Ingeniaritza sozial (segurtasun informatikoa)
Ingeniaritza soziala legezko erabiltzaileak manipulatuz ezkutuko informazioa eskuratzean datza. Teknika honen bidez, informazio sistemetan informazioa, sarbidea edo abantailak (pribilegioak) lor daitezke, erakundeak edo pertsonak kaltetuz.[1]
Segurtasun informatikoari dagokionean, punturik ahulena erabiltzaileak direla esan ohi da.[2]
Teknikak eta terminoak
Praktikan, ingeniari sozial batek telefonoa edo internet erabiliko du jendea iruzurtzeko, enpresa bateko langile baten, lankide baten, tekniko baten edo bezero baten plantak eginez. Internet erabiltzen bada, web orrialdeetako sarbide baimenen berritzearen eskaeren bidalketak edo erantzuna eskatzen duten posta elektroniko faltsuak erabiltzen dira.
Metodo honekin, ingeniari sozialak egoera batzuetan jendeak izaten dituen joerak aurreikusteaz baliatzen dira; adibidez, bankuko langile bati finantza datu pertsonalak emateaz. Honela, ingeniari sozialek ez dute sistema informatikoetan ahultasunak bilatu beharrik.
Termino garrantzitsuenak ondorengoak dira:
- Ingeniaritza soziala sare bateko erabiltzaile bati edo administratzaileari ziria sartzean datzan erasoa da.
- Eraso hauen helburua biktimak duen informazioa eskuratzea da.
- Erasotzailearentzat informazio hau erabilgarria izan dakioke edo informazio horren bidez, sistema batera sarbidea lor dezake.
- Ingeniaritza sozialaren helburua iruzurra da.
Pretextuak
Asmaturiko egoera baten sorkuntzan datza, biktimak informazio pertsonala erazagutzeko edo egoera normal batean arrunta izango ez litzateken modu batean jarduteko. Asmaturiko egoera hauetan biktimaren informazioa lortzeko, aurretiaz egindako ikerklana behar izaten da, sorturiko egoera sinisgarria izateko. Ikerlan honetan, erasotzaileak biktimak egin ahal dizkion galderen erantzunak prestatu behar ditu. Hori dela eta, garrantzitsua izaten da erasotzailearen inprobisatzeko abilezia eta honek hitz egiterakoan erabiltzen duen tonua, seriotasuna eta autoritatea ematen duen ahotsa behar izaten baitu.
Sare Sozialak
Faktore arriskutsuen artean, sare sozialen erabiltzaile gazteenen artean batez ere, informazioa pertsonala era konstante batean argitaratzearen joera gorakorra dago. Izan ere, beraien familien argazkiak, gustu pertsonalak... argitaratzen dituzte. Hori dela eta, sare sozialek gaizkileei erasoa burutzeko informazio ugari ematen diete, hots, zure izenean lapurretak egiteko adibidez.
Phishing
Eraso sinplea baina oso eraginkorra izan daiteke; izan ere, erabiltzaileari iruzur egitean datza, erasotzailea sistemako administratzailea dela pentsaraziz eta honela, pasahitzak eta bestelako datu pertsonalak lortuz. Ingeniari sozialek erabiltzen duten beste phishing metodo bat posta elektronikoei erantsita doazen fitxategien erabilpena da, hots, erabiltzaileak fitxategia jaistean, kode maltzur bat exekutatuz eta erabiltzailearen ekipoa kutsatuz. Ingeniaritza sozialari aurre egiteko erabiltzaileak hezi behar dira, segurtasun politikak erakutsiz eta hauek jarraituz.
Gaur egun eraso arrunta denez, hainbat era daude phisingari aurre egiteko:
- Gizartearen erantzuna: erabiltzaileak arriskuez ohartu eta gerta litezkeen erasoen aurrean trebatzean datza.
- Erantzun teknikoak: anti-phishinga eskaintzen duten programa informatikoak dira.
- Erantzun legegilea eta judiziala: herrialde desberdinek phisingari aurre egiteko dauzkaten legeen multzoa da.
Vishing
Inkesta bat izango balitz bezala kamuflatutako dei bat egitean datza, deia hartzen duen erabiltzailearen informazio pertsonala lortzeko, honek susmorik izan gabe.
