1. Ingineria Sociala

De Bogdan-Gabriel TORCESCU
CEO, RedShift IT SRL

2. Inginerie Sociala

Ce este Ingineria Sociala?
Ingineria sociala (engleza Social Engineering)
este un termen prin care se intelege arta de a
influenta, de a manipula si de a minti. Cu alte
cuvinte, este priceperea unor maestri in
psihologia maselor de a-i face pe altii să
gandeasca si sa creadă ceea ce 'maestrul' vrea
ca acei "altii" sa creada.

3. Inginerie Sociala
Termenul de inginerie sociala a fost pus in
circulatie de un hacker autointitulat CitiZen-0ne,
cu scopul de a desemna modul in care
actioneaza initiatorii jocurilor (sau afacerilor)
piramidale Exemple ar fi jocul piramidal Caritas
(1991-1994) care, bazandu-se pe mirajul
banilor nemunciti, a lasat fara economii un
mare numar de participanti, sau Delphin
International (inceput in 2002), care
functioneaza pe acelasi principiu.
(sursa: wikipedia)

4. Inginerie Sociala

Implicatii in securitatea informatica
Adesea ingineria sociala este folosita in
securitatea informatica. Sunt cazuri cand un
hacker nu poate lua acces intr-un sistem
informatic, in modalitati clasice, iar atunci
acesta poate apela la manipularea celor ce
folosesc respectiv, administreaza acel sistem
pentru a lua acces.

5. Inginerie Sociala
Cu toate astea, ingineria sociala face parte din
viata noastra de zi cu zi, caci folosim tehnici ce
fac parte din aceasta de multe ori fara sa stim
cand negociem un contract, cand rugam pe
cineva sa amane plata unei datorii...
Ingineria sociala are la baza tehnici de
manipulare, iar aici prin manipulare intelegem
modalitati de a induce interlocutorului, o
perceptie malformata asupra scopului, implicit
subiectului abordat.

6. Inginerie Sociala
Aceasta se realizeaza cel mai des folosind
declansatori in subconstient, acestia se
bazeaza pe tipare de gandire generale ce sunt
actionate de catre manipulator, si fiecare
conduc subiectul intr-o anumita stare, ce
permite, fie inducerea unor conexiuni rationale
(rationamente), noi, ce vor servi apoi ca
declansator, fie formeaza pareri (induse) vis-a-
vis de subiectul aflat in discutie.

7. Inginerie Sociala
O alta tehnica des intalnita este inducere starii de
confuzie, si blocaj mental.
Aceasta are rolul de a suspenda procesele
naturale ale psihicului implicit o data cu acesta
si barierele naturale de protectie. Dupa acesta
manipulatorul poate ”programa” efectiv mintea
subiectului, spunandu-i cum sa reactioneze pe
moment sau pe viitor cand se va regasi intr-un
context, folosit in cazul de fata ca declansator.
Acesta tehnica este cunoscuta sub numele NLP.

8. Inginerie Sociala
Bun, hai sa vedem un exemplu practic de astfel
de manipulare.

http://www.youtube.com/watch?feature=player_emb

9. Inginerie Sociala
Sa lamurim un lucru, in video, tipul a fost putin
misogin, de fapt a folosit asta, pentru a distrage
atentia celui ce il vizioneaza, de la orice
intrebare i-ar veni in minte vizavi de tehnica, si
ce a urmarit prin fiecare propozitie adresata
subiectului. Pauzele facute in conversatie si
adresarea directa catre camera au avut si ele
rolul lor.

10. Inginerie Sociala

Pana unde poate duce acesta manipulare?
Pe scurt imaginatia este limita, as lua ca
exemplu, un italian, ce a folosit manipularea
pentru a fura efectiv, mai exact NLP-ul.
Folosind o tehnica a acestuia numita hipnoza in
trei pasi.
Tipul intra in supermaket, cumpara unul sau doar
cateva produse trecea pe la casa si iesea
linistit. La finalul zilei cand vanzatoarea verifica
banii din casa observa ca lipsea o suma
semnificativa.

