Factorul Uman

Atentie la ţepe!

Hotii se folosesc de o sumedenie de metode pentru a intra in posesia unui bun care nu le apartine. Forteaza usa de la intrare, intra pe geam sau fura in tramvai.

Hotii nu fura neaparat bunuri fizice, cum ar fi bani sau televizoare. Uneori fura informatii din computerele noastre. Deseori ii numim hackeri. Ei ne sparg firewall-ul (forteaza usa), ne afla parolele (intra pe geam), captureaza traficul (fura in tramvai).

Una din cele mai folosite metode pentru a afla parole sau pentru a avea access la informatie este asa numitul “deception” (termen original in lb. Engleza; rom: inselaciune, pacalire, impersonare, falsificare, aburire). In principiu, toate aceste metode exploateaza factorul uman, incearca sa se foloseasca de credibilitatea si naivitatea persoanelor neavizate.

Este cunoscut cazul in care primim un email de la o celebra banca prin care ni se cere sa ne verificam datele personale prin completarea unui formular in care apar si numarul contului, numarul cartii de credit etc. Evident este un fals, o minciuna. Adresa web unde este formularul nu este data in clar (desi in campul din browser se poate vedea adresa exacta) iar pagina web seamana foarte mult cu cea a bancii. Victima chiar crede ca banca are nevoie de date pentru a le verifica, completeaza formularul astfel trimitand numarul cartii de credit direct hotului.

Sunt la fel de celebre cazurile in care o persoana este sunata de un asa-zis reprezentant al serviciilor de clienti al unei companii si, sub pretextul unei interventii, afla date personale sau chiar PIN-uri, parole etc. Este ca si cum am da unui necunoscut cheile de la masina.

Imaginati-va urmatorul scenariu: Contabila firmei dumneavoastra primeste un telefon. La capatul celalalt al firului o voce masculina placuta se prezinta ca fiind inginerul de suport tehnic si astazi este randul contabilitatii pentru verificarile periodice ale imprimantelor; pentru asta are nevoie sa stie la ce ora poate interveni la contabilitate, la ce imprimanta tipareste, daca este alb-negru sau color, cate pagini tipareste in medie pe saptamana, cu ce username si cu ce parola tipareste etc. A doua zi intregul sistem contabil este pe butuci (noroc ca exista backup…). De obicei presupunem ca “am fost sparti” si inlocuim firewall-ul dar nu inainte sa-l dam afara pe administratorul de securitate (daca avem unul).

Povestea nu este fictiva! Chair s-a intamplat unei companii, de fapt exista mii de astfel de cazuri.

Se spune ca in orice rau exista un bine. Dupa aflarea adevarului (adevarul a iesit la iveala din intamplare abia dupa o luna) a fost luata decizia de a implementa un set de politici de securitate si de a investi in instruirea si educarea utilizatorilor (care nu este o investitie mare nici ca bani nici ca timp). Acum acea companie are o politica de securitate care include raportarea si investigarea incindentelor de securitate, definirea rolurilor si responsabilitatilor precum si un plan coerent de training. Chiar daca reactiv sau putin tardiv, acea organizatie a invatat din propriile greseli, si a minimizat riscul ca, prin deceptie, sa fie tinta unor alte atacuri.

Lectia invatata este ca tehnologia nu este singurul factor pentru o buna securitate. Utilizatorii care nu stiu cum sa procedeze in anumite situatii, sau care pot fi usor pacaliti reprezinta o bresa la fel de importanta ca un antivirus neactualizat.