Wetware και Social Engineering Α’ μέρος: Ο Ανθρώπινος παράγοντας στην ασφάλεια πληροφοριακών συστημάτων

Τι γίνεται όταν ο άνθρωπος και απλός χρήστης του εσωτερικού δικτύου μπορεί να αποδειχθεί ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας της πληροφορικής ;

Η ασφάλεια του εσωτερικού δικτύου οργανισμού σήμερα μπορεί εύκολα να προστατευθεί από ένα καλά προγραμματισμένο και συχνά ανανεωμένο σύστημα προστασίας που μπορεί να περιλαμβάνει φυσική (physical) και λογική (logical) ασφάλεια. Η υψηλή ασφάλεια σε λογισμικό (software) και υλικό (hardware), όπως συνεχώς αναλύεται σε αντίστοιχα άρθρα, μπορεί να περιλαμβάνει υψηλές προδιαγραφές, που θα εξασφαλίζουν ένα αδιαπέραστο εσωτερικό δίκτυο. Μερικά από τα χαρακτηριστικά του μπορεί να είναι οι κάρτες εισόδου και τα βιομετρικά δεδομένα (CAD-biometric data), η αυστηρή πολιτική χρήσης κωδικών εισόδου (password), το τοίχος προστασίας (firewall) και η προστασία απέναντι σε ιούς (antivirus), η ζωντανή παρακολούθηση δεδομένων (live data and protocol monitoring) και η άψογα σχεδιασμένη πολιτική ασφαλείας (security policy). Ταυτόχρονα, μπορεί να περιλαμβάνει πιστοποιημένα συστήματα hardware / software κατά ISO 15408 (Common Criteria) και κατατεταγμένα συστήματα στο υψηλότερο επίπεδο ασφαλείας EAL (Evaluation Assurance Level). Η μεγαλύτερη αυτή δυνατή προστασία γίνεται σε οργανισμούς, επιχειρήσεις, κρατικές ή στρατιωτικές υπηρεσίες, που κατέχουν υψηλής σημασίας πληροφορίες είτε για τον εμπορικό ανταγωνιστή / συναγωνιστή τους είτε για τον κρατικό μη σύμμαχό τους. Ταυτόχρονα όλα αυτά εφαρμόζονται από κατάλληλα εκπαιδευόμενο προσωπικό, που κατέχει την απαραίτητη γνώση / εμπειρία και έχει προσληφθεί ειδικά για το σκοπό αυτό.
Τι γίνεται όμως όταν κάποιος κακόβουλος προσποιούμενος τον διαχειριστή ασφαλείας του δικτύου της εταιρείας τηλεφωνήσει στην ευγενική μορφωμένη γραμματέα (απόφοιτο υψηλών θεωρητικών επιστημών) του διευθυντή της εταιρείας, που απλά διεκπεραιώνει την αλληλογραφία στους τελικούς αποδέκτες και την πείσει ότι «ο υπολογιστής της έχει πρόβλημα και χρειάζεται τον κωδικό της, για να ρυθμίσει τον λογαριασμό της»? Στην περίπτωση αυτή έχει πιθανότατα αποσπάσει το κωδικό πρόσβασης στο εσωτερικό δίκτυο υπολογιστών με τις ανυπολόγιστες συνέπειες, που όλοι γνωρίζουμε. Ακόμα και αν μόνο μέσα σε λίγες ώρες διαπιστωθεί η παραβίαση ασφαλείας (πχ η απώλεια του κωδικού), η εσωτερική ασφάλεια του δικτύου έχει ήδη “σπάσει”. Στην περίπτωση αυτή όλα τα πανάκριβα λογισμικά και υπολογιστικά συστήματα που περιγράφηκαν στην πρώτη παράγραφο καθίστανται ανίκανα να αντιμετωπίσουν τον εισβολέα.
