For en hackers synspunkt er de personlige netværksservices et overflødighedshorn af information. I jagten på "15 minutes of fame" publicerer folk helt ukritisk alle typer information online, der kan bruges til profilering af en person.
Da vi mennesker er slave af vores vaner, så afspejler den publicerede information, på eksempelvis Facebook og MySpace, også gerne de tankebaner vi bruger i andre henseende - herunder på vores job. Når der eksempelvis skal vælges passwords, man skal huske, opstår linket til den publicerede information - og det kan være vejen frem for et angreb.
Væbnet med grundinformation om et muligt mål, kan en hacker begynde at udvide sine kriterier. Næste skridt er en aktiv indsamling af information - dog stadig kamufleret - så målet ikke bliver mistænksomt. Her kommer Social Engineering ind i billedet.
Social Engineering
Det er den menneskelige faktor, og vores til tider forudsigelige adfærdsmønster, der fokuseres på ved Social Engineering. Ved at profilere en person, kan man eksempelvis finde ud af om denne reagerer på autoritær, eftergivende eller appellerende fremtoning.
Ved at udnytte sine kundskaber og metoder kan en hacker indhente oplysninger, der ellers ikke er direkte tilgængelige. Det essentielle er at indhente og sammenstykke brudstykker af oplysninger til brugbar information, som så efterfølgende bruges til at indhente yderligere oplysninger. Dette kan foregå over dage, uger eller sågar måneder.
Denne type informationsindsamling kan gøres på alle tænkelige måder: Telefonisk, sms, e-mail, breve, aflytning, hjemmesider, receptionisten eller ved et personligt fremmøde. Jo mere information man har at arbejde med, des mere overbevisende kan man være for at få den næste stump information.
Hackeren Kevin Mitnick var en mester i denne disciplin. I sin bog, The Art of Deception, afslutter han sit forord på følgende måde: "Den menneskelige faktor er uden tvivl sikkerhedens svageste led". Når folk så lægger en stor del af den ønskede information ud på deres Facebook profiler, så gør det bestemt hackerens researcharbejde nemmere.
Gammel vin på nye flasker
Informationsindsamling er langt fra en nyhed. Det har været udnyttet og brugt i århundreder. I det 6. århundrede før vores tidsregning skrev den kinesiske general Sun Tzu den først kendte bog om militære strategier. En af hans mest berømte beskrivelser findes kapitlet "Angreb baseret på strategi":
Hvis du kender din fjende, og du kender dig selv, da behøver du ikke frygte udfaldet af hundrede slag. Hvis du kender dig selv, men ikke din fjende, vil du lide et nederlag, for hver sejr du opnår. Kender du hverken dig selv eller din fjende, da vil du tabe hver gang.
Her 2500 år senere er dette stadig gældende - også indenfor IT-sikkerhed. Efterretning og informationsindsamling er stadig den benyttede vej forud for et angreb.
Det sker da ikke i virkeligheden!
Jo faktisk - og hvad værre er: der er tunge beviser for, at vi mennesker stadig ikke har taget ved lære efter flere år med ørene tudet fulde af formaninger om løsagtig omgang med passwords.
En sikkerhedskonsulent har bevist, at nettets mange onlinetjenester kan bruges til at indhente brugbar information til det formål at hacke. Det var skræmmende let.
Fremgangsmåden var "baglæns", i forhold til det en hacker ville gøre. På et onlineforum fik han fat i en nyoprettet brugers konto og password. Han kendte ikke personen, som naturligvis benyttede et alias. Ud fra det benyttede password kunne han med lethed finde frem til den fodboldklub brugeren var fan af. Det var hans password.
Baseret på denne viden foretog hans en søgning med Google og fandt hurtigt frem til et fan-website for den pågældende fodboldklub. Ved simple midler fandt han frem til ejeren af domænet, som viste sig at være den selv samme person, der havde oprettet sig på forumet. Forskellen var nu, at i stedet for et alias, havde han alle de ægte kontaktdata. Med den information kunne han finde frem til, hvor brugeren arbejdede. Et par opringninger senere var brugerens firma e-mail, direkte telefonnummer, stilling (og hvad ellers kunne være interessant) fundet.
Med viden om at brugeren har til vane at bruge passwords relateret til fodbold - og specielt én klub - er der med ét åbnet op for langt større muligheder for at komme videre.
Brug fornuften
Pointen med denne artikel er at sætte tankerne i gang - ikke at skræmme. For med almindelig omtanke kan man stadig bruge sin Facebook til hygge med onlinevennerne. Men hav i mente, at tusindvis af andre kan følge med - også personer du ikke kender!
De fleste er slaver af vaner i en eller anden grad, og derfor afspejler de frit tilgængelige informationer vores interesseområder og tankegange. Dermed også de baner der tænkes i, når en simpel ting som et password skal oprettes.
Lad være med at give detaljer om dit privatliv, når du er online. Lad være med at bruge logiske afledninger, af det som interesserer dig til dine passwords.
Med en smule fornuft og omtanke kommer man langt.
Tonny Bjørn er sikkerhedsekspert hos Virus112
