Social Engineering, !!!Uczelnia, !WSTI


Social Engineering

Istnieje wiele sposobów na pokonanie zabezpieczeń systemu informatycznego w celu nieuprawnionego dostępu do danych. Są metody techniczne, skanery - narzędzia wykrywające słabe punkty systemu, exploity - programy umożliwiające przejęcie kontroli nad systemem i zdalne nim administrowanie. Jednak wcale nie jest konieczne ich wykorzystanie. Pewne powszechne cechy charakterologiczne człowieka: lenistwo, chęć upraszczania wszelkich zadań również stanowią zagrożenie oraz pozwalają na łatwe uzyskanie dostępu do informacji pozwalających na dokonanie włamania. Uświadomienie użytkownikowi problemów występujących podczas pracy z komputerem może zapobiec niebezpiecznym incydentom.

Zazwyczaj człowiek jest najsłabszym elementem systemu bezpieczeństwa w firmie. Jest wiele faktów potwierdzających tę zasadę. I niekoniecznie musi to być efekt świadomego działania. Błędy mogą wynikać z braku odpowiedniej świadomości istniejących zagrożeń. Techniki wykorzystujące ludzkie słabości znane są pod nazwą "Social Engineering". Istnieją dwa sposoby oszukania użytkownika. Pierwszy to użycie środków programowo-sprzętowych, np. rozmieszczenie stron zawierających odpowiednio umotywowaną prośbę o podanie identyfikatora użytkownika oraz hasła. Natomiast drugi bazuje na bezpośrednim kontakcie telefonicznym lub osobistym z celem ataku - użytkownikiem, lub pracownikiem działu helpdesk.

Do zdobycia tajnych informacji metodami "tradycyjnymi" trzeba wykorzystać odpowiednie narzędzia programowe, np. skanery, sniffery, exploity, backdory, trojany. Taki sposób włamania można z dużym prawdopodobieństwem szybko ujawnić, jeśli tylko stosujemy odpowiednie narzędzia. Programy monitorujące przepływające pakiety, czyli Intrusion Detection Systems pozwalają na reakcję w trybie natychmiastowym na zaistniałe zdarzenie. Oprócz rejestracji wszystkich danych incydentu: numeru IP intruza, rodzaju ataku, systemy te udaremniają go poprzez odłączenie agresora. Systemy antywirusowe eliminują wprowadzenie do systemu programów typu backdor, trojan, regularne aktualizowanie oprogramowania może uchronić przed niepotrzebnymi kłopotami. Niektórzy mogą sądzić, iż zagrożenie powodowane przez czynnik ludzki niewarte jest uwagi, jednak nie maja oni racji. Jeśli firma nie posiada opracowanej polityki bezpieczeństwa, prędzej czy później dojdzie do incydentu przekazania tajnych informacji osobom nieuprawnionym. By zabezpieczyć się przed taką ewentualnością konieczne jest wdrożenie dobrych zasad ochrony informacji poufnych.

Poniżej zostanie przedstawionych kilka wrażliwych punktów systemu ochrony, które mogą zostać wykorzystane przy próbie uzyskania tajnych danych.

1. Polityka haseł dostępu

Należy opracować i wdrożyć w firmie zasady tworzenia haseł. Powinny one określać, z jakich znaków muszą się składać, ich długość, oraz częstotliwość zmiany na nowe. Trzeba zachować odpowiednie proporcje pomiędzy koniecznością zapewnienia wysokiego poziomu bezpieczeństwa, a zbyt restrykcyjnymi regułami. Jeśli nasze zasady będą zbyt surowe, np. co najmniej 12 znaków, konieczne duże litery, cyfry, oraz okres zmiany 2 tygodnie - możemy być pewni, iż użytkownicy znajdą sposób na ułatwienie sobie życia. Prawdopodobnie na sprzętach stojących na biurku znajdziemy poprzyklejane żółte karteczki z hasłami dostępu do systemu. Nie trzeba mówić, co się może w takiej sytuacji wydarzyć - każda postronna osoba może je wykraść. Legendarny hacker - włamywacz - Kevin Mitnick zdobywał hasła angażując się jako sprzątacz w różnych instytucjach i przeszukując śmietniki swoich ofiar. Widzimy więc, że konsekwencje nierealnego podejścia do polityki tworzenia haseł mogą być bardzo niebezpieczne.

