Social Engineering si etica hackingului
239
-
Upload
tudor-damian -
Category
Documents
-
view
1.927 -
download
2
Transcript of Social Engineering si etica hackingului
salut.
cine sunt eu?
Tudor Damian, MCSAIT Solutions [email protected]
Tudy :)[email protected]
despre ce e vorba?
social engineering
...sau ”hacking people”
etica hackingului
da, există și așa ceva :)
bun, hai să începem
Kevin Mitnick
(probabil) cel mai cunoscut ”hacker” din lume
atât doar că nu e hacker! :)
e ”social engineer”
etica hackingului
caz concret
te plimbi pe stradă...
...și vezi o casă cu ușa de la intrare deschisă...
ce faci?
1. suni la ușă și anunți proprietarii
2. intri, ai grijă să nu te vadă nimeni, scuipi în hol și pleci
3. intri, scuipi în hol, apoi îți suni toți prietenii să vină și să scuipe în hol până nu închide proprietarul ușa
la fel e și cu rețelele
descoperirea rețelelor distribuite nu e o noutate
iar descoperirea vulnerabilităților nici atât
e ca și cum te-ai lăuda că ai descoperit viața la bloc
de fapt, problema e alta:
(presupunând că)ești hacker
odată ce ai descoperit o gaură de securitate, ce faci?
păi, depinde...
să vorbim puțin despresistemele informatice
cum v-ar plăcea să fie unsistem informatic?
funcțional
sigur
ieftin
problema e căputeți alege maxim 2 opțiuni!
Sigur Ieftin
Funcțional
care e situația curentă?
aproape nimeni nu alege un sistem care să fie sigur și
ieftin, dar care nu e funcțional
câțiva ajung să prefere un sistem sigur și funcțional,
chiar dacă e mai scump
și din păcate, majoritatea aleg un sistem funcțional și ieftin, securitatea fiind pe planul doi
astfel apar hackerii
persoane care detecteazăproblemele de securitate
iar unii le și exploatează
fiindcă hackerii se împart în mai multe categorii
și care e diferența?
black hat: își folosesc cunoștințele în activități distructive sau malițioase
white hat: își utilizează cunoștințele în scopuri
defensive (security analysts)
gray hat: indivizi care acționează atât ofensiv, cât și defensiv, uneori la limita legii
hacktivists: hacking pentru o cauză, de obicei agendă politică
suicide hackers: pentru ei, îndeplinirea scopurilor e mai importantă decât o pedeapsă de
30 de ani de închisoare
bun, și totuși, ce fac hackerii?
un atac malițios are 5 faze
1. recunoaștere
poate fi activă sau pasivă
implică aflarea de informații despre ținta atacului
risc: notabil
e cam ca și atunci când cineva încearcă ușa de la intrare
2. scanning
faza de dinaintea atacului, în care se scanează rețeaua pentru a obține informații specifice
risc: ridicat
port scanners, network mapping, vulnerability scans, etc.
3. obținerea accesului
sistemul este compromis, s-a găsit o cale de acces
exploit-ul poate fi: în LAN, pe Internet, sau înșelătorie/furt
buffer overflows, DoS, session hijacking, password cracking
risc: maxim
atacatorul poate obține acces la nivel OS/aplicație/rețea
4. menținerea accesului
se încearcă păstrarea controlului asupra sistemului
hacker-ul poate apela la metode suplimentare de ”protecție”
Backdoors, RootKits, Trojans
upload, download, manipularea datelor/aplicațiilor din sistem
5. ascunderea urmelor
încercarea de a înlătura orice urmă de activitate
motive: acces pe termen lung, evitarea aspectelor legale
metode: alterarea log-urilor, tunneling, etc.
tipuri de atacuri
atacuri asupra SO (vulnerabilități, configurări)
atacuri la nivel de aplicație
remote network attacks(atacuri la distanță, Internet)
local network attacks
furtul echipamentelor
social engineering
o regulă importantă:
dacă un hacker vrea să intre în sistemul tău, va intra, iar tu
n-ai cum să-l oprești!
tot ce poți face e să te asiguri că îi îngreunezi (mult) munca :)
și am ajuns în sfârșit lasocial engineering
arta și știința de a-i face pe oameni să facă ce vrei tu
nu, nu e o formă de control al minții!
e cam ca și în vânzări
trebuie să creezi ”scânteia”
cea mai avansată metodă de vânzare: cea în care clientul nu
știe că i se vinde ceva
e nevoie de muncă ”de teren”
adunarea informațiilor
marea parte a efortului stă în pregătire
iar divagăm un pic...modelul OSI
Open Systems Interconnection
descriere abstractă a comunicării și protocoalelor
fiecare ”layer” funcționează bazat pe layer-ul inferior
7 – Application layer
6 – Presentation layer
5 – Session layer
4 – Transport layer
3 – Network layer
2 – Link layer
1 – Physical layer
lipsește ceva?
8 – Human layer
7 – Application layer
6 – Presentation layer
5 – Session layer
4 – Transport layer
3 – Network layer
2 – Link layer
1 – Physical layer
nu există nici un sistem în lume care să nu se bazeze pe oameni
S.E. trece de toate controalele din layer-ele OSI 1-7, mergând direct la veriga cea mai slabă
layer 8, oamenii
câteva statistici
câte persoane și-ar da parola de la firmă unei necunoscute care
îi abordează pe stradă?
...pentru o ciocolată?
studiu, Londra, 2003
și-au dat parola în schimbul unui pix ieftin
au divulgat informații despre parolă (date de naștere, nume,
echipe preferate, etc.)
iau cu ei informații sensibile când își schimbă locul de muncă
și-au dat parola lor colegilor de servici
știau parolele colegilor
aveau aceeași parolă peste tot
psihologia în social engineering
transferul de responsabilitate
”directorul tehnic mi-a spus să-ți transmit că n-o să fie vina ta dacă sunt probleme”
șansa de a primi o recompensă
”uite ce ai putea obține tu din treaba asta!”
relație de încredere
”ah, Pamfil e băiat de treabă, pot avea încredere în el...”
datorie morală
”trebuie să mă ajuți! pe tine nu te enervează treaba asta?”
sentimentul de vină
”cum, nu vrei să mă ajuți?...”
dorința de ajutor
”îmi deschizi ușa asta, te rog?”
cooperare
”hai să lucrăm împreună, putem obține mult mai mult!”
pași spre a fi un bunsocial engineer
1. fii profesionist
2. fii calm
3. cunoaște-ți ținta
4. nu încerca să fraierești pe cineva mai inteligent ca tine
5. fă-ți un plan de scăpare
6. fii femeie
7. folosește însemne ”oficiale”
8. folosește cărți de vizităcu nume fals
9. manipulează-i doar pe cei neglijenți, neatenți și proști
10. dacă e nevoie, folosește o echipă
categorii de ”atacuri”în social engineering
cerere directă
de obicei are cele mai mari șanse să eșueze
situație controversată
fă ca ținta să aibă mai mulți factori de luat în considerare
deghizare
om de serviciu, angajat, etc.
putere de convingere
fă ținta să creadă că are controlul asupra situației
pe cine poți ”ataca”?
victimele se disting prin gradul de implicare, precum și factorii de influență la care răspund
implicare vs. influențabilitate
grad de implicare sunt influențați de nu sunt influențați de
ridicat• administratori de sistem• persoane din conducere• tehnicieni
argumente solide• motive reale pentru a avea nevoie de acea informație
argumente slabe• cer contraargumente• scad posibilitatea de conformare
scăzut• recepționiste• îngrijitori• agenți de pază
alte informații• urgență• număr de motive• statutul persoanei
motivele reale• nu sunt relevante, nu le pasă• vor ignora ironiile insistente
cine are nevoie de acces fizic?
”cool pics attached!”
instrumente și tehnici
în cele mai multe cazuri, ai nevoie doar de două lucruri:
un telefon
o țintă(poate un fost bun prieten)
odată ce ai ales ținta, începi să aduni informații
asta va da un sens de autenticitate dialogurilor
poți să obții o listă a angajatilor, și a sistemelor
cum? whois, finger, domain tools, site-ul firmei, motorul
de căutare preferat
faci o vizită la sediu
te îmbraci corespunzător, ca să poți trece neobservat
ID badge fals
observă cum se intră/iese
fii încrezător, ca și cum ai fi ”de-al casei”
vezi cum sunt legate calculatoarele
uită-te după anunțuri, notițe, liste afișate
vorbește cu angajații ”de jos”
”dumpster diving”
după ce mă uit? memo-uri, cărți de telefon, politici interne, calendare, manuale, CD-uri,
organigrame, listări de username/parole, cod sursă,
hardware vechi, ...
îți construiești o abordare
începi atacul în scris
”poți fi unul din câștigători!”
”opinia dvs. contează!”
sau prin email ”oficial”
”vom avea nevoie de parola dvs. pentru a confirma/verifica...”
după aceea dai un telefon
ceri parola, sau alte date
fii atent la modul de comunicare
atacul propriu-zis
ai toate datele despre țintă, sistemul informatic, etc.
suni la help-desk, spui că nu poți face logon
verificarea o ”treci” folosind informațiile adunate
și te rogi pentru o lipsă de ”social skills” :)
important: nu cere prea mult
reverse social engineering
reclamă
lași o carte de vizită
incluzi informații de contact în cazul unei probleme
sabotaj
creezi o problemă în rețeaua țintă
asistență
”repari” problema, timp în care obții acces la datele dorite
nu uita de un Backdoor(sau două)
cum să te protejezi de atacuri de tip social engineering?
de obicei, social engineering-ul e ignorat
e văzut ca un atac asupra inteligenței
și nimeni nu vrea să admită că a fost fraierit
persoanele tehnice își etalează ostentativ cunoștințele
de multe ori sunt dispuși să le împărtășească
oricine poate fi o victimă, dacă atacatorul e suficient de
insistent și de bine pregătit
bun, și ce facem?
nu încurajați comportamentul necorespunzător
o apărare pe mai multe nivele
fundația: politici de securitate
educare: security ”awareness”
reamintiri periodice
”capcane” de social engineering
incident response
strategii de prevenire
help-desk: parolele și alte informații confidențiale nu se
transmit telefonic
intrarea în clădire: securitate, verificarea legitimațiilor
birou: nu se scriu parole când altcineva e prin zonă
birou: persoanele care se plimbă pe holuri sunt duse la ieșire
birou: documentele marcate ”confidențial” ținute sub cheie
zona cu echipamente: elemente de securitate fizică, anti-furt
telefon, PBX: controlul apelurilor la distanță, call trace, refuzul transferului
gunoi: mediile de stocare se aruncă doar după ce au fost
făcute inutilizabile
internet/intranet: awareness, politici de securitate, training
link-uri?
puteți să vă faceți propria colecție :)
www.google.com/search?q=social+engineering
întrebări
mulțumesc.
