Sociální inženýrství – popis, techniky, ochrana 2014, Brno IS podniku Sociální inženýrství – popis, techniky, ochrana

Sociální inženýrství Sociální inženýrství Definice: sociální inženýrství (SI) – způsob získávání důležitých informací od uživatelů bez jejich vědomí, že toto činí. Typy útoků (SI): Phreaking – souhrnný termín pro infiltraci telefonních systémů, převážně za účelem bezplatných hovorů, odposlouchávání a rušení Cracknout – nezákonně se vloupat do počítače, obvykle za účelem zcizení či zničení dat, případně zamezení přístupu k systému ostatním uživatelům

Sociální inženýrství Sociální inženýrství c) Hoax – je poplašná a obecně nepravdivá zpráva (hraje se na citové hledisko příjemce) http://www.hoax.cz/hoax/facebook---copyright-na-profil/

Sociální inženýrství Sociální inženýrství d) Phishing – phishing = fishing + phreaking (rhybaření). Jedná se o krádež citlivých informací (číslo platební karty, přístupového hesla). Nejčastější případ jsou podvržené e-maily (vč. prokliku na www stránku, která se tváří normálně – podvržená URL). -> anonymní email – podvržení identity odesílatele (lze realizovat na úrovni SMTP serveru) Praktická ukázka: http://www.info365.cz/jak-poslat-anonymne-mail-aby-nikdo-nenasel-kdo-ho-poslal/

Sociální inženýrství Sociální inženýrství – úkázka phishingu http://www.hoax.cz/phishing/aktualizace-uctu---ceska-sporitelna--20141207/

Sociální inženýrství Sociální inženýrství – úkázka phishingu http://www.hoax.cz/phishing/aktualizace-uctu---ceska-sporitelna--20141207/

Sociální inženýrství e) Malware Jedná se o škodlivý kód (počítačový vir, červ nebo Trojský kůň). Dříve šířeno skrze e-mail, v dnešní době se stále více využívá sociální inženýrství v textu e-mailu je odkaz na tento škodlivý kód pod záminkou, že odkaz směřuje na zajímavý obrázek, video nebo e-pohlednici (spuštění škodlivého kódu)

Sociální inženýrství f) Pharming Sofistikovaná metoda phishingu, infiltrace DNS serveru (překládá IP adresy na symbolické adresy) – podvržení www adresy z jiného zdroje Ukázka – popis phishingu: http://www.slsp.sk/ActiveWeb/Page/sk/eb_phishing_pharming_priklady/priklady_phishingu_pharmingu.html/

Sociální inženýrství Sociotechnik Osoba jež předstírá svou totožnost za účelem manipulovat s lidmi Znalec v oboru sociálního inženýrství se schopností tyto techniky používat Pojem sociotechnik je pouze eufemismus pro podvodníka

* San Fernando Valley, LA USA Sociální inženýrství Kevin Mitnick * San Fernando Valley, LA USA Vloupání do telefoních ústředen – dopaden Vloupání do sítí Pentagonu – dopaden Poprvé použil „social engineering“ r. 95 poslední dopadení – 68 měsíců Zákaz přístupu k IT 20. ledna 2003 Zákaz vydání svého příběhu do 2007 Kniha Umění Klamu Poradenství v oblasti bezpečnosti IS http://www.blurrent.com/article/23-underrated-moments-that-will-make-you-hate-kevin-mitnick

absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky Sociální inženýrství Lukáš Kohout absolvent zvláštní školy ve Varnsdorfu Používal sociotechniky Vydávál se za asistenta ministra Kavana Zahraniční cesty (Thajsko, Maledivy, JAR) Cesta za 1,5mil osudná – nedovolen přelet přes Indii Mluvčí CzechTeku Tři roky podmíněně Kniha: Létající Čestmír Jana Kavana http://zpravy.idnes.cz/kavanuv-asistent-svolava-nelegalni-czechtek-f3v-/domaci.aspx?c=A060809_104926_domaci_mr

Sociální inženýrství Typy útoků – návnady (předcházením těmto útokům lze zvýšit bezpečnost firemní kultury) Zapomenutá „disketa“ Nedopatřením odložená – výplaty v xls (makro virus) b) Kdo jinému jámu kopá… Snaha získat přístup k jinému účtu (návod poslaný e-mailem), autor se sám nachytá a zadá svoje přihlašovací údaje Ukázka, viz další slide

Sociální inženýrství

Typy útoků – návnady c) Website Sociální inženýrství Typy útoků – návnady c) Website Metoda atakující lenost lidí vymýšlet nová hesla (člověk používá stejné heslo pro více služeb) Útočník založí službu a získá heslo od uživatele, použije na jiné předpokládané účty -> uživatel nucen k silným heslům – číslo, znak, délka -> software pro správu hesel, tj. uživatel si pamatuje jen jedno heslo k různým heslům uložený v softwaru

Typy útoků – návnady d) e-mail Sociální inženýrství Typy útoků – návnady d) e-mail Pozornost uživatele zaujme poutavý předmět e-mailu V příloze virus, aktivace po otevření Poplašná zpráva (hoax), předpokládá se zahlcení sítě při jejím přeposílání na kontakty v seznamu (zahlcení serveru – sněhová koule) e) Mód hlupák Zahlcení uživatele terminologickou masáží, uživatel nechce přiznat že e neznalý, vyhoví požadavku útočníka (úspěšné zejména v USA)

