Kritikus infrastruktúrák védelme, információbiztonság 2016/2017/2 v1 2. rész
Emberi tényezı az információbiztonságban Váczi Dániel Budapest, 2017 .03. 16.
Mirıl lesz szó? A téma
helye és jelentősége Mi az a social engineering? Támadási technikák Egy kivitelezett valós támadás ismertetése Védekezési technikák 2
Váczi Dániel - Emberi tényező az információbiztonságban
Bevezetı gondolatok
„Miért pont az enyém?” „Nincs semmi fontos adatom.” „Nem vagyok én olyan jelentős ember.”
Cél:
3
Specifikus támadás Általános támadás
Váczi Dániel - Emberi tényező az információbiztonságban
Veled biztos nem történt meg?
4
Váczi Dániel - Emberi tényező az információbiztonságban
Mit védünk?
Adat?
Információ? Titkainkat!
5
Váczi Dániel - Emberi tényező az információbiztonságban
Mitıl is kell LEGINKÁBB védeni az információt?
Saját
6
magától, az EMBERTŐL!
Váczi Dániel - Emberi tényező az információbiztonságban
A komplex biztonságról:
Amit el akarnak vinni, azt el is fogják
Biztonságtechnika Adat- és információvédelem Szabályozás Tervezés Rendszerszemlélet Ellenőrzés
7
Váczi Dániel - Emberi tényező az információbiztonságban
Kell a szemléletváltozás! Olcsó nem egyenlő a megfelelővel Az emberi tényező alap tervezési szempont Ennek része generáció különbség Idősebb generáció a mai információs társadalomban nem úgy él, mint az megkívánná Alapvető informatikai hiányosságok (IoT)
8
Váczi Dániel - Emberi tényező az információbiztonságban
A rendszerben eltöltött hely
ISO/IEC 27001:2003 A mellékletei közül a 7.2 De az 5-15 mind azt szabályozza, hogy ne lehessenek konkrét esetek
9
Váczi Dániel - Emberi tényező az információbiztonságban
Mi is az a social engineering?
…social engineering a művészete, még inkább a tudománya annak, hogy gyakorlatias műveletekkel befolyásoljuk az emberi lényeket, azért hogy a célunk érdekében cselekedjenek az életük néhány helyzetében.
10
(Christopher Hadnagy) Váczi Dániel - Emberi tényező az információbiztonságban
Ki használja?
Kisgyerek Szórakozó helyen az ismerkedésnél Párkapcsolat Eladó Pszichológusok A pártok James Bond Hackerek Stb. 11
Váczi Dániel - Emberi tényező az információbiztonságban
Motiváció 12
Pénzszerzés (bankkártya csalások) Bosszúvágy Ipari kémkedés Titkosszolgálati tevékenység Tudásuk, képességeik fitogtatása Social engineering audit Önös szempontok Stb. Váczi Dániel - Emberi tényező az információbiztonságban
Biztonságtechnikára vonatkoztatva
13
Olyan információszerzésre irányuló cselekvés, támadási forma, mely technikai ismeretekkel, vagy anélkül az emberi lény alapvető pszichológiai tulajdonságait használja ki.
Váczi Dániel - Emberi tényező az információbiztonságban
Pszichológia
14
Szociálpszichológia Személyiséglélektan Gondolkodási módok Mimika és apró árulkodó gesztusok (Microexpressions) Összhang-, szimpátiateremtés (Building rapport) Személyiség felvétel (Pretexting) Kiderítési/kérdezési technikák (Elicitation) Befolyásolási taktikák (Influence tactics) Váczi Dániel - Emberi tényező az információbiztonságban
Biztonságtechnikai érintett területei
Adat-
és információ védelem Mechanikai védelem Elektronikus rendszerek Élőerős őrzés-védelem
15
Váczi Dániel - Emberi tényező az információbiztonságban
Károk
Anyagi Erkölcsi
16
Váczi Dániel - Emberi tényező az információbiztonságban
Humán alapú technikák
Identitás lopás
17
Álruhába bújás Céges alkalmazottnak adja ki magát Partner cég alkalmazottjának adja ki magát Új munkaerőnek adja ki magát Magas pozíciójú embernek adja ki magát Fontos embernek adja ki magát IT szakembernek/rendszergazdának adja ki magát „Tombstone theft” („sírkő lopás”) „Third party authorization” (felhatalmazás) Hamis bizalom keltés Váczi Dániel - Emberi tényező az információbiztonságban
Humán alapú technikák
Reverse social engineering (fordított SE) „Valamit valamiért” Jelszavak kitalálása
Rutin munkát végzők segítségkérése Bejutás az épületbe
18