Αυτό το παράδειγμα αποδεικνύει την σημασία που έχει πλέον η κοινωνική μηχανική στην ασφάλεια υπολογιστών. Πριν από μερικά χρόνια η αναζήτηση του όρου κοινωνική μηχανική στο διαδίκτυο ως “social engineering” θα παρουσίαζε μερικές μόνο πηγές όπως πώς να ξεγελάσουμε και να παραγγείλουμε δωρεάν πίτσα ή πως να έξυπνα να προσεγγίσει κάποιος μια γυναίκα! Σήμερα, παγκοσμίως η κοινωνική μηχανική περιλαμβάνεται στις πολιτικές ασφαλείας μεγάλων οργανισμών, ενώ τα τελευταία 3 συνεχή έτη έχει συμπεριληφθεί ο διαγωνισμός Capture the Flag (CTF) Social Engineering στο μεγαλύτερο διαγωνισμό hackers παγκοσμίως, την Defcon στο Las Vegas, NV, με τη συμμετοχή μεγάλων επιχειρήσεων – στόχων που ανήκουν στο Fortune 500 όπως Cisco, AT&T, Verizon, HP κ.α. Η συμμετοχή των επιχειρήσεων γίνεται φυσικά χωρίς οι ίδιες και το τεράστιο δίκτυο των υπαλλήλων – χρηστών του εσωτερικού δικτύου να γνωρίζουν ότι αποτελούν στόχους. Στον γνωστό αυτό διαγωνισμό ανακαλύπτονται όλα τα ταλέντα στο hacking ενώ συχνή είναι και η συμμετοχή αμερικάνικων κρατικών οργανισμών (FBI, DoD, NSA κ.α.).
Ο ίδιος ο άνθρωπος και απλός χρήστης του εσωτερικού δικτύου αντιμετωπίζεται στο παρόν άρθρο ως ο πιο αδύναμος κρίκος στην αλυσίδα ασφαλείας της πληροφορικής. Αυτός ο υπάλληλος και απλός χρήστης του εσωτερικού δικτύου του οργανισμού, μετά το hardware και το software που καλούμαστε να προστατεύσουμε έναντι των κακόβουλων κοινωνικών μηχανικών, αποτελεί το τρίτο βασικό χαρακτηριστικό της ασφάλειας υπολογιστών, το wetware (προέρχεται από το υγρό/νερό που υπάρχει στους βιολογικούς οργανισμούς, όπως το μυαλό του ανθρώπου-συχνά συναντάται και ως brainware). Στο παραπάνω αρχικό παράδειγμα οι ακριβοπληρωμένοι διαχειριστές ασφαλείας του δικτύου εύκολα νικήθηκαν από έναν απλό συνάδελφό τους, που πολύ απλά χειρίζεται επεξεργαστές κειμένου, αφού ο τελευταίος κατάφερε να δημιουργήσει ένα τεράστιο κενό ασφαλείας απλά και μόνο με την κοινωνική του ευγένεια και επικοινωνία εμπιστευόμενος πλήρως τις εντολές του (υποτιθέμενου) προϊστάμενού του.
Στην κοινωνική μηχανική, τα ηλεκτρονική ίχνη και οι πληροφορίες που παρουσιάζονται χωρίς καμία διαβάθμιση (πχ στα κοινωνικά μέσα ή στην συμμετοχική διαδικασία του WEB 2.0 όταν γράφουμε διάφορα σχόλια σε ιστολόγια) ή πετάμε στα σκουπίδια (ως εξοφλημένους λογαριασμούς ή παλιές λίστες προσωπικού) ως απλοί δικτυακοί χρήστες, είτε εντός είτε εκτός επαγγελματικού περιβάλλοντος μπορεί να αποδειχτούν καταστροφικά. Η συλλογή αυτών από έναν κακόβουλο χρήστη συνθέτει μια συνολικά περαιτέρω αξιοποιήσιμη πληροφορία θέτοντας σε κίνδυνο την ασφάλεια του επαγγελματικού μας οργανισμού. Η βασική αρχή του διαχωρισμού της επαγγελματικής ιδιότητας με τις απλές κοινωνικές σχέσεις στα ψηφιακά μέσα εφαρμόζεται περισσότερο μόνο σε κοινωνίες με υψηλή πληροφοριακή κουλτούρα. Στις κοινωνίες αυτές, προσωπικές ερωτήσεις (προφορικές ή δικτυακές) του τύπου «Με τι ακριβώς ασχολείσαι στην εταιρεία σου?» είναι λιγότερο πιθανές να συμβούν. Αντίθετα, μάλιστα στις κοινωνίες αυτές, με υψηλή κοινωνική/πληροφοριακή κουλτούρα, είναι ακόμα πιο απίθανο να δοθεί η απάντηση σ’ αυτήν την ερώτηση.
