Sociální inženýrství      Martin Hájek
AnotaceText jednoduchou formou rozebírá oblast sociálního inženýrství, které je v současnostijedním z nejzávažnějších kybe...
1. Sociální inženýrství     Sociotechnika (sociální inženýrství) je manipulace s lidmi s cílem oklamat je, aby uvěřili,že ...
Další možností, jak se dostat k volně dostupným informacím, je prohledáníodpadkového koše osoby, o které se toho chce soci...
   Sociotechnik nesmí být příliš vtíravý a dělat nátlak na oběť. Všechno má svůj čas.      Útočník musí být přátelský a ...
ZdrojeMonografieJIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojskýchkoních bez taje...
Webové stránkySocial-Engineer.Org: Security Through Education [online]. 2012 [cit. 2013-01-05]. Dostupnéz: http://www.soci...
Upcoming SlideShare
Loading in …5
×

Socialni inzenyrstvi_Hajek_KPI

235 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
235
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Socialni inzenyrstvi_Hajek_KPI

  1. 1. Sociální inženýrství Martin Hájek
  2. 2. AnotaceText jednoduchou formou rozebírá oblast sociálního inženýrství, které je v současnostijedním z nejzávažnějších kybernetických problémů. V úvodu jsou vysvětleny základní pojmy.Následně text pojednává o metodách sociotechnického útoku. Text se nejprve zaměřuje naprozkoumání volných zdrojů, kterými mohou být odpadkové koše, sociální sítě či telefonickéhovory s lidmi, kteří většinou nevědí, že je jejich ochota pomáhat zneužita. V rámcisociotechnického útoku využívá sociotechnik metody k budování důvěry, která je mnohdyklíčová pro úspěch. Text je zakončen pasáží o metodách, pomocí nichž je sociotechnikschopen přesvědčit oběť, aby udělala to, co od ní očekává. Výběr metod závisí na tom,s kým a jakým způsobem bude útočník komunikovat.Klíčová slovaDůvěra, Facebook, hovor, komunikace, sociální inženýrství, sociální sítě,sociotechnik, strategie, Twitter, útok, zdroje, zločinArgumentaceK výběru tématu jsem se rozhodl, protože se ve své diplomové práci zabývám metodamisociálního inženýrství v praxi. Zkoumám možnost jejich zneužití v knihovnách, kde se všichniuživatelé, čtenáři a samotní knihovníci každodenně setkávají s výpočetní technikou a mohouse tak snadno stát obětí sociotechnického útoku. Také bych rád upozornil na to, že tentoproblém nepatří pouze na filmová plátna, ale jedná se o skutečnou hrozbu pro každého, kdopracuje s informačními a komunikačními technologiemi. Jak plyne z knihy Kevina Mitnicka,i sebelepší zabezpečení dat je k ničemu, když selže lidský faktor.
  3. 3. 1. Sociální inženýrství Sociotechnika (sociální inženýrství) je manipulace s lidmi s cílem oklamat je, aby uvěřili,že sociotechnik (útočník využívající sociotechniky) je osoba s totožností, kterou předstírá.Takovou totožnost si sociotechnik vytváří přesně pro potřeby manipulace. Díky tomu jeschopen využívat lidi, se kterými hovoří, případně další technologické prostředky, k tomu abyudělali, co on sám chce, nebo aby získal cenné informace či peníze. Pro sociotechnika je jednodušší využívat lidskou psychiku, slabosti či návyky, nežpřekonávat technické nástrahy bezpečnostních systémů. 2. Metody sociotechnického útoku Sociotechnický útok je dobře promyšlený plán, který má dvě úrovně. Psychologická jezaložena na selhání lidského faktoru a fyzická využívá k oklamání prostředky ICT (informačnía komunikační technologie). Každý útok začíná průzkumem volných a dostupných zdrojůinformací, nejčastěji webových stránek, profilů na sociálních sítích a dalších volnědostupných materiálů. Na základě zjištěných informací buduje sociotechnik vztahs vytipovanou osobou a snaží se u ní vzbudit pocit důvěry. Ta je následně i opakovanězneužita pro získání kýžené informace nebo k dosažení vytýčených cílů. Tomu říkámesociotechnický cyklus. 2.1. Průzkum volných zdrojů Sociotechnický útok začíná průzkumem volně dostupných zdrojů informací. Pod tímtopojmem si lze představit informace, které jsou přístupné širší veřejnosti. Mohou býtk dispozici v elektronické podobě na internetu, v tištěné podobě, nebo je možné je získatjiným zákonným způsobem, například dotazem v tiskové kanceláři, nebo po uplatnění zákona106/1999 Sb. o svobodném přístupu k informacím v případě, že se jedná o veřejnou instituci. Nejjednodušší cestou, jak se dostat k informacím, je procházení webových stránek, kdeo sobě často uživatelé dobrovolně prozrazují překvapivě mnoho. Stejně tak je tomu nasociálních sítích (Facebook, Twitter, LinkedIn), v informačních systémech středních ivysokých škol, nebo na dalších stránkách, kde se uživatel rádi prezentují.
