Sogeti Social Engineering Challenge 2012
ACHTERGROND
functioneel rijkere (web)app(licatie)s veranderd.
Definitie Security
De samenwerkingsverbanden zijn nu niet meer op een (logisch) netwerk terug te herleiden, waardoor de beveiliging in de applicatie verweven moet zitten. Het liefst in de te beveiligen informatie zelf. Dit doen we door security een onderdeel te maken van iedere fase in de lifecycle van een systeem, van concept tot en met beheer en uiteindelijk uitfasering. Bijvoorbeeld door het uitvoeren van abuse cases, architectural threat analysis, static code analysis, security assessments en security monitoring.
Hoe veilig iemand de wereld ervaart, is nooit gelijk aan de realiteit. Iemand kan zich best veilig voelen maar het totaal niet zijn, of juist veilig zijn maar zich niet zo voelen. Om de juiste keuzes te kunnen maken, moeten we ervoor zorgen dat gevoel en realiteit zo gelijk mogelijk aan elkaar zijn. Het proces om dat voor elkaar te krijgen noemen we security.
Wanneer voor een aanvaller de investering die nodig is om door de fysieke, infrastructurele of applicatieve beveiliging te breken te groot is, kijkt hij naar de eerstvolgende zwakkere schakel, namelijk de gebruiker.
Figuur 1: veiligheid is daar waar gevoel en realiteit met elkaar overeenkomen
Historie De afgelopen eeuwen lag dit proces voornamelijk in het verbeteren van de fysieke beveiliging. Waar het vroeger om fortificatie van de weg naar de vesting ging, gaat het tegenwoordig om de toegangscontrole, videobewaking en clean desk policies et cetera. Figuur 2: Trends in informatiebeveiliging
Door de digitalisering is het niet langer noodzakelijk om fysiek bij een bron aanwezig te zijn om er mee te kunnen interacteren. Hierdoor heeft een verschuiving van maatregelen plaatsgevonden, naar netwerkbeveiligingen zoals network access control, firewalls en secure tunnels. De trend naar meer samenwerken, tijd- en plaatsonafhankelijk, zette zich na de “netwerkrevolutie” door naar de vraag voor tools en hulpmiddelen die de gebruiker hierin ondersteunen. Ook de beveiligingsvraag werd door de inzet van meer en Sogeti Nederland B.V. 15 augustus 2012
Social Engineering Social Engineering is het manipuleren van een slachtoffer met als doel zijn of haar gevoel en de werkelijkheid dusdanig uit elkaar te trekken, dat het slachtoffer vrijwillig een actie uitvoert of informatie vrijgeeft. Dit doet een social engineer door een rol aan te nemen en deze binnen een scenario te gebruiken waar de kans het grootst is dat het slachtoffer vertrouwt dat zijn actie gegrond is. 2
Sogeti Social Engineering Challenge 2012
Social Engineering kan via direct contact, zoals bellen, een ‘fysiek’ gesprek of andere vorm van direct menselijk contact plaatsvinden. Maar ook indirect, met technieken zoals phishing, scamming of social media1. Net zoals andere kwetsbaarheden in informatiesystemen kan Social Engineering ook worden toegepast in combinatie met andere aanvalstechnieken, zoals malware. Bij een Social Engineering poging heeft de aanvaller altijd een bepaald doel voor ogen, bijvoorbeeld de beschikking krijgen over een klantendatabase. Aan de hand van dit doel bereidt hij zich voor door informatie te vergaren over slachtoffer en doel, bijvoorbeeld waar de klantendatabase wordt opgeslagen en welke medewerkers directe toegang hiertoe hebben. Met deze informatie bereidt hij één of meer scenario’s voor, waarvan de kans van slagen het grootst is. Dit zijn de scenario’s waarin een slachtoffer informatie prijsgeeft of een actie vrijwillig uitvoert. Het opstellen van deze scenario’s wordt het maken van een ‘pretext’ genoemd. Een goede pretext speelt in op menselijke eigenschappen en tracht bijvoorbeeld om een slachtoffer nieuwsgierig te maken, medelijden op te wekken of een slachtoffer bang te maken. Dit blijken effectieve methodes te zijn om het slachtoffer mee te laten werken aan de pretext. Dit valt te verklaren door de evolutionaire totstandkoming van de moraal van de mens. Hierbij bleek het handiger om meer vertrouwen te hebben in mensen en pas te gaan wantrouwen wanneer hier aanleiding toe is. Met de samenwerking die hierdoor mogelijk werd, kon de mens als soort floreren. Social Engineering wordt dus gebruikt bij aanvallen op informatiesystemen omdat de mens in een proces een zwakke, zo niet de zwakste schakel is. Tegelijkertijd wordt het daarom ook steeds vaker proactief toegepast door 1
organisaties om inzicht te krijgen in zwakheden in processen, en om eigen medewerkers meer bewust te maken van eigen hun verantwoordelijkheden in hun werkprocessen.
DOELSTELLING Het doel van de Sogeti Social Engineering Challenge is het onderzoeken wat mogelijk is met behulp van Social Engineering bij grote Nederlandse organisaties. Met deze informatie worden organisaties bewust gemaakt over de mogelijkheden van social engineering, zodat gewerkt kan worden aan verbetering. Om het onderzoek niet te beïnvloeden zijn geen van de bedrijven ingelicht over de challenge, anders dan dat de organisaties zelf hadden kunnen opmaken uit berichtgeving voorafgaand aan de challenge. Dit bleek bij een aantal bedrijven het geval waar het merendeel uitermate positief op reageerde, in de trant van “kom maar op” en “goed initiatief”. De challenge was zo opgezet dat deze binnen de kaders van wet- en regelgeving valt. De deelnemers moesten zich daarom aan strikte regels houden. Het doel is dan ook niet om bedrijven lastig te vallen, te irriteren of in een kwaad daglicht te zetten noch om vertrouwelijke informatie te bemachtigen, maar juist om een beeld te krijgen van de effectiviteit van Social Engineering en deze inzichten te delen met alle geïnteresseerden. Sogeti draagt zorg voor anonimiteit van de onderzochte bedrijven. Er wordt daarom geen informatie vrijgegeven die tijdens de challenge is bemachtigd. De geregistreerde deelnemers die akkoord gingen met de voorwaarden, kregen van Sogeti een willekeurig Nederlands top 100 bedrijf toegewezen. Wel is er voor gezorgd dat Sogeti zelf ook aan een deelnemer is toegewezen.
Zie bijvoorbeeld
http://www.bnr.nl/programma/bnrdigitaal/24171 3-1206/webcare-via-twitter-fail Sogeti Nederland B.V. 15 augustus 2012
3
Sogeti Social Engineering Challenge 2012
Daarna werd de deelnemer gevraagd een rapport op te stellen van de informatie die hij of zij van dit bedrijf uit publieke bronnen wist te halen, zoals zoekmachines en website(s) van het bedrijf zelf. Het was niet toegestaan om actief contact te zoeken, zoals het bedrijf e-mailen of bellen. Met deze informatie moest de deelnemer een pretext opbouwen. Ook kon deze informatie punten voor de challenge opleveren. De minimale eis voor de rapportage was het aanleveren van telefoonnummers die de deelnemer tijdens de challenge wilde gebruiken en waar deze konden worden gevonden. Op deze wijze kon Sogeti verifiëren dat inderdaad het bedrijf in kwestie gebeld werd. Tijdens Hack-in-the-Box kreeg de deelnemer 30 minuten de tijd om de lijst van gekozen telefoonnummers te gebruiken om een telefoongesprek te starten, onder begeleiding van een Sogeti Security Professional. Dit was het enige onderdeel waar direct contact was met het doelwit. Het doel van de challenge was het verzamelen van zoveel mogelijk punten. De deelnemer met de meeste punten wint. Punten konden worden gehaald door vooraf vastgestelde typen informatie te vergaren van het bedrijf. (Zie de inzet “te verkrijgen informatie”.) Punten werden toegekend voor het verkrijgen van informatie uit publieke bronnen, het laten uitvoeren van een actie en informatie die tijdens het telefoongesprek werd opgedaan. (Zie de inzet “uit te voeren acties”.) Er is gekozen om punten toe te kennen voor informatie die via publieke bronnen is verzameld, om de deelnemer te motiveren zoveel mogelijk te weten te komen het doelwit. Het merendeel van de punten kon de deelnemer tijdens het telefoongesprek verdienen. Overigens was de Social Engineering challenge niet de enige security challenge die Sogeti organiseerde op de Hack-inthe-Box conferentie; er waren ook inSogeti Nederland B.V. 15 augustus 2012
frastructuur en applicatie challenges. Deze rapportage beschrijft alleen de resultaten van de Social Engineering challenge.
