Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Transkrypt

1 Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić? Spotkanie ISSA Polska Michał Kurek 26 listopad 2008

2 Plan prezentacji Ataki socjotechniczne prawda czy fikcja? Statystyki Analiza podatności Typy ataków Demonstracja Jak się przed nimi bronić? "Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności" Albert Einstein Strona 2

3 Ataki socjotechniczne prawda czy fikcja? Strona 3

4 Człowiek najsłabsze ogniwo systemu zabezpieczeń Najczęściej wykorzystywanym mechanizmem prowadzącym do udanego przestępstwa komputerowego są techniki inżynierii społecznej (45%)* 69% zarejestrowanych incydentów bezpieczeństwa pochodzi z zewnątrz organizacji* Świadomość pracowników w obszarze bezpieczeństwa informacji została przez 50% respondentów oceniona jako największy problem związany ze skuteczną ochroną informacji** * Źródło: 2007 E-Crime Watch Survey Carnegie Mellon University ** Źródło: 2008 Ernst & Young Global Information Security Survey Strona 4

5 Podatność na ataki socjotechniczne Człowiek jest z natury podatny na manipulację Ludzie chcą: być postrzegani jako sympatyczni i pomocni unikać sytuacji problemowych Najczęściej wykorzystywane reguły psychologiczne: autorytetu lubienia i sympatii zaangażowania i konsekwencji niedostępności wzajemności kontrastu społecznego dowodu słuszności Strona 5

6 Rodzaje ataków socjotechnicznych Rodzaje ataków socjotechnicznych bezpośrednia prośba zmyślona sytuacja odwrócony atak socjotechniczny Możliwość wsparcia ataków technologią informatyczną wiadomości strony internetowe przenośne nośniki danych nieautoryzowane oprogramowanie Strona 6

7 Podejście do ataku socjotechnicznego Gromadzenie informacji na temat celu ataku Internet kosze na śmieci (tzw. dumpster diving ) rozmowy w pobliskich kawiarniach i barach książki telefoniczne obserwacja Identyfikacja podatności ułatwiających atak Wybór metody ataku Przeprowadzenie ataku Strona 7

8 Opis demonstrowanego ataku Cel uruchomienie na komputerze ofiary dowolnego programu wykonywalnego Charakterystyka ataku atak zewnętrzny wykorzystanie technik inżynierii społecznej Wykorzystywane podatności człowiek najsłabsze ogniwo systemu bezpieczeństwa słabości protokołu SMTP podatność Internet Explorer na atak What a Drag II Strona 8

9 Opis demonstrowanego ataku Wysłanie wiadomości ze sfałszowanym adresem nadawcy Otworzenie wiadomości i wybór link u Pobranie strony WWW Zainstalowanie nieautoryzowanego oprogramowania w startup ie podczas przeglądu strony WWW Restart komputera i uruchomienie nieautoryzowanego oprogramowania Uzyskanie nieautoryzowanego dostępu Strona 9

10 Demonstracja

11 Ochrona przed atakami socjotechnicznymi Budowanie świadomości pracowników w obszarze bezpieczeństwa programy szkoleń niezależne testy Wsparcie technologiczne nagrywanie rozmów i rejestrowanie numerów efektywne mechanizmy bezpieczeństwa fizycznego kontrola udostępniania informacji na zewnątrz ochrona stacji roboczych ograniczenie uprawnień użytkowników do wymaganego minimum ograniczenie dostępu do zasobów sieci publicznych Zasady i reguły zdefiniowane w polityce bezpieczeństwa informacji Proces reagowania na incydenty bezpieczeństwa Strona 11

12 Czas na dyskusję

13 Ernst & Young Rondo ONZ Warszawa Tel.: +48 (22) Fax: +48 (22) Michał Kurek Manager michal.kurek@pl.ey.com Tel.: Fax: Ernst & Young Wszelkie prawa zastrzeżone Ernst & Young jest zarejestrowanym znakiem towarowym