Sociala inzenierija

920 views

Published on

D.Balodis

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
920
On SlideShare
0
From Embeds
0
Number of Embeds
245
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Tātad šodienas prezentācijā es jums stāstīšu par to kas ir sociālā inženierija un kādēļ par to ir jārunā it drošības kontekstā.Tālāk pastāstīšu par to ko mēs saprotam ar sociālo inžeieriju kādi ir tipiskākie uzbrukumu veidiTad pastāstīšu par to kas visrdrīzāk varētu kļūt par soc. inž. Mērķi un no kurienes ieguta informācija visvairāk palīdz uzbrukumu veikšanāPārējot pie praktiskās demonstrācijas es iepazīstināšu ar SET un demonstrēšu dažas no SET iespējāmTālāk apkoposim rezultātus un izdarīsim secinājumus ko darīt lai ierobežotu iespēju manipulēt ar uzņēmuma darbinieikiemUn kā arī pastāstīšu to kā DPA var palīdzēt šajā jomā.
  • Tātad sākam ar definīciju – es nemēģināju tulkot, bet tātād būtiskākais:Tā ir māksla – tātād tai nav robežu – kas mūsu gadījumā ir vairāk slikti nekā labiMēŗkis ir manipulēt ar cilvēkiem lai iegūtu konfidenciālu informāciju vai pierunātos tos veikt darbības savā labā
  • Kādēļ gan tas būtu jādara?Diemžēl realitāte ir tāda ka cilvēki ir biežu vien bvājākais ķēdes posms uzņēmuma drošībāNe visi ir apmācīti, ne visiem ir pietiekamas zināšanasKā arī vidējais statistiskais cilvēks tomēr ir pietiekami viegli manipulējams, kā arī cilvēkiem ir dabiska vēlme sadarboties.Kas vēlAr sociālās inženierijas paņēminiem rezultātu var sasniegt krietni vien lētāk un ātrāk nekā izmantojot tradiconālo ielaušanās metodiku. Piemēram kādēļ jāmeiģinaatlaust paroli veicot nedēļām ilgu paroles pārlasi, ja var vienkārši pazvanīt, izlikties par kolēģi no It departamenta un paroli noskaidrot 2 minūšu laikā. Faktiski vienīgais ierobežojošais faktors ir fantāzijas trūkums – domāju ka jebkurš var izdomāt 100tiem veidu kā vienam otru piemuļķot. Runājot ‘jau tieši ielaušanās testu kontekstā, iegūstot attālinātu pieeju lietotāju datoram, tiek automātiski pārvarēta bieži vien labi nocietinātā perimetra aizsardzība un iegūt pilna pieeja iekštīklam ko nereti aizmirst tik labi apsargāt kā ārējo perimetru
  • Sociālās inženierijas paņēmienu uzskaitījumu varam sākt ar dažādiem telefona zvaniem, gan izliekoties par kādu citu, gan arī vienkārši mēģinot no cilvēka izvilināt noteiku informāciju, piemēram, esmu noskaidrojis ka uzņēmums X izmanto grāmatvedības programmatūru ko piegādā piegādātājs Y. Labdien es veicu soc. aptauju mūsu klientiem, jūs tacū izmantojat mūsu programmatūru.’ jā izmantojam . Vai jums būtu laiks nelielai sarunai, mēs vēlamies uzlabot sava produkta kvalitāti - jā. Pēc kādiem 3 – 4 jautājumiem uz kuriem potenciālais upuris atbildēs ar jā mēs piemēram pajautājam, sakiet lūdzu vai sistēmas neparasa pārāk garas paroles – neatkarīgi no atbildes mēs varam jautāt a cik garu paroli jūs uzmantojat utt.Phishig jeb pikškērēšanas e-pasti ir vēl viena no metodēm kuras galvenā doma ir piespiest lietotāju noklikšķināt uz interneta saiti – ja šis e-pasts ir sagatavots tieši šim konkrētajam cilvēkam, tad var būt fakstiski neiespējami to atšķirt no īstaPastāv arī iespēja sagatavot USB vai CD-ROM mēdijus kuros iekšā ir ļaunprātīga programmatūra. Šādu disku atstājot publiskā vietā un uzrakstot virsū jaunās algas.xls domājams ka darbinieku žiņkārība ņems virsroku un kāds jau noteiki šo disku datorā ieliks.Tāpat arī pie soc. inžnierijas metodēm pieskaita konfinfo meklēšanu atkritumos, vai arī fizisku permitra aizsardzības zonu pārkāpšanu ar mērķi iekļūt datu centros vai vismaz kādā telpā kur var pieslēgt aparatūru daotrtīklam un tur to atstāt.