UITKOMSTEN Dit is de eerste keer in Europa dat er op een security conferentie een Social Engineering challenge werd gehouden. Dit hield in dat het concept van Social Engineering in een competitieverband niet bekend was bij de deelnemers. Sogeti zag dat ongeveer de helft van de deelnemers weinig tot niet bekend waren met Social Engineering, maar wel meedeed met de challenge om te kijken wat Social Engineering behelst. Deze groep had zich over het algemeen niet goed voorbereid met het raadplegen van publieke bronnen, en kon daardoor ook weinig punten verdienen met de rapportage. Vaak werden zij geconfronteerd met onverwachte situaties en een gebrek aan continuïteit, waardoor de geloofwaardigheid van hun “verhaal” af nam. Voor de deelnemers die zich vooraf wel hadden voorbereid, werd het effect daarvan direct duidelijk tijdens de gevoerde telefoongesprekken. Wat bleek, is dat een Social Engineer zelf overtuigd moet zijn van zijn verhaal. Ook via de telefoon straalt dit af op het doelwit door kleine vocale wijzigingen in stem en timing van reacties en vragen. De deelnemers die wel een redelijke tot goede voorbereiding hadden getroffen, scoorden aanzienlijk meer punten. Een aantal deelnemers scoorden minder punten, ondanks hun voorbereiding vanwege het moment op de dag dat werd gebeld; het bleek dat sommige bedrijven na vrijdag 15:00 uur telefonisch slecht bereikbaar waren.
4
Sogeti Social Engineering Challenge 2012
Te verkrijgen informatie Achterhaal het operating systeem, internet browser, e-mail client en pdf-reader Als een aanvaller op de hoogte is van het type en de versies van de genoemde onderdelen kan deze op zoek naar specifieke zwakheden voor de onderdelen om uit te buiten. Intranet Door te achterhalen hoe het intranet wordt ontsloten kan worden geprobeerd hier op te komen om direct informatie af te halen of om verder in het netwerk te komen. Vaak wordt het intranet als “voldoende beveiligd” gezien en worden er minder beveiligingsmaatregelen getroffen voor applicaties die alleen op het intranet zijn aangesloten. Tevens zijn benamingen van interne systemen hier vaak te vinden, waardoor de aanvaller het ‘vakjargon’ kan gebruiken in gesprekken en hierdoor meer vertrouwen wekken. Draadloos netwerk Ook kan een aanvaller een alternatief draadloos netwerk opzetten die technisch hetzelfde lijkt op het netwerk van de organisatie zelf. Wanneer een laptop of mobile device automatisch verbindt met een ‘bekend’ netwerk, zal deze ook met dit alternatief draadloos netwerk verbinden; een zogenoemd Rogue Accesspoint. Op deze manier kan de aanvaller een “Man-in-the-Middle” aanval uitvoeren. Gerelateerde bedrijven (cateraar, fysieke beveiliger, archiefvernietiging) Als een aanvaller bekend is met de partners van het bedrijf kan de aanvaller fysiek langs gaan namens deze partners, of een verzoek of berichtgeving doen namens de gebruiker. Ook kan hij op deze wijze informatie van de interne processen verkrijgen, die weer kan worden gebruikt bij een vervolgaanval.
Uit te voeren acties Registreer je als bezoeker Veel informatie kan worden verkregen door fysiek aanwezig te zijn. Informatie die niet in IT-systemen is opgeslagen of gemakkelijker is te benaderen via een fysieke netwerk aansluiting in het bedrijfsnetwerk zelf, kan zo worden ingewonnen. Een Social Engineer zal dus soms proberen fysiek in het pand te komen. Vaak komt de aanvaller vlak na een ‘legitiem’ bezoek nogmaals terug door bijvoorbeeld iets achter te laten. Hierdoor heeft de aanvaller een plausibele reden om op een minder druk tijdstip of wanneer zijn contact persoon niet meer aanwezig is, het bedrijf te bezoeken. Laat het slachtoffer een website openen met daarop een flash of pdf bestand Met de hierboven gevonden informatie kan een aanval klaar worden gezet. De enige vereiste is dat een geautoriseerde gebruiker de actie binnen het domein activeert. Zo vond er in 2011 een Social Engineering aanval plaats op Google waarbij de aanvaller een link stuurde via een Instant Messaging applicatie. Achter de link zat een pagina die gebruikmaakte van een zwakheid in één van de geïnstalleerde plugin’s om zo kwaadaardige software te installeren. De aanvaller had eerst informatie opgedaan over de plugins en browser van het slachtoffer en kon zo dus heel gericht de malware verspreiden.
