ιχζεηο γηα ηελ αληηµεηψπηζε ηνπ πξνβιήµαηνο ζην επίπεδν απηφ πεξηιαµβάλνπλ: 1. δηαξθή εγξήγνξζε ησλ ζπλδεφµελσλ µε ην πιεξνθνξηαθφ ζχζηεµα 2. θαηαλαισηψλ αλαθνξηθά µε δεηήµαηα αζθαιείαο 3. πηζηνπνίεζε πξνέιεπζεο πιεξνθνξηψλ. 4. ρξεζηµνπνίεζε token-based ζπζηεµάησλ πηζηνπνίεζεο Ζ δηαξθήο εγξήγνξζε ζε δεηήµαηα αζθαιείαο µπνξεί λα πεξηιαµβάλεη: 1. δηαξθή ππελζχµηζε ηεο θχζεο ηνπ πξνβιήµαηνο θαη ηεο ηππνινγίαο ησλ επηζέζεσλ. 2. εμαζθάιηζε ζηνπο ζπλδεφµελνπο µε ην πιεξνθνξηαθφ ζχζηεµα θαηαλαισηέο µίαο µεζφδνπ εχθνιεο θαη γξήγνξεο αλαθνξάο επηζέζεσλ Phishing. 3. παξνρή νδεγηψλ ζηνπο ζπλδεφµελνπο µε ην πιεξνθνξηαθφ 58
ζχζηεµα θαηαλαισηέο ζρεηηθψλ µε ηελ επαιήζεπζε ηεο γλεζηφηεηαο ηνπ πεξηερνµέλνπ ελφο δηαδηθηπαθνχ ηφπνπ ελφο νξγαληζµνχ. 4. δεµηνπξγία ζαθνχο θαη πιήξνπο πιαηζίνπ θαλφλσλ επηθνηλσληαθήο πνιηηηθήο ελφο νξγαληζµνχ θαη ρξήζε απηνχ. 5. άµεζε αληαπφθξηζε θαη ιήςε µέηξσλ αληηµεηψπηζεο επηζέζεσλ Phishing πνπ έρνπλ αλαθεξζεί δηα ηεο δηαµνξθσµέλεο θαη επηιεγµέλεο µεζφδνπ αλαθνξάο απηψλ. Services provider-side επίπεδν: ην επίπεδν services provider-side αληηµεησπίδεηαη ην πξφβιεµα ηνπ Phishing απφ πάξνρνπο ππεξεζηψλ. Οη πξνηεηλφµελεο ιχζεηο γηα ηελ αληηµεηψπηζε ηνπ πξνβιήµαηνο ζην επίπεδν απηφ πεξηιαµβάλνπλ: 1. απηνµαηνπνηεµέλε πηζηνπνίεζε ησλ email server δηεπζχλζεσλ 2. ςεθηαθή ππνγξαθή ησλ emails 3. αλίρλεπζε ηνπ ηαδηθηχνπ γηα ελδερφµελε εθρψξεζε ζε ηξίηνλ θαη ρξήζε απφ 4. απηφλ ησλ νλνµάησλ ρψξνπ ελφο νξγαληζµνχ 5. πεξηµεηξηθή πξνζηαζία µε gateway protection agents 6. ελεξγή θαη δηαξθήο παξαθνινχζεζε ηνπ ηαδηθηχνπ Ζ πεξηµεηξηθή πξνζηαζία µε gateway protection agents πεξηιαµβάλεη: 1. gateway anti-virus ζθαλάξηζµα 2. gateway anti-spam θηιηξάξηζµα 3. gateway θηιηξάξηζµα πεξηερνµέλνπ Ζ ελεξγή θαη δηαξθήο παξαθνινχζεζε ηνπ ηαδηθηχνπ ζπλήζσο πξαγµαηνπνηείηαη δηαµέζνπ πάξνρσλ ππεξεζηψλ νη νπνίνη ελεξγνπνηνχλ agent-based bots γηα λα παξαθνινπζνχλ ην ηαδίθηπν θαη αληρλεχνπλ ζην πεξηερφµελφ ηνπ θάζε πεξίπησζε ρξήζεο ηνπ ινγφηππνπ, ζήµαηνο, ή άιινπ πξνζηαηεπµέλνπ λνµηθά πεξηερφµελνπ ελφο νξγαληζµνχ. ε θάζε πεξίπησζε πνπ ηα agent-based bots 59
δηαπηζηψλνπλ µε εμνπζηνδνηεµέλε ρξήζε λνµηθά πξνζηαηεπµέλνπ πεξηερφµελνπ ελφο νξγαληζµνχ, ιαµβάλνληαη µέηξα ελαληίνλ ηνπ µε εμνπζηνδνηεµέλνπ ρξήζηε. 6.5 Δπίζεζε ηχπνπ Vishing To Vishing [27] είλαη έλαο ζρεηηθά λένο φξνο πνπ ρξεζηκνπνηείηαη γηα λα πεξηγξάςεη ηελ ελέξγεηα ηνπ phishing ζε ζπλδπαζκφ κε ηελ θσλή (Voice + Phishing = Vishing) Δίλαη κηα εθκεηάιιεπζε ησλ VoIP (Voice over IP), πνπ ρξεζηκνπνηήζεθε γηα λα θαηαζθεπαζηεί θνηλσληθά ην ζχκα ζε παξνρή πιεξνθνξηψλ πξνζσπηθνχ ραξαθηήξα πνπ ρξεζηκνπνηνχληαη ζπρλά γηα ηελ θινπή ηαπηφηεηαο ή γηα λα απνθηήζνπλ πξφζβαζε ζηνπο ηξαπεδηθνχο ινγαξηαζκνχο ηνπο. Ζ ππεξεζία Voice over IP (VoIP) [28] ρξεζηκνπνηεί ην πξσηφθνιιν ηνπ Γηαδηθηχνπ (Internet Protocol) γηα λα κεηαθέξεη ηειεθσληθέο ζπλνκηιίεο, 60
κεηαηξέπνληαο ηε θσλή ζε παθέηα δεδνκέλσλ. Σν ππάξρνλ κνληέιν ηειεπηθνηλσληψλ επηθεληξψλεηαη ζηε θσλή θαη ηελ παξνρή ζρεηηθψλ ππεξεζηψλ, ζηελ αζχξκαηε θαη ελζχξκαηε ηειεθσλία. Ζ ππεξεζία Voice over IP απνηειεί κέξνο ησλ ππεξεζηψλ κεηάδνζεο ζε πξαγκαηηθφ ρξφλν, ε νπνία ηείλεη λα αληηθαηαζηήζεη ηε ζπκβαηηθή ηερλνινγία ηνπ ηειεθψλνπ αλαηξέπνληαο ηα δεδνκέλα θαη ηηο ηηκέο ησλ ηειεθσληθψλ ππεξεζηψλ παγθνζκίσο. Ζ αξρή πάλσ ζηελ νπνία ζηεξίδεηαη ε ιεηηνπξγία ηεο κεηάδνζεο θσλήο κέζσ IP είλαη φηη o πειάηεο πιεξψλεη έλα νξηζκέλν πνζφ γηα λα ζπλδεζεί ζην δίθηπν θαη ζηε ζπλέρεηα πιεξψλεη αλάινγα κε ην ρξφλν ρξήζεο θαη ηηο ρξεζηκνπνηνχκελεο εγθαηαζηάζεηο (βάζεη ηεο απφζηαζεο). Ζ ζπρλφηεηα πνπ απαηηεί ε ηερλνινγία ΗΡ γηα ηε κεηάδνζε ησλ δεδνκέλσλ είλαη ηνπιάρηζηνλ έμη θνξέο κηθξφηεξε απφ ηελ αληίζηνηρε ησλ παξαδνζηαθψλ ηειεπηθνηλσληαθψλ δηθηχσλ πνπ ρξεζηκνπνηνχλ ζήκεξα νη πεξηζζφηεξνη ζπλδξνκεηέο ζε φιν ηνλ θφζκν. Ζ ζεκαληηθή απηή δηαθνξά θαζηζηά ηηο θιήζεηο κέζσ ηνπ VoIP ζαθέζηαηα πην νηθνλνκηθέο, θαη ζε αξθεηέο πεξηπηψζεηο ην ηειεθψλεκα κέζσ Γηαδηθηχνπ κπνξεί λα ζηνηρίζεη έσο θαη 90% θζελφηεξα απ' φηη κέζσ ηνπ παξαδνζηαθνχ ηειεθσληθνχ δηθηχνπ. Ζ λέα ππεξεζία ρξεζηκνπνηείηαη επξέσο ζε επηρεηξήζεηο ηνπ εμσηεξηθνχ. χκθσλα κε κειέηεο, ππνινγίδεηαη φηη κέζα ζηα επφκελα ρξφληα ε αλάπηπμε ηεο θσλήο κέζσ Internet ζα είλαη ξαγδαία θαη ν φγθνο θίλεζεο ζα είλαη κεγαιχηεξνο απ' φ,ηη ζηελ παξαδνζηαθή ηειεθσλία. Οη πξνκεζεπηέο ηειεπηθνηλσληαθνχ εμνπιηζκνχ έρνπλ μεθηλήζεη λα ζπκπεξηιακβάλνπλ ζηα πξντφληα ηνπο θαη ην πξσηφθνιιν ΗΡ, ελψ φινη νη πξνκεζεπηέο εμνπιηζκνχ ΗΡ ζπκπεξηιακβάλνπλ ηε θσλή σο έλα απφ ηα βαζηθά ραξαθηεξηζηηθά ησλ πξντφλησλ ηνπο. Σν Vishing είλαη ε πξαθηηθή [27] ηεο εθκεηάιιεπζεο ησλ ηερλνινγηψλ πνπ βαζίδνληαη ζην λέν είδνο ηειεθψλνπ, ην VoIP (Voice Over Internet Protocol). Ζ ρξήζε ησλ ζπζηεκάησλ ζηαζεξήο ηειεθσλίαο κε ζθνπφ λα πεηζηεί θάπνηνο λα εθηειέζεη αθνχζηεο ελέξγεηεο, ππάξρεη απφ ηε γέλλεζε ηνπ ηειεθψλνπ. Πνηνο δελ έρεη θάλεη ηειεθσληθή θάξζα σο παηδί; Χζηφζν, νη ππεξεζίεο ζηαζεξήο ηειεθσλίαο παξαπέκπνπλ ζε κηα θπζηθή ηνπνζεζία πνπ είλαη γλσζηή ζηελ ηειεθσληθή εηαηξεία θαη παξαθνινπζείηαη απφ έλαλ εηδηθφ ινγαξηαζκφ πιεξσηή. Ζ πξφζθαηε καδηθή αχμεζε ζηελ ηειεθσλία IP ζεκαίλεη φηη πνιιέο ππεξεζίεο ηειεθσλίαο κπνξνχλ πιένλ λα αξρίζνπλ ή λα ηεξκαηηζηνχλ ζε έλαλ ππνινγηζηή νπνπδήπνηε ζηνλ θφζκν. 61
Δπηπιένλ ην θφζηνο θιήζεο έρεη πέζεη ζε έλα ακειεηέν πνζφ. Απηφο ν ζπλδπαζκφο παξαγφλησλ έρεη θαηαζηήζεη ην Vishing νηθνλνκηθά πξαθηηθφ. Σν Vishing αλακέλεηαη λα έρεη έλα αξθεηά κεγαιχηεξν πνζνζηφ επηηπρίαο απφ φηη άιινη θνξείο ειεθηξνληθνχ «ςαξέκαηνο» δηφηη : Σα ηειεθσληθά ζπζηήκαηα έρνπλ κεγαιχηεξν βαζκφ εκπηζηνζχλεο απφ ηα κελχκαηα ειεθηξνληθνχ ηαρπδξνκείνπ Έλα κεγαιχηεξν πνζνζηφ ηνπ πιεζπζκνχ κπνξεί λα επηηεπρζεί κέζσ κηαο ηειεθσληθήο θιήζεο. Τπάξρεη επξεία πηνζέηεζε θαη γεληθή απνδνρή ησλ απηνκαηνπνηεκέλσλ ζπζηεκάησλ επηθχξσζεο κέζσ ηειεθψλνπ Σν ηειέθσλν θάλεη νξηζκέλεο νκάδεο πιεζπζκνχ, φπσο ειηθησκέλνη, πην πξνζβάζηκν Σν ηειέθσλν επηηξέπεη ηε κεγαιχηεξε εμαηνκίθεπζε ηνπ κελχκαηνο θνηλσληθήο κεραληθήο 6.5.1 Πνιχηηκα Γεδνκέλα Παξά ην γεγνλφο φηη ππάξρνπλ πνιιαπινί θνξείο γηα ηνλ θνηλσληθφ κεραληθφ 62
λα δηεμάγεη κηα vishing επίζεζε, είλαη ζεκαληηθφ λα θαηαλνήζνπκε ην είδνο ησλ δεδνκέλσλ πνπ είλαη πην εχθνια λα απνθηήζεη ν εηζβνιέαο κε ηελ εθκεηάιιεπζε ησλ ππεξεζηψλ ηειεθσλίαο. πλήζσο ηα αξηζκεηηθά ζηνηρεία ππνβάιινληαη πην εχθνια απφ ην ζχκα, φηαλ απαληά ζε κηα επίζεζε vishing. Οη πην πνιχηηκεο πιεξνθνξίεο γηα ηνλ θνηλσληθφ κεραληθφ είλαη: Οη ιεπηνκέξεηεο ηεο πηζησηηθήο θάξηαο (πεξηιακβαλνκέλσλ ησλ δεδνκέλσλ ιήμεο θαη θσδηθψλ αζθαιείαο) Οη αξηζκνί ινγαξηαζκψλ θαη ησλ αληίζηνηρσλ αξηζκψλ πξνζσπηθήο ηνπο ηαπηφηεηαο (PIN) Γελέζιηα Αξηζκνί θνηλσληθήο αζθάιηζεο Αξηζκνί δηαβαηεξίνπ ή ηαπηφηεηαο Ζ πην θεξδνθφξα ρξήζε ηεο πιεξνθφξεζεο πνπ απνζπάηαη κέζσ κηαο επίζεζεο vishing πεξηιακβάλεη : Έιεγρνο ησλ ρξεκαηνπηζησηηθψλ ινγαξηαζκψλ ησλ ζπκάησλ Σελ αγνξά αγαζψλ πνιπηειείαο θαη ππεξεζηψλ Ζ θινπή ηαπηφηεηαο Τπνβνιή αηηήζεσλ γηα δάλεηα θαη πηζησηηθέο θάξηεο Μεηαθνξά θεθαιαίσλ, απνζεκάησλ θαη θηλεηψλ αμηψλ Δγθιεκαηηθέο δξαζηεξηφηεηεο, φπσο μέπιπκα ρξεκάησλ Σελ απφθηεζε ησλ πξνζσπηθψλ ηαμηδησηηθψλ εγγξάθσλ Λήςε παξνρψλ ηεο θπβέξλεζεο Ζ VoIP ηειεθσλία αλνίγεη κηα ζεηξά απφ κνλαδηθέο πφξηεο ζε θάζε θαθφβνπιν εηζβνιέα, αιιά απνηειεί ην «άλζνο» γηα ηνπο θνηλσληθνχο κεραληθνχο. Δηδηθφηεξα, ηα ραξαθηεξηζηηθά πνπ θάλνπλ ηελ VoIP ηειεθσλία ειθπζηηθή ζηνπο θνηλσληθνχο κεραληθνχο, είλαη : 63
Ζ ηθαλφηεηα λα θαηαιήμεη θαλείο ζε έλαλ αξηζκφ ηειεθψλνπ απφ νπνηνδήπνηε ζεκείν ζηνλ θφζκν Σν ειάρηζην θφζηνο γηα ηελ πξαγκαηνπνίεζε θιήζεσλ Ζ δπλαηφηεηα λα ζπγθαιχςνπλ ή λα κηκεζνχλ ηελ ηαπηφηεηα ηνπ θαινχληνο Ζ επθνιία ηεο ρξήζεο απηφκαηεο θιήζεο θαη δηαδηθαζηψλ Ζ πνιππινθφηεηα ηεο αλάιπζεο θσλεηηθψλ κελπκάησλ γηα απαγνξεπκέλεο ιέμεηο θαη θξάζεηο Ζ ηθαλφηεηα λα ρξεζηκνπνηεί πιεξεμνχζηα δηαδξνκή θιήζεο (proxy servers) ζε δηεζλέο επίπεδν, έηζη ψζηε λα θαιχπηεη ηα λψηα ηνπ Ζ ρξήζε πξνγξακκάησλ bots (εμνκνησηέο) ηηο απάηεο κέζσ vishing ζπρλά ρξεζηκνπνηνχληαη απηνκαηνπνηεκέλα ζπζηήκαηα γηα ηε ζπγθνκηδή ησλ δεδνκέλσλ ησλ ζπκάησλ. Οη ηχπνη ησλ απηνκαηνπνηεκέλσλ ηερλνινγηψλ πνπ δηαζέηνπλ νη θνηλσληθνί κεραληθνί είλαη: Ζ απηφκαηε αλαγλψξηζε ησλ ηνληθψλ ήρσλ πίεζεο ησλ πιήθηξσλ ηνπ ηειεθψλνπ. Όηαλ ην ζχκα αξρίζεη λα παηά ηα πιήθηξα αξηζκνχο πνπ ηνπ έρνπλ δεηεζεί, νη ηφλνη θάζε πιήθηξνπ θαηαγξάθεηαη θαη κεηαηξέπεηαη απηφκαηα ζαλ ςεθηαθφο αξηζκφο. Ζ απηφκαηε ηερλνινγία αλαγλψξηζεο θσλήο έρεη θηάζεη ζε πξνρσξεκέλν επίπεδν θαη κπνξνχλ λα απνθηεζνχλ ζε κηθξφ θφζηνο. Χο εθ ηνχηνπ, ν θνηλσληθφο κεραληθφο δελ πεξηνξίδεηαη ζε αξηζκεηηθά δεδνκέλα θαη κπνξεί λα απνθηήζεη άιιεο ιεπηνκέξεηεο, φπσο φλνκα θαη δηεχζπλζε. 6.5.2 Έλαξμε ηεο Δπίζεζεο Ο visher κπνξεί λα μεθηλήζεη κηα επίζεζε [27] ρξεζηκνπνηψληαο κηα πνηθηιία κεζφδσλ, θαζεκηά απφ ηηο νπνίεο πξνζθέξεηαη ζε έλα ζπγθεθξηκέλν θνηλφ ψζηε λα εθκεηαιιεπηεί θάπνηνλ θνξέα. Οη θπξίαξρεο κέζνδνη γηα ηελ παξάδνζε ηνπ αξρηθνχ 64
