7 Bezpieczeństwo stron WWW

Ataki socjotechniczne

Reklama Na Blogach

Dzisiaj chcę wszystkich zachęć do zapoznania się „atakami socjotechnicznymi”, które polegają – jak to pisał Kevin Mitnick w „Sztuce podstępu” – nie łamaniu ludzi, tylko komputerów. Jest to jedna z ciekawszych metod, bo nie trzeba się znać na programowaniu, a hasło do serwisu czy też systemu można zdobyć pytając się o nie wprost.

Jednym z najpopularniejszych socjotechników był Kevin Mitnick. Udawał on różne osoby, od monterów sieci po dział obsługi klientów by zdobyć hasło. Najlepsze w tym wszystkich jest to, że każdy z nas jest po części taką osoba. Szczególnie ta zdolność się włącza gdy chcemy coś uzyskać, dobrego dla nas. Na przykład dobrą ocenę na zaliczeniu, rabat w sklepie. W takich sytuacjach, aby osiągnąć swój cel stosuje się różne sztuczki. Z socjotechniką mamy do czynienia na co dzień, gdy słuchamy polityków. Tyle tytułem wstępu.

W najnowszym numerze czasopisma hackin9 (12/2008) jest artykuł poświęcony właśnie takim osobom - „Jak złamać człowieka? Ataki socjotechniczne. Opisane są przypadki ataków, jak się przed nimi bronić, przedstawiony został ogólny profil takiej osoby.

Znając życie, polityka bezpieczeństwa z mniejszych firmach jest raczej na niskim poziomie. Sprawna osoba mogłaby się bez problemu podać za klienta firmy i poprosić o hasło do serwera nie wzbudzając żadnych podejrzeń. Schemat rozmowy jest zawsze taki sam. Pierw się przedstawiamy, mówimy z czym mamy problem (zapomnieliśmy hasła i nie możemy jego sobie przypomnieć; hasła chcemy aby nam podesłali na xxxxx@poczta.com). Następnie miła rozmowa, na koniec wywołanie presji i współczucia na drugiej osobie:

Byłbym naprawdę wdzięczny za to, szef jutro wraca z urlopu i ma to być zrobione przed jego powrotem, aby zaraz po przyjeździe mógł zatwierdzić projekt dalej.

Taka osoba najpierw bardzo dobrze się przygotuje do ataku: zbada dokładnie naszą firmę, pracowników a nawet klientów i uderzy w najsłabszy punkt.

Dlaczego o tym piszę? Chce uświadomić wszystkich, że jeżeli taka nieświadoma pani Kowalska w dziale obsługi nie będzie miała pojęcia co robi i jakie to może mieć skutki. Kolejna rzecz, to taka, że często ofiarami padają sklepy internetowe, gdzie dostarczony przedmiot się popsuł i chcemy nowy. Bardzo fajnie autor tego artykułu przedstawił scenariusz takiego przekrętu. Po za tym, to jest często stosowane do szpiegostwa przemysłowego, gdy, dla przykładu firma konkurencyjna chce poznać jakieś tajne informacje o produkcie lub poznać cennik (by u siebie dać niższe).

Jak się można przed tym bronić?

Szkolenia pracowników z zakresu bezpieczeństwa, stworzenie procesów postępowania, stworzenie hierarchii dostępu do danych. Na przykład osoby z jednego działu nie mogą podawać żadnych haseł innym działom i osobom dzwoniącym bez względu to na, że „szef jak wróci to mnie zabije”.

Wszystkim właścicielom polecam lekturę tego artykułu, a to jest tylko wierzchołek góry lodowej. Jeżeli nie czytałeś jeszcze książki Kevina Mitnicka „Sztuka podstępu”, to też ją polecam, będzie doskonałym uzupełnieniem wiedzy zdobytej z tego artykułu.



Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:.

Komentarze 7

author Kapsel www 26.11.2008 08:46:20

Książka Mitnicka jest wprost powalająca. Hackowanie normalnym ludziom kojarzy się z odizolowanymi ze społeczeństwa, zamkniętymi w ciemnych pokojach, przyklejonych do swoich komputerów ludzi, których wiedza komputerowa jest rozległa jak sam internet.

