Der Human-Engineering-Effekt
Als Security-Fuzzy achtet man immer auch etwas auf Human Engineering. Kürzlich bin ich auf einen Überrumpelungseffekt hereingefallen.
Passiert ist nichts dabei, war auch kein bewußter Angriff.
Ich lief in einem nicht-öffentlichen Gebäude herum, wo man normalerweise mit vertrauten und weniger mit fremden Leuten rechnet. Eine Tür ging auf und eine ziemlich attraktive, hübsche junge Frau, die es offenbar eilig hatte, kam heraus, guckte mich einen kurzen Moment an, grüßte mich sehr nett und herzlich wie einen alten Kumpel, Grüß Dich, wie geht’s und so, und flitzte gleich weiter. Ich hatte gerade die Hände voll, war in Gedanken, freut mich natürlich wenn mich jemand grüßt, noch dazu wenn’s ein hübsches Mädel ist, und sofort ging mein Zurück-grüßen-Reflex los, genauso freundlich, im Ton wie alte Freunde, alles klar, und so. Herrlich, wenn man nette Freunde trifft. Freut einen immer, hebt die Laune.
Erst ungefähr 2 Sekunden später, sie war schon um die Ecke und weg, und ich überlegte noch, wie sie heißt, weil mir häufig mal der Name von Leuten nicht sofort einfällt, übernahm wieder der Verstand die Oberhand über die antrainierten Sozialrituale, und erklärte meinem Bewußtsein nachdrücklich, daß ich die Frau überhaupt nicht kenne und nicht weiß, wer sie ist. Sie nach aktuellem Stand der Hirndatenbankabfrage noch nie gesehen oder es mir jedenfalls nicht gemerkt habe. Mein Verstand stuft die Frau unter „völlig unbekannt” ein.
Nun war das völlig belanglos, kein Sicherheitskontext, schon gar nicht meine Angelegenheit, absolut harmlos. Die Frau muß mich mit jemandem verwechselt haben. Hat die auch nicht absichtlich gemacht, die war halt in Eile und hat nicht genau geguckt. War über mein Zurückgrüßen vermutlich im Nachhinein genauso verdutzt wie ich, falls sie die Verwechslung bemerkt hat.
Ist aber wieder mal ein schönes Beispiel für Human Engineering. Wenn man es schafft, die richtigen Sozial-Reflexe zu aktivieren, können sie den Verstand kurzzeitig überholen.
12 Kommentare (RSS-Feed)
Als jemand, der nicht so explizit mit Sicherheit in der IT betraut ist, hätte ich mal ne Frage: Ist “Human Engineering” ein Fachbegriff in dem Gebiet? Ich habe den Ausdruck (im Gegensatz zu “Social Engineering”) noch nie gehört. Google scheint Human Engineering auch eher mit Ergonomie in Verbindung zu setzen als mit Sicherheit.
Ja, ist es. Eine Schicht-8-Angriffstechnik. Vulgo: Leute reinlegen.
Es gibt so die Anekdote vom Sicherheitsberater, der mal in den USA in eine Firma ging, um sie zu beraten. Deren Chef war so von sich und seiner Firma, und der Überflüssigkeit der Untersuchung überzeugt, daß er dem Berater direkt 100.000 Dollar versprach, wenn er es schaffe, einzudringen. Der Berater stand auf, ging raus auf den Gang, rief einmal laut den Gang herunter „Wie heißt nochmal das Root-Passwort?” , aus irgendeinem Zimmer kam die Antwort herausgebrüllt, er ging wieder rein und ließ sich einen Scheck über 100.000 Dollar ausstellen. Das ist Human Engineering.
Oder beispielsweise USB-Sticks auf den Parkplatz zu werfen, damit Leute sie aufheben und ausprobieren, und damit malware reinschleppen. Und solches Zeug.
Ja, ist ein feststehender Begriff in der Security.
Da gab es doch mal einen alten Mann, der es sich zum Hobby gemacht hat, auf irgendwelchen Promi- und Politikertreffen aufzutauchen und sich dort auf die Fotos zu mogeln.
Angeblich gibt es auch ein Gruppenfoto von Staatschefs, wo er im Hintergrund steht.
Habe ich mal irgendwo in der Zeitung gelesen oder im Hascherlfernsehen gesehen. Im Netz habe ich dazu nichts finden können.
Aber solche Sachen kommen ja immer wieder vor:
http://www.focus.de/politik/deutschland/g8-gipfel/g8-gipfel_aid_62811.html
@ Carsten: Du liegst richtig. “Human Engineering” ist dafür als Begriff absolut unüblich. In der Security ist nahezu ausschließlich von “Social Engineering” die Rede.
@ Hadmut: Wo hast Du das her?