κελχκαηνο ηεο θνηλσληθήο επίζεζεο είλαη : Υξήζε ειεθηξνληθήο αιιεινγξαθίαο (e-mail) Υξήζε κελπκάησλ θεηκέλνπ θηλεηψλ ηειεθψλσλ (SMS) Υξήζε θσλεηηθνχ ηαρπδξνκείνπ Υξήζε δσληαλήο θιήζεο Να ζεκεησζεί φηη νη ππεξεζίεο θαμ ζήκεξα δελ είλαη δηαζέζηκεο ζε πεξηβάιινλ VoIP, αιιά ζην εγγχο κέιινλ, ηα αλαδπφκελα πξσηφθνιια ζα ππνζηεξίδνπλ ηελ απνζηνιή θαη ιήςε κελπκάησλ θαμ κέζσ VoIP, νπφηε είλαη βέβαην φηη ζα ιεηηνπξγήζεη σο κηα άιιε πιαηθφξκα εθκεηάιιεπζεο θαη ρξήζεο γηα επίζεζε. Υξήζε ειεθηξνληθνχ ηαρπδξνκείνπ (e-mail) ζε ζπλδπαζκφ κε ην Vishing ε νξηζκέλα ζελάξηα επίζεζεο, ηα ζχκαηα ιακβάλνπλ έλα e-mail πνπ ηνπο 65
παξέρεη θίλεηξα ψζηε λα θαιέζνπλ έλαλ αξηζκφ ηειεθψλνπ πνπ αλήθεη ζηνλ Phisher. Σν e-mail είλαη ζρεδφλ παλνκνηφηππν κε ηηο θιαζηθέο επηζέζεηο phishing, πνπ αλαζέηεη ζηνλ παξαιήπηε λα θάλεη θιηθ ζε έλα ελζσκαησκέλν URL πνπ ζα ιακβάλεη ην ζχκα ζε έλα ςεχηηθν ηζηφηνπν γηα λα θιέςεη ηελ ηαπηφηεηά ηνπ. Χζηφζν, ζηελ πεξίπησζε ηνπ vishing, ην ζχκα θαιείηαη λα θάλεη θιήζε ζε ζπγθεθξηκέλν αξηζκφ, θαη φηαλ πιεθηξνινγεί ηνλ αξηζκφ πνπ ηνπ έρεη δεηεζεί, γίλεηαη ε θαηαγξαθή ησλ δεδνκέλσλ ηνπ. Γηα παξάδεηγκα [27], ην ελδερφκελν ζχκα ιακβάλεη έλα e-mail, φπσο ζην παξάδεηγκα πνπ αθνινπζεί : Αγαπεηέ πειάηε, Πξνζέμακε όηη ππήξμαλ ηξεηο αλεπηηπρείο πξνζπάζεηεο γηα λα απνθηήζεηε πξόζβαζε ζηνλ ινγαξηαζκό ζαο e-bank. Γηα λα εμαζθαιηζηεί ε πξνζηαζία ηνπ ινγαξηαζκνύ θαη ηωλ πξνζωπηθώλ ζαο δεδνκέλωλ ηνπ e-bank, ν ινγαξηαζκόο ζαο έρεη θιεηδώζεη. Γηα ηελ απεκπινθή ηνπ ινγαξηαζκνύ ζαο, παξαθαινύκε λα θαιέζεηε ζην 1-805- xxx-xxxx θαη λα επαιεζεύζεηε ηνλ ινγαξηαζκό ζαο θαη ηελ ηαπηόηεηά ζαο. Φηιηθά, e-bank Δμππεξέηεζε Πειαηώλ e-bank Co Σν ζχκα ζηε ζπλέρεηα θαιεί ηνλ αξηζκφ. Θα αθνχζεη έλα ερνγξαθεκέλν κήλπκα φπσο απηφ : «Σαο επραξηζηνύκε πνπ θαιέζαηε ηελ e-bank. Η επηρείξεζή ζαο είλαη ζεκαληηθή γηα εκάο. Γηα λα ζαο βνεζήζνπκε λα κηιήζεηε ζηνλ ζωζηό αληηπξόζωπν θαη λα απαληήζεη ζην εξώηεκά ζαο πιήξωο, κπνξείηε λα παηήζεηε ην θαηάιιειν πιήθηξν ζηε ζπζθεπή ζαο.» ηε ζπλέρεηα παξνπζηάδνληαη ζην ζχκα νη εμήο επηινγέο : Πηέζηε 1 εάλ ζέιεηε λα ειέγμεηε ηα ζηνηρεία ηεο ηξάπεδάο ζαο 66
Πηέζηε 2 εάλ επηζπκείηε λα κεηαθέξεηε ρξήκαηα Πηέζηε 3 γηα λα μεθιεηδώζεηε ηνλ online ινγαξηαζκό ζαο Πηέζηε 0 γηα νπνηαδήπνηε άιιε απνξία Αλεμάξηεηα απφ ην πνηα είλαη ηα παηήκαηα ηνπ θαινχληνο, ην απηνκαηνπνηεκέλν ζχζηεκα ηνπ δεηά έιεγρν ηαπηφηεηαο. Μπνξεί λα αθνχζεη θάηη ζαλ: «Η αζθάιεηα ηνπ θάζε πειάηε είλαη ζεκαληηθή γηα εκάο. Γηα λα πξνρωξήζεηε πεξαηηέξω, ζαο δεηάκε λα επηθπξώζεηε ηελ ηαπηόηεηά ζαο πξηλ πξνρωξήζεηε. Παξαθαιώ πιεθηξνινγήζηε ηνλ αξηζκό ηνπ ηξαπεδηθνύ ζαο ινγαξηαζκνύ, αθνινπζνύκελν από ην πιήθηξν κε ηελ δίεζε». Ο θαιψλ πιεθηξνινγεί ηνλ αξηζκφ ηνπ ινγαξηαζκνχ ηνπ θαη ζηε ζπλέρεηα ιακβάλεη εθ λένπ κηα πξνηξνπή απφ ην απηνκαηνπνηεκέλν ζχζηεκα : «Σαο επραξηζηνύκε. Παξαθαιώ πιεθηξνινγήζηε ηώξα ηνλ πξνζωπηθό ζαο θωδηθό PIN, αθνινπζνύκελν από ην πιήθηξν κε ηε δίεζε». Ο θαιψλ έηζη πιεθηξνινγεί θαη ην PIN ηνπ θαη αθνχεη κηα ηειεπηαία εηδνπνίεζε απφ ην ζχζηεκα: «Σαο επραξηζηνύκε. Τώξα ζα κεηαθεξζείηε ζηνλ θαηάιιειν εθπξόζωπό καο γηα ηελ επίιπζε ηνπ πξνβιήκαηόο ζαο». ην ζηάδην απηφ, ε ηειεθσληθή θιήζε είλαη ελδερφκελν λα «πέζεη» θαη ην ζχκα πηζηεχεη πσο ππήξμε θάηη ιάζνο κε ηελ ππεξεζία. Δλαιιαθηηθά ε vishing επίζεζε κπνξεί λα αλαθαηεπζχλεη ην ζχκα κε ηελ πξαγκαηηθή γξακκή εμππεξέηεζεο πειαηψλ θαη ην ζχκα δελ έρεη επίγλσζε ηνπ γεγνλφηνο φηη ε θχξσζή ηνπ δηαηέζεθε απφ ηνλ phisher. Vishing [27] Υξήζε κελπκάησλ θεηκέλνπ θηλεηψλ ηειεθψλσλ (SMS) ζε ζπλδπαζκφ κε 67
Άιιε κία κνξθή επίζεζεο ηνπ visher είλαη ε ρξήζε κελπκάησλ θεηκέλνπ (SMS) ή κελπκάησλ πνιπκέζσλ (MMS) κέζσ θηλεηψλ ηειεθψλσλ. Μέζσ απηψλ ησλ κελπκάησλ κπνξεί λα απνηειέζεη θίλεηξν γηα ην ελδερφκελν ζχκα ψζηε λα θαιέζεη έλαλ αξηζκφ ηειεθψλνπ ή λα αληαπνθξηζεί ζην κήλπκα κέζσ SMS ή ΜΜS. Πξφζθαηα νη ρξήζηεο ησλ ειιεληθψλ δηθηχσλ θηλεηήο ηειεθσλίαο είραλ βξεζεί αληηκέησπνη κε κηα παξφκνηα απάηε (πνπ ζθνπφ είρε απιψο ηελ ρξέσζε ηνπ θνηλνχ θαη φρη ππνθινπήο ζηνηρείσλ) πγθεθξηκέλα αθνινπζεί ην κήλπκα κηαο «εηαηξείαο» : H XXXXX ζνπ ραξίδεη γηα φιν ην 2010 κφλν κε 2 επξψ ην κήλα 1200 ιεπηά νκηιίαο θαη 1200 sms πξνο φιν ηνλ θφζκν ηνπ xx ζηέιλνληαο απηφ ην κήλπκα ζε 15 επαθέο. Μέρξη 29/12/2009 Αθφκα έλα παξάδεηγκα, ην νπνίν φκσο έρεη θαη έλα ηειέθσλν πνπ ζα κπνξνχζε λα είλαη ηνπ visher: ΣΔΗΛΔ ΑΤΣΟ ΣΟ ΜΖΝΤΜΑ ΟΠΧ ΔΗΝΑΗ Δ 7 ΥΡΖΣΔ ΥΥΥ, ΚΑΗ 9 ΘΑ ΠΡΟΣΔΘΟΤΝ ΣΟΝ ΛΟΓΑΡΗΑΜΟ ΟΤ. ΠΛΖΘΤΜΗΑΚΖ ΚΑΛΤΦΖ 99,8% ΤΠΔΤΘΤΝΟ ΔΣΑΗΡΔΗΑ Κ. ΥΑΡΖ: 69ΥΥΥΥΥΥΥΥ 68
Υξήζε θσλεηηθνχ ηαρπδξνκείνπ ε απηφ ην είδνο επίζεζεο, ν phisher ζηέιλεη έλα ερνγξαθεκέλν κήλπκα ζε δηάθνξνπο ηειεθσληθνχο αξηζκνχο, κε ζηφρν ηελ ζπξίδα ηνπ θσλεηηθνχ ηαρπδξνκείνπ ηνπ ρξήζηε. ηνρεχεη ηα ζπζηήκαηα ηειεθσλεηή, δηφηη νη θιίκαθεο αζθαιείαο θαη παξάδνζεο κελχκαηνο είλαη επθνιφηεξεο θαη απαηηεί ιηγφηεξε ηερληθή πξνζπάζεηα απφ ηνλ phisher. Ζ θαηαγεγξακκέλε θχζε ηνπ ηειεθσλεηή πξνζθέξεηαη πξνο ηα κελχκαηα πνπ απαηηνχλ άκεζεο ελέξγεηεο γηα ινγαξηαζκφ ηνπ δηθαηνχρνπ. Γηα παξάδεηγκα, ην δπλακηθφ ζχκα ιακβάλεη ην αθφινπζν κήλπκα θσλεηηθνχ ηαρπδξνκείνπ: «Γεηα ζαο, είκαη ν Γηώξγνο από ηελ εηαηξεία «Χ». Πξνζπαζνύκε επεηγόληωο λα επηθνηλωλήζνπκε καδί ζαο γηα λα ζπδεηήζνπκε ηελ κεηάβαζή ζαο ζηα θεληξηθά ηεο εηαηξείαο ώζηε λα επηβεβαηώζεηε ην θιείζηκν ηνπ ινγαξηαζκνύ ζαο θαη ην ηέινο ηωλ πξνγξακκαηηζκέλωλ ππεξεζηώλ καο. Πξνο ην παξόλ, όιεο νη ελέξγεηεο γηα ηελ 69
απάληεζή ζαο ζα ηεξκαηηζηνύλ ζηηο 21:00 αύξην ην βξάδπ. Παξαθαινύκε θαιέζηε ην ηκήκα εμππεξέηεζεο πειαηώλ ζην 1-800-ΧΧΧ-ΧΧΧΧ ώζηε λα κεξηκλήζεη γηα ηελ ηειηθή πιεξωκή ηνπ ινγαξηαζκνύ.» Δπεηδή ην ζχκα δελ έρεη πξφζεζε λα κεηαβεί ζηα θεληξηθά ηεο εηαηξείαο, θαη δελ ζέιεη ε ζπγθεθξηκέλε ππεξεζία λα ηεξκαηηζηεί, ζα θαιέζεη ηνλ αξηζκφ πνπ πεξηιακβάλεηαη ζην κήλπκα. Ο αξηζκφο έρεη ξπζκηζηεί σο ππεξεζία πνπ φηαλ θαιείηαη απφ ην ζχκα, ρξεψλεη ζην ζχκα ηελ θιήζε (αδξά) θη έηζη θεξδίδεη ρξήκαηα ν visher. Υξήζε ηειεθσληθήο θιήζεο άκεζε επίζεζε δσληαλήο ζπλνκηιίαο Ζ δπλαηφηεηα λα ζπγθαιχςνπλ ή λα αιινηψζνπλ ηελ ηαπηφηεηα κηαο ηειεθσληθήο θιήζεο είλαη ηδηαίηεξα ζεκαληηθή γηα ηνλ visher. Με ηελ αιιαγή ηεο 70
ηαπηφηεηαο ηεο θιήζεο, ν visher απνθηά έλα αθφκα πξνηέξεκα ζην λα γίλεη ε ηζηνξία πνπ ρξεζηκνπνηεί γηα ηελ θνηλσληθή ηνπ κεραληθή πην πηζηεπηή ζην ζχκα, θαζψο θαη είλαη πην δχζθνιν λα εληνπηζηεί ε πεγή ηεο επίζεζεο. Οη ππεξεζίεο ηειεθσλίαο πνπ επηηξέπνπλ ηηο θιήζεηο κέζσ internet (VoIP) λα θαινχλ θαη ηειεθσληθνχο αξηζκνχο θιαζηθψλ ηειεθψλσλ (PSTN ή ISDN δίθηπα) απμάλνπλ ηελ επηηπρία ηεο επίζεζεο. Με ηε ρξήζε απηψλ ησλ ππεξεζηψλ, θαζψο θαη ηε δπλαηφηεηα λα γίλεη κηα θιήζε απφ νπνηνδήπνηε ζεκείν ζηνλ θφζκν, ν visher κπνξεί λα δηεμάγεη κηα «δσληαλή» επίζεζε. ε κηα «δσληαλή» επίζεζε, ν visher μεθηλά ηελ θιήζε πξνο ην ζχκα θαη ζηε ζπλέρεηα ρξεζηκνπνηεί έλα απηνκαηνπνηεκέλν κήλπκα πνπ ελζαξξχλεη ην ζχκα ζην λα παξέρεη πξνζσπηθέο πιεξνθνξίεο. Γηα λα είλαη επηηπρήο, ν visher ζα ρξεζηκνπνηήζεη έλα φλνκα γλσζηήο εηαηξείαο θαη ζα ρξεζηκνπνηήζεη θαη ηελ θαηάιιειε ηαπηφηεηα θιήζεο. Μεξηθά παξαδείγκαηα γηα ζέκαηα πνπ κπνξεί λα ρξεζηκνπνηεί ν visher είλαη: Μηα ακεηβφκελε έξεπλα αγνξάο. Μεηά ηελ απάληεζε ησλ ειεθηξνληθψλ εξσηεκάησλ, ζην ζχκα, ζα δεηεζεί λα εηζάγεη ηα ζηνηρεία ηνπ ηξαπεδηθνχ ηνπ ινγαξηαζκνχ, έηζη ψζηε ηα ρξήκαηα λα κπνξεί άκεζα λα γίλεη ε πίζησζε ζηνλ ινγαξηαζκφ ηνπ ζχκαηνο. Πξνζθνξά κεησκέλνπ θφξνπ. Σν ζχκα εηδνπνηείηαη φηη σο θάηνηθνο ελφο ζπγθεθξηκέλνπ λνκνχ, κπνξεί λα είλαη ζε ζέζε λα επσθειεζεί απφ κηα πξφζθαηε αιιαγή θνξνιφγεζεο. Σν κφλν πνπ έρεη λα θάλεη είλαη λα δειψζεη ην φλνκά ηνπ, ηε δηεχζπλζε θαη ηνλ αξηζκφ θνηλσληθήο αζθάιηζεο. 71
