Social engineering, czyli o naukach społecznych w świecie technologii.

Technologia to nie wszystko.

Mówiąc o bezpieczeństwie i zabezpieczeniach na myśl przychodzą nam w pierwszej kolejności zaawansowane technologie i drogie urządzenia: systemy wykrywania intruzów, systemy aktywnej prewencji, ochrony danych przed wyciekiem, bezpiecznego uwierzytelniania, autoryzowania i udostępniania zasobów. Chcąc czuć się bezpiecznymi wydajemy więc niemałe pieniądze i otaczamy się zaporami, skanerami, sondami, tokenami, czytnikami linii papilarnych czy tęczówki oka. Instalujemy systemy skanujące i filtrujące ruch pod kątem wirusów, robaków, trojanów, sygnatur ataku lub innych anomalii. Aby przetwarzać dane z tak wielu systemów uruchamiamy kolejne, służące do logowania zdarzeń, ich korelowania, analizowania i ostrzegania nas o zagrożeniach. Wydawać by się zatem mogło, że robiąc tak wiele, tak dużym nakładem środków mamy prawo czuć się spokojnymi o bezpieczeństwo naszych systemów i przetwarzanych za ich pomocą danych. Rzeczywistość jest niestety bardzo brutalna. Robiąc tak wiele zapomnieliśmy o rzeczy zasadniczej – poziom bezpieczeństwa, podobnie jak wytrzymałość łańcucha nie jest wyznaczany przez sumę wszystkich jego ogniw, ale przez moc najsłabszego z nich. Pytanie „co jest tym ogniwem?” nie doprowadzi nas do odpowiedzi. Powinniśmy bowiem zapytać nie „co”, a „kto” nim jest.
Continue…