ROZDZIAŁ 14. Badanie efektywności ataków socjotechnicznych w jednostkach samorządu terytorialnego



Podobne dokumenty
Poniżej instrukcja użytkowania platformy

Wyzwania bezpieczeństwa nowoczesnych platform nauczania zdalnego

Microsoft Windows GDI

PROGRAM SZKOLENIA W ZAKRESIE BEZPIECZEŃSTWA I HIGIENY PRACY

Przykłady wybranych fragmentów prac egzaminacyjnych z komentarzami Technik górnictwa podziemnego 311[15] Zadanie egzaminacyjne 1

z dnia 6 lutego 2009 r.

ANALIZA PODATNOŚCI NA ATAKI SOCJOTECHNICZNE W JEDNOSTCE SAMORZĄDU TERYTORIALNEGO

INSTRUKCJA WebPTB 1.0

KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, ROZDZIAŁ 1

elektroniczna Platforma Usług Administracji Publicznej

Sieci komputerowe cel

Chmura obliczeniowa. do przechowywania plików online. Anna Walkowiak CEN Koszalin

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Instrukcja Obsługi STRONA PODMIOTOWA BIP

DZIAŁANIA WSPIERAJĄCE - KOLNO. Strategia Rozwiązywania Problemów Społecznych / Działania na Rzecz ES w gminie Kolno

1.5. Program szkolenia wstępnego. Lp. Temat szkolenia Liczba godzin

Regulamin serwisu internetowego ramowka.fm

Sieci komputerowe. Definicja. Elementy

INSTRUKCJA RUCHU I EKSPLOATACJI SIECI DYSTRYBUCYJNEJ

Technologie internetowe Internet technologies Forma studiów: Stacjonarne Poziom kwalifikacji: I stopnia. Liczba godzin/tydzień: 2W, 2L

PROCEDURA PRZEGLĄDU I MONITORINGU KODEKSU ETYCZNEGO PRACOWNIKÓW POWIATOWEGO CENTRUM POMOCY RODZINIE W KOŁOBRZEGU

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

Instrukcja procesu aktywacji oraz obsługi systemu Banku Internetowego dla BS Mikołajki

ZAKRES OBOWIĄZKÓW I UPRAWNIEŃ PRACODAWCY, PRACOWNIKÓW ORAZ POSZCZEGÓLNYCH JEDNOSTEK ORGANIZACYJNYCH ZAKŁADU PRACY

Umowa o powierzanie przetwarzania danych osobowych

MySource Matrix CMS - PROSTY INTERFEJS UŻYTKOWNIKA. INSTRUKCJA ver 1.2

ZARZĄDZENIE NR 243/2007 PREZYDENTA MIASTA KRAKOWA Z DNIA 7 lutego 2007 roku

Audyt SEO. Elementy oraz proces przygotowania audytu. strona

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

WYMAGANIA EDUKACYJNE SPOSOBY SPRAWDZANIA POSTĘPÓW UCZNIÓW WARUNKI I TRYB UZYSKANIA WYŻSZEJ NIŻ PRZEWIDYWANA OCENY ŚRÓDROCZNEJ I ROCZNEJ

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

Opis zmian funkcjonalności platformy E-GIODO wprowadzonych w związku z wprowadzeniem możliwości wysyłania wniosków bez podpisu elektronicznego

KONCEPCJA NAUCZANIA PRZEDMIOTU RACHUNKOWOŚĆ SKOMPUTERYZOWANA" NA WYDZIALE ZARZĄDZANIA UNIWERSYTETU GDAŃSKIEGO

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

Opis przedmiotu zamówienia dla części 1 oraz dla części 2 zamówienia. Załącznik nr 1 do SIWZ

Regu g l u a l min i n w s w pó p ł ó p ł r p acy O ow o iązuje od dnia

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Podstawa programowa kształcenia ogólnego informatyki w gimnazjum

ZAPYTANIE OFERTOWE. Tel/FAKS w46 ; Ogłoszenie na stronie internetowej

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

OPIS PRZEDMIOTU ZAMÓWIENIA DO ZAPYTANIA KE1/POIG 8.2/13

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

Zasady przyjęć do klas I w gimnazjach prowadzonych przez m.st. Warszawę

Konfiguracja przeglądarek internetowych oraz Panelu Java dla klientów instutucjonalnych problemy z apletem do logowania/autoryzacji

Komputer i urządzenia z nim współpracujące

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Seria P-662HW-Dx. Bezprzewodowy modem ADSL2+ z routerem. Skrócona instrukcja obsługi

współadministrator danych osobowych, pytania i indywidualne konsultacje.

