nrk.no

Kunsten å hacke et menneske

Kategorier: Konferanser og messer & Sikkerhet

Illustrasjon: Mari Grafsrønningen/NRK

Jon Serpas sitter i en lydtett glassboks og ser over på en klokke. Den viser 23 minutter og 5 sekunder, og klokka går kontinuerlig nedover. Serpas har på seg et headset, og har nettopp fått Monica på tråden. Monica jobber med kundeservice for den amerikanske telegiganten Verizon Wireless, en bedrift med over 140 000 ansatte.

Social Engineer Village på DEFCON.
En deltaker sitter i det lydtette glassburet på DEFCON-konferansen.. Foto: Henrik Lied/NRK

“Jeg ringer fra Verizons hovedkontor i New Jersey, og du har blitt tilfeldig utvalgt til å svare på en spørreundersøkelse. Har du noen minutter?”, sier Jon Serpas til servicemedarbeideren.

Monica svarer at det sikkert går bra, og Serpas hopper inn:

– Flott. Noen av disse spørsmålene kommer kanskje til å høres merkelige ut, men det er bare fordi vi gjennomfører denne spørreundersøkelsen på et bredt utvalg ansatte. Så det er ikke sikkert at alle spørsmålene gjelder for deg. I så tilfelle går vi bare videre.

unlock

Serpas begynner med å stille Monica en rekke enkle spørsmål. “Hvor lenge har du jobbet for Verizon?”, “Jobber du fra 9-17, eller har du fleksibel arbeidstid?”, “Hvor mange pauser får du i løpet av dagen?”, “Har dere kantine i bygget, eller deler dere dette med andre?”. Monica svarer kort og konsist på alle spørsmålene, og Serpas formulerer seg med autoritet, og gir ikke Monica pusterom før han stiller neste.

Du forstår sikkert at Serpas egentlig ikke jobber for Verizon Wireless. Jon Serpas er en svært dyktig “social engineer”, eller informasjonseksfiltratør.

Social engineering handler om å utnytte det svakeste leddet i enhver sikkerhetskjede, nemlig menneskene. Ved å manipulere mennesker får man ofte ganske enkelt tilgang til fortrolig informasjon. Et viktig aspekt med social engineering er å forstå hvem du prater med, og hvordan bedriftskulturen og den interne sjargongen fungerer.

Serpas er ganske ny i spillet, og har jobbet mest med datateknisk sikkerhetstesting, men det er åpenbart ikke et hinder. Han bobler over av selvtillit.

Hvert år under hackerkonferansen DEFCON arrangeres konkurransen Social Engineer Capture the Flag, og det er denne Serpas deltar på. Foran hundrevis av tilskuere ringer konkurransens deltakere til ansatte i store amerikanske bedrifter. I år er det telegigantene AT&T, Verizon Wireless og Sprint som skal få gjennomgå.

-
Illustrasjon: Mari Grafsrønningen/NRK

“Capture the flag” er en konkurransegren hvor deltakerne kjemper om å fullføre en rekke forhåndsdefinerte kriterier, omtalt som flagg. Et flagg kan for eksempel være å få vite arbeidstiden til en ansatt. Dommerne vil i såfall tildele deltakeren et visst antall poeng. Noen biter informasjon er verdt mye, mens andre er verdt lite. Men det handler altså om å få tatt så mange flagg som mulig, og dermed ende opp med den høyeste poengsummen. Hver deltaker får 25 minutter på seg.

Serpas spør hvorvidt Monica har fått sikkerhetstrening det siste halvåret. Hun svarer bekreftende, det har de ved jevne mellomrom. “Så flott, godt å høre at vi fortsatt driver med det”, svarer Serpas mens forsamlingen humrer og ler.

Jon Serpas føler nå at han har fått Monica på glid, og begynner med de vesentlige spørsmålene:

– Nå kommer vi inn på noen litt mer tekniske spørsmål, Monica. Igjen, det er ikke sikkert at du kan svare på alle sammen, men det er helt greitt. Når du kommer på jobb, må du sjekke inn i lobbyen, eller bruker dere nøkkelkort for å få tilgang til kontoret?

Monica sier at de bare trenger å holde et nøkkelkort opp mot en leser, så kommer de inn i lokalet.

– Ok, så dere trenger ikke å skrive inn en kode?

– Nei, innenfor vanlig arbeidstid er det bare å holde kortet opp mot kodeleseren, sier Monica.

– Skjønner. Og vet du hvem som lager disse kortene? Kanskje du kan sjekke det for meg, står det et trebokstavers ord noe sted på kortet?