Alapértelmezett jelszavak Személyre utaló jelszavak
Tailgating Késés Hamis ID használata Piggybacking Váczi Dániel - Emberi tényező az információbiztonságban
IT alapú technikák
Alap információszerzés
Kártékony programok
Keylogger
Hálózatok figyelése Egyéb IT alapú támadások
19
Internet böngészése Közösségi portálok figyelése Phishing (Adathalászat)
Telefonbeszélgetés Látszólag belső cím Távoli e-mail hozzáférés Okostelefonok/tabletek/PDA-k támadásai WiFi Váczi Dániel - Emberi tényező az információbiztonságban
Egyéb technikák
Shoulder
surfing Dumpster diving (kuka búvárkodás)
20
Váczi Dániel - Emberi tényező az információbiztonságban
Kártékony szoftverek bejutási lehetıségei (SE tekintetében) 21
Csatolmányok Játékoknak, programoknak álcázott kártékony programok (trójai programok) Tartalom megtekintés alapuló átverések Baiting (fertőzött adathordozó) Frissítés/javítás felajánlása "Ingyen" programok Felugró ablakok Lánclevelek Supply chain attack Váczi Dániel - Emberi tényező az információbiztonságban
A konkrét támadás
22
Váczi Dániel - Emberi tényező az információbiztonságban
Fı céljaink
Bejutás
az épületbe Minősített információk megszerzése Jelszó és felhasználónév megszerzése Belső telefonkönyv megszerzése Biztonságtudatosság tesztelése 23
Váczi Dániel - Emberi tényező az információbiztonságban
Audit kapcsán felmerülı kérdések Mennyire
valós probléma? Milyen biztonsági kockázattal számolhatunk? Mekkora kockázat ez egy komplex rendszer tekintetében?
24
Váczi Dániel - Emberi tényező az információbiztonságban
Támadás felépítése
1.
Cél(ok) meghatározása 2. Információ gyűjtés 3. Tervezés, előkészületek 4. A támadás kivitelezése
25
Váczi Dániel - Emberi tényező az információbiztonságban
1. Célok
Bejutás
az épületbe Minősített információk megszerzése Jelszó és felhasználónév megszerzése Belső telefonkönyv megszerzése Biztonságtudatosság tesztelése 26
Váczi Dániel - Emberi tényező az információbiztonságban
2. Elızetes információszerzés 27
Internet Közösségi média Weblapok Google (hack) Online videók Épület körüljárás Ügyfélszolgálat Pénztárca Telefon hívások Váczi Dániel - Emberi tényező az információbiztonságban
Közösségi média
Facebook:
28
Teljes név Becenév Születési dátum, hely Munkahely Tanulmányok (egyetem, főiskola, középiskola) Családtagok Párkapcsolati állapot Szakmai készségek Korábbi lakhelyek E-mail címek Mobiltelefonszám Lakcím Nemi identitás Ismert nyelvek Vallási nézet Politikai nézet
LinkedIn:
Teljes név Előző munkahelyek, pozíciók Publikációk Tanúsítványok Projektek, amikben az illető részt vett Különböző kurzusok, amiken a tulajdonos részt vett Elnyert díjak Beszélt nyelvek Tanulmányok
Instagram, Snapchat, Tumblr
Váczi Dániel - Emberi tényező az információbiztonságban
3. Tervezés, elıkészületek
A bejutáshoz szükséges lépések:
29
Beléptetés felderítése Első alkalom Lehetőségek felderítése Második alkalom (hasonló kártya) Majdnem tökéletes kártya készítése
Váczi Dániel - Emberi tényező az információbiztonságban
4. A támadás kivitelezése
Épületen belül:
30
Belső hálózathoz történő hozzáférés Nyílt WiFi hálózat tesztelése Notebook Okostelefon Épületen belüli információ gyűjtés Hálózati végpontok
Váczi Dániel - Emberi tényező az információbiztonságban
4. A támadás kivitelezése
Személyes kontaktus:
31
Megfelelő alany kiválasztása (generáció, szaktudás, korábbi ismeretek, technikai tudás) Általános felderítés apró kérdésekkel Helyszíni ismeretek szerzése Vagyon védelmi rendszer alapvető struktúrája Konkrét eset Váczi Dániel - Emberi tényező az információbiztonságban
4. A támadás kivitelezése
Biztonságtudatosság tesztelése:
32
Belső információk lopása Nyitott iroda Nyitott irattárak Tiszta asztal politika Baiting Tárgyalókban hagyott információk Idegen adathordozók csatlakoztatása Phishing Váczi Dániel - Emberi tényező az információbiztonságban
Miért is védjük az információt?
