Inżynieria socjalna zapomniane bezpieczeństwo Robert 'Shadow' Pająk Andrzej Targosz
Abstrakt Celem prezentacji nie jest nauka sposobów wykorzystania inżynierii socjalnej. W ciągu ostatnich 3 lat napisano bardzo dużo materiałów zgłębiających zasady działania inżynierii socjalnej oraz techniki ataków. Aktualnie nie ma innowacyjnych technik, pojawiają się dodatkowe narzędzia ale to wciąż ta sama stara gra...
Agenda Dlaczego tu jesteśmy? Czym jest inżynieria socjalna? Definicja, Kto i kiedy z niej korzysta? Czy kultura ma znaczenie? Jak to działa? Inżynieria socjalna a hacking. Spektakularne przykłady, Inżynieria socjalna wczoraj, dziś, jutro. Praktyczne przykłady.
. O nas: Robert ' Shadow' Pająk INTERIA.PL S.A. - CSO Członek komisji rewizyjnej ISACA Warsaw Chapter Członek założyciel ISSA Polska OWASP Poland Chapter współtwórca Andrzej Targosz Fundacja Wspierania Edukacji Informatycznej PROIDEA OWASP Poland Chapter Leader CONFidence conference
1.1. Dlaczego się tu spotykamy? Musimy odbudować zaufanie do informatyzacji. Załamanie ekonomiczne w roku 21 jest nieuniknione, a jego skutki będą długotrwałe (wg. badań około 6 lat). Jesteśmy specjalistami, którzy wiedzą jak ważny jest aspekt bezpieczeństwa w systemach informatycznych.
1.2. Kryzys ekonomiczny Prof. Robert E.Litan prowadzi analizy od momentu kryzysu lat 2-22, Think Again: The IT Economy, Pojawiły się już pierwsze artykułu w prestiżowym Foreign Policy, Informacja nie powinna się jeszcze przedostać do mediów, raczej jest kierowana do środowiska, które pełni ważną funkcję w całym systemie budowania zaufania w IT, Wg. Foreign Policy 3/27 bezpośrednim źródłem kryzysu będzie spadek zaufania do informatyki, 225 2 175 15 125 1 75 5 25 2 3 Kryzys ekonomiczny w IT 21-215 2 4 2 5 2 6 2 7 2 8 2 9 2 1 2 1 1 2 1 2 2 1 3 2 1 4 2 1 5 2 1 6 2 1 7 Kryzys %
1.3. Źródła kryzysu Wojna i lenistwo stymulują postęp, Po wyborach w 28 roku rozpocznie się nowy etap wojny gospodarczej między USA Rosja (UE zostane neutralna), Po trudnej 'wygranej' USA do ofensywy przystąpią giganci Azji Chiny i Indie, Inny wymiar wojny cyberwojna, Spadek zaufania do wykorzystanie IT w medycynie, finansach, komunikacji.
1.4. Wspólna praca u podstaw. Wypracowanie mechanizmów działania prewencyjnego, Inżynieria socjalna jest jednym z najlepszych sposobów na odbudowę zaufania.
2.1. Przykład mistyfikacji. Wg. badań przeprowadzonych w roku 25 okazuje się, że ludzie inteligentni, czyli obdarzeni IQ powyżej 12 patrząc przez 5 sekund na czarne kółko widzą delikatną, czerwoną poświatę wokół niego. Co jest powodem takiego zjawiska? Przebieg informacji między neuronami w mózgu jest szybszy.
2.2. Badania I
2.3. Siedmioletnie badania prowadzone przez Zespół prof. Nickersona z Uniwersytetu Stanowego w Ohio Badania pokazały, że wśród kadry kierowniczej 79% osób widzi poświatę, a 21% nie widzi. Te same badania na próbce robotników pokazały, że 29% osób widzi poświatę, a 71% osób jej nie widzi. Autorzy badań wysuwają następujący wniosek: Co piąta osoba piastująca kierownicze stanowisko jest 'mistyfikatorem' Swoją metodę wstępnej oceny ilorazu inteligencji prof. Nickerson nazwał Visual IQ System i zaproponował do wstępnej oceny inteligencji kandydatów na doktorantów uczelni. Udział procentowy Badanie porównawcze kadry zarządzającej i robotników - kwiecień 25 1 9 8 7 6 5 4 3 2 1 Kadra zarządzająca Robotnicy Widzący poświatę Nie widzący poświaty
2.4. Badania III Pracownicy Bristol University prof. Linda Emmerson i Michael Ferstein (jeden z najbardziej uznanych ośrodków socjologicznych na świecie) zaczeły badać grupę dzieci do lat 6 i okazało się, że wszystkie widzą poświatę, U 79% badanych zjawisko zanikło po pierwszym roku nauki! Tylko wybitne jednostki, takie jak my, nie dały sobie narzucić schematycznej percepcji rzeczywistości
Kto z Państwa nie widzi czerwonej poświaty?
