Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Sociala inzenierija
1. Sociālā inženierija - IT drošības
apdraudējums
Didzis Balodis, CISSP, DPA drošības auditors
2012. gada 27. aprīlis
2. Saturs
Kas ir sociālā inženierija un kā to pielieto?
Uzbrukumu veidi un mērķi
Informācijas avoti
Social Engineering Toolkit demonstrācija
Secinājumi
DPA pieredze un iespējas
4. Kas ir sociālā inženierija?
Social engineering is:
when one person tricks another person into sharing confidential
information. (CISSP Book)
is understood to mean the art of manipulating people into performing
actions or divulging confidential information (unknown source)
Sociālā inženierija ir:
Māksla!
Manipulācijas ar cilvēkiem
Ar mērķi iegūt konfidenciālu informāciju (piem. pieeju datoram)
Ar mērķi piespiest cilvēkus veikt darbības savā labā
5. Kādēļ sociālā inženierija tiek izmantota?
Bieži vien vājākais ķēdes posms uzņēmuma IT drošībā ir tieši
darbinieki:
Nepietiekama apmācība
Zināšanu trūkums
Dabiska vēlme palīdzēt/ sadarboties
Neierobežots mēģinājumu skaits!
Zemas vai pat ļoti zemas izmaksas
Iespēja apiet «nocietināto» perimetra aizsardzību
Bieži vien iekšējais tīkls nav tik labi aizsargāts kā perimetrs, tādejādi
pastāv laba iespēja turpināt uzbrukumu
6. Sociālās inženierijas paņēmieni
Telefona zvans ar mērķi izmantot publiski pieejamu informāciju, lai
iegūtu papildus informāciju, kas nav publiska
Viltus e-pasts ar saiti uz viltus lapu (phishing, jeb pikšķerēšana)
Inficētu USB, Cd-rom «izplatīšana»
Atkritumu inspicēšana (Dumpster diving)
Fizisko piekļuves zonu pārkāpšana (piem. ar mērķi iegūt pieeju
datortīkla pieslēgvietai vai datu centram)
7. Sākotnējās informācijas avoti
Uzņēmumu vai iestāžu mājas lapas:
Struktūra, amati
Darbinieki, telefona numuri, e-pasta adreses
Iepirkumu informācija
Darba sludinājumi
Metadatu analīze:
Izmantotās OS un to versijas
Programmatūra
Lietotājvārdi
Sociālie portāli:
Facebook
Draugiem.lv Image: sheelamohan / FreeDigitalPhotos.net
Twitter
9. Uzbrukumu mērķi
Par mērķi var kļūt jebkurš, bet visdrīzāk ka uzbrucējs izvēlēsies to:
Kurš būs vismazāk tam sagatavots
Kas ir vieglāk sasniedzams
Kam ir pieeja konfidenciālai informācijai
Piemēri:
Uzņēmuma vai iestādes vadītājs
Uzņēmuma personāla daļa
Darbinieki - attālinātā birojā
IT darbinieki
Image: jscreationzs / FreeDigitalPhotos.net
10. Social engineering toolkit
Sociālās inženierijas atbalstam izveidots rīku kopums
http://www.social-engineer.org /www.secmaniac.com
Iekļauts Backtrack Linux r5
Pilna integrācija ar Metaspolit Framework
Iekļauj atbalstu šādiem uzbrukumu vektoriem:
Viltus e-pasta izsūtīšana
Inficēta web lapa
Inficēti faili – pdf, doc, xls
Atmiņas nesēji – USB, CD-ROM
u,.c.
