- Noen ganger er brukeren dum

- Noen ganger er brukeren dum

Sosialmanipulator Ira Winkler mener sikkerhetsfolk må forberede seg på dumskap fra de ansatte.

LONDON: - Jeg er fra New York. Det faller helt naturlig for meg å lyve, sier Ira Winkler fra Internet Security Advisors Group.

Han har blitt en ekspert på sosial manipulering, "social engineering" som det kalles på engelsk. Som er et litt viktig poeng på grunn av ordet "engineer", altså ingeniør.

Han snakket om temaet på RSA-konferansen i London, der Winkler gikk hardt ut mot en defenisjon han mener har blitt altfor bred.

- Nå for tiden kalles alt sosial manipulering. Og det er et problem. Hvis du kaller ren og skjær dumhet for sosial manipulering, klarer du ikke stoppe soial manipulering, sier han.

- Dumme brukere er dumme

Winkler mener for eksempel phishing ikke må forveksles med sosial manipulering.

- Sånn som med Iloveyou-viruset. Det var smart første gang det skjedde, men du kan ikke kalle det sosial manipulering, for det er ingen interaksjon. Det er bare brukeren som er dum nok til å klikke på vedlegget.

Han skylder på bransjeeksperter og media.

- De profesjonelle og media ønsket ikke å kalle brukeren dum og trengte et annet begrep. Men jeg mener man godt kan kalle brukeren dum.

Lavnivåspionasje

Winkler ser på sosial manipulering som en strukturert form for løgn. Å lure folk til å oppgi info om sine datasystemer. I gamle dager primært over telefon. Eller ved å snoke rundt i bedriftenes lokaler, for eksempel ved å utgi seg for å være vaktmester. Eller ved å grave i søpla - søppeljegere fant en gang alle administratorpassordene til et telefonselskap i New York i deres søppelkasse. Eller såkalt skuldersurfing. Alt svært lite teknologisk.

- Men nå handler det om å lokke frem informasjon fra mennesker. Det blir ikke som å rekruttere en spion. Sosial manipulering er tradisjonell spionasje på et mye lavere nivå. Du sjekker hvem som er mottakelig, og så tar du ett steg av gangen. Har du samvittighet vil du selvfølgelig se på deg selv som en skikkelig drittsekk, men om du ser på det som en jobb, så er det jo bare en jobb.

I revers

For å kunne kalles sosial manipulering mener han det må være basert på en prosess som kan gjentas. Det finnes også en motsatt form, såkalt "reverse social engineering". Den er kanskje enda mer briljant. I stedet for at du ringer opp og utgir deg for å være fra it-avdelingen og si at du trenger brukernavn og passord, henger du opp lapper i selskapet du ønsker å lure sine lokaler, der du skriver at du er it-støtte.

Når noen får problemer, ringer de deg. Da er tilliten høyere når du spør om brukernavn og passord.

- Offeret tror angriperen faktisk utøver teknisk støtte. Offeret henvender seg til angriperen, forklarer Winkler.

Fikk laptop fra bank

Selv fikk han i oppdrag å skaffe så mye info han kunne om en bank en gang. Han fikk ikke lov til å oppsøke banken fysisk, ikke lov til å bruke funnene sine til å få mer info om han for eksempel skulle få fatt på brukernavn og passord. Og han hadde fire dager på seg. Han hadde lite kunnskap om banken fra før, utover at de hadde god sikkerhet.

Men mennesket er sårbart. Det ble en prosess med mange telefonsamtaler der han flere ganger ringte og utga seg for å være en av toppsjefene i selskapet. Og Winklier fikk mye info. Men det toppet seg da han i slutten av prosjektet ringte brukerstøtte og utga seg for å være toppsjef i krise, med krasjet bærbar.

Han hadde nå sanket rikelig info om denne sjefen, så han visste at de ville ha ansatt-nummer og avdelingsnummer. Egentlig var Winkler ute etter Vpn-programmet de brukte, men etter sin hvite løgn om at pc-en hans hadde krasjet og at han hadde sett "skikkelig dum ut overfor kundene" fikk brukerstøtten såpass stor sympati at de rett og slett sendte Winkler en bærbar datamaskin over natta.

- Angrepet bestod av mange mindre angrep, og kostet meg ingen ting!, sier Winkler.

True med oppsigelse

Han har et par råd. Selv selskaper med god sikkerhet er sårbare, fordi de tenker folk har "common sense". Men du kan ikke ha "common sense" uten "common knowledge", bedyrer Winkler. Som mener et beinhardt regime kan være en løsning.

- Hold opplæringen enkel. Forklar hva som ikke er lov, men ikke gå inn på hvorfor. Si dem hva som ikke er lov, og fortell dem at hvis de likevel gjør det, får de sparken, sier Winkler.

Han tror folk da vil være mer på vakt, for sparken vil de trolig ikke ha.

Han råder også til å verifisere spørsmål og beskjeder, også dem som kommer via telefon - sosialmanipulatorenes muligens beste venn.

- Mange argumenterer med at sosial manipulering er et felt som endrer seg konstant. Det gjør de ikke. De grunnleggende teknikkene har ikke endret seg på 20 år.

Les om: