Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

21.11.2005 Sociální inženýrství Seminární práce do předmětu Bezpečnost IS/IT Petr Passinger III. (a něco) ročník SI-EI PEF MZLU Přistupné na: www.volny.cz/passa/

Podobné prezentace


Prezentace na téma: "21.11.2005 Sociální inženýrství Seminární práce do předmětu Bezpečnost IS/IT Petr Passinger III. (a něco) ročník SI-EI PEF MZLU Přistupné na: www.volny.cz/passa/"— Transkript prezentace:

1 Sociální inženýrství Seminární práce do předmětu Bezpečnost IS/IT Petr Passinger III. (a něco) ročník SI-EI PEF MZLU Přistupné na:

2 Sociální inženýrství2 Petr Passinger Sociální inženýrství Tři definice sociálního inženýrství (sociotechniky): Sociální inženýrství – termín pro metodu, jež vede legitimní počítačové uživatele k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství – způsob získávání důležitých informací od uživatelů bez jejich vědomí, že toto činí. Základní pojmy

3 Sociální inženýrství3 Petr Passinger Sociální inženýrství 3. Sociální inženýrství – pojem užívaný mezi crackery pro crackovací techniky, které spoléhají spíše na slabé stránky wetware než software; úmyslem je oklamat lidi, aby prozradili hesla či jiné informace, které snižují bezpečnost cílového systému. Klasickým příkladem je telefonát s obětí s požadovanými informacemi, při kterém se útočník vydává například za servisního technika nebo zaměstnance téže firmy s neodkladným problémem.crackovacíwetware Základní pojmy

4 Sociální inženýrství4 Petr Passinger Sociální inženýrství Wetware Lidský nervový systém, jako protiklad k počítačovému hardware či software. Lidské bytosti (programátoři, operátoři, administrátoři) svázané s počítačovým systémem, jako protiklad k systémovému hardware či software. Phreaking – souhrnný termín pro vloupávání se do telefonních systému, převážně za účelem vedení bezplatných hovorů, odposlouchávání nebo narušování telefonních služeb. Základní pojmy

5 Sociální inženýrství5 Petr Passinger Sociální inženýrství Sociotechnik 1. Osoba jež předstírá svou totožnost za účelem manipulovat s lidmi. 2. Znalec v oboru sociálního inženýrství se schopností tyto techniky používat. 3. Pojem sociotechnik je pouze eufemismus pro podvodníka. Cracknout – nezákonně se vloupat do počítače, obvykle za účelem zcizení či zničení dat, případně zamezení přístupu k systému ostatním uživatelům. Základní pojmy

6 Sociální inženýrství6 Petr Passinger Sociální inženýrství Hoax – je poplašná a obecně nepravdivá zpráva. Přestože se takové zprávy objevovaly a šířily prakticky od pradávných úsvitů, teprve představuje živné prostředí pro zprávy všeho druhu. Většina takových zpráv popisuje nějakou katastrofu (například žiletky v sedadlech městské hromadné dopravy), nebo hraje na lidské city (žádost o dárcovství krve) anebo se jedná o klasické řetězové dopisy, které slibují odměnu za svoje přeposlání. A to je také poznávací znak těchto zpráv, většinou končí slovy "pošlete tuto zprávu všem". Základní pojmy

7 Sociální inženýrství7 Petr Passinger Sociální inženýrství Příklad: Metody útoku

8 Sociální inženýrství8 Petr Passinger Sociální inženýrství Phishing – Slovo phishing vzniklo kombinací z fishing (rybaření) a phreaking. Česky se někdy překládá jako Rhybaření. Phishing je krádež citlivých informací, např. údajů o platební kartě či krádež jména a hesla k nějaké službě. Nejtypičtějším současným phishingem je falešný , tvářící se jako odeslaný z vaší banky, v němž banka žádá o ověření totožnosti. Po kliknutí na odkaz je uživatel zaveden na falešnou stránku (která se ovšem tváří, že je v pořádku), kde odevzdá své údaje a následně přijde o peníze. Základní pojmy

9 Sociální inženýrství9 Petr Passinger Sociální inženýrství Příklad: Metody útoku

10 Sociální inženýrství10 Petr Passinger Sociální inženýrství Kevin Mitnick * San Fernando Valley, LA USA Vloupání do telefoních ústředen - dopaden Vloupání do sítí Pentagonu - dopaden Poprvé použil „social engineering“ r. 95 poslední dopadení – 68 měsíců Zákaz přístupu k IT 20. ledna 2003 Zákaz vydání svého příbehu do 2007 Kniha „Umění Klamu“ Poradenství v oblasti BIS Mediálně známé osobnosti

