Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Sociální inženýrství Bezpečnost IS/IT Seminární práce do předmětu

Podobné prezentace


Prezentace na téma: "Sociální inženýrství Bezpečnost IS/IT Seminární práce do předmětu"— Transkript prezentace:

1 Sociální inženýrství Bezpečnost IS/IT Seminární práce do předmětu
Petr Passinger III. (a něco) ročník SI-EI PEF MZLU Přistupné na:

2 Základní pojmy Tři definice sociálního inženýrství (sociotechniky):
Sociální inženýrství Základní pojmy Tři definice sociálního inženýrství (sociotechniky): Sociální inženýrství – termín pro metodu, jež vede legitimní počítačové uživatele k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství – způsob získávání důležitých informací od uživatelů bez jejich vědomí, že toto činí.

3 Sociální inženýrství Základní pojmy 3. Sociální inženýrství – pojem užívaný mezi crackery pro crackovací techniky, které spoléhají spíše na slabé stránky wetware než software; úmyslem je oklamat lidi, aby prozradili hesla či jiné informace, které snižují bezpečnost cílového systému. Klasickým příkladem je telefonát s obětí s požadovanými informacemi, při kterém se útočník vydává například za servisního technika nebo zaměstnance téže firmy s neodkladným problémem.

4 Základní pojmy Wetware
Sociální inženýrství Základní pojmy Wetware Lidský nervový systém, jako protiklad k počítačovému hardware či software. Lidské bytosti (programátoři, operátoři, administrátoři) svázané s počítačovým systémem, jako protiklad k systémovému hardware či software. Phreaking – souhrnný termín pro vloupávání se do telefonních systému, převážně za účelem vedení bezplatných hovorů, odposlouchávání nebo narušování telefonních služeb.

5 1. Osoba jež předstírá svou totožnost za účelem manipulovat s lidmi.
Sociální inženýrství Základní pojmy Sociotechnik 1. Osoba jež předstírá svou totožnost za účelem manipulovat s lidmi. 2. Znalec v oboru sociálního inženýrství se schopností tyto techniky používat. 3. Pojem sociotechnik je pouze eufemismus pro podvodníka. Cracknout – nezákonně se vloupat do počítače, obvykle za účelem zcizení či zničení dat, případně zamezení přístupu k systému ostatním uživatelům.

6 Sociální inženýrství Základní pojmy Hoax – je poplašná a obecně nepravdivá zpráva. Přestože se takové zprávy objevovaly a šířily prakticky od pradávných úsvitů, teprve představuje živné prostředí pro zprávy všeho druhu. Většina takových zpráv popisuje nějakou katastrofu (například žiletky v sedadlech městské hromadné dopravy), nebo hraje na lidské city (žádost o dárcovství krve) anebo se jedná o klasické řetězové dopisy, které slibují odměnu za svoje přeposlání. A to je také poznávací znak těchto zpráv, většinou končí slovy "pošlete tuto zprávu všem".

7 Sociální inženýrství Metody útoku Příklad:

8 Sociální inženýrství Základní pojmy Phishing – Slovo phishing vzniklo kombinací z fishing (rybaření) a phreaking. Česky se někdy překládá jako Rhybaření. Phishing je krádež citlivých informací, např. údajů o platební kartě či krádež jména a hesla k nějaké službě. Nejtypičtějším současným phishingem je falešný , tvářící se jako odeslaný z vaší banky, v němž banka žádá o ověření totožnosti. Po kliknutí na odkaz je uživatel zaveden na falešnou stránku (která se ovšem tváří, že je v pořádku), kde odevzdá své údaje a následně přijde o peníze.

9 Sociální inženýrství Metody útoku Příklad:

10 Mediálně známé osobnosti
Sociální inženýrství Mediálně známé osobnosti Kevin Mitnick * San Fernando Valley, LA USA Vloupání do telefoních ústředen - dopaden Vloupání do sítí Pentagonu - dopaden Poprvé použil „social engineering“ r. 95 poslední dopadení – 68 měsíců Zákaz přístupu k IT 20. ledna 2003 Zákaz vydání svého příbehu do 2007 Kniha „Umění Klamu“ Poradenství v oblasti BIS

11 Mediálně známé osobnosti
Sociální inženýrství Mediálně známé osobnosti Kevin Mitnick Neutuchající snažení (recidivista) Jeden z prvních hackerů, také první odsouzený Změna vnímání hackerství Inciativa „Free Kevin“ Nejlepším hackerem ten neodhalený