Image: renjith krishnan / FreeDigitalPhotos.net
12. Kopsavilkums
Ikviens var tikt pakļauts sociālās inženierijas uzbrukumam
Būtiski ir to apzināties un būt sagatavotam
Katram darbiniekam būtu:
Jāmāk identificēt uzbrukumu mēģinājumus
Adekvāti reaģēt
Eskalēt atbildīgajām personām (piem., IT drošības pārvaldniekam)
Uzņēmuma vadībai / IT drošības pārvaldniekam ir svarīgi nodrošināt
darbinieku izglītošanas programmu un patstāvīgu tās uzraudzību
13. DPA piedāvājums
IT auditi un ielaušanās testēšana:
Atbilstības auditi LR normatīviem un labākās prakses
standartiem
Ievainojamību skanēšana
Tīkla ielaušanās testi
Bezvadu tīklu auditi
Web aplikāciju drošības testēšana
Sociālās inženierijas testēšana
Auditā konstatēto trūkumu novēršana
Darbinieku IT drošības apmācība
14. Lietotāju mācību programma
Ikviens ir mērķis Mūsu piedāvājums drošības
Sociālā inženierija apmācībai:
Droša e-pasta lietošana • Grupā ne vairāk kā 25 cilvēki
• Mācību ilgums 2 – 3 h
Interneta pārlūkošana
Sociālo tīklu izmantošana Pakalpojumā:
Mobilo ierīču drošība 1. Sagatavošanās intervija ar
Paroles IT vai uzņēmuma vadītāju
Datu un informācijas aizsardzība 2. Lietotāju mācības
3. Mācību materiāli katram
Bezvadu tīklu droša lietošana
mācību dalībniekam
Darbs no mājām vai ceļā
Iekšējie draudi Cena:
Fiziskās drošības aspekti 250.- LVL par pirmo grupu,
Datora drošība mājās 2. – 5. grupa 125 LVL,
Drošības incidents
15. Pakalpojums «Ievainojamību skanēšana»
Priekšnosacījumi:
Uzņēmumā izmantoto serveru skaits ne vairāk 10
Ārējo IP adrešu diapazons – ne vairāk kā 10 IP adreses
Pakalpojumā ietilpst:
1.Intervija ar IT pārstāvi
2.Ārējā un iekšējā tīkla skanēšana
3.Rezultātu analīze un automatizētas atskaites sagatavošana (angliski)
4.Rezultātu pārrunāšana - prezentācija
Cena: 400.- LVL
16. DPA drošības ekspertu komanda
Apvienota būtiska pieredze IT drošības jomā, risinājumu ieviešanā un
uzturēšanā.
Sertifikāti
CISSP - Certified Information Systems Security Professional
CISA – Cerified Information Systems Auditor
MCSE, Microsoft Certified Systems Engineer: Security.
Pieredzē – ievērojams skaits veikto drošības auditu gan Latvijā gan
ārzemēs
Tātad šodienas prezentācijā es jums stāstīšu par to kas ir sociālā inženierija un kādēļ par to ir jārunā it drošības kontekstā.Tālāk pastāstīšu par to ko mēs saprotam ar sociālo inžeieriju kādi ir tipiskākie uzbrukumu veidiTad pastāstīšu par to kas visrdrīzāk varētu kļūt par soc. inž. Mērķi un no kurienes ieguta informācija visvairāk palīdz uzbrukumu veikšanāPārējot pie praktiskās demonstrācijas es iepazīstināšu ar SET un demonstrēšu dažas no SET iespējāmTālāk apkoposim rezultātus un izdarīsim secinājumus ko darīt lai ierobežotu iespēju manipulēt ar uzņēmuma darbinieikiemUn kā arī pastāstīšu to kā DPA var palīdzēt šajā jomā.
Tātad sākam ar definīciju – es nemēģināju tulkot, bet tātād būtiskākais:Tā ir māksla – tātād tai nav robežu – kas mūsu gadījumā ir vairāk slikti nekā labiMēŗkis ir manipulēt ar cilvēkiem lai iegūtu konfidenciālu informāciju vai pierunātos tos veikt darbības savā labā
Kādēļ gan tas būtu jādara?Diemžēl realitāte ir tāda ka cilvēki ir biežu vien bvājākais ķēdes posms uzņēmuma drošībāNe visi ir apmācīti, ne visiem ir pietiekamas zināšanasKā arī vidējais statistiskais cilvēks tomēr ir pietiekami viegli manipulējams, kā arī cilvēkiem ir dabiska vēlme sadarboties.Kas vēlAr sociālās inženierijas paņēminiem rezultātu var sasniegt krietni vien lētāk un ātrāk nekā izmantojot tradiconālo ielaušanās metodiku. Piemēram kādēļ jāmeiģinaatlaust paroli veicot nedēļām ilgu paroles pārlasi, ja var vienkārši pazvanīt, izlikties par kolēģi no It departamenta un paroli noskaidrot 2 minūšu laikā. Faktiski vienīgais ierobežojošais faktors ir fantāzijas trūkums – domāju ka jebkurš var izdomāt 100tiem veidu kā vienam otru piemuļķot. Runājot ‘jau tieši ielaušanās testu kontekstā, iegūstot attālinātu pieeju lietotāju datoram, tiek automātiski pārvarēta bieži vien labi nocietinātā perimetra aizsardzība un iegūt pilna pieeja iekštīklam ko nereti aizmirst tik labi apsargāt kā ārējo perimetru