Στο παρόν άρθρο εξετάζεται η έννοια της κοινωνικής μηχανικής, με βάση την οδηγία US CERT 2009 ST04-014, μια έννοια που στην ελληνική πληροφοριακή κουλτούρα εκτιμάται ότι συμβαδίζει με τη γενικότερη διείσδυση του πληθυσμού στην πληροφορική και στο διαδίκτυο και συνεπώς εκτιμάται ως ιδιαίτερα χαμηλή. Στο πρώτο μέρος του άρθρου επεξηγούνται οι πληροφορίες ανοικτών (ψηφιακών) πηγών σε συνδυασμό με την εθνική μας πληροφοριακή κουλτούρα και διασαφηνίζεται η βασική έννοια της κοινωνικής μηχανικής με παραδείγματα παραπλάνησης του προσωπικού και παραβίασης της εσωτερικής δικτυακής ασφάλειας ενός οργανισμού, μιας επιχείρησης ή κρατικών δικτυακών συστημάτων. Στο δεύτερο μέρος του άρθρου κατηγοριοποιούνται οι περιπτώσεις της κοινωνικής μηχανικής και περιγράφονται όλα τα ευάλωτα ανθρώπινα χαρακτηριστικά, με τα οποία οι κοινωνικοί μηχανικοί παρακάμπτουν, με υψηλό ταλέντο και μηδαμινό κόστος, όλα τα πανάκριβα συστήματα ασφαλείας δικτύων υπολογιστών. Τέλος, παρουσιάζονται όλοι οι παράγοντες που επιδρούν στην κοινωνική μηχανική, η αξιοπιστία της ως τεχνική παραπλάνησης, οι τρόποι άμυνας καθώς και οι ανάγκες περαιτέρω εκπαίδευσης του απλού υπαλληλικού προσωπικού.
Ανοικτές Πηγές Πληροφοριών (Open Sources Intelligence)
Το αντικείμενο και η εξέταση της πληροφορίας είναι ιδιαίτερα ογκώδες και πολύπλευρο ανάλογα την κατηγορία που αφορά. Οι βασικές αρχές όμως σε οποιοδήποτε τομέα είναι ίδιες όπως ότι η πληροφορία διακρίνεται σε αδιαβάθμητη ή διαβαθμισμένη σε κάθε επίπεδο (βιομηχανικό, εμπορικό, κρατικό, στρατιωτικό). Κατά βάση κάθε αδιαβάθμητη πληροφορία συλλέγεται ελεύθερα από ανοικτές (ψηφιακές) πηγές, ενώ η διαβαθμισμένη πληροφορία φυλάσσεται στα εσωτερικά δίκτυα ενός οργανισμού. Η έννοια της προστασίας της πληροφορίας αφορά στις διαβαθμισμένες πληροφορίες.