  • Jebkurš soc. eng. Uzdevums sākas ar informācijas meklēšanu, agrāk kad viss vēl nebija publicēts internetā tad viss sākās ar telefona grāmatu, mūsdienās ļoti daudz derīgas info var atrast vienkārši internetā.Uzņēmuma struktūra amati, darbinieku vārdi un kontraktinformācija ir pirmais ar ko būtu jāsāk, pavisam viegli šajā gadījumā ir publisko sektoru kur šī info ir noteiki jāpubliskoPēc publicētiajiem iepirkumiem precīzi var noteikt kāda ir IT infrastruktūra un kāda programmatūra tiek izmantota.Tāpat vismaz daudz publiskā sektora iestāžu mājas lapās ir atrodams ievērojams skaits office dokumentu, kas pats par sevi nav nekas slikts, tomēr nereti tie satur visus iespējamos metadatus, tādus kā Os versijasProgrammatūraLietotājvārdiPrinetru vārdi un serveru vārdiPēdējā laika tendence kad cilvēki visu savu iespējamo dzīves gājumu publicē feisbukkaa un twiterrii ļoti atvieglo sociālā inženiera darbu. Es piemēram viegli varu noskaidrot kad mani interesējoša persona ir atvaļinājumā, jo viņa publicē bildes tieši no pludmales havaju salās, tādejādi es zinu ka ir īstais brīdis zvanīt uz viņas numuru un tiekt, ka viņa man apsolīja atsūtīt to un to un tagad nekā, bet man ļoti vajag vai labais kolēģis kurš visdrīzāk nebūs lietas kursā un negribēs arī traucēt savu priekšnieku havaju salās mēģinās man palīdzēt kā nu var.(suši piemērs)
  • Šeit ir piemērs tam kādu informāciju satur kādas iestādes mājas lapā publicēto dokumentu metadati. Metadatu analīzei izmantoju tādu rīku kā FOCA, kas automātiski savāc no uzdotās mājas lapas visus tur esošos dokumentus, izanalizē tos un attēlo vienkāršā veidā. Kā redzams, kopā tika savākti 372 dokumenti, gan word, gan excel gan pdf, redzams ka iestāde izmanto gan win 7 gan winxp datorus un xp ir krietni vairāk , kā arī visas iespējamās ms office versijas, Aizkrāsotās vietas ir gan iekšējās IP adreses, gan serveru un šāru vārdi, kā arī protams tas ko es šeit nevēlējos parādīt ievērojams skaits lietotāja vārdu.Šāda informācija ir ļoti noderīga labi organizētam un plānotam soc. inženierijas uzbrukumam.
  • Skaidrs ka uzbrucējs izvēlēsies to kuru visvieglāk būs piemānit vai arī to kam ir vislielākā pieeja datiem un informācijai, tie var būt gan vadītāji, gan gadījumā ja uzņēmumam vai iestādei ir vairāki ofisi tad es vismaz noteikti mēģinātu inženierēt darbiniekus kas tālāk no rīgas – tādēļ iespējams mazāk apmācīti. Personāla daļa arī saņem ievērojam skaitu ar dokumentiem kurus tiem gribot vai negribot ir jāatver – piemēram cv. Es pat varu pazvanīt un painteresēties vai izdevās manu sagatavoto cv pienācīgi atvērt, noskaidrot ms office versiju, windows versiju utt.IT darbinieki arī noteikti ir tie pret kuriem šādi uzbrukumi var tikt vērsti, šiet gan visdrīzāk būs jālieto sarež’’gītājās metodes, toties ja tās izdodas tad ieguvumus ir lielisksKādu laiku atpakaļ skatījos vienu prezentāciju tieši par sociālo inženieriju, kur tika veikts šāds mēģinājums – no veikala tika pasūtītas vairākas pašas labākās un foršākās klaviatūras, tās tika modificētas pievienojot nelielu mikroshēmu, kas darbojas k’ā USB ierīce kurā saglabājas viss uz klaviatūras rakstītiais un kas windows vidē pieeinstalējās ka vēl viens nevainīgs draiveris, bet māk šo informāciju caussl nosūtīt uz noteikuipadrtesi. Tad šīs klaviatūras tika uzdāvinātas mēr’’ķa uzņēmuma it darbiniekiem, noformējot kā dāvanu no piegādātāja. Protams, ka tādā veidā uzbrucējs īsā laika periodā ieguva pilnīgi visas nepieciešamās paroles, un neviens par šo trojas zirgu uzņēmumā nemaz nenojauta.
