Am decis sa incep activitatea pe blog prin acest articol . Nu este scris de mine . Il am de la un prieten asa ca nu stiu care ii e "sursa" . Credite scriitorului .
Securitatea ar trebui sa fie de o mare importanta in fiecare business, din moment ce o bresa in securitate ar afecta atat valoare companiei cat si imaginea acesteia.
Acestea fiind spuse, companiile se bazeaza orbeste pe tehnologii ce le-ar putea oferi acest tip de securitate, ignorand cea mai slaba veriga din sistem ” omul”.
In cele ce urmeaza va voi prezenta succint ce inseamna “social engineering” si cum se aplica aceasta.
Social engineering = un procedeu prin care un om este pacalit in a livra informatii private/confidentiale despre o firma, sau mai peotic spus ” arta si stiinta de a face oamenii sa se supuna dorintelor tale”(Harl 1997).
Acestea fiind spuse, companiile se bazeaza orbeste pe tehnologii ce le-ar putea oferi acest tip de securitate, ignorand cea mai slaba veriga din sistem ” omul”.
In cele ce urmeaza va voi prezenta succint ce inseamna “social engineering” si cum se aplica aceasta.
Social engineering = un procedeu prin care un om este pacalit in a livra informatii private/confidentiale despre o firma, sau mai peotic spus ” arta si stiinta de a face oamenii sa se supuna dorintelor tale”(Harl 1997).
Atunci cand un atacator nu poate invinge tehnologia, aceasta apeleaza la acest timp de atac, inseland angajatii sa le dea acces.
De ce Social Engineering are o rata de succes mare?
Acest tip de atac exploateaza vulnerabilitatile umane, ca ignorata sau naivitatea si foloseste concepte ca autoritatea, emotiile puternice, reciprocitatea, suprasolicitarea.
Cele mai multe atacuri se pot gasi in “6 weapons of influence” ( reciprocity, commitment and consistency, social proof, linking, authority , scarcity ) –Cialdini 1993.
O alta “vulnerabilitate” a oamenilor este aceea ca omul doreste sa ajute, astfel cautand satisfactie in ajutorarea unor persoane “la nevoie”.
Acest tip de atac exploateaza vulnerabilitatile umane, ca ignorata sau naivitatea si foloseste concepte ca autoritatea, emotiile puternice, reciprocitatea, suprasolicitarea.
Cele mai multe atacuri se pot gasi in “6 weapons of influence” ( reciprocity, commitment and consistency, social proof, linking, authority , scarcity ) –Cialdini 1993.
O alta “vulnerabilitate” a oamenilor este aceea ca omul doreste sa ajute, astfel cautand satisfactie in ajutorarea unor persoane “la nevoie”.
Va voi prezenta cateva din vulnerabilitatile umane :
I.Emotiile puternice:
Acestea sunt folosite pentru a aduce “tinta” la o stare emotionala asa mare, incat aceasta sa nu mai dea atentie argumentelor.
Ex :
1. Anticiparea (primeste bani sau un premiu, astfel facand omul mai putin suspicios)
2. Stres : angajatii sunt facuti sa creada ca vor fi concediati sau ca vor fi consecinte grave in urma deciziilor luate de acestia.
Altele ar mai fi : suprize, frica, suparare, panica, emotionare.
I.Emotiile puternice:
Acestea sunt folosite pentru a aduce “tinta” la o stare emotionala asa mare, incat aceasta sa nu mai dea atentie argumentelor.
Ex :
1. Anticiparea (primeste bani sau un premiu, astfel facand omul mai putin suspicios)
2. Stres : angajatii sunt facuti sa creada ca vor fi concediati sau ca vor fi consecinte grave in urma deciziilor luate de acestia.
Altele ar mai fi : suprize, frica, suparare, panica, emotionare.
II. Supra solicitarea:
Un om poate procesa o informatie intr-un anumit timp limitat.
Modul de a folosi aceasta vulnerabilitate este felul in care niste informatii corecte pot fi puse alaturi de informatii eronate, iar cele din urma fiind mai greu de observat.
