Matej Saksida, mag. var., je na NT konferenci 2011 v predavanju »Izvedba napada s pomočjo socialnih omrežij« prikazal praktični primer uporabe socialnih omrežij za pridobitev zaupnih podatkov, ki so potrebni za izvedbo vdora v informacijski sistem ter predstavil načine, kako se lahko tem napadom učinkovito zoperstavimo tudi s pomočjo uporabe portala SharePoint.
Predavanje si lahko ogledate tukaj
http://vimeo.com/24820726
3. NT KONFERENCA
Vsebina predavanja
Social Engineering:
Because There Is No Patch To Human Stupidity
• Zakaj varnostni sistemi niso (več) učinkoviti?
• Kaj je socialni inženiring in kako ga izvesti?
• Kako lahko zmanjšamo tveganja?
Varnost ?!?
5. NT KONFERENCA
Kriminalce zanimajo ljudje
Napad na RSA
• pridobljeni podatki o sistemu SecurID
• napad je bil izvršen nad zaposlenimi
• priponka v e-sporočilu je bila okužena
Vir: http://goo.gl/hHPY3
6. NT KONFERENCA
Kriminalce zanimajo ljudje
Napad na RSA
• napad z uporabo socialnega inženiringa
• ciljno področje: gospodarstvo
• cilj: pridobitev zaupnih informacij
• 140 telefonskih klicev in e-sporočil
Izkupiček
• 135 zaposlenih na telefonu
• 90% na e-sporočilih
Vir: http://goo.gl/QjbTa
7. NT KONFERENCA
Varovanje informacij je vse bolj odvisno od zaposlenih
Statistični podatki o napadih na zaposlene ter trendi
• 28% napadov je usmerjenih v zaposlene
• napadi na zaposlene naraščajo (+16%)
• e-pošta in socialna omrežja
• napade je zelo težko odkriti
• napadi ostanejo nekaznovani
8. NT KONFERENCA
Kaj je socialni inženiring?
„…način uporabe znanosti in umetnosti z namenom,
da „napadena“ oseba izpolni naše želje…“
Ključni elementi uspeha:
• zaupanje
• občutek zadovoljstva
• dober odnos
10. NT KONFERENCA
Kaj je socialni inženiring?
Socialni inženiring je lahko …
ZLONAMERN DOBRONAMEREN
11. NT KONFERENCA
Kaj je socialni inženiring?
Socialni inženiring je lahko …
• gledanje čez ramo (shoulder surfing)
• anketiranje (mail-outs)
• neposredni pristop (direct approach)
• pomembni uporabnik (important user)
• nemočen uporabnik (helpless user)
• osebje za tehnično pomoč (technical support)
• nasprotni socialni inženiring (rev. social eng.)
• elektronska pošta, internet, socialna omrežja…
12. NT KONFERENCA
Kaj je socialni inženiring?
CATCH ME IF YOU CAN
Steven Spielberg, 2002
13. NT KONFERENCA
Izvedba napada s pomočjo socialnih omrežij
Zakaj uporabljati socialna omrežja za izvedbo napada?
• 600 milijonov uporabnikov (Facebook)
• 650 tisoč uporabnikov iz Slovenije
• 60% uporabnikov internet
• 1/3 dodaja popolne neznane
• 1/5 uporabnikov deli svoje geslo
15. NT KONFERENCA
Izvedba napada s pomočjo socialnih omrežij
Priprava na napad
• zaščita lastne identitete
• „sveža“ namestitev operacijskega sistema
• šifriranje trdega diska (TrueCrypt)
• uporaba anonimizacije (Tor Browser Bundle)
• zbiranje potrebnih informacij (opcijsko)
• spletna stran
• bivši zaposleni…
• priprava plana (kaj želimo doseči)
22. NT KONFERENCA
Kako prepoznati napad s socialnim inženiringom?
• neobičajne zahteve
• zahtevanje spoštovanja avtoritete
• poudarjanje nujnosti
• grožnje z negativnimi posledicami
• dajanje pohval in laskanje
• zapeljevanje
• dajanje informacij po „kapljicah“…
23. NT KONFERENCA
Kako zmanjšati tveganja socialnega inženiringa?
• natančno definirana pravila igre
• politike, procedure, klasifikacija, odziv na incidente…
• redno izobraževanje in preverjanje
• polletni seminarji, portali, najem zunanjega izvajalca...
• uporaba napredne varnostne tehnologije
• sistemi SIEM, DLP, šifriranje…