2.5. Inżynieria socjalna Inżynieria socjalna (SE social engineering) to zestaw reguł, zasad funkcjonowania w środowisku, który umożliwia manipulowanie ludzkim zachowaniem. W szczególności chodzi o uzyskanie nieautoryzowanych informacji. Nie jest to nowa dziedzina tylko dobrze zbadana wiedza, z której korzystamy.
2.6. Kto korzysta z inżynierii socjalnej Politycy, Sprzedawcy, Prawnicy, Szpiedzy przemysłowi, Aktorzy, Hakerzy, phisherzy, playboys, Każdy z nas (w naszych kontaktach osobistych i biznesowych żona, dzieci, koledzy i koleżanki, przełożeni).
2.7. Myśl inaczej! Slajdy następne wyjaśniają zasadę Inżynierii Socjalnej, która polega na bardzo prostej zasadzie: Rożne ścieżki do celu Różne sposoby myślenia
2.8. Naucz sie myśleć (z OSSTMM) Lista 1 dróg zgaszenia światła Wyłącz przełącznik Rozbij żarówkę Wyrwij kable Zrób przeciążenie Odetnij elektryczność z pokoju Dodaj jaśniejsze źródło światła w pokoju Poczekaj aż żarówka się spali Poproś kogoś o wyłączenie światła Owin żarówkę koszulą Zamknij oczy
2.9. Hakerzy/Profesjonaliści Wygląd i sposób ubioru? Wygląd komputerów? Otaczający chaos?
2.1. Różnica? Różnica jest tylko w naszych umysłach, w wizerunku wykreowanym przez media. To są Ci sami ludzie, z którymi pijecie kawę, rozmawiacie w pociągach/samolotach, pracujecie we wspólnej firmie...
2.11. Hackers profile Projekt realizowany przez Raoula Chiesa, Hackerzy są przedstawiani jako 'nerdzi', nie mogące zdobyć dziewczyny, nie znające zasad języka polskiego, Nic bardziej mylnego!
2.12. Statystyka Jakiej odpowiedzi spodziewalibyście się Państwo po zadaniu poniższego pytania 5 losowo wybranym osobom? Skąd spodziewasz się następnego ataku na infrastrukturę IT? Jaka będzie odpowiedź?
2.13. Internet! Odpowiedź bazuje na klasycznym opisie hakera, siedzącego w ciemnym pokoju, otoczonym gadżetami techniki, pustymi pudełkami pizzy, brudnymi kubkami po kawie, piszącego z uśmiechem tajemnicze znaczki na ciemnej konsoli. Czy taka osoba może rozmawiać z nami bez skrępowania przez telefon? Pić kawę/drinka z jednym z naszych pracowników?
2.14. Rzeczywistość I Oczywiście, że tak! Nawet częściej niż nam sie wydaje. Dlaczego mówiąc o bezpieczeństwie środowiska IT najczęściej mówimy o: Firewall, IDS, Systemie kontroli dostępu, Podpisie cyfrowym.
2.15. Rzeczywistość II o czym zapominamy... Nie informujemy wszystkich pracowników jak chronić się przed atakami, jak rozpoznać zagrożenia. Nie szkolimy pracowników z zakresu uświadamiania o bezpieczeństwie. Nie testujemy stanu wiedzy naszej kadry.
2.16. Kulturowe aspekty inżynierii socjalnej. Niezwykle istotny wpływ na naszą podatność ma nasza historia, doświadczenia. Spadek komunizmu: Brak zaufania, Zachwyt 'zachodem', Kartki i inne kombinacje...
2.17. Spadek komunizmu. Czy z braku zaufania jesteśmy bardziej odporni na ataki inżynierii socjalnej? Jak sprawdzają się w Polsce mechanizmy funkcjonujące w korporacjach/sektach?
2.18. Jak to działa? Inżynieria socjalna działa w oparciu o: Nature ludzką, która dąży do zaufania, ludzie wierzą w to co się im mówi: Reguła wzajemności, Reguła kontrastu, Reguła konsekwencji, Reguła społecznego dowodu słuszności,... Komputer przechowuje dane ale człowiek nim zarządza kto jest lepszym kandydatem na cel ataku?
3.1. Inżynieria socjalna Narzędzia: Telefony, Zdjęcia, efekty audio, software, Łącza internetowe najlepiej anonimowe, Notatki. Umiejętności: Znajomość psychologii, Zaplecze aktorskie (niekoniecznie zawodowe), Slang. DNA: Analityczne myślenie, 'Kontakty'.