Στην επιστήμη της πληροφορίας, όμως, οι διάφορες φάσεις, που υφίστανται αυτή, όπως η συλλογή, η επεξεργασία, η σύνθεση και η ανάλυση καθιστούν ολόκληρη την πληροφοριακή αλυσίδα ευάλωτη σε κακόβουλη χρήση και συνιστούν κυρίαρχο αντικείμενο την προστασία της. Πιο απλά, ενώ, μια απλή πληροφορία είναι καθόλα αδιαβάθμητη, όπως πχ ένας απλός αριθμός τηλεφώνου, η σύνθεση αυτής με ακόμα μια ή περισσότερες επίσης αδιαβάθμητη/τες πχ με το αντίστοιχο όνομα ενός πρέσβη γειτονικής χώρας, καθιστούν το τελικό αποτέλεσμα διαβαθμισμένο ή αλλιώς απόρρητο. Ακόμα πιο απλά η σύνθεση πολλών εντελώς αδιαβάθμητων πληροφοριών ανοικτών πηγών πολλές φορές οδηγούν σε πληροφορίες άκρως διαβαθμισμένες, η αποκάλυψη των οποίων θέτει σε κίνδυνο την ασφάλεια ενός οργανισμού, μιας βιομηχανίας ακόμα και ενός κράτους.
Οι μέθοδοι και η χρήση τεχνικών που αφορούν συλλογή και σύνθεση αδιαβάθμητων πληροφοριών από ανοικτές πηγές σε συνδυασμό με τεχνικές ανθρώπινης εξαπάτησης και απόσπασης διαβαθμισμένων πληροφοριών αποτελούν το βασικό κορμό της έννοιας κοινωνικής μηχανικής στην επιστήμη της πληροφορικής. Οι παλαιότερα λεγόμενες μυστικές υπηρεσίες, εκτός από τις γνωστές επιχειρησιακές αποστολές που αναλαμβάνουν στο φυσικό χώρο ανά τον κόσμο (γνωστές κυρίως από ταινίες του James Bond με μια όμορφη γυναίκα που αποσπά πληροφορίες σε αναπτυσσόμενες χώρες!) στην εποχή μας επικεντρώνονται ακριβώς στον τομέα συλλογής και σύνθεσης αδιαβάθμητων πληροφοριών μέσω (ψηφιακών) ανοικτών πηγών (Internet, συνέδρια, συνεντεύξεις, περιοδικά, εφημερίδες κλπ) σε συνδυασμό με άλλες μεθόδους που δεν είμαστε σε θέση να γνωρίζουμε αλλά απλά φανταζόμαστε. Σε κάθε περίπτωση όμως σήμερα η ψηφιακή πληροφορία στα πλαίσια του βιομηχανικού απορρήτου είναι πλέον η πρώτη προτεραιότητα όσον αφορά στη φύλαξή της, στη συλλογή της, στη σύνθεσή της και την αξιοποίησή της.
Η σύνθεση πληροφοριών ανοικτών πηγών στην έννοια της κοινωνικής μηχανικής αποτελεί το πρώτο ή το αρχικό παράλληλο στάδιο. Εκτελείται με ιδιαίτερη ευκολία και αποτελεί μια ιδιαίτερα επιτυχημένη μέθοδο. Ως στόχος χρησιμοποιείται κάποιο στέλεχος της εταιρείας ή ένας απλός υπάλληλος σε αμέριμνες στιγμές του ή σε επιλεγμένες ψυχικές καταστάσεις ή ακόμα και από τις ψηφιακές πληροφοριές που αυτός αφήνει στο διαδίκτυο. Μερικά από αυτά τα ηλεκτρονικά ίχνη (πληροφορίες) που αυτός ο ίδιος αφήνει να αιωρούνται στον κυβερνοχώρο μπορούν να κατασταστούν ιδιαίτερα επιζήμια για τον ίδιο προσωπικά ή για τον οργανισμό του. Γενικά χρησιμοποιούνται ανοικτές πηγές με αναζητήσεις στον κυβερνοχώρο (Internet, φωτογραφίες, βίντεο, δημοσιεύσεις, βάσεις δεδομένων, κοινωνικά μέσα κ.α.) αλλά και στον φυσικό κόσμο με τηλεφωνικές λίστες, πεταμένα προσωπικά δεδομένα με ταχυδρομικές διευθύνσεις ή γραμμένους κωδικούς στα καλάθια σκουπιδιών! Η τελευταία είναι μια ιδιαίτερα πετυχημένη μέθοδος (ονομάζεται Dumpster Diving) που αποτελεί την παλαιότερη τακτική στην κοινωνική μηχανική και θα εξετασθεί στην συνέχεια.