Mitnick pokazuje coś zupełnie innego. Jego historie ścinają z nóg, metody są często banalnie proste, zaś opisywana ludzka naiwność i bezmyślność - najsłabsze ogniwa zabezpieczeń komputerowych - wręcz bezgraniczne.

Dobra lektura dla każdego kto styka się z wrażliwymi danymi, obowiązkowa dla tych którzy za takie dane ponoszą odpowiedzialność ;) W ogóle czyta się to jak dobrą sensację, więc łączymy pożyteczne z przyjemnym.

Potem wyszła jeszcze sztuka infiltracji, też godna polecenia - opisuje historie innych - niekoniecznie już socjotechników, ale też bardzo ciekawa i intrygująca.

author RaPi www 26.11.2008 10:25:34

Całkiem niedawno byłem na wykładzie Mariusza Stawowskiego z firmy Clico. Zajmuje się on audytem bezpieczeństwa. W większości przypadków, gdy otrzymują zlecenie wykonania audytu zleceniodawca zabrania używania im metod socjotechnicznych gdyż z reguły każdy z pracowników z łatwością się im poddaje. Opisywał on kilka zabawnych przypadków, z jaką łatwością ludzie ulegali sztuczkom. Podczas jednego ze zleceń udało im się za pomocą wspomnianych technik uzyskać hasła i tym podobne rzeczy od samego zarządu firmy. Dosyć ciekawy efekt daje połączenie technik socjotechnicznych i np. phishingu. Przypuśćmy, że w interesującej nas firmie lub urzędu funkcję administratora pełni Pan Kowalski. Teraz za pomocą goldenline lub linkedin możemy dowiedzieć się, w czym się specjalizuje Kowalki a co za tym wiemy, czego spodziewać się w firmie. Dzwonimy do Pana Kowalskiego z bardzo atrakcyjna ofertą pracy. Dla uwiarygodnienia wspominamy, że polecił go na to stanowisko pan x. W miejsce x można wstawić jednego ze znajomych Pana Kowalskiego z goldenline lub linkedIn. Prosimy go o podanie adresu Emil w celu przesłania opisu proponowanego stanowiska. W przesłanym mailu umieszczamy link to spreparowanej strony WWW. W 99% ludzie nabierają się na to….
Na szkoleniach można wyczulić ludzi na różnego typu techniki, ale zawsze znajdą się tacy, których uda się podpuścić. No i oczywistym jest, że pojawiać będą się coraz to bardziej wyrafinowane metody wyłudzania informacji.

Przykład z życia codziennego wykorzystania socjotechnik. Wyłudzanie kodów doładowań od sklepikarzy.

author Gamec www 26.11.2008 12:58:32

"które polegają – jak to pisał Kevin Mitnick w „Sztuce podstępu” – nie łamaniu ludzi, tylko komputerów." - chyba na odwrót.

author Integralny www 29.11.2008 12:11:54

Moze bedzie to nie na temat , ale slyszalem ze WordPressa jest latwo zhakowac. Na ile w tym prawdy ?

author Mariusz Gąsiewski www 06.12.2008 11:47:09

W systemach bezpieczeństwa, do których zaprzęgnięto obecnie najnowocześniejszą technikę, najczęściej najsłabszym ogniwem jest właśnie człowiek. Obfitość informacji, które można znaleźć w necie na temat firm i jej pracowników mocno ułatwiają wykorzystywanie tego.

author Andrzej www 24.01.2009 19:47:24

Jeśli znajdę czas to będę musiał tego Kevina Mitnicka przeczytać, dzięki za informację. PS: Na hack.pl jest wywiad z autorem książki, polecam.

author zdrowie 17.05.2011 11:30:54

Bardzo ciekawy post. Czytałem ksiązkę Kavina Mitnika i musze przyznać że jest porażająca, jak łatwo można podejść drugigo człowieka. Bo jeżeli ktoś będzie chciał ukraść np pieniądze z banku na dzień dzisiejszy wystarczy podejść pracownika tego bank a nie straszyc ich np pistoletem.

Dodaj komentarz