11 Sociální inženýrství11 Petr Passinger Sociální inženýrství Kevin Mitnick Neutuchající snažení (recidivista) Jeden z prvních hackerů, také první odsouzený Změna vnímání hackerství Inciativa „Free Kevin“ Nejlepším hackerem ten neodhalený Mediálně známé osobnosti

12 Sociální inženýrství12 Petr Passinger Sociální inženýrství Lukáš Kohout absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky Vydávál se za asistenta ministra Kavana Zahraniční cesty (Thajsko, Maledivy, JAR) Cesta za 1,5mil osudná – nedovolen přelet přes Indii Mluvčí CzechTeku Tři roky podmíněně Kniha: „Létající Čestmír Jana Kavana“ Mediálně známé osobnosti

13 Sociální inženýrství13 Petr Passinger Sociální inženýrství Za všechny ostatní bych rád uvedl dvě zajímavé návnady: 1. Umně odložená disketa Umně odložená disketa (tak aby vypadala jako zapomenuta) s patřičným popiskem, například: Tajné – Výplaty – rok 2005 jistě nezůstane dlouho na svém místě. Kdo by nechtěl vědět kolik bere jeho šéf? Na disketě je soubour wages2005.xls, pokus o spuštení však selže, objeví se hláška „file corrupted“, zklamaný nálezce disketu vyhazuje. Ze souboru wages2005.xls se však dostal do počítače (pomocí makra) virus, popřípadě i trojský kůň. Podstatný je i fakt, že disketa byla vyhozena – tím jsou totiž smazány stopy, nakonec kdo by se přiznal k tomu, že se pídil po takových informacích? 12. Návnady Metody útoku

14 Sociální inženýrství14 Petr Passinger Sociální inženýrství 2. Kdo jinému jámu kopá… Následující příklad ukazuje jak autor uvedeného u, přelstil příliš zvědavé a nepozorné uživatele internetu a dokonale tak potvrdil natrvalo platný význam jednoho starého českého přísloví. Metody útoku 12. Návnady Příklad následuje:

15 Sociální inženýrství15 Petr Passinger Sociální inženýrství Metody útoku

16 Sociální inženýrství16 Petr Passinger Sociální inženýrství Tato velmi účinná metoda spoléhá na lenost lidí vymýšlet si více různých hesel pro své jednotlivé účty. Zaměstnavatel, škola, úřady, banky, rms-systém, stránky výrobců audiovizuální a počítačové techniky pro podporu zákazníků, internetové obchody – všechny tyto instituce vyžadují přístup autorizovaný heslem což znamená jediné – vymýšlet a pamatovat si velké množství hesel. K tomu je málokdo ochoten, natož schopen. Útočník tedy může založit webové stránky (otázka pár hodin) jež budou svým tématem blízké oběti či budou slibovat informace pro oběť zajímavé. Tyto stránky (či diskuzi server) budou však vyžadovat jinak obvyklé založení konta. Oběť velmi pravděpodobně použije stejné či podobné heslo jež používá i pro přístupy k jiným službám. 11. Website Metody útoku

17 Sociální inženýrství17 Petr Passinger Sociální inženýrství Pozornost oběti je zaujata zajímavým a aktuálním předmětem (subjectem) ové zprávy. Setkáváme se se dvěma formami této metody. 1.V příloze takovéhoto u, jenž je obvykle nazván „Anna Kurnikova“ nebo „I love U“ je skryt virus, jehož činnost je zaktivována po jejím otevření. 2.V druhém případě je úkolem takovéhoto mailu vyvolat poplašnou zprávu nezakládající se na pravdě (tzv. hoax čili kachnu) např. o šířícím se viru, který ve skutečnosti neexistuje, příjemce tuto zprávu neověřuje a sám ji s dobrým pocitem, že varoval své známé před nebezpečím přeposílá dále, často více lidem pomocí svých distribučních seznamů. Dochází tak k efektu „sněhové koule“ a k zahlcení poštovních systémů Metody útoku

18 Sociální inženýrství18 Petr Passinger Sociální inženýrství Pokud je sociotechnik dokonale obeznámen, ani ne tak se specifiky a názvoslovím používaným ve světě informačně-komunikačních technologií, avšak zejména s jeho žargonem, může se směle pustit do aplikace této metody. Útočník zavalí oběť mnoha požadavky přičemž používá složitých pojmů, nesmyslných zkratek (to amíky nepřekvapí) a velké dávky žargonu. Útočí tak na ješitnost oběti (pro někoho možná překvapivě funguje i na ženy), která pak nechce dát najevo svou neznalost a tak útočníkovi v jeho přání vyhoví. Nejlépe tuto sociotechniku spojit s nějakou akutní hrozbou valící se při nesplnění požadavku útočníka přímo na oběť (ztráta dat). 9. Mód hlupák (Dummy mode) Metody útoku