Sogeti Nederland B.V. 15 augustus 2012
5
Sogeti Social Engineering Challenge 2012
Voorbereiding Een goede voorbereiding voor een Social Engineering aanval is cruciaal voor het succes daarvan. Over het algemeen hebben de deelnemers minder voorbereidingstijd genomen dan Sogeti verwachtte; gemiddeld bedroeg deze ongeveer 30 minuten (variërend van geen tot 8 uur). Redenen die werden aangegeven voor deze korte voorbereiding waren: - Net pas besloten om mee te doen - Geen tijd - Twijfel of tijdsinvestering wel de moeite waarde is
Gebruikte zoekmethoden De deelnemers moesten voorafgaand aan het telefoongesprek hun rapportages naar Sogeti sturen, met daarin een overzicht van de verkregen informatie uit openbare bronnen en de zoekmethode waarmee deze informatie was gevonden. De volgende methoden werden door de deelnemers gebruikt: 6%
10% 11% 11%
10%
6%
40%
40%
16%
17% 16% Zoekmachines (Google,Google,Google) 17% Sociale Media (Linkedin,Facebook,etc) Vacaturesites (monsterboard,ect) Eigen site Fysiek langsgaan (Kantoor,filiaal,etc) Zoekmachines (Google,Google,Google) Netwerk (Wigle,whois,etc) Sociale Media (Linkedin,Facebook,etc)
Zoals verwacht bleek Google de meest gebruikte zoekmethode. Enkele deelnemers gebruikten hier de metadata zoek operatoren zoals “site:” en “filetype:”. Daarentegen werden social media bronnen minder gebruikt dan verwacht. Wellicht kwam dit omdat het doelwit een organisatie was en dus een collectief betrof, omdat de aard van de gewenste informatie zich hier niet voor leent of omdat een andere bron deze informatie sneller gaf. Ook werden technische sites of functionaliteit, zoals Whois waarmee in veel gevallen de beheerder of aanspreekpunt kon worden achterhaald, geraadpleegd. Een andere gebruikte website was Wigle. Deze werd gebruikt om de naam van een draadloos netwerk op afstand te achterhalen. Vaak bevatte de gevonden netwerknamen de naam van het doelwit, in een specifiek geval bevatte deze een productnaam van een product dat dit bedrijf voerde. Een andere deelnemer is simpelweg langs een pand van het bedrijf gelopen om de netwerknaam te achterhalen.
Bron gevonden informatie In de rapportage moest naast de gevonden informatie en de zoekmethode ook de bron vermeld worden waar deze informatie was gevonden. Op deze wijze kon Sogeti verifiëren dat deze informatie inderdaad publiek was. De deelnemers vonden de informatie op de volgende plekken:
Vacaturesites (monsterboard,ect) Eigen site Fysiek langsgaan (Kantoor,filiaal,etc)
Netwerk (Wigle,whois,etc) Figuur 3: overzicht van de gebruikte zoekmethoden tijdens de voorbereidingsfase Sogeti Nederland B.V. 15 augustus 2012
6
Sogeti Social Engineering Challenge 2012
14%
6% 45%
15% 20%
Actieve informatievergaring was niet toegestaan tijdens de voorbereidingsfase van de challenge. Wij stellen ons echter voor dat met een gerichte e-mail of het mengen in een discussie op een forum de gevraagde informatie ook achterhaalbaar was.
