Jak hakuje się ludzi?

Zepsuty klucz od hotelowego pokoju uświadomił mi, że zawsze powinnam bać się o bezpieczeństwo swoich bagaży. I nie mam tu na myśli popularnego (i raczej nieuzasadnionego) lęku przed nieuczciwą obsługą i sprzątaczkami, a strach przed innymi gośćmi. Zrozumiałam, jak hakuje się ludzi. I zdobyta wiedza wcale mi się nie spodobała.

Wyjazd biznesowy z moim partnerem to zawsze szereg wrażeń, ale nie takich emocji się spodziewałam. Gdy po raz pierwszy drzwi odmówiły nam posłuszeństwa i nie mogliśmy wejść do pokoju, czułam frustrację. Czułam że się spóźnimy na ważne spotkanie. Na szczęście w pokoju obok sprzątaczka działała na pełnych obrotach. Gdy podeszłam do niej z uśmiechem i powiedziałam, że drzwi nie działają – bez namysłu wpuściła nas do środka. Dopiero po dłuższej chwili nadeszła refleksja: sprzątaczka ani nie spytała o nazwisko, ani nie spojrzała na naszą niesprawną kartę.

To nie mój klucz!

Niepokojącą sytuację mogłabym uznać za jednostkowy wypadek – w końcu najsłabszym ogniwem każdego systemu jest człowiek – gdyby nie seria kolejnych problemów. Klucz działał w kratkę, raz pozwalając nam wejść do pokoju, innym razem odmawiając współpracy na dobre. Gdy w końcu w złości udałam się do recepcji, zgłosić awarię – bez zbędnych pytań otrzymałam aktualizację klucza na karcie. Pracownik nie spytał ani o dowód, ani o nazwisko, tylko o numer pokoju. I nie byłoby to takie straszne, gdyby nie fakt, że karta, którą mu podałam, miała nabity inny numer pokoju! A ja odruchowo odpowiedziałam, że wpuszczała nas sprzątaczka i pewnie zostawiła swój klucz w naszych drzwiach. Lekkość, z jaką przyjęto moje wyjaśnienie, wprawiła mnie w zdumienie.

Odkryłam, jak hakuje się ludzi. I choć wielokrotnie czytałam o ludziach podających na infolinii wszystkie swoje dane, zawsze sądziłam, że to popularne internetowe anegdoty, mające skłonić nas do większej dbałości o hasła.

Jak hakuje się ludzi?

Social hacking, czyli hakowanie ludzi, to technika manipulacji mająca na celu zdobyć wybrane informacje. W politologii, socjologii i marketingu mówi się o inżynierii społecznej, socjalnej lub o socjotechnikach. Pod każdą z tych definicji kryje się szereg działań, które pomagają dążyć do wybranego celu poprzez manipulację społeczeństwem. Widzimy to na co dzień, w mniejszej i większej skali – obserwując związki międzyludzkie, gdy partnerzy próbują zdobyć coś, na czym im bardzo zależy. Albo słuchając wypowiedzi polityków, dokładnie dobranych słów, mających tylko jeden cel: sprawić, że społeczeństwo zacznie myśleć tak, jak partia rządząca zapragnie. W sferze zawodowej hakerzy najczęściej podają się za zwierzchników, zakładają przebrania, udają osoby, którym odruchowo ufamy – na przykład montera naprawiającego domofon. Dobre przebranie w połączeniu z fachowym żargonem otworzyło już niejedne drzwi. Wystarczy przypomnieć sobie popularną metodę na wnuczka służącą wyłudzaniu pieniędzy od starszych osób.

Koń trojański u bram

Za pierwszy atak hakerski związany z techniką oszukiwania ludzi podaje się mityczną opowieść o koniu trojańskim. Grecy, chcąc podbić Troję, zbudowali drewnianego konia i zostawili go u bram przeciwnika. Gdy Trojanie ujrzeli niezwykłą rzeźbę, uznali ją za podarek i wprowadzili na swój teren. Pod osłoną nocy z brzucha konia wyszli uzbrojeni Grecy i zdobyli Troję. Od tej dobrze znanej każdemu z nas historii pochodzi nazwa złośliwego oprogramowania, które podszywając się pod ciekawe dla użytkownika aplikacje, jednocześnie w tle wykonuje funkcje szpiegowskie, niszczy komputer lub zbiera dane bez wiedzy użytkownika. Jest to forma wirusa, ale by hakować ludzi, wcale nie trzeba umieć programować. Wystarczy głowa na karku, odrobina umiejętności aktorskich i hotelowe pokoje stoją przed nami otworem! Nie tylko pokoje, ale i cały świat… O tym jak hakuje się ludzi, najwięcej wie najbardziej znany haker w historii – Kevin Mitnick.

