De media staan tegenwoordig bol van fraudes, virussen en ‘spyware’, en de beveiligingen daartegen. Firewalls, encryptie en andere voorzieningen zijn zeker nodig, maar niet voldoende. In The art of deception laat meester-hacker Kevin Mitnick zien hoe je door middel van ‘social engineering’ in korte tijd bijna overal kunt binnenkomen.
‘Social engineering’ is het ontwerpen en uitvoeren van een plan om mensen te misleiden en zo de gewenste informatie te verkrijgen. Meestal via de telefoon, door stukje bij beetje voldoende informatie te vergaren om uiteindelijk eenvoudig toegang tot de gewenste informatie te krijgen. Daarvoor moet je slim zijn, voldoende sociale intelligentie hebben en kunnen improviseren, maar de techniek staat op de laatste plaats. Bij ‘reverse social engineering’ doet de hacker zich voor als autoriteit: hij saboteert eerst het netwerk en biedt zich vervolgens aan als expert om het probleem op te lossen – en krijgt zo toegang tot het netwerk.
Een voorbeeld uit het boek. Brian, een buitenstaander, belt het hoofdkantoor van een bekend bedrijf in Chicago en wil doorverbonden worden met meneer Jones. "Welke meneer Jones?" Brian wendt voor dat hij een papiertje zoekt waarop dat staat, en zegt: "Ach, lees die voornamen even op, en in welke afdeling ze werken?" Hij kiest er één uit, en vraagt daarmee verbonden te worden. Als hij Jones aan de lijn krijgt, zegt hij: "Met Tony van de salarisafdeling. We hebben net uw verzoek verwerkt om uw salaris voortaan naar de spaarrekening over te maken." Meneer Jones ontsteekt in woede. Tony biedt aan om dat zo snel mogelijk te corrigeren, maar kan dat alleen doen als hij zijn employeenummer en andere gegevens heeft – die hij direct krijgt.
Vervolgens belt Brian het bijkantoor in Austin, Texas en vraagt naar de systeembeheerder. "U spreekt met Joseph Jones, Nieuwe Projecten. Ik ben volgende week in Austin en zou graag toegang tot het netwerk willen hebben vanuit Hotel Driskill. "Hij beschikt over voldoende gegevens en krijgt de gevraagde toegang. "Je gebruikersnaam blijft ‘jbjones’ en het wachtwoord is ‘changeme’."
Twee telefoontjes binnen vijftien minuten slechts, waren voldoende. Daarom hoef je helemaal niet moeilijk te doen om allerlei technische voorzieningen te kraken. Je moet wel over improvisatievermogen beschikken en de ander weten te overdonderen, en zo nodig een tweede telefoniste te bellen. Belangrijk is vaak ook dat je weet hoe het bedrijf georganiseerd is. Het verzamelen van op zich onbeduidende informatie via telefoon of het web, blijkt voldoende te zijn.
Kevin Mitnick werd veroordeeld tot celstraf voor inbreken in het netwerk van Digital. Na zes jaar werd hij in 2000 voorwaardelijk vrijgelaten en sindsdien heeft hij een bedrijf dat andere bedrijven helpt zich te beveiligen tegen dit soort praktijken. Met dieven vangt men dieven.
In het niet opgenomen eerste hoofdstuk (verspreid via internet) beschrijft hij hoe hij in zijn arme jeugd (gescheiden ouders en een hardwerkende moeder) uit verveling via ‘social engineering’ allerlei dingen gratis kon krijgen. En het werd een verslavend spelletje om te zien hoe ver hij kon gaan.
Het boek leest als een sneltrein. Er staan zeker wel honderd gevallen beschreven. Een thriller van de eerste orde, vol leedvermaak voor de lezer. Aan het eind staat een systematisch overzicht van ‘social engineering’ en wat je er tegen kunt doen. Daarnaast houdt Mitnick een lange tirade tegen mensen die van zijn verhaal geprofiteerd hebben. Interessant, maar weinig ter zake doende..
Na het lezen raak je beter op je hoede, herken je beter zo’n aanbieding waarvan je deze alleen nog maar deze maand kunt profiteren, en allerlei andere trucjes die bij verkopen en marketing gebruikt worden. Want ‘social engineering’ beperkt zich natuurlijk niet tot computersystemen, maar betreft juist álle intermenselijke contacten. Het dilemma is wel dat bedrijven nauwelijks meer kunnen werken als je al zijn raadgevingen opvolgt. Mensen zijn van nature best behulpzaam en worden graag geholpen en gevleid – dat is de smeerolie of de goed aangewende ‘social engineering’ waardoor organisaties kunnen functioneren. Als je die om zeep helpt, kunnen de nadelen veel groter zijn dan de voordelen van bescherming. Elk bedrijf zal daarom een balans moeten vinden tussen de bescherming tegen kwade aanvallen van buiten en goed intern functioneren.
‘The art of deception’ is op dit moment alleen in het Engels te verkrijgen. Het zou snel vertaald moeten worden zodat iedereen – ook alle telefonisten, helpdeskmedewerkers en secretaresses – het kunnen lezen. Verplichte lectuur, want mensen zijn verreweg de zwakste schakel van de beveiliging!
K. Mitnick en W.L Simon
The art of deception,
J. Wiley (2002)
Prijs: $ 27,50
ISBN 0-471-23712-4
Hein van Steenis, freelance medewerker