11. Inginerie Sociala
Dupa investigatii, s-a descoperit, ca tipul folosea
NLP, pentru a programa vanzatoarea cum ca i-
ar fi dat o batcnota mai mare decat in realitate
primind restul aferent acesteia.
Vanzatoarea isi amintea doar ca acel individ
ajuns la casa i-a spus ceva la ureche, dupa
care nu-si mai putea aduce aminte nimic vizavi
de acel client. Nici ce a cumparat, nici daca i-a
platit.

12. Inginerie Sociala
Un lucru bun, este ca aceste tehnici nu sunt
accesibile oricui, si informatiile cu privire la
acestea sunt precare, si totusi o persoana
specializata poate avea acces in multe locuri
unde n-ar trebui sa aiba.
Mai este de mentionat aici parapsigologia, ce
cuprinde tehnici prin care de exemplu, doar
vazand un obiect, fara ca cineva sa iti fi vorbit
despre acesta sa ai o dorinta irezistibila,
inexplicabila de a-l achizitiona. Aceasta de
asemenea este o ramura a tehnicilor de
manipulare extrem de greu accesibila.

13. Inginerie Sociala

Exercitiu de imaginatie :)
Iar acum, haideti sa facem un exercitiu de
imaginatie pentru a percepe mai usor
implicatiile si modul de utilizare a ingineriei
sociale cel mai frecvent intalnite.
Ganditi-va cu un individ, Ion, a fost angajat de o
companie D&S, pentru a sustrage de la
concurenta, compania Rale, o baza de date
interna si o aplicatie ce le-ar permite celor de la
D&S sa ii scoata de pe piata pe cei de la Rale.

14. Inginerie Sociala
Compania Rale, a are un sistem de securitate
destul de bun, astfel Ion nu a reusit sa patrunda
in serverele acesteia din exterior, in continuare
a apelat la inginerie sociala.
Cautand informatii despre companie, Ion, il
gaseste pe seful departamentului it pe
facebook, Alex.

15. Inginerie Sociala
Observa astfel ca au un prieten comun pe
facebook, Lidia.
Ion aloca 2 saptamani pentru a relua relatiile cu
ea, si afla ca Alex este vecin de cartier al Lidiei,
astflel intr-o seara cand o conducea acasa, il
intalneste, Lidia le face cunostiinta si incep sa
dezbata subiecte comune.
Urmatoarea saptamana au iesit la bere cu inca
niste prieteni.

16. Inginerie Sociala
In discutie, Alex, ii spune ce proiecte are si Ion
vine cu solutii, revolutionare la problemele ce le
intampina Alex la locul de munca, reusind apoi,
in cateva intalniri sa-i induca lui Alex, ca are
nevoie de cineva cu care sa imparta munca iar
Ion este cea mai potrivita persoana.
Astfel Alex intervine pe langa seful sau,
spunandu-i cate s-ar putea rezolva cu inca
cineva care sa lucreze, convingandu-l, Ion este
chemat la interviu.

17. Inginerie Sociala
Interviul era una din tintele lui Ion, astfel putea
avea sansa sa patrunda in reteaua locala.
Ion se pregateste de interviu, si isi lasa
intentionat laptopul acasa, pentru a nu atrage
atentia prin intententia de a conecta ceva din
exterior la reteaua locala.
Totodata datorita faptului ca nu avea laptopul la
el i s-a oferit un cont ftp pe serverul unde era
baza de date si aplicatia de care avea nevoie,
pentru a rezolva testul de la interviu.

18. Inginerie Sociala
Chiar daca din exterior, serverul nu era
vulnerabil, o data ce Ion, a primit acces, a reusit
sa il exploateze pana la root.
Astfel in cateva zile a extras zeci de GB de date,
nu de alta dar wifi-ul lu' vecinu mergea greu.
Testul l-a dat cu succes, a fost acceptat, dar a
deturnat negocierea salariului cat sa nu fie
angajat.

19. Inginerie Sociala

Torcescu Bogdan-Gabriel

CEO RedShift-IT SRL

bogdan.torcescu@redshift-it.ro