2. Procedury przekazywania poufnych informacji

Jedną z wspomnianych metod Social Engineeringu jest bezpośredni kontakt z użytkownikiem lub administratorem sieci. Możemy wyobrazić sobie wiele scenariuszy prób uzyskania poufnych informacji. Na przykład intruz może podać się za wice prezesa Iksińskiego i stanowczym tonem zażądać zmiany hasła do swojego konta, gdyż za 10 minut zaczyna się ważna konferencja i musi wydostać jakieś dane. Wiele badań dotyczących psychologii społecznej mówi, iż ludzie są skłonni poddawać się autorytetom. Dlatego w większości przypadków administrator zmieni hasło bez dociekania, czy rzeczywiście osoba z którą rozmawia jest prezesem czy nie. Inny możliwy scenariusz jest możliwy do wykonania w dużej firmie, zatrudniającej wielu pracowników i zlecającej usługi helpdesk innej firmie. Intruz zadzwoni do niczego nieświadomego pracownika z uprzejmym pytaniem, czy występują jakieś usterki w pracy sprzętu komputerowego i jakiego są rodzaju. Pracownik oczywiście odpowie, że występują (bo gdzie ich nie ma) i opisze je szczegółowo. Intruz pocieszy użytkownika, że jest możliwa poprawa jakości pracy, ale potrzebne jest jego hasło dostępu. I oto w łatwy sposób przekazano oszustowi tajne informacje. Tego typu zdarzenia można wyeliminować ustalając zasadę, że nie podajemy żadnych haseł pracownikowi hlepdesku. Do rozwiązania problemu nie są one wcale potrzebne. Także w przypadku osobistego kontaktu pracownika działu technicznego powinniśmy żądać okazania dokumentu identyfikacyjnego.

3. Niszczenie dokumentów w odpowiednich urządzeniach

Wielokrotnie słyszeliśmy, że znaleziono na śmietniku jakieś papiery zawierające poufne informacje, np. listy operacji bankowych klientów lub ich adresy. Dopiero po kilku głośnych skandalach zaczęto korzystać z niszczarek dokumentów. Wszelkie materiały zawierające dane, które nie powinny dostać się w niepowołane ręce muszą być niszczone. Urządzenie takie nie jest kosztowne, a daje nam taką gwarancję. Istnieją odpowiednie uregulowania prawne nakładające na administratorów danych obowiązek odpowiedniego ich zabezpieczenia przed dostępem osób postronnych. Zdeterminowany włamywacz gotów jest przeszukiwać nasze śmieci, by znaleźć wszelkie informacje, które mogą dopomóc mu w dokonaniu włamania. Dobrym rozwiązaniem może być wynajęcie firmy do utylizacji odpadów. Będziemy mieli prawie stuprocentową pewność, że tą drogą intruz nie uzyska informacji.

4. Kontrola dostępu do Internetu i usług

W celu ograniczania niebezpieczeństwa wycieku danych należy wdrażać w firmie zasady korzystania z zasobów komputerowych. Powinny one określać, do jakich celów należy wykorzystywać sprzęt i oprogramowanie. Należy kontrolować wszelkie możliwe drogi wprowadzania i wyprowadzania danych z systemu. Najważniejszą z nich jest łączenie z zewnętrznymi sieciami, a przede wszystkim Internetem. Rozważyć należy zasadność umieszczania stacji dyskietek w terminalach. Powinno się ściśle reglamentować dostęp do zewnętrznej poczty elektronicznej. Usługi Chat, IRC, ICQ, strony o niecenzuralnej treści powinny być zablokowane. Modemy znajdujące się w sieci powinny najpierw identyfikować dzwoniącego, następnie sprawdzać, czy dany numer znajduje się na liście numerów zaufanych. Po poprawnej weryfikacji modem powinien sam nawiązać połączenie.