PRZETWARZANIE DANYCH OSOBOWYCH

I.1.1. Technik organizacji usług gastronomicznych 341[07]

PILNE Informacje dotyczące bezpieczeństwa Aparat ultrasonograficzny AFFINITI 70 firmy Philips

I.1.1. Technik spedytor 342[02]

Raport z przeprowadzenia ankiety dotyczącej oceny pracy dziekanatu POLITECHNIKA CZĘSTOCHOWSKA. WYDZIAŁ INŻYNIERII MECHANICZNEJ i INFORMATYKI

INSTRUKCJA TESTOWANIA USŁUG NA PLATFORMIE ELA-ENT

Tomice, dnia 15 lutego 2012 r.

RAPORT Z EWALUACJI WEWNĘTRZNEJ. Młodzieżowego Domu Kultury w Puławach W ROKU SZKOLNYM 2014/2015. Zarządzanie placówką służy jej rozwojowi.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

Postanowienia ogólne. Usługodawcy oraz prawa do Witryn internetowych lub Aplikacji internetowych

1. Od kiedy i gdzie należy złożyć wniosek?

Warunki Oferty PrOmOcyjnej usługi z ulgą

Efektywna strategia sprzedaży

ZAPYTANIE OFERTOWE NR 23/2014

W tym elemencie większość zdających nie zapisywała za pomocą równania reakcji procesu zobojętniania tlenku sodu mianowanym roztworem kwasu solnego.

Politechnika Warszawska Wydział Matematyki i Nauk Informacyjnych ul. Koszykowa 75, Warszawa

Nadzór nad systemami zarządzania w transporcie kolejowym

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

- o zmianie o Krajowym Rejestrze Sądowym

db powernet Instalacja czytnika kart mikroprocesorowych (instrukcja)

Ogólnopolska konferencja Świadectwa charakterystyki energetycznej dla budynków komunalnych. Oświetlenie publiczne. Kraków, 27 września 2010 r.

Sieć komputerowa grupa komputerów lub innych urządzeo połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

REGULAMIN INTERNETOWEJ OBSŁUGI KLIENTA

W nawiązaniu do korespondencji z lat ubiegłych, dotyczącej stworzenia szerszych

Automatyczne przetwarzanie recenzji konsumenckich dla oceny użyteczności produktów i usług

FORMULARZ ZGŁOSZENIOWY DO UDZIAŁU W PROJEKCIE AKADEMIA LIDERA HANDLU. I. Informacje Podstawowe:

Regulamin oferty Taniej z Energą

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

Załącznik nr 8. Warunki i obsługa gwarancyjna

Zobacz to na własne oczy. Przyszłość już tu jest dzięki rozwiązaniu Cisco TelePresence.

Tychy, r. ZAPYTANIE OFERTOWE

CENTRUM BADANIA OPINII SPOŁECZNEJ

INSTRUKCJA OBSŁUGI URZĄDZENIA: HC8201

Oświadczenie o stanie kontroli zarz ądczej Starosty Powiatu Radomszcza ńskiego za rok 2014

Szkoła Podstawowa nr 1 w Sanoku. Raport z ewaluacji wewnętrznej

Od redakcji. Symbolem oznaczono zadania wykraczające poza zakres materiału omówionego w podręczniku Fizyka z plusem cz. 2.

Sprawozdanie z ankiety Uczelni Zachodniopomorskiego Uniwersytetu Technologicznego w Szczecinie w roku akademickim 2012/2013

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

oraz nowego średniego samochodu ratowniczo-gaśniczego ze sprzętem ratowniczogaśniczym

Gdynia: Księgowość od podstaw Numer ogłoszenia: ; data zamieszczenia: OGŁOSZENIE O ZAMÓWIENIU - usługi

Procedura weryfikacji badania czasu przebiegu 1 paczek pocztowych

Bazy danych. Andrzej Łachwa, UJ, /15

Regulamin Pracy Komisji Rekrutacyjnej w Publicznym Przedszkolu Nr 5 w Kozienicach

Standard aplikacji WWW Urzędu Miasta Olsztyna

INSTRUKCJE DLA UśYTKOWNIKÓW STREFY KLIENTA NA PORTALU INTERNETOWYM

Konspekt lekcji otwartej

STATUT POLSKIEGO STOWARZYSZENIA DYREKTORÓW SZPITALI W KRAKOWIE. Rozdział I

Rozdział 6. KONTROLE I SANKCJE

Przewodnik AirPrint. Ten dokument obowiązuje dla modeli atramentowych. Wersja A POL

Szkolenie instruktorów nauki jazdy Postanowienia wstępne

Transkrypt:

ROZDZIAŁ 14 Badanie efektywności ataków socjotechnicznych w jednostkach samorządu terytorialnego Mariusz NYCZ, Bartosz MICHNO, Rafał MLICKI Politechnika Rzeszowska MNycz@prz.edu.pl, BMichno91@gmail.com, RMlicki@stud.prz.edu.pl Streszczenie W rozdziale przedstawiono analizę podatności na ataki socjotechniczne w lokalnej siedzibie samorządu terytorialnego. Autorzy rozpoczynają rozdział od wprowadzenia w zagadnienia związane z socjotechniką i ich wpływ na bezpieczeństwo informacyjne. W kolejnych paragrafach zaprezentowano metodykę badań określenia podatności na ataki socjotechniczne. Badania bazują na testach penetracyjnych i ankiecie, w której poruszono problemy bezpieczeństwa informacji na poziomie zarówno podstawowym jak i bardziej rozbudowanym. Wyniki ankiety dały podstawy do zbudowania przybliżonych profili ankietowanych wraz z poziomem ich podatności na określone zagrożenia socjotechniczne. W celu porównania wyników, przeprowadzono również badania na innej grupie użytkowników. Ze względów bezpieczeństwa ankieta oraz jej bezpośrednie wyniki nie będą ujawniane. 1. Wprowadzenie Socjotechnika moz e miec wiele ro z nych definicji w zalez nos ci od ksiąz ki, kto ra ją opisuje lub osoby z kto rą prowadzi się rozmowę. Definicja, kto rą moz na znalez c w słowniku Oxfordu brzmi: Zastosowanie zasad socjologicznych do konkretnych problemów społecznych Pomimo, z e porusza istotną częs c, definicja ta jest daleka od trafnego wytłumaczenia czym wspo łczes nie jest socjotechnika. Inna definicja głosi: Sztuka celowego manipulowania zachowaniem przy użyciu specjalnie stworzonych technik komunikacji. Ta definicja ogranicza socjotechnikę do absolutnych podstaw wykorzystujących komunikację we wszystkich moz liwych formach w celu wykorzystania czynnika ludzkiego. Gdziekolwiek zachodzi interakcja, tam występuje potencjał dla socjotechniki. Socjotechnika więc liczy sobie tyle samo lat co komunikacja. Instytut SANS zaproponował bardziej poprawną definicję:

146 M. Nycz, B. Michno, R. Mlicki Socjotechnika to sztuka wykorzystania ludzkich zachowań do złamania zabezpieczeń bez spostrzeżenia przez uczestnika (lub ofiarę), że zostali oni zmanipulowani. Waz ną częs cią tej definicji jest kontekst, w jakim pojęcie to jest stosowane. Socjotechnikę moz na zdefiniowac jako techniki stosowane do uzyskania informacji lub manipulowania zachowaniem lecz nie ma to odniesienia w konteks cie bezpieczen stwa informacji. Jes li chodzi o zabezpieczenie waz nych firmowych danych socjotechnika staje się: Sztuka pozyskiwania wrażliwych informacji i/lub manipulacji osób w określony sposób mający na celu złamanie zabezpieczeń. Moz na się sprzeczac, z e pozyskiwanie wraz liwych informacji samo w sobie jest złamaniem zabezpieczen lecz w definicji chodzi np. o włamanie do sieci, złamanie fizycznych zabezpieczen lub obie sytuacje naraz. Zauwaz ając, z e w poprzedniej definicji uz yto słowa sztuka, moz na zadac pytanie: czy socjotechnika jest formą sztuki? Według autoro w [1], odpowiedz brzmi tak. Socjotechnika nie jest do kon ca nauką i często występuje w niej kreatywne mys lenie. Socjotechnika nie moz e byc zredukowana jednak do prostego okres lenia: jeśli zestaw akcji A, to potem B. Techniki socjotechniczne mają na celu wykorzystanie luk raczej w ludzkiej naturze, a nie w systemach komputerowych. W wielu artykułach o bezpieczen stwie lub nawet w powies ciach uz ywano okres len human hacking lub hacking wetware. Osoba uz ywająca metod socjotechnicznych uz ywa niezliczonych technik w celu manipulacji do swoich celo w, od wywierania wpływu na ludzkie emocje az po logicznie sformułowaną strukturę ataku i dostosowywanie się pod daną osobowos c. Jednakz e socjotechnika nie ogranicza się do tricko w psychologicznych. Atakujący moz e stwarzac całe scenariusze, kto rymi będzie podpierał swoje akcje. Scenariusze te mogą byc dzielone na wiele następujących po sobie etapo w [1]. Moz liwe, z e jednymi z oso b najlepiej stosujących socjotechnikę są sprzedawcy handlowi. Przeciętny handlowiec ma jeden cel: sprzedac produkt lub usługę klientowi. W osiągnięciu celu sprzedawca nie zadaje klientowi prostych pytan, czy chciałby cos kupic, a raczej wykorzysta wszystkie moz liwe opcje aby wpłynąc na jego decyzję. Dobrym przykładem moz e byc uz ycie otwartych pytan zamiast zamkniętych, kto re kon cząc się prostymi odpowiedziami tak lub nie. Dla przykładu, sprzedawca moz e zapytac : Jaką ilość chciałby Pan zakupić? zamiast Czy chciałby coś Pan zakupić? lub Jak mogę panu pomóc? zamiast Czy mogę Panu pomóc?. Istnieją nawet modele i metodologie skupione wyłącznie na obejs ciu zastrzez en klienta przy zakupie. Najlepsi sprzedawcy uwaz nie przestudiują wymagania klienta i jego samego, znajdując wspo lne tematy do rozmowy. Powołując się na np. sukcesy w grze w tenisa, moz na zdobyc zaufanie klienta, kto ry ro wniez obraca się woko ł tego sportu. Taki wstępny rekonesans wygląda tak samo w przypadku ataku socjotechnicznego: profilowany jest np. zakres działalnos ci firmy lub pro-

