Ataki socjotechniczne
Dzisiaj chcę wszystkich zachęć do zapoznania się „atakami socjotechnicznymi”, które polegają – jak to pisał Kevin Mitnick w „Sztuce podstępu” – nie łamaniu ludzi, tylko komputerów. Jest to jedna z ciekawszych metod, bo nie trzeba się znać na programowaniu, a hasło do serwisu czy też systemu można zdobyć pytając się o nie wprost.
Jednym z najpopularniejszych socjotechników był Kevin Mitnick. Udawał on różne osoby, od monterów sieci po dział obsługi klientów by zdobyć hasło. Najlepsze w tym wszystkich jest to, że każdy z nas jest po części taką osoba. Szczególnie ta zdolność się włącza gdy chcemy coś uzyskać, dobrego dla nas. Na przykład dobrą ocenę na zaliczeniu, rabat w sklepie. W takich sytuacjach, aby osiągnąć swój cel stosuje się różne sztuczki. Z socjotechniką mamy do czynienia na co dzień, gdy słuchamy polityków. Tyle tytułem wstępu.
W najnowszym numerze czasopisma hackin9 (12/2008) jest artykuł poświęcony właśnie takim osobom - „Jak złamać człowieka? Ataki socjotechniczne. Opisane są przypadki ataków, jak się przed nimi bronić, przedstawiony został ogólny profil takiej osoby.
Znając życie, polityka bezpieczeństwa z mniejszych firmach jest raczej na niskim poziomie. Sprawna osoba mogłaby się bez problemu podać za klienta firmy i poprosić o hasło do serwera nie wzbudzając żadnych podejrzeń. Schemat rozmowy jest zawsze taki sam. Pierw się przedstawiamy, mówimy z czym mamy problem (zapomnieliśmy hasła i nie możemy jego sobie przypomnieć; hasła chcemy aby nam podesłali na xxxxx@poczta.com). Następnie miła rozmowa, na koniec wywołanie presji i współczucia na drugiej osobie:
Byłbym naprawdę wdzięczny za to, szef jutro wraca z urlopu i ma to być zrobione przed jego powrotem, aby zaraz po przyjeździe mógł zatwierdzić projekt dalej.
Taka osoba najpierw bardzo dobrze się przygotuje do ataku: zbada dokładnie naszą firmę, pracowników a nawet klientów i uderzy w najsłabszy punkt.
Dlaczego o tym piszę? Chce uświadomić wszystkich, że jeżeli taka nieświadoma pani Kowalska w dziale obsługi nie będzie miała pojęcia co robi i jakie to może mieć skutki. Kolejna rzecz, to taka, że często ofiarami padają sklepy internetowe, gdzie dostarczony przedmiot się popsuł i chcemy nowy. Bardzo fajnie autor tego artykułu przedstawił scenariusz takiego przekrętu. Po za tym, to jest często stosowane do szpiegostwa przemysłowego, gdy, dla przykładu firma konkurencyjna chce poznać jakieś tajne informacje o produkcie lub poznać cennik (by u siebie dać niższe).
Jak się można przed tym bronić?
Szkolenia pracowników z zakresu bezpieczeństwa, stworzenie procesów postępowania, stworzenie hierarchii dostępu do danych. Na przykład osoby z jednego działu nie mogą podawać żadnych haseł innym działom i osobom dzwoniącym bez względu to na, że „szef jak wróci to mnie zabije”.
Wszystkim właścicielom polecam lekturę tego artykułu, a to jest tylko wierzchołek góry lodowej. Jeżeli nie czytałeś jeszcze książki Kevina Mitnicka „Sztuka podstępu”, to też ją polecam, będzie doskonałym uzupełnieniem wiedzy zdobytej z tego artykułu.
Komentarze 7
Książka Mitnicka jest wprost powalająca. Hackowanie normalnym ludziom kojarzy się z odizolowanymi ze społeczeństwa, zamkniętymi w ciemnych pokojach, przyklejonych do swoich komputerów ludzi, których wiedza komputerowa jest rozległa jak sam internet.
Mitnick pokazuje coś zupełnie innego. Jego historie ścinają z nóg, metody są często banalnie proste, zaś opisywana ludzka naiwność i bezmyślność - najsłabsze ogniwa zabezpieczeń komputerowych - wręcz bezgraniczne.
Dobra lektura dla każdego kto styka się z wrażliwymi danymi, obowiązkowa dla tych którzy za takie dane ponoszą odpowiedzialność ;) W ogóle czyta się to jak dobrą sensację, więc łączymy pożyteczne z przyjemnym.
Potem wyszła jeszcze sztuka infiltracji, też godna polecenia - opisuje historie innych - niekoniecznie już socjotechników, ale też bardzo ciekawa i intrygująca.
Całkiem niedawno byłem na wykładzie Mariusza Stawowskiego z firmy Clico. Zajmuje się on audytem bezpieczeństwa. W większości przypadków, gdy otrzymują zlecenie wykonania audytu zleceniodawca zabrania używania im metod socjotechnicznych gdyż z reguły każdy z pracowników z łatwością się im poddaje. Opisywał on kilka zabawnych przypadków, z jaką łatwością ludzie ulegali sztuczkom. Podczas jednego ze zleceń udało im się za pomocą wspomnianych technik uzyskać hasła i tym podobne rzeczy od samego zarządu firmy. Dosyć ciekawy efekt daje połączenie technik socjotechnicznych i np. phishingu. Przypuśćmy, że w interesującej nas firmie lub urzędu funkcję administratora pełni Pan Kowalski. Teraz za pomocą goldenline lub linkedin możemy dowiedzieć się, w czym się specjalizuje Kowalki a co za tym wiemy, czego spodziewać się w firmie. Dzwonimy do Pana Kowalskiego z bardzo atrakcyjna ofertą pracy. Dla uwiarygodnienia wspominamy, że polecił go na to stanowisko pan x. W miejsce x można wstawić jednego ze znajomych Pana Kowalskiego z goldenline lub linkedIn. Prosimy go o podanie adresu Emil w celu przesłania opisu proponowanego stanowiska. W przesłanym mailu umieszczamy link to spreparowanej strony WWW. W 99% ludzie nabierają się na toâŚ.
Na szkoleniach można wyczulić ludzi na różnego typu techniki, ale zawsze znajdą się tacy, których uda się podpuścić. No i oczywistym jest, że pojawiać będą się coraz to bardziej wyrafinowane metody wyłudzania informacji.
Przykład z życia codziennego wykorzystania socjotechnik. Wyłudzanie kodów doładowań od sklepikarzy.
"które polegają â jak to pisał Kevin Mitnick w „Sztuce podstępu” â nie łamaniu ludzi, tylko komputerów." - chyba na odwrót.
Moze bedzie to nie na temat , ale slyszalem ze WordPressa jest latwo zhakowac. Na ile w tym prawdy ?
W systemach bezpieczeństwa, do których zaprzęgnięto obecnie najnowocześniejszą technikę, najczęściej najsłabszym ogniwem jest właśnie człowiek. Obfitość informacji, które można znaleźć w necie na temat firm i jej pracowników mocno ułatwiają wykorzystywanie tego.
Jeśli znajdę czas to będę musiał tego Kevina Mitnicka przeczytać, dzięki za informację. PS: Na hack.pl jest wywiad z autorem książki, polecam.
Bardzo ciekawy post. Czytałem ksiązkę Kavina Mitnika i musze przyznać że jest porażająca, jak łatwo można podejść drugigo człowieka. Bo jeżeli ktoś będzie chciał ukraść np pieniądze z banku na dzień dzisiejszy wystarczy podejść pracownika tego bank a nie straszyc ich np pistoletem.