12 Mediálně známé osobnosti
Sociální inženýrství Mediálně známé osobnosti Lukáš Kohout absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky Vydávál se za asistenta ministra Kavana Zahraniční cesty (Thajsko, Maledivy, JAR) Cesta za 1,5mil osudná – nedovolen přelet přes Indii Mluvčí CzechTeku Tři roky podmíněně Kniha: „Létající Čestmír Jana Kavana“

13 Sociální inženýrství Metody útoku 12. Návnady Za všechny ostatní bych rád uvedl dvě zajímavé návnady: 1. Umně odložená disketa Umně odložená disketa (tak aby vypadala jako zapomenuta) s patřičným popiskem, například: Tajné – Výplaty – rok 2005 jistě nezůstane dlouho na svém místě. Kdo by nechtěl vědět kolik bere jeho šéf? Na disketě je soubour wages2005.xls, pokus o spuštení však selže, objeví se hláška „file corrupted“, zklamaný nálezce disketu vyhazuje. Ze souboru wages2005.xls se však dostal do počítače (pomocí makra) virus, popřípadě i trojský kůň. Podstatný je i fakt, že disketa byla vyhozena – tím jsou totiž smazány stopy, nakonec kdo by se přiznal k tomu, že se pídil po takových informacích?

14 12. Návnady Příklad následuje: Metody útoku 2. Kdo jinému jámu kopá…
Sociální inženýrství Metody útoku 12. Návnady 2. Kdo jinému jámu kopá… Následující příklad ukazuje jak autor uvedeného u, přelstil příliš zvědavé a nepozorné uživatele internetu a dokonale tak potvrdil natrvalo platný význam jednoho starého českého přísloví. Příklad následuje:

15 Sociální inženýrství Metody útoku

16 Sociální inženýrství Metody útoku 11. Website Tato velmi účinná metoda spoléhá na lenost lidí vymýšlet si více různých hesel pro své jednotlivé účty. Zaměstnavatel, škola, úřady, banky, rms-systém, stránky výrobců audiovizuální a počítačové techniky pro podporu zákazníků, internetové obchody – všechny tyto instituce vyžadují přístup autorizovaný heslem což znamená jediné – vymýšlet a pamatovat si velké množství hesel. K tomu je málokdo ochoten, natož schopen. Útočník tedy může založit webové stránky (otázka pár hodin) jež budou svým tématem blízké oběti či budou slibovat informace pro oběť zajímavé. Tyto stránky (či diskuzi server) budou však vyžadovat jinak obvyklé založení konta. Oběť velmi pravděpodobně použije stejné či podobné heslo jež používá i pro přístupy k jiným službám.

17 Sociální inženýrství Metody útoku 10. Pozornost oběti je zaujata zajímavým a aktuálním předmětem (subjectem) ové zprávy. Setkáváme se se dvěma formami této metody. V příloze takovéhoto u, jenž je obvykle nazván „Anna Kurnikova“ nebo „I love U“ je skryt virus, jehož činnost je zaktivována po jejím otevření. V druhém případě je úkolem takovéhoto mailu vyvolat poplašnou zprávu nezakládající se na pravdě (tzv. hoax čili kachnu) např. o šířícím se viru, který ve skutečnosti neexistuje, příjemce tuto zprávu neověřuje a sám ji s dobrým pocitem, že varoval své známé před nebezpečím přeposílá dále, často více lidem pomocí svých distribučních seznamů. Dochází tak k efektu „sněhové koule“ a k zahlcení poštovních systémů.

18 9. Mód hlupák (Dummy mode)
Sociální inženýrství Metody útoku 9. Mód hlupák (Dummy mode) Pokud je sociotechnik dokonale obeznámen, ani ne tak se specifiky a názvoslovím používaným ve světě informačně-komunikačních technologií, avšak zejména s jeho žargonem, může se směle pustit do aplikace této metody. Útočník zavalí oběť mnoha požadavky přičemž používá složitých pojmů, nesmyslných zkratek (to amíky nepřekvapí) a velké dávky žargonu. Útočí tak na ješitnost oběti (pro někoho možná překvapivě funguje i na ženy), která pak nechce dát najevo svou neznalost a tak útočníkovi v jeho přání vyhoví. Nejlépe tuto sociotechniku spojit s nějakou akutní hrozbou valící se při nesplnění požadavku útočníka přímo na oběť (ztráta dat).