  • SET ir rīku komplekts kas ļauj automatizētā un vienkāršā veidā veikt socengineering uzbrukumusIekļauts backtracklinux distributīvā, bet to ir iespējams uzstādīt arī atsevišķiPilna integrācija ar metasploit kas ir defactostandars ievainojamību testēšanāTālāk esmu sagatovijs ari nelielu SET iespēju demo
  • Ko mēs no šī visa varam mācītiesIkviens ir mērķisSvarīgākais ir izglītošana un lietotāju apmācība, kas ir uzņēmuma vadības un it drošības pārvaldības uzdevumsLai iletotāju spētu idenitficēt šos socmēginājumus un spētu uz tiem adevkāti reaģēt.
  • DPA vēl aizvien piedāvājam dažādus ar IT drošību saistītus pakalpojumus, tādus kā procesu un atbilstības auditiIelaušanās testēšanaWeb aplikāciju drošības testus, sociālās inženierijas uzbrukumusKā arī protams audita laikā konstatēto trūkumu novēršanuun drošības apmācību
  • Mūsu drošības apmācību programma ir izstrādāta ar mērķi izglītīot darbiniekus IT drošības jomā un populārzinātniski izskaidrot būtiskākos IT drošības pamatprincipus un aspektus.Mācību saturs ir redzams slaidā, <>Šim pakalpojumam mēs esam arī noteikuši standarta piedāvājumu, kas ietver gan sagatavošanos apmācībām, pašas apmācības kā arī mācību materiālus, pārējās detaļas ir redzamas uz ekrāna.Ikviens ir Mērķis –jebkurš no uzņēmuma vai iestādes darbiniekiem var kļūt par hakeru uzbrukuma upuri. Kādēļ tas tā ir? Sociālā inženierija –izplatītākās metodes, kā uzbrucēji mēdz mānīt cilvēkus - vairāku reālās dzīves piemēru demonstrējums.Droša e-pasta lietošana. E-pasta uzbrukuma veidi, piemēram, pikšķerēšana (phishing) un dažādi mēstuļu (spam) veidi. Droša e-pasta lietošana un potenciāli bīstamu e-pasta sūtījumu identificēšana.Interneta pārlūkošana. Potenciālie uzbrukuma vektori, izmantojot interneta pārlūkprogrammu. SSL un tā lietošana. Ieteicamie pārlūkprogrammu uzstādījumi. Sociālo tīklu izmantošana. Līdz ar sociālo tīklu strauju izplatību, aizvien vairāk cilvēku tajos publicē savu privāto un, nereti arī darba informāciju, ko var izmantot ļaunprātīgas personas, lai piekļūtu gan uzņēmuma, gan privātajiem datoriem.Mobilo ierīču drošība. Mobilās ierīces pēdējā laikā ir kļuvušas par neatņemamu dzīves sastāvdaļu, un tajās nereti tiek glabāta gan privāta, gan uzņēmuma informācija. Viedi, lai informācijas glabāšanu mobilajās ierīcēs padarītu drošāku. Ko drīkst un ko nedrīkst vai nav ieteicams glabāt mobilajā ierīcē. Portatīvo datoru cieto disku šifrēšana. Droša USB ierīču izmantošana.Paroles. Droša paroļu lietošana. Demonstrācijas un piemēri kā paroli nevajag veidot un glabāt, drošas paroles izveidošanas iespējas. Kā droši glabāt vairākas paroles. Riski, kas rodas, ja izmanto publisku datoru.Datu un informācijas aizsardzība. Publiska un aizsargājama informācija uzņēmumā. Informācijas klasifikācijas līmeņi un atbilstošā aizsardzība. Pareiza elektronika un papīra formāta informācijas izmantošana.Bezvadu tīklu droša lietošana. Bezvadu tīkla izmantošanas riski, gan uzņēmumā, gan mājās. Bezvadu tīkla konfigurācija mājās. Brīvo bezvadu pieejas punktu izmantošanas riski.Darbs no mājām vai ceļā. Kas jāņem vērā, lai droši strādātu ar darba dokumentiem mājās, ceļojuma vai komandējuma laikā. Iekšējie draudi. Iekšējie draudi ir pašas organizācijas darbinieki, līgumstrādnieki, ārējie sadarbības partneri, kas izmanto