Σν vishing γίλεηαη νινέλα θαη πεξηζζφηεξν δεκνθηιήο θνξέαο επίζεζεο απφ ηνπο θνηλσληθνχο κεραληθνχο, ιφγσ ηεο ηθαλφηεηάο ηνπ λα κπνξεί λα ζηνρεχζεη ζχκαηα πέξα απφ ηελ νζφλε ηνπ ππνινγηζηή θη έηζη λα ζηνρεχζεη ζε έλα επξχηεξν θάζκα ζπκάησλ. Δπίζεο είλαη κηα πην απνηειεζκαηηθή πιαηθφξκα θαη απηφ βνεζά ζηελ αλάπηπμε ησλ ζπγθεθξηκέλσλ επηζέζεσλ θνηλσληθήο κεραληθήο. 6.5.3 Πξνζηαζία απφ ην Vishing ηελ πξνζηαζία απφ επηζέζεηο ηχπνπ Vishing βνεζάεη ε ζπζθεπή αλαγλψξηζεο θιήζεο, φκσο φρη νινθιεξσηηθά, εθφζνλ ππάξρνπλ ζπζθεπέο πνπ κπνξνχλ λα αιιάμνπλ ηελ ηαπηφηεηα ηεο θιήζεο θαη αλαθέξνληαη ζην θεθάιαην 8.3.1 σο Caller ID Spoofing. Ζ κνλαδηθή πξνζηαζία απφ ην Vishing είλαη ε ελεκέξσζε. Γηα παξάδεηγκα, εάλ θάπνηνο καο θαιέζεη σο εθπξφζσπνο ηεο ηξάπεδαο θαη καο δεηά πξνζσπηθά ζηνηρεία ηεο πηζησηηθήο καο θάξηαο, γηα ηελ αζθάιεηά καο, ζα πξέπεη λα κελ ηνπ δψζνπκε φπνηεο πιεξνθνξίεο καο δεηήζεη, αιιά λα θαιέζνπκε εκείο ηνλ αξηζκφ πνπ γλσξίδνπκε εκείο γηα ηελ εμππεξέηεζε πειαηψλ ηεο ηξάπεδαο. ε απηνχ ηνπ είδνπο ινηπφλ ηελ επίζεζε, ν κφλνο παξάγνληαο πξνζηαζίαο είλαη ε γλψζε θαη ε ελεκέξσζε. 72
6.6 Γνχξεηνο Ίππνο Trojan Horse ηελ επηζηήκε ησλ ππνινγηζηψλ, ν δνχξεηνο ίππνο[29] (Trojan horse) είλαη έλα θαθφβνπιν πξφγξακκα πνπ μεγειάεη ηνλ ρξήζηε θαη ηνλ θάλεη λα πηζηεχεη φηη εθηειεί θάπνηα ρξήζηκε ιεηηνπξγία ελψ ζηα θξπθά εγθαζηζηά ζηνλ ππνινγηζηή ηνπ άιια θαθφβνπια πξνγξάκκαηα. Σν φλνκά ηνπ πξνθχπηεη απφ ηελ Ηιηάδα ηνπ Οκήξνπ, φπνπ αλαγξάθεηαη φηη ν Οδπζζέαο εκπλεχζηεθε ηελ θαηαζθεπή ελφο μχιηλνπ αιφγνπ, ζηε θνηιηά ηνπ νπνίνπ ζα θξχβνληαλ νη Αραηνί πνιεκηζηέο. Με ηνλ ηξφπν απηφ μεγέιαζε ηνπο θαηνίθνπο ηεο Σξνίαο, εηζήγαγε ην ζηξαηφ ησλ Αραηψλ κέζα ζηελ πφιε θαη ηελ θπξίεπζε. Ζ ηαθηηθή πνπ ρξεζηκνπνηνχλ νη δνχξεηνη ίππνη είλαη παξφκνηα κε ηελ ηαθηηθή πνπ ρξεζηκνπνίεζε ν Οδπζζέαο, νπφηε πήξαλ θαη απηήλ ηελ νλνκαζία. πγθεθξηκέλα, θξχβνπλ κέζα ηνπο θαθφβνπιν θψδηθα, ν νπνίνο κπνξεί λα κνιχλεη ηνλ ππνινγηζηή. Δμσηεξηθά κνηάδνπλ κε πξνγξάκκαηα ηα νπνία εθηεινχλ ρξήζηκεο ιεηηνπξγίεο, είλαη ελδηαθέξνληα θαη δίλνπλ ηελ εληχπσζε ζηνλ ρξήζηε φηη είλαη αθίλδπλα. Όηαλ φκσο ν ρξήζηεο εθηειέζεη απηφ ην πξφγξακκα, ηφηε ελεξγνπνηείηαη ν θαθφβνπινο θψδηθαο κε απνηέιεζκα ν ππνινγηζηήο λα κνιπλζεί. πλήζσο απνηέιεζκα ηεο κφιπλζεο απφ δνχξεην ίππν είλαη ε εγθαηάζηαζε θάπνηνπ πξνγξάκκαηνο πνπ επηηξέπεη ζε κε εμνπζηνδνηεκέλνπο ρξήζηεο λα έρνπλ πξφζβαζε ζην κνιπζκέλν ππνινγηζηή θαη λα ηνλ ρξεζηκνπνηνχλ γηα λα μεθηλήζνπλ άιιεο επηζέζεηο πξνο άιινπο ππνινγηζηέο ηνπ δηαδηθηχνπ. ε αληίζεζε κε ηνπο ηνχο, νη 73
δνχξεηνη ίππνη δελ κεηαδίδνληαη κνιχλνληαο αξρεία. Ο φξνο «δνχξεηνο ίππνο» ρξεζηκνπνηήζεθε αξρηθά απφ ηνλ Κελ Σφκζνλ ζηελ νκηιία ηνπ ην 1983 θαηά ηελ ηειεηή απνλνκήο ησλ βξαβείσλ Turing. Ο Σφκζνλ παξαηήξεζε φηη είλαη δπλαηφλ λα πξνζηεζεί θαθφβνπινο θψδηθαο ζηελ εληνιή Login ηνπ Unix γηα ηελ ππνθινπή θσδηθψλ πξφζβαζεο. Απηή ηνπ ηελ αλαθάιπςε ηελ νλφκαζε «δνχξεην ίππν». Δπηπξνζζέησο ππνζηήξημε φηη νπνηνζδήπνηε κεηαγισηηηζηήο C κπνξεί λα κεηαηξαπεί θαηάιιεια νχησο ψζηε λα πξνζζέηεη απηφκαηα θαθφβνπιν θψδηθα ζηα πξνγξάκκαηα πνπ δεκηνπξγεί. Με ηνλ ηξφπν απηφ ν εληνπηζκφο ηνπ θαθφβνπινπ θψδηθα γίλεηαη αθφκε πην δχζθνινο. 6.6.1 Σχπνη Γνχξεησλ Ίππσλ Τπάξρνπλ δχν είδε[29] δνχξεησλ ίππσλ: Σν πξψην είδνο απνηειείηαη απφ θαλνληθά πξνγξάκκαηα, ηα νπνία δηάθνξνη ράθεξο κεηαβάιινπλ πξνζζέηνληαο θαθφβνπιν θψδηθα. ηελ θαηεγνξία απηή αλήθνπλ γηα παξάδεηγκα νκφηηκα πξνγξάκκαηα αληαιιαγήο αξρείσλ (peer-to-peer), πξνγξάκκαηα αλαθνίλσζεο θαηξηθψλ ζπλζεθψλ θ.η.ι.. Σν δεχηεξν είδνο πεξηιακβάλεη κεκνλσκέλα πξνγξάκκαηα πνπ μεγεινχλ ηνλ ρξήζηε θαη ηνλ θάλνπλ λα λνκίδεη φηη πξφθεηηαη γηα θάπνην παηρλίδη ή εηθφλα. Με ηνλ ηξφπν απηφ ηνλ παξαζχξνπλ λα εθηειέζεη ην αξρείν, κνιχλνληαο έηζη ηνλ ππνινγηζηή ηνπ. ε αληίζεζε κε άιια θαθφβνπια πξνγξάκκαηα (ζθνπιήθηα, ηνχο θ.η.ι.), νη δνχξεηνη ίππνη δελ κπνξνχλ λα δξάζνπλ απηφλνκα, αιιά εμαξηψληαη απφ ηηο ελέξγεηεο πνπ ζα θάλεη ην ππνςήθην ζχκα. Σέινο, ζηελ επηζηήκε ηεο αξρηηεθηνληθήο ππνινγηζηψλ, ε ιέμε «δνχξεηνο ίππνο» κπνξεί επίζεο λα αλαθέξεηαη θαη ζε θελά αζθαιείαο πνπ επηηξέπνπλ ζε δηάθνξα πξνγξάκκαηα λα δηαβάζνπλ αξρεία ρσξίο εμνπζηνδφηεζε. Οη ηχπνη δνχξεησλ ίππσλ κπνξνχλ λα δηαρσξηζηνχλ πεξαηηέξσ ζηηο εμήο θαηεγνξίεο[29] αλάινγα κε ηηο ζπλέπεηεο πνπ έρνπλ ζηνλ κνιπζκέλν ππνινγηζηή: 74
Απνκαθξπζκέλε πξφζβαζε Απνζηνιή e-mail Καηαζηξνθή αξρείσλ Καηέβαζκα αξρείσλ FTP Trojan (πξνζζήθε, δηαγξαθή ή κεηαθνξά αξρείσλ απφ ηνλ κνιπζκέλν ππνινγηζηή) Απελεξγνπνίεζε ινγηζκηθνχ αζθαιείαο (firewall, antivirus θ.η.ι.) URL Trojan (επηηξέπεη ζηνλ ππνινγηζηή λα ζπλδεζεί ζην δηαδίθηπν κφλν κέζσ κίαο πνιχ αθξηβήο ζχλδεζεο) Μεξηθέο απφ ηηο επηπηψζεηο εθηέιεζεο ελφο δνχξεηνπ ίππνπ είλαη γηα παξάδεηγκα ε δηαγξαθή αξρείσλ ζηνλ κνιπζκέλν ππνινγηζηή, ε ρξεζηκνπνίεζή ηνπ γηα επίζεζε ζε άιινπο ππνινγηζηέο, ε παξαθνινχζεζε ησλ θηλήζεσλ ηνπ ρξήζηε γηα ηελ απφθηεζε ησλ θσδηθψλ ηνπ ζε ηξάπεδεο, απφθηεζε δηεπζχλζεσλ e-mail γηα λα ρξεζηκνπνηεζνχλ σο λένη ζηφρνη, επαλεθθίλεζε ηνπ ππνινγηζηή, απελεξγνπνίεζε πξνγξακκάησλ πξνζηαζίαο ηνπ ππνινγηζηή θαη πνιιά άιια. 75
6.6.2 Σξφπνη Μφιπλζεο [29] Ζ πιεηνςεθία ησλ κνιχλζεσλ ππνινγηζηψλ απφ δνχξεηνπο ίππνπο ζπκβαίλεη επεηδή ν ρξήζηεο πξνζπάζεζε λα εθηειέζεη έλα κνιπζκέλν πξφγξακκα. Γηα ηνλ ιφγν απηφ νη ρξήζηεο πάληα πξνηξέπνληαη λα κελ αλνίγνπλ χπνπηα αξρεία επηζπλαπηφκελα ζε e-mail. πλήζσο ην επηζπλαπηφκελν αξρείν πεξηιακβάλεη φκνξθα γξαθηθά ή θηλνχκελε εηθφλα, αιιά πεξηέρεη επίζεο χπνπην θψδηθα πνπ κνιχλεη ηνλ ππνινγηζηή ηνπ ρξήζηε. Παξφια απηά, ην πξφγξακκα δελ είλαη απαξαίηεην λα θηάζεη ζηνλ ρξήζηε κε e-mail. Μπνξεί λα ην έρεη θαηεβάζεη απφ έλαλ ηζηφηνπν, κέζσ πξνγξακκάησλ Instant Messaging (πξνγξάκκαηα άκεζσλ κελπκάησλ, φπσο MSN) ή κέζσ θάπνηνπ απνζεθεπηηθνχ κέζνπ πνπ ρξεζηκνπνίεζε ζηνλ ππνινγηζηή. Road Apple [29] Σν Road Apple είλαη κηα ηερληθή πνπ ρξεζηκνπνηείηαη απφ ηνπο ράθεξο. Απηφ πνπ θάλνπλ είλαη λα ηνπνζεηνχλ ζε κηα δηζθέηα ή ζε έλα απνζεθεπηηθφ κέζν έλα θαθφβνπιν πξφγξακκα, λα ηνπ δίλνπλ έλα θαηάιιειν φλνκα θαη λα ην αθήλνπλ ηπραία επάλσ ζε έλα γξαθείν κε ηελ ειπίδα φηη θάπνηνο ζα ην ρξεζηκνπνηήζεη. Ζ επίζεζε απηή βαζίδεηαη ζηελ πεξηέξγεηα ηνπ ζχκαηνο. Παξάδεηγκα κηα ηέηνηαο επίζεζεο είλαη ε εμήο: θάπνηνο βξίζθεη απφ ην δηαδίθηπν ην ινγφηππν κηαο εηαηξείαο, δεκηνπξγεί βάζεη απηνχ κία εηηθέηα πνπ θηλεί ηελ πεξηέξγεηα (π.ρ. Μηζζνί ππαιιήισλ) θαη ην αθήλεη ζε θάπνην γξαθείν ηεο εηαηξείαο. Δάλ θάπνηνο πεξίεξγνο ππάιιεινο ην ρξεζηκνπνηήζεη, ηφηε ν ππνινγηζηήο ηνπ ζα κνιπλζεί κε θαθφβνπιν ινγηζκηθφ. 6.6.3 Πξνζηαζία Ο βαζηθφο ηξφπνο πξνζηαζίαο[30] απφ ηνπο ηνχο ησλ ππνινγηζηψλ είλαη ε εγθαηάζηαζε, ε ζσζηή ξχζκηζε θαη ε ζπλερήο ελεκέξσζε ή επηθαηξνπνίεζε (update) κέζσ ηνπ Internet ελφο έγθπξνπ πξνγξάκκαηνο πξνζηαζίαο απφ ηνχο, πνπ είλαη γλσζηά κε ηνλ φξν Antivirus ή αληηηθά πξνγξάκκαηα. Τπάξρνπλ αθφκε εηδηθά 76
πξνγξάκκαηα γηα πξνζηαζία απφ ηνχο ηχπνπ spyware, adware αιιά θαη απφ dialers θαη απφ ηε κάζηηγα ησλ spam e-mails. Ζ ρξήζε ελφο ςεθηαθνχ ηείρνπο πξνζηαζίαο (firewall), κε ηε κνξθή software ή hardware, είλαη ρξήζηκε αιιά ζα πξέπεη λα γίλεηαη κε πξνζνρή θαη κε ηελ πξνυπφζεζε φηη ππάξρεη θαιή γλψζε ηνπ ηξφπνπ ξχζκηζεο θαη ιεηηνπξγίαο ηνπ. Οη γεληθνί θαλφλεο πξνζηαζίαο είλαη φηη ζα πξέπεη λα πξνζέρνπκε ηη πξνγξάκκαηα εθηεινχκε ζηνλ ππνινγηζηή καο, ηη αξρεία θαηεβάδνπκε απφ ην Internet, πνηνο καο ζηέιλεη e-mail θαζψο θαη πνηνο έρεη ην δηθαίσκα λα ρξεζηκνπνηήζεη ηνλ ππνινγηζηή καο φηαλ εκείο απνπζηάδνπκε. Πξνζνρή πξέπεη λα δίλνπκε θαη ζηα πξνγξάκκαηα πνπ δηαθεκίδνληαη θαη δηαλέκνληαη δσξεάλ θαζψο θαη ζηα πξνγξάκκαηα πνπ ρξεζηκνπνηνχκε γηα λα θάλνπκε chat. Μηα πνιχ θαιή ιχζε είλαη λα εγθαηαζηήζνπκε θαη λα εθηειέζνπκε κηα απφ ηηο εθαξκνγέο πνπ αλαιακβάλνπλ λα αληρλεχζνπλ ζην ζχζηεκά καο ηα ηπρφλ ππάξρνληα επαίζζεηα ζεκεία (vulnerabilities) θαη λα καο ηα παξνπζηάζνπλ κε παξαζηαηηθφ ηξφπν. Σέινο, κηα πνιχ θαιή ζπκβνπιή είλαη λα ιακβάλνπκε πνιχ ηαθηηθά, ίζσο θαη θαζεκεξηλά, εθεδξηθά αληίγξαθα αζθαιείαο ησλ αξρείσλ καο, ζε CD, ζε DVD ή ζε εμσηεξηθφ ζθιεξφ δίζθν, κηα δηαδηθαζία πνπ είλαη γλσζηή κε ηνλ φξν back-up, έηζη ψζηε αθφκα θαη ζηελ αθξαία πεξίπησζε πνπ ράζνπκε ζεκαληηθά αξρεία απφ ηελ επίζεζε θάπνηνπ ηνχ, λα κπνξέζνπκε λα ηα αλαθηήζνπκε άκεζα. Απφ ηα πην γλσζηά αληηηθά πξνγξάκκαηα είλαη ην Norton Antivirus ηεο εηαηξείαο Symantec, ην McAfee ηεο εηαηξείαο Network Associates, ην Kaspersky, ην Panda, ην Sophos, ην F-Prot ηεο εηαηξείαο Frisk, ην F-Secure θαζψο θαη ην AntiVir θαη ην AVG ηεο εηαηξείαο Grisoft πνπ δηαηίζεληαη δσξεάλ γηα πξνζσπηθή ρξήζε. Όια έρνπλ ηε δπλαηφηεηα απηφκαηεο ελεκέξσζεο (update) κέζσ ηνπ Internet. 77
