Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Social Engineering 
Petr Medonos, Anna Janáčková
O nás 
Petr Medonos 
● 6 let v ETN 
● dohled nad přiváděním 
projektů k životu, konzultace 
● DBA, performance, security 
...
Co je SE?
Co je SE? 
motivace 
Sociální inženýrství je způsob manipulace lidí za účelem 
provedení určité akce nebo získání určité i...
Proč se zabývat SE? 
● slušné zabezpečení OS 
● aplikace se automaticky aktualizují 
● spousta peněz investovaných do bezp...
Proč se zabývat SE? 
● slušné zabezpečení OS 
● aplikace se automaticky aktualizují 
● spousta peněz investovaných do bezp...
Proč se zabývat SE?
Vlastnosti člověka 
● důvěřivost 
● zdvořilost a laskavost 
● zvědavost 
● potřeba pomáhat 
● strach 
● hloupost 
● ego 
●...
Čeho využívá SE? 
● důvěřivost 
● zdvořilost a laskavost 
● zvědavost 
● potřeba pomáhat 
● strach 
● hloupost 
● ego 
● ....
Techniky a cíle SE 
● unesení amygdaly 
● sbírání informací (information gathering) 
● vylákání (elicitation) 
● převlek (...
Neverbální komunikace 
● 50% komunikace 
● dokresleni převleku 
● emoce 
● obličej 
● mikro výrazy 
● makro výrazy 
● tělo
Techniky získání vlivu 
● reciprocita a povinnost 
● ústupek 
● vzácnost 
● závazek a konzistence 
● autorita 
● oblíbenos...
Vektory útoku 
● phishing 
● spear phishing 
● telefon 
● sociální sítě 
● osobní setkání 
● usb zařízení 
● teensy 
● ...
Triky :) 
● můžete mi prosím pomoc? 
● dotek 
● protože 
● využití davu
Obrana 
● školit zaměstnance 
● skripty 
● důležitost informací 
● definice politik pro práci s daty 
● SE audity 
● strik...
QA 
QA?
Upcoming SlideShare
Loading in …5
×

LinuxDays 2014: Social Engineering

701 views

Published on

Petr Medonos a Anna Janáčková na téma "sociální inženýrství" (jak jsou takovéto útoky prováděny, ale i jak se proti SE bránit).


@PetrMedonos
@AJanackova
www.etnetera.cz

Published in: Internet
  • Be the first to comment

  • Be the first to like this

LinuxDays 2014: Social Engineering

  1. 1. Social Engineering Petr Medonos, Anna Janáčková
  2. 2. O nás Petr Medonos ● 6 let v ETN ● dohled nad přiváděním projektů k životu, konzultace ● DBA, performance, security ● EWA (ewa.etnetera.cz) ● CEH, RHCE, M102, M202 @PetrMedonos [in] PetrMedonos Anna Janáčková ● 5 let v ETN ● nahrazení sebe sama strojem (Puppet, ... ;) ● zalohování, automatizace ● M202 @AJanackova [in]AnnaJanackova
  3. 3. Co je SE?
  4. 4. Co je SE? motivace Sociální inženýrství je způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace. (wikipedia)
  5. 5. Proč se zabývat SE? ● slušné zabezpečení OS ● aplikace se automaticky aktualizují ● spousta peněz investovaných do bezpečnostních prvků ● spousta lidí věnující se defenzivní bezpečnosti
  6. 6. Proč se zabývat SE? ● slušné zabezpečení OS ● aplikace se automaticky aktualizují ● spousta peněz investovaných do bezpečnostních prvků ● spousta lidí věnující se defenzivní bezpečnosti ● co uživatelé?
  7. 7. Proč se zabývat SE?
  8. 8. Vlastnosti člověka ● důvěřivost ● zdvořilost a laskavost ● zvědavost ● potřeba pomáhat ● strach ● hloupost ● ego ● ...
  9. 9. Čeho využívá SE? ● důvěřivost ● zdvořilost a laskavost ● zvědavost ● potřeba pomáhat ● strach ● hloupost ● ego ● ...
  10. 10. Techniky a cíle SE ● unesení amygdaly ● sbírání informací (information gathering) ● vylákání (elicitation) ● převlek (pretext) ● převědčování (persuasion) ● mind tricks ● NLP ● budování vztahu ● …
  11. 11. Neverbální komunikace ● 50% komunikace ● dokresleni převleku ● emoce ● obličej ● mikro výrazy ● makro výrazy ● tělo
  12. 12. Techniky získání vlivu ● reciprocita a povinnost ● ústupek ● vzácnost ● závazek a konzistence ● autorita ● oblíbenost ● sociálni schválení
  13. 13. Vektory útoku ● phishing ● spear phishing ● telefon ● sociální sítě ● osobní setkání ● usb zařízení ● teensy ● ...
  14. 14. Triky :) ● můžete mi prosím pomoc? ● dotek ● protože ● využití davu
  15. 15. Obrana ● školit zaměstnance ● skripty ● důležitost informací ● definice politik pro práci s daty ● SE audity ● striktní konfigurace FW, AV :), IPS/IDS, aktualizace SW, ...
  16. 16. QA QA?

×