Sociālās inženierijas paņēmienu uzskaitījumu varam sākt ar dažādiem telefona zvaniem, gan izliekoties par kādu citu, gan arī vienkārši mēģinot no cilvēka izvilināt noteiku informāciju, piemēram, esmu noskaidrojis ka uzņēmums X izmanto grāmatvedības programmatūru ko piegādā piegādātājs Y. Labdien es veicu soc. aptauju mūsu klientiem, jūs tacū izmantojat mūsu programmatūru.’ jā izmantojam . Vai jums būtu laiks nelielai sarunai, mēs vēlamies uzlabot sava produkta kvalitāti - jā. Pēc kādiem 3 – 4 jautājumiem uz kuriem potenciālais upuris atbildēs ar jā mēs piemēram pajautājam, sakiet lūdzu vai sistēmas neparasa pārāk garas paroles – neatkarīgi no atbildes mēs varam jautāt a cik garu paroli jūs uzmantojat utt.Phishig jeb pikškērēšanas e-pasti ir vēl viena no metodēm kuras galvenā doma ir piespiest lietotāju noklikšķināt uz interneta saiti – ja šis e-pasts ir sagatavots tieši šim konkrētajam cilvēkam, tad var būt fakstiski neiespējami to atšķirt no īstaPastāv arī iespēja sagatavot USB vai CD-ROM mēdijus kuros iekšā ir ļaunprātīga programmatūra. Šādu disku atstājot publiskā vietā un uzrakstot virsū jaunās algas.xls domājams ka darbinieku žiņkārība ņems virsroku un kāds jau noteiki šo disku datorā ieliks.Tāpat arī pie soc. inžnierijas metodēm pieskaita konfinfo meklēšanu atkritumos, vai arī fizisku permitra aizsardzības zonu pārkāpšanu ar mērķi iekļūt datu centros vai vismaz kādā telpā kur var pieslēgt aparatūru daotrtīklam un tur to atstāt.
Jebkurš soc. eng. Uzdevums sākas ar informācijas meklēšanu, agrāk kad viss vēl nebija publicēts internetā tad viss sākās ar telefona grāmatu, mūsdienās ļoti daudz derīgas info var atrast vienkārši internetā.Uzņēmuma struktūra amati, darbinieku vārdi un kontraktinformācija ir pirmais ar ko būtu jāsāk, pavisam viegli šajā gadījumā ir publisko sektoru kur šī info ir noteiki jāpubliskoPēc publicētiajiem iepirkumiem precīzi var noteikt kāda ir IT infrastruktūra un kāda programmatūra tiek izmantota.Tāpat vismaz daudz publiskā sektora iestāžu mājas lapās ir atrodams ievērojams skaits office dokumentu, kas pats par sevi nav nekas slikts, tomēr nereti tie satur visus iespējamos metadatus, tādus kā Os versijasProgrammatūraLietotājvārdiPrinetru vārdi un serveru vārdiPēdējā laika tendence kad cilvēki visu savu iespējamo dzīves gājumu publicē feisbukkaa un twiterrii ļoti atvieglo sociālā inženiera darbu. Es piemēram viegli varu noskaidrot kad mani interesējoša persona ir atvaļinājumā, jo viņa publicē bildes tieši no pludmales havaju salās, tādejādi es zinu ka ir īstais brīdis zvanīt uz viņas numuru un tiekt, ka viņa man apsolīja atsūtīt to un to un tagad nekā, bet man ļoti vajag vai labais kolēģis kurš visdrīzāk nebūs lietas kursā un negribēs arī traucēt savu priekšnieku havaju salās mēģinās man palīdzēt kā nu var.(suši piemērs)
Šeit ir piemērs tam kādu informāciju satur kādas iestādes mājas lapā publicēto dokumentu metadati. Metadatu analīzei izmantoju tādu rīku kā FOCA, kas automātiski savāc no uzdotās mājas lapas visus tur esošos dokumentus, izanalizē tos un attēlo vienkāršā veidā. Kā redzams, kopā tika savākti 372 dokumenti, gan word, gan excel gan pdf, redzams ka iestāde izmanto gan win 7 gan winxp datorus un xp ir krietni vairāk , kā arī visas iespējamās ms office versijas, Aizkrāsotās vietas ir gan iekšējās IP adreses, gan serveru un šāru vārdi, kā arī protams tas ko es šeit nevēlējos parādīt ievērojams skaits lietotāja vārdu.Šāda informācija ir ļoti noderīga labi organizētam un plānotam soc. inženierijas uzbrukumam.