– Ja, det står GAO på ene siden, svarer Monica.

Klokka utenfor glassburet viser at Jon fortsatt har god tid på seg, og han har allerede klart å avdekke mye informasjon om Verizon-kontorets operasjonssikkerhet. Han vet at kortene fra GAO kortene er enkle å kopiere, og hvis han hadde ønsket å komme seg inn i bygningen, har han nå fått oppskriften. Men Jon vil ha mer:

– De neste spørsmålene er litt mer IT-spesifikke. Vet du hvilket operativsystem som er i bruk hos dere, er det Windows kanskje?, spør Serpas.

– Ja, jeg tror det er Windows vi bruker, svarer Monica.

– OK, flott, det var det jeg trodde. Så, har du tilgang til epost på datamaskinen din, Monica?

– Ja. Vi bruker Outlook, svarer hun.

Serpas begynner å rake inn en mengde poeng. Nå legger han inn støtet for å få det mest ettertraktede kriteriet: Å få Monica til å besøke en nettadresse han spesifiserer.

– Da har jeg fått det jeg trenger fra deg Monica, tusen takk for at du tok deg tid! Det er bare én siste ting jeg trenger, og det er at du besøker en nettside og fyller ut et skjema som gir oss litt informasjon om ansettelsesforholdet ditt. Har du muligheten til å gjøre det for meg?, spør Serpas.

– Ja, hva er adressen, spør Monica.

Serpas, dommerne og alle i salen gliser av begeistring. Å få Monica til å godta dette er det ultimate målet. Hadde Serpas hensikter vært ondere enn de faktisk er, kunne han gitt Monica adressen til en virusinfisert nettside. Da kunne Serpas potensielt sett infisert Monicas jobbmaskin, og i ytterste konsekvens få tilgang til hele Verizons datanett.

Innen tidsfristen har Serpas fått tilgang til utrolige mengder fortrolig informasjon, som for eksempel:

  • Hvilket firma som står for Verizons fysiske sikkerhet
  • At de benytter seg av Fedex for leveranse av pakker
  • At en god del nettsider er blokkert av Verizons IT-drift
  • Operativsystemet og versjonen som brukes av de ansatte
  • At HP er dataleverandøren
  • At de bruker Internet Explorer og Outlook
  • Hvordan man fysisk tar seg inn i bygningen
  • Hvilken dato de ansatte får utbetalt lønn
  • De ulike arbeidstidene til ansatte
  • Hvor kantina ligger, og hvilket firma som leverer kantinetjenestene
  • Når og hvor mange pauser de ansatte får

I det Jon Serpas legger på røret, begynner samtlige i salen å trampeklappe. Han var blant de beste deltakerne på årets konkurranse.

unlockd
Illustrasjon: Mari Grafsrønningen/NRK

Konkurransen er kontroversiell, og etter amerikansk lov er det strengt forbudt å ta opp både video og lyd i rommet. Blant oss i salen sitter flere statlige agenter. Først og fremst for å lære, men også for å rekruttere.

Arrangøren er Social Engineer Inc., en organisasjon som ønsker å sette fokus på at de fleste bedrifter har enormt dårlige sikkerhetsrutiner når det kommer til det menneskelige aspektet. I en verden hvor moderne datasystemer er godt sikret mot utvendige angrep, er det gjerne enklere å få tilgang via menneskene som sitter på innsiden.

Social Engineer Inc. har holdt denne konferansen på DEFCON de siste seks årene, og hvert år har de spurt alle de store amerikanske selskapene om de kunne tenke seg å stille frivillig som mål for konkurransen. Hittil har ingen sagt ja.

unlock

Norsk senter for informasjonssikkerhet (NorSIS) er et uavhengig organ som jobber for å fremme kunnskap om informasjonssikkerhet i norske bedrifter. Seniorrådgiver i NorSIS, Vidar Sandland, forteller at de ikke har gode tall på hvor mange slike angrep som skjer i Norge, men at det er en del bedrifter som blir oppringt av «noen fra Microsoft».

– For bedrifter er hovedhensikten å få vedkommende til å installere en «bakdør» til bedriften. For privatpersoner er det som oftest for å lure de for penger, eller å ta kontroll over det «virtuelle» livet deres, sier Sandland.

Sandland sier videre at de fleste angrepene ser ut til å komme fra utlandet. Fristelse, frykt og tillit er de vanligste følelsene de kriminelle spiller på når de forsøker å svindle deg:

– Fristelser kan typisk være tilbud om gratis programvare, spill eller lignende. Vanlig er også e-poster som oppgir at du har vunnet et stort pengebeløp.

