Lankide:Arkaitz Legarra/Proba orria

Artikulu hau informatika buruzkoa da; beste esanahietarako, ikus «Ingeniaritza sozial (politika zientzia)».

Segurtasun informatikoaren esparruan, ingeniaritza sozial moduan ezagutzen den esparru bat existitzen da; erabiltzaileak manipulatuz, hauen informazio pribatua eskuratzea helburu duena. Ingeniari sozial batek Internet, telefonoa edo beste motako komunikabideak erabiltzen ditu biktima engainatzeko.

Isilpeko informazio hau mota ugaritakoa izan daiteke, eta helburu ezberdinetarako erabil dezake erasotzaileak: erabiltzailearen ordenagailura atzipena eskuratzeko, biktimari xantaia egiteko, bestelako informazio babestua lortzeko (adb.: biktimaren enpresako informazioa, etab.).

Segurtasun informatikoari dagokionean, punturik ahulena erabiltzailea bera dela esan ohi da; hori dela eta, eraso mota hauek oso zabalduak daude informatika munduan.

Esanahiak eta teknikak[aldatu | aldatu iturburu kodea]

Lehen aipatu bezala, biktimak erasotzeko, ingeniari sozial batek gailu ezberdinak erabili ohi izan ditu. Erasoak ere anitzak izan daitezke: erasotzailea bankuko langile bat balitz bezala aurkeztu daiteke, biktimaren hainbat datu eskatuz. Beste norantzan ere gertatu daiteke; demagun erasotzaileak bankuko kreditu-txartel bat eskuratu duela, honen jabea balitz bezala aurkez daiteke bankura egindako deiean, eta pasahitz aldaketa bat eskatu.

Interneti dagokionez, mezu elektronikoak erabiltzen dira webgune ezberdinetako autentikazio informazioa berritzeko edo zuzenean saioa hastera derrigortzeko. Azken kasuan gainera, autentikazioa eskatzen duten webgunearen kopia bat sortzen dute, biktimak susmorik ez izateko.

Teknika hauek gizakien joeraz baliatzen dira, jokaleku zehatz batzuetan hauen portaera aurreikus baitaiteke. Metodo hau erabiltzea, askotan errazagoa izaten da, sistema informatikoaren ahuleziak aurkitu eta ustiatzea baino.

Sare sozialak[aldatu | aldatu iturburu kodea]

Gaur egun egiten den sare sozialen erabilera ez da batere gomendagarria segurtasun informatikoaren ikuspuntutik, geroz eta informazio pribatu gehiago argitaratzen baita bertan (familiartekoen argazkiak, bisitatutako herri eta guneak, egoera sentimentala...). Hasiera batean informazio honek ez du baliagarria ematen erasotzaile batentzat, baina lehen aipatu bezala, erasoa gauzatzeko erasotzaileek edozein informazio ustiatu dezakete. Biktimaren gustuko diren gaiei buruz hitz egiten adibidez, konfidantza errazago eskuratuz...

Phishing[aldatu | aldatu iturburu kodea]

Eraso mota hauen artean ezagunenetarikoa eta erabilienetarikoa da phishing erasoa. Biktimak erabili ohi dituen webguneetako administrailearen izenpean mezuak bidaltzean datza, zerbitzurako esteka bat emanez eta sartu bezain laster saioa hastea eskatuz. Horrela, erasotzaileak pasahitza lortzen du. Gainera, informatika ezagutzarik ez duten erabiltzaileek pasahitz bakarra erabiltzeko joera dute webgune ezberdinetarako eta ondorioz, erasotzaileak biktimaren kontu ezberdinak kontrolatzea lortu dezake.

Oso zabaldua dago posta elektronikoan atxikita bidaltzen diren fitxategietan birusak txertatzea. Mezu hauetan, ezaguna den norbaiten argazki pribatuak edo dohako programen exekutagarriak atxikitzen ditu erasotzaileak. Biktimak fitxategi hauek zabaltzen dituenean, gehitu den birus hori ere instalatzen da ordenagailuan.

Ausazko pasahitzekin probak egitea ere ingenieritza soziala kontsideratzen da, modu atomatizatu batean ohiko diren pasahitzen konbinazioak probatzen dira zuzena dena aurkitzen den arte. Biktimarekin erlazionatzen diren ezaugarri eta familiartekoen informazioa erabiltzen da pasahitzen konbinazio hauetan (adb.: derrigorrezkoa bada pasahitzak zenbakizko digituak izatea, normala da jaiotza-data erabiltzea).

Eraso mota hauek murrizteko, garrantzitsuena informatikarekin erlazionatutako oinarrizko kontzeptuen ezagutza da.

Azken urteetako ingeniari sozial famatuenetarikoa Kevin Mitnick da. Mitnick-ek iritzio dio, ingenieritza soziala lau portaerei esker dela posible:

1. Pertsona orok lagundu nahi du.
2. Gizakiok konfiantza dugu defektuz besteengan.
3. Ezezkorik esatea ez zaigu gustatzen.
4. Denoi gustatzen zaigu besteek gure lana eta izaera goraipatzea.

Baiting[aldatu | aldatu iturburu kodea]

Aldez aurretik infektatu diren gailu elektronikoak (USB, CD, DVD) toki publikoetan uztean datza. Gailua ikusteko erraza den tokietan, hain zuzen ere. Biktimak gailua aurkitu eta bere ordenagailura konektatzen duenean (eta honen ezagutzarik gabe) erasotzaileak programatutako softwarea exekutatzen da.

Bibliografia[aldatu | aldatu iturburu kodea]

• Mitnick, Kevin D., William L. Simon, Steve Wozniak. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, 2002. ISBN 0-471-23712-4.
• SirRoss, 19 de enero de 2005. A Guide to Social Engineering, Volume 1 A Guide to Social Engineering, Volume 2. AstaLavista.

Esteka interesgarriak[aldatu | aldatu iturburu kodea]

• Social Engineering Fundamentals
• Ingeniería social informática aplicada
• Información sobre ingeniería social y fraude de la Oficina de Seguridad del Internauta
• Informe sobre como recopilar información de seguridad