Skaidrs ka uzbrucējs izvēlēsies to kuru visvieglāk būs piemānit vai arī to kam ir vislielākā pieeja datiem un informācijai, tie var būt gan vadītāji, gan gadījumā ja uzņēmumam vai iestādei ir vairāki ofisi tad es vismaz noteikti mēģinātu inženierēt darbiniekus kas tālāk no rīgas – tādēļ iespējams mazāk apmācīti. Personāla daļa arī saņem ievērojam skaitu ar dokumentiem kurus tiem gribot vai negribot ir jāatver – piemēram cv. Es pat varu pazvanīt un painteresēties vai izdevās manu sagatavoto cv pienācīgi atvērt, noskaidrot ms office versiju, windows versiju utt.IT darbinieki arī noteikti ir tie pret kuriem šādi uzbrukumi var tikt vērsti, šiet gan visdrīzāk būs jālieto sarež’’gītājās metodes, toties ja tās izdodas tad ieguvumus ir lielisksKādu laiku atpakaļ skatījos vienu prezentāciju tieši par sociālo inženieriju, kur tika veikts šāds mēģinājums – no veikala tika pasūtītas vairākas pašas labākās un foršākās klaviatūras, tās tika modificētas pievienojot nelielu mikroshēmu, kas darbojas k’ā USB ierīce kurā saglabājas viss uz klaviatūras rakstītiais un kas windows vidē pieeinstalējās ka vēl viens nevainīgs draiveris, bet māk šo informāciju caussl nosūtīt uz noteikuipadrtesi. Tad šīs klaviatūras tika uzdāvinātas mēr’’ķa uzņēmuma it darbiniekiem, noformējot kā dāvanu no piegādātāja. Protams, ka tādā veidā uzbrucējs īsā laika periodā ieguva pilnīgi visas nepieciešamās paroles, un neviens par šo trojas zirgu uzņēmumā nemaz nenojauta.
SET ir rīku komplekts kas ļauj automatizētā un vienkāršā veidā veikt socengineering uzbrukumusIekļauts backtracklinux distributīvā, bet to ir iespējams uzstādīt arī atsevišķiPilna integrācija ar metasploit kas ir defactostandars ievainojamību testēšanāTālāk esmu sagatovijs ari nelielu SET iespēju demo
Ko mēs no šī visa varam mācītiesIkviens ir mērķisSvarīgākais ir izglītošana un lietotāju apmācība, kas ir uzņēmuma vadības un it drošības pārvaldības uzdevumsLai iletotāju spētu idenitficēt šos socmēginājumus un spētu uz tiem adevkāti reaģēt.
DPA vēl aizvien piedāvājam dažādus ar IT drošību saistītus pakalpojumus, tādus kā procesu un atbilstības auditiIelaušanās testēšanaWeb aplikāciju drošības testus, sociālās inženierijas uzbrukumusKā arī protams audita laikā konstatēto trūkumu novēršanuun drošības apmācību
Mūsu drošības apmācību programma ir izstrādāta ar mērķi izglītīot darbiniekus IT drošības jomā un populārzinātniski izskaidrot būtiskākos IT drošības pamatprincipus un aspektus.Mācību saturs ir redzams slaidā, <>Šim pakalpojumam mēs esam arī noteikuši standarta piedāvājumu, kas ietver gan sagatavošanos apmācībām, pašas apmācības kā arī mācību materiālus, pārējās detaļas ir redzamas uz ekrāna.Ikviens ir Mērķis –jebkurš no uzņēmuma vai iestādes darbiniekiem var kļūt par hakeru uzbrukuma upuri. Kādēļ tas tā ir? Sociālā inženierija –izplatītākās metodes, kā uzbrucēji mēdz mānīt cilvēkus - vairāku reālās dzīves piemēru demonstrējums.Droša e-pasta lietošana. E-pasta uzbrukuma veidi, piemēram, pikšķerēšana (phishing) un dažādi mēstuļu (spam) veidi. Droša e-pasta lietošana un potenciāli bīstamu e-pasta sūtījumu identificēšana.Interneta pārlūkošana. Potenciālie uzbrukuma vektori, izmantojot interneta pārlūkprogrammu. SSL un tā lietošana. Ieteicamie pārlūkprogrammu uzstādījumi. Sociālo tīklu izmantošana. Līdz ar sociālo tīklu strauju izplatību, aizvien vairāk cilvēku tajos publicē savu privāto un, nereti arī darba informāciju, ko var izmantot ļaunprātīgas personas, lai piekļūtu gan uzņēmuma, gan privātajiem datoriem.Mobilo ierīču drošība. Mobilās ierīces pēdējā laikā ir kļuvušas par neatņemamu dzīves sastāvdaļu, un tajās nereti tiek glabāta gan privāta, gan uzņēmuma informācija. Viedi, lai informācijas glabāšanu mobilajās ierīcēs padarītu drošāku. Ko drīkst un ko nedrīkst vai nav ieteicams glabāt mobilajā ierīcē. Portatīvo datoru cieto disku šifrēšana. Droša USB ierīču izmantošana.Paroles. Droša paroļu lietošana. Demonstrācijas un piemēri kā paroli nevajag veidot un glabāt, drošas paroles izveidošanas iespējas. Kā droši glabāt vairākas paroles. Riski, kas rodas, ja izmanto publisku datoru.Datu un informācijas aizsardzība. Publiska un aizsargājama informācija uzņēmumā. Informācijas klasifikācijas līmeņi un atbilstošā aizsardzība. Pareiza elektronika un papīra formāta informācijas izmantošana.Bezvadu tīklu droša lietošana. Bezvadu tīkla izmantošanas riski, gan uzņēmumā, gan mājās. Bezvadu tīkla konfigurācija mājās. Brīvo bezvadu pieejas punktu izmantošanas riski.Darbs no mājām vai ceļā. Kas jāņem vērā, lai droši strādātu ar darba dokumentiem mājās, ceļojuma vai komandējuma laikā. Iekšējie draudi. Iekšējie draudi ir pašas organizācijas darbinieki, līgumstrādnieki, ārējie sadarbības partneri, kas izmanto organizācijas sniegto uzticību, lai mēģinātu piekļūt sensitīvai informācijai un ierobežotiem resursiem. Šajā sadaļā tiek sniegta informācija, kā šādu rīcību identificēt, kāpēc tas ir bīstami un kam par to ziņot.Fiziskās drošības aspekti. Piemēri, kā ļaunprātīgas personas var mēģināt iegūt pieeju uzņēmuma vai organizācijas telpām. Kādas vietas ir potenciālie uzbrukuma mērķi. Kādēļ vienmēr viesi ir jāpavada no/ līdz izejai, kādēļ ir jālieto ID kartes.Datora drošība mājās. Minimums, kas katram būtu jādara, lai nodrošinātu sava personālā datora drošību mājās. Ielāpu likšana un programmatūras atjauninājumi, ugunsmūris, antivīrusa programmatūra, rezerves kopēšana. Drošs mājas bezvadu tīkls.Drošības incidents. Kā identificēt, to ka datorā tomēr ir iekļuvis hakeris vīruss vai ļaunprātīga programmatūra. Kādas ir pazīmes? Kā rīkoties, kam ziņot?
Līdzīgi kā darbinieku apmācības gadījumā, mēs jums vēlamies piedāvāt arī jaunu tā saukto mazo pakalpojumu – ievainojamību skanēšana,kura ietvaros ar automātisku rīku ātri un efektīvi iespējams iegūt tādu kā vispārējo drošības novērtējumu no tehniskās puses.
Vispirms vēlos uzsvērt to ka Mūsu uzņēmums ir unikāls ar to ka šeit ir apvienota gan ievērojama pieredze IT drošības jomā un tās novērtēšanā, un kas nav mazāk būtiski, ļoti liela pieredze tieši risinājumu ieviešanā un uzturēšanā un šī saikne nodrošina to ka drošības audita rezutlāti nebūs tikai augsta līmeņa vispārīgas rekomendācijas, bet gan konkrēti risinājumi vai konfigurācijas piemēri un galu galā mēs paši arī varam apņemties identificētos trūkumus priekš jums novērst.