Gebruikte Pretexts Eigen sites (documenten,vacatures,etc) Medewerkers (forum,cv's,stagieres,etc) Overige Media (slideshare,youtube,etc) Partners (portfolio,samenwerking,etc) Nieuwsbronnen (computable,webwereld,etc) Figuur 4: Overzicht van de gebruikte bronnen tijdens de voorbereidingsfase
Een opvallend resultaat is dat er veel informatie kon worden achterhaald uit media die door het bedrijf zelf wordt gepubliceerd. Een favoriet hierbij was informatie uit vacatures of daaraan gerelateerd.
Een pretext is de aanleiding waarom een persoon een actie onderneemt of informatie vrijgeeft, waarbij deze reden vaak halve waarheden of onwaarheden bevat om zo zijn of haar ware bedoeling te verbergen. De deelnemers aan de wedstrijd moesten een scenario bedenken met een pretext waarmee via de aangenomen rol informatie te verkrijgen is, die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te verkrijgen is. Hierbij mochten zij zich niet voordoen als iemand van justitie, politie, het bedrijf zelf of een ander bedrijf waar zij zelf niet werkzaam waren.
Zo kan informatie worden gehaald uit vacatureteksten die op de website van het doelwit zelf zijn geplaatst, bijvoorbeeld “wij zijn op zoek naar een Oracle 10G Release 2 specialist voor een intern migratie traject”. Ook het CV van (ex-)medewerkers kan hierbij helpen waarin de werkzaamheden en vaardigheden worden beschreven, inclusief het bedrijf waar deze zijn opgedaan. Twee deelnemers vonden informatie over het gebruikte OS en e-mail client in de video opnames van de “werken bij” site van het doelwit, een andere deelnemer vond deze informatie juist in een gepubliceerde foto.
De meest effectieve pretexts waren die waar de deelnemer een plausibele reden opgaf waarom hij de informatie nodig had. Er was tussen de deelnemers weinig variatie in pretexts. Dit was waarschijnlijk te wijten aan de strikte regels die de deelnemer kreeg opgelegd. De volgende pretexts werden gebruikt:
Een andere wijze voor het verkrijgen van deze informatie was door de metadata van geplaatste documenten, foto’s of presentaties te kijken. Hierin kan soms de versie van de gebruikte software uit worden gehaald en/of de auteur van het document.
Eigenlijk was er geen duidelijk verschil in effectiviteit tussen bovenstaande pretexts. Eén deelnemer combineerde de pretexts en deed zich voor als een student die bezig was met een onderzoek en gaf aan dat hij na het afstuderen bij zijn doelwit wilde gaan werken.
Sogeti Nederland B.V. 15 augustus 2012
- Onderzoeker / student die deze informatie nodig heeft voor onderzoek /scriptie over onderwerp “…” - Potentieel toekomstig medewerker die meer informatie wil over het bedrijf waar hij komt te werken
7
Sogeti Social Engineering Challenge 2012
Telefoongesprekken Niemand bood weerstand tegen de gestelde vragen tijdens de telefoongesprekken. Wel werd in sommige gesprekken duidelijk gemaakt dat hij of zij geen zin had in een dergelijke onderzoek of hier geen tijd voor vrij kon maken. Wel werd dan altijd door verwezen naar een andere collega, inclusief contactgegevens (!), of werd gevraagd later nogmaals te bellen. Door de beperkte tijd die de deelnemers kregen voor de challenge was terugbellen vaak geen optie. Veel deelnemers kwamen vanuit de technische hoek en hadden dit soort activiteiten nooit eerder gedaan. Hierdoor reageerden sommige deelnemers zeker in het begin zenuwachtig maar toen bleek dat gedurende het gesprek alles gemakkelijker verliep dan dat zij voor ogen hadden, werd hun gedrevenheid en ook hun authenticiteit groter. De doelgerichtheid en overtuiging ontbrak daarbij bij deelnemers die zich minder goed hadden voorbereid. De deelnemers die meer succes hadden, hielden zich aan het doel vast en konden flexibeler onverwachte situaties pareren. Ook gebruikten zij eerder gevonden detailinformatie over het bedrijf. Het bleek dat hierdoor vertrouwen sneller wordt gewekt bij het slachtoffer. De medewerkers van de gebelde bedrijven reageerden haast zonder uitzondering bijzonder hulpvaardig. Een uitdaging voor de Social Engineers daarbij was dat de te verkrijgen informatie soms technisch van aard was zoals “welke versie e-mail programma gebruikt u?”. In sommige gevallen werden het doelwit hier juist door afgeschrikt. Sommige deelnemers speelden hier goed op in door aan te sluiten bij de belevingswereld van het doelwit “ja vervelend hè die IT systemen, heb ik ook altijd problemen mee”. In sommige gevallen was dit niet eens noodzakelijk omdat de medewerker zelf initiatief nam om de gevraagde informatie te achterhalen. Eén medewerker vroeg daarbij bijvoorbeeld “kunt u me ook Sogeti Nederland B.V. 15 augustus 2012
uitleggen hoe ik mijn Outlookversie vind?” waarbij de deelnemer het volledige stappenplan om dit te achterhalen kon doorlopen.