– Med frykt forsøker svindleren å skremme deg til å gjøre noe, det kan for eksempel være varsler som dukker opp på skjermen når du surfer om at det er oppdaget virus på maskinen din. For å bli kvitt problemer må du installere et ” falskt” antivirusprogram, sier Sandland.

Men den mest problematiske taktikken spiller på tillit:

– Tillit er den vanskeligste å beskytte seg mot, da avsender ser ut til å være noen du kjenner eller noen du stoler på. Da er gjerne skepsisen borte. Hvis du opplever at noen spiller på en eller en kombinasjon av disse tre faktorene, samtidig som at de forsøker å få deg til å gjøre noe, trykke på en lenke, installere noe, eller gi ifra deg informasjon, så bør man være skeptisk, advarer Sandland.

Norske bedrifter har lite kunnskap om sosial manipulasjon. Sandland mener at dette er et problem:

– De fleste som har blitt utsatt for et målrettet angrep vil nok heller ikke skjønne at de ble utsatt for dette. Selv etter at informasjonen har kommet på avveie klarer de ikke å se sammenhengen.

– «Heldigvis» stoler vi på hverandre, og dette utnytter de som forsøker å manipulere oss. Hadde folk visst hvor enkelt det f.eks er å forfalske en avsenders SMS eller e-post hadde de kanskje ikke stolt like mye på disse.

17 kommentarer

  1. Folk flest ligger 8 år etter. Facebook – gøy! De færreste visste hva som egentlig skulle til for å få Facebook til å fungere i det hele tatt. Nerds hadde noe peiling. Mainstream visste ingenting, selvsagt. De vet fremdeles omtrent ingenting, det som gjelder er at det funker. Litt etter litt vil vi alle miste og/eller gi avkall på alt som heter privatliv.

    Svar på denne kommentaren

    • Johnny Olsen (svar til f43)

      Menneskehacking? Det er nok bare et tidsspørsmål..

      Snart vil superdatamaskiner kunne regne ut våre bevegelser før vi selv vet det. Absolutt alt kartlegges. Først av forskjellige aktører, før det samles inn av større aktører. Sikkerhet vs frykt vil effektivisere prosessen. Nasjoners elektroniske helseregistere er gull verdt for diverse mediahus, etteretning, nasjoner, organisasjoner, mm. Hackere og spioner vil ha tilgang før diverse andre, men på sikt blir det nok mappe på oss alle. Droner vil kunne overvåke enhver og vi vil kunne verdsettes økonomisk som sikkerhetsmessig. – «Borger nr 765747, du beveger deg nå mot et område du ikke er klarert for».. Chippen er allerede på forsøksstadiet i Sverige. NÅ KASTER SVENSKENE ADGANGSKORTET – Alt skal sprøytes under huden. abcnyheter.no/livet/2015/02/13/217775/na-kaster-svenskene-adgangskortet

      (NRK 2012) MICROCHIP UNDER HUDEN KAN BLI DITT NYE APOTEK – Det kan minne om science fiction, men det er realitet: Nå har det blitt utviklet en mikrochip som kan regulere og gi pasienter medisin ved å være plassert under huden. nrk.no/viten/apotek-under-huden-1.8000278

      Det er nok mye som kan blandes da.. Spooky!

      Men det slutter ikke der.. NÅ KAN DE SNART LESE TANKENE DINE – Nei, det er ikke sci-fi, men forskning som kan revolusjonere livet til de stumme. (det var den positive siden av det..) dagbladet.no/2012/02/01/nyheter/forskning/hjernen/tanker/sprak/20030121/

    • Den dagen jeg har blitt så dement at jeg ikke aner hva som blir gjort med det som en gang var min kropp, da kan de gjøre akkurat som de vil med restene av den.

      Men inntil den dagen står jeg imot så langt jeg kan. Jeg har en helt bevisst holding til at jeg skal minimalisere de elektroniske spor jeg legger etter meg, den avhengighet jeg har av sporbare hjelpemidler, den avhengighet jeg har av andre mennesker på en slik måte at de kan kreve innsyn i mitt privatliv. Jeg vet hvilke roller i «hjelpeapparatet» som ikke nødvendigvis er der for å hjelpe deg i alle situasjoner, men som kan bli din fiende hvis du har vært uforsiktig i å slippe ut for mye av ditt privatliv.

