Ymmärrä sosiaalinen tekniikka – suoja hakkerointia vastaan

Viimeaikainen uutinen sai minut ymmärtämään, kuinka ihmisten tunteita ja ajatuksia voidaan käyttää (tai käytetään) muiden hyväksi. Melkein jokainen teistä tuntee Edward Snowdenin(Edward Snowden) , NSA :n ilmiantajan, joka nuuskii ympäri maailmaa. Reuters kertoi, että hän sai noin 20-25 NSA :n henkilöä luovuttamaan salasanansa hänelle myöhemmin vuotamiensa tietojen palauttamiseksi [1]. Kuvittele(Imagine) , kuinka hauras yrityksesi verkko voi olla, jopa vahvimmilla ja parhaimmilla tietoturvaohjelmistoilla!

social_engineering

Mitä on sosiaalinen suunnittelu

Inhimillistä(Human) heikkoutta, uteliaisuutta, tunteita ja muita ominaisuuksia on usein käytetty laittomaan tiedonpoiminnassa – olipa kyseessä mikä tahansa toimiala. IT(IT Industry) - ala on kuitenkin antanut sille nimen social engineering. Määrittelen sosiaalisen suunnittelun seuraavasti:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Tässä on toinen rivi samasta uutisesta [1], jota haluan lainata - " Turvallisuusviranomaisilla on vaikeuksia ajatuksen kanssa, että kaveri seuraavassa koppissa ei ehkä ole luotettava(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) ". Muokkasin lausetta hieman, jotta se sopisi tähän kontekstiin. Voit lukea koko uutisen Referenssit(References) -osiossa olevan linkin kautta.

Toisin sanoen sinulla ei ole täydellistä hallintaa organisaatioidesi turvallisuudesta, sillä sosiaalinen suunnittelu kehittyy paljon nopeammin kuin sen kanssa selviytymistekniikat. Sosiaalinen(Social) suunnittelu voi olla mitä tahansa, kuten soittamista jollekulle sanomalla, että olet tekninen tuki, ja pyytää heiltä kirjautumistietoja. Olet täytynyt saada tietojenkalasteluviestejä arpajaisista, rikkaista Keski-idän(Mid East) ja Afrikan(Africa) ihmisistä, jotka haluavat liikekumppaneita, ja työtarjouksia, joissa pyydetään tietojasi.

Toisin kuin tietojenkalasteluhyökkäykset, sosiaalinen manipulointi on suurelta osin suoraa ihmisten välistä vuorovaikutusta. Edellinen (phishing) käyttää syöttiä – toisin sanoen "kalastajat" tarjoavat sinulle jotain toivoen, että tulet siihen. Sosiaalinen(Social) suunnittelu tarkoittaa enemmän sisäisten työntekijöiden luottamuksen voittamista, jotta he paljastavat tarvitsemasi yrityksen tiedot.

Lue: (Read:) Sosiaalisen suunnittelun suositut menetelmät .

Tunnetut sosiaalisen suunnittelun tekniikat

Niitä on monia, ja ne kaikki käyttävät perusinhimillisiä taipumuksia päästäkseen minkä tahansa organisaation tietokantaan. Eniten käytetty (todennäköisesti vanhentunut) social engineering -tekniikka on soittaa ja tavata ihmisiä ja saada heidät uskomaan, että he tulevat teknisestä tuesta, joiden on tarkistettava tietokoneesi. He voivat myös luoda väärennettyjä henkilökortteja luottamuksen lisäämiseksi. Joissakin tapauksissa syylliset esiintyvät valtion virkamiehinä.

Toinen kuuluisa tekniikka on palkata henkilösi työntekijänä kohdeorganisaatiossa. Nyt, koska tämä huijari on kollegasi, voit luottaa hänelle yrityksen tiedot. Ulkopuolinen työntekijä saattaa auttaa sinua jossain, joten sinusta tuntuu velvollisuudelta, ja silloin hän voi tehdä maksimaalista.

Luin myös joitain raportteja ihmisistä, jotka käyttävät sähköisiä lahjoja. Yrityksesi osoitteeseen toimitettu hieno USB -tikku tai autossasi oleva kynäasema voi osoittautua katastrofiksi. Eräässä tapauksessa joku jätti tahallaan joitakin USB -asemia parkkipaikalle syöteiksi [2].

