Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Sociální inženýrství – popis, techniky, ochrana

Podobné prezentace


Prezentace na téma: "Sociální inženýrství – popis, techniky, ochrana"— Transkript prezentace:

1 Sociální inženýrství – popis, techniky, ochrana
2014, Brno IS podniku Sociální inženýrství – popis, techniky, ochrana

2 Sociální inženýrství Sociální inženýrství Definice: sociální inženýrství (SI) – způsob získávání důležitých informací od uživatelů bez jejich vědomí, že toto činí. Typy útoků (SI): Phreaking – souhrnný termín pro infiltraci telefonních systémů, převážně za účelem bezplatných hovorů, odposlouchávání a rušení Cracknout – nezákonně se vloupat do počítače, obvykle za účelem zcizení či zničení dat, případně zamezení přístupu k systému ostatním uživatelům

3 Sociální inženýrství Sociální inženýrství c) Hoax – je poplašná a obecně nepravdivá zpráva (hraje se na citové hledisko příjemce)

4 Sociální inženýrství Sociální inženýrství d) Phishing – phishing = fishing + phreaking (rhybaření). Jedná se o krádež citlivých informací (číslo platební karty, přístupového hesla). Nejčastější případ jsou podvržené y (vč. prokliku na www stránku, která se tváří normálně – podvržená URL). -> anonymní – podvržení identity odesílatele (lze realizovat na úrovni SMTP serveru) Praktická ukázka:

5 Sociální inženýrství Sociální inženýrství – úkázka phishingu

6 Sociální inženýrství Sociální inženýrství – úkázka phishingu

7 Sociální inženýrství e) Malware
Jedná se o škodlivý kód (počítačový vir, červ nebo Trojský kůň). Dříve šířeno skrze , v dnešní době se stále více využívá sociální inženýrství v textu u je odkaz na tento škodlivý kód pod záminkou, že odkaz směřuje na zajímavý obrázek, video nebo e-pohlednici (spuštění škodlivého kódu)

8 Sociální inženýrství f) Pharming
Sofistikovaná metoda phishingu, infiltrace DNS serveru (překládá IP adresy na symbolické adresy) – podvržení www adresy z jiného zdroje Ukázka – popis phishingu:

9 Sociální inženýrství Sociotechnik
Osoba jež předstírá svou totožnost za účelem manipulovat s lidmi Znalec v oboru sociálního inženýrství se schopností tyto techniky používat Pojem sociotechnik je pouze eufemismus pro podvodníka

10 * San Fernando Valley, LA USA
Sociální inženýrství Kevin Mitnick * San Fernando Valley, LA USA Vloupání do telefoních ústředen – dopaden Vloupání do sítí Pentagonu – dopaden Poprvé použil „social engineering“ r. 95 poslední dopadení – 68 měsíců Zákaz přístupu k IT 20. ledna 2003 Zákaz vydání svého příběhu do 2007 Kniha Umění Klamu Poradenství v oblasti bezpečnosti IS

11 absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky
Sociální inženýrství Lukáš Kohout absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky Vydávál se za asistenta ministra Kavana Zahraniční cesty (Thajsko, Maledivy, JAR) Cesta za 1,5mil osudná – nedovolen přelet přes Indii Mluvčí CzechTeku Tři roky podmíněně Kniha: Létající Čestmír Jana Kavana

12 Sociální inženýrství Typy útoků – návnady (předcházením těmto útokům lze zvýšit bezpečnost firemní kultury) Zapomenutá „disketa“ Nedopatřením odložená – výplaty v xls (makro virus) b) Kdo jinému jámu kopá… Snaha získat přístup k jinému účtu (návod poslaný em), autor se sám nachytá a zadá svoje přihlašovací údaje Ukázka, viz další slide

13 Sociální inženýrství

14 Typy útoků – návnady c) Website
Sociální inženýrství Typy útoků – návnady c) Website Metoda atakující lenost lidí vymýšlet nová hesla (člověk používá stejné heslo pro více služeb) Útočník založí službu a získá heslo od uživatele, použije na jiné předpokládané účty -> uživatel nucen k silným heslům – číslo, znak, délka -> software pro správu hesel, tj. uživatel si pamatuje jen jedno heslo k různým heslům uložený v softwaru