Ορισμός κοινωνικής μηχανική (Social Engineering)
Λόγω της φύσης της η έννοια της κοινωνικής μηχανικής είναι σχετικά δύσκολο να καθοριστεί και ακόμα πιο πολύπλοκη στο να περιγραφεί και να οριστεί. Οι μέθοδοι, τεχνικές και η αποτελεσματικότητα της είναι συνεχώς εξελίξιμες και δυναμικές και όπως όλες οι επιθέσεις, προσαρμόζεται στον στόχο και στον αμυνόμενο. Η προσπάθεια να διευκρινιστεί μέσω ορισμού επιφέρει μεγαλύτερη δυσκολία σε κάθε απλό πληροφοριακό χρήστη, ενώ, μέσω της εξέτασης των παραδειγμάτων και των αποτελεσμάτων που επιφέρει σε περίπτωση επιτυχίας, η κατανόηση και απορρόφηση της έννοιας καθίσταται ιδιαίτερα εύκολη. Σε κοινωνικά, καθαρά επίπεδο, η κοινωνική μηχανική είναι απάτη (περιλαμβάνει εξαπάτηση), και ορίζεται ως η καθοδήγηση/χειρισμός ανθρώπων στη συμπεριφορά και στην αποκάλυψη πληροφοριών. Σε καθαρά πληροφοριακό επίπεδο, ορίζεται αντίστοιχα ως πληροφοριακή απάτη με σκοπό το hacking σε διαφορετικά επίπεδα.
Σήμερα εφαρμόζονται πολλές τεχνικές (σε υλικό και εφαρμογές) που σκοπό έχουν να αποτρέψουν την επιτυχία μια προαποφασισμένης επίθεσης στο εσωτερικό μας δίκτυο. Στον αντίποδα, η κοινωνική μηχανική έχει ως σκοπό να παρακάμψει όλες αυτές τις τεχνικές και συστήματα και επικεντρώνεται στους απλούς ανθρώπινους χρήστες, στην ψυχολογία τους, στους τρόπους συμπεριφοράς τους, στο μυαλό τους, στα συναισθήματά τους, στο wetware. Η ανθεκτικότητα της κοινωνικής μηχανικής σε προσπάθειες παράκαμψης των μέτρων ασφαλείας έγκειται κυρίως στην έλλειψη του παράγοντα εκπαίδευσης προσωπικού στις πολιτικές ασφαλείας των δικτύων μας. Η επέκταση της απειλής θα συμβαίνει όσο η επιχειρηματική κοινότητα ή οι κρατικοί οργανισμοί με σημαντική αξία εσωτερικού δικτύου (πλήθος χρηστών) δεν αντιλαμβάνονται το πόσο ευάλωτοι καθίστανται σε αυτού του είδους τις επιθέσεις.
Μια απλή αναδρομή στην κατασκευή και δομή των υπολογιστικών συστημάτων είναι ότι αυτά είναι κατασκευασμένα να παρέχουν προγραμματισμένες αντιδράσεις (unconditional response) σε καθορισμένες εντολές (instructions). Οι περισσότερες τεχνικές/πολιτικές ασφαλείας επικεντρώνονται σ’ αυτό ακριβώς το επίπεδο, παρέχοντας προστασία των υπολογιστικών συστημάτων επιτρέποντας ή απαγορεύοντας την πρόσβαση σ’ αυτά. Η κοινωνική μηχανική, όμως, επιχειρεί να εξετάσει και να εισχωρήσει στην πληροφορική ασφάλεια αδιαφορώντας για την αρχιτεκτονική των ψηφιακών μηχανών ή δικτύων αλλά στοχοποιώντας την ανθρώπινη φύση, τα συναισθήματα και τις τάσεις της.