Alt mod ar fi abordarea unei probleme din o alta perspectiva, dar “victimei” nu ii este lasata timp sa se gandeasca la aceasta perspectiva astfel lasand victima devenind mult mai maleabila(ar accepta opinini fara sa mai puna intrebari).
Un om poate procesa o informatie intr-un anumit timp limitat.
Modul de a folosi aceasta vulnerabilitate este felul in care niste informatii corecte pot fi puse alaturi de informatii eronate, iar cele din urma fiind mai greu de observat.
Alt mod ar fi abordarea unei probleme din o alta perspectiva, dar “victimei” nu ii este lasata timp sa se gandeasca la aceasta perspectiva astfel lasand victima devenind mult mai maleabila(ar accepta opinini fara sa mai puna intrebari).
III. Reciprocitatea:
Este descrisa ca un sentiment ce te face sa raspunzi automat la o favoare/cadou ce primesti. Omul este multi mai deschis sa raspunda la o cerere, daca a primit un cadou in prealabil.
Tot conceptul se refera la modalitatea de oferta-cerere. Cu cat dai mai mult, cu atat vei primi mai mult in schimb.
Este descrisa ca un sentiment ce te face sa raspunzi automat la o favoare/cadou ce primesti. Omul este multi mai deschis sa raspunda la o cerere, daca a primit un cadou in prealabil.
Tot conceptul se refera la modalitatea de oferta-cerere. Cu cat dai mai mult, cu atat vei primi mai mult in schimb.
IV. Relatii:
Cu cat o relatie este mai lunga, cu atat vei vedea mai mult incredere intre 2 persoane. O modalitatea de a stabili o relatie este modul prin care 2 oameni pot deveni prieteni avand acelasi inamic.
Un exemplu interesant ar fi cel prezentat de Mitnick ” two-year hack” ( Midnick and Simon 2005)
Cu cat o relatie este mai lunga, cu atat vei vedea mai mult incredere intre 2 persoane. O modalitatea de a stabili o relatie este modul prin care 2 oameni pot deveni prieteni avand acelasi inamic.
Un exemplu interesant ar fi cel prezentat de Mitnick ” two-year hack” ( Midnick and Simon 2005)
V.Autoritatea:
Aceasta este una din cele mai folosite modalitati de a sustrage informatii.
O persoana va desfasura o actiune cu o probabilitate mai mare, daca o persoana cu autoritate le-o va cere.
Ex: Experimentul Milgram. Il puteti gasi aici.
Aceasta este una din cele mai folosite modalitati de a sustrage informatii.
O persoana va desfasura o actiune cu o probabilitate mai mare, daca o persoana cu autoritate le-o va cere.
Ex: Experimentul Milgram. Il puteti gasi aici.
VI.Integritate:
Acest idee se refera la inclinatia oamenilor de a rezolva niste task-uri, daca acestea sunt scrise si semnate de catre cineva. Adica vor reactiona la niste task-uri mai repede in scris, decat daca ar fi fost informati prin telefon.
Ex: un angajat este plecat in vacanta, iar atacatorul stie asta. El ar putea trimite mail-uri in numele lui, iar acestea sa fie citite si executate de catre alti oameni in subordinea lui, fara prea multe intrebari.
Acest idee se refera la inclinatia oamenilor de a rezolva niste task-uri, daca acestea sunt scrise si semnate de catre cineva. Adica vor reactiona la niste task-uri mai repede in scris, decat daca ar fi fost informati prin telefon.
Ex: un angajat este plecat in vacanta, iar atacatorul stie asta. El ar putea trimite mail-uri in numele lui, iar acestea sa fie citite si executate de catre alti oameni in subordinea lui, fara prea multe intrebari.
Tehnici de social-engineering:
1.Culegerea de informatii de pe Google.
2.Internet
3.Newsgroups
4.Listari telefonice( Pagini aurii/albe)
5.Google Maps
6. Social/Business Networking Sites ( hi5,facebook,linkdb)
7.Blogs
8.IRC/IM( yahoo,msn)
9.Spionaj
10.Telefon
11. Fata-in-fata
12.Dumpster Diving
13.Phishing
14.Reverse Social Engineering
1.Culegerea de informatii de pe Google.
