در این نوشتار به بررسی نظریهای میپردازیم که میگوید انسانها مانند رایانهها برنامهریزی شدهاند و مانند فایروالها از قواعد خاصی پیروی میکنند. از این رو، میتوان آنها را نیز هک نمود.
به نظر میرسید که موضوعات مورد بحث در همایش RSA امسال، آشفتگی کمتری نسبت به سال قبل داشت. در این همایش تمرکز بیشتری بر ارتقای امنیت اطلاعات در صنایع و راههای رسیدن به آن شد. این امر شامل تأکید بر اشتراکگذاری هوشمندی مقابله با تهدیدات از طریق همکاری و اتحاد فروشندهها و الزامات ایمنسازی در مرزهای محو پیرامونی در فناوریهایی مثل کلاد، استفاده از دستگاه شخصی در سازمان (BYOD) و موبایل میشود.
یکی از موضوعاتی که در چند سال اخیر در کنفرانس RSA به کرات بر روی آن تأکید میشود، موضوع عامل انسانی است. زی عبدالنبی، مهندس و تحلیلگر یک شرکت بزرگ در زمینه صنایع خودرو، مطالبی در مورد «هنر هک یک انسان» بیان داشت. زی با کندوکاو در علوم اجتماعی و روانشناسی توضیح داد که چگونه میتوان با اطلاعات شخصی موجود در اینترنت، تعاملات افراد را دستکاری نمود و در نهایت، اطلاعات بیشتری از آنها به دست آورد.
برنامهریزی در انسانها
نظریه او این بود که انسانها مانند رایانهها برنامهریزی شدهاند. ما انسانها نیز مانند فایروالها از قواعدی پیروی میکنیم. این قواعد بر اساس تعاملات گذشته و چگونگی رفتار با ما و همچنین، مبتنی بر کلیشهها و باورهای مختلف، تنظیم میشوند.
وظیفه این قوانین اجازه دادن به افراد یا ممانعت از ورود آنها به حوزه آسایش یا اعتماد ما است. فایروال درونی انسان تهدیدات بالقوه را در راستای ایمن نگه داشتن ما تشخیص میدهد و ما را از چگونگی تعامل و ارتباط با دیگران آگاه میسازد.
در مواجهه با افراد، ما باید تشخیص دهیم که آنها از چه نوع سیستم عاملی استفاده میکنند، کدام بهروزرسانیها را نصب کردهاند، این افراد ممکن است با چه مسائلی در خصوص پیکربندی سروکار داشته باشند و از چه نوع آسیبپذیریهایی میتوان برای سوءاستفاده از آنها استفاده کرد.
در حقیقت هک یک انسان کاملاً شبیه به هک یک سیستم رایانهای است و در بیشتر مواقع، برای هک یک انسان از تعداد زیادی از همان مراحل هک سیستمهای رایانهای استفاده میشود. به علاوه، این امر اطلاعاتی نظیر اطلاعات محرمانه ورود کاربران و دادههای ارزشمند سازمان را که برای دسترسی به سیستمهای یک سازمان ITمحور نیاز است، در اختیار هکرها قرار میدهد.
شناسایی خارجی یک هدف انسانی
زی مراحل مختلف یک مسیر حمله مورد استفاده برای هک یک انسان را که اولین مرحله آن شناسایی خارجی است، تشریح کرد. این مرحله شامل هر چیزی از جستجوهای اینترنتی گرفته تا مهندسی اجتماعی یا حتی زباله گردی است که هکرها میتوانند از این طریق برای رسیدن به هدفشان، به برخی یا همه اطلاعاتی در مورد قربانی، نظیر علایق، عادات، سابقه فعالیت و مواردی از این قبیل، دست یابند.
رسانههای اجتماعی مثل فیسبوک و لینکدین بسیاری از دادههای در دسترس عموم در خصوص اهداف انسانی را ارائه میدهند. زی مثالی در مورد یکی از همکارانش زد که میکوشید تا سر صحبت را با او باز کند؛ زی از طریق یکی از حسابهای قدیمی فلیکر همکارش متوجه میشود که او عاشق دونات بوده است، پس خوراکی مورد علاقه او را به دفترش برد و تلاش کرد تا او را ببیند و شروع به صحبت با او نماید.
زی همچنین با جستجو از طریق کارفرماهای پیشین همکارش، درک عمیقتری از تجربیات گذشته وی بدست آورد و دریافت که برخی از آنها ورشکست شدهاند. این موضوع به زی فهماند که همکارش قبل از این که به موقعیت فعلی خود دست پیدا کند، روزگار سختی داشته است. شاید به همین علت است که او منزوی شده است و به رابطه با همکارانش توجهی نمیکند.
پی بردن به سیستم عامل انسان
بخشی از فرآیند رخنه به انسان مستلزم تعیین این موضوع است که انسانها از چه نوع سیستمعاملی استفاده میکنند. هدف بعدی زی یکی دیگر از همکارانش بود که در محل کارش با هرکسی به جز زی، صحبت میکرد. زی راغب شد تا از منظر روانشناسی اجتماعی به کشف علت رفتار همکارش پی ببرد.