6.7 Pretexting Υξήζε Πξνζρεκάησλ Σν pretexting[31] [2] νξίδεηαη σο ε πξάμε ηεο δεκηνπξγίαο ελφο ζελαξίνπ πνπ εθεπξέζεθε γηα λα πείζεη έλαλ ζηφρν ζχκα ψζηε λα εθηειέζεη θάπνηεο ελέξγεηεο ή λα απνζπάζεη ν θνηλσληθφο κεραληθφο ηηο πιεξνθνξίεο πνπ ζέιεη. Δίλαη θάηη πεξηζζφηεξν απφ ηε δεκηνπξγία ελφο ςέκαηνο, ζε νξηζκέλεο πεξηπηψζεηο κπνξεί λα δεκηνπξγεζεί κηα λέα ηαπηφηεηα θαη ζηε ζπλέρεηα ρξεζηκνπνηψληαο ηελ ηαπηφηεηα ρεηξαγσγνχλ ηελ παξαιαβή ησλ πιεξνθνξηψλ. Σν pretexting κπνξεί επίζεο λα ρξεζηκνπνηεζεί γηα λα κηκεζεί αλζξψπνπο ζε νξηζκέλεο πςειφβαζκεο ζέζεηο, κε ζθνπφ ηεο απφθηεζεο θχξνπο ηνπ θνηλσληθνχ κεραληθνχ. Μία απφ ηηο πην ζεκαληηθέο πηπρέο ηεο θνηλσληθήο κεραληθήο είλαη ε εκπηζηνζχλε. Δάλ δελ νηθνδνκεζεί ε εκπηζηνζχλε ηνπ ζχκαηνο ζε κία επίζεζε, ηφηε απηή πηζαλφηαηα ζα απνηχρεη. Σα ηζρπξά πξνζρήκαηα απνηεινχλ νπζηαζηηθφ κέξνο ηεο εκπηζηνζχλεο. Δάλ ην ςεπδψλπκν, ε ηζηνξία, ε ηαπηφηεηα έρεη θελά ή ζηεξείηαη αμηνπηζηίαο, ηφηε ε επίζεζε θαη πάιη ζα απνηχρεη. Έηζη ην ζεκαληηθφηεξν είλαη ν ζσζηφο πξνγξακκαηηζκφο ηεο ηζηνξίαο. Pretexting (πξνζρήκαηα) είλαη ε νξνινγία πνπ δφζεθε, ζηελ θνηλσληθή κεραληθή, θαηά ηελ νπνία είλαη ε δεκηνπξγία κηαο ςεχηηθεο ηζηνξίαο, πνιιέο θνξέο πξντφλ κειέηεο ηνπ ζηφρνπ (διδ. Τπάξρνπλ αιεζηλά ζηνηρεία φπσο νλφκαηα, πνπ ζα ρξεζηκνπνηεζνχλ ψζηε ην ζελάξην λα είλαη αιεζνθαλέο), ψζηε ν θνηλσληθφο κεραληθφο λα κπνξεί λα πείζεη ην ζχκα ηνπ ψζηε λα ηνπ απνζπάζεη ηεο πιεξνθνξίεο πνπ ζέιεη. 6.7.1 Βαζηθέο Αξρέο Τπάξρνπλ θάπνηεο βαζηθέο αξρέο [32] πνπ πξέπεη λα αθνινπζνχληαη θαηά ηε ρξήζε ηνπ pretexting: Όζν κεγαιχηεξε έξεπλα έρεη γίλεη, ηφζν κεγαιχηεξε πηζαλφηεηα επηηπρίαο ππάξρεη. Δάλ ηα πξνζρήκαηα πεξηιακβάλνπλ δξαζηεξηφηεηεο ή ελδηαθέξνληα, απμάλεηαη ην πνζνζηφ επηηπρίαο. Απαηηείηαη πξνζεθηηθφο ζρεδηαζκφο. 78
Ζ εμάζθεζε ζε δηαιέθηνπο ή εθθξάζεηο πνπ ζα είλαη εμνηθεησκέλνη κε ην ζηφρν, είλαη απαξαίηεηε. Σν πην απιφ πξφζρεκα έρεη ηελ κεγαιχηεξε πηζαλφηεηα επηηπρίαο. Σα πξνζρήκαηά ζαο ζα πξέπεη λα θαίλνληαη αθξηβείο ή λα έρνπλ πηπρέο πνπ δελ είλαη εππαζή ζε έιεγρν. Θα πξέπεη λα γλσξίδεη ηελ λνεκνζχλε θαη ην είδνο ηνπ πξνζψπνπ πνπ ζα ζπλνκηιήζεη. Να είλαη ελήκεξνη γηα ηνπο ηνπηθνχο λφκνπο. 6.7.2 Πξνγξακκαηηζκφο θαη Υξήζε Πξνθάζεσλ [32] Σν pretexting έρεη θαζηεξσζεί σο έλαλ απφ ηνπο πην γξήγνξνπο ηξφπνπο γηα ηελ ιήςε πιεξνθνξηψλ απφ ηα ζχκαηα ηεο θνηλσληθήο κεραληθήο. Όηαλ ρξεζηκνπνηείηαη κία δηάιεθηνο, ζα πξέπεη λα επηρεηξεζεί κφλν φηαλ ν θνηλσληθφο κεραληθφο έρεη κεγάιε ηθαλφηεηα ζηελ νκηιία πνπ ελεξγεί κε απηή ηελ δηάιεθην. Δίλαη θάηη πεξηζζφηεξν απφ ηελ πξνθνξά, φπσο ζην λα έρεη επίγλσζε νξηζκέλσλ θξάζεσλ, φξνπο ή ηδηψκαηα θαη άιινπο φξνπο ηεο αξγθφ πνπ ρξεζηκνπνηνχληαη ζην ρψξν πνπ ζα επηηεζεί. Όηαλ ζρεδηάδεηαη έλα πξφζρεκα, είλαη ζπλεηφ λα εμεηαζηεί φρη κφλν ην πψο απηφ ζα ιεηηνπξγήζεη, αιιά θαη πψο ζα αληηδξάζεη ν άιινο, πνηα ζα είλαη ε ζηάζε ηνπ θαη πνηεο ζα είλαη νη απαληήζεηο ηνπ. Όηαλ γίλεηαη ε αλάπηπμε ελφο πξνζρήκαηνο, δεκηνπξγείηαη θη έλαο ραξαθηήξαο. Ζ πνιππινθφηεηα ησλ ραξαθηήξσλ θαζνξίδεηαη απφ ην πξνγξακκαηηζκέλν βάζνο αιιειεπίδξαζεο κε ηνπο αλζξψπνπο ζηνλ ηφπν πξννξηζκνχ. Ζ δηαδηθαζία αλάπηπμεο ηνπ ραξαθηήξα ζα πξέπεη λα είλαη θαιά ηεθκεξησκέλε. Σν pretexting απνηειεί ζνβαξφ ιφγν αλεζπρίαο ζηνλ θφζκν ησλ ππνινγηζηψλ ζήκεξα. Οη ηαπηφηεηέο καο γίλνληαη φιν θαη πην δηαζέζηκεο κέζσ θνηλψλ ζηνηρείσλ ησλ ζπζηεκάησλ πιεξνθνξηθήο, θαη ζε αληίζεζε κε άιια είδε απάηεο, ζην pretexting εδξαηψλεηαη ε εκπηζηνζχλε κεηαμχ ζχηε θαη ζχκαηνο, ρσξίο ηελ νπηηθή επαθή ησλ αλζξψπσλ. 79
6.7.3 Πξνζηαζία Σν Pretexting είλαη κηα κνξθή επίζεζεο, ε νπνία είλαη δχζθνιε ζηελ αληηκεηψπηζή ηεο. Απηφ δηφηη δελ ππάξρνπλ ηερληθά κέζα ψζηε λα καο πξνζηαηέςνπλ, ηνπιάρηζηνλ ζε έλα βαζκφ. Καηά επίζεζε κε ρξήζε pretexting, ν ζχηεο ζα πξέπεη λα είλαη ελεκεξσκέλνο γηα ην ηη πιεξνθνξία κπνξεί λα δψζεη ειεχζεξα θαη ηη φρη. Καη εδψ ε θαιχηεξε πξνζηαζία είλαη ε γλψζε γηα ην ηη θηλδχλνπο κπνξεί λα θξχβεη ε δηάζεζε πιεξνθνξηψλ ζηνλ νπνηνλδήπνηε. Όηαλ εξρφκαζηε ζε επαθή κε θάπνηνλ άγλσζην, ζα πξέπεη λα ιεηηνπξγνχκε κε θαρππνςία, φηαλ απηφο δεηήζεη θάπνηα πξνζσπηθά ζηνηρεία. ε επίπεδν εηαηξείαο, κία ιχζε γηα πξνζηαζία είλαη ε ρξήζε πνιηηηθψλ αζθαιείαο πνπ ζα πεξηιακβάλνπλ ειέγρνπο ηαπηφηεηαο, ππφδεημε γηα ην πνηεο πιεξνθνξίεο ζα κπνξνχλ λα δψζνπλ, φπσο αλαθέξνληαη ζην θεθάιαην 10. 80
7. Νεπξν-γισζζηθόο Πξνγξακκαηηζκόο (NLP) Ο λεπξν-γισζζηθόο πξνγξακκαηηζκόο (NLP) [33] είλαη κηα ακθηιεγφκελε πξνζέγγηζε ζηελ ςπρνζεξαπεία θαη ζηηο νξγαλσηηθέο αιιαγέο πνπ βαζίδεηαη ζε έλα κνληέιν ηεο δηαπξνζσπηθήο επηθνηλσλίαο πνπ θπξίσο αζρνιείηαη κε ηε ζρέζε κεηαμχ ησλ επηηπρψλ πξνηχπσλ ζπκπεξηθνξάο θαη ηηο ππνθεηκεληθέο εκπεηξίεο (π.ρ. κνηίβα ηεο ζθέςεο). Δπίζεο βαζίδεηαη ζε έλα ζχζηεκα ελαιιαθηηθήο ζεξαπείαο πνπ βαζίδεηαη ζην παξφλ, ην νπνίν επηδηψθεη λα εθπαηδεχζεη ηνπο αλζξψπνπο ζε απηνγλσζία θαη απνηειεζκαηηθή επηθνηλσλία θαη ηε κεηαβνιή ησλ πξνηχπσλ ηνπο, ηεο ςπρηθήο θαη ζπλαηζζεκαηηθήο ζπκπεξηθνξάο. Οη ηδξπηέο, Richard Bandler θαη ν γισζζνιφγνο John Grinder, ππνζηήξημαλ φηη ζα πξέπεη λα ζπκβάιινπλ ζηελ «εμεχξεζε ηξφπσλ γα λα βνεζήζεη ηνπο αλζξψπνπο λα έρνπλ θαιχηεξε, πιεξέζηεξε θαη πην πινχζηα δσή». Δπηλφεζαλ απηφλ ηνλ ηίηιν γηα λα δειψζνπλ ηελ πίζηε ηνπο ζε κηα ζχλδεζε κεηαμχ ησλ λεπξνινγηθψλ 81
δηεξγαζηψλ (λεχξν), ηε γιψζζα (γισζζηθή) θαη ησλ κνληέισλ ζπκπεξηθνξάο πνπ έρνπλ κάζεη κέζσ ηεο εκπεηξίαο (πξνγξακκαηηζκνχ) θαη ην νπνίν κπνξεί λα νξγαλσζεί γηα ηελ επίηεπμε ζπγθεθξηκέλσλ ζηφρσλ ζηε δσή. Ζ NLP αξρηθά πξνσζήζεθε ζην θνηλφ ηε δεθαεηία ηνπ 1970 σο κία απνηειεζκαηηθή θαη ηαρεία κνξθή ςπρνινγηθήο ζεξαπείαο, ζε ζέζε λα αληηκεησπίζεη ην πιήξεο θάζκα ησλ πξνβιεκάησλ πνπ νη ςπρνιφγνη είλαη πηζαλφ λα αληηκεησπίζνπλ, φπσο θνβίεο, θαηάζιηςε, δηαηαξαρή, ςπρνζσκαηηθέο αζζέλεηεο θαη καζεζηαθέο δπζθνιίεο. Τπνζηεξίδεηαη φηη ππάξρνπλ δεμηφηεηεο πνπ κπνξνχλ λα αληιεζνχλ απφ ηνλ θαζέλα θη έηζη βειηηψλεηαη ε απνηειεζκαηηθφηεηά ηνπο, ηφζν πξνζσπηθά φζν θαη επαγγεικαηηθά. Παξά ηε δεκνηηθφηεηά ηνπ, ε NLP έρεη αγλνεζεί ζε κεγάιν βαζκφ απφ ηηο ζπκβαηηθέο θνηλσληθέο επηζηήκεο, ιφγσ ησλ δεηεκάησλ ηεο επαγγεικαηηθήο αμηνπηζηίαο θαη ηα αλεπαξθή ζηνηρεία γηα λα ηεθκεξηψζεη ηα κνληέια ηεο. 7.1 Δθαξκνγέο NLP[33] ε αληίζεζε κε ηελ θαζηεξσκέλε ςπρνζεξαπεία, ε NLP δελ επηθεληξψλεηαη ζηε δηάγλσζε, ηε ζεξαπεία θαη ηελ αμηνιφγεζε ηεο ςπρηθήο ζπκπεξηθνξάο θαη 82
δηαηαξαρέο. Δπηθεληξψλεηαη ζηελ παξνρή βνήζεηαο ζηνπο «αξξψζηνπο» ψζηε λα μεπεξάζνπλ ηε δηθή ηνπο πξνζσπηθή αληίιεςε θαη ηα πξνβιήκαηά ηνπο. Δπηδηψθεη λα γίλεη απηφ, ηεξψληαο ηηο δηθέο ηνπ δπλαηφηεηεο θαη ηε ζνθία ηνπο λα επηιέγνπλ πξφζζεηνπο ζηφρνπο, θαζψο καζαίλνπλ πεξηζζφηεξα γηα ηα πξνβιήκαηά ηνπο, λα ηξνπνπνηνχλ θαη λα πξνζδηνξίζνπλ απηνχο ηνπο ζηφρνπο πεξαηηέξσ, σο απνηέιεζκα ηεο αιιειεπίδξαζεο κε ηνλ ζεξαπεπηή. Οη δχν θχξηεο ζεξαπεπηηθέο ρξήζεηο ηεο NLP είλαη ε ρξήζε σο ζπκπιήξσκα ζε άιινπο ζεξαπεπηηθνχο θιάδνπο θαη ε ρξήζε σο εηδηθή ζεξαπεία πνπ νλνκάδεηαη Νεπξν-γισζζηθή ςπρνζεξαπεία. Δλψ νη θχξηνη ζηφρνη ηνπ λεπξν-γισζζηθνχ πξνγξακκαηηζκνχ (NLP) είλαη ζεξαπεπηηθνί, ηα πξφηππα έρνπλ επίζεο πξνζαξκνζηεί γηα ρξήζε ζε δηαπξνζσπηθή επηθνηλσλία θαη πεηζψ, ζπκπεξηιακβαλνκέλσλ ηεο επηθνηλσλίαο επηρεηξήζεσλ, ηεο θαηάξηηζεο ζηειερψλ επηρεηξήζεσλ, ησλ πσιήζεσλ, ηνλ αζιεηηζκφ θαη ησλ δηαπξνζσπηθψλ επηξξνψλ. 7.2 Υξήζε NLP ζηελ Κνηλσληθή Μεραληθή Ο λεπξν-γισζζηθφο πξνγξακκαηηζκφο ζηελ νπζία, είλαη ν «πξνγξακκαηηζκφο» ηνπ ππνζπλείδεηνπ ηνπ κπαινχ ελφο αηφκνπ γηα λα πεηζηεί λα πξνβεί ζε δηάθνξεο ελέξγεηεο. Απηή είλαη κηα πνιχ θαιή θαη ηθαλφηαηε ηερληθή γηα 83