Όπως, ακριβώς, γνωρίζουμε το hardware (υλικό) και το software (λογισμικό) καθώς και την συνεργασία μεταξύ τους για την παροχή πληροφοριακής ασφάλειας μια νέα έννοια ορίζεται ως επίσης καθοριστικός παράγοντας στην ασφάλεια: το WETWARE. Το wetware αποτελεί αναπόσπαστο εργαλείο “εγκατεστημένο” στον υπολογιστή και απλά περιγράφει τις ανθρώπινες αντιδράσεις σε συνεργασία με το υπόλοιπο υπολογιστικό υλικό και εφαρμογές και κατ’ επέκταση με ολόκληρο το εσωτερικό δίκτυο του οργανισμού. Περιγράφει απλά τον άνθρωπο που χειρίζεται τον υπολογιστή ενός εσωτερικού δικτύου ο οποίος αποτελεί τη (νοητή) διασύνδεση με όλα τα υπόλοιπα δίκτυα (διαδίκτυο, σταθερή τηλεφωνία, κινητή τηλεφωνία, κοινωνικά μέσα, φυσικές κοινωνικές επαφές, κλπ). Το Wetware είναι αντίστοιχα κρίσιμο για την ασφάλεια του δικτύου όπως ακριβώς είναι το hardware και το software, αφού όλο το υλικό, λογισμικό, servers, συσκευές εισόδου/εξόδου, γραμμές σύνδεσης, συνδέονται αποκλειστικά με τους χειρισμούς και το μυαλό του χρήστη με το αντίστοιχο Username στο εσωτερικό δίκτυο. Σε γενικότερο επίπεδο, το Wetware ως πληροφοριακός όρος έχει περιγραφεί «ως το management των ανθρώπων σε συσχετισμό με την θέση τους και τη λειτουργία τους στην κοινωνία».
Οι πιθανότεροι στόχοι στην κοινωνική μηχανική είναι οι υπάλληλοι και τα στελέχη που βρίσκονται σε θέσεις στις οποίες διαχειρίζονται ευαίσθητες πληροφορίες. Ενώ οι ίδιοι αντιλαμβάνονται πλήρως τη συναίσθηση του καθήκοντός τους, αυτό δε σημαίνει απαραίτητα ότι κατανοούν και τους ψηφιακούς κινδύνους, αφού οι ίδιοι δεν είναι επαγγελματίες IT. Γνωρίζουν τη βάση εφαρμογής της πολιτικής ασφαλείας αλλά δεν είναι πάντα ενήμεροι για τη συνεχώς εξελίξιμη επιτυχημένη έννοια της ψηφιακής εξαπάτησης.
Σημαντικός είναι επίσης ο κίνδυνος που μπορεί να προκύψει “από μέσα” από τους ίδιους τους υπαλλήλους μιας εταιρείας είτε εκούσια είτε ακούσια. Ο παράγοντας αυτός μας είναι γνωστό και από το φυσικό κόσμο, αφού μεγάλο ποσοστό κάθε εγκλήματος προέρχεται από τον ίδιο το γνωστό κύκλο του θύματος. Σε μελέτες που έχουν γίνει αποδεικνύεται ότι το 30% των παραβιάσεων ασφαλείας γίνεται από εξωγενείς παράγοντες. Αυτό σημαίνει ότι το υπόλοιπο 70% των παραβιάσεων ασφαλείας γίνεται από μέσα, δηλαδή τους υπαλλήλους που χειρίζονται το δίκτυο υπολογιστών της εταιρείας ή του οργανισμού ή ήταν πρώην (απογοητευμένοι και εκδικητικοί) υπάλληλοι της εταιρείας στο άμεσο προηγούμενο χρονικό διάστημα.

