sociálne inžinierstvo

Sociálne inžinierstvo je eufemistický termín pre presvedčovacie majstrovstvo, ktoré používajú hackeri.

Príklad sociálneho inžinierstva je používanie ľahko dostupných informácií na presvedčenie zamestnanca aby poskytol tajné informácie (napr. niekto môže zatelefonovať do počítačového centra a predstaviť sa ako manažér západoslovenskej divízie pracujúci na na vývoji IS pre celú firmu a potrebuje prístup na súborový server kvôli súrnemu stretnutiu, ktoré začne o 10 minút). Veľa ľudí je ochotných ohýbať (porušiť) bezpečnostné pravidlá firmy kvôli dôveryhodne znejúcim požiadavkám.

Sociálne inžinierstvo je umeníma zároveň vedou, ktorá slúži na to abysme dostali človeka do polohy, v ktorejbude plniť naše priania. Nie je to všakspôsob ako ovládnuť myseľ človeka,do takej miery aby plnil úlohy, ktorésú ďaleko od jeho normálneho správaniaa naviac táto metóda nie je stopercentnespoľahlivá.

Zahŕňa to omnoho viac ako len rýchlemyslenie a používanie slangu. Takako v hackovaní, omnoho viac práceje v príprave ako v samotnom pokuse

Jedinou cestou ako sa brániť sociálnemu inžinierstvuje poznať metódy, ktoré používa. V princípe sa trebavyhýbať pomoci za každú cenu. Soc. ing. sa zameriava nanajslabší článok bezpečnostnej politiky firmy – t. j. ľudí,pretože žiadny systém na svete nie je nezávislý odľudského faktoru. Každý, kto má prístup do systému – čiuž fyzicky alebo elektronicky je potencionálnym rizikom.Každá informácia, ktorá je o danom systéme môže byťneskôr použitá pri prieniku do siete, tzn. že ktorýkoľvekužívateľ systému môže byť použitý ako zdroj informáciípre prienik do systému.Každý človek má nástroje, ktoré môže použiť na útoksociálnym inžinierstvom, rozdiel je len v schopnostiachpoužiť tieto nástroje.

Metódy sociálneho inžinierstva:

Prvou je jednoduchá požiadavka na vykonanienejakej operácie. Aj keď najmenej pravdepodobná,je to najjednoduchšia a najpriamočiarejšia metóda.

Druhou je navodenie vhodnej situácie, ktorá jeindividuálnu časťou väčšieho celku. Táto metódavyžaduje viac práce pre osobu, ktorá sa pokúšao presviedčanie a často sú potrebné veľké znalosti„cieľa“. To však neznamená, že v reále sa tátometóda nepoužíva. V zásade platí – čím menejnezrovnalostí – tým lepšie.

Jedným zo základných nástrojov v sociálnominžinierstve je dobrá pamäť pre získavaniedôležitých faktov. Je to niečo, v čom hackeria sysadmini vynikajú, špeciálne čo sa týka ichoblasti. Je potrebné taktiež poznať, že sociálnymtlakom na jedinca dosiahneme to, že svojerozhodnutie urobí podľa skupiny, dokonca aj vtedy,keď je rozhodnutie skupiny zlé.

Ak situácia, či už reálna alebo imaginárna má určitécharakteristiky, potom je pravdepodobnejšie, že cieľ budesúhlasiť s našími požiadavkami:

rozptýlenie zodpovednosti cieľa, t.j. jepotrebné dosiahnuť, aby cieľ mal pocit, ženenesie zodpovednosť za svoje rozhodnutie

príležitosť pre polichotenie. Väčšiu pravdepodobnosťpresvedčenia cieľa dosiahneme vtedy ak cieľ verí, ževykonaním daných požiadaviek si cieľ môže polepšiť(urobiť „očko“) u svojích nadriadených

morálna povinnosť. Človek nemá rád pocitviny.

Osobné presvedčenie tzn. osoba nie jedonútená vykonať dané požiadavaky, alespolupráca je dosiahnutá dobrovoľne. Cieľverí, že má kontrolu nad situáciu, a ževyužíva svoju silu k pomoci druhej strane.Cieľ si je vedomý, že poskytuje určitévýhody druhej strane, ale je to pre nehonepodstatné. Verí, že poskytované výhodysú len troškou strateného času a energie.