ηελ θνηλσληθή κεραληθή. Ο NLP ιεηηνπξγεί δίλνληαο πξνηάζεηο ζην ππνζπλείδεην ηνπ αηφκνπ ελψ ζπλνκηινχλ δχν άλζξσπνη. Λεηηνπξγεί φπσο ε χπλσζε, αιιά ν NLP δελ είλαη ηφζν αηζζεηφο θαη είλαη πην απνηειεζκαηηθφο. Ο NLP ρξεζηκνπνηείηαη ζε δηάθνξεο κνξθέο ζε φιε καο ηε δσή. Οη θαζεγεηέο ηνλ ρξεζηκνπνηνχλ γηα λα θξαηήζνπλ ηνπο θνηηεηέο ζε κία «γξακκή». Ζ αζηπλνκία ηνλ ρξεζηκνπνηεί γηα λα αλαθξίλεη θαηεγνξνχκελνπο. Οη δηαθεκίζεηο ζηεξίδνληαη επίζεο ζηνλ NLP γηα λα πξνσζήζνπλ ηα πξντφληα ηνπο λα αγνξαζηνχλ απφ ην θνηλφ. Ο NLP είλαη κηα ηέρλε ηεο επηθνηλσλίαο κε ην ππνζπλείδεην ηνπ κπαινχ ελφο άιινπ πξνζψπνπ. Σν ππνζπλείδεην ηνπ κπαινχ είλαη πνιχ επαίζζεην ζηηο εμσηεξηθέο επηξξνέο, έηζη ψζηε έλα άηνκν λα κπνξεί εχθνια λα επεξεαζηεί απφ θάπνηνλ πνπ γλσξίδεη ηε ρξήζε απηψλ ησλ δεμηνηήησλ θαηά ηεο αλζξψπηλεο θχζεο. O NLP ρξεζηκνπνηείηαη σο εξγαιείν ζηελ θνηλσληθή κεραληθή γηα λα ρεηξαγσγήζνπλ ηνπο αλζξψπνπο πνπ έρνπλ ζην ζηφραζηξν κηα επίζεζεο, πνπ φηαλ γίλεη ζσζηά, είλαη ηδηαίηεξα επηηπρήο. ηελ νπζία είλαη ε αξρή, απφ ην Α κέρξη ην Χ, γηα ηελ επίηεπμε ηεο θνηλσληθήο κεραληθήο. Γηα παξάδεηγκα, φηαλ ν θνηλσληθφο κεραληθφο εμαπνιχεη ηελ επίζεζή ηνπ, κε ηε ρξήζε ηνπ NLP, ςάρλεη λα βξεη ηξφπνπο γηα λα ρξεζηκνπνηήζεη ηε γιψζζα ηνπ ζψκαηνο θαη κηα πξνζεθηηθή επηινγή ησλ ιέμεσλ γηα λα δψζεη ηα κελχκαηα ζην ππνζπλείδεην ηνπ αηφκνπ πνπ πξνζπαζεί λα ρεηξαγσγήζεη. Οη ελέξγεηεο πνπ γίλνληαη θαηά ηελ ρξήζε ηνπ NLP είλαη: Πξνζαξκνγή ηεο γιψζζαο ηνπ ζψκαηνο κε απηή ηνπ ζχκαηνο πγρξνληζκφο ηεο αλαπλνήο Αλαπξνζαξκνγή ηνπ επηπέδνπ νκηιίαο, ηεο πξνθνξάο θαη ηνπ ιεμηινγίνπ Απηφ βνεζά ζην λα απνθηεζεί κηα ζρέζε ζε ππνζπλείδεην επίπεδν ηνπ θνηλσληθνχ κεραληθνχ κε ην ζχκα. ηε ζπλέρεηα κπνξεί λα δψζεη ηα άιια κελχκαηα ζην ππνζπλείδεην, αιιάδνληαο ηε γιψζζα ηνπ ζψκαηνο, π.ρ. ρακνγειψληαο θαη ρξεζηκνπνηψληαο θάπνηα επαθή κε ην ζχκα (ζηνλ ψκν ή ην ρέξη ηνπο), ρξεζηκνπνηψληαο ιέμεηο πνπ ραξαθηεξίδνληαη σο ζεηηθέο ζθέςεηο, εηθφλεο θαη ζπλαηζζήκαηα. Ζ ρξήζε απηψλ ησλ ηερληθψλ δίλεη κελχκαηα ζην ππνζπλείδεην, πνπ επεξεάδνπλ ην άιιν ζην λα έρεη ζεηηθά ζπλαηζζήκαηα θαη λα απνθηήζεη κία νηθεηφηεηα κε ηνλ θνηλσληθφ κεραληθφ. Έηζη επηηπγράλεηαη ε ζπιινγή ησλ 84
πιεξνθνξηψλ επθνιφηεξα θαη κε κεγαιχηεξν πνζνζηφ επηηπρίαο. Γηα παξάδεηγκα[34], αλ ν θνηλσληθφο κεραληθφο ρξεζηκνπνηήζεη ηνλ NLP, ζα αλαδεηήζεη ηξφπνπο γηα λα ρξεζηκνπνηήζεη ηελ γιψζζα ηνπ ζψκαηνο θαη κε κία πξνζεθηηθή επηινγή ησλ ιέμεσλ ψζηε λα δψζεη ππνζπλείδεηα κελχκαηα ζην πξφζσπν πνπ πξνζπαζεί λα ρεηξαγσγήζεη. Θα αξρίζεη λα πξνζαξκφδεη ηελ γιψζζα ηνπ ζψκαηνο κε απηή ηνπ άιινπ. Θα ηαηξηάμεη επίζεο ηνλ ξπζκφ ηεο αλαπλνήο ηνπ. Σν επίπεδν ηεο θσλήο, ηελ πξνθνξά θαη ην ιεμηιφγην ηνπ. Κάλνληαο απηά, βνεζάεη ζην λα νηθνδνκήζεη κία ππνζπλείδεηε ζχλδεζε. ηε ζπλέρεηα κπνξεί λα μεθηλήζεη αιιάδνληαο ηελ γιψζζα ηνπ ζψκαηνο, λα αξρίζεη λα επεξεάδεη ηελ ςπρνινγία ηνπ ζπλνκηιεηή ππνζπλείδεηα ρξεζηκνπνηψληαο ιέμεηο πνπ δειψλνπλ ζεηηθέο ζθέςεηο, εηθφλεο θαη ζπλαηζζήκαηα. Όιεο απηέο νη «θηλήζεηο» βνεζνχλ ψζηε ν ζπλνκηιεηήο λα απνθηήζεη ζεηηθά ζπλαηζζήκαηα θαη λα θεξδίζεη κία αίζζεζε εκπηζηνζχλεο κε ηνλ θνηλσληθφ κεραληθφ. Έηζη, θεξδίδνληαο ηελ εκπηζηνζχλε ηνπ, ν θνηλσληθφο κεραληθφο, κπνξεί ζηε ζπλέρεηα λα απνζπάζεη πιεξνθνξίεο απφ ηνλ ζπλνκηιεηή. 85
8. Δξγαιεία ηεο Κνηλσληθήο Μεραληθήο Καηά ηελ δηεμαγσγή κηαο επίζεζεο ν θνηλσληθφο κεραληθφο κπνξεί λα ρξεηαζηεί ηελ βνήζεηα θάπνηνλ «εξγαιείσλ». Απηά ρσξίδνληαη ζε δχν θαηεγνξίεο, ηα θπζηθά εξγαιεία θαη ηα «εξγαιεία» - πξνγξάκκαηα ησλ ππνινγηζηψλ. 8.1 Φπζηθά Δξγαιεία [35] Lock Picking θαη Shims (εξγαιεία παξαβίαζεο θιεηδαξηψλ) Κάκεξεο GPS trackers (Αληρλεπηέο κε ρξήζε GPS) 8.1.1 Lock Picking θαη Shims (εξγαιεία παξαβίαζεο θιεηδαξηψλ) Σν lock picking είλαη έλα εξγαιείν πνπ είλαη ρξήζηκν γηα ηνπο θνηλσληθνχο κεραληθνχο, ππφ ηηο ζσζηέο πεξηζηάζεηο. Μία απφ ηηο κεγαιχηεξεο ηζηνζειίδεο γηα λα πάξνπκε πιεξνθνξίεο ζρεηηθέο κε ην lock picking είλαη ε http://toool.us/. Αλ θαη ην lock picking δελ είλαη κηα θαζαξή κνξθή ηεο θνηλσληθήο κεραληθήο, ε θπζηθή αζθάιεηα είλαη κηα ζεκαληηθή πηπρή γηα ηελ επηηπρία ηεο επίηεπμεο ηνπ ζηφρνπ κηαο θνηλσληθήο κεραληθήο επίζεζεο. Μαζαίλνληαο πψο λα παξαβηαζηνχλ νη θιεηδαξηέο κπνξνχλ λα είλαη ρξήζηκεο γηα ηελ θπζηθή πξφζβαζε ζε εηαηξείεο ή γξαθεία. 86
87
8.1.2 Κάκεξεο[36] Οη θάκεξεο κπνξνχλ λα απνηειέζνπλ ρξήζηκν εξγαιείν γηα ηνπο θνηλσληθνχο κεραληθνχο φηαλ είλαη λα ζπιιέμνπλ ηηο πιεξνθνξίεο γξήγνξα. πρλά είλαη πην γξήγνξν λα ιάβεη κηα απιή εηθφλα ησλ πιεξνθνξηψλ, απφ ην λα ηηο θαηαγξάςεη. Ζ ηθαλφηεηα ησλ πεξηζζφηεξσλ θακεξψλ γηα ηελ θαηαγξαθή βίληεν είλαη επίζεο ρξήζηκν γηα ην ζθνπφ απηφ. Σν ζεκείν πνπ ζεκαληηθφ ζε κηα ηέηνηα θάκεξα, είλαη λα είλαη ζε ζέζε λα θάλεη ιήςε κε κε πξνθαλή ηξφπν. Απηφ απαηηεί λα είλαη κηθξέο θαη αζφξπβεο. Έλα δείγκα απηνχ ηνπ είδνπο θάκεξαο, είλαη ε θάκεξα-θνπκπί, ε νπνία είλαη θάκεξα πνπ κνηάδεη κε έλα θνπκπί. Σα θηλεηά ηειέθσλα είλαη επίζεο κία θαιή ιχζε. 8.1.3 GPS Trackers (Αληρλεπηέο κε ρξήζε GPS) [37] Σα ζπζηήκαηα εληνπηζκνχ κέζσ GPS είλαη κία πνιχ θαιή ιχζε γηα ηελ παξαθνινχζεζε θάπνηνπ ζηφρνπ. Γηα λα γίλεη θαηαλνεηή ην πψο απηή ε ζπζθεπή κπνξεί λα αμηνπνηεζεί, αθνινπζεί κία παξνπζίαζε κηαο ηέηνηαο ζπζθεπήο. Πξφθεηηαη γηα ην εμήο πξντφλ: SpyHawk SuperTrak GPS Worldwide Super Trackstick USB Data Logger. 88
Δγθαηάζηαζε ηνπ ινγηζκηθνχ 89
Υξήζε ζπζθεπήο Ζ ζπζθεπή είλαη ειαθξηά θαη εχθνιε ζηε ρξήζε θαη ηελ απφθξπςε. Γηαζέηεη έλαλ δηαθφπηε ιεηηνπξγίαο ON/OFF, φπσο επίζεο θαη αηζζεηήξεο θίλεζεο. Όηαλ αηζζάλεηαη θίλεζε μεθηλά ηελ θαηαγξαθή, ελψ εάλ ζηακαηήζεη ε θίλεζε γηα έλα ρξνληθφ δηάζηεκα, ηφηε απηή ζηακαηά. Ζ ζπζθεπή απηή κπνξεί θαη ζπιιέγεη πιεξνθνξίεο φπσο ηαρχηεηα, απφζηαζε θαη ζέζε. 90
Υξήζε ησλ δεδνκέλσλ Με ηα δεδνκέλα πνπ θαηαγξάθεη ε ζπζθεπή, κπνξνχκε λα κάζνπκε ηελ αθξηβή ηνπνζεζία ηνπ ζηφρνπ ηε ζπγθεθξηκέλε ψξα, ή ζπλνιηθά ηελ δηαδξνκή πνπ ρξεζηκνπνηεί, δηάθνξεο ζηάζεηο πνπ θάλεη, φπσο θαη ηελ ψξα ησλ ζηάζεσλ. Έηζη κπνξνχκε θαη καζαίλνπκε ηηο ζπλήζεηεο ηνπ ζηφρνπ θαη λα ηηο ρξεζηκνπνηήζνπκε θαηά ηε δηεμαγσγή ηεο επίζεζεο. 8.2 Δξγαιεία Πξνγξάκκαηα ζε ππνινγηζηέο Ζ ζπιινγή ησλ πιεξνθνξηψλ είλαη κία απφ ηηο πην ζεκαληηθέο πηπρέο ηεο θνηλσληθήο κεραληθήο. Γηα ηνλ ζθνπφ απηφ, νη θνηλσληθνί κεραληθνί ρξεζηκνπνηνχλ θαη θάπνηα πξνγξάκκαηα ππνινγηζηψλ. Σα εξγαιεία απηά πξνζαλαηνιίδνληαη πξνο ζπιινγή πιεξνθνξηψλ θαη δεδνκέλσλ. 8.2.1 Maltego Σν MALTEGO [38] είλαη κία εθαξκνγή open source (δσξεάλ) ζπιινγήο πιεξνθνξηψλ γηα ην δηαδίθηπν θαη ηνπο ρξήζηεο κε ζθνπφ ηελ έξεπλα. 91
Παξαθάησ ζα αθνινπζήζεη έλα παξάδεηγκα γηα ηελ ιεηηνπξγία ηνπ Maltego. Απηή ε εθαξκνγή πξνζθέξεη ζηνλ ρξήζηε πιεξνθνξίεο[39] φπσο : Γηεπζχλζεηο IP Γηεπζχλζεηο DNS Γηεπζχλζεηο Email Σνπνζεζία Σειεθσληθνχο αξηζκνχο Ηζηνζειίδεο Απηέο ηηο πιεξνθνξίεο ηηο αληιεί ζπλνιηθά απφ φιεο ηηο ηζηνζειίδεο φπνπ ζα εληνπίζεη ην πεξηερφκελν ηεο αλαδήηεζήο καο. 92
Αθνινπζεί παξάδεηγκα: Έζησ φηη ζέινπκε λα θάλνπκε κηα έξεπλα γηα ηνλ Howard Schmidt. Θα εηζάγνπκε ζηελ εθαξκνγή ην νλνκαηεπψλπκν θαη ζηε ζπλέρεηα ε εθαξκνγή ζα καο επηζηξέςεη φηη πιεξνθνξίεο κπνξεί λα βξεη ζε ζρέζε κε απηφ ην φλνκα. 93
Απνηειέζκαηα ησλ emails πνπ ηαηξηάδνπλ κε απηφ ην φλνκα 94
Με ην email πιένλ ν θνηλσληθφο κεραληθφο κπνξεί λα ζπλερίζεη ηελ έξεπλα. Βξίζθεη φηη ην email είλαη δεισκέλν ζε θνηλσληθά δίθηπα. Απφ εθεί ζα ζπλερίζεη ηελ έξεπλα ψζηε λα αληιήζεη πεξαηηέξσ πιεξνθνξίεο. 95
Μία πιεξνθνξία πνπ αλαθαιχπηεη, είλαη ε δηεχζπλζε θαηνηθίαο ηνπ. Πιένλ είλαη πνιχ εχθνιν λα βξεη ηειεθσληθφ αξηζκφ θαη φηη άιιν ρξεηάδεηαη γηα ηελ επίζεζε. 96
http://www.paterva.com/web4/index.php/maltego Ζ Maltego κπνξεί θαη ζπλδέεη ηηο ηα δεδνκέλα πνπ βξίζθεη δηάζπαξηα ζην ίληεξλεη θη έηζη απηή είλαη ε κεγαιχηεξε βνήζεηα γηα έλαλ θνηλσληθφ κεραληθφ. Γηα παξάδεηγκα κε ην email πνπ βξέζεθε ζην πξφζσπν πνπ αλαδήηεζε, θαη έζησ φηη ην email απηφ βξέζεθε ζε πνιιέο ηζηνζειίδεο κε απηνθίλεηα, ν θνηλσληθφο κεραληθφο κπνξεί λα ππνζέζεη φηη ην πξφζσπν απηφ αζρνιείηαη κε απηνθίλεηα θη έηζη ζα κπνξνχζε λα είλαη ν ηξφπνο πνπ ζα ηνλ πιεζηάζεη γηα λα επηηειέζεη ηελ απάηε ηνπ. * Φσηνγξαθίεο απφ http://www.ethicalhacker.net/content/view/324/2/ [40] 97
