Social engineering
Social engineering • Emberek manipulálása (meggy!zése, megtévesztése), nem technikai eszközökkel tevékenységek végrehajtására bizalmas információk kiadására
• • • komputer rendszerek biztonságát érint! cselekményekhez kapcsolódóan
2
Technikák • Ürügy gyártás • Elterelés, eltérítés • Phising (adathalászat) • Csali • Valamit valamiért 3
Ürügy gyártás • Olyan helyzet, scenárió megteremtése és
végrehajtása, melyben az “áldozattól” olyan bizalmas információk megszerezhet!k, melyeket “normál” körülmények között nem lehetne legtöbbször hamis megszemélyesítéssel
• • el!zetes felkészülés, bennfentes infók szükségesek
4
Elterelés, eltérítés
• “Corner game”, átirányítás • Áldozat rávétele arra, hogy információt, árut ne az eredeti célszemélynek, célhelyre juttasson el
5
Phising • Privát, személyes információk megszerzése • hozzáférési adatok (account, jelszó) • leggyakrabban email, fake website segítségével • elektronikusan nagy tömegben (spam) 6
Csali
• Vonzó formába csomagolt trójai megoldások • fizikai média, vonzó infoscent-" linkek • kiváncsiság, kapzsiság kihasználása 7
Valamit valamiért • Quid pro quo • Ellentételezésért (pl. segítség, ajándék) cserébe bizalmas infók kiadása
• “Fordított social engineering” • a támadó olyan problémás helyzetet alakít ki, melyben az áldozat az ! segítségét kéri
8
Még néhány fogalom • Candy security (M&Ms) • kív"l er!s, belül gyenge biztonsági megoldások • mi van, ha mégis átjutnak a küls! védelmen? • Security through obscurity • eltitkolásra épített védelem • mi van, ha infoszivárgás van? • Kukabúvárkodás • szenzitív info megfelel! megsemmisítése
9
Gyakori módszerek • saját (technikai) alkalmazottnak adja ki magát • partner cég alkalmazottjának adja ki magát • új munkatársnak adja ki magát, segítséget kér • magas pozícióban lév!nek adja ki magát • általa el!idézett probléma megoldásában segít • ingyenes szoftvert, javítást ajánl • vírusok, trójai programok küldése • bejelentkezést kér valamilyen (ál)rendszerbe • regisztrációt igényl! rendszert üzemeltet 10
A social engineering szociológiája (pszichológiája)
• Kihasználható emberi tulajdonságok • szánalom, kedvesség, stressz, szimpátia, naivitás, kapzsiság, felel!tlenség, hiúság • emberi reakciók kiszámíthatósága • Motivációk • bosszúvágy, irányítás, kínzás, pénzügyi nyereség • Módszerek • személytelenség, barátságosság, ismer!sség • Lehet!ségek • túlterheltség, zavar, szórakozottság kihasználása
11
A jó social engineer • Kedves, udvarias, meggy!z! • Gyors kapcsolat épít! képesség" (bizalom megszerzése) • Jó emberismerettel rendelkezik (áldozatok kiválasztása) • Bennfentes információkkal rendelkezik (eljárások, technikai adatok) • Kell!en hidegvér" 12
Támadásra utaló jelek • Nincs pontos azonosítás, elérhet!ség • Rendkívüli kérések • S"rg!s intézkedési igények • Együtt m"ködés hiánya esetén negatív következményekkel fenyegetés • Hivatali hatalommal fenyegetés • Túlzott barátkozás, bizalmaskodás 13
Leggyakoribb célpontok
• Az információk értékét nem ismer! alkalmazottak • Különleges hozzáféréssel rendelkez!k • Gyártók és beszállítók • Speciális szervezeti egységek (HR, pénzügy)
14
Sebezhet!séget növel! tényez!k
• nagy alkalmazotti létszám • több telephely • nyilvánosan elérhet! telefonmellék információk • biztonsági képzés hiánya • adat/információ klasszifikálás hiánya • incidens jelentési/reagálási eljárások hiánya
15
Megel!zés, védekezés • Megfelel! biztonság politika • kidolgozása • alkalmazottakkal megismertetése • betartattatása • alkalmazottak képzése • eljárások szabályozása • alkalmazott technikai megoldások • kockázat minimalizálása 16
A biztonság politika elemei
• Utasítások, el!írások az információt véd! magatartáshoz
• Kockázat felmérés • védend! er!források, fenyegetések, lehetséges károk • Irányelvek kialakítása • Eljárások kialakítása • technológiai háttér (automatikus eljárások, ellen!rzés)
17
Irányelvek • Adatosztályozás • adatok min!sítése • titkos, privát, bels!, nyilvános • adatok tulajdonosai, felel!sök • Felhasználók osztályozása • nem ellen!rzött személy, megbízható
személy, kezességet vállaló, privilégizált felhasználók 18
Irányelvek (folyt.) • Ellen!rzési és hitelesítési eljárások • személy státuszának ellen!rzése • információ-hozzáférés jogossága • Ellen!rzési megoldások • hívószám kijelzés, visszahívás, •
kezességvállalás, jelszó, kihívás-válasz, biometrikus azonosítás alkalmazotti nyilvántartások, biztonságos ellen!rz! csatornák 19
Irányelvek (folyt.) • Információ-közlés, kiszolgáltatás szabályozása • alkalmazottak ellen!rzése • harmadik (igényl!) fél ellen!rzése • min!sített információk továbbításának technikai szabályozása • elektronikus és fizikai dokumentumok kezelése
20
Irányelvek (folyt.) • Egyéb biztonsági szabályozás • Telefon használat (hívás átirányítás,
hivószám kijelzés, telefonközpont beállítások, jogosultságok) Alkalmazotti azonosítók (kit"z!k) vendégek azonosítás Behatolás jelentési eljárások Területek fizikai védelme számítási és kommunikációs infrastruktúra (szerel! szekrények, kábel rendez!k, szerver terem)
• • • • •
21
IT biztonsági szabályozás
• Speciálisan kezelend! kérdések • alkalmazott, kontakt személyek adatai • support kérdések, helpdesk m"ködése • felhasználói fiókok kezelése • jelszó politika (megváltozatási frekvencia, formai el!írások) • hálózati eszközök kérdése (hozzáférési pontok, hosztok csatlakoztatása) • felhasználó jogosultságok kiosztása • privilégizált hozzáférések szabályozása 22
Rendszergazdai irányelvek
• Hozzáférési jogosultságok megváltoztatása • Távoli hozzáférésekkel kapcsolatos kérdések • Küls! technikai személyzet hozzáférési kérdései • Alkalmazott autentikációs megoldások • Operációs rendszerek beállításai • Biztonsági frissítések telepítése • Küls! adatmentések kriptográfiai védelme • Antivírus szoftverek menedzsmentje
23
Rendszergazdai irányelvek (folyt.)
• Alapértelmezett jelszavak • Szoftver telepítések szabályozása • Sikertelen bejelentkezési kísérletek kezelése • Rendszer leállítások, indítások szabályozása • Vezeték nélküli hálózati hozzáférések szabályozása • Bels! rendszerekre vonatkozó információ kiadása • Logok elemzése, behatolás detektálás
24