  4. 4. Další možností, jak se dostat k volně dostupným informacím, je prohledáníodpadkového koše osoby, o které se toho chce sociotechnik před útokem dozvědět víc.Odpadkový koš může skrývat řadu zajímavých dokumentů, výstřižků, složenek a dalších věcí,kde se mohou nacházet informace od jména a příjmení, přes bydliště až k rodnému číslu,nebo účtu v bance. Po analýze informací z volně dostupných zdrojů si sociotechnik dokáže poskládatzákladní obraz osoby, na kterou chce zaútočit. Velmi často se dozví, co má ráda, o co sezajímá, čím se živí a kdy a kde bývá k zastižení. Dalším krokem je budování důvěry. 2.2. Budování důvěry Pro využití nebo rozšíření informací z volně dostupných zdrojů je pro sociotechnikanezbytné vytvořit si dobrý vztah s osobou, na kterou chce zaútočit nebo kterou chce využít.Základem dobrého vztahu je vybudování důvěry díky využití znalosti prostředí, v kterém sedotyčná osoba pohybuje. Vybudování důvěry je založeno na využití získaných informací.Každý ochotněji spolupracuje, když komunikuje s člověkem, se kterým má něco společného.Může se jednat o stejný studijní obor, absolvovaný předmět, nebo o podobné záliby, koníčkyči práci. Využít se dají i negativní věci jako touha podělit se o své znalosti určitého problému,touha někomu se vypovídat až k touze po pomstě, když byl dotyčný nějakým způsobemnegativně ovlivněn a převládají negativní emoce. Pro usnadnění komunikace a vybudování důvěry využívá sociotechnik předempromyšlenou strategii, která se podobá šachové partii. Sociotechnik musí být vždy alespoň ojeden tah před osobou, na kterou útočí. Strategie se dají obecně rozdělit na 3 základní druhy:  Úzce osobní strategie  Familiární komunikační strategie  Oficiální komunikační strategie 2.3. Přesvědčovací metody Cílem sociotechnického útoku je přelstít oběť. Výsledek útoku mohou ovlivnitnásledující faktory. Jsou založeny na využití dříve zmíněných lidských vlastností.  Přesvědčení oběti, že je tím, kdo rozhoduje, jedná ze své vlastní vůle a bude za svoji práci odměněna. Odměnou může být třeba dobrý pocit z pomoci kolegovi z oboru.