      Man må naturligvis være realist og innse at det er fullstendig umulig å fullstendig unngå elektroniske spor, ihvertfall så lenge man er i arbeid, kjører bil og snakker i telefon. Men all informasjon som det ikke er nødvendig å slippe ut, kan man jo begrense så langt det er mulig. Det er ganske langt, sammenlignet med hva massevis av «moderne» mennesker i dag velger å gjøre.

  2. Det er verd å legge merke til at det «spionene» her angriper praktisk talt 100% faller gruppen «security through obscurity». Det burde ikke være mer informasjon i «Vi bruker Outlook til epost» enn «Jeg har sylinderlås på ytterdøra mi».

    Sikkerhetsarbeide bør være basert på at det er helt OK om man forteller til utenforstående hele den lista som er gjengitt i artikkelen – eller ihvertfall ha det som mål.

    Hvis det at utenforstående vet hvor kantina ligger i bygningen er et sikkerhetsproblem er ikke rette måten å hemmeligholde hvor kantina ligger, men innrette seg slik at det ikke utgjør et sikkerhetsproblem.

    SMTP epost er et horribelt sikkerhetsproblem. Man fikser ikke det ved å skifte til et annet epost-system enn Outlook – det bruker også SMPT (det gjør alle!)- man stiller krav om at all epost skal krypteres, uansett hvilket epostsysten som brukes.

    Og så videre. Hvis sikkerheten betinger at det holdes hemmelig hvilken dato lønna overføres til kontoen min, da er det en fundamental svikt i hele sikkerhets-filosofien. Det er ikke DER man skal implementere sikkerhet!

    Slike «studier» som dette kan ha en verdifull funksjon: Ved å vise til hvordan en «spion» kunne ha utnyttet informasjonen, dersom ikke bedriftens sikkerhets-opplegg hadde beskyttet mot det, kan bedriften lettere få forståelse blant de ansatte for hvorfor ulike sikkerhetstiltak er nødvendige og fornuftige. Det kan det iblant være behov for å jobbe med!

    Svar på denne kommentaren

    • Marius Bendiksen (svar til j b)

      Informasjon gir alltid noe å jobbe utfra, og hvis angriper er smart, gir det alltid et fortrinn. Det er klart det er dumt å planlegge sikkerheten på en slik måte at du avhenger av at hemmeligheter forblir hemmelig (security through obscurity), men det er ikke dumt å dra tilleggsstyrke fra det (og derunder også dytte litt ressurser på det) så lenge vekttallene i angrepstreet tilsier at det er effektiv ressursbruk; en kan etter mitt syn ikke kalle det også for security through obscurity.

      Et faktum du aldri har tenkt over kan vise seg å være make/break for en plan.

    • Grensene for hva som er og ikke er «security through obscurity» er naturligvis diffuse, og avhengig av hvem som gjør vurderingen.

      Men ut fra artikkelen kan man få inntrykk av at sikkerheten på banktransaksjoner de siste 20-30 år har vært avhengig av at ingen visste at bankene bruker DES-kryptering. De siste årene har det vel vært trippel-DES, men prinsippet er det samme: Hvis bankenes sikkerhet faller på det, da kan vi ikke snakke om «sikkert som banken»! Eller at jeg har en Yale-lås i inngangsdøra mi. Eller at HTTPS benytter TLS kryptering.

      Alt dette faller inn under «Informasjon gir alltid noe å jobbe utfra, og hvis angriper er smart, gir det alltid et fortrinn».

      Det er et stort feilgrep å legge stor sikkerhetsmessig vekt på å ikke slippe ut slik informasjon som det er 95% sikkert at en innbryter ganske lett vil kunne få tak i uansett. Hvis det er betydelig risiko for at en innbryter kan få tak i en gitt bit informasjon, må man ta for gitt at innbryteren får tak i denne informasjonen, at han har dette å jobbe ut ifra, og så må man tegne opp sikkerhetstruslene utifra det, og planlegge mottiltak ut fra det. Glem den hypotetiske situasjonen at innbryteren ikke har informasjonen.