19 Sociální inženýrství19 Petr Passinger Sociální inženýrství Doslova „potápění“ čili přehrabování se v odpadcích. Na první pohled nevábná metoda, hojně však využívaná a to i v současnosti. Proto všechny vyhazované dokumenty musejí být skartovány a to moderními skartovačkami, neboť ty starší, jež dokument pouze rozřežou na úzké proužky, jsou vzhledem k možnosti opětovného poskládání překonané. Naprostým nesmyslem je důležité dokumenty trhat na malé kousky, právě ty pak přitáhnou pozornost špiona. V současnosti tuto metodu používají například bulvární deníky. Nedávno v deníku blesku vyšly fotografie odpadků Heleny Vondráčkové. Další možností jak tuto metodu aplikovat je vydávat se za uklizeče popřípadě nakoupit odpadky dané oběti přímo u skutečného uklízeče. 8. Odpadky jako zdroj informací (Thrashing/Dumpster diving) Metody útoku

20 Sociální inženýrství20 Petr Passinger Sociální inženýrství Jednoduchá metoda pro odkoukání přístupových hesel či PIN kódů. Přes rameno se nečte! Ani v šalině. 7. „Koukání se přes rameno“ (Shoulder surfing) Metody útoku

21 Sociální inženýrství21 Petr Passinger Sociální inženýrství Útočník obvykle zaranžuje události tak, aby se na něj s prosbou o pomoc obrátila samotná oběť. 6. Obrácená sociotechnika (Reverse Social Engineering) Metody útoku

22 Sociální inženýrství22 Petr Passinger Sociální inženýrství např. Hrozba nemožnosti pracovat (no to mě teda děsí) 5. Hrozby (Threaths) Metody útoku Tato metoda je účinná zejména pokud je aplikována na silně motivované a důsledné pracovníky, tyto vlastnosti jsou typické pro většinu nově přijatých pracovníků firmy. Tito jsou zejména ve zkušebním období díky své horlivosti a snaze dokončit včas zadanou práci laciným cílem hned několika technik. K „slabosti“ nově přijatých pracovníků přispívá také fakt, že ještě nejsou dostatečně seznámeni s firemními procesy. Následující příkaz ukazuje jak takový pracovník v dobré víře velice jednoduše otevře bránu trojskému koni.

23 Sociální inženýrství23 Petr Passinger Sociální inženýrství Příklad: Metody útoku

24 Sociální inženýrství24 Petr Passinger Sociální inženýrství Dalším dobrým příkladem hrozby, jakožto metody sociotechnického útoku, je akutně hrozící ztráta všech důležitých dat, popřípadě tvrzení, že mzda pracovníka byla omylem přesměrována na jiný účet tj. hrozba zpoždění či nevyplacení výplaty. Metody útoku

25 Sociální inženýrství25 Petr Passinger Sociální inženýrství Útočník předstírá, že patří do firemního oddělení informatiky. Tímto způsobem lze získat zaručeně pravdivé informace od běžných uživatelů. Typicky může jít o zaslání u, který se tváří, že je od administrátora a požaduje s jakýmkoli odůvodněním znovupotvrzení loginu a hesla. Řadoví zaměstnanci, kteří nejsou školeni, samozřejmě nemají ani ponětí o tom, že hlavička Odesílatel vůbec nemusí obsahovat pravdivé informace. 4. Pracovník technické podpory (Technical support personnel) Metody útoku

26 Sociální inženýrství26 Petr Passinger Sociální inženýrství Útočník si vybere identitu například nového zaměstnance (nebo zaměstnance nepříliš zručného v ovládání počítače), který má potíže s prvním přihlášením do firemní sítě (popřípadě zapomněl heslo a nutně potřebuje pracovat na svém projektu). Skutečný zaměstnanec-oběť se snaží dotyčnému pomoci (pracujeme přeci v jedné firmě, v jednom týmu, tak proč nepomoci), například tím, že dočasně poskytne útočníkovi své uživatelské jméno a heslo, v případě administrátora pak tím, že například vygeneruje pro daný účet nové heslo. 3. Bezmocný uživatel (Helpless user) Metody útoku

27 Sociální inženýrství27 Petr Passinger Sociální inženýrství Metody útoku Tato metoda využívá základní psychologické povahy lidí a to sice podřízení se autoritám. Útočník předstírá, že je někým z vedení firmy, má problémy, které velice rychle potřebuje vyřešit a požádá o potřebné informace. Pracovník technické podpory samozřejmě "nadřízenému" rád pomůže (nerad by měl konflikty a nerad by přišel o práci). 2. Důležitý uživatel (Important user)