Πληροφοριακή Κουλτούρα (Απλών Χρηστών και Διαχειριστών Δικτύου)
Η πληροφοριακή κουλτούρα, ένας σημαντικός παράγοντας της κοινωνικής μηχανικής, ως ένα βαθμό αντανακλά το επίπεδο εκπαίδευσης που έχει το σύνολο ενός λαού, συνόλου ή ομάδας υπαλλήλων. Αντανακλά το επίπεδο επιμόρφωσης του προσωπικού /υπαλλήλων στην φιλοσοφία της ασφάλειας του εσωτερικού δικτύου του οργανισμού καθώς και στην έννοιας της πληροφορίας για τον οργανισμό. Ο υπάλληλος ως τελικός απλός χρήστης του εσωτερικού δικτύου μεταμορφώνεται σε βασικό (δια)χειριστή της ασφάλειας του δικτύου του οργανισμού, όσον αφορά τη διαθεσιμότητα αυτής της πολύτιμης, για τον οργανισμό εγκατάστασης, χωρίς όμως, πολλές φορές να διαθέτει το απαραίτητο υπόβαθρο για την υποστήριξή της. Σε τοπικό επίπεδο χρήστη ο ανθρώπινος παράγοντας περνάει στις περισσότερες περιπτώσεις σε δεύτερη μοίρα όσον αφορά την εκπαίδευση περί ασφάλειας υπολογιστικών συστημάτων.
Οι νεαρότερες ηλικίες, ακόμα και αυτοί που είναι περισσότερο εξοικειωμένοι με καθημερινές ηλεκτρονικές συναλλαγές καθώς και ηλεκτρονικά gadgets, διατηρούν στην αίσθηση τους ότι είναι ασφαλείς μόνο με ένα firewall και ένα antivirus. Ακόμα και σ’ αυτές τις ηλικίες, όπου το κινητό τους τηλέφωνο ξεπερνά τις δυνατότητες ενός διπήρυνου home pc, δεν παραλείπονται τα κενά ασφαλείας. Η ελεύθερη επικοινωνία με φίλους, γνωστούς και αγνώστους σε κοινωνικά μέσα όταν οι ίδιοι εργάζονται σε ευαίσθητους τομείς οργανισμών, ή, ακόμα και η αδυναμία τους να καλύψουν τα κενά ασφαλείας καταδεικνύουν τη χαμηλή αντίληψη των αρχών της πληροφοριακής ασφάλειας.
Ο διαχειριστής ασφαλείας (administrator) ενός δικτύου μιας επιχείρησης/οργανισμού, δεν είναι πάντα ο μόνος υπεύθυνος για την απώλεια ευαίσθητων πληροφοριών. Πιθανότατα, όμως, συγκαταλέγεται πάντα στους συνυπεύθυνους, αφού στις αρμοδιότητες του συγκαταλέγεται και η εκπαίδευση του προσωπικού και η αναβάθμιση της πληροφοριακής τους κουλτούρας που πολύ συχνά παραλείπεται. Η νοοτροπία της ομάδας διαχείρισης ασφαλείας στην συμπεριφορά ως “computers geeks υψηλού προγραμματισμού” απέναντι όλων των απλών υπαλλήλων και χρηστών είναι ασφαλώς παρωχημένη. Όπου αυτή εφαρμόζεται πιθανόν καταδεικνύει τη χαμηλή πληροφοριακή επιμόρφωση της ίδιας της ομάδας. Η ομάδα οφείλει να προστατεύει τον οργανισμό μέσω του hardware, software αλλά και του malware. Σε καμία περίπτωση δεν δρα μεμονωμένα, γιατί με τον τρόπο αυτό το προσωπικό και ο κάθε υπάλληλος μεμονωμένα καθίσταται ο πιο αδύναμος κρίκος στην ασφάλεια των υπολογιστικών συστημάτων.