      Når det gjelder datasikkerhet er mye av problemet at dersom vi virkelig skulle røske opp i det, gjøre noen ting skikkelig, måtte vi rasere en ikke ubetydelig andel av de standardene og metodene som kom med Internet da det seiret over konkurrentene på 1980-tallet. En rekke av disse standardene er helt horrible, sikkerhetsmessig, sammenlignet med det som ble fortrengt. Å nå komme og si at «De andre alternativene var visst best likevel» vil være så totalt å tape ansikt at vi kan ikke gjøre det så lenge noen av de som deltok i nett-krigene på 80-tallet stadig er i live…

      Internett-verden har faktisk akseptert ett element: X.509-sertifikater kommer fra fiendeland. Eneste årsaken til at det har blitt akseptert er at Internett-leiren sto fullstendig uten konkurrerende alternativ; X.509 var den eneste aktøren ute på banen. Dessverre er de øvrige Internett-protokollene så dårlig tilpasses autentisering- og autoriserings-mekanismer at integreringen av X.509 går adskillig mindre glatt enn f.eks. i X.400, der X.509 er fullt integrert, og det har vært med på å forsinke/vanskeliggjøre f.eks. kryptering av epost som standard.

      Men det er så mange andre huller i hele Internett-arkitekturen at så lenge vi beholder den (og det vil vi nok gjøre i minst en generasjon til!) vil vi måtte slite med sikkerhetsproblemer.

    • Marius Bendiksen (svar til j b)

      «Glem den hypotetiske situasjonen at innbryteren ikke har informasjonen.»

      Vi snakker om lifetime på hemmeligheter i forhold til nivå på angriper. Hvis du er en statlig aktør, har du litt andre hensyn enn en vanlig bedrift, hvor det kanskje er mest relevant å heve terskelen nok til å stoppe en del enkle forsøk. Og vi må i alle realistiske tilfeller snakke om budsjett og kostnadseffektivitet, som tilsier at noen angrep vil lykkes, og målet er risikoforvaltning. Da er det reelle hensyn, altså sannsynligheter, som er relevant.

      Jeg tror kanskje vi snakker fra to forskjellige perspektiv på samme grunnsyn her.

    • Brukerikke Briller (svar til Henrik Lied)

      Hva er greia med at nettavisene og også dere skal ha så utrolig stor tekst og alt spres utover. Bruker jo en «halvtime» på å bla nedover en liten artikkel. Er det storskjermer og 42 toms tv skjermer dere justerer for? Jeg vil tro at flesteparten fremdeles bruker laptop, mest. Forøvrig burde det være nettlesernes ansvar å tilpasse siden og ikke hver enkelt bruker eller nettsted. Da snakker vi om fire selskap fremfor en milliard brukere.

    • XKCD er tegnet av en mann med peiling. På tekniske sider treffer han igjen og igjen.

      Men: Denne stripa går i kategorien «1-faktor-autentisering». Mange steder har man akseptert 2-faktor autentisering som minimum: Du skal både være i besittelse av et fysisk SIM-kort og kjenne PIN-koden for å bruke det. På høy-sikkerhets-steder legger man på en tredje faktor i form av biometriske data (fingeravtrykk, ansiktsgjenkjenning, iris-avlesing,…), og/eller man kan legge på begrensing på tidspunkt: Selv om du både har godkjent nøkkelkort, pinkode og fingeravtrykk, kommer du bare inn i bankens hvelv mellom 09:00 og 16:00 hverdager. GPS-mottakere er blitt så billige og små i dag at en mobil enhet kan settes opp til kun å fungere innenfor et gitt geografisk område. Enkelte høysikkerhets-systemer krever at det må være minst to ulike personer som har hver sin halvdel av en nøkkel.

      Uansett burde «folk flest» (pluss en betydelig andel av de som føler seg hevet over det nivået…:-)) spandert på seg et ti-kvelders Friundervisningen-kurs i «Datasikkerhet og annen sikkerhet». Hvis det hadde eksister noe slikt kurs :-). Det er skremmende hvor svak bevisstheten er rundt sikkerhetsaspekter av alle slag, også blant akademikere. Også blant tekniske akademikere. Jeg tror sett ikke bruken av FB og Twitter, smarttelefoner og andre elektroniske duppeditter er noe lavere blant teknisk orientrte akademikere enn for gjennomsnittet av befolkningen!

  3. Kjell Lorentsen

    Anbefaler å lese «Ghost in the wires» av Kevin Mitnick, historien om hvordan han ble en
    av USAs mest ettersøkte hackere på 80- og 90-tallet. Han arbeider nå som profesjonell
    IT-sikkerhetskonsulent hvor han test-hacker systemer for å finne hull. Dette inkluderer
    også «social engineering» – noe han etter sigende er meget dyktig på. At storkonserner
    som Verizon og AT&T ikke har skjønt at (og hvordan) de bør gardere seg mot dette, er
    ganske spesielt.

    Svar på denne kommentaren

Legg igjen en kommentar til j b Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.