Je niekoľko faktorov, ktoré môžu zvýšiť pravdepodobnosť spolupráce cieľa s druhou stranou:

1. Čím menej konfliktov s cieľom, tým lepšie.Spolupráca bude úspešnejšia keď bude zvolenýjemný prístup k cieľu (to vyplýva z ľudskej povahy,ktorá pomerne nerada znáša kritiku)

2. Faktor „foot in the door“ tzn. cieľ je ochotnejšíspolupracovať, keď už má dobré skúsenostis minulou spoluprácou

3. Čím viac zmyslových informácií môže cieľ dostať,tým lepšie. Je jednoduchšie uveriť druhej stranekeď ju vidíte a počujete. Je ľahké odmietať niekohopo chate...

Zainteresovanosť:

ľudia, ktorí už majú skúsenostis útokmi sociálnych inžinierov sú viacpredvídaví a skúsenejší. Preto na ichpresviedčanie sú potrebné silné argumenty(čím je ich viac, tým lepšie). Je riskantéu takýchto osôb voliť argumenty, ktoré súľahko napadnuteľné, lebo tieto osoby sú viac podozieravé a môže to vniesťpochybnosti do ich hláv.

Ako sa brániť?

Opis problému:

Užívateľ obdrží požiadavku spustiť program,resp. vykonať úkony, ktoré vedúk zachyteniu jeho hesla. Výzva môže prísťnapríklad ako emailová správa, broadcastalebo formou telefónneho hovoru. Najnovšieje užívateľ vyzvaný otestovať novýprogram. Po spustení programu vyzveužívateľa aby zadal svoj login a hesloa následne je tento login spolu s heslom zaslanýemailom do internetu.

Dopad:

Votrelec získa prístup k dátama prístupové práva užívateľa, ktoréboli chránené prístupovým heslomdaného užívateľa.

Odporúčané postupy:

Každý užívateľ, ktorý obdrží výzvu na spustenienejakého programu, alebo zadávanie svojho loginua hesla by si mal overiť autentickosť tejto výzvyu administrátora. V prípade, že užívateľ vykonal tútovýzvu a nie je si istý jej autentickosťou, mal by čonajskôr zmeniť svoje prístupové heslo do systémua upozorniť na to svojho systémovéhoadministrátora (upozorniť na to, že obdržal takúvýzvu a nie o tom, že menil svoje heslo...)

Systémový administrátor by mal priebežnezisťovať, či niektorý z užívateľov systémunáhodou nevykonal nejakú výzvu, v ktorejposkytoval svoj login a heslo.

Systémový administrátor by malvzdelávať uživateľov systému, aby sanestali obeťami takéhoto triku

príklad emailu

From: Security@yourISP.ComTo: taylorwayne@yourISP.ComSubject: Account Compromised

We have detected a major security breach to several accountson our network. While we do not believe that your account wasamong those compromised by hackers, we recommend that you checkyour account data immediately.

To verify your account, just visit the following URL:

http://www.yourISP.Com/security/view.htm

Login to your account and check your data. Make special note of thelast login data and time. If anything appears to be incorrect,please send an email to security using the link at the bottom of the page.

Thanks for your immediate attention.YourISP security

Kevin Mitnick story:

Po skončení strednej školy pokračoval v štúdiu výpočtovejtechniky v počítačovom centre v LA. „Za pár mesiacov zistiladministrátor počítačovej siete, že som našiel zraniteľnosťv operačném systéme a získal som plné administrátorsképráva na ich IBM minipočítači. Najlepší počítačový expertiv ich profesorskom zbore nemohli prísť na to, ako som tospravil. Prvým nápadom bolo najať hackera. Dostal somponuku, ktorú som nemohol odmietnuť: Robiť exkluzívnyprojekt pre dosiahnutie vyššej počítačovej bezpečnostiv škole, konkrétne zamedzenie hackovania systému.Samozrejme, že ponuku som prijal a spromoval som naCum Laude s vyznamenaním.“So sociálnym inžinerstvom začal na strednej škole.Postupne si začal uvedomovať svoj talent získavať tajnéinformácie spôsobom postaveným na trikoch, firemnomžargóne a cielenej manipulácii.

