En gång för läääänge sedan fick jag lära mig att skilja på hacking, cracking och phreaking. Utan att ge mig på att försöka gräva fram de nödvändiga källorna gick förklaringen nått sånt här:

Hacking handlar om att på en underliggande nivå grotta och gräva i ett systems innersta. Om du göra med syftet att förstöra och skada, då är det cracking. Och om du gör samma sak med telefonförbindelser, telefonväxlar och, möjligtvis, modem, då sysslar du med phreaking.

För mig har ordet ”system” i ovanstående definitioner länge handlat om teknik. Alltså ett IT-system, där man på olika sätt kan hacka med olika tekniska manövrar. Du kanske kör en portscan, provar att reverse-enginnera kod, belasta systemet för att se vad som händer osv.

Det där är förstås kul, intressant och spännande. Men har du tänkt på att det finns hela andra sätt att till exempel ta reda på vilken information som finns i ett system. Sätt som inte ens kräver tillgång till en dator.

Inom hacking och i synnerhet cracking finns begreppet social engineering, lite taffligt översatt till social ingenjörskonst på svenska. Grundtanken är att ett system också inkluderar människor i någon omfattning och att dessa människor utgör en möjlig väg för att nå informationen som finns i systemet. En väg som dessutom sällan kräver någon större kraftansträngning.

Social ingenjörskonst används ofta för att ta del av känslig information eller som en sorts ingång för att nå mer åtråvärd information. Men det förekommer även att användare luras att genomföra olika typer av förändringar i system och informationsflöden. Låt mig ta tre klassiska exempel:

• Det ringer någon från ”IT-supporten” som berättar att din namngivna närmsta kollega och chef båda har problem att logga in i IT-systemet med hjälp av länk. De undrar om du kan pröva, och mailar din en länk. Mailet följer organisationens grafiska profil och är undertecknat med ett namn som du känner igen från supporten. Du klickar på länken, konstaterar att det funkar, och avslutar telefonsamtalet. Det du inte märkte var att du i och med detta gav angriparen fjärråtkomst till din dator och de system du var och kommer att vara inloggad i.
• Det pågår en större intern konferens på arbetsplatsen där man ska prata om framtida strategier och formulera konkurrensutmaningar. Programmet har legat publicerat på webben. När gruppen bryter för paus går en grupp ut och röker. På vägen tillbaka blir de genomviftade av receptionisten, han reagerar inte på att gruppen nu består av två fler personer med egentillverkade namnbrickor.
• Du sitter på tåget på väg till arbetet och skriver. När du skrivit klart öppnar du webbmailen, loggar in och skickar din text. Personen bredvid dig har hela tiden suttit och petat på sin telefon. I själva verket har personen filmat din skärm och ditt tangentbord och därmed dokumenterat ditt användarnamn och lösenord.

För att vara framgångsrik med social ingenjörskonst krävs ett visst mått av ansträngning från angriparen, särskilt om man vill ha garanterat framgång. Men mycket av ansträngningen bygger på att läsa in sig på allmänt tillgänglig information om företaget och dess anställda. Kombinera detta med ett mått av självsäkerhet, ödmjukhet och andras rädsla för att försvåra för andra och du har receptet för en framgångsrik attack.

Vad vill jag då ha sagt med detta? Även om du skaffar femtiotolv brandväggar, trippelsäkrar programkod och krypterar allt framlänges och baklänges, så spelar det ingen roll om du glömt bort människorna.

Ta dig därför ett par funderare kring:

• Tillämpar ni verkligen principen om minsta möjliga behörighet för alla användare?
• Hur hjälper ni användarna att ha ett högt säkerhetsmedvetande?
• Och vem satt egentligen bredvid dig på tåget?