2.Internet
3.Newsgroups
4.Listari telefonice( Pagini aurii/albe)
5.Google Maps
6. Social/Business Networking Sites ( hi5,facebook,linkdb)
7.Blogs
8.IRC/IM( yahoo,msn)
9.Spionaj
10.Telefon
11. Fata-in-fata
12.Dumpster Diving
13.Phishing
14.Reverse Social Engineering
Unul din scopurile principale al un inginer social este acela de a aflaparole.Acest lucru nu este suprinzator avand in vedere ca parolele sunt cele mai comune metode de autentificare.
FACTS
O organizatie(Infosecurity Europe), a facut un test in 2004 pentru a aflat cat de informati sunt oamenii dintr-o companie in legatura cu confidentialitatea parolelor, care ar furniza informatii ce se gasesc pe PC-ul personal de la firma.
In general ei primeau intrebari de genul “Care este parola dumneavoastra?”
Rezultatele nu s-au lasat asteptate, acestea fiind chiar alarmante :
- 37% din oameni au spus parola, imediat ce au fost intrebati
- 36% au refuzat sa spuna parola, dar cand s-a aplicat o regula simpla de inginerie sociala de genul “Pariez ca are legatura cu copilul tau, sau cu o persoana draga”, aceasta a fost dezvaluita
FACTS
O organizatie(Infosecurity Europe), a facut un test in 2004 pentru a aflat cat de informati sunt oamenii dintr-o companie in legatura cu confidentialitatea parolelor, care ar furniza informatii ce se gasesc pe PC-ul personal de la firma.
In general ei primeau intrebari de genul “Care este parola dumneavoastra?”
Rezultatele nu s-au lasat asteptate, acestea fiind chiar alarmante :
- 37% din oameni au spus parola, imediat ce au fost intrebati
- 36% au refuzat sa spuna parola, dar cand s-a aplicat o regula simpla de inginerie sociala de genul “Pariez ca are legatura cu copilul tau, sau cu o persoana draga”, aceasta a fost dezvaluita
Doar 53% dintre oameni ce au fost supus interviului au spus ca nu si-ar da parola daca ar fi ceruta de un om de la IT.Asta ne arata ca aproape jumate ar pica pentru “Salut, sunt de la Departamentul IT, imi poti comunica parola ca sa rezolv o probleam cu contul tau?”.
- 4 din 10 stiau parolele altor colegi
- 55% au spus ca si-ar comunica parola sefului lor direct(cum am discutat in articolul precedent!!!,aici e strans legatura cu autoritate)
- 2/3 din oameni folosesc aceiasi parola la email, cu cea din firma
- 4 din 10 stiau parolele altor colegi
- 55% au spus ca si-ar comunica parola sefului lor direct(cum am discutat in articolul precedent!!!,aici e strans legatura cu autoritate)
- 2/3 din oameni folosesc aceiasi parola la email, cu cea din firma
In functie de intervalul in care parola este schimbata, s-au gasit urmatoarele:
-51% din parole sunt schimbate lunar
-3% din parole sunt schimbate saptamanal
-2% din parole sunt schimbate zilnic
-10% din parole sunt schimbate la 3 luni
-13% din parole sunt schimbate foarte rar
-20% din parole nu sunt schimbate niciodata
+ cei ce isi schimbau parolele des, le scriau pe un bilet, sau intr-un document word de pe PC.
-51% din parole sunt schimbate lunar
-3% din parole sunt schimbate saptamanal
-2% din parole sunt schimbate zilnic
-10% din parole sunt schimbate la 3 luni
-13% din parole sunt schimbate foarte rar
-20% din parole nu sunt schimbate niciodata
+ cei ce isi schimbau parolele des, le scriau pe un bilet, sau intr-un document word de pe PC.
S-a mai descoperit ca:
-80% din muncitori se saturasera de parole
-92% au spus ca ar prefera ceva bioemtric(dupa amprenta, scannere) pentru autentificare.