„Umenie ovplyvňovania a presviedčania mámz otcovej strany – po dlhé generácie to boliobchodníci.“ Kevin rozlišuje medzi zlodejoma sociálnym inžinierom. Zlodeja definuje ako osobu,ktorá švindluje a podvádza ľudí aby získal ichpeniaze. Sociálneho inžiniera definuje ako niekoho,kto používa klam, ovplyvňovanie a presviedčanieproti firmám, zvyčajne cielené na ich informácie.Sám o sebe tvrdí, že sociálne inžinierstvo nevyužívalpre získanie peňazí, ale preto aby si dokázal, že nato „má“ – zo ctižiadostivosti.

Kevin Mitnick je do značnej miery expertsamouk v odhaľovaní zraniteľnostioperačných systémov a telekomunikačnýchzariadení, používajúci technický ajnetechnický prístup. Podarilo sa muneautorizovaný prístup do systémovnajväčších firiem planéty a pohybovať sav ich databázach. Trestom bol 5 ročný pobytvo federálnom nápravnom inštitúte(prepustili ho v januári 2000)

Ako najznámejší hacker sveta sa stal Kevinpredmetom záujmu množstva novín a časopisov pocelom svete. Zúčastňoval sa ako hosť v mnohýchrádiách a televíziách, poskytoval odborné komentáreorientované na informačnú bezpečnosť. Zúčastnil saprogramov ako napríklad: Court TV, Good MorningAmerica, 60 Minutes, CNN´s Burden of Proof, StreetSweep, Headline News a mnohých iných. Zúčastňovalsa aj mnohých konferencií ako napr.: GigaInformation Group´s Infrastructures for E-Business,the Software Developers Expo 2000, DEFCOM securityconference. Písal pre magazíny ako Time Magazine,Newsweek, Guardian.

Príbeh Frya Guya

Fry Guy si vyslúžil svoju prezývku zožaržíkov v rýchlom občerstvení. Ukradolheslo vedúceho miestneho MacDonaldu apripojil sa na sálový počítač MacDonaldu vsystéme Sprint Telenet. Menom vedúcehozmenil záznamy MacDonaldu a zariadilniekoľkým svojim mladistvým priateľom,privyrábajúcim si predajom hamburgerov,veľkorysé zvýšenie platu. Nebol pristihnutý.

Povzbudený úspechom, skúsil Fry Guyzneužívať kreditné karty. Mal značnékonverzačné schopnosti a naviacvlohy na "sociálne inžinierstvo". Akovládate "sociálne inžinierstvo" –umenie vydávať sa za niekoho iného arýchlym a sebaistým prejavom urobiťnejaký podfuk -- je zneužívanie kreditnýchkariet ľahké.

Fry Guy sa rýchlo naučil získavať informácie zagentúr informujúcich o používateľoch kreditnýchkariet. Vo svojich poznámkach mal viac než stovkuukradnutých čísel kreditných kariet a tisíce kradnutýchprístupových kódov pre diaľkové telefónne hovory. Vedel,ako sa dostať na ALTOS a ako hovoriť rečouundergroundu. Začal na ALTOSe mámiť znalosti o trikochs ústredňami od hackerov. Kombináciou týchto znalostí sa Fry Guy vyšvihol k novejforme krádeže cez telefón. Najprv dostal z počítačovspoločnosti ponúkajúcej kreditné karty ich čísla.Skopírované dáta obsahovali mená, adresy a telefónnečísla náhodne vybraných držiteľov kariet.

Potom Fry Guy, vydávajúci sa za majiteľa karty, zavolalWestern Union a požiadal o vyplatenie hotovosti zo"svojej" kreditnej karty. Western Union pre zaisteniebezpečnosti zavolal zákazníka späť domov a požiadal opotvrdenie transakcie.

Lenže Fry Guy zamenil číslo držiteľa karty za miestnu telefónnubúdku. Potom sa usadil a zahladil svoju stopu smerovaním apresmerovaním hovoru cez vzdialené ústredne, napríklad aj vKanade. Keď bol hovor spojený, suverénne presvedčil zástupcuWestern Union, že je legitímnym držiteľom karty. Pretožeodpovedal na zavolanie na správne telefónne číslo, nebolo to anitak ťažké. A peniaze Western Unionu boli zaslané jehospoločníkom v jeho rodnom meste v Indiane.