Badanie efektywności ataków socjotechnicznych w jednostkach samorządu 147 wadzone przez nią badania. Atakujący stara się zebrac jak najwięcej informacji. Kaz dy strzępek zwiększa szansę na powodzenie ataku. Dodatkowo atakujący moz e przypisywac sobie fałszywą toz samos c przez podszywanie się pod inną osobę moz e zdobywac pewne informacje do swoich celo w. Handlowiec z poprzedniego przykładu, moz e wykonac bezpos redni telefon do odpowiedniego działu firmy i podac się za jednego z pracowniko w. Uzyskane stąd informacje pozwolą na stworzenie punktu zaczepienia w jego procesie sprzedaz y. Osoba korzystająca z metod socjotechnicznych ro wniez skontaktuje się z firmą. Jedyną ro z nicą między handlowcem a nim jest cel zdobycia tych informacji atakujący uz yje ich do stworzenia metody socjotechnicznego ataku na daną firmę. Stąd moz na powiedziec, z e to handlowiec stanowi najlepszego inz yniera społecznego, ze swoją naturalną pewnos cią siebie, pozytywnym nastawieniem i dos wiadczeniem w wywieraniu wpływo w. Ich celem jest sprzedanie produktu lub pomysłu. Jes li jednak koncept zmienia się ze sprzedawania na podawanie swojego hasła, lepiej miec się na bacznos ci [1], [2], [3]. Obecnie ataki wykorzystujące socjotechnikę stają się coraz popularniejsze. Według firmy Check Point Software Technologies, 32% odpowiadających na sondaz stwierdziło, z e byli s wiadkami około 25 atako w socjotechnicznych [4]. W Verizon Data Breach Investigations Report za 2013 rok, socjotechnika stanowiła az 29% wszystkich właman. Z tych atako w metody typu phishing stanowiły az 71%. Jest to czterokrotny wzrost w poro wnaniu do roku 2012 [5]. 2. Typy ataków socjotechnicznych W socjotechnice występuje wiele ro z nych typo w atako w. W zalez nos ci od potrzeby typy atako w mogą byc kreowane na biez ąco, ulepszane bądz tez łączone ze sobą. Jednak większos c z nich bazuje na znanych popularnych typach. Oto niekto - re z nich: Kradzież urządzeń mobilnych. Najstarszy typ ataku. W czasach, gdy urządzenia przenos ne nabierają coraz większego znaczenia i stają się coraz bardziej popularne, ten typ ataku okazuje się byc jednym z najbardziej skutecznych. Prawdopodobien stwo sukcesu ros nie w firmach, gdzie wdroz ona jest polityka BYOD. Shoulder-surfing. Najprostszy typ ataku. Atakujący stara się monitorowac fizyczną aktywnos c uz ytkownika i jego urządzenia. Atakujący moz e monitorowac ekran, klawiaturę lub ruchy rąk w celu przechwycenia prywatnych informacji. Monitorowanie sieci. Monitorowanie sieci moz e ukazac typy usług najczęs ciej uz ywane przez uz ytkowniko w. Poprzez ich identyfikację atakujący moz e rozpocząc rekonesans zabezpieczen danej usługi i przeprowadzic ewentualny atak. Digital dumpster diving. Co raz kro tszy czas z ycia urządzen elektronicznych z racji postępującego rozwoju technologii sprawia, z e przestarzałe urządzenia