-80% din muncitori se saturasera de parole
-92% au spus ca ar prefera ceva bioemtric(dupa amprenta, scannere) pentru autentificare.
Acum sa redau un citat:
“There is no doubt that over time, people are going to rely less and less on passwords.People use the same password on different systems, they write them down and they just don’t meet the challenge for anything you reall want to secure.“(Kotaida 2004)
Faptele prezentate mai sus, ne arata ca, cu cat am incerca sa prevenim atacurile de tip inginerie sociala folosind tehnologii, cu atat vom crea probleme mai mari(gen folosirea de bilete/word pentru stocarea parolelor).
“There is no doubt that over time, people are going to rely less and less on passwords.People use the same password on different systems, they write them down and they just don’t meet the challenge for anything you reall want to secure.“(Kotaida 2004)
Faptele prezentate mai sus, ne arata ca, cu cat am incerca sa prevenim atacurile de tip inginerie sociala folosind tehnologii, cu atat vom crea probleme mai mari(gen folosirea de bilete/word pentru stocarea parolelor).
True Stories:
Un inginer social foarte bine antrenat are posibilitatea sa ajunga acolo unde vrea, nu ma credeti ? Sa va dau un exemplu celebru:
“THE POSTMAN AS SENIOR PHYSICIAN”
Un inginer social foarte bine antrenat are posibilitatea sa ajunga acolo unde vrea, nu ma credeti ? Sa va dau un exemplu celebru:
“THE POSTMAN AS SENIOR PHYSICIAN”
Pe Scurt : Un postas ce a reusit sa lucreze ca “senior physician” timp de 18 luni!A prescris pastile,a tinut seminarii in fata a sute de oameni, a invetat noi terminologii.Nu va vine sa credeti nu?! Uitati-va aici la Link “THE POSTMAN AS SENIOR PHYSICIAN“, iar daca doriti si un interviu cu el, puteti gasi aici.
Cateva chei din reusita lui Gert Postel:
1.Talent actoricesc
2.A invatat jargonul folosit de catre doctori
3.A reusit sa folosesc autoritatea, inventand “boli” noi. Niciun membru nu l-a intrebat nimic,astfel evitand sa arate incompetent.
4.O personalitate foarte atractiva.
1.Talent actoricesc
2.A invatat jargonul folosit de catre doctori
3.A reusit sa folosesc autoritatea, inventand “boli” noi. Niciun membru nu l-a intrebat nimic,astfel evitand sa arate incompetent.
4.O personalitate foarte atractiva.
O alta anecdota are legatura cu politia.Atunci cand Postel a fost demascat a decis sa fuga de arest, dar politia a reusit sa ii gasesca pozitia exacta.Postel i-a “mirosit” si a lipit pe usa un biletel in care zicea ” Dear Simone, I’m with Steffi in Bremen. Will be back in a week. See you ,your .. ”
Postel se uita pe vizor, iar intre el si politie erau doar 10cm, dar politia a decis sa plece, deoarece au hotarat ca el era in Bremen
))( DA! NICI MIE NU MI-A VENIT SA CRED!! ). Acesta fapta poate fi considera ca inginerie sociala prin surpirza, nimeni nu s-ar fi asteptat ca un criminal cautat sa fie asa de impertinent.
Postel se uita pe vizor, iar intre el si politie erau doar 10cm, dar politia a decis sa plece, deoarece au hotarat ca el era in Bremen
))( DA! NICI MIE NU MI-A VENIT SA CRED!! ). Acesta fapta poate fi considera ca inginerie sociala prin surpirza, nimeni nu s-ar fi asteptat ca un criminal cautat sa fie asa de impertinent.
Asa cum zicea si Mitnick:
“Manipulative people usually have very attractive personalities. They are typically fas on their feet and quite articulate”.(Mitnick and Simon 2003)
“Manipulative people usually have very attractive personalities. They are typically fas on their feet and quite articulate”.(Mitnick and Simon 2003)
Niciun comentariu:
Trimiteți un comentariu