Social Engineering: Η "τέχνη" της υποκριτικής ως όπλο εξαπάτησης

Η αναζήτηση του ανθρώπου να ζει σε περιβάλλον ασφάλειας, γεγονός που καταγράφεται από τις πρώτες συγκροτημένες κοινωνίες, έως τους καιρούς μας, έφερε την ανάγκη δημιουργίας συστημάτων και υποδομών, που θεωρητικά προσφέρουν το μέγιστο δυνατό αποτέλεσμα, συνδυάζοντας τους ανθρώπινους πόρους και την τεχνολογία. Παρόλα αυτά, δεν λείπουν φαινόμενα όπου άνθρωποι με γνώση της τεχνολογίας και ικανότητα στην υποκριτική, επιτυγχάνουν να παρακάμπτουν όλα αυτά τα συστήματα και τις υποδομές, κάνοντας πράξη αυτό που ονομάζεται " Social Engineering"

Η τεχνολογική έκρηξη στις μέρες μας, προσέφερε τη δυνατότητα μέσω των ηλεκτρονικών υπολογιστών, στη δημιουργία συστημάτων εποπτείας, καταγραφής, αποτροπής και ειδοποίησης, περιορίζοντας σε μεγάλο βαθμό την ανθρώπινη παρέμβαση, η οποία έως τότε εμφανιζόταν στον τομέα της ασφάλειας με τους κλασικούς τρόπους (περίπολοι στατικές και μη – φυλάκια- εποχούμενοι φρουροί κ.λπ. ). Μέσα από μία μεγάλη γκάμα προϊόντων στην αγορά σήμερα, ο ενδιαφερόμενος πελάτης (ιδιωτικός οργανισμός ή δημόσιος, μεμονωμένος επαγγελματίας ή ιδιώτης για οικιακή ασφάλεια) επιλέγει το σύστημα και την πολιτική ασφαλείας που αναφέρεται στις απαιτήσεις κατά περίπτωση. Θεωρητικά λοιπόν, πιστεύουμε ότι ζούμε στον ασφαλή χώρο που έχουμε εμείς σχεδιάσει, ο οποίος είναι άτρωτος σε απειλές κατά της ζωής ή της περιουσίας.
Πιστεύουμε επίσης ότι έχουμε συστήματα έγκαιρης προειδοποίησης σε περίπτωση εισβολής στον χώρο μας και ότι κατασταλτικά έχουμε τη δυνατότητα να επέμβουμε με τους άνδρες ασφαλείας.

Μέχρι εδώ όλα φαντάζουν ιδανικά, έως ότου να παρέμβει στη ζωή μας εκείνος που έχει αναγάγει την υποκριτική, τη γνώση της τεχνολογίας και κατά ένα μεγάλο ποσοστό αυτό που η ψυχιατρική θα ονόμαζε διχασμό προσωπικότητας, σε τέχνη, με ζητούμενο το οικονομικό όφελος ή απλά την επιβεβαίωση του υπερεγώ.

Και εάν τα παραπάνω ξενίζουν τον αναγνώστη, ας ξεκινήσουμε με μερικά παραδείγματα:
Παράδειγμα πρώτο:
Στις αρχές της δεκαετίας του ’90 σε μεγάλη εταιρεία πληροφοριακών συστημάτων διαπιστώθηκε παράνομη πρόσβαση χωρίς να έχει παραβιαστεί το σύστημα, από εξωτερικό άτομο που δεν είχε καμία σχέση με την εταιρεία. Μετά από έρευνα του τμήματος ασφαλείας και κατάθεση υπαλλήλων, ακούστηκε το παρακάτω καταπληκτικό περιστατικό από μία υπάλληλο: "Θα ήταν περίπου 9 το πρωί, όταν με κάλεσε στο τηλέφωνο του γραφείου ο υπεύθυνος του τμήματος μηχανογράφησης και μου ζήτησε να ακολουθήσω τις οδηγίες του, διότι έκανε έλεγχο ασφαλείας του συστήματος. Αφού μου ζήτησε να πληκτρολογώ διάφορες εντολές, κατόπιν μου ζήτησε για επιβεβαίωση τον κωδικό πρόσβασής μου στον υπολογιστή, ενώ έπειτα μου ζήτησε να τον επανεκκινήσω, ολοκληρώνοντας  διαδικασία ελέγχου". Ο υπεύθυνος της μηχανογράφησης δεν είχε ποτέ επικοινωνήσει με την υπάλληλο και ποτέ δεν θα έκανε άλλωστε αυτήν τη διαδικασία, εφόσον είχε πλήρη εξουσιοδότηση να ελέγχει όλα τα τερματικά της εταιρείας από τον υπολογιστή του. Η υπάλληλος τελείωνε την κατάθεσή της, λέγοντας, ότι ήταν τόσο πειστικός που δεν θα μπορούσε ποτέ να φανταστεί πως επρόκειτο για απλόν απατεώνα. Η υπάλληλος είχε εξαπατηθεί με τον τρόπο που είναι γνωστός ως Social Engineering ή «Κοινωνικά Εφαρμοσμένη Μηχανική»ν έναν όρο που επινοήθηκε στην Αμερική προκειμένου να προσδώσει τη διαδικασία όπου κάποιος υποκρίνεται μια ιδιότητα ή πρόσωπο, δίχως να γίνεται αντιληπτός, με ζητούμενο την απόσπαση πληροφοριών ή πρόσβασης σε υπολογιστικά συστήματα ή φυσικούς χώρους. 