15 Typy útoků – návnady d) e-mail
Sociální inženýrství Typy útoků – návnady d) Pozornost uživatele zaujme poutavý předmět u V příloze virus, aktivace po otevření Poplašná zpráva (hoax), předpokládá se zahlcení sítě při jejím přeposílání na kontakty v seznamu (zahlcení serveru – sněhová koule) e) Mód hlupák Zahlcení uživatele terminologickou masáží, uživatel nechce přiznat že e neznalý, vyhoví požadavku útočníka (úspěšné zejména v USA)

16 Typy útoků – návnady f) Odpadky jako zdroj informací
Sociální inženýrství Typy útoků – návnady f) Odpadky jako zdroj informací Zdroj informací o organizaci (firemní infrastruktury, vazeb) za pomoci vyhazovaných a skartovaných dokumentů Technika oblíbená i bulvárními periodiky g) Koukání přes rameno (Shoulder surfing) Jednoduchá a často nasazovaná technika Sofistikovanější metody vzdálený odposlech (kmitání okenních tabulí skla, odezírání, odposlech vyzařujícího monitoru, dolování dat z vyhozených PC – HDD)

17 Sociální inženýrství Typy útoků – návnady h) Obrácená sociotechnika (Reverse Social Engineering) Útočník nachystá situaci tak, aby oběť se na něj sama obrátila s prosbou o pomoc Hrozby (Threaths) Technika aplikovaná na silně motivované jedince (překážky v práci), nebo nováčky v pracovním procesu (neznají kolegy, firemní infrstrukturu) Podvržený firemní s žádostí o spolupráci

18 Sociální inženýrství Typy útoků – návnady j) Pracovník technické podpory (Technical support personnel) Útočník předstírá pracovníka firemní technické podpory – snadná cesta k přístupovým informacím Může se jednat o podvržený s dotazem na přístupové údaje a správu účtu Ukázka na následujícím slide

19 Sociální inženýrství

20 Typy útoků – návnady k) Bezmocný uživatel (Helpless user)
Sociální inženýrství Typy útoků – návnady k) Bezmocný uživatel (Helpless user) Útočník si na sebe vezme identitu firemního zaměstnance, nového člena týmu Snaha získat nové přístupové údaje, potažmo snaha se přihlásit na účet jiného zaměstnance (žádost o prozatímní poskytnutí údajů, než bude mít svůj přístup) l) Důležitý uživatel (Important user) Metoda využívá psychologického útoku na podřízené, útočník se tváří jako nadřízený, oběť nechce nevyhovět

21 Typy útoků – návnady m) Přímý přístup (Direct Aprroach)
Sociální inženýrství Typy útoků – návnady m) Přímý přístup (Direct Aprroach) Útočník bez okolků požádá oběť (recepční) o přístupové údaje přímo. Procentuální úspěšnost 

22 Slabá místa systému Defaultní hesla
Sociální inženýrství Slabá místa systému Defaultní hesla Vpád do systému umožněn nevypnutím defaultních účtů b) Enumerace – přístup odhalující služby běžící na serveru na který se útočí, odhalení účtu na serveru a následné zneužití (slovníkový útok) c) Slovníkový útok – uživatelé využívají běžná slova jako hesla. Na prolomení stačí využít slova daného jazyka (slovník) -> vhodné mít heslo delší než 5 znaků (mimo slovník), znesnadnění odhalení generátorem hesel (útok hrubou silou)

23 Jak vhodně sestavit přístupové heslo
Sociální inženýrství Jak vhodně sestavit přístupové heslo Nejčastěji používaná hesla: TOP 500: Gawker (uniklá hesla): Ukázka – kontrola síly hesla viz passwordmeter.com: CZ varianta: Poznámka: Pro kontrolu nemusíte použít svoje heslo, ale obdobný řetězec. Neboť se nezadává uživatelský profil (login), bez této spojitosti je kontrola bezpečná.

24 Podpůrné zdroje Zdroje k prostudování http://www.bezpecnyinternet.cz/
Sociální inženýrství Podpůrné zdroje Zdroje k prostudování b) Zdroje k odzkoušení Zjištění IP počítače: Jak zjistit vlastníka domény: Lokace IP:

25 Podpůrné zdroje c) Další doplňující zdroje
Sociální inženýrství Podpůrné zdroje c) Další doplňující zdroje Bezpečnost na FB: https://www.facebook.com/about/privacy/update/ Jak se bránit sociálnímu inženýrství:


Stáhnout ppt "Sociální inženýrství – popis, techniky, ochrana"

Podobné prezentace


Reklamy Google