8.2.2 Social Engineer Toolkit (SET) Σν SET [41] είλαη κηα ζπιινγή πξνγξακκάησλ θαηάιιεια θαηαζθεπαζκέλα γηα επηζέζεηο κε ρξήζε θνηλσληθήο κεραληθήο. Σν SET θαηαζθεπάζηεθε απφ ηνλ David Kennedy (ReL1K) θαη δηαζέηεη κεραληζκνχο δηείζδπζεο ζε ζπζηήκαηα αζθαιείαο. Γίλεη ηελ δπλαηφηεηα ζηνλ ρξήζηε λα απνζηείιεη νκαδηθά e-mails θαη λα ηξνπνπνηήζεη ηελ ηαπηφηεηα ηνπ απνζηνιέα. Δπίζεο δηαζέηεη επίζεζε κέζσ ηεο java εγθαζηζηψληαο ζηνλ ρξήζηε ινγηζκηθφ αλαθεξφκελν σο θάπνηαο αζθαιήο εηαηξείαο. (π.ρ Microsoft) 8.3 Σειεθσληθά εξγαιεία[42] 8.3.1 Caller ID Spoofing Αιιαγή ηειεθσληθήο ηαπηφηεηαο Οη ζπζθεπέο αιιαγήο ηεο ηειεθσληθήο ηαπηφηεηαο έρνπλ γίλεη θαζεκεξηλφ εξγαιείν ζηνλ ηνκέα ηεο εξγαζίαο. Ζ γεληθή ηδέα ζε απηέο ηηο ζπζθεπέο είλαη ε αιιαγή ηεο ηαπηφηεηαο θιήζεο ψζηε λα κελ θαίλεηαη ε ηαπηφηεηα ηνπ αηφκνπ πνπ θαιεί, αιιά θαη λα θαίλεηαη φπνηα ηαπηφηεηα ζέιεη ν ίδηνο. Απηφ βνεζάεη ηνλ επηηηζέκελν ζην λα κπνξεί λα παξνπζηαζηεί ζαλ ην πξφζσπν πνπ ζέιεη θαη λα πξνβεί ζηελ επίζεζε. Απφ ηελ άιιε κεξηά, ππάξρνπλ ζπζθεπέο πνπ αληηιακβάλνληαη ππνηηζέκελε αιιαγή ηαπηφηεηαο ζε κηα θιήζε, θαη «μεζθεπάδνπλ» απηή ηελ πιαζηή, εκθαλίδνληαο ηελ αιεζηλή ηαπηφηεηα θιήζεο. 98
9. Αζθάιεηα ζηα Κνηλσληθά Γίθηπα 9.1 Εεηήκαηα αζθαιείαο ζηελ θνηλσληθή δηθηχσζε Ζ θνηλσληθή δηθηχσζε απνηειεί έλα λέν, θαη θαηά πνιινχο εθπιεθηηθφ ηερλνινγηθφ θαηλφκελν ηνπ 21νπ αηψλα. Δθαηνκκχξηα ρξήζηεο ζε φιν ηνλ θφζκν είλαη θαλαηηθνί θίινη ησλ ιεγφκελσλ «social networking sites», φπνπ θαζεκεξηλά «ζπλαληηνύληαη» εηθνληθά κε ηνπο θίινπο ηνπο από όιν ηνλ θόζκν, γλσξίδνπλ λέα άηνκα, ζπδεηνχλ γηα ηα ελδηαθέξνληά ηνπο, αληαιιάζζνπλ απφςεηο. Δπηπιένλ, ην «social networking» σο λένο ηξόπνο θνηλσληθήο δηαδξαζηηθόηεηαο θαη ζπκκεηνρήο επηηξέπεη ζηνπο ρξήζηεο λα δεκηνπξγνχλ νη ίδηνη πεξηερφκελν ζην Γηαδίθηπν θαη λα ην κνηξάδνληαη κε άιινπο ρξήζηεο, ρσξίο λα έρνπλ εμεηδηθεπκέλεο ηερληθέο γλψζεηο. Όπσο ηζρχεη ζε θάζε κνξθή ειεθηξνληθήο επηθνηλσλίαο, έηζη θαη ζηηο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο, ε γλψζε ζεκειησδψλ θαλφλσλ αζθάιεηαο θαη ε αλάπηπμε θξηηηθήο ζθέςεο είλαη θαζνξηζηηθνί παξάγνληεο ζηελ πξνζηαζία καο απφ θαθφβνπινπο αλζξψπνπο, απαηεψλεο ή αθφκα θαη απφ αζπλείδεηνπο επηρεηξεκαηίεο, ψζηε λα κπνξέζνπκε λα απνιαχζνπκε ηηο άπεηξεο δπλαηφηεηεο ςπραγσγίαο, επηθνηλσλίαο θαη δηαζθέδαζεο πνπ καο παξέρνληαη. 99
Ο Δπξσπατθόο Οξγαληζκόο γηα ηελ Αζθάιεηα Γηθηύσλ θαη Πιεξνθνξηώλ (ENISA) εμέδσζε αλαθνξά ζηελ νπνία παξαζέηεη ηα βαζηθφηεξα[43] ζεκεία πνπ ζα πξέπεη λα πξνζέμνπλ νη ρξήζηεο ησλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο, θαη παξάιιεια πξνηείλεη πνιηηηθέο πνπ πξέπεη λα αθνινπζεζνχλ απφ ηνπο αξκφδηνπο θνξείο γηα ηελ αληηκεηψπηζή ηνπο. Σα ζεκαληηθφηεξα είλαη: Φεθηαθνί θάθεινη πξνζσπηθώλ δεδνκέλσλ: Σα ειεθηξνληθά πξνθίι ζηηο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο κπνξνχλ λα απνζεθεπηνχλ απφ ηξίηνπο θαη λα απνηειέζνπλ κέξνο ςεθηαθψλ θαθέισλ πξνζσπηθψλ δεδνκέλσλ. Μάιηζηα, θάπνηεο πξνζσπηθέο πιεξνθνξίεο κπνξνχλ λα ζπιιερζνχλ κέζσ κηαο απιήο αλαδήηεζεο, εθηφο θαη αλ νη ρξήζηεο αιιάμνπλ ηηο πξνεπηιεγκέλεο ξπζκίζεηο αζθάιεηαο ζην πξνθίι ηνπο. Γεπηεξεύνληα δεδνκέλα: Δθηφο ησλ πιεξνθνξηψλ ηηο νπνίεο νη ρξήζηεο αλαξηνχλ κε ηε ζέιεζή ηνπο, ηα κέιε ηέηνηνπ είδνπο ηζηνζειίδσλ απνθαιχπηνπλ απηφκαηα δεπηεξεχνληα ζηνηρεία, ηα νπνία αθνξνχλ ηνλ ηξφπν πνπ ρξεζηκνπνηνχλ ηηο πξνζθεξφκελεο ππεξεζίεο: π.ρ. ηε ρξνληθή δηάξθεηα κηαο επηθνηλσλίαο, ηηο επηζθέςεηο ζε πξνθίι άιισλ ρξεζηψλ θαη ηα κελχκαηα πνπ έρνπλ απνζηαιεί κέζσ ηνπ δηθηχνπ. ηηο πνιηηηθέο απνξξήηνπ γλσζηψλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο πνπ επηζθέθζεθε ν Διιεληθφο Κφκβνο Αζθαινχο Γηαδηθηχνπ, παξαηεξείηαη φηη δελ δηεπθξηλίδεηαη επαξθψο πνηνο κπνξεί λα έρεη πξφζβαζε ζηα δεδνκέλα απηά θαη δελ είλαη ζαθψο θαζνξηζκέλν ηη απνηειεί πξνζσπηθφ δεδνκέλν θαη ηη φρη. Σα δεδνκέλα απηά είλαη πνιχ πηζαλφ λα ρξεζηκνπνηεζνχλ γηα ηελ απφθηεζε νηθνλνκηθνχ νθέινπο απφ ηελ κεηαπψιεζή ηνπο ζε ηξίηνπο. Αλαγλώξηζε πξνζώπνπ: Οη θσηνγξαθίεο πνπ ρξεζηκνπνηνχληαη ζηα εηθνληθά πξνθίι απνηεινχλ κηα ςεθηαθή ηαπηφηεηα ηνπ εθάζηνηε ρξήζηε. Μέζσ ησλ πξνεγκέλσλ ηερλνινγηψλ αλαγλψξηζεο 100
πξνζψπνπ (face recognition) κπνξνχλ απηέο νη θσηνγξαθίεο λα ζπλδεζνχλ κε πιεξνθνξίεο απφ άιινπο ηζηνρψξνπο θαη ππεξεζίεο, φπνπ ν ίδηνο ρξήζηεο έρεη δεκνζηεχζεη άιια ζηνηρεία ηνπ, νδεγψληαο ηειηθά ζηελ ζπιινγή πνιχ πεξηζζφηεξσλ πξνζσπηθψλ δεδνκέλσλ γηα ηνλ ρξήζηε απφ φηη ν ίδηνο είρε ζην κπαιφ ηνπ λα απνθαιχςεη κέζα απφ ηελ θνηλσληθή δηθηχσζε. Δληνπηζκόο ζην θπζηθό θόζκν: Μέζσ λέσλ ηερλνινγηθψλ επηηεπγκάησλ, απφ ηηο θσηνγξαθίεο πνπ δεκνζηεχνληαη είλαη δπλαηή ε άληιεζε δεδνκέλσλ πνπ παξαπέκπνπλ ζηνλ εληνπηζκφ ηνπ ρξήζηε ζηνλ πξαγκαηηθφ θφζκν (φπσο γηα παξάδεηγκα κηα θσηνγξαθία κπξνζηά απφ ην ζπίηη ηνπ). Οη ρξήζηεο δελ αληηιακβάλνληαη ζπρλά πφζν ζεκαληηθφ είλαη λα κε δεκνζηεχνπλ θσηνγξαθίεο φπνπ ε ηνπνζεζία γίλεηαη εχθνια αληηιεπηή. Μεηαδεδνκέλα: Πνιιέο πιαηθφξκεο θνηλσληθήο δηθηχσζεο δίλνπλ ηε δπλαηφηεηα ζηνπο ρξήζηεο ηνπο λα καξθάξνπλ κε κεηαδεδνκέλα (ηα ιεγφκελα metadata) ηηο θσηνγξαθίεο ηνπο. Σα κεηαδεδνκέλα κπνξνχλ λα είλαη ζχλδεζκνη ζε πξνθίι ή δηεπζχλζεηο E-mail. Απηφ ελέρεη θηλδχλνπο γηα αλεπηζχκεηε δηαζχλδεζε ησλ θσηνγξαθηψλ κε πξνζσπηθά δεδνκέλα. Αθφκα θαη αλ νη ρξήζηεο ηεξνχλ ηα κέηξα αζθάιεηαο ζε φηη αθνξά ηηο πξνζσπηθέο ηνπο θσηνγξαθίεο, νη ηζηνζειίδεο θνηλσληθήο δηθηχσζεο δίλνπλ ηε δπλαηφηεηα ζηνπο ρξήζηεο ηνπο λα καξθάξνπλ ηηο θσηνγξαθίεο άιισλ ρξεζηψλ, κάιηζηα φρη πάληα κε ηελ ζπλαίλεζή ηνπο. Δπηπιένλ, αξθεηέο θσηνγξαθίεο πεξηιακβάλνπλ δεδνκέλα, φπσο ηνλ ζεηξηαθφ αξηζκφ ηεο θσηνγξαθηθήο κεραλήο, θάηη πνπ κπνξεί λα απνηειέζεη απεηιή πξνο ηελ ηδησηηθή δσή ηνπ ρξήζηε. Αδπλακία πιήξνπο δηαγξαθήο ηνπ πξνθίι: Οη ρξήζηεο πνπ επηζπκνχλ λα δηαγξάςνπλ ην ινγαξηαζκφ ηνπο απφ κηα ηζηνζειίδα θνηλσληθήο δηθηχσζεο δελ κπνξνχλ λα δηαγξάςνπλ ηηο 101
δεπηεξεχνπζεο πιεξνθνξίεο πνπ ζπλδένληαη κε ην πξνθίι ηνπο, φπσο ηα δεκφζηα ζρφιηα. Social Networking Spam: Δίλαη έλα πνιχ δηαδεδνκέλν θαηλφκελν. Αλεπηζχκεηα κελχκαηα πξνσζνχληαη ζηνπο ρξήζηεο κέζσ ησλ εθαξκνγψλ πνπ πξνζθέξνληαη ζηηο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο. Γηα παξάδεηγκα, ππάξρνπλ κεραληζκνί πνπ απνζηέιινπλ καδηθά ζηνπο ρξήζηεο αίηεκα γηα λα ηνπο εληάμνπλ ζηνπο «θίινπο» ηνπο, ψζηε λα έρνπλ δηθαίσκα αλάξηεζεο ζρνιίσλ ζην πξνθίι ηνπο. Σα ζρφιηα απηά ζπρλά έρνπλ δηαθεκηζηηθφ πεξηερφκελν ή απνηεινχλ ζπλδέζκνπο πξνο ηζηνζειίδεο κε πνξλνγξαθηθφ πεξηερφκελν. Social Networking phishing: Ζ χπαξμε πξνζσπηθψλ πξνθίι θαη εηθνληθψλ «θηιηθψλ θχθισλ» πνπ δελ έρνπλ πεξηνξίζεη ηελ πξφζβαζε ηξίησλ θαη είλαη πνιχ εχθνια πξνζβάζηκα ζηνπο ηζηνρψξνπο θνηλσληθήο δηθηχσζεο, επλνεί ηελ άληιεζε πνιιψλ έγθπξσλ πξνζσπηθψλ δεδνκέλσλ θαη πιεξνθνξηψλ απφ επηηήδεηνπο νη νπνίνη ηα ρξεζηκνπνηνχλ γηα εμεηδηθεπκέλε επίζεζε phishing. Ζ επηηπρία ηεο κεζφδνπ είλαη κεγάιε. ε πξφζθαην πείξακα πνπ πξαγκαηνπνηήζεθε ζηηο Ζλσκέλεο Πνιηηείεο, ην 70% φζσλ έιαβαλ εμαηνκηθεπκέλν παξαπιαλεηηθφ κήλπκα πάηεζε ην ζχλδεζκν πνπ πεξηέρνληαλ ζε απηφ θαη ζπκπιήξσζε ηα ζηνηρεία ηνπ ζε εηθνληθή ηζηνζειίδα. Παξελόριεζε: Οη επηηήδεηνη έρνπλ ηε δπλαηφηεηα λα επηθνηλσλνχλ επαλεηιεκκέλα κε ηα ελ δπλάκεη ζχκαηά ηνπο κε ηα ειεθηξνληθά κέζα πνπ ηνπο πξνζθέξνληαη κέζα απφ ηηο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο. Πνιιέο απφ ηηο εθαξκνγέο πνπ θηινμελνχλ απηέο νη πιαηθφξκεο ελδέρεηαη λα δηεπθνιχλνπλ πεξηζηαηηθά παξελφριεζεο. Ζ απεηιή ηεο θινπήο ηαπηφηεηαο είλαη επίζεο 102
ηδηαίηεξα ζεκαληηθή: ςεχηηθα πξνθίι δεκηνπξγνχληαη κε ζθνπφ ηελ πξνζβνιή θαη ηνλ εμεπηειηζκφ άιισλ αηφκσλ. Αθφκε, δεκηνπξγνχληαη πξνθίι πνπ ρξεζηκνπνηνχλ νλφκαηα γλσζηψλ εηαηξεηψλ ή πξνζσπηθνηήησλ κε ζθνπφ ηελ απφθηεζε θέξδνπο απφ ηελ εθκεηάιιεπζε ηεο θήκεο ηνπο. Βιαβεξό Λνγηζκηθό: Οη ηζηνζειίδεο θνηλσληθήο δηθηχσζεο πεξηιακβάλνπλ κηθξέο εθαξκνγέο «widgets», νη δεκηνπξγνί ησλ νπνίσλ δελ έρνπλ πάληα επαξθείο πηζηνπνηήζεηο. ε ηέηνηα πεξίπησζε, απηέο νη εθαξκνγέο ελδέρεηαη λα πεξηέρνπλ θαθφβνπιν ινγηζκηθφ, ηνχο θαη ζθνπιήθηα. 9.2 Δλέξγεηεο γηα ηελ αζθάιεηα ησλ ρξεζηψλ Ο ENISA πξνηείλεη ηελ αλάιεςε δξάζεσλ απφ κέξνπο ησλ αξκφδησλ θνξέσλ, έηζη ψζηε λα θαηαζηεί πην αζθαιήο ε ρξήζε ησλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο: Αλαζεψξεζε θαη εθ λένπ εξκελεία ηνπ λνκνζεηηθνχ πιαηζίνπ: ε θνηλσληθή δηθηχσζε είλαη έλα πνιχ πξφζθαην θαηλφκελν θαη δελ έρεη ιεθζεί ππφςε ζηε ζχληαμε ησλ ηζρπνπζψλ λνκνζεζηψλ, εηδηθφηεξα ζε φηη αθνξά ηνπο λφκνπο πεξί πξνζηαζίαο πξνζσπηθψλ δεδνκέλσλ. Μεγαιχηεξε δηαθάλεηα ζηηο πξαθηηθέο δηαρείξηζεο ησλ πξνζσπηθψλ δεδνκέλσλ απφ κέξνπο ησλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο. Αλάιεςε πξσηνβνπιηψλ κε ζθνπφ ηελ επαγξχπλεζε θαη ηελ εθπαίδεπζε: εθζηξαηείεο ελεκέξσζεο ζε καζεηέο θαη εθπαηδεπηηθνχο. Απνζάξξπλζε ηεο απαγφξεπζεο ρξήζεο ησλ ηζηνζειίδσλ 103
