Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

IS podniku Sociální inženýrství – popis, techniky, ochrana 2014, Brno.

Podobné prezentace


Prezentace na téma: "IS podniku Sociální inženýrství – popis, techniky, ochrana 2014, Brno."— Transkript prezentace:

1 IS podniku Sociální inženýrství – popis, techniky, ochrana 2014, Brno

2 strana 2 Sociální inženýrství Definice: sociální inženýrství (SI) – způsob získávání důležitých informací od uživatelů bez jejich vědomí, že toto činí. Typy útoků (SI): a)Phreaking – souhrnný termín pro infiltraci telefonních systémů, převážně za účelem bezplatných hovorů, odposlouchávání a rušení b)Cracknout – nezákonně se vloupat do počítače, obvykle za účelem zcizení či zničení dat, případně zamezení přístupu k systému ostatním uživatelům Sociální inženýrství

3 strana 3 Sociální inženýrství c) Hoax – je poplašná a obecně nepravdivá zpráva (hraje se na citové hledisko příjemce) Sociální inženýrství

4 strana 4 Sociální inženýrství d) Phishing – phishing = fishing + phreaking (rhybaření). Jedná se o krádež citlivých informací (číslo platební karty, přístupového hesla). Nejčastější případ jsou podvržené y (vč. prokliku na www stránku, která se tváří normálně – podvržená URL). -> anonymní – podvržení identity odesílatele (lze realizovat na úrovni SMTP serveru) Praktická ukázka: anonymn -aby-nikdo-nenasel-kdo-ho-poslal/ Sociální inženýrství

5 strana 5 Sociální inženýrství Sociální inženýrství – úkázka phishingu

6 strana 6 Sociální inženýrství Sociální inženýrství – úkázka phishingu

7 strana 7 Sociální inženýrství e) Malware Jedná se o škodlivý kód (počítačový vir, červ nebo Trojský kůň). Dříve šířeno skrze , v dnešní době se stále více využívá sociální inženýrství v textu u je odkaz na tento škodlivý kód pod záminkou, že odkaz směřuje na zajímavý obrázek, video nebo e-pohlednici (spuštění škodlivého kódu) Sociální inženýrství

8 strana 8 Sociální inženýrství f) Pharming Sofistikovaná metoda phishingu, infiltrace DNS serveru (překládá IP adresy na symbolické adresy) – podvržení www adresy z jiného zdroje Ukázka – popis phishingu: arming_priklady/priklady_phishingu_pharmingu.html/ Sociální inženýrství

9 strana 9 Sociální inženýrství Sociotechnik 1.Osoba jež předstírá svou totožnost za účelem manipulovat s lidmi 2.Znalec v oboru sociálního inženýrství se schopností tyto techniky používat 3.Pojem sociotechnik je pouze eufemismus pro podvodníka

10 strana 10 Sociální inženýrství Kevin Mitnick * San Fernando Valley, LA USA Vloupání do telefoních ústředen – dopaden Vloupání do sítí Pentagonu – dopaden Poprvé použil „social engineering“ r. 95 poslední dopadení – 68 měsíců Zákaz přístupu k IT 20. ledna 2003 Zákaz vydání svého příběhu do 2007 Kniha Umění Klamu Poradenství v oblasti bezpečnosti IS t.com/article/23- underrated- moments-that-will- make-you-hate- kevin-mitnick

11 strana 11 Sociální inženýrství Lukáš Kohout absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky Vydávál se za asistenta ministra Kavana Zahraniční cesty (Thajsko, Maledivy, JAR) Cesta za 1,5mil osudná – nedovolen přelet přes Indii Mluvčí CzechTeku Tři roky podmíněně Kniha: Létající Čestmír Jana Kavana /kavanuv-asistent- svolava-nelegalni- czechtek-f3v- /domaci.aspx?c=A _104926_doma ci_mr

12 strana 12 Typy útoků – návnady (předcházením těmto útokům lze zvýšit bezpečnost firemní kultury) Sociální inženýrství a)Zapomenutá „disketa“ Nedopatřením odložená – výplaty v xls (makro virus) b) Kdo jinému jámu kopá… Snaha získat přístup k jinému účtu (návod poslaný e- mailem), autor se sám nachytá a zadá svoje přihlašovací údaje Ukázka, viz další slide

13 strana 13 Sociální inženýrství

14 strana 14 Typy útoků – návnady Sociální inženýrství c) Website Metoda atakující lenost lidí vymýšlet nová hesla (člověk používá stejné heslo pro více služeb) Útočník založí službu a získá heslo od uživatele, použije na jiné předpokládané účty -> uživatel nucen k silným heslům – číslo, znak, délka -> software pro správu hesel, tj. uživatel si pamatuje jen jedno heslo k různým heslům uložený v softwaru

15 strana 15 Typy útoků – návnady Sociální inženýrství d) Pozornost uživatele zaujme poutavý předmět u 1.V příloze virus, aktivace po otevření 2.Poplašná zpráva (hoax), předpokládá se zahlcení sítě při jejím přeposílání na kontakty v seznamu (zahlcení serveru – sněhová koule) e) Mód hlupák Zahlcení uživatele terminologickou masáží, uživatel nechce přiznat že e neznalý, vyhoví požadavku útočníka (úspěšné zejména v USA)