19 8. Odpadky jako zdroj informací (Thrashing/Dumpster diving)
Sociální inženýrství Metody útoku 8. Odpadky jako zdroj informací (Thrashing/Dumpster diving) Doslova „potápění“ čili přehrabování se v odpadcích. Na první pohled nevábná metoda, hojně však využívaná a to i v současnosti. Proto všechny vyhazované dokumenty musejí být skartovány a to moderními skartovačkami, neboť ty starší, jež dokument pouze rozřežou na úzké proužky, jsou vzhledem k možnosti opětovného poskládání překonané. Naprostým nesmyslem je důležité dokumenty trhat na malé kousky, právě ty pak přitáhnou pozornost špiona. V současnosti tuto metodu používají například bulvární deníky. Nedávno v deníku blesku vyšly fotografie odpadků Heleny Vondráčkové.  Další možností jak tuto metodu aplikovat je vydávat se za uklizeče popřípadě nakoupit odpadky dané oběti přímo u skutečného uklízeče.

20 7. „Koukání se přes rameno“ (Shoulder surfing)
Sociální inženýrství Metody útoku 7. „Koukání se přes rameno“ (Shoulder surfing) Jednoduchá metoda pro odkoukání přístupových hesel či PIN kódů. Přes rameno se nečte! Ani v šalině.

21 6. Obrácená sociotechnika (Reverse Social Engineering)
Sociální inženýrství Metody útoku 6. Obrácená sociotechnika (Reverse Social Engineering) Útočník obvykle zaranžuje události tak, aby se na něj s prosbou o pomoc obrátila samotná oběť.

22 např. Hrozba nemožnosti pracovat
Sociální inženýrství Metody útoku 5. Hrozby (Threaths) např. Hrozba nemožnosti pracovat (no to mě teda děsí) Tato metoda je účinná zejména pokud je aplikována na silně motivované a důsledné pracovníky, tyto vlastnosti jsou typické pro většinu nově přijatých pracovníků firmy. Tito jsou zejména ve zkušebním období díky své horlivosti a snaze dokončit včas zadanou práci laciným cílem hned několika technik. K „slabosti“ nově přijatých pracovníků přispívá také fakt, že ještě nejsou dostatečně seznámeni s firemními procesy. Následující příkaz ukazuje jak takový pracovník v dobré víře velice jednoduše otevře bránu trojskému koni.

23 Sociální inženýrství Metody útoku Příklad:

24 Sociální inženýrství Metody útoku Dalším dobrým příkladem hrozby, jakožto metody sociotechnického útoku, je akutně hrozící ztráta všech důležitých dat, popřípadě tvrzení, že mzda pracovníka byla omylem přesměrována na jiný účet tj. hrozba zpoždění či nevyplacení výplaty.

25 4. Pracovník technické podpory (Technical support personnel)
Sociální inženýrství Metody útoku 4. Pracovník technické podpory (Technical support personnel) Útočník předstírá, že patří do firemního oddělení informatiky. Tímto způsobem lze získat zaručeně pravdivé informace od běžných uživatelů. Typicky může jít o zaslání u, který se tváří, že je od administrátora a požaduje s jakýmkoli odůvodněním znovupotvrzení loginu a hesla. Řadoví zaměstnanci, kteří nejsou školeni, samozřejmě nemají ani ponětí o tom, že hlavička Odesílatel vůbec nemusí obsahovat pravdivé informace.

26 3. Bezmocný uživatel (Helpless user)
Sociální inženýrství Metody útoku 3. Bezmocný uživatel (Helpless user) Útočník si vybere identitu například nového zaměstnance (nebo zaměstnance nepříliš zručného v ovládání počítače), který má potíže s prvním přihlášením do firemní sítě (popřípadě zapomněl heslo a nutně potřebuje pracovat na svém projektu). Skutečný zaměstnanec-oběť se snaží dotyčnému pomoci (pracujeme přeci v jedné firmě, v jednom týmu, tak proč nepomoci), například tím, že dočasně poskytne útočníkovi své uživatelské jméno a heslo, v případě administrátora pak tím, že například vygeneruje pro daný účet nové heslo.

27 2. Důležitý uživatel (Important user)
Sociální inženýrství Metody útoku 2. Důležitý uživatel (Important user) Tato metoda využívá základní psychologické povahy lidí a to sice podřízení se autoritám. Útočník předstírá, že je někým z vedení firmy, má problémy, které velice rychle potřebuje vyřešit a požádá o potřebné informace. Pracovník technické podpory samozřejmě "nadřízenému" rád pomůže (nerad by měl konflikty a nerad by přišel o práci).