organizācijas sniegto uzticību, lai mēģinātu piekļūt sensitīvai informācijai un ierobežotiem resursiem. Šajā sadaļā tiek sniegta informācija, kā šādu rīcību identificēt, kāpēc tas ir bīstami un kam par to ziņot.Fiziskās drošības aspekti. Piemēri, kā ļaunprātīgas personas var mēģināt iegūt pieeju uzņēmuma vai organizācijas telpām. Kādas vietas ir potenciālie uzbrukuma mērķi. Kādēļ vienmēr viesi ir jāpavada no/ līdz izejai, kādēļ ir jālieto ID kartes.Datora drošība mājās. Minimums, kas katram būtu jādara, lai nodrošinātu sava personālā datora drošību mājās. Ielāpu likšana un programmatūras atjauninājumi, ugunsmūris, antivīrusa programmatūra, rezerves kopēšana. Drošs mājas bezvadu tīkls.Drošības incidents. Kā identificēt, to ka datorā tomēr ir iekļuvis hakeris vīruss vai ļaunprātīga programmatūra. Kādas ir pazīmes? Kā rīkoties, kam ziņot?
  • Līdzīgi kā darbinieku apmācības gadījumā, mēs jums vēlamies piedāvāt arī jaunu tā saukto mazo pakalpojumu – ievainojamību skanēšana,kura ietvaros ar automātisku rīku ātri un efektīvi iespējams iegūt tādu kā vispārējo drošības novērtējumu no tehniskās puses.
  • Vispirms vēlos uzsvērt to ka Mūsu uzņēmums ir unikāls ar to ka šeit ir apvienota gan ievērojama pieredze IT drošības jomā un tās novērtēšanā, un kas nav mazāk būtiski, ļoti liela pieredze tieši risinājumu ieviešanā un uzturēšanā un šī saikne nodrošina to ka drošības audita rezutlāti nebūs tikai augsta līmeņa vispārīgas rekomendācijas, bet gan konkrēti risinājumi vai konfigurācijas piemēri un galu galā mēs paši arī varam apņemties identificētos trūkumus priekš jums novērst.
  • Sociala inzenierija

    1. 1. Sociālā inženierija - IT drošībasapdraudējumsDidzis Balodis, CISSP, DPA drošības auditors2012. gada 27. aprīlis
    2. 2. Saturs Kas ir sociālā inženierija un kā to pielieto? Uzbrukumu veidi un mērķi Informācijas avoti Social Engineering Toolkit demonstrācija Secinājumi DPA pieredze un iespējas
    3. 3. Kas ir sociālā inženierija?
    4. 4. Kas ir sociālā inženierija?Social engineering is: when one person tricks another person into sharing confidential information. (CISSP Book) is understood to mean the art of manipulating people into performing actions or divulging confidential information (unknown source)Sociālā inženierija ir: Māksla! Manipulācijas ar cilvēkiem Ar mērķi iegūt konfidenciālu informāciju (piem. pieeju datoram) Ar mērķi piespiest cilvēkus veikt darbības savā labā
    5. 5. Kādēļ sociālā inženierija tiek izmantota? Bieži vien vājākais ķēdes posms uzņēmuma IT drošībā ir tieši darbinieki: Nepietiekama apmācība Zināšanu trūkums Dabiska vēlme palīdzēt/ sadarboties Neierobežots mēģinājumu skaits! Zemas vai pat ļoti zemas izmaksas Iespēja apiet «nocietināto» perimetra aizsardzību Bieži vien iekšējais tīkls nav tik labi aizsargāts kā perimetrs, tādejādi pastāv laba iespēja turpināt uzbrukumu
    6. 6. Sociālās inženierijas paņēmieni Telefona zvans ar mērķi izmantot publiski pieejamu informāciju, lai iegūtu papildus informāciju, kas nav publiska Viltus e-pasts ar saiti uz viltus lapu (phishing, jeb pikšķerēšana) Inficētu USB, Cd-rom «izplatīšana» Atkritumu inspicēšana (Dumpster diving) Fizisko piekļuves zonu pārkāpšana (piem. ar mērķi iegūt pieeju datortīkla pieslēgvietai vai datu centram)