  5. 5.  Sociotechnik nesmí být příliš vtíravý a dělat nátlak na oběť. Všechno má svůj čas.  Útočník musí být přátelský a nastavit v komunikaci přátelský tón. To může pomoci i v jinak prohraném útoku, protože každý věří v dobrotu svého kolegy nebo kamaráda.  Využití pocitu zbavení se odpovědnosti, kdy je oběť sdílnější ke komunikaci, když ví, že tíha odpovědnosti neleží pouze na ní, ale třeba na útočníkovi, nebo spolupracovnících a šéfech, které sociotechnik během hovoru zmíní.  Naděje na zlepšení stávajícího stavu je vhodnou motivací zejména v pracovním prostředí. Oběť je sdílnější, když uvěří, že splněním požadavků útočníka získá lepší pracovní pozici, nebo si polepší před svými kolegy nebo soupeři.  Jak již bylo zmíněno, jedním z nejdůležitějších kroků je vybudování pocitu důvěry. Sérií na první pohled bezvýznamných vět při komunikaci vzbudí sociotechnik důvěru oběti a ta bude ochotnější ke komunikaci.  Využití morální odpovědnosti oběti spočívá v tom, že se vyvolá přesvědčení, že se na děje bezpráví, kterému může oběť zabránit právě tím, že poslechne útočníka.Obr. 01 Schéma sociálního inženýrství
  6. 6. ZdrojeMonografieJIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojskýchkoních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2. - Jedna z nejucelenějších knih o problematice počítačové kriminality. - Dobře popsán sociotechnický postup, metody i strategie. - Kniha je od dvou předních českých autorů z oblasti počítačové kriminality. - Je zde popsán vývoj složek, které mají za úkol boj proti počítačové kriminalitě. - Jsou zde uvedeny metody vyšetřování počítačových zločinů.MITNICK, Kevin. Umění klamu. Vyd. 1. Gliwice: Helion, 2003, 348 s. ISBN 83-736-1210-6. - Nejlepší kniha o sociálním inženýrství, která je beznadějně vyprodána. - Jejím autorem je největší sociální inženýr Kevin Mitnick. - Nabízí ucelený pohled na problematiku, metody, techniky, obranu. - Autor používá velké množství příkladů z vlastní i cizí praxe. - Jakožto expert přidává autor rady, jak se bránit proti sociotechnickému útoku.Odborné článkyBESTUZHEV, Dmitry. Testy sociálního inženýrství: Ověřování bezpečnosti organizace. ITSystems [online]. Brno: CCB s.r.o, 2012, č. 9 [cit. 2013-01-05]. Dostupné z:http://www.systemonline.cz/it-security/socialni-inzenyrstvi-1.htm - Článek přináší základní informace o sociálním inženýrství. - Přináší výsledky, které dokazují, že nejzranitelnější a také nejslabší částí organizace jsou právě její zaměstnanci. - Nabízí možnost, jak otestovat zaměstnance a jejich náchylnost k metodám sociálního inženýrství. Uvádí možnosti, jak test vypracovat a vyhodnotit. - Přichází s myšlenkou, že sociální inženýrství je nebezpečné tam, kde se integruje více služeb a je k nim zapotřebí pouze jednoho přístupu. - V závěru uvádí některé v současnosti používané metody a nástroje.BUDAI, David. Sociální inženýrství v praxi: Když si hacker o heslo prostěřekne. CNews [online]. 2012, č. 4 [cit. 2013-01-05]. Dostupné z:http://pcrady.cnews.cz/socialni-inzenyrstvi-v-praxi-kdyz-si-hacker-o-heslo-proste-rekne - Článek pojednává o metodách sociálního inženýrství se zaměřením na phishing. - Vznikl jako reakce na klamné e-maily z bank, díky kterým uživatelé přišli o peníze. - Článek popisuje nejčastěji používané techniky a postupy. - Představuje osobnost autora Umění klamu Kevina Mitnicka. - Upozorňuje na to, že pro použití sociálního inženýrství nejsou potřeba rozsáhlé počítačové znalosti, ale může s ním pracovat téměř kdokoliv.
  7. 7. Webové stránkySocial-Engineer.Org: Security Through Education [online]. 2012 [cit. 2013-01-05]. Dostupnéz: http://www.social-engineer.org/ - Jeden z největších světových portálů o sociálním inženýrství. - Návštěvník se zde dozví základní i podrobnější informace. - Nabízejí také možnost vzdělávat se formou kvalitních placených kurzů. - Kvalitní zdroj dalších odborných článků, publikací a webových portálů. - Nachází se zde i blog, kde se kromě faktických údajů, probírají další zajímavá aktuální témata, která jsou se sociálním inženýrstvím nějak spojena.PŘIBYL, Tomáš. Sociální inženýrství z pohledu útočníka. ICT Security [online]. 2009 [cit. 2013-01-05].Dostupné z: http://www.ictsecurity.cz/odborne-clanky/socialni-inzenyrstvi-z-pohledu-utocnika.html - Autor pojednává o nebezpečí, které je se sociálním inženýrstvím spojené. - Rozebírá sociální inženýrství z pohledu útočníka. - Jsou zde rozebrány možnosti, které dávají útočníkovi výhodu. - Stránka pojednává o zneužívaných motivačních faktorech. - Závěrem je nabídnuta možnost, jak se proti útokům bránit a čeho se vyvarovat.

×