Wo ich das ursprünglich her habe, weiß ich nicht mehr, aber ich kenne das seit > 10 Jahren in der Security vorrangig unter dem Begriff. In den Neunziger Jahren hab ich sowas als Schicht-8-Angriffe bezeichnet, und mich damals mit der Uni Karlsruhe angelegt, weil die behaupteten, sowas gäbe es gar nicht. Ich habe damals im Streit mit der Uni Belege dafür rausgesucht, daß andere auch sowas machen, und damals kam so dieser Begriff auf. Das sind aber Berge von Material, das finde ich jetzt nicht mehr auf Anhieb, wo das herkam.
Hat sich möglicherweise inzwischen etwas gewandelt. Scheint sich wohl verschoben zu haben, aber „Social Engineering” ist definitiv zu eng gefaßt. Denn Täuschungen, Bedienungsfehler, Manipulationen von Nutzeroberflächen usw. gehören nicht unter Soziales, sind aber ein wesentlicher Angriffspunkt.
Bei uns in der Fachgruppe haben wir “Schicht-8-Problem” immer nur spaßeshalber verwendet, wenn der Benutzer das eigentliche Problem war (PEBKAC). 😉 Aber regulär ist mir das noch nie untergekommen.
“Social Engineering” wird wohl deshalb verwendet, weil es typische menschliche Eigenschaften (Hilfsbereitschaft, Gutgläubigkeit etc.) ausnutzt und diese eindeutig zu den sozialen Aspekten zu zählen sind. Bedienungsfehler sind nicht zu Social/Human Engineering zu rechnen.
Unabhängig davon firmiert alles in diesem Bereich unter “Social Engineering”. Wenn Du ein Buch zu “Human Engineering” kaufst, wirst Du enttäuscht sein.
Nein, ich hab das damals am EISS (wo ich für die Security-Methodik zuständig war) so eingeführt, weil es den Social-/Human-Engineering-Begriff so noch nicht gab. Die Uni bzw. Beth fand’s damals falsch, weil die meinten, daß Security gar nichts mit Menschen, sondern nur mit Formeln zu tun hätte, und es Angreifer gar nicht gäbe.
Habe gerade mal etwas gegoogelt, es scheint tatsächlich inzwischen fast nur noch „Social Engineering” verwendet zu werden, eben so Herdentrieb-Effekte. Es stimmt aber nicht, daß der Begriff nicht verwendet wird/wurde:
http://forums.xkcd.com/viewtopic.php?f=12&t=28421
http://www.humaneng.co.uk/sectors/001-transportation/Aviation/airportdesign.aspx
http://www.network-builders.com/network-security-through-human-engineering-t46523.html
http://www.crcnetbase.com/doi/abs/10.1201/9781439819623-c28
http://blogs.cio.com/leadershipmanagement/16532/persuasion-human-engineering
Scheint aber tatsächlich aus der Mode gekommen zu sein. „Social Engineering” hat mir persönlich nie gefallen, weil ich es eben für zu eng gefaßt halte. Hab da meine Wurzeln aber eben in den Neunzigern, als sich das alles noch nicht so begrifflich verfestigt hatte. Hätt ich jetzt so nicht mitgekriegt, danke für den Hinweis.
@Hadmut, @Pseudonymist: Danke. :o)
Ja,
Ich würde mich auch zu Tode erschrecken,
wenn plötzlich mein Spiegelbild vor mir stünde … 😉
Ich habe doch mal was über manipulierte Hardware gelesen,besonders perfide wird es bei so vermeintlich unauffälligen Peripheriegeräten wie Mäusen.
http://www.spiegel.de/netzwelt/web/0,1518,772462,00.html
@aga80: Ist in der Maus nicht C&P eingebaut? Also Text mit Maus markieren, kopieren, Maus abziehen, am nächsten Rechner anstecken und einfügen. Ist doch ganz einfach! Hab ich schon mal gesehen, aber die Maus war wohl kaputt. 😉
Erinnert mich spontan an einen Bericht den ich vor einiger Zeit gelesen habe; fragt mich aber nicht wo genau.
Es gibt in Berlin wohl einen, der als Hobby bei den Promi-Gala-Veranstaltungen aufkreuzt, dort ein paar Gläser Champagner trinkt, Smalltalk macht und dann wieder geht. Wie kommt der da rein? Normalerweise scheitert ein Normalsterblicher schon an der ersten Linie der Rausschmeißer. Derjenige hat aber das typische selbstbewusste Promi-Gehabe derart perfekt einstudiert, daß er einfach durchgewunken wird, ohne Einladungsticket o.ä. vorweisen zu müssen. Exakt wie in deinem Blogartikel hier geschildert: Die richtigen Sozialreflexe aktivieren (in diesem Fall: “Da kommt ein VIP, den müssen wir reinlassen”), die Security lässt für die entscheidenden 2 Sekunden ihren Verstand fallen, und er ist drin, während die Security sich weiter darauf konzentriert, die Paparazzis davonzuscheuchen.