Fry Guy a jeho pomocníci ukradli pomocou techník LoDuWestern Unionu od decembra 1988 do júla 1989 šesťtisícdolárov. Prilepšovali si aj objednávaním tovaru na ukradnutéčísla kreditných kariet. Fry Guy bol opitý úspechom.Šestnásťročný chalan sa svojím hackerským konkurentomvychvaľoval fantastickými príbehmi, tvrdil, že si za nakradnutépeniaze najal limuzínu a vyšiel si na výlet po Spojených štátochv spoločnosti svojej obľúbenej heavymetalovej skupiny MotleyCrue. Rozjarený vedomosťami, mocou a ľahko získanýmipeniazmi sa Fry Guy pustil do obvolávanie miestnych zástupcovbezpečnostného oddelenia Indiana Bell, aby sa vychvaľoval,chvastal, naparoval a vyhlasoval zlovestné predpovede o tom,ako jeho mocní priatelia z neslávne známej Legion of Doomdokážu zhodiť celonárodnú telefónnu sieť. Fry Guy uviedoldokonca aj dátum plánovanej akcie: národný sviatok 4. júla.

Dôsledkom týchto flagrantných prejavovkoledovania si o zatknutie bolo jeho skoré zadržanie.Keď indianská telefónna spoločnosť zistila, kto je FryGuy, inštaloval Secret Service na jeho domácu linkuDNRs -- Dialed Number Recorders. Tieto zariadenianie sú odpočúvacie, nemôžu zaznamenať obsahtelefónnych hovorov, ale zaznamenávajú všetkytelefónne čísla, na ktoré sú spojované hovory dovnútra ajvon. Sledovanie týchto čísel preukázalo, že Fry Guyintenzívne používa kradnuté kódy na prístup k diaľkovýmlinkám, jeho rozsiahle styky s pirátskymi boardmi aodhalilo aj početné osobné hovory s priateľmi z LoDu vAtlante.

Tradícia informačnej spoločnostina Slovensku alebo ľudová

slovesnosť v oblasti bezpečnostiinformačných systémov.

Keď sa dôkladne začítame do slovenských prísloví aporekadiel, Dobšinského rozprávok, či započúvamedo textov lahodne znejúcich slovenských ľudovýchpiesní (Slovak folk songs), poľahky v nich objavímeako popis základných problémov, s ktorými jemožné sa u nás stretnúť pri každom úsilí vyriešiťochranu údajov a počítačových systémov, tak ajnávody (hints) na ich riešenie. Stáročná múdrosťslovenského ľudu, vyjadrená v dochovaných dielachjeho tvorivosti a fantázie, tak názorne preukazujesvoju nadčasovú platnosť.

Začnime hoci základným problémom, s ktorým sa vnašich podmienkach adept na experta nainformačnú bezpečnosť nezriedka stretne, totižpresvedčiť manažment organizácie o nevyhnutnostivôbec prijať účinné (a nie len predstierané opatreniana zvýšenie bezpečnosti počítačových systémov aúdajov. Naši predkovia múdro postrehli, že:

Kde Pán Boh kostol stavia, tam si diabol kaplnkupristavuje

a naozaj niet dôvodu veriť že informačné technológiesú v tomto smere nejakou výnimkou. A či variexistuje presvedčivejší argument na podporutvrdenia o nevyhnutnosti vyriešenia systémuochrany ako poukázanie na reálny fakt, o ktoréhopravdivosti nikto nepochybuje? Ktože by po vypočutítextu slovenskej ľudovej piesne:

Hej, hora, horadubová chrásť, dubová chrásť

hej, dajže božedačo ukrásť, dačo ukrásť,

neuznal, že prinajmenšom v našom regióneje vybudovanie ochranných opatrení úplnounevyhnutnosťou? Vieme aj, aká je častomotivácia páchateľov, veď ktože by naSlovensku nepoznal ono známe:

Poďme chlapci, poďme zbíjať,veď nemáme za čo píjať...