“Kunt u me ook uitleggen hoe ik mijn Outlookversie vind?” Ondanks dat de bedrijven zeer behulpzaam reageerden kreeg een aantal deelnemers het tijdens het gesprek toch moeilijk. Verbaasd over de behulpzaamheid, gespannen en met weinig ervaring over de context waarin zij zich bevonden moesten een paar deelnemers het gesprek beëindigden en even op ademkomen. De telefoongesprekken waren vooraf gepland, de deelnemers kregen daarbij een tijdslot van een 30 minuten toegewezen. Voor een aantal deelnemers viel hun mogelijkheid om te bellen op donderdag- of vrijdagmiddag. De effectiviteit van deze gesprekken bleek een stuk minder te zijn door de beschikbaarheid en bereidwilligheid van het doelwit. Een aanval midden in de week na lunchtijd is het meest effectief. Bij de organisatie van een volgende challenge dient hier rekening mee te worden gehouden om alle deelnemers gelijke kansen te geven. Deze deelnemers zijn hier niet voor gecompenseerd. Ruim de helft van de deelnemers kwam
“Een aanval midden in de week na lunchtijd is het meest effectief” niet uit Nederland, waardoor het telefoongesprek in het Engels werd gevoerd. De engelstalige deelnemers verwachtten dat dit een belemmering zou vormen voor hun Social Engineering aanval echter bleek dit juist een positieve invloed te hebben op het gesprek. Dit zou voort kunnen komen uit het feit dat de gesprekpartner afgeleid is van zijn normaal telefoongedrag en meer moest nadenken over de bewoording van de vragen dan de inhoud. 8
Sogeti Social Engineering Challenge 2012
De informatie die de deelnemers vonden is hieronder gecategoriseerd weergegeven. Het bleek dat iedere deelnemer in ieder geval in staat was het besturingssysteem te achterhalen die het bedrijf gebruikte, bijvoorbeeld “Windows 7”.
Figuur 5: Gevonden informatie en behaalde doelen tijdens de challenge
CONCLUSIE Het is opvallend dat het iedere deelnemer is gelukt om meerdere onderdelen van de gevraagde informatie te achterhalen. Geen van de bedrijven hing op of vertelde de deelnemer dat deze informatie niet toegankelijk was. Ook deelnemers met relatief weinig voorbereiding en weinig Social Engineering ervaring vonden bedrijfsinformatie die in eerste instantie onschuldig lijkt maar inzetbaar is voor een gerichte aanval. Blijkbaar zijn medewerkers zich er niet van bewust dat zij bedrijfsinformatie prijsgeven waar ze wel verantwoordelijk voor zijn. Ook de vooraankondiging van de challenge in diverse media van de challenge deed hier niets aan af. Dit schetst meteen de complexiteit en breedte van de maatregelen die nodig zijn om Social Engineering effectief tegen te gaan. Onbekendheid van het doelwit met informatievoorzieningen werkt juist in het voordeel van de aanvaller. Hieruit valt af te leiden dat niet altijd bekend is wat de waarde van de prijsgegeven informatie is.