148 M. Nycz, B. Michno, R. Mlicki w składowiskach np. elektros mieci mogą miec pozostawione w swojej pamięci prywatne i poufne dane. Phishing. Przewaz nie związany z fałszywymi stronami oraz wiadomos ciami e-mail. W przypadku fałszywych wiadomos ci e-mail, atakujący uz ywa nieprawdziwej toz samos ci internetowej w celu oszukania odbiorcy [1], [6]. 3. Metodyka badań Badania zostały podzielone na dwie częs ci. W pierwszej uz ytkownicy wypełnili ankietę, na podstawie kto rej zostały wytypowane trzy kilkuosobowe grupy biorące udział w testach penetracyjnych z wykorzystaniem narzędzia Social Engineering Toolkit. Kryterium podziału na grup był stopien bezpieczen stwa okres lony dla badanych uz ytkowniko w. Powstała więc grupa o niskim, s rednim i wysokim stopniu bezpieczen stwa. Pozwoliło to zbadac wpływ wiedzy teoretycznej na faktyczny stopien podatnos ci na ataki socjotechniczne. Dla poro wnania wyniko w ankietę przeprowadzono ro wniez w sieci bezprzewodowej firmy PowerNet. Badanie było całkowicie anonimowe. 4. Ankieta Ankieta została umieszczona na specjalnej witrynie przeznaczonej do ankietowania uz ytkowniko w. Znajdowała się ona pod prywatnym linkiem URL, niedostępnym z poziomu publicznego dla wyszukiwarek i uz ytkowniko w nieznających pełnego adresu. Ankietowani odpowiadali na ponad 20 pytan. Niekto re z nich miały charakter pouczający, sugerujący prawidłową odpowiedz. Pytania te były nieliczne i znajdowały się na kon cu ankiety. Pytania wstępne zawierały podstawowy zestaw typowej ankiety dotyczącej temato w informatycznych. Pytano w niej o system operacyjny oraz rodzaj uz ywanej przeglądarki internetowej. Poniz ej znajdują się cechy ankiety przedstawione na wykresach. Ankieta - typy pytań 15% 5% 20% 60% Informacyjne Phishing Hasła Pouczające Rys. 1. Procentowy udział pytań w ankiecie

Procentowy udział poprawnych odpowiedzi Badanie efektywności ataków socjotechnicznych w jednostkach samorządu 149 Wyniki ankiet przedstawione na rys. 2, jednoznacznie informują, z e poziom wiedzy w przypadku pracowniko w samorządo w jest nieznacznie większy w poro wnaniu z uz ytkownikami domowymi. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Informacyjne Phishing Hasła Pouczające JST PowerNet Rys. 2. Prezentacja wyników ankiety dla Jednostek Samorządu Terytorialnego (JST) i użytkowników bezprzewodowej sieci PowerNet 5. Testy penetracyjne Testy penetracyjne są obecnie jedną z najskuteczniejszych metod weryfikowania zabezpieczen, w kto rym testujący przeprowadzają symulowane ataki realizowane w czasie rzeczywistym. Uzyskane informacje pozwalają okres lic, kto re elementy systemu są podatne na ataki stosowane powszechnie przez napastniko w. Testowanie zostało przeprowadzone na wyselekcjonowanej grupie respondento w. Selekcja została przeprowadzona na podstawie wyniko w ankiety, z kto - rej wyłoniono 15 oso b i przydzielono je do trzech grup z wynikami odpowiednio: poniz ej 40% poprawnych odpowiedzi (niski poziom odpornos ci), od 41% do 70% (s redni poziom odpornos ci), powyz ej 70% (wysoki poziom odpornos ci). Przynalez nos c do poszczego lnych grup w jednostce samorządu terytorialnego oraz lokalnego operatora internetowego, ilustruje poniz szy wykres:

Procentowy udział poprawnych odpowiedzi 150 M. Nycz, B. Michno, R. Mlicki 70% 60% 50% 40% 30% 20% 10% 0% Niski Średni Wysoki JST PowerNet Rys. 3. Klasyfikacja poziomów dla JST i użytkowników sieci PowerNet Testy zostały przeprowadzone przez administratoro w w badanych jednostkach zgodnie z uprzednio przygotowaną instrukcją oraz oprogramowaniem. Poszczego lne składniki testo w to: 1. Exploit związany z przestarzałą i nieaktualną wersją s rodowiska Java, zainstalowanego na komputerze z systemem Windows; 2. Wiadomos ci e-mail korzystające z fałszywej toz samos ci bądz wykorzystujące załącznik ze złos liwą zawartos cią; 3. Strona internetowa podszywająca się pod znany portal internetowy, przesyłająca wpisane pos wiadczenia uz ytkowniko w; 4. Wykorzystanie luki w starej wersji przeglądarki Internet Explorer, 5. Opis rozmowy telefonicznej wyłudzającej informacje; 6. Wykorzystanie luki w nieaktualnym systemie operacyjnym Windows. Do wykonania testo w uz yto m. in. narzędzia SET [6]. Po przeprowadzonych badaniach wyniki zebrano i uporządkowano przypisując im mniejsze lub większe znaczenie pod względem skutecznos ci w badanej grupie. Tabela poniz ej przedstawiaja wagi wyraz one w punktach dla kaz dego typu testu penetracyjnego. Wartos c maksymalna - 5, oznacza, z e grupa jest najbardziej podatna na okres lony atak. Na uwagę zasługują punkty przydzielone s rodowisku Java. We wszystkich grupach stopien podatnos ci jest taki sam. Jest tak dlatego, poniewaz atak na Javę nie miał szerokiego wyboru narzędzi i obejmował tylko jedną metodę. Obierała sobie ona na cel jedną lukę w tym s rodowisku, stąd w kaz dej grupie wyniki są podobne.