Mai világ:
33
A fél életünket számító gép előtt töltjük „Mindenünk” az eszközeinken, felhőkben van Üzemekben a gépek irányítása, IoT Szabadalom Pénzünk (e-bank) Közszolgáltatások Yahoo
Váczi Dániel - Emberi tényező az információbiztonságban
Mobil eszközökön tárolt adatok
Telefonkönyv
Híváslista -> közeli ismerősök, ügyfelek
SMS
E-mail kliens programok (Gmail, Outlook)
Felhőszolgáltatók
SD kártya
Jelszavak, PIN kódok üzenetként
Útvonalak (Waze, Google Maps, Tinder!, sport alkalmazások)
Mentett Wi-Fi hálózatok
Naptár bejegyzés
Szórakozó alkalmazások (képmegosztók, zene stream)
Társkereső alkalmazások
Böngészési előzmények
Nyelvtudásról árulkodó szótárprogramok
Utazási szokásaikn (BKV, Volán, MÁV menetrend)
Különböző eszközök, amik csatlakoztatva voltak Bluetooth-al Wi-Fi-vel
34
Váczi Dániel - Emberi tényező az információbiztonságban
Támadásra utaló jelek 35
A hívó nem adja meg a telefonszámát Rendkívüli kérés Hivatali hatalmára hivatkozik Sürgősség Együttműködés hiánya esetén negatív következményekkel „fenyegetőzik” Dobálózik a nevekkel Bókol, hízeleg Flörtöl Váczi Dániel - Emberi tényező az információbiztonságban
Személyazonosság ellenırzése 36
Hívószám kijelzés (név, szám megegyezősége) Visszahívás (céges telefonkönyvből) Kezesség vállalás (megbízható személy kezeskedik-e érte) Megosztott titok (jelszó/naponta változó kód) Alkalmazott felettese/főnöke Biztonságos e-mail (digitálisan hitelesített) Hangfelismerés (személyes ismeretség) Személyes megjelenés kérése (igazolhatóság) Váczi Dániel - Emberi tényező az információbiztonságban
Nem a problémákat kell orvosolni, hanem MEGELİZNI azokat.
37
Váczi Dániel - Emberi tényező az információbiztonságban
Üzleti szintő lépések
Szenzitív munkakörökben dolgozók előzetes ellenőrzése BIZTONSÁGTUDATOSSÁG NÖVELÉSE Oktatás, képzés Szabályzatok készítése, frissítése, betartatása Intézkedések előre, jól definiáltsága (incidens esetén, mi a teendő) Figyelem fenntartása Audit KONTROL 38
Váczi Dániel - Emberi tényező az információbiztonságban
Üzleti szintő lépések Jogosultságkezelés Megfelelő titkosítások Naprakészség Mindezt rendszeresen Jogi alapok (titoktartási szerződések) Engedélyezési szintek megalkotása Tiszta szoftver Megfelelő hálózati beállítások Mentések
39
Váczi Dániel - Emberi tényező az információbiztonságban
Egyéni megelızés Mit adunk meg magunkról (fórumok, blogok, közösségi oldalak) Mit osztunk meg Ki láthatja az adatainkat Ki láthatja a képeinket Események Kinek milyen hozzáférést biztosítunk (pl.: Neptun)
40
Váczi Dániel - Emberi tényező az információbiztonságban
Egyéni megelızés Otthoni eszközök Frissítés (operációs rendszer, Antivirus, Adobe Reader, Java, activeX ) „Vendég” fiók létrehozása Böngésző bővítmények Wi-Fi hálózat Törtprogramok (hozzászólások olvasása) www.virustotal.com
41
Váczi Dániel - Emberi tényező az információbiztonságban
Egyéni megelızés Mobil eszközök védelme Képernyő zárolása Antivirus program Root/jailbreak Alkalmazás boltok Fiók szinkronizálás Gyanús Wi-Fi Jelszókezelés
42
Váczi Dániel - Emberi tényező az információbiztonságban
Egyéni megelızés
Jelszó probléma:
43
Alapértelmezett Gyári beállítás 12345…, admin Logikai kapcsolat Személy-jelszó ( anya névnapja) Login név-jelszó (Andrea – Aerdna) Szótár Nyers erő (brute force)
70^10=2,8*10^18 10^18 26^18=3*10^25 Váczi Dániel - Emberi tényező az információbiztonságban
Egyéni megelızés Közösségi média Társkeresők Minden áron lejátszás kerülése E-mail Online fenyegetés fertőzéssel Biztonsági mentés NEVELÉS
44
Váczi Dániel - Emberi tényező az információbiztonságban
Gondolkodj!
45
Váczi Dániel - Emberi tényező az információbiztonságban
Köszönöm a figyelmet! ☺
46
Váczi Dániel - Emberi tényező az információbiztonságban