Παράδειγμα δεύτερο:
¶γνωστο άτομο υποδυόμενο τεχνικό μεγάλης εταιρείας ηλεκτρονικών υπολογιστών, διείσδυσε σε κρατική υπηρεσία και απέσπασε τους σκληρούς δίσκους από το γραφείο της ιδιαιτέρας του γενικού γραμματέα.

Παράδειγμα τρίτο:
Νεαρό άτομο υποδυόμενο τον προσληφθέντα νοσηλευτή σε μεγάλο κρατικό νοσοκομείο της Αθήνας, χαρτογραφούσε τους χώρους, λίγες μέρες πριν επιχειρηθεί ληστρική επιδρομή εναντίον της χρηματαποστολής του προαναφερόμενου οργανισμού, με τραγική κατάληξη τη δολοφονία του ταμία.
Θα μπορούσαμε να παραθέσουμε αρκετά περιστατικά μέσα από την ελληνική και τη διεθνή βιβλιογραφία, που αποτυπώνουν το φαινόμενο του Social Engineering. Ο συγκεκριμένος όρος δεν είναι ευρύτατα γνωστός, ακόμη και σε στελέχη ασφαλείας και θεωρείται από τις πλέον εξειδικευμένες μορφές εξαπάτησης. Η αντιμετώπιση του φαινομένου δεν υπήρξε έως σήμερα αποτελεσματική, διότι η εξαπάτηση διαφέρει από περιστατικό σε περιστατικό και αυτό οφείλεται σε παραμέτρους όπως το περιβάλλον που πρόκειται να εξαπατηθεί, ο ρόλος που καλείται να υποδυθεί ο επίδοξος απατεώνας και τα μέσα που θα χρησιμοποιήσει. Επίσης γίνεται προπαρασκευαστική αυτοψία των δυνατοτήτων των έμψυχων συστημάτων ασφαλείας, αλλά και της τεχνικής υποδομής.
Η μέθοδος είναι γνωστή βέβαια και χρησιμοποιείται στο χώρο της κατασκοπείας εδώ και αρκετά χρόνια. Ένα παράδειγμα της μεθόδου, είναι το να υποδύεται ο κατάσκοπος τον αυτόχθονα όταν επιχειρούσε σε ξένα εδάφη, εκεί όπου η γνώση και η υποκριτική είναι απαραίτητα συστατικά για την επιτυχία της αποστολής του κατασκόπου. Αλλά ας επανέλθουμε στο αντικείμενο μας.
Εδώ λοιπόν βρίσκεται και ο σοβαρός ρόλος του σχεδιασμού της πολιτικής ασφαλείας κατά περίπτωση, λαμβάνοντας ως πρώτο κριτήριο το βαθμό τρωτότητας  που ενδεχομένως να εκμεταλλευτεί ο εξαπατών. Συνήθως, η αντιμετώπιση των υπαλλήλων ασφαλείας που εργάζονται σε ιδιωτικούς οργανισμούς, αλλά και δημόσιους, προς τους εισερχόμενους επισκέπτες αλλά και άλλους υπαλλήλους, ειδικότερα στη δεύτερη περίπτωση έχει να κάνει με τις διαπροσωπικές επαφές, όπως αυτές αναπτύσσονται με το χρόνο ή τις φιλικές σχέσεις. Η αντιμετώπιση των αγνώστων επισκεπτών, δεν προσεγγίζεται από την οπτική του ενδελεχούς ελέγχου, αλλά σε αυτόν τον καθαρά τυπικό έλεγχο. Ο υπάλληλος ασφαλείας, συνήθως, στο άκουσμα του εισερχόμενου επισκέπτη ότι είναι γνωστός του Γενικού Διευθυντή ή κάποιου τμηματάρχη, δεν προχωρά στη διαδικασία που προβλέπεται ή έχει εκπαιδευτεί, φοβούμενος τη δυσμένεια που ίσως να δημιουργήσει για το άτομό του.