Stosowanie zabezpieczeń technicznych w postaci zapór ogniowych, systemów IDS, programów antywirusowych nie wystarczy. Ważne jest także odpowiednie szkolenie użytkowników. Lekceważenie przedstawionego powyżej problemu może doprowadzić do przykrych w skutkach sytuacji. Można na dowód tego przytoczyć historię ataku techniką Social Engineering na pracownika sekcji technicznej firmy AOL. Intruz rozmawiał ze swoją ofiarą ponad godzinę. W jej trakcie wspomniał, że ma do sprzedania bardzo tanio samochód. Pracownik zainteresował się propozycją i poprosił o przesłanie zdjęcia auta. Włamywacz ochoczo zabrał się do dzieła, ale zamiast zdjęcia przesłał jako załącznik listu konia trojańskiego, który umożliwił hakerowi dostęp do sieci wewnętrznej AOL. Pracownik wiedząc że ma otrzymać list z załącznikiem nie zachował odpowiedniej czujności i uruchomił go bez weryfikacji. W ten sposób dzięki sprytnemu połączeniu środków technicznych i metod manipulacji ludźmi intruz przeprowadził atak zakończony pełnym sukcesem. Podobnych scenariuszy można przytoczyć wiele. Najbardziej wrażliwi na tego typu ataki są pracownicy godzinami przesiadujący na Chat'ach. Mogą oni poprosić obcą osobę o przesłanie zdjęcia - a zamiast niego otrzymać wirus typu ''Anna Kurnikowa''. Równie niebezpiecznym zwyczajem jest przesyłanie znajomym różnych żartobliwych obrazków lub animacji. Potencjalnie w każdym z nich może znajdować się wirus lub trojan. Większości niebezpiecznych sytuacji da się uniknąć dzięki odpowiedniemu uświadomieniu użytkownikom istniejących zagrożeń. Jeśli dobrze to zrobimy - pracownik zrozumie powody i będzie się stosował do zaleceń



Wyszukiwarka

Podobne podstrony:
quota, !!!Uczelnia, wsti, materialy, II SEM, systemy operacyjne linux
Analiza i przetwarzanie obraz w W.1, !!!Uczelnia, wsti, materialy, III SEM, Wyk ady
Statystyki, !!!Uczelnia, !WSTI
nowe zadanie, !!!Uczelnia, wsti, materialy, III SEM, teleinformatyka, zadania raporty
w tpi, !!!Uczelnia, !WSTI
algorytmy egzamin, !!!Uczelnia, wsti, materialy, II SEM, algorytmy struktury danych
algebra zbior w, !!!Uczelnia, wsti, materialy, II SEM, matematyka
ALGORYTMY I STRUKTURY DANYCH, !!!Uczelnia, wsti, materialy, II SEM, algorytmy struktury danych
Etyka hackera, !!!Uczelnia, !WSTI
WIRTUALNA SIE PRYWATNA, !!!Uczelnia, wsti, materialy, III SEM, teleinformatyka, voip vpn
Serwer Poczty, !!!Uczelnia, wsti, materialy, III SEM, teleinformatyka, windows2003 server
Aspekt prawny, !!!Uczelnia, !WSTI
AiSD Egzamin 2005, !!!Uczelnia, wsti, materialy, II SEM, algorytmy struktury danych
lista pytan ustne, !!!Uczelnia, wsti, materialy, III SEM, programowanie c
zadanie1 tresc, !!!Uczelnia, wsti, materialy, III SEM, teleinformatyka
AiSD Egzamin Zadania, !!!Uczelnia, wsti, materialy, II SEM, algorytmy struktury danych
Adresacja fizyczna i logiczna IP i MAC, !!!Uczelnia, wsti, materialy, I SEM, uzytkowanie sieci
Analiza i przetwarzanie obraz w W.6, !!!Uczelnia, wsti, materialy, III SEM, Wyk ady
Analiza i przetwarzanie obraz w W.7, !!!Uczelnia, wsti, materialy, III SEM, Wyk ady

więcej podobnych podstron