Arrazoi honengatik, arreta izan behar dugu eta ez dizkiogu inori gure datu pertsonalak eman behar gure telefono hornitzailea, elektrizitate hornitzailea... izan harren.
Baiting
Baiting teknikan software maltzurra duten kanpo biltegiratze gailuak (CD, DVD edota USB memoriak) erabiltzen dira, edonorek aurki ditzaken leku batan utziz (igogailuak, liburutegiak...). Biktimak gailua aurkitu eta bere ordenagailuan sartzen duenean, softwarea instalatu egingo da. Honela, erasotzaileak biktimaren datu pertsonalak lortzen ditu.
Baitingari aurre egiteko, kontuz ibili behar gara gure gailuetan sartzen ditugun gailuekin; izan ere, gu konturatu gabe gure sistemetan edozein software maltzur sartzen egon gaitezke.
Quid pro quo
Quid pro quo "zerbait zerbaitegatik" esan nahi duen latinetik eratorrirako esaldi bat da. Erasotzaileak enpresa bateko telefono zenbakiei dei egiten die, euskarri teknikotik deitzen ari dela esanez. Teknika honen bidez, erasotzaileak sarbide datuak lortu ahal izango ditu eta erasoa burutuko du.
Ingeniari sozial aipagarriak
Informatiko eta segurtasun aholkularia. Bere ustetan, norbaiteri ziria sartzea eta sistema bateko pasahitza ematea errazagoa da sistema horretan indarrean sartzea baino. Bere ustetan, ingeniaritza sozialak lau oinarri hauetan oinarritzen da:
- Denok lagundu nahi dugu.
- Lehenengo mugimendua bestearekiko konfiantzazkoa da.
- Ez zaigu ez esatea gustatzen.
- Denoi gustatzen zaigu goretsiak izatea.
Christopher Hadnagy
Segurtasun irakaslea. Ingeniaritza sozialari buruz printzipio fisiko eta psikologikoak idatzi zituen lehena izan zen. Idatzitako liburuengatik, podcastengatik eta DEF CON Social Engineer Capture the Flag eta Social Engineer CTF for Kidsen sortzailea izateagatik da ezagutua gehien bat.
Mike Ridpath
Segurtasun aholkularia, autore eta hizlaria. Cold calling (deiak hotzean) deritzon teknikak eta taktikak azpimarratzen ditu. Ezaguna egin zen erregistratutako deiak erreproduzitzen eta zuzenean pasahitzak nola lortu frogatzen zituen hitzaldiak emateagatik.
David Pacios Izquierdo
Ingeniaritza Sozial Aplikatuko terminoaren sortzailea, iruzur digitalak eta Hacking Sozialaren ikasketen artean desberdintzeko erabilia. Ingeniaritza Sozial Aplikatua: Lehenengo defentsa lerroa (Ingeniería Social Aplicada: Primera línea de defensa) liburuaren egilea. Deep Webean egiten den merkataritzari eta giza hackingari buruzko hitzaldiengatik ezagutua.
Badir Anaiak
Ramy, Muzher eta Shadde Badir anaiak, jaiotzez itsuak direnak, ingeniaritza soziala, ahotsaren pertsonifikazioa eta Braille pantailadun ordenagailuak erabiliz iruzur telefoniko eta informatiko ugari burutu zituzten Israelen 90. hamarkadan.
Erreferentzia
- 1963-, Mitnick, Kevin D. (Kevin David),. (2002). The art of deception : controlling the human element of security. Wiley Pub ISBN 0471237124. PMC 50797873. (Noiz kontsultatua: 2018-11-27).
- Rojas, Joxe. (2022). Horrelakoak dira 3 iruzur informatiko ohikoenak | Teknopataren txokoa. (Noiz kontsultatua: 2022-10-18).
Bibliografia
- Mitnick, Kevin D., William L. Simon, Steve Wozniak. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, 2002. ISBN 0-471-23712-4.
- SirRoss, 19 de enero de 2005. A Guide to Social Engineering, Volume 1 A Guide to Social Engineering, Volume 2. AstaLavista.