Kevin Mitnick – jak hakuje się ludzi?

Kevin już jako nastolatek zainteresował się hakowaniem ludzi. W wieku 12 lat szukał sposobu na darmowe poruszanie się autobusami po Los Angeles. Stosując techniki manipulacyjne, udało mu się przekonać kierowcę autobusu do zdradzenia, gdzie kupuje się automaty biletowe. Jak argumentował tę dziwną potrzebę? Szkolnym projektem. Młodość w połączeniu z dobrą opowieścią zadziałały i Mitnick zyskał interesujące go informacje.

Przez kolejne lata Mitnick wielokrotnie łamał systemy i ludzi. Pierwszy nieuprawniony dostęp do czyjegoś komputera uzyskał w wieku 16 lat, kilka lat później zasłynął, włamując się do wojskowego komputera Dowództwa Obrony Powietrznej. Próbował kolejnych sztuczek, eksperymentował z formami manipulacji, ale co najbardziej interesujące – nie potrafił programować, więc jego działania zawsze ograniczały się do hakowania ludzi. Policja przez lata próbowała go schwytać, gdy mimo wystawionego listu gończego, nie rezygnował z łamania systemów. Ostatecznie został pojmany przez swój błąd – nie znając się na programowaniu, postanowił wykraść interesujące go oprogramowanie z komputera innego hakera – Tsutomu Shimomury. Pech chciał, że Tsutomu działał jako „white hat”, czyli „dobry” haker. Każdą znalezioną przez siebie lukę zgłaszał odpowiednim władzom, by pomóc uczynić systemy informatyczne bardziej bezpiecznymi. Gdy Tsutomu zrozumiał, że stał się ofiarą innego hakera, nie poddał się, póki go nie dopadł. Razem z policją, oczywiście.

Kevin odsiedział swój wyrok. Ostatecznie, po wyjściu z więzienia, przeszedł na jasną stronę hackowania i napisał książkę o tym, jak hakuje się ludzi. Ponadto założył firmę Mitnick Security Consulting i pomaga instytucjom z całego świata w sprawach związanych z cyberbezpieczeństwem.

Nie tylko Mitnick wie, jak hakuje się ludzi

Wbrew pozorom hakowanie często nie wymaga biegłej znajomości komputera. W szczególności, gdy mówimy o hakowaniu ludzi. Snowden, znany z ujawnienia wielu tajnych danych NSA, pozyskał je w sposób prawie legalny. Będąc pracownikiem i mając uprawnienia administratora, po prostu wyniósł dane z firmy. Taką samą formę „wykradzenia” informacji zastosowała Anat Kamm, która w 2008 roku przekazała prasie dowody na zlecenie przez rząd Izraela zamordowania liderów ugrupowania islamistycznego.

Co będzie dalej?

Teraz hakujemy ludzi za pomocą socjotechniki i umiejętnego stosowania manipulacji. A jak będzie w przyszłości? Coraz częściej dajemy sobie wszczepiać różne sprzęty elektroniczne – rozruszniki serca to tylko wierzchołek góry lodowej. Trwają prace nad wszczepianymi pod skórę biletami do komunikacji miejskiej czy dowodem osobistym. Każda z tych rzeczy może zostać zhackowana, a my któregoś dnia możemy usłyszeć, że albo podamy hasło do służbowego komputera, albo haker wyłączy nasz rozrusznik lub zmodyfikuje pompę insulinową.

Najsłabszym ogniwem jest człowiekiem

Czy przed hakerami da się bronić? Tak! Wbrew pozorom nie potrzeba mitycznych umiejętności: wystarczą oczy i uszy szeroko otwarte. Nie należy podawać haseł osobom nieuprawnionym. Unikać wyrzucania ważnych dokumentów do śmieci zamiast do niszczarki. Zwracać uwagę na to, kto do nas dzwoni – fakt, że na ekranie telefonu wyświetli się nazwa zaufanej firmy, jeszcze o niczym nie świadczy. Wyświetlanie innego numeru niż prawdziwy, nazywa się „Spoofing Caller ID” i jest bardzo łatwe do osiągnięcia z poziomu ogólnodostępnych aplikacji. Zawsze pamiętajmy o tym, że to my jesteśmy najsłabszym ogniwem, dlatego weryfikujmy informacje, prośmy o szczegóły, sprawdzajmy dokumenty… bo choć nie przed każdym atakiem możemy się obronić, to zminimalizowanie ryzyka leży po naszej stronie.

Nie tylko hackowanie ludzi! Dowiedz się jak zhakować samochód sąsiada i zadbać o swój!