3.2. Narzędzia. Większość ogólnie dostępna: Skaner, Dobrej jakości drukarka kolorowa, Oprogramowanie do obróbki grafiki, Laminarka, Faks, telefon, Kamery, MP3, Aparat cyfrowy.
3.3. Umiejętności. Samokontrola i podstawy psychologii, Głos, Łatwość adaptacja slangu i nawyków językowych.
3.4. DNA Analityczne myślenie: Szczegółowe rozpracowanie ofiary, Analiza środowiska, Umiejętność odgrywania ról. Kontakty: Nie wszystko można zrobić samemu...
3.5. Dlaczego atakujący może wybrać SE? Aspekt finansowo-ekonomiczny, Mało kto się spodziewa ataku od tej strony, Wg. badań przeprowadzonych przez @mediservice.net: Atakowanie za pomocą inżynierii socjalnej daje 1% szanse przełamania zabezpieczeń, Atak przez aplikacje web daje około 8% szans aplikacja może być dobrze napisana, % przedsiębiorstw ma w pełni bezpieczne systemy.
3.6. Inżynieria socjalna a hacking słynne wydarzenia Kevin 'The Condor' Mitnick, Anthony Zboralski bezpłatne korzystanie z centrali FBI, I wiele, wiele innych...
4.1. Inżynieria socjalna dziś i jutro Phishing, Vishing (VoIP spoofing), Zmanipulowane audio + wideo, Internet HotSpot, Wardriving, CRM, Blogi.
4.2. Bezpieczeństwo się zmienia... Co jest podstawą Twojego biznesu? Czy chcesz coś chronić, czy możesz zmierzyć wartość chronioną? Do czego wykorzystujesz komputery i sprzęt w firmie? *idea form Raoul Chiesa project
5.1. Praktyczne przykłady zanim zaczniemy. Testy penetracjne to nie forma brutalnych ataków! Po latach chaosu zostały wypracowane pewne zasady, OSSTMM (Open Source Security Testing Metodology Manual) jest kompletnym rozwiązaniem do takich zadań metodologia opisuje mechanizmy testowania od ochrony do komunikacji mobilnej.
5.2. Testy penetracyjne. Klienci nie zawsze widzą różnicę miedzy testem penetracyjnym a audytem, Na początku realizacji testu nie znamy 'zasad gry', Czasami trudno porównać dwie oferty spełniające warunki przetargowe, Najczęstsze pytanie: Po co nam ten test jesteśmy dobrze zabezpieczeni?
5.3. Testy penetracyjne. Musimy posiadać pełną zgodę osób decyzyjnych, Wiele pomysłów na atak musi zostać wykluczona: Nielegalne, Mogą wstrzymać pracę, Wiele usług może być outsourcowanych. Powołuj się na: OWASP Testing Guide, OSSTMM by ISECOM, NIST, Inne standardy.
5.4. Przygotowanie ataku. Dokładne zdefiniowanie celu: Wybranie celu, Plan ataku, Budowa siatki powiązań, Budowa charakterystki celu (język, upodobania). Sukcesywne realizowanie planu: Nawiązanie relacji z celem, Dokładne przestrzeganie 'reguł gry'.
5.5. Źródła informacji. Internet DNS, Strona WWW (klienci, partnerzy, wykonawcy, kadra), Powiązania finansowe, Strony osobiste, blogi, listy mailingowe. Niespodziewana wsparcie: Gadżety (od MP3 po notebooki i samochody), Śmieci. Wyobraźnia!
5.6. Case 1 Prywatna uczelnia Ustalenie nazwy firmy wykonującej remonty, instalacje teleinformatyczne, Uzyskanie kopii systemu na potrzeby administracji, Łatwe ustalenie wolnych, trudno dostępnych gniazd RJ45, Podłączenie routera WiFi.
5.7. Case 2 Party time attack Na nośniku umieszczone zdjęcia z imprezy integracyjnej wraz z trojanem, Może to być również PenDrive firmowy, Dostęp do infrastruktury wewnętrznej firmy.
5.8. Case 3 Dział techniczny Odzież na zamówienie, Skrzynki narzędziowe, Dziękujemy firmom produkującym gadżety reklamowe
5.9. Jak przeciwdziałać. Informować pracowników poprzez akcje uświadamiające, Bezpieczeństwo powinno być ich problemem, a nie tylko firmy, Ciągła edukacja, Pracownicy powinni umieć powiedzieć NIE jeden niezadowolony klient jest lepszy niż nieocenione straty spowodowane włamaniem.
Pytania? Dziękujemy za uwagę!