28 Sociální inženýrství28 Petr Passinger Sociální inženýrství Útočník bez okolků přímo požádá oběť (například recepční) o její uživatelské jméno a heslo (v případě sympatií třeba i telefon). Ačkoliv se to zdá nemožné i tato metoda může mít někdy nárok na úspěch. 1. Přímý přístup (Direct Aprroach) Metody útoku

29 Sociální inženýrství29 Petr Passinger Sociální inženýrství Metody útoku Téměř všechny výše zmíněné metody sociálního inženýrství využívají šest „základních vlastností lidské povahy“, které se projevují při pokusu podřídit někoho vůli sociotechnika. Jsou to: 1) Autorita – jak jsem již psal, lidé mají tendenci se podřídit osobě s větší funkcí (mocí). 2) Sympatie – sociotechnik může získat sympatie oběti několika způsoby: stejné názory, zájmy, sport atd. 3) Vzájemnost – je mnohem větší pravděpodobnost, že sociotechnikům oběť vyhoví když pro ní předtím něco udělají. Například vyřeší problém se sítí a pak řeknou ať si nainstaluje program, který bude síť hlídat, což přitom může být trojan, keyscan atp. 4) Důslednost – lidé mají tendenci se podřídit, jestliže předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. 5) Společenský souhlas – sociotechnik zavolá a zeptá se zda-li nemá oběť čas, že by potřeboval vyplnit dotazník, který už všichni ostatní s ním vyplnili. Když to přece udělali ostatní, proč ne já, že? 6) Vzácná příležitost – Prvních 500 lidí dostane lístek! Zaregistrujte se.

30 Sociální inženýrství30 Petr Passinger Sociální inženýrství Sociotechnik může díky svým schopnostem manipulovat s lidmi. Tato vlastnost je mu sama o sobě jistě v některých případech dostačující, nicméně (ne)úspěch celé akce většinou závisí také na jeho znalostech v oblasti počítačových či telefonních systémů. Sociotechniky ve spojení s technickým vybavením se užívá například v oboru průmyslové špionáže. Dříve bylo pro útočníka nutností dostat se fyzicky na půdu firmy – ale proč by se o to pokoušel, když to s pomocí výpočetní techniky lze provést výrazně jednodušeji. Technické zázemí

31 Sociální inženýrství31 Petr Passinger Sociální inženýrství  Defaultní hesla - vpád do systému bývá agresorovi často usnadněn také faktem, že správci si nedali tu práci a nezměnili defaultní hesla operačních systémů, routerů či pobočkových ústředen. Jejich seznam je pro všechny přístupný na Internetu (http://www.phenoelit.de/dpl/dpl.html).http://www.phenoelit.de/dpl/dpl.html Technické zázemí

32 Sociální inženýrství32 Petr Passinger Sociální inženýrství  Enumerace – proces odhalující služby dostupné na daném serveru, jeho operační systém a názvy uživatelských kont, které mají přístup do systému. Jako obvykle je možné vhodné nástroje najít na Internetu (http://mtslenth.0catch.com).http://mtslenth.0catch.com Technické zázemí

33 Sociální inženýrství33 Petr Passinger Sociální inženýrství  Slovníkový útok – uživatelé většinou chtějí mít dobře zapamatovatelné heslo. A tak v mnoha případech volí za hesla své přezdívky, jména domácích mazlíčků, značku auta, název města, název oblíbené skupiny nebo sportovního týmu. Většinou jsou to výrazy, které lze najít ve slovníku. Slovníkový útok zkouší postupně výrazy ze slovníku jako heslo jednoho či více uživatelů. Technické zázemí

34 Sociální inženýrství34 Petr Passinger Sociální inženýrství  Útok hrubou silou – strategie odhalování hesel, která spočívá v testování všech možných kombinací alfanumerických i speciálních znaků. Jedním z vynikajících nástrojů na hádání hesel je L0pthcrack3 (www.atstake.com). Správci používají L0pthcrack3 na vyhledávání "slabých" hesel a hackeři na jejich prolamování. L0pthcrack umožňuje zkoušet hesla s kombinacemi písmen, číslic a většiny symbolů včetně Tento program pracuje s neuvěřitelnou rychlostí, která může na počítači s frekvencí procesoru 1 GHz dosáhnout hodnoty 2,8 milionu pokusů za sekundu.www.atstake.com Technické zázemí

35 Sociální inženýrství35 Petr Passinger Sociální inženýrství Toť vše


Stáhnout ppt "21.11.2005 Sociální inženýrství Seminární práce do předmětu Bezpečnost IS/IT Petr Passinger III. (a něco) ročník SI-EI PEF MZLU Přistupné na: www.volny.cz/passa/"

Podobné prezentace


Reklamy Google