Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić? Spotkanie ISSA Polska Michał Kurek 26 listopad 2008
Plan prezentacji Ataki socjotechniczne prawda czy fikcja? Statystyki Analiza podatności Typy ataków Demonstracja Jak się przed nimi bronić? "Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności" Albert Einstein Strona 2
Ataki socjotechniczne prawda czy fikcja? Strona 3
Człowiek najsłabsze ogniwo systemu zabezpieczeń Najczęściej wykorzystywanym mechanizmem prowadzącym do udanego przestępstwa komputerowego są techniki inżynierii społecznej (45%)* 69% zarejestrowanych incydentów bezpieczeństwa pochodzi z zewnątrz organizacji* Świadomość pracowników w obszarze bezpieczeństwa informacji została przez 50% respondentów oceniona jako największy problem związany ze skuteczną ochroną informacji** * Źródło: 2007 E-Crime Watch Survey Carnegie Mellon University ** Źródło: 2008 Ernst & Young Global Information Security Survey Strona 4
Podatność na ataki socjotechniczne Człowiek jest z natury podatny na manipulację Ludzie chcą: być postrzegani jako sympatyczni i pomocni unikać sytuacji problemowych Najczęściej wykorzystywane reguły psychologiczne: autorytetu lubienia i sympatii zaangażowania i konsekwencji niedostępności wzajemności kontrastu społecznego dowodu słuszności Strona 5
Rodzaje ataków socjotechnicznych Rodzaje ataków socjotechnicznych bezpośrednia prośba zmyślona sytuacja odwrócony atak socjotechniczny Możliwość wsparcia ataków technologią informatyczną wiadomości e-mail strony internetowe przenośne nośniki danych nieautoryzowane oprogramowanie Strona 6
Podejście do ataku socjotechnicznego Gromadzenie informacji na temat celu ataku Internet kosze na śmieci (tzw. dumpster diving ) rozmowy w pobliskich kawiarniach i barach książki telefoniczne obserwacja Identyfikacja podatności ułatwiających atak Wybór metody ataku Przeprowadzenie ataku Strona 7
Opis demonstrowanego ataku Cel uruchomienie na komputerze ofiary dowolnego programu wykonywalnego Charakterystyka ataku atak zewnętrzny wykorzystanie technik inżynierii społecznej Wykorzystywane podatności człowiek najsłabsze ogniwo systemu bezpieczeństwa słabości protokołu SMTP podatność Internet Explorer na atak What a Drag II Strona 8
Opis demonstrowanego ataku 5 2 4 6 Wysłanie wiadomości ze sfałszowanym adresem nadawcy Otworzenie wiadomości i wybór link u 192.168.1.2 3 1 192.168.1.3 Pobranie strony WWW Zainstalowanie nieautoryzowanego oprogramowania w startup ie podczas przeglądu strony WWW 192.168.1.4 Restart komputera i uruchomienie nieautoryzowanego oprogramowania Uzyskanie nieautoryzowanego dostępu Strona 9
Demonstracja
Ochrona przed atakami socjotechnicznymi Budowanie świadomości pracowników w obszarze bezpieczeństwa programy szkoleń niezależne testy Wsparcie technologiczne nagrywanie rozmów i rejestrowanie numerów efektywne mechanizmy bezpieczeństwa fizycznego kontrola udostępniania informacji na zewnątrz ochrona stacji roboczych ograniczenie uprawnień użytkowników do wymaganego minimum ograniczenie dostępu do zasobów sieci publicznych Zasady i reguły zdefiniowane w polityce bezpieczeństwa informacji Proces reagowania na incydenty bezpieczeństwa Strona 11
Czas na dyskusję
Ernst & Young Rondo ONZ 1 00-124 Warszawa Tel.: +48 (22) 557 70 00 Fax: +48 (22) 557 70 01 www.ey.com/pl Michał Kurek Manager e-mail: michal.kurek@pl.ey.com Tel.: +48 22 557 8715 Fax: +48 22 557 7001 2008 Ernst & Young Wszelkie prawa zastrzeżone Ernst & Young jest zarejestrowanym znakiem towarowym