28 1. Přímý přístup (Direct Aprroach)
Sociální inženýrství Metody útoku 1. Přímý přístup (Direct Aprroach) Útočník bez okolků přímo požádá oběť (například recepční) o její uživatelské jméno a heslo (v případě sympatií třeba i telefon). Ačkoliv se to zdá nemožné i tato metoda může mít někdy nárok na úspěch.

29 Sociální inženýrství Metody útoku Téměř všechny výše zmíněné metody sociálního inženýrství využívají šest „základních vlastností lidské povahy“, které se projevují při pokusu podřídit někoho vůli sociotechnika. Jsou to: 1) Autorita – jak jsem již psal, lidé mají tendenci se podřídit osobě s větší funkcí (mocí). 2) Sympatie – sociotechnik může získat sympatie oběti několika způsoby: stejné názory, zájmy, sport atd. 3) Vzájemnost – je mnohem větší pravděpodobnost, že sociotechnikům oběť vyhoví když pro ní předtím něco udělají. Například vyřeší problém se sítí a pak řeknou ať si nainstaluje program, který bude síť hlídat, což přitom může být trojan, keyscan atp. 4) Důslednost – lidé mají tendenci se podřídit, jestliže předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. 5) Společenský souhlas – sociotechnik zavolá a zeptá se zda-li nemá oběť čas, že by potřeboval vyplnit dotazník, který už všichni ostatní s ním vyplnili. Když to přece udělali ostatní, proč ne já, že? 6) Vzácná příležitost – Prvních 500 lidí dostane lístek! Zaregistrujte se.

30 Sociální inženýrství Technické zázemí Sociotechnik může díky svým schopnostem manipulovat s lidmi. Tato vlastnost je mu sama o sobě jistě v některých případech dostačující, nicméně (ne)úspěch celé akce většinou závisí také na jeho znalostech v oblasti počítačových či telefonních systémů. Sociotechniky ve spojení s technickým vybavením se užívá například v oboru průmyslové špionáže. Dříve bylo pro útočníka nutností dostat se fyzicky na půdu firmy – ale proč by se o to pokoušel, když to s pomocí výpočetní techniky lze provést výrazně jednodušeji.

31 Sociální inženýrství Technické zázemí Defaultní hesla - vpád do systému bývá agresorovi často usnadněn také faktem, že správci si nedali tu práci a nezměnili defaultní hesla operačních systémů, routerů či pobočkových ústředen. Jejich seznam je pro všechny přístupný na Internetu (http://www.phenoelit.de/dpl/dpl.html).

32 Sociální inženýrství Technické zázemí Enumerace – proces odhalující služby dostupné na daném serveru, jeho operační systém a názvy uživatelských kont, které mají přístup do systému. Jako obvykle je možné vhodné nástroje najít na Internetu (http://mtslenth.0catch.com).

33 Sociální inženýrství Technické zázemí Slovníkový útok – uživatelé většinou chtějí mít dobře zapamatovatelné heslo. A tak v mnoha případech volí za hesla své přezdívky, jména domácích mazlíčků, značku auta, název města, název oblíbené skupiny nebo sportovního týmu. Většinou jsou to výrazy, které lze najít ve slovníku. Slovníkový útok zkouší postupně výrazy ze slovníku jako heslo jednoho či více uživatelů.

34 Sociální inženýrství Technické zázemí Útok hrubou silou – strategie odhalování hesel, která spočívá v testování všech možných kombinací alfanumerických i speciálních znaků. Jedním z vynikajících nástrojů na hádání hesel je L0pthcrack3 (www.atstake.com). Správci používají L0pthcrack3 na vyhledávání "slabých" hesel a hackeři na jejich prolamování. L0pthcrack umožňuje zkoušet hesla s kombinacemi písmen, číslic a většiny symbolů včetně Tento program pracuje s neuvěřitelnou rychlostí, která může na počítači s frekvencí procesoru 1 GHz dosáhnout hodnoty 2,8 milionu pokusů za sekundu.

35 Sociální inženýrství Toť vše


Stáhnout ppt "Sociální inženýrství Bezpečnost IS/IT Seminární práce do předmětu"

Podobné prezentace


Reklamy Google