Je známe, že nestačí potenciálneho páchateľa len preventívneodstrašovať nejakými normami či zákonmi - náš ľud má srešpektovaním platnej legislatívy svoje skúsenosti, keď spieva

Ešče je, ešče jev tej Trnave mírapod kterú zebrali

jednej mamke syna

Kto len trochu dlhšie pôsobí v oblasti informačnejbezpečnosti, zaiste potvrdí že jedným z najväčšíchproblémov pri realizácií systému ochrany je prirodzenáľudská vlastnosť spoliehať sa že "to urobí niekto iný".Znalca slovenského folklóru tento poznatok neprekvapí,veď aj v texte

Taká sa mi fľaška páčičo sa sama k ruke tlačí

spevák vyjadruje svoje sympatie takej druhej strane, ktorej činnosť muušetrí zopár pohybov.

Je známe, že teória i prax ochrany informačných systémov je vpodstatnej miere založená na princípe centralizovaného riadenia prístupuk systému, čo znamená izolovanie chránených objektov od okolia tak, žeprístup k nim je možný jedine prostredníctvom špeciálnej entity (vanglosaskej teoreticky zameranej literatúre známej ako tzv. referencemonitor), ktorú nemožno ignorovať a ktorá reguluje samotný prístupvonkajších subjektov k chráneným objektom. Len skutočný majster,ktorý dokonale zvládol tento základný princíp úspešného prevádzkovaniabezpečného systému, dokáže namiesto drmolenia naučenej poučkytakýto suchopárny popis podať novým, sviežim spôsobom. Nietpochybností o tom, že nasledovná ukážka z tvorby slovenského ľudu

Ani sa ma netýkaj, netýkajmateri sa opýtaj, opýtaj.

Keď ti mamka dovolí, dovolíurobím ti po vôli, po vôli.

svedčí o hlbokom pochopení a precítení spomenutéhozákladného pilieru bezpečnosti informačných systémov.

Skúsenosti z praxe informačnej bezpečnosti dnes už bežnepoukazujú na nezastupiteľnú úlohu manažmentu pri definovaníbezpečnostných potrieb organizácie a špeciálne pri riadení celéhoprocesu budovania a prevádzkovania systému ochrany, čo jekonzistentné so všeobecnejším pozorovaním že radový pracovník obvyklečaká, čo mu "vrchnosť" povie či ukáže. Pre znalca slovenského folklóru jetakáto spojitosť medzi úspešným vybudovaním a prevádzkovanímsystému ochrany a kvalitou a zainteresovanosťou vrcholovéhomanažmentu samozrejmou záležitosťou, veď

Kde je gazda chorý, tam i sluhu čosi morí

Výsledok budovania systému ochrany pod vedenímnekvalifikovaného manažmentu predikuje aj ďalšiaľudová múdrosť, nepochybne vychádzajúca zvlastných bolestných skúseností jej autora

Keď vedie slepý slepého, padnú oba do jamy

Zvlášť pre radového pracovníka - začiatočníka vedoméhosi nedostatku svojich znalostí je však mimoriadnedôležité, aby vyvíjal tlak na nadriadeného a priamo sadomáhal zlepšenia situácie a prinajmenšom zvýšeniaúrovne svojho poznania - aspoň tak, ako sa spieva vpesničke pre tzv. redový tanec

ukladali mladú spaťnevedela jak mu daťči nakrivo či prostopríď a ukáž starosto

V našom regióne je žiaľ stále pravdepodobné pripoukazovaní na dôležitosť informačnej bezpečnostistretnutie so spupnou odpoveďou vrchnosti v štýle"my sme bezpeční". Náš ľud spoznal množstvotakýchto chválenkárov a odhalil aj skutočnú hodnotuich výrokov, ktoré vytrvá len do prvej vážnej skúšky

já jsem chlapem, já jsemale to len časemnebojím sa ženy

keď jej doma neni

alebo, stručnejšie ale rovnako výstižne

Prázdny sud najviac hučí

Ej veru, náš ľud už dávno pochopil, že kvalitu výsledkuvykonanej práce, teda v tomto prípade bezpečnosťinformačného systému určuje kvalita rozhodnutí už vúvodných fázach projektu, veď

Ruža u hovna vyrostená smrdzí

názorne (takpovediac multimediálne) ilustrujezávislosť celkového výsledku projektu od úvodnéhorozhodnutia manažmentu.