Badanie efektywności ataków socjotechnicznych w jednostkach samorządu 151 Tabela 1. Klasyfikacja podatności z uwzględnieniem zdefiniowanych wag Podatność w pkt (maks. 5) Typ zagrożenia Grupa Grupa Grupa s rednia najsłabsza najodporniejsza Środowisko Java 1,5 1,5 1,5 Fałszywe wiadomości e-mail 4 3,5 3,5 Podstawione strony interneto- 4 3 3 we Przestarzała przeglądarka 3 2 2 Rozmowa telefoniczna 2,5 2,5 2,5 Nieaktualny lub niewspierany system operacyjny 1,5 1,5 1,5 Z kolei znacznie bardziej zro z nicowane są podatnos ci na np. ataki związane z phishingiem. Ataki te moz na wykonywac na setki ro z nych sposobo w, stąd podatnos c w kaz dej grupie jest słabsza lub większa. Ostateczne wyniki w jednostce samorządu prezentują się na wykresie poniz ej. 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 Środowisko Java Fałszywe wiadomości e-mail Podstawione strony internetowe Przestarzała przeglądarka Rys. 4. Wyniki testu. Rozmowa telefoniczna Poziom niski Poziom średni Poziom wysoki Nieaktualny lub niewspierany system operacyjny 6. Opis metodyki realizacji testu Informacje przedstawione w tej sekcji opisują kolejno metody oszustw socjotechnicznych stosowanych w ankiecie i w testach penetracyjnych. Nie wszystkie z nich są czysto socjotechniczne, ale przenoszone są z wykorzystaniem atako w socjotechnicznych. W takich przypadkach socjotechnika jest dopiero pierwszym etapem przeprowadzania ataku, a włas ciwe wykorzystywanie luk bezpieczen - stwa występuje jako faza druga.

152 M. Nycz, B. Michno, R. Mlicki Ataki z spreparowanym apletem Java. Z przeprowadzonej analizy wynika, z e najwięcej uz ytkowniko w moz e byc naraz onych na ataki związane ze s rodowiskiem programistycznym Java. Java jest bardzo popularnym oprogramowaniem ws ro d internauto w często wymagana jest do poprawnego wys wietlania stron internetowych. W przeglądarkach internetowych Java występuje pod postacią wtyczek włączanych na z ądanie. W nowszych wersjach przeglądarek wtyczki te wyłączane są automatycznie. Jedna z nich, Mozilla Firefox, informuje uz ytkownika o niebezpieczen stwie związanym z uz ytkowaniem Javy. Rys. 5. Wbudowane zabezpieczenia w przeglądarce Firefox dot. Javy Niekto re aplikacje, ze względu na koniecznos c obsługi wielu platform systemowych są napisane w Javie. Jest ona wobec tego s rodowiskiem bardzo podatnym na ataki, poniewaz większa uniwersalnos c ułatwia wyszukiwanie luk. Java jest ro wniez oprogramowaniem bardzo skomplikowanym. Wbrew pozorom ro wniez umoz liwia to naduz ywanie Javy w celu łamania jej systemo w bezpieczen stwa (im bardziej rozległe oprogramowanie, tym większa szansa natrafienia na ewentualną lukę). Atak na Javę moz e zostac przeniesiony np. w załącznikach wiadomos ci e- mail. Fałszywe wiadomości e-mail. Kolejną metodą ataku, na kto rą podatni byliby uz ytkownicy rozwiązujący ankietę to wiadomos ci e-mail, gdzie nadawca uz ywa fałszywej toz samos ci. Wiadomos ci te wyglądają bardzo autentycznie. Istnieje wiele metod uwiarygodniania takich e-maili. Jedną z nich jest adres nadawcy wykorzystuje się łatwe do przeoczenia litero wki. Drugim sposobem jest wysyłanie wiadomos ci ze specjalnych generatoro w wiadomos ci (najczęs ciej strony www). Cechą takich generatoro w jest to, z e opro cz podania adresata wiadomos ci podaje się ro wniez adres nadawcy. Generator oszukuje serwery pocztowe i przesyła taką wiadomos c dalej. Niekto re serwisy pocztowe, np. Gmail są w stanie wykryc większos c takich oszustw i wys wietlają stosowne ostrzez enie dla uz ytkownika [7]. Rys. 6. Ostrzeżenie w usłudze Gmail To ostrzez enie jest wys wietlane, gdy nadawca twierdzi, z e wysyła wiadomos c z Gmaila, ale nie moz e to byc potwierdzone. Moz na na przykład otrzymac e-maila pochodzącego rzekomo z adresu support@gmail.com, kto ry w rzeczywistos ci nie został wysłany z Gmaila. Wszystkie wiadomos ci wysyłane z tej usługi powinny