Sogeti Nederland B.V. 15 augustus 2012
Een Social Engineer vergroot zijn kansen aanzienlijk door een goede response klaar te hebben en de juiste vraagstelling te kiezen. Inleving van de Social Engineer in de belevingswereld van het doelwit is belangrijk. Ook overtuiging van de Social Engineer dat hij zijn doel gaat bereiken is noodzakelijk. Schroom en moreel bezwaar van sommige deelnemers, voornamelijk techneuten, was juist hun valkuil. “Google is your friend”. Bedrijven publiceren vaak veel informatie over zichzelf. Dit kan logisch zijn vanuit een bepaald bedrijfsdoel. Echter, vanuit het perspectief van de Social Engineer is dit waardevolle informatie om zijn aanval effectiever te maken. Wat opvalt is dat deze afweging niet altijd bewust wordt gemaakt. Van de software versies die achterhaald werden door de deelnemers was het merendeel reeds verouderd. Voor verouderde software zijn over het algemeen kwetsbaarheden publiek beschikbaar. Als de software minder up-todate is, stijgt dus de waarde van deze informatie. Patch management blijft een heikel punt. Met weinig voorbereiding viel informatie relatief gemakkelijk te achterhalen. Dit houdt in dat de gevonden informatie zogenaamd “low hanging fruit” is; de inspanning van de aanvaller om deze te achterhalen is gering. De medewerkers van de onderzochte bedrijven werkten zonder uitzondering mee aan de pretext van de Social Engineer. Er werden nagenoeg geen vragen gesteld over de aard van de vragen en of deze wel beantwoordt konden worden door de medewerker in kwestie. Dit terwijl een bedrijf vaak wel heeft bepaald wie wat doet met deze informatie, wie er beschikking toe heeft en hoe en of deze informatie mag worden ontsloten. En mensen mogen best “nee” zeggen!!!
9
Sogeti Social Engineering Challenge 2012
OVER SOGETI Sogeti is gespecialiseerd in het ontwerpen, bouwen, implementeren en beheren van ICT oplossingen. Op het gebied van testen en architectuur heeft het bedrijf een dominante positie op de Nederlandse markt. Sogeti levert met gepassioneerd ICT-vakmanschap een bijdrage aan het resultaat van zijn opdrachtgevers. Het bedrijf streeft daarbij naar hechte en langdurige relaties met de opdrachtgevers. Hierdoor dragen de ICT oplossingen van Sogeti structureel bij aan de strategische doelstellingen van klanten.
SOGETI SECURITY Informatiebeveiliging is een samenspel tussen processen, mensen, hard- en software binnen een organisatie. Sogeti heeft een aanpak ontwikkeld om informatiebeveiliging binnen uw organisatie te meten, verbeteren en beheersbaar te maken. In plaats van te reageren op incidenten staat het pro-actief nemen van passende beveiligingsmaatregelen centraal. Deze aanpak is de Proactive Security Strategy® (PaSS)
Met PaSS worden zowel deze organisatorische als technische aspecten vanuit één aanpak beheert. Informatiebeveiliging is daarin niet langer exclusief voor de specialist, maar wordt een onderdeel van ieders werkzaamheden. Dit betekent echter niet dat er nieuwe activiteiten worden toegevoegd. Het streven is juist om bestaande werkzaamheden uit te voeren met een hoger bewustzijn van beveiliging. Zo’n bewustzijn heeft als gevolg dat een persoon of groep op elk moment, in het begin bewust maar later ook onbewust, kritisch naar zijn of haar handelen kijkt om zeker te stellen dat veiligheid in de gewenste vorm gehandhaafd blijft. Het gevolg hiervan is dat ‘in één keer goed’ werkelijkheid kan worden en dat investeringen plaatsvinden daar waar deze het meeste van toegevoegde waarde zijn. Hierdoor wordt naast het verbeteren van informatiebeveiliging ook de kwaliteit van uw informatiesystemen verhoogd en de doorlooptijd van de realisatie verlaagd. De PaSS dienstverlening wordt gedragen door een stevige fundering van gepassioneerde Sogetisten bij wie security door de aderen vloeit. Naast een ruime praktijkervaring zorgt betrokkenheid bij en deelname aan de internationale security community er voor, dat zij zich op het snijvlak tussen de geldende standaarden en de innovatie begeven. Hun vakmanschap is ook tastbaar gemaakt in de vorm van behaalde toonaangevende certificeringen zoals CISSP, CISM en OSCP en deelname onder andere in de NEN normcommissie en OWASP community. Meer informatie over Sogeti is te vinden op sogeti.nl of neem contact met ons op via
[email protected]
Of google ons, bel gewoon de receptie of klik hier 2
Sogeti Nederland B.V. 15 augustus 2012
10