Για την εξέταση της πληροφοριακής κουλτούρας του ελληνικού κοινού αποτελεί ιδιαίτερη πρόκληση η μικρή ανάλυση της σημερινή τεχνολογικής διείσδυσης του ελληνικού πληθυσμού στις τεχνολογικές εφαρμογές. Η πληροφοριακή κουλτούρα με την τεχνολογική διείσδυση είναι άρρηκτα συνδεδεμένες μεταξύ τους αφού καθορίζουν την ενσωμάτωση στην καθημερινότητά μας, στην επαγγελματική μας ζωή καθώς και στην εθνική νομοθεσία μας, πληροφοριακών όρων όπως cyber defense, phishing attack, Internet, κυβερνοάμυνα, κα. Ταυτόχρονα, καθορίζει τον τρόπο χρήσης της υπολογιστικής επιστήμης είτε ως πολύπλευρο επαγγελματικό ή προσωπικό εργαλείο για τη διευκόλυνση της καθημερινότητάς μας και την δημιουργικότητα μας, είτε ως ένα καινούριο gadget για surfing σε νέα και κουτσομπολιά μεταξύ φίλων ή στην ίδια απλή χρήση ως παιχνιδομηχανή όπως το 1985 με τον Commodore 64. Στο χειρότερο βαθμό η πληροφοριακή κουλτούρα μπορεί να εμφανίζεται σε κάποιους μηδενική, αφού ακόμα και αν λειτουργούν καθημερινά ως χρήστες σε κάποιον οργανισμό πιθανόν να το αισθάνονται ως ένα “καταναγκαστικό” εργαλείο που είναι απαραίτητο γιατί απλά καθίσταται υποχρεωτικό από την διεύθυνση του οργανισμού.

Η κοινωνική μηχανική διακρίνεται γενικά σε τέσσερις συνδυαστικές φάσεις που είναι: η συγκέντρωση πληροφοριών, η ανάπτυξη σχέσεων, η εκτέλεση και η εκμετάλλευση/αξιοποίηση των αποτελεσμάτων. Έχοντας ήδη αναλύσει τις μεθόδους συγκέντρωσης πληροφοριών και την στοχοποίηση χρηστών στο διάγραμμα 1 παρουσιάζονται όλες οι φάσεις. Στο επόμενο μέρος εξετάζονται τα ανθρώπινα χαρακτηριστικά που συνδράμουν την ανάπτυξη επιθέσεων κοινωνικής μηχανικής στις προσωπικές ή επαγγελματικές ψηφιακές πληροφορίες στο αντίστοιχο δίκτυο υπολογιστ

ΒΙΒΛΙΟΓΡΑΦΙΑ
1. Thomas R. Peltier CISSP, CISM (2006): Social Engineering: Concepts and Solutions, Information Systems Security, 15:5, 13-21, http://dx.doi.org/10.1201/1086.1065898X/46353.15.4.20060901/95427.3
2. Kurt Manske (2000): An Introduction to Social Engineering, Information Systems Security, 9:5, 1-7, http://dx.doi.org/10.1201/1086/43312.9.5.20001112/31378.10
3. Infosecurity Magazine, “Social engineering: Re-defining the human factor”, 24 May 2010, http://www.infosecurity-magazine.com/view/9697/social-engineering-redefining-the-human-factor/
4. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal: A Global Perspective, 18:1, 40-46, http://dx.doi.org/10.1080/19393550802623214
5. Alistair S. Duff (2005): Social Engineering in the Information Age, The Information Society: An International Journal, 21:1, 67-71, http://dx.doi.org/10.1080/01972240590895937
6. Cadet Derek Kvedar, 2nd Lieutenant Michael Nettis and Dr. Steven P Fulton, USAF Academy, “The Use of Formal Social Engineering Techniques to Identify Weaknesses during a Computer Vulnerability Competition”
7. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal:A Global Perspective, 18:1, 40-46, http://dx.doi.org/10.1080/19393550802623214
8. Lena Laribee, Captain, USAF, “Development of Methodical Social Engineering Taxonomy Project”, Naval Postgraduate School, June 2006, http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm
9. Security Tip (ST04-014), US CERT, http://www.us-cert.gov/ncas/tips/st04-014
10. Christopher J. Hadnagy & Eric Maxwerll, Social Engineering Capture the Flag Results, Defcon 20, http://www.Social-Engineering.org