Badanie efektywności ataków socjotechnicznych w jednostkach samorządu 153 zawierac dane uwierzytelniania, kto re pozwalają na weryfikację tego, czy wiadomos c została wysłana z Gmaila. Jes li jest wys wietlany komunikat ostrzegawczy, kto ry informuje, z e wiadomos c mogła nie zostac wysłana przez uz ytkownika Gmaila, oznacza to, z e brakuje w niej danych uwierzytelniania [8]. Podstawione strony internetowe. Sfabrykowane strony internetowe wykorzystują identyczny lub do złudzenia podobny wygląd oryginalnej witryny. Z autentycznej strony zachowany został tylko układ elemento w, a faktyczna funkcjonalnos c strony to przesyłanie wpisanych pos wiadczen uz ytkownika (login, hasło, inne) do atakującego. Oszustwa telefoniczne. Podobnie jak w przypadku wiadomos ci e-mail, kluczem jest tutaj podstawiona toz samos c. Oszustwo moz e ułatwic fakt samej rozmowy telefonicznej, kto ra odbywa się w locie. W przeciwien stwie do e-maili, gdzie tres c wiadomos ci moz na analizowac wiele razy po odebraniu, w rozmowie telefonicznej czas na namysł jest ograniczony. Sprzyja to skutecznos ci ataku w przypadku rozmowy kreowanej na nagły i niespodziewany przypadek, wymagający szybkiej interwencji uz ytkownika. Stare wersje przeglądarki Internet Explorer. Pewna częs c uz ytkowniko w ciągle uz ywa wersji Internet Explorer, kto ra jest przestarzała. Wersja wspomnianej przeglądarki o numerze 7 została wydana siedem lat temu. Z kolei wersja 8 swoją premierę miała pięc lat temu. Przeglądarka Microsoftu jest bardzo chętnie atakowanym oprogramowaniem ws ro d internauto w znana jest z ilos ci luk w bezpieczen stwie. Korporacja często wydaje aktualizacje typu security do IE i stara się niwelowac braki. Według raportu firmy Bromium Endpoint Exploitation Trends H1 2014 [9] za pierwszą połowę 2014r., liczba luk i zagroz en w Internet Explorerze (w poro wnaniu do 2013r.) jako jedyna wzrosła. Inne programy wymieniane tutaj zanotowały poprawę bezpieczen stwa i liczba zagroz en ich dotyczących drastycznie spadła. System operacyjny. Ten problem dotyczy uz ytkowniko w korzystających z systemu Microsoft Windows XP. System przestał byc wspierany w kwietniu 2014 r. Microsoft przestał wydawac aktualizacje bezpieczen stwa dla tego systemu. Czyni to go podatnym na ataki typu zero day powaz ne luki bezpieczen - stwa, nieznane do czasu pierwszego ataku z nią w roli gło wnej. Jes li taka luka zostanie odkryta, deweloperzy Microsoftu nie zapewnią juz łatki bezpieczen stwa. 7. Szkolenie W ciągu trzech miesięcy od przeprowadzenia ankiety i testo w penetracyjnych, w badanych obiektach przeprowadzono szkolenie, obejmujące zagadnienia wykorzystywane w ankiecie i testach penetracyjnych. Zauwaz ono wzrost s wiadomos ci uz ytkowniko w oraz przeprowadzono kolejne testy penetracyjne (tylko w jednostce samorządowej). Po analizie wyniko w okazało się, z e testy wykonane po szkoleniu dały lepsze wyniki, zilustrowane na wykresie poniz ej.