θνηλσληθήο δηθηχσζεο ζηα ζρνιεία. Αληηζέησο, πξνηείλεηαη ε ελζάξξπλζε ηεο ρξήζεο ηνπο ζην ζρνιηθφ πεξηβάιινλ κε ζθνπφ ηελ εμνηθείσζε καζεηψλ θαη εθπαηδεπηηθψλ κε ηελ αζθαιή ρξήζε ησλ ηζηνζειίδσλ απηψλ. πκβνπιέο γηα αζθαιή ρξήζε ησλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο. Λακβάλνληαο ππφςε ηνπ ηελ πνιχ ελδηαθέξνπζα έξεπλα πνπ έθεξε ζην θσο ν ENISA, ν Διιεληθόο Κόκβνο Αζθαινύο Γηαδηθηύνπ παξαζέηεη ρξήζηκεο ζπκβνπιέο γηα ηελ αζθαιή ρξήζε ησλ ηζηνζειίδσλ θνηλσληθήο δηθηχσζεο. Έηζη ζα κπνξνχλ κηθξνί θαη κεγάινη λα απνιακβάλνπλ ηελ λέα αγαπεκέλε ηνπο ελαζρφιεζε κε κεγαιχηεξε αζθάιεηα, απνθεχγνληαο ηνπο θηλδχλνπο: Γελ ζα πξέπεη λα δίλεηε ζε θαλέλαλ ηνλ θσδηθφ πξφζβαζεο ζην εηθνληθφ πξνθίι ζαο. Όπνηνο απνθηά πξφζβαζε ζην πξνθίι ζαο κπνξεί λα δηαρεηξηζηεί πιήξσο ηα δεδνκέλα πνπ εκθαλίδνληαη ζε απηφ. Πξηλ εγγξαθείηε ζε κηα ηζηνζειίδα θνηλσληθήο δηθηχσζεο, αλαδεηήζηε ηε δήισζε πεξί απνξξήηνπ θαη θαηαλνήζηε πιήξσο κε πνηνλ ηξφπν ζα ρξεζηκνπνηνχληαη απφ ηελ Iζηνζειίδα ηα πξνζσπηθά ζαο δεδνκέλα. Μελ αλεβάδεηε ζην πξνθίι ζαο θσηνγξαθίεο φπνπ θαίλεηαη θαζαξά ε ηνπνζεζία ζηελ νπνία βξίζθεζηε, εηδηθφηεξα αλ πξφθεηηαη γηα ην ζπίηη ζαο, ην ζρνιείν ή κέξε πνπ ζπρλάδεηε. Έηζη ζα κεηψζεηε ηηο πηζαλφηεηεο εληνπηζκνχ ζαο ζηνλ θπζηθφ θφζκν. Αλ δερζείηε έλα πξνζβιεηηθφ ή αλεπηζχκεην κήλπκα, ρξεζηκνπνηήζηε ηελ ελζσκαησκέλε κέζνδν θαηαγγειηψλ ηεο ηζηνζειίδαο θνηλσληθήο δηθηχσζεο πνπ ρξεζηκνπνηείηε. πλήζσο αλαθέξεηαη κε ηε ιέμε «report». 104
Να έρεηε πάληα ππφςε ζαο φηη νη πιεξνθνξίεο πνπ δεκνζηεχεηε ζηηο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο είλαη δεκφζηα πξνζπειάζηκεο, επνκέλσο, θαιφ ζα ήηαλ λα κε δεκνζηεχεηε ζηνηρεία θαη θσηνγξαθίεο πνπ ζα ζαο έθεξλαλ ζε δχζθνιε ζέζε. Αθφκα θαη φηαλ δηαγξάςεηε ην πξνθίι ζαο πνιιέο πιεξνθνξίεο δελ αθαηξνχληαη θαη ελδέρεηαη επίζεο λα ηηο ζπλαληήζεηε θαη αιινχ ζην Γηαδίθηπν. Να γλσξίδεηε φηη απφ ηε ζηηγκή πνπ πξνζζέηεηε ζηε ιίζηα ησλ θίισλ ζαο θάπνην άηνκν (απνδνρή friend request), απηφ απνθηά πξφζβαζε ζηα πξνζσπηθά δεδνκέλα πνπ εκθαλίδνληαη ζην πξνθίι ζαο, κεηαμχ ησλ νπνίσλ νη θσηνγξαθίεο θαη ηα ζηνηρεία επηθνηλσλίαο ζαο. Απφ ηε ζηηγκή πνπ δεκηνπξγείηε ην εηθνληθφ ζαο πξνθίι, ζα πξέπεη λα πάηε ζην κελνχ ησλ ξπζκίζεσλ γηα ηε δηαρείξηζε ησλ πξνζσπηθψλ ζαο δεδνκέλσλ (ζπλεζέζηεξα ζα ην βξείηε ζηα αγγιηθά σο privacy settings) θαη λα αιιάμεηε ηηο πξνεπηιεγκέλεο ξπζκίζεηο. ην κελνχ απηφ κπνξείηε κεηαμχ άιισλ: - Να επηιέμεηε αλ νη επηζθέπηεο ηνπ πξνθίι ζαο κπνξνχλ λα δνπλ αλ είζηε on-line ή φρη. - Να θαζνξίζεηε πνηνη ζα κπνξνχλ λα βιέπνπλ ην εηθνληθφ ζαο πξνθίι ή ζπγθεθξηκέλα ζηνηρεία πνπ πεξηιακβάλνληαη ζε απηφ (εκεξνκελία γέλλεζεο, θσηνγξαθία, θ.ά.). - Να κπινθάξεηε ηελ πξφζβαζε ζπγθεθξηκέλσλ αηφκσλ ζην πξνθίι ζαο. - Να ξπζκίζεηε απφ πνηνπο ρξήζηεο κπνξείηε λα ιακβάλεηε πξνζσπηθά κελχκαηα θαη ζρφιηα. - Να ξπζκίζεηε αλ ζα εκθαλίδεηαη ην πξνθίι ζαο ζηα απνηειέζκαηα αλαδήηεζεο κέζσ ηεο Ηζηνζειίδαο θαζψο θαη ηε κνξθή πνπ ζα έρεη (αλ ζα θαίλεηαη ε θσηνγξαθία, ηα ζηνηρεία επηθνηλσλίαο, θ.ά.). 105
10. Πξνζηαζία από ηελ Κνηλσληθή Μεραληθή 10.1 Πνιηηηθέο Αζθαιείαο Ζ ππεξάζπηζε ελάληηα ζηνπο θνηλσληθνχο κεραληθνχο ζα πξέπεη λα απνηειεί κέξνο ηεο ζηξαηεγηθήο γηα ηελ άκπλα κηαο εηαηξείαο ή ελφο απινχ ρξήζηε. Μελ ππνζέζεηε πσο νη ρξήζηεο ζαο γλσξίδνπλ απηή ηελ απεηιή, θαη πσο δελ ζα δψζνπλ ζε αγλψζηνπο ηνπο θσδηθνχο πξφζβαζεο. Δάλ δελ ππάξρνπλ ξεηέο νδεγίεο, ν κέζνο ρξήζηεο εξγαδφκελνο δελ έρεη θαλέλα ιφγν ζην λα ακθηζβεηήζεη θάπνηνλ πνπ θαίλεηαη λα έρεη ιφγν λα δεηήζεη ηνλ θσδηθφ ηνπο. Αθφκα θαη κέιε αζθαιείαο είλαη πηζαλφ λα δίζηαδαλ λα δεηήζνπλ απφδεημε ηαπηφηεηαο απφ θάπνην νξγηζκέλν πξφζσπν πνπ ηζρπξίδεηαη φηη είλαη κέινο ηεο αλψηεξεο δηνίθεζεο. Ζ πξνζηαζία ηνπ δηθηχνπ απφ επηζέζεηο ηχπνπ θνηλσληθήο κεραληθήο, πξψηα θαη θχξηα, ρξεηάδεηαη κηα ζεηξά απφ πνιηηηθέο αζθαιείαο πνπ ζα θαζνξίδεη ηνπο ιφγνπο θαη ηηο δηαδηθαζίεο γηα ηελ αληηκεηψπηζε απηνχ ηνπ ηχπνπ ησλ επηζέζεσλ. 106
Πέξα απφ ηελ πνιηηηθή αζθαιείαο, ζα πξέπεη λα γίλεη θαη ζσζηή ρξήζε αιιά θαη ελεκέξσζε. Πξνθεηκέλνπ λα είλαη απνηειεζκαηηθή: Όια ηα κέιε ηεο δηνίθεζεο πξέπεη λα ζπκθσλνχλ κε ηηο πνιηηηθέο θαη λα θαηαλνήζνπλ ηελ αλάγθε λα απνδεηθλχνπλ ηελ ηαπηφηεηά ηνπο θαηά ηελ ππνβνιή αηηήζεσλ γηα ηνπο θσδηθνχο πξφζβαζεο θ.η.ι.. Οη πνιηηηθέο αζθαιείαο πξέπεη λα δηαδνζνχλ ζε φινπο ηνπο ρξήζηεο ηνπ δηθηχνπ, κε ηελ εθπαίδεπζε θαη ηελ θαηάξηηζε πνπ παξέρεηαη σο πξνο ην γηαηί ε ζπκκφξθσζε είλαη απαξαίηεηε. Θα πξέπεη ξεηψο λα νξίδνληαη νη ζπλέπεηεο γηα ηελ παξαβίαζε ηεο πνιηηηθήο αζθαιείαο. Ζ πνιηηηθή αζθαιείαο[44] ζα πξέπεη λα είλαη ζπγθεθξηκέλε θαη ζα πξέπεη λα αληηκεησπίδεη δεηήκαηα φπσο: Ηζρπξέο πνιηηηθέο θσδηθνχ πξφζβαζεο: ειάρηζην κήθνο θαη πνιππινθφηεηα ησλ θσδηθψλ, ε απαίηεζε ζην λα γίλεηαη αιιαγή ησλ θσδηθψλ ζε ζπγθεθξηκέλα ρξνληθά δηαζηήκαηα, απαγφξεπζε ιέμεσλ απφ ην ιεμηθφ, θ.η.ι.. Απαγφξεπζε γηα ηελ απνθάιπςε ησλ θσδηθψλ πξφζβαζεο, ζηελ νπνία ζα ππάξρεη ζπγθεθξηκέλε δηαδηθαζία πνπ ζα αθνινπζείηαη, εάλ θάπνηνο δεηήζεη ηελ απνθάιπςε ησλ θσδηθψλ πξφζβαζεο. Σελ πξνυπφζεζε φηη νη ρξήζηεο απνζπλδένληαη ή ρξεζηκνπνηνχλ πξνζηαζία κε θσδηθφ πξφζβαζεο φηαλ ζα βξίζθνληαη καθξηά απφ ηνλ ππνινγηζηή, νδεγίεο ζρεηηθά κε ηελ εμαζθάιηζε φηη θαλείο άιινο δελ θνηηά ην πιεθηξνιφγην φηαλ πιεθηξνινγνχλ θσδηθνχο πξφζβαζεο θ.η.ι. Πνιηηηθέο πνπ δηέπνπλ ηελ θαηαζηξνθή (θαηαηεκαρηζκφο, θαχζε θ.η.ι.) ησλ εγγξάθσλ, ζθιεξψλ δίζθσλ θαη άιισλ κέζσλ πνπ δηαζέηνπλ πιεξνθνξίεο πνπ θάπνηνο ζα κπνξνχζε λα ρξεζηκνπνηήζεη γηα λα παξαβηάζεη ηελ αζθάιεηα. 107
10.2 Γέθα Πξάγκαηα πνπ Πξέπεη λα Καιχπηεη ε Πνιηηηθή Αζθαιείαο γηα ηελ Κνηλσληθή Γηθηχσζε Όηαλ ην μεθίλεζε ην θαηλφκελν ηεο θνηλσληθήο δηθηχσζεο, πνιιέο επηρεηξήζεηο δελ αζρνιήζεθαλ κε ην ελ ιφγσ ζέκα, αιιά απιψο απαγφξεπζαλ κπιφθαξαλ ηελ δπλαηφηεηα επίζθεςεο ηέηνηνπ είδνπο ηζηνζειίδεο απφ ην δίθηπν ηεο εηαηξείαο. Όπσο ζηηο πξνζπάζεηεο ηεο θπβέξλεζεο ησλ Ζ.Π.Α. γηα ηελ απαγφξεπζε ηνπ αιθνφι ηε δεθαεηία ηνπ 1920, έηζη θαη απηά ηα κέηξα πνπ πήξαλ νη εηαηξείεο, δελ ιεηηνχξγεζαλ ηφζν θαιά. Οη λένη ζήκεξα, έρνπλ κεγαιψζεη κε πξφζβαζε ζην δηαδίθηπν θαη πνιινί απφ απηνχο έρνπλ ηελ πξνζδνθία φηη ζα έρνπλ απηνχο ηνπο πφξνπο ζηε δηάζεζή ηνπο θαη ζηνλ ρψξν εξγαζίαο. Αλ ηνπο ζηεξεζεί ε δπλαηφηεηα πξφζβαζεο ζηα θνηλσληθά δίθηπα (θαηά ηελ δηάξθεηα ηνπ δηαιείκκαηνο, θαθέ ή κεζεκεξηαλνχ) ν εξγαδφκελνο ηφηε ζα ζθαξθηζηεί θαη ζα βξεη έλαλ ηξφπν γηα λα απνθηήζεη πξφζβαζε. Δίλαη πξνηηκφηεξν ε εηαηξεία λα κεξηκλήζεη ψζηε λα παξέρεη ηελ δπλαηφηεηα πξφζβαζεο ζε ηέηνηνπ είδνπο ηζηνζειίδεο, αιιά θαη ηαπηφρξνλα λα ζέζεη έλαλ έιεγρν, κία πνιηηηθή πξνζηαζίαο, γηα ην εηαηξηθφ ηεο δίθηπν. Υξεηάδεηαη ινηπφλ, κηα πνιηηηθή αζθαιείαο γηα ηελ ρξήζε ησλ ππνινγηζηψλ ηεο θαη ηελ πξφζβαζε ζε θνηλσληθά δίθηπα ή θαη γεληθά ην δηαδίθηπν, πνπ ξεηψο ζα νξίδεη ηη επηηξέπεηαη θαη ηη φρη, ηφζν ζην εζσηεξηθφ δίθηπν ηεο εηαηξείαο φζν θαη ζην δηαδίθηπν. Παξαθάησ αθνινπζνχλ θάπνηεο ζπκβνπιέο γηα ην ηη ζα πξέπεη λα πεξηιακβάλεη ε πνιηηηθή πξνζηαζίαο[45] γηα ηελ πξφζβαζε ζε θνηλσληθά δίθηπα. 108
1. Ξεθάζαξε θηινζνθία ηεο εηαηξείαο. Γηα λα κπνξέζεη ε εηαηξεία λα αλαπηχμεη κηα πνιηηηθή αζθαιείαο, ζα πξέπεη λα θαζνξίζεη ηε ζπλνιηθή ζηάζε ηεο εηαηξείαο πξνο ηελ θνηλσληθή δηθηχσζε. Δίλαη θάηη πνπ ζεσξείηαη φηη είλαη κηα απζηεξά πξνζσπηθή δξαζηεξηφηεηα, ε νπνία ζα πξέπεη λα πεξηνξηζηεί ζε γεληθέο γξακκέο (φπσο π.ρ. θαη ηα πξνζσπηθά ηειεθσλήκαηα ή επηζθέςεηο απφ θίινπο) ζην δηάιεηκκα ή ζηηο ψξεο ηνπ κεζεκεξηαλνχ γεχκαηνο. Τπάξρεη θαη ε άιιε φςε, πνπ ζα κπνξεί ε εηαηξεία λα ελδηαθέξεηαη γηα ηελ ελζάξξπλζε ησλ εξγαδνκέλσλ λα ρξεζηκνπνηνχλ ηελ θνηλσληθή δηθηχσζε γηα επαγγεικαηηθνχο ζθνπνχο θαη ζην νπνίν ζα ελζσκαηψλεηαη ζην ρξφλν εξγαζίαο ηνπο. Μεξηθέο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο, φπσο ην MySpace, είλαη θπξίσο γηα πξνζσπηθή θνηλσληθνπνίεζε. Οξηζκέλεο άιιεο, φπσο ην Linkedln, είλαη θαζαξά γηα επαγγεικαηηθνχο ιφγνπο. Όκσο άιιεο ηζηνζειίδεο, φπσο ην Facebook θαη ην Twitter, θπκαίλνληαη θάπνπ ζηελ κέζε, θη έηζη ρξεζηκνπνηνχληαη απφ πνιινχο, θαη γηα ηνπο δχν ζθνπνχο. 2. Ο νξηζκφο ηεο «Κνηλσληθήο Γηθηχσζεο» Μπνξεί λα θαίλεηαη πξνθαλέο, αιιά είλαη ζεκαληηθφ φηη ε πνιηηηθή αζθαιείαο ζα πξέπεη λα νξίδεη ηη ζεκαίλεη «θνηλσληθή δηθηχσζε», δεδνκέλνπ φηη ν φξνο κπνξεί λα ζεκαίλεη δηαθνξεηηθά πξάγκαηα ζε δηαθνξεηηθνχο αλζξψπνπο. Ο θαζέλαο μέξεη πσο ην Facebook είλαη κηα ηζηνζειίδα θνηλσληθήο δηθηχσζεο, αιιά ηη γίλεηαη κε ην Flickr (ηζηνζειίδα θσηνγξαθίαο), ην Indaba (ηζηνζειίδα κνπζηθψλ) ή ην LiveJournal (ηζηνζειίδα blogging); Έηζη κπνξεί λα δεκηνπξγεζεί κία θφξκα πνπ ζα ζπκπιεξψλνπλ νη εξγαδφκελνη, κε δηάθνξα εξσηήκαηα φπσο π.ρ. πνηεο ηζηνζειίδεο ζεσξνχλ θνηλσληθά δίθηπα, ή ηελ ρξήζε ηνπο γηα ην δηαδίθηπν. Απφ εθεί ζα κπνξέζνπλ λα πάξνπλ πιεξνθνξίεο θαη λα ζεζπίζνπλ κηα πνιηηηθή αζθαιείαο γηα ην δηαδίθηπν, πνπ ζα ηαηξηάδεη ζηνπο εξγαδνκέλνπο ηεο εηαηξείαο. 109