16 strana 16 Typy útoků – návnady Sociální inženýrství f) Odpadky jako zdroj informací Zdroj informací o organizaci (firemní infrastruktury, vazeb) za pomoci vyhazovaných a skartovaných dokumentů Technika oblíbená i bulvárními periodiky g) Koukání přes rameno (Shoulder surfing) Jednoduchá a často nasazovaná technika Sofistikovanější metody vzdálený odposlech (kmitání okenních tabulí skla, odezírání, odposlech vyzařujícího monitoru, dolování dat z vyhozených PC – HDD)

17 strana 17 Typy útoků – návnady Sociální inženýrství h) Obrácená sociotechnika (Reverse Social Engineering) Útočník nachystá situaci tak, aby oběť se na něj sama obrátila s prosbou o pomoc i)Hrozby (Threaths) Technika aplikovaná na silně motivované jedince (překážky v práci), nebo nováčky v pracovním procesu (neznají kolegy, firemní infrstrukturu) Podvržený firemní s žádostí o spolupráci

18 strana 18 Typy útoků – návnady Sociální inženýrství j) Pracovník technické podpory (Technical support personnel) Útočník předstírá pracovníka firemní technické podpory – snadná cesta k přístupovým informacím Může se jednat o podvržený s dotazem na přístupové údaje a správu účtu Ukázka na následujícím slide

19 strana 19 Sociální inženýrství

20 strana 20 Typy útoků – návnady Sociální inženýrství k) Bezmocný uživatel (Helpless user) Útočník si na sebe vezme identitu firemního zaměstnance, nového člena týmu Snaha získat nové přístupové údaje, potažmo snaha se přihlásit na účet jiného zaměstnance (žádost o prozatímní poskytnutí údajů, než bude mít svůj přístup) l) Důležitý uživatel (Important user) Metoda využívá psychologického útoku na podřízené, útočník se tváří jako nadřízený, oběť nechce nevyhovět

21 strana 21 Typy útoků – návnady Sociální inženýrství m) Přímý přístup (Direct Aprroach) Útočník bez okolků požádá oběť (recepční) o přístupové údaje přímo. Procentuální úspěšnost

22 strana 22 Slabá místa systému Sociální inženýrství a)Defaultní hesla Vpád do systému umožněn nevypnutím defaultních účtů b) Enumerace – přístup odhalující služby běžící na serveru na který se útočí, odhalení účtu na serveru a následné zneužití (slovníkový útok) c) Slovníkový útok – uživatelé využívají běžná slova jako hesla. Na prolomení stačí využít slova daného jazyka (slovník) -> vhodné mít heslo delší než 5 znaků (mimo slovník), znesnadnění odhalení generátorem hesel (útok hrubou silou)

23 strana 23 Jak vhodně sestavit přístupové heslo Sociální inženýrství Nejčastěji používaná hesla: sve-heslo-tak-se-chytte-za-hlavu-a-zmente-ho-p9n- /sw_internet.aspx?c=A111129_185621_sw_internet_pka sve-heslo-tak-se-chytte-za-hlavu-a-zmente-ho-p9n- /sw_internet.aspx?c=A111129_185621_sw_internet_pka TOP 500: Gawker (uniklá hesla): gawker-media-passwords/ gawker-media-passwords/ Ukázka – kontrola síly hesla viz passwordmeter.com: 07b-/sw_internet.aspx?c=A121010_174439_sw_internet_dvr 07b-/sw_internet.aspx?c=A121010_174439_sw_internet_dvr CZ varianta : Poznámka : Pro kontrolu nemusíte použít svoje heslo, ale obdobný řetězec. Neboť se nezadává uživatelský profil (login), bez této spojitosti je kontrola bezpečná.

24 strana 24 Podpůrné zdroje Sociální inženýrství a)Zdroje k prostudování -bankovnictvi/default.aspxhttp://www.bezpecnyinternet.cz/pokrocily/internetove -bankovnictvi/default.aspx b) Zdroje k odzkoušení Zjištění IP počítače: Jak zjistit vlastníka domény: Lokace IP:

25 strana 25 Podpůrné zdroje Sociální inženýrství c) Další doplňující zdroje Bezpečnost na FB: https://www.facebook.com/about/privacy/update/ https://www.facebook.com/about/privacy/update/ Jak se bránit sociálnímu inženýrství: socialniho-inzenyrstvi-a-jak-se-mu-ucinne-branit socialniho-inzenyrstvi-a-jak-se-mu-ucinne-branit bez-znalosti-heslahttp://martin.vancl.eu/odeslani- u-z-cizi-adresy- bez-znalosti-hesla pc/bezpecnost/ platnost-internetoveho- bankovnictvi-konci-zkousi-podvodnici-novy-trik.htmlhttp://www.novinky.cz/internet-a- pc/bezpecnost/ platnost-internetoveho- bankovnictvi-konci-zkousi-podvodnici-novy-trik.html


Stáhnout ppt "IS podniku Sociální inženýrství – popis, techniky, ochrana 2014, Brno."

Podobné prezentace


Reklamy Google