Ľudová múdrosť sa však nevysporiadala len stakýmito povrchnými tárajmi. V poslednom čase sav informačnej bezpečnosti stále viac presadzujemyšlienka potreby občasného prevereniaskutočného stavu systému, tzv. bezpečnostný audít.Táto novinka pritom nie je pre Slovákov ničímnovým, veď rozdiel medzi

Prídi ty šuhajko ráno k nám,uvidíš čo ja to robievam ja ráno vstávam,

kravy napájam,ovečky na pole vyháňam.

..

a zistenou skutočnosťou

Keď som k nej prišiel na špehyona si ležala v posteli,

kravy bučali, svine kvičaliovečky žalostne bľačali

názorne dokazuje nevyhnutnosť pravidelnýchaudítov.

Ďalšou, v zahraničnej literatúre spomenutou, metódoutestovania účinnosti bezpečnostných opatrení, čipresnejšie demonštrovania iluzórnosti ich spoľahlivosti, jedohoda so skupinou špecialistov, ktorí sa zmluvne zaviažupokúsiť sa preniknúť do systému a demonštrovať jehoprípadné nedostatky (tzv. tiger team). Tento mnohýmivelebený spôsob testovania bezpečnosti pritom pre Slovákov nieje ničím novým, ako to demonštruje prastarý popis akcietakéhoto tiger-teamu - rozprávka Klinko a Kompit kráľ(P.Dobšinský: Slovenské rozprávky), v ktorej zbojník Klinkodokázal husárovi koňa spod sedla ukradnúť, a tak demonštrovaťjednak svoju kvalifikáciu, jednak nedostatočnosť ochrannýchopatrení.

Prípad zbojníka Klinka môže byť zároveň varovanímpre všetkých, ktorí podceňujú schopnosti našichšuhajov a dievčeniec a svoj pocit bezpečia zakladajúna predpoklade, že na Slovensku sme v oblastineoprávneného prenikania do počítačovýchsystémov ešte kdesi na úrovni prvotnopospolnejspoločnosti. Ignorovanie či už spomenutého Klinkovhopríbehu, alebo hoci aj slovenskej ľudovej múdrosti

To si ani čert nevymyslí, čo má žena v svojej mysli

sa im s najväčšou pravdepodobnosťou vypomstí.

Slovenská ľudová slovesná tvorba sa však neobmedzilalen na všeobecné princípy informačnej bezpečnosti, alesvoju pozornosť venovala aj špecifickým metódamprieniku či mechanizmom ochrany. Je napríkladpozoruhodné, že problém autentifikácie oprávnenéhopoužívateľa sa v slovenských rozprávkach nerieši napr.heslom, ako je to v zahraničí (pozri napr. použitie heslaSezam otvor sa v orientálnej rozprávke Ali Baba a 40zbojníkov), alebo biometrickými metódami (známaautentifikácia Popolušky prostredníctvom jej črievičky),ale pomocou rôznych tzv. tokenov (kráľov obraz napr. vrozprávke O troch grošoch, špeciálne zelinky ktorýchvlastníctvo umožňuje prístup - otvára skaly s ukrytýmipokladmi, a podobne)

Keď túto skutočnosť porovnáme s čorazsilnejúcim presvedčením zahriničných špecialistovinformačnej bezpečnosti o nevhodnosti používaniahesla pre spoľahlivú autentifikáciu, a s tempomrozvoja používania moderne poňatých tokenov –čipových kariet, ostáva nám len trpko priznať pravduo hriešnom premrhaní nesporného náskoku, ktorýsme v oblasti informačnej bezpečnosti mali.

Je jasné, že vzhľadom na technologické možnosti nášhoľudu v minulých storočiach a na rýchlosť produkovanianových verzií prostriedkov výpočtovej techniky, musívľudovej slovesnosti absentovať detailný popis tých techníkprenikania cez systémy ochrany, ktoré sú založené nachybách či už v návrhu alebo v implementácií konkrétnejverzie systému. Popisu techník, ktoré nie sú tak úzkoviazané na konkrétny hardware či software, sa však nášľud venoval v hojnej miere. Napríklad, zatiaľ čo v zahraničísa až na odhalených prípadoch počítačovej kriminality učiao dôležitosti tzv. sociálneho inžinierstva, t.j. technikyzískavania dôležitých informácií od kľúčových oprávnenýchosôb sociálnou interakciou s nimi, náš ľud túto technikuspoznal a popísal už dávno, aj keď nie pod takým odbornepôsobiacim názvom.