εηαηξείαο 3. Πξνζδηνξηζκφο ηνπ θαζελφο ππαιιήινπ, σο ππάιιειν ηεο ηελ πνιηηηθή αζθαιείαο ηεο εηαηξείαο, ζα πξέπεη λα θαηαζηεί ζαθέο θαηά πφζν νη εξγαδφκελνη έρνπλ ην δηθαίσκα λα απηνπξνζδηνξίδνληαη σο αληηπξφζσπνη ηεο εηαηξείαο. Οη πεξηζζφηεξεο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο έρνπλ πεδία ζην πξνθίι ηνπ ρξήζηε γηα ηνλ πξνζδηνξηζκφ ηεο εξγαζίαο, ηνλ ηίηιν εξγαζίαο θ.η.ι. Με ηνλ πξνζδηνξηζκφ ηνπ εαπηνχ ηνπ σο ππάιιεινο κηαο εηαηξείαο, κπνξεί λα έρεη αληίθηππν γηα ηελ εηθφλα ηεο εηαηξείαο ή λα ηε ζέζεη ζε θίλδπλν. Απφ ηελ άιιε, εάλ ν ζθνπφο είλαη ε δηαθήκηζε ηεο εηαηξείαο, ηφηε ζα πξέπεη λα έρεη εμνπζηνδφηεζε απφ ηελ εηαηξεία, ψζηε απηή λα είλαη ειεγρφκελε θη έηζη πην αζθαιήο. Έηζη κπνξεί λα απνθεπρζεί ην γεγνλφο φηη έλαο ππάιιεινο (πνπ δελ έρεη αξκνδηφηεηα ηελ πξνψζεζε ηεο εηαηξείαο κέζσ ησλ θνηλσληθψλ δηθηχσλ θαη ηνπ απαγνξεχεηαη λα ρξεζηκνπνηεί ην φλνκά ηεο ζην πξνθίι ηνπ) ε θνηλνπνίεζε κηαο ηδέαο άπνςεο ελφο εξγαδνκέλνπ ζε κηα εηαηξεία ζα κπνξεί λα είλαη πξνζσπηθή θαη δελ ζα αληηπξνζσπεχεη ηηο απφςεηο ηεο εηαηξείαο. 4. Ζ ζχζηαζε άιισλ Οξηζκέλεο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο πξνβιέπνπλ γηα ηα κέιε λα γξάςνπλ ζπζηάζεηο ή παξαπνκπέο γηα ηνπο θίινπο ηνπο. Αλ έλαο εξγαδφκελνο θάλεη απηφ σο εθπξφζσπνο ηεο εηαηξείαο, κπνξεί λα δψζεη ηελ εληχπσζε φηη ε εηαηξεία ππνζηεξίδεη ην άηνκν πνπ έρεη ζπζηαζεί. Θα κπνξνχζε λα δεκηνπξγεζεί κηα θαηάζηαζε επζχλεο εάλ θάπνηα άιιε εηαηξεία πξνζιάβεη ην ζπζηελφκελν άηνκν βάζεη ηεο ζχζηαζεο απηήο. Γηα ηνλ ιφγν απηφ, νξηζκέλεο εηαηξείεο απαγνξεχνπλ ζηνπο εξγαδφκελνχο ηεο ηέηνηνπ είδνπο ζπζηάζεηο ή παξαπνκπέο. εηαηξείαο 5. Αλαθνξά ζρεηηθά κε ηνπο πειάηεο θαη ηνπο ζπλεξγάηεο κηαο Ζ ζρέζε ηεο εηαηξείαο κε ηνπο πειάηεο θαη ηνπο ζπλεξγάηεο ηεο είλαη ζεκαληηθή, θαη ζα κπνξνχζε λα ππνζηεί βιάβε κέζσ ελφο αιφγηζηνπ ζρνιίνπ απφ θάπνηνλ ππάιιειν. Αθφκε θαη κηα ζεηηθή αλαθνξά ζα κπνξνχζε λα εληνπηζηεί απφ θάπνηνλ αληαγσληζηή θαη λα ρξεζηκνπνηεζεί εηο βάξνο ηεο εηαηξείαο. Έηζη, ζηελ 110
πνιηηηθή αζθαιείαο γηα ηα θνηλσληθά δίθηπα, ζα πξέπεη λα θαηαζηεί ζαθέο φηη νη εξγαδφκελνη δελ κπνξνχλ λα θάλνπλ αλαθνξά ζε ηπρφλ πειάηεο ή ζπλεξγάηεο, ρσξίο ξεηή άδεηα γηα λα ην πξάμνπλ. 6. Δκπηζηεπηηθέο πιεξνθνξίεο Αθφκα θη αλ ππάξρεη άιιε πνιηηηθή πνπ λα θαιχπηεη ηε δηάδνζε εκπηζηεπηηθψλ πιεξνθνξηψλ ηεο εηαηξείαο, ην εκπνξηθφ απφξξεην θ.η.ι., ε πνιηηηθή αζθαιείαο γηα ην δηαδίθηπν ζα πξέπεη κα επαλαιακβάλεη απηέο ηηο πνιηηηθέο θαη λα παξάζρεη ζπγθεθξηκέλα παξαδείγκαηα πνπ έρνπλ ζρέζε κε δηθηπαθνχο ηφπνπο θνηλσληθήο δηθηχσζεο. Δπεηδή ε θνηλσληθή δηθηχσζε ησλ επηθνηλσληψλ είλαη θάπσο αλεπίζεκε, είλαη εχθνιν γηα ηνπο ππαιιήινπο λα παξαζπξζνχλ θαη λα δηαξξένπλ εκπηζηεπηηθέο πιεξνθνξίεο. Οη ηζηνζειίδεο θνηλσληθήο δηθηχσζεο έρνπλ δηαθνξεηηθά επίπεδα αζθαιείαο θαη είλαη επάισηεο ζε παξαβηάζεηο αζθαιείαο. Ζ πνιηηηθή ηεο εηαηξείαο ζα πξέπεη λα θαζηζηά ζαθέο φηη νη επαίζζεηεο πιεξνθνξίεο δελ πξφθεηηαη λα ζπδεηεζνχλ ή λα αλαθεξζνχλ ζε ηέηνηεο ηνπνζεζίεο, αθφκε θαη ζε πξνζσπηθά κελχκαηα κεηαμχ ησλ κειψλ ηεο ηζηνζειίδαο πνπ έρνπλ εμνπζηνδνηεκέλε πξφζβαζε ζηηο πιεξνθνξίεο. Μπνξεί λα γίλεη θαη αλαθνξά ζε παξαδείγκαηα ησλ πιεξνθνξηψλ πνπ ε εηαηξεία ζεσξεί επαίζζεηα δεδνκέλα, φπσο νηθνλνκηθά ζηνηρεία ηεο εηαηξείαο, ηεο πλεπκαηηθήο ηδηνθηεζίαο, πιεξνθνξίεο γηα ηνπο πειάηεο θ.η.ι. 7. Όξνη ρξήζεο ησλ ππεξεζηψλ Οη πεξηζζφηεξεο ηζηνζειίδεο θνηλσληθήο δηθηχσζεο απαηηνχλ απφ ηνπο ρξήζηεο, φηαλ ππνγξάθνπλ ηνπο φξνπο ρξήζεο, λα ζπκθσλήζνπλ λα ζπκκνξθσζνχλ κε ηνπο φξνπο ηεο ππεξεζίαο. Ζ πνιηηηθή αζθαιείαο ζα πξέπεη λα θαζηζηά ζηνπο ππαιιήινπο φηη είλαη ππεχζπλνη γηα ηελ αλάγλσζε θαη ηήξεζε απηψλ ησλ φξσλ. Έηζη ζηελ πνιηηηθή ηεο εηαηξείαο ζα πξέπεη λα κελ πεξηέρνληαη φξνη πνπ έξρνληαη ζε αληίζεζε κε ηνπο φξνπο ησλ ηζηνζειίδσλ. Γηα παξάδεηγκα, νη πεξηζζφηεξεο ηζηνζειίδεο απαγνξεχνπλ ζηνπο ρξήζηεο λα δίλνπλ ςεχηηθα νλφκαηα ή άιιεο ιαλζαζκέλεο πιεξνθνξίεο, θη έηζη ζηελ πνιηηηθή ηεο εηαηξείαο δελ ζα πξέπεη λα απαηηείηαη ε ρξήζε ςεπδσλχκσλ θαηά ηελ ρξήζε απηψλ ησλ ηζηνζειίδσλ. 111
δεηήκαηα 8. Εεηήκαηα πλεπκαηηθήο ηδηνθηεζίαο θαη άιια λνκηθά Ζ πνιηηηθή αζθαιείαο ζα πξέπεη λα πεξηιακβάλεη φξνπο γηα ηελ ηήξεζε ηνπ δηθαίνπ φζνλ αθνξά ηα δηθαηψκαηα πλεπκαηηθήο ηδηνθηεζίαο. Απφζπαζε θάπνηνπ ιφγνπ ρσξίο άδεηα δελ επηηξέπεηαη. Δπίζεο ζα πξέπεη λα πεξηιακβάλνληαη φξνη γηα ηελ ζπθνθαληηθή δπζθήκηζε ηεο εηαηξείαο αιιά θαη πξνο ηξίηα πξφζσπα. Γπζθεκηζηηθέο δειψζεηο κπνξνχλ λα νδεγήζνπλ ζε αγσγέο θαηά ηνπ ζπληάθηε ηεο δήισζεο, θαη αλ απηφο είλαη ππάιιεινο ηεο εηαηξείαο, κπνξεί λα θέξεη θαθή δεκνζηφηεηα ζηελ εηαηξεία. 9. Δπηπηψζεηο ζηελ παξαγσγηθφηεηα Οη ηζηνζειίδεο θνηλσληθήο δηθηχσζεο κπνξεί λα είλαη θαιά εξγαιεία γηα ηελ αλάπηπμε επηρεηξεκαηηθψλ ζρέζεσλ, αιιά κπνξνχλ επίζεο λα κεηαηξαπνχλ ζε ζπαηάιε ηνπ ρξφλνπ εξγαζίαο. Δίλαη εχθνιν λα θαζνξηζηνχλ θαλφλεο γηα θαζαξά πξνζσπηθή ρξήζε ησλ ηζηνζειίδσλ, αιιά είλαη πην δχζθνιν θαζνξηζηνχλ απηνί νη θαλφλεο φηαλ πξφθεηηαη γηα επηρεηξήζεηο πνπ ζρεηίδνληαη κε ηε δηθηχσζε. Δίλαη ζεκαληηθφ λα θαζνξηζηνχλ θαηεπζπληήξηεο γξακκέο θαη πξνηεξαηφηεηεο. Ζ πνιηηηθή αζθαιείαο έηζη ζα πξέπεη λα θαηαζηήζεη ζαθέο φηη νη θνηλσληθέο δξαζηεξηφηεηεο δελ πξέπεη λα παξαβιέπνπλ ηηο πξσηαξρηθέο επζχλεο ηεο ζέζεο εξγαζίαο ηνπ εξγαδνκέλνπ. 10. Πεηζαξρηθή αγσγή Ζ πνιηηηθή αζθαιείαο ηεο εηαηξείαο ζα πξέπεη λα πεξηιακβάλεη θαη ηηο ζπλέπεηεο γηα ηηο παξαβηάζεηο ησλ νξψλ ηεο. Θα πξέπεη λα παξνπζηάδεη αλαιπηηθά φηη ε παξαβίαζε ηεο πνιηηηθήο κπνξεί λα νδεγήζεη ζε πεηζαξρηθέο θπξψζεηο θαη αλαθνξά ησλ άιισλ πνιηηηθψλ ηεο εηαηξείαο πνπ ζα θαζνξίδνπλ ηελ δηαδηθαζία πξνζθπγψλ θαη άιιεο ζρεηηθέο πιεξνθνξίεο. 112
10.3 πκβνπιέο Αζθαιείαο Με ζπλδέεζηε ζε κε αζθαιείο ππνινγηζηέο Οη άλζξσπνη ρξεζηκνπνηνχλ ππνινγηζηέο ζε καγαδηά (internet cafe) γηα λα επηθνηλσλήζνπλ κε ηνπο θίινπο ηνπο, αιιά θαη γηα ηνλ έιεγρν ηνπ ειεθηξνληθνχ ηαρπδξνκείνπ ηνπο ή άιιεο ππεξεζίεο. Καιφ είλαη λα κελ θάλνπλ login ζηνπο ινγαξηαζκνχο ηνπο ζε ηέηνηα κέξε, παξά κφλν απφ ηνλ ππνινγηζηή ηνπ ζπηηηνχ ηνπο ή ηεο δνπιεηάο, θαζψο ν θσδηθφο πξφζβαζεο κπνξεί λα απνζεθεχεηαη ζηνλ ππνινγηζηή κέζσ πξνγξάκκαηνο ππνθινπήο keylogger. Με ρξεζηκνπνηείηε πνηέ αλαβαζκίζεηο πξνγξακκάησλ απφ κε επίζεκεο ζειίδεο. Γηαγξαθή φινπ ηνπ ηζηνξηθνχ, ζειίδεο πνπ επηζθέθζεθαλ, πξνζσξηλά αξρεία Μελ επαλαιακβάλεηε θσδηθνχο πξφζβαζεο Με ρξεζηκνπνηείηε θνηλνχο θσδηθνχο πξφζβαζεο ζε δηαθνξεηηθνχο ινγαξηαζκνχο, αιιά δηαθνξεηηθφ γηα θάζε έλαλ ινγαξηαζκφ. Με ρξεζηκνπνηείηε άγλσζηεο πξνέιεπζεο απνζεθεπηηθά κέζα. Σν 2006 δεκνζηεχηεθε κία κειέηε ζρεηηθά κε ηελ usb technic ζηνλ ηνκέα ηεο θνηλσληθήο κεραληθήο. Ζ βαζηθή ηερληθή είλαη πνιχ απιή: Ο θνηλσληθφο κεραληθφο αθήλεη έλα usb Disk ζε θάπνην εκθαλέο ζεκείν, ν νπνίνο πεξηέρεη θαθφβνπιν ινγηζκηθφ. Αλ θάπνηνο ηα ρξεζηκνπνηήζεη ζηνλ ππνινγηζηή ηεο εηαηξείαο, ε επίζεζε έρεη πεηχρεη. Ζ κέζνδνο απηή ζηεξίδεηαη ζην αλζξψπηλν ραξαθηεξηζηηθφ, ηελ πεξηέξγεηα. 113
Μελ έρεηε θσδηθνχο πξφζβαζεο γξακκέλνπο ζε εκθαλή ζεκεία θνληά ζηνλ ππνινγηζηή. Πνιινί άλζξσπνη γξάθνπλ ηνπο θσδηθνχο πξφζβαζεο ζε ραξηάθηα ηα νπνία θνιινχλ ζηελ νζφλε ηνπ ππνινγηζηή ηνπο, ή ηα αθήλνπλ πάλσ ζην γξαθείν ζε θνηλή ζέα. Απηφ είλαη επηθίλδπλν, δηφηη κπνξεί εχθνια θάπνηνο λα θιέςεη ηνπο θσδηθνχο απηνχο. Μελ αλαθέξεηε απφξξεηεο πιεξνθνξίεο ή θσδηθνχο κέζσ ηειεθψλνπ. Με ρξεζηκνπνηείηε εχθνινπο θσδηθνχο πξφζβαζεο φπσο θσδηθνχο πνπ πεξηέρνπλ θάπνην απφ ηα πξνζσπηθά ζαο ζηνηρεία (φλνκα, εκεξνκελία γέλλεζεο θ.η.ι..) θαη ιέμεηο πνπ κπνξνχλ εχθνια λα βξεζνχλ. Αθφκα θαιχηεξα, κελ ρξεζηκνπνηείηε ιέμεηο πνπ ππάξρνπλ ζην ιεμηθφ, δεκηνπξγήζηε λέεο ιέμεηο γηα θσδηθνχο. Μελ αλαθαηεχεηε απφξξεηα κε δεκφζηα έγγξαθα. 114