از یک جنبه، زی متوجه شد که همکارش یک فرد درونگرا بود، در حالی که زی یک فرد برونگرا است. افراد درونگرا را نمیتوان مانند افراد برونگرا نگریست. افراد درونگرا زیاد صحبت نمیکنند و بیشتر ساکت هستند، در حالی که افراد برونگرا ممکن است بیشتر احساسات خود را بروز دهند. زی در تلاش برای ارتباط موفقیتآمیز با همکارش باید گفتار و رفتارش را با او سازگار کند.
یافتن آسیبپذیریهای انسانی و سوءاستفاده از آنها
بخش دیگر از مسیر حمله به یک انسان، سوءاستفاده از هر نوع آسیبپذیری شناختهشده در وی است. به عنوان مثال، زی از طریق نگاه کردن به میز کار همکارش دریافت که او به قهوه استارباکس و به سگها علاقه دارد. زی با قهوهای که خریداری کرده بود در تلاش بود تا با او صحبت کند و اعتمادش را جلب نماید. علاوه بر این، زی سعی کرد تا با ارائه یک برگه نظرسنجی جعلی، اطلاعات بیشتری از همکارش بدست آورد.
همکارش سازوکارهای دفاعی زیادی در ضمیر نفس داشت که بسیاری از مردم از آنها برخوردارند. ما اغلب از تیکهای رفتاری خود بی اطلاع هستیم که میتوانند برای آگاهی یافتن از عادات و رفتار ما مورد استفاده قرار بگیرند. برخی از این سازوکارهای دفاعی شامل واکنش همکار زی در مواجهه با برخی سؤالات و همچنین، عدم پذیرش اشتباهاتش میشدند. زی همچنین توانست خیلی خوب جزئیات حالات چهره او را تحت کنترل بگیرد. این حالات به خوبی نشاندهنده احساسات و تفکرات یک فرد در واکنش به یک محرک است و همچنین شما را آگاه میسازند که فرد چه زمان راحت است یا ارتباط به خوبی شکل گرفته است.
روحیه مشترکی که در میان انسانها وجود دارد تعلق خاطر به یک جمع است. بیشتر مردم دنیا موجوداتی اجتماعی هستند؛ حتی اگر راهشان از یکدیگر متفاوت باشد. اکثر مردم تمایل دارند تا عضوی از یک گروه باشند. زی همکارش را تشویق کرد تا با او در یک کلاس امنیتی ثبتنام کند.
زی از گفتگو با دیگران سرانجام دریافت که همکارش احساس نمیکند که توسط معلمشان به خوبی درک شده باشد، در حالی که زی اغلب مورد تحسین قرار میگرفت که این موضوع احتمالاً به جبههگیری همکارش نسبت به صحبت با زی دامن میزد.
جنبه دیگری که در فرآیند هک یک انسان باید به آن توجه شود، جهتگیری فکری خود شما است. نگرش شما به اشیا، دلایلی که شما برخی اشیا را دوست ندارید و چگونگی برقراری ارتباط جزء جداییناپذیر در فرآیند تغییر رفتار شما با دیگران است. علاوه بر این، تداوم کار و جلوگیری از شناسایی شدن، جنبههای مهمی در هک یک انسان است.
استفاده از اطلاعات برای افزایش اعتماد
زی پس از این که همکارش را برای ناهار دعوت کرد، دریافت که فردی در فیسبوک به مدت دو سال خود را به عنوان شخص دیگری به همکارش معرفی میکرده است و در فضای آنلاین با او به گفتگو میپرداخته است. زی از تصویر فیسبوک آن مرد به دنبال هویت واقعی او گشت و شروع به اضافه کردن دوستان او به فیسبوک خود کرد تا اطلاعات بیشتری در مورد نام واقعی او بدست آورد. زی در نهایت پروفایل او را هک کرد و برای بدست آوردن اعتماد همکارش، همه اطلاعات آن فرد را در یک فولدر به او تحویل داد.
همهی ما مثل هم هستیم
در هک یک انسان، برقراری ارتباطات نقش کلیدی دارد و مهربانی و دلسوزی میتواند موجب پیشرفت قابل توجه در رسیدن به هدف شود. در حقیقت، ما همه مثل هم هستیم. ما در زندگی چیزهایی از جمله بهداشت، پیشرفت، امنیت میخواهیم. با این وجود، پایه و اساس مجادلات و مشکلات زمانی شکل میگیرد که فکر میکنیم کاملاً متفاوت هستیم.
ما اغلب خودمان را با دیوارهایی که به دور خود میکشیم، محدود میکنیم. نحوه گفتار ما با دیگران نشان میدهد که خواهان چه نوع رفتاری هستیم؛ مثلاً رفتاری محترمانه و با صراحت.
منبع:nashrafa.ir