Hirdetés

Hadnagy és a humán hackerek

|

A social engineering az egyik legfélelmetesebb hackertechnika, hiszen jó svádájú emberek korrektnek, sőt kellemesnek tűnő beszélgetés közben csalnak ki érzékeny információkat vagy vesznek rá embereket olyan lépésekre, amelyekkel tudtukon kívül megalapozzák a károkozást. Van-e védekezés a sima modorral szemben?

Hirdetés

Chris Hadnagy, az egykori hacker (vagy ahogy a „szakmában” ismerték, loganWHD), a Social Engineering: a humán hackelés művészete (Social Engineering: The Art of Human Hacking) című könyvével meglehetősen nagy hírnévre tett szert, hiszen nyíltan beszélt a legkülönfélébb social engineering technikákról. A megtért hacker azóta tanácsadóként és felvilágosítóként a támadások emberi oldalával, a social engineeringgel és a fizikai biztonsággal foglalkozik. Többek között olyan eseteket elemzett, írt le és tett közzé, mint a hírhedt LulzSec csoport CIA, PBS, Sony Pictures vagy X-Factor elleni akcióinak körülményei.

hackeles

A hypervocal.com webzinnek adott interjúban kifejtette, hogy a social engineeringet egy másik ember befolyásolásának módszereként határozná meg, akit olyan cselekvésre vesznek rá, amelyhez lehet, hogy egyáltalán nem fűződik érdeke vagy éppen ellenérdekelt, de annak nincs tudatában. (Hadnagy erről a social-engineer.org weboldalon számos részletet közöl.) Sokszor aztán az így megszerzett információk képezik az alapját azoknak a támadásoknak, amelyek a célszemély hálózatának vagy szoftverének sérülékenységéhez vezetnek. Még az FBI is áldozatul esett a LulzSec mesterkedéseinek, amelynek eredményeként a VOIP szám megszerzésén keresztül percenként több mint 200 hívást továbbítottak az FBI-központhoz, s megbénították az intézmény kommunikációját.

A hackelés – Chris Hadnagy szerint – elég unalmas és aprólékos munka. Az csak a filmekben fordul elő, hogy percek alatt be lehet jutni egy hálózatba. A valóságban sok fáradság van az információgyűjtéssel, a felkutatott információk értelmezésével, a potenciális támadási irányok kiválasztásával, a támadás megtervezésével. Ezért aztán mielőtt erre adná a fejét, a hacker inkább megpróbálkozik a social engineeringgel. A hálózatba való bejutás egyik legegyszerűbb módja ugyanis, ha valakit sikerül megtéveszteni, aki vagy maga nyit ajtót, vagy ehhez megfelelő információkat szolgáltat ki.

Hirdetés

Hadnagy ezért mindenkinek azt ajánlja, hogy gondolkodjon, mielőtt beszél vagy cselekszik. A social engineering művelői ugyanis jól előkészített telefonhívások során próbálnak adatokat halászni az áldozataiktól, akik jobban tennék, ha meggondolnák, hogy kivel is beszélnek valójában, és azok mit kérnek tőlük. Emellett meggondolatlanság túl gyorsan sok információt kiadni, mert mire észbe kapnak, már lehet, hogy késő. De akkor hogyan lehet megelőzni a social engineering-támadásokat?

A szakértők szerint cégmérettől függetlenül a social engineering gyakorlóinak távol tartására érdemes egy három komponensből álló tervet készíteni.

Oktatás
Ki kell okítani az alkalmazottakat a vállalati és a személyes adatok védelmének fontosságáról. Meg kell róla győződni, hogy mind a munkatársak, mind pedig az ügyfelek tudatában vannak a social engineering taktikáinak, és annak is, hogy miként lehet manipulálni az embereket az adatok kiszolgáltatása érdekében, amit persze nekik nem kéne megtenniük.

Auditok
Sok vállalat a PCI adatbiztonsági szabványnak (vagy más biztonsági szabványoknak) való megfelelést auditáltatja, amely az elektronikus kártevők vagy hackertámadások elleni védelemre való előírásszerű felkészültséget ellenőrzi. Az social engineering elleni védelmet azonban nem vizsgálják ezek az auditok, azaz a gyengeségek rejtve maradnak. Ezért olyan felkészítőt és auditort érdemes választani, akinek ezen a területen megfelelő tapasztalata van, de nem hág át jogi vagy etikai normákat.

Hirdetés

Technológia
Gyakran a legjobb védekezés, ha a hackerek nem találnak embert, akit rávehetnének a céljaikat segítő lépésekre. De ha ezt nem lehet szavatolni, akkor legalább olyan eszközök kellenek, amelyek azonnal megállíthatják a rosszban sántikálót. Ilyen eszközök például a manipulációt detektáló szoftverek, a biometrikus hangazonosítás, a hívó fél tartózkodási helyét meghatározó alkalmazások telepítése az automata telefonközpontokba, vagy az ügyfél korábbi vásárlásai, kártyahasználata, szokásai alapján generált úgynevezett dinamikus biztonsági kérdések alkalmazása, amelyekkel mind kiszűrhető a hackelési kísérlet. ((felsorolás vége))

Végül is az oktatás, az auditok és a technológiai megoldások együtt alkothatnak olyan tűzfalat, amelyen a humán hackerek nem képesek átjutni az esetek többségében, azaz a cégek és az információik biztonságban vannak tőlük. Közben jó időről időre felidézni Chris Hadnagy véleményét is: a probléma egyik fő eleme, hogy a vállalatok úgy tekintenek a biztonságra, mint aminek meg kell lenni, nem pedig úgy, hogy az közvetlenül hasznot hajt a szervezetnek.

Ügyfélszolgálati változás!
--
Hirdetés
Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.