V tejto súvislosti pripomeňme napríklad rozprávkuPopolvár najväčší na svete (P.Dobšinský: Slovenskérozprávky), kde princezná vhodnou sociálnouinterakciou so Železným mníchom dosiahla. že jejtento prezradil v čom tkvie jeho moc (z čohonapokon vyťažil Popolvár, ale sprostredkovane ajprincezná). Techniky sociálneho inžinierstva sadostali aj do slovenských ľudových piesní, o čomsvedčí aj nasledovný text

Dal mi šuhaj jabĺčkoza jabĺčkom hrušku

potom sa ma spytovalčo mám pod fertušku

v ktorom sa krásne demonštruje základnýpostup sociálneho inžinierstva, t.j.vhodnými akciami najprv nadviazať užšívzťah - získať si dôveru nič netušiacej"obete" a následne sa pokúsiť o zneužitietakéhoto vzťahu na nenápadné dosiahnutie cieľov oktoré páchateľovi predovšetkým ide.

Pochopiteľne, sociálne inžinierstvo ani zďalekanevyčerpáva bohatú množinu techník prieniku dochránených systémov.

Každý expert na informačnú bezpečnosť, hodnýtohto označenia, vie, že absolútne bezpečný systémneexistuje - úspech pokusu o prienik do systému jeprakticky len otázkou dostatočnej sumy peňazí čiiných motivačných podnetov, ktoré má páchateľ kdispozícií pre získanie priazne kľúčových prvkovsystému ochrany. O tom, že slovenský ľud naplnopochopil a precítil tento jednoduchý ale mimoriadneúčinný princíp, svedčí aj text ľudovej piesne

Joj, zaprelo sa dievčadubovým záporkom.Joj, nechcelo otvoriť

chudobným paholkom

O hĺbke poznania uvedeného princípu svedčíaj skutočnosť, že spektrum motivačnýchpodnetov známych (a teda zrejme ajpoužívaných) na Slovensku bolo skutočnepestré a neobmedzovalo sa len na kovové čipapierové platidlá, ako každého presvedčítext slovenskej ľudovej piesne

A za jedno jabúčko,a za jednu plánkudala sebe opáčiť

niže pupka jamku.

Z uvedených úryvkov jasne plynie, že hlbšie štúdiumslovenskej ľudovej slovesnosti by mohlo tvoriť základvýuky v oblasti informačnej bezpečnosti. Ale pozor!Samotné zvládnutie slovenských ľudových prísloví,porekadiel, rozprávok či piesní ešte nemusí stačiť nazískanie kvalifikácie experta, minimálne však môženapomôcť získať širší rozhľad o problémoch informačnejbezpečnosti. Napríklad aj manažment mnohýchorganizácií by sa mohol poučiť z početných slovenskýchrozprávok, kde si kráľ (chief executive officer) v prípadenemožnosti vyriešiť problém - napríklad likvidáciu dotieravéhošarkana - vlastnými silami privolá na pomoc externýchšpecialistov, čo je plne v súlade s odporúčaným postupom pri budovaní systému ochrany informačného systému organizácie.

Pravda, bude potrebné doriešiť niektoré prakticképroblémy, špeciálne ako rozlíšiť skutočného expertana informačnú bezpečnosť od obyčajného šarlatánači táraja, alebo síce snaživého ale predsa lenamatéra (problém určenia experta je v rozprávkachriešený značne zjednodušene - kto premohol draka,vyskočil najvyššie, priniesol tri zlaté vlasy a pod.,bol uznaný za experta). V mene všetkých potenciálnychexterných, ale aj interných expertov pritom považujem zapotrebné poukázať na poučenie z mnohých rozprávok, kdehonorár za konzultácie či priamo výkonnú činnosť špecialistu sa pohybuje od hranice pol kráľovstva hore.

na vŕbe bol zvonec a rozprávke je koniec

Emil Figura