אבטחה: האדם - החוליה החלשה ביותר

תוכנות אבטחה יכולות לעשות מעט מאוד נגד מנגנון ההדבקה המסוכן ביותר - המשתמש

רוברט למוס, PC Magazineפורסם: 11.06.06 , 19:04

נניח שאדם בעל מראה מכובד, המחלק תקליטורי הדגמה ברחוב, מציע לכם תקליטור אחד. האם תיקחו אותו הביתה ותריצו אותו במחשב? ואם הוא היה מציע לכם אותו בדרך לעבודה במשרד, האם הייתם מריצים אותו שם?

אם מישהי הייתה מתקשרת אליכם וטוענת שהיא עם טכנאי מחשבים כרגע, ושהיא זקוקה לסיסמת המחשב שלכם, האם הייתם נותנים לה את הסיסמה? אם עניתם בחיוב על אחת השאלות הללו, הנכם משמשים כמטרות עיקריות לגורמים זדוניים העוסקים בהנדסה חברתית (social engineering).

ניסיון לשטות

הנדסה חברתית מנסה לעקוף את מנגנוני האבטחה על ידי ניסיון לשטות במשתמש. כיוון שמערכות הפעלה ויישומים הופכים להיות מאובטחים יותר, תוקפים מקוונים משתמשים בהנדסה חברתית על מנת לחדור למערכות ולגשת לנתונים בעלי חשיבות רבה. מתקפות התחזות (phishing), סוסים טרויאניים, ווירוסים רבים משתמשים בטקטיקות של הנדסה חברתית כדי לרמות משתמשים, ולגרום להם לסכן את מערכות המחשב.

מדובר על הרבה יותר מאשר אובדן מידע של מחשב פרוץ: מחשב אישי בודד עלול לשמש כקרש קפיצה בתוך רשת של חברה, ממנו יכולים אויבים לשגר מתקפות נוספות. מתקפות פנימיות - בין אם מבוצעות על ידי עובדים זדוניים או על ידי עובדים שאינם מודעים לסיכונים - הן הרמה הגבוהה ביותר של איומים ברשת. הצורך של חברות, לאפשר לעובדים שלהם לעבוד ללא המגבלות של אמצעי אבטחה כבדים, עלול לעזור לגורמים פנימיים לגרום נזק עצום לפני שהם נחשפים.

עובדים אינם מודעים לסיכונים

לפני כשנה, רשויות אכיפת החוק הודיעו שבנק Sumitomo Mitsui סיכל ניסיון גניבה של 423 מיליון דולר לאחר שזיהה העברות כספים חשודות. החקירה גילתה ניסיון שימוש ב-keylogger, תוכנת ריגול מסחרית שמסוגלת לתעד הקלדות על המקלדת. תוכנה זו הותקנה מחשב של אחד העובדים.

עובדים רבים אינם מודעים לסיכונים. במחקר שנערך לאחרונה על ידי חברת The Training Camp הבריטית, המתמקדת בהדרכת עובדים בטכנולוגיית המידע, חילקה החברה לאנשים בתחנת רכבת תחתית תקליטורים המכילים תוכנת סוס טרויאני פשוט. החברה טענה כי התקליטור לא מבצע שום מעשה זדוני, אלא פשוט מתקשר "הביתה" כשהוא רץ על מחשב.

90 אחוזים מוכנים למסור סיסמאות

עובדים של בנקים, חברות ביטוח ועסקים אחרים הכניסו את התקליטורים למחשבים שלהם במקום העבודה והריצו את התוכנה. לפני מספר שנים, מחקר דומה גילה שלא פחות מ-90 אחוזים מהאנשים היו מוכנים למסור את הסיסמאות שלהם לאדם שביצע סקר.

החינוך הוא גורם קריטי בנטילת העוקץ של ההנדסה החברתית הזדונית. בעוד משתמשים רבים מתייחסים בחשדנות כלפי קבצים משונים המצורפים להודעות בדואר האלקטרוני, אדם המגיש תקליטורים רשמיים לכאורה מוסיף שכבה של אמון למשוואה.

פרשת "סוניגייט", במסגרתה התברר כי החברה שילבה בתקליטורי מוזיקה שהפיצה תוכנת ריגול היא דוגמה קיצונית לכך: אנשים נתנו אמון במותג באופן כל כך עיוור, עד שאף אחד לא חשב לחפש קוד שנוי במחלוקת.

האיום ילך ויחמיר

הצורך בהגנה על המשתמשים מעצמם גרם למיקרוסופט ולחברות תוכנה אחרות להוסיף רכיבים שהופכים את התוכנה למבצר מאובטח - גם מפני המשתמש. הדפדפן הבא של מיקרוסופט, אינטרנט אקספלורר 7, יצבע את סרגל הכתובות בירוק רק כאשר המשתמש נמצא באתר בטוח. חומת האש האישית תגן על מחשבים מפני יישומים שמנסים להתחבר לאינטרנט.

האיום רק יחמיר עם הזמן. מומחים בתחום האבטחה מצאו עדויות למתקפות הנדסה חברתית מתוחכמות יותר, שבדרך כלל מכוונות כלפי מספר מצומצם של אנשים בתוך הארגון. קבוצות מקרים ותגובות של אבטחה באנגליה, קנדה ואוסטרליה אישרו קיומן של מתקפות כאלה. רמת האבטחה חזקה רק כחוזק החוליה החלשה. וברוב המקרים, החוליה החלשה ביותר היא החוליה האנושית.

מצאתם טעות בכתבה? כתבו לנו