Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Umenie sociálneho inžinierstva

Zdá sa, že človek, ktorý dokáže ľahko manipulovať a presviedčať ľudí má reálny život o niečo ľahší, i keď sa mu môže tento postup často krát vypomstiť. Pokiaľ však svoj talent prenesie do kybernetického priestoru a spojí ho s inými zručnosťami v oblasti informačných technológií vzniká veľmi zaujímavá kombinácia a o tom, že je zväčša aj veľmi nebezpečná nás presviedča nielen minulosť, ale čoraz častejšie i prítomnosť.

Sociálne inžinierstvo je vždy výlučne o ľuďoch

Bežná slovníková definícia pojmu sociálne inžinierstvo znie, že ide o postup akým útočník, v ktorého úlohe môže byť v podstate ktokoľvek a v akejkoľvek situácií, využije manipuláciu človeka za účelom získania istých pre neho prospešných informácií. Celé to znie veľmi všeobecne, čo je správne, pretože techniky sociálneho inžinierstva možno aplikovať skutočne v akejkoľvek oblasti života. My sa však zameriame na spojitosť s oblasťou IT.

Sociálne inžinierstvo je skutočne len o ľuďoch, o miere ich dôverčivosti, inteligentnosti, či dedukcii. Úlohou útočníka je využiť všetky prostriedky na to, aby sa dostal k požadovaným údajom. Na to musí byť samozrejme tiež dostatočne inteligentný, presvedčivý a v neposlednej rade aj trpezlivý.

Už dlhú dobu je známa istá múdra myšlienka: Aj ten najbezpečnejší počítačový systém je v konečnom dôsledku bezpečný iba tak, ako bezpečný je jeho najslabší článok. Týmto článkom je spravidla človek. A vo firemnom prostredí môžeme za najslabší článok konkrétne označiť zamestnancov. Istí zamestnanci vždy pracujú so zaujímavými dátami a samozrejme mnohokrát sa stane, že nedodržia bezpečnostnú politiku resp. nedajú na pravidlá, ktoré im nariadil administrátor. I keď sa v určitých organizáciách žiaľ objavujú aj prípady, kde sociálne inžinierstvo mnoho administrátorovi nehovorí, alebo čo je ešte horšie, nehovorí mu nič ani pojem bezpečnostnej politiky. Avšak v súkromnom sektore si riziká plynúce z kybernetických hrozieb uvedomuje samotný manažment čoraz častejšie.

Prečo využiť sociálne inžinierstvo z pohľadu útočníka?

Vžime sa na chvíľku do situácie samotného útočníka. Predstavme si, že jeho úlohou je realizovať priemyselnú špionáž na objednávku. Predstaviť si to však nie je veľmi ťažké, pretože to hneď môžeme demonštrovať aj reálnymi, ba dokonca nie veľmi dávnymi príkladmi. Ide napríklad o prienik do siete Medzinárodného menového fondu (MMF), ako ďalší príklad môže poslúžiť aj už pomerne dávny únik vtedy nového dielu Harryho Pottera a mnoho ďalších. Zrejme všetky tieto prípady majú veľmi podobný scenár. Útočník oklamal patričných zamestnancov.

Z hľadiska vynaloženej námahy sa to hackerovi istotne oplatilo viac, ako pracne prekonať niekoľko faktorovú sieťovú ochranu. Môže si položiť otázku načo sa namáhať, keď je všade prítomná ľudská hlúposť? A skutočne sfalšovať e-mail, do ktorého je vložený škodlivý kód, ktorý pri troche šťastia obeť aj sama „nečujne“ aktivuje, prípadne využitie podvodnej webovej stránky, pdf dokumentu, alebo obľúbenej sociálnej siete je oveľa menej namáhajúce, ako prekonať firewall, IDS, či IPS systém, rôzne autentifikačné nástroje a ešte k tomu aj zahladiť po sebe stopy. Sociálne inžinierstvo je efektívnejšie aj z pohľadu času a financií. Útočník môže viac času venovať napríklad programovaniu špionážneho kódu, ako prekonávaniu obranných prostriedkov danej siete.

Jedinou požiadavkou je byť presvedčivý, a teda mať originálny nápad, ktorý zaručí, že obeť spustí nejaké prekvapenie v prílohe. Táto požiadavka vyžaduje silnú prípravu predchádzajúcu samotnému útoku. Útočník si musí o danom subjekte zistiť všetky potrebné informácie, ideálne i návyky a vhod by mu prišlo istotne aj oboznámenie sa s pomermi v danej organizácií.

Na čo môže vsadiť útočník? Niekedy stačí skutočne málo...

Začnime opäť reálnym príkladom. Spoločnosť F-Secure odhalila e-mail, ktorým prenikli útočníci do siete spoločnosti RSA. Táto kauza bola patrične vážna. Hackeri použili phishingový e-mail, ktorý zaslali zamestnancom, jeho predmet niesol názov "2011 Recruitment Plan," v prílohe obsahoval súbor "2011 Recruitment plan.xls." (V preklade: Náborový plán 2011.) Telo e-mailu obsahovalo jednoduchý text: "I forward this file to you for review. Please open and view it." (V preklade: Posielam tento súbor na preverenie, prosím otvorte ho a pozrite sa naň.) Odosielateľom bola e-mailová adresa webmaster@beyond.com, služba Beyond sa zaoberá hľadaním zamestnancov. Samotný .xls súbor obsahoval Flash objekt zneužívajúci toho času ešte neznámu bezpečnostnú zraniteľnosť CVE-2011-0609, ktorá sa týkala Adobe Flash Playera. Hackerom tak umožnila integráciu backdoora do systémov obetí. Podvodný e-mail mal byť odoslaný minimálne štyrom zamestnancom spoločnosti.

Z príkladu vyplýva, že v jednoduchosti je krása. Útočník si veľa námahy s prácou na podvode nedal, no i tak boli následky obrovské. Zamestnanci totiž daný súbor otvorili a tým umožnili odcudzenie údajov ohľadne autentizačného nástroja SecurID, ktoré neskôr viedlo k útokom na rôzne významné spoločnosti, ako Lockheed Martin.

Phisingový e-mail je veľmi obľúbený, pomáhajú aj podvodné webstránky

Stretnúť sa môžeme skutočne s veľkým spektrom útokov založených na manipulácií. Najpopulárnejším a veľmi ľahko realizovateľným ostáva stále e-mail. Útočníci si však zväčša dajú s podvodným e-mailom väčšiu námahu. V prvom rade je potrebné získať o potenciálnej obete čo najviac použiteľných informácií. Tento krok je zvyčajne absolútne rozhodujúci. Čím viac informácií útočník pozná tým profesionálnejší útok môže zrealizovať. Ideálne je ak útočník adresuje e-mail konkrétnej osobe, či už fyzickej, alebo v určitej organizácií. Jedným z dôležitých prvkov bez ktorých nie je zväčša možné uspieť je sfalšovanie adresy odosielateľa. Keďže nejde o nijak zložitý proces, ktorý dnes dokonca umožňuje realizovať mnoho internetových služieb, fantázií sa medze nekladú. Hacker sa môže vydávať za personálnu spoločnosť, za kolegu, rodinného príslušníka, veľmi často sa falšujú e-mailové adresy rôznych spoločností, ktoré poskytujú podporu, prípadne adresy oddelení zameraných na technickú podporu. Ak má správa uspieť musí obsahovať príznačný predmet, napr. ako bolo spomenuté vyššie hľadanie zamestnancov, žiadosť o kontrolu dokumentu, ale niekedy je úspešný aj lákavý reklamný názov. Telo e-mailu musí obsahovať text, prípadne dizajn, ktorý doslova „núti“ užívateľa otvoriť prílohu, prípadne kliknúť na odkaz, ktorý obsahuje. Buď sa vsadí na veľmi formálny vzhľad, priateľský, alebo lákavý... Odolali by ste nevinne vyzerajúcemu e-mailu od vášho starého priateľa, ktorý vás vyzýva k zhliadnutiu videa z dovolenky? Hacker musí dbať aj na zabránenie odhalenia svojej osoby a podvodný e-mail zvyčajne smeruje hneď cez niekoľko proxy serverov.

Nie vždy je však cieľom útočníka spustenie škodlivého kódu. Veľmi často sa možno stretnúť aj s podvodnými prosbami, ktoré ťažia z ľudskej dôverčivosti a ochoty pomôcť. Cieľom hackera je získať určité údaje, ako mená, heslá, čísla a podobne.

Súbor v prílohe je veľmi efektívny vtedy, pokiaľ zobrazí nejaký obsah na „zalepenie očí“ užívateľovi a v tichosti vykoná svoju prácu. Pokiaľ využije zero-day zraniteľnosť určitého softvéru efektivita je veľmi vysoká. Veľmi často sa v súčasnosti používa aj odkaz na webovú stránku, ktorá je laickým okom nerozoznateľná od originálu. V rámci tejto stránky môže dôjsť k zneužitiu zraniteľnosti prehliadača, ale i jeho pluginov.

Sociálne inžinierstvo cez telefón, ako jedna z možností

Sociálne inžinierstvo cez telefón, fenomén známy skôr z minulosti. Avšak často skvelý nástroj na dosiahnutie stanoveného cieľa. V minulosti sa nielen týmto spôsobom preslávil vtedajší veľký hacker, dnes bezpečnostný konzultant - Kevin Mitnick. Jeho technika psychologicky presvedčiť akéhokoľvek pracovníka, dokonca nielen cez telefón, no i osobne a narozprávať mu čokoľvek bola dokonalá. A to stihol už do svojich 17 rokov. I dnes aj keď už v menšom meradle sa útoky zamerané na ľudskú inteligenciu realizované prostredníctvom telefónu objavujú. Veľmi často môže niekto vydávajúc sa za zamestnanca, ktorý zabudol heslo dožadovať na technickej podpore jeho resetovanie. Prípadne môže naliehať na udelenie prístupových práv do určitých sektorov (napríklad vydávaním sa za externého spolupracovníka, či dodávateľa). Záleží len na pracovníkovi podpory, či sa nechá presvedčiť, alebo sa bude držať protokolu a žiadať všetky patričné autentifikačné náležitosti, čo je často zdĺhavejší proces, no nevypláca sa ho obchádzať.

Masové sociálne inžinierstvo

Sociálne inžinierstvo sa dá realizovať i vo vyššej miere ako útokom na jednotlivca, či špecifickú organizáciu. Príkladom je napríklad červ Trojan.FakeAV.LVT, ten dokonale demonštruje pojem „masového“ sociálneho inžinierstva. K tomuto procesu využíval veľmi populárnu sociálnu sieť Facebook. Váš priateľ vám jednoducho poslal správu obsahujúcu link a drvivá väčšina ľudí naň bez rozmyslenia klikla. Zrejme si mysleli, že ich priateľ im nemôže poslať nič zlé. Prekvapením však bolo, že link v skutočnosti ich priateľ neposlal, ba o tom ani nevedel, sám sa stal obeťou. Po kliknutí na odkaz boli užívatelia presmerovaný na stránku s obsahom malware. Z tejto „Facebook epidémie“ jasne plynie, že sociálne inžinierstvo je ľahko a efektívne využiteľný nástroj pre šírenie červov, či už elektronickou poštou, IM protokolmi, alebo sociálnymi sieťami. Ostatne ide o dlhodobo známy fakt a tak ho uvádzame len pre úplnosť. :-) A každému je snáď tiež jasné, že pre útočníkov sú sociálne siete doslova rajom.

Ako sa chrániť

Ako sa v reálnom živote pri bežných situáciách chránite proti oklamaniu? Všeobecne asi zvýšenou pozornosťou, rozvahou a premýšľaním. Na obranu pred sociálnym inžinierstvom v IT svete platí to isté. Okrem toho samozrejme nemožno podceniť toľko omieľané používanie bezpečnostných prvkov. Dôležité je zbystrieť počas udalostí ako sú prírodné katastrofy, sviatky, veľké kultúrne a spoločenské udalosti. Útočníci tu presnejšie tvorcovia malware sa chytajú skutočne každej nitky. Samozrejme radi hrajú na vaše city, podporte choré deti, či ľudí po živelnej pohrome. Toto všetku sú ťahy používané pri masívnom šírení hrozieb, ide tu o prelínanie s pojmom phishing. Dôverujte, ale preverujte a toto platí aj pred kliknutím na link od vášho Facebook priateľa.

Oveľa ťažšie je brániť sa pred cieleným útokom, tu skutočne nepomôže nič iné ako byť pozorný a premýšľať. Je veľmi vhodné používať všade, kde je to možné šifrovanú komunikáciu (HTTPS, SSL, SSH a pod.) a tiež si dať pozor pri využívaní DNS, teda prekladu doménového názvu na IP adresu. Ako vhodné sa oplatí použiť plugin HTTPS Everywhere pre interneový prehliadač Firefox. Ak daná stránka podporuje HTTPS verziu, vždy vás na ňu presmeruje. Ak si chcete overiť, či webová stránka podporuje DNSSEC, zabezpečený preklad doménového názvu proti možnému podvrhnutiu, prínosný je plugin DNSSEC validator taktiež pre Firefox od CZ NIC.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


Security-portal.cz Hoax.cz Soom.cz