Εκεί ακριβώς επικεντρώνει και την τεχνική του ο εξαπατών, επικαλούμενος τη γνωριμία με κάποιο ανώτερο στέλεχος. Επιβάλλεται ο έλεγχος να είναι ο ίδιος, ακολουθώντας τη διαδικασία ασφαλείας, ακόμη και εάν πρόκειται για κάποιο σύμβουλο ή ακόμη και για το Γενικό Διευθυντή. ¶λλωστε, ο καλός επαγγελματίας γίνεται σεβαστός από όλους, ακόμη και εάν τους υποβάλλει σε διαδικασίες που ενδεχομένως λειτουργούν εκνευριστικά στην αρχή, για αυτούς.
Είναι λανθασμένη η άποψη πως εάν η διαδικασία σε ανώτερα και ανώτατα στελέχη είναι ελαστική έως ανύπαρκτη, αυτό υποδηλώνει και σεβασμό προς την ιδιότητά τους.
Η πολιτική ασφαλείας δεν εξαρτάται από το ποιον ελέγχουμε κατά περίπτωση, αλλά στο εάν ακολουθούμε τη διαδικασία, παραβλέποντας ιεραρχία, βαθμό, ιδιότητα. Όπως είπαμε και παραπάνω, ενδεχομένως να γίνουμε δυσάρεστοι, αλλά ο επαγγελματισμός είναι το κύριο χαρακτηριστικό που πρέπει να αποζητούμε.
Η εξαπάτηση μέσω της «κοινωνικά εφαρμοσμένης μηχανικής» είναι τεχνική που αναπτύσσεται από ανθρώπους με ιδιαίτερα υψηλή νοημοσύνη και ταλέντο στο να υποδύονται ρόλους – και αυτό κάνει την κατάσταση από μόνη της δύσκολη.
Έχοντας μελετήσει ο εξαπατών, τη διαδικασία ασφαλείας, τη μέθοδο που ακολουθούν οι υπάλληλοι ασφαλείας και το κατά πόσο ενδιαφέρονται για τη δουλειά που κάνουν, γεγονός που αρκετές φορές είναι και το βασικό μειονέκτημα ή αλλιώς η «τρύπα» αν θα μπορούσαμε να χρησιμοποιήσουμε τον όρο στην ασφάλεια του φορέα, καταστρώνει το σχέδιο το οποίο βασίζεται στο μεγαλύτερο μέρος του στην πειθώ που έχει ως φυσικό χαρακτηριστικό του χαρακτήρα του και τις λεπτομέρειες του φορέα που έχει μελετήσει, έτσι ώστε να γνωρίζει ως να εργαζόταν σε αυτόν. ( «Γνώριζε τον εχθρό σου σαν τον εαυτό σου». Σουν Ζου "H τέχνη του πολέμου" ) Θα μπορούσαμε να αναπτύξουμε το θέμα σε αρκετές σελίδες, αλλά το ζητούμενο είναι να  μπορέσουμε να κατανοήσουμε μέσα από τις γραμμές αυτές, τη βασική θεωρία της κοινωνικά εφαρμοσμένης μηχανικής.
Ο τρόπος αντιμετώπισης δεν είναι έως σήμερα αποτελεσματικός στο 100%, αλλά ακολουθώντας συγκεκριμένες διαδικασίες και μέσα, μπορούμε να ελαχιστοποιήσουμε τις πιθανότητες να δεχθεί εισβολή το περιβάλλον μας – και παραθέτουμε κάποιες από αυτές:

• Χάραξη πολιτικής ασφαλείας η οποία θα είναι εφικτή στο πεδίο που θα εφαρμοστεί.
• Κατανόηση των υπαλλήλων ασφαλείας, ότι κανένας δεν εξαιρείται από τη ρουτίνα ελέγχου, σε όποιο βαθμό αξιώματος και να ανήκει.
• Εναλλαγή σε άτακτα χρονικά διαστήματα των κωδικών πρόσβασης σε ελεγχόμενους χώρους.
• Επαγρύπνηση των φρουρών και έλεγχος σε νέα πρόσωπα που εμφανίζονται στο χώρο μας και επικαλούνται εργασιακές ιδιότητες.
• Και φυσικά, αυτό που είπαμε και προγενέστερα, επαγγελματισμός. Το βασικό συστατικό για την επίτευξη του στόχου μας.