154 M. Nycz, B. Michno, R. Mlicki 3,5 3 2,5 2 1,5 1 0,5 0 Środowisko Java Fałszywe wiadomości e-mail Podstawione strony internetowe Przestarzała przeglądarka Rozmowa telefoniczna Poziom niski Poziom średni Poziom wysoki Nieaktualny lub niewspierany system operacyjny Rys. 7. Wyniki testu po przeprowadzonym szkoleniu Podatnos c na okres lone grupy atako w istotnie się polepszyła. Nalez y zauwaz yc m. in.: 1. Podział na grupy nie został zmieniony obowiązywał taki jaki wyłoniony był po pierwszych testach; 2. W przypadku s rodowiska Java, przeglądarek internetowych i systemo w operacyjnych poziom podatnos ci polepszył się i mniej więcej wyro wnał; dzieje się tak, poniewaz dbanie o aktualizacje programo w i systemo w operacyjnych przewaz nie nie lez y w gestii uz ytkowniko w, a administratoro w; administratorzy jednostki samorządowej ro wniez brali udział w szkoleniach, a po wyeliminowaniu przestarzałego software u i aktualizacjach, na wszystkich stacjach roboczych występował podobny zbio r programo w (i ich wersji), przez co liczba zagroz en, na kto re są one podatne stoi na mniej więcej tym samym poziomie [10], [11]. 8. Wnioski Najczęstszymi obiektami atako w socjotechnicznych są pracownicy firm, instytucji. To pracownicy często nies wiadomi, niedoszkoleni lub posiadający specjalne przywileje, atrakcyjne z punktu widzenia dla atakującego. Ofiarą atako w mogą pas c tez pracownicy kluczowych działo w instytucji. Co sprzyja atakom socjotechnicznym? Niska s wiadomos c uz ytkowniko w to najpowaz niejszy powo d. Dlatego tak waz ne jest wykonywanie okresowych szkolen pracowniko w (zalecane jest przeprowadzanie ich 1 2 razy w roku) [12].

Badanie efektywności ataków socjotechnicznych w jednostkach samorządu 155 Jednoznacznie moz na stwierdzic, z e socjotechnika to najniebezpieczniejsza forma atako w na bezpieczen stwo z racji swojej natury. Poniewaz socjotechnika naduz ywa cech ludzkich. np. zaufania, nie ma moz liwos ci obrony przed nią tylko i wyłącznie za pomocą hardware u i software u. Obecnie nie są dostępne rozwiązania, kto re mogłyby zapobiec atakowi socjotechnicznemu. Moz na jedynie zmniejszyc prawdopodobien stwo wystąpienia udanego ataku poprzez: 1. Wdroz enie polityki haseł dla instytucji; 2. Politykę klasyfikacji danych: z danych przepływających przez instytucję wybiera się te najbardziej istotne i stosuje się s rodki mające na celu chronienie ich; 3. Prowadzenie audytu wewnętrznego bezpieczen stwa informacji przetwarzanych w systemie teleinformatycznym; 4. Ograniczenie dostępu do sieci społecznos ciowych dla pracowniko w; 5. Administracyjne zarządzanie aktualizacjami oprogramowania i systemu operacyjnego; 6. Kształtowanie s wiadomos ci uz ytkowniko w poprzez nieustanne doszkalanie [1], [12]. Bibliografia [1] G. Watson, A. Mason i R. Ackroyd, Social Engineering Penetration Testing, USA: Elsevier, 2014. [2] E. Nyamsuren i H. Choi, Preventing Social Engineering in Ubiquitous Environment, IEEE Xplore Digital Library. [3] I. Kotenko, M. Stepashkin i E. Doynikova, Security Analysis of Infor-mation Systems taking into account Social Engineering Attacks, IEEE Xplore Digital Library. [4] http://www.cleveland.com/business/index.ssf/2012/10/social_engineering_is_a _growin.html, 20 10 2012. [Online]. [5] http://www.phishingbox.com/verizon-data-breach-investigations-reportsummary/, 08 10 2013. [Online]. [6] N. Pavkovic i L. Perkov, Social Engineering Toolkit - A Systematic Approach To Social Engineering, IEEE Xplore Digital Library. [7] E. Rabinovitch, Staying protected from social engineering, IEEE Communications Magazine, September 2007. [8] https://support.google.com/mail/troubleshooter/2411000?p=sent_warning&rd =1, 17 06 2014. [Online]. [9] http://www.bromium.com/sites/default/files/bromium-h1-2014-

156 M. Nycz, B. Michno, R. Mlicki threat_report.pdf, 23 07 2014. [Online]. [10] B. Michno, M. Nycz i P. Hajder, Social engineering-penetration testing, in Computer Science for the Information Society, tom Vol. 5, Lugansk, 2014, pp. Vol. 5, pp. 93-97. [11] R. Mlicki, M. Nycz i R. Korostenskyi, Social engineering-analysis of vulnerability, w Computer Science for the Information Society, Lugansk, 2014, pp. Vol. 5, pp. 97-100. [12] L. Laribee, S. B. David, C. R. Neil i H. M. Craig, Analysis and De-fensive Tools for Social-Engineering Attacks on Computer Systems, IEEE Xplore Digital Library.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres