Social Engineering si etica hackingului

Post on 24-May-2015

1,925 views 2 download

transcript

salut.

cine sunt eu?

Tudor Damian, MCSAIT Solutions Specialisttudor.damian@transcent.ro

Tudy :)tudy@tudy.rowww.tudy.ro

despre ce e vorba?

social engineering

...sau ”hacking people”

etica hackingului

da, există și așa ceva :)

bun, hai să începem

Kevin Mitnick

(probabil) cel mai cunoscut ”hacker” din lume

atât doar că nu e hacker! :)

e ”social engineer”

etica hackingului

caz concret

te plimbi pe stradă...

...și vezi o casă cu ușa de la intrare deschisă...

ce faci?

1. suni la ușă și anunți proprietarii

2. intri, ai grijă să nu te vadă nimeni, scuipi în hol și pleci

3. intri, scuipi în hol, apoi îți suni toți prietenii să vină și să scuipe în hol până nu închide proprietarul ușa

la fel e și cu rețelele

descoperirea rețelelor distribuite nu e o noutate

iar descoperirea vulnerabilităților nici atât

e ca și cum te-ai lăuda că ai descoperit viața la bloc

de fapt, problema e alta:

(presupunând că)ești hacker

odată ce ai descoperit o gaură de securitate, ce faci?

păi, depinde...

să vorbim puțin despresistemele informatice

cum v-ar plăcea să fie unsistem informatic?

funcțional

sigur

ieftin

problema e căputeți alege maxim 2 opțiuni!

Sigur Ieftin

Funcțional

care e situația curentă?

aproape nimeni nu alege un sistem care să fie sigur și

ieftin, dar care nu e funcțional

câțiva ajung să prefere un sistem sigur și funcțional,

chiar dacă e mai scump

și din păcate, majoritatea aleg un sistem funcțional și ieftin, securitatea fiind pe planul doi

astfel apar hackerii

persoane care detecteazăproblemele de securitate

iar unii le și exploatează

fiindcă hackerii se împart în mai multe categorii

și care e diferența?

black hat: își folosesc cunoștințele în activități distructive sau malițioase

white hat: își utilizează cunoștințele în scopuri

defensive (security analysts)

gray hat: indivizi care acționează atât ofensiv, cât și defensiv, uneori la limita legii

hacktivists: hacking pentru o cauză, de obicei agendă politică

suicide hackers: pentru ei, îndeplinirea scopurilor e mai importantă decât o pedeapsă de

30 de ani de închisoare

bun, și totuși, ce fac hackerii?

un atac malițios are 5 faze

1. recunoaștere

poate fi activă sau pasivă

implică aflarea de informații despre ținta atacului

risc: notabil

e cam ca și atunci când cineva încearcă ușa de la intrare

2. scanning

faza de dinaintea atacului, în care se scanează rețeaua pentru a obține informații specifice

risc: ridicat

port scanners, network mapping, vulnerability scans, etc.

3. obținerea accesului

sistemul este compromis, s-a găsit o cale de acces

exploit-ul poate fi: în LAN, pe Internet, sau înșelătorie/furt

buffer overflows, DoS, session hijacking, password cracking

risc: maxim

atacatorul poate obține acces la nivel OS/aplicație/rețea

4. menținerea accesului

se încearcă păstrarea controlului asupra sistemului

hacker-ul poate apela la metode suplimentare de ”protecție”

Backdoors, RootKits, Trojans

upload, download, manipularea datelor/aplicațiilor din sistem

5. ascunderea urmelor

încercarea de a înlătura orice urmă de activitate

motive: acces pe termen lung, evitarea aspectelor legale

metode: alterarea log-urilor, tunneling, etc.

tipuri de atacuri

atacuri asupra SO (vulnerabilități, configurări)

atacuri la nivel de aplicație

remote network attacks(atacuri la distanță, Internet)

local network attacks

furtul echipamentelor

social engineering

o regulă importantă:

dacă un hacker vrea să intre în sistemul tău, va intra, iar tu

n-ai cum să-l oprești!

tot ce poți face e să te asiguri că îi îngreunezi (mult) munca :)

și am ajuns în sfârșit lasocial engineering

arta și știința de a-i face pe oameni să facă ce vrei tu

nu, nu e o formă de control al minții!

e cam ca și în vânzări

trebuie să creezi ”scânteia”

cea mai avansată metodă de vânzare: cea în care clientul nu

știe că i se vinde ceva

e nevoie de muncă ”de teren”

adunarea informațiilor

marea parte a efortului stă în pregătire

iar divagăm un pic...modelul OSI

Open Systems Interconnection

descriere abstractă a comunicării și protocoalelor

fiecare ”layer” funcționează bazat pe layer-ul inferior

7 – Application layer

6 – Presentation layer

5 – Session layer

4 – Transport layer

3 – Network layer

2 – Link layer

1 – Physical layer

lipsește ceva?

8 – Human layer

7 – Application layer

6 – Presentation layer

5 – Session layer

4 – Transport layer

3 – Network layer

2 – Link layer

1 – Physical layer

nu există nici un sistem în lume care să nu se bazeze pe oameni

S.E. trece de toate controalele din layer-ele OSI 1-7, mergând direct la veriga cea mai slabă

layer 8, oamenii

câteva statistici

câte persoane și-ar da parola de la firmă unei necunoscute care

îi abordează pe stradă?

...pentru o ciocolată?

studiu, Londra, 2003

și-au dat parola în schimbul unui pix ieftin

au divulgat informații despre parolă (date de naștere, nume,

echipe preferate, etc.)

iau cu ei informații sensibile când își schimbă locul de muncă

și-au dat parola lor colegilor de servici

știau parolele colegilor

aveau aceeași parolă peste tot

psihologia în social engineering

transferul de responsabilitate

”directorul tehnic mi-a spus să-ți transmit că n-o să fie vina ta dacă sunt probleme”

șansa de a primi o recompensă

”uite ce ai putea obține tu din treaba asta!”

relație de încredere

”ah, Pamfil e băiat de treabă, pot avea încredere în el...”

datorie morală

”trebuie să mă ajuți! pe tine nu te enervează treaba asta?”

sentimentul de vină

”cum, nu vrei să mă ajuți?...”

dorința de ajutor

”îmi deschizi ușa asta, te rog?”

cooperare

”hai să lucrăm împreună, putem obține mult mai mult!”

pași spre a fi un bunsocial engineer

1. fii profesionist

2. fii calm

3. cunoaște-ți ținta

4. nu încerca să fraierești pe cineva mai inteligent ca tine

5. fă-ți un plan de scăpare

6. fii femeie

7. folosește însemne ”oficiale”

8. folosește cărți de vizităcu nume fals

9. manipulează-i doar pe cei neglijenți, neatenți și proști

10. dacă e nevoie, folosește o echipă

categorii de ”atacuri”în social engineering

cerere directă

de obicei are cele mai mari șanse să eșueze

situație controversată

fă ca ținta să aibă mai mulți factori de luat în considerare

deghizare

om de serviciu, angajat, etc.

putere de convingere

fă ținta să creadă că are controlul asupra situației

pe cine poți ”ataca”?

victimele se disting prin gradul de implicare, precum și factorii de influență la care răspund

implicare vs. influențabilitate

grad de implicare sunt influențați de nu sunt influențați de

ridicat• administratori de sistem• persoane din conducere• tehnicieni

argumente solide• motive reale pentru a avea nevoie de acea informație

argumente slabe• cer contraargumente• scad posibilitatea de conformare

scăzut• recepționiste• îngrijitori• agenți de pază

alte informații• urgență• număr de motive• statutul persoanei

motivele reale• nu sunt relevante, nu le pasă• vor ignora ironiile insistente

cine are nevoie de acces fizic?

”cool pics attached!”

instrumente și tehnici

în cele mai multe cazuri, ai nevoie doar de două lucruri:

un telefon

o țintă(poate un fost bun prieten)

odată ce ai ales ținta, începi să aduni informații

asta va da un sens de autenticitate dialogurilor

poți să obții o listă a angajatilor, și a sistemelor

cum? whois, finger, domain tools, site-ul firmei, motorul

de căutare preferat

faci o vizită la sediu

te îmbraci corespunzător, ca să poți trece neobservat

ID badge fals

observă cum se intră/iese

fii încrezător, ca și cum ai fi ”de-al casei”

vezi cum sunt legate calculatoarele

uită-te după anunțuri, notițe, liste afișate

vorbește cu angajații ”de jos”

”dumpster diving”

după ce mă uit? memo-uri, cărți de telefon, politici interne, calendare, manuale, CD-uri,

organigrame, listări de username/parole, cod sursă,

hardware vechi, ...

îți construiești o abordare

începi atacul în scris

”poți fi unul din câștigători!”

”opinia dvs. contează!”

sau prin email ”oficial”

”vom avea nevoie de parola dvs. pentru a confirma/verifica...”

după aceea dai un telefon

ceri parola, sau alte date

fii atent la modul de comunicare

atacul propriu-zis

ai toate datele despre țintă, sistemul informatic, etc.

suni la help-desk, spui că nu poți face logon

verificarea o ”treci” folosind informațiile adunate

și te rogi pentru o lipsă de ”social skills” :)

important: nu cere prea mult

reverse social engineering

reclamă

lași o carte de vizită

incluzi informații de contact în cazul unei probleme

sabotaj

creezi o problemă în rețeaua țintă

asistență

”repari” problema, timp în care obții acces la datele dorite

nu uita de un Backdoor(sau două)

cum să te protejezi de atacuri de tip social engineering?

de obicei, social engineering-ul e ignorat

e văzut ca un atac asupra inteligenței

și nimeni nu vrea să admită că a fost fraierit

persoanele tehnice își etalează ostentativ cunoștințele

de multe ori sunt dispuși să le împărtășească

oricine poate fi o victimă, dacă atacatorul e suficient de

insistent și de bine pregătit

bun, și ce facem?

nu încurajați comportamentul necorespunzător

o apărare pe mai multe nivele

fundația: politici de securitate

educare: security ”awareness”

reamintiri periodice

”capcane” de social engineering

incident response

strategii de prevenire

help-desk: parolele și alte informații confidențiale nu se

transmit telefonic

intrarea în clădire: securitate, verificarea legitimațiilor

birou: nu se scriu parole când altcineva e prin zonă

birou: persoanele care se plimbă pe holuri sunt duse la ieșire

birou: documentele marcate ”confidențial” ținute sub cheie

zona cu echipamente: elemente de securitate fizică, anti-furt

telefon, PBX: controlul apelurilor la distanță, call trace, refuzul transferului

gunoi: mediile de stocare se aruncă doar după ce au fost

făcute inutilizabile

internet/intranet: awareness, politici de securitate, training

link-uri?

puteți să vă faceți propria colecție :)

www.google.com/search?q=social+engineering

întrebări

mulțumesc.