Typy útoků – návnady f) Odpadky jako zdroj informací Sociální inženýrství Typy útoků – návnady f) Odpadky jako zdroj informací Zdroj informací o organizaci (firemní infrastruktury, vazeb) za pomoci vyhazovaných a skartovaných dokumentů Technika oblíbená i bulvárními periodiky g) Koukání přes rameno (Shoulder surfing) Jednoduchá a často nasazovaná technika Sofistikovanější metody vzdálený odposlech (kmitání okenních tabulí skla, odezírání, odposlech vyzařujícího monitoru, dolování dat z vyhozených PC – HDD)

Sociální inženýrství Typy útoků – návnady h) Obrácená sociotechnika (Reverse Social Engineering) Útočník nachystá situaci tak, aby oběť se na něj sama obrátila s prosbou o pomoc Hrozby (Threaths) Technika aplikovaná na silně motivované jedince (překážky v práci), nebo nováčky v pracovním procesu (neznají kolegy, firemní infrstrukturu) Podvržený firemní e-mail s žádostí o spolupráci

Sociální inženýrství Typy útoků – návnady j) Pracovník technické podpory (Technical support personnel) Útočník předstírá pracovníka firemní technické podpory – snadná cesta k přístupovým informacím Může se jednat o podvržený e-mail s dotazem na přístupové údaje a správu účtu Ukázka na následujícím slide

Sociální inženýrství

Typy útoků – návnady k) Bezmocný uživatel (Helpless user) Sociální inženýrství Typy útoků – návnady k) Bezmocný uživatel (Helpless user) Útočník si na sebe vezme identitu firemního zaměstnance, nového člena týmu Snaha získat nové přístupové údaje, potažmo snaha se přihlásit na účet jiného zaměstnance (žádost o prozatímní poskytnutí údajů, než bude mít svůj přístup) l) Důležitý uživatel (Important user) Metoda využívá psychologického útoku na podřízené, útočník se tváří jako nadřízený, oběť nechce nevyhovět

Typy útoků – návnady m) Přímý přístup (Direct Aprroach) Sociální inženýrství Typy útoků – návnady m) Přímý přístup (Direct Aprroach) Útočník bez okolků požádá oběť (recepční) o přístupové údaje přímo. Procentuální úspěšnost 

Slabá místa systému Defaultní hesla Sociální inženýrství Slabá místa systému Defaultní hesla Vpád do systému umožněn nevypnutím defaultních účtů b) Enumerace – přístup odhalující služby běžící na serveru na který se útočí, odhalení účtu na serveru a následné zneužití (slovníkový útok) c) Slovníkový útok – uživatelé využívají běžná slova jako hesla. Na prolomení stačí využít slova daného jazyka (slovník) -> vhodné mít heslo delší než 5 znaků (mimo slovník), znesnadnění odhalení generátorem hesel (útok hrubou silou)

Jak vhodně sestavit přístupové heslo Sociální inženýrství Jak vhodně sestavit přístupové heslo Nejčastěji používaná hesla: http://technet.idnes.cz/najdete-v-teto-tabulce-sve-heslo-tak-se-chytte-za-hlavu-a-zmente-ho-p9n-/sw_internet.aspx?c=A111129_185621_sw_internet_pka TOP 500: http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time Gawker (uniklá hesla): http://blogs.wsj.com/digits/2010/12/13/the-top-50-gawker-media-passwords/ Ukázka – kontrola síly hesla viz passwordmeter.com: http://technet.idnes.cz/overeni-silnych-heslel-07b-/sw_internet.aspx?c=A121010_174439_sw_internet_dvr CZ varianta: http://speedweb.cz/index.php?akce=pass Poznámka: Pro kontrolu nemusíte použít svoje heslo, ale obdobný řetězec. Neboť se nezadává uživatelský profil (login), bez této spojitosti je kontrola bezpečná.

Podpůrné zdroje Zdroje k prostudování http://www.bezpecnyinternet.cz/ Sociální inženýrství Podpůrné zdroje Zdroje k prostudování http://www.bezpecnyinternet.cz/ http://www.bezpecnyinternet.cz/pokrocily/internetove-bankovnictvi/default.aspx b) Zdroje k odzkoušení http://www.hoax.cz/ Zjištění IP počítače: http://www.mojeip.cz/ Jak zjistit vlastníka domény: http://www.hostingy.cz/domeny-whois.html Lokace IP: http://www.koutas.cz/geospy/

Podpůrné zdroje c) Další doplňující zdroje Sociální inženýrství Podpůrné zdroje c) Další doplňující zdroje Bezpečnost na FB: https://www.facebook.com/about/privacy/update/ Jak se bránit sociálnímu inženýrství: http://www.svetsiti.cz/clanek.asp?cid=Nebezpeci-socialniho-inzenyrstvi-a-jak-se-mu-ucinne-branit-26102009 http://martin.vancl.eu/odeslani-e-mailu-z-cizi-adresy-bez-znalosti-hesla http://www.novinky.cz/internet-a-pc/bezpecnost/355897-platnost-internetoveho-bankovnictvi-konci-zkousi-podvodnici-novy-trik.html