    7. 7. Sākotnējās informācijas avotiUzņēmumu vai iestāžu mājas lapas: Struktūra, amati Darbinieki, telefona numuri, e-pasta adreses Iepirkumu informācija Darba sludinājumiMetadatu analīze: Izmantotās OS un to versijas Programmatūra LietotājvārdiSociālie portāli: Facebook Draugiem.lv Image: sheelamohan / FreeDigitalPhotos.net Twitter
    8. 8. Metadati - piemērs
    9. 9. Uzbrukumu mērķiPar mērķi var kļūt jebkurš, bet visdrīzāk ka uzbrucējs izvēlēsies to: Kurš būs vismazāk tam sagatavots Kas ir vieglāk sasniedzams Kam ir pieeja konfidenciālai informācijaiPiemēri: Uzņēmuma vai iestādes vadītājs Uzņēmuma personāla daļa Darbinieki - attālinātā birojā IT darbinieki Image: jscreationzs / FreeDigitalPhotos.net
    10. 10. Social engineering toolkit Sociālās inženierijas atbalstam izveidots rīku kopums http://www.social-engineer.org /www.secmaniac.com Iekļauts Backtrack Linux r5 Pilna integrācija ar Metaspolit Framework Iekļauj atbalstu šādiem uzbrukumu vektoriem: Viltus e-pasta izsūtīšana Inficēta web lapa Inficēti faili – pdf, doc, xls Atmiņas nesēji – USB, CD-ROM u,.c. Image: renjith krishnan / FreeDigitalPhotos.net
    11. 11. Demo
    12. 12. Kopsavilkums Ikviens var tikt pakļauts sociālās inženierijas uzbrukumam Būtiski ir to apzināties un būt sagatavotam Katram darbiniekam būtu: Jāmāk identificēt uzbrukumu mēģinājumus Adekvāti reaģēt Eskalēt atbildīgajām personām (piem., IT drošības pārvaldniekam) Uzņēmuma vadībai / IT drošības pārvaldniekam ir svarīgi nodrošināt darbinieku izglītošanas programmu un patstāvīgu tās uzraudzību
    13. 13. DPA piedāvājumsIT auditi un ielaušanās testēšana: Atbilstības auditi LR normatīviem un labākās prakses standartiem Ievainojamību skanēšana Tīkla ielaušanās testi Bezvadu tīklu auditi Web aplikāciju drošības testēšana Sociālās inženierijas testēšana Auditā konstatēto trūkumu novēršana Darbinieku IT drošības apmācība
    14. 14. Lietotāju mācību programma Ikviens ir mērķis Mūsu piedāvājums drošības Sociālā inženierija apmācībai: Droša e-pasta lietošana • Grupā ne vairāk kā 25 cilvēki • Mācību ilgums 2 – 3 h Interneta pārlūkošana Sociālo tīklu izmantošana Pakalpojumā: Mobilo ierīču drošība 1. Sagatavošanās intervija ar Paroles IT vai uzņēmuma vadītāju Datu un informācijas aizsardzība 2. Lietotāju mācības 3. Mācību materiāli katram Bezvadu tīklu droša lietošana mācību dalībniekam Darbs no mājām vai ceļā Iekšējie draudi Cena: Fiziskās drošības aspekti 250.- LVL par pirmo grupu, Datora drošība mājās 2. – 5. grupa 125 LVL, Drošības incidents
    15. 15. Pakalpojums «Ievainojamību skanēšana»Priekšnosacījumi: Uzņēmumā izmantoto serveru skaits ne vairāk 10 Ārējo IP adrešu diapazons – ne vairāk kā 10 IP adresesPakalpojumā ietilpst:1.Intervija ar IT pārstāvi2.Ārējā un iekšējā tīkla skanēšana3.Rezultātu analīze un automatizētas atskaites sagatavošana (angliski)4.Rezultātu pārrunāšana - prezentācijaCena: 400.- LVL
    16. 16. DPA drošības ekspertu komandaApvienota būtiska pieredze IT drošības jomā, risinājumu ieviešanā unuzturēšanā.Sertifikāti CISSP - Certified Information Systems Security Professional CISA – Cerified Information Systems Auditor MCSE, Microsoft Certified Systems Engineer: Security.Pieredzē – ievērojams skaits veikto drošības auditu gan Latvijā ganārzemēs
    17. 17. Jautājumi!

    ×