Jos yrityksesi verkossa on hyvät suojatoimenpiteet jokaisessa solmussa, olet siunattu. Muuten nämä solmut tarjoavat helpon pääsyn haittaohjelmille - tuossa lahjassa tai "unohdetuissa" kynäasemissa - keskusjärjestelmiin.

Sellaisenaan emme voi tarjota kattavaa luetteloa sosiaalisen manipuloinnin menetelmistä. Se on tieteen ytimessä yhdistettynä taiteeseen huipulla. Ja tiedät, ettei kummallakaan ole rajoja. Sosiaalisen(Social) suunnittelun tyypit jatkavat luovuuttaan kehittäessään ohjelmistoja, jotka voivat myös väärinkäyttää langattomia laitteita päästäkseen yrityksen Wi-Fi- verkkoon .

Lue: (Read:) Mikä on sosiaalisesti suunniteltu haittaohjelma .

Estä sosiaalinen suunnittelu

Henkilökohtaisesti en usko, että järjestelmänvalvojat voivat käyttää mitään teoreemaa estääkseen sosiaalisen manipuloinnin hakkeroinnit. Sosiaalisen suunnittelun tekniikat muuttuvat jatkuvasti, ja siksi IT-järjestelmänvalvojien on vaikea seurata, mitä tapahtuu.

Tietenkin on syytä pitää silmällä sosiaalisen manipuloinnin uutisia, jotta ihminen on tarpeeksi tietoinen asianmukaisten turvatoimien toteuttamiseksi. Esimerkiksi USB - laitteiden tapauksessa järjestelmänvalvojat voivat estää USB -asemat yksittäisissä solmuissa sallien ne vain palvelimella, jossa on parempi suojajärjestelmä. Samoin (Likewise)Wi-Fi tarvitsee paremman salauksen kuin useimmat paikalliset Internet- palveluntarjoajat(ISPs) tarjoavat.

Henkilöstön kouluttaminen ja satunnaisten testien tekeminen eri työntekijäryhmille voivat auttaa tunnistamaan organisaation heikkoja kohtia. Olisi helppoa kouluttaa ja varoittaa heikompia yksilöitä. Valppaus(Alertness) on paras puolustus. Painopisteenä tulee olla se, että kirjautumistietoja ei saa jakaa edes tiiminjohtajien kanssa – paineesta riippumatta. Jos tiiminvetäjä tarvitsee pääsyn jäsenen sisäänkirjautumiseen, hän voi käyttää pääsalasanaa. Tämä on vain yksi ehdotus pysyä turvassa ja välttää sosiaalisen manipuloinnin hakkerit.

Tärkeintä on, että haittaohjelmien ja verkkohakkereiden lisäksi IT-ihmisten on huolehdittava myös sosiaalisesta suunnittelusta. Tunnistaessaan tietomurron menetelmiä (kuten salasanojen kirjoittamista jne.) järjestelmänvalvojien tulee myös varmistaa, että heidän henkilökuntansa on tarpeeksi älykäs tunnistamaan manipulointitekniikka, jotta se voidaan välttää kokonaan. Mitkä ovat mielestäsi parhaat keinot ehkäistä sosiaalista suunnittelua? Jos olet törmännyt mielenkiintoiseen tapaukseen, kerro siitä meille.

Lataa tämä Microsoftin julkaisema e-kirja Social Engineering Attacksista ja opi, kuinka voit havaita ja estää tällaiset hyökkäykset organisaatiossasi.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Viitteet(References)

[1] Reuters , Snowden suostutteli NSA:n työntekijät (NSA Employees Into)hankkimaan(Info) kirjautumistietonsa

[2] Boing Net , haittaohjelmien(Spread Malware) levittämiseen käytetyt kynäasemat(Pen) .



About the author

Olen laiteinsinööri, joka on erikoistunut Applen tuotteiden, kuten iPhonen ja iPadin, suunnitteluun ja kehittämiseen. Minulla on kokemusta sekä iOS- että reunalaitteista sekä ohjelmistokehitystyökaluista, kuten Git ja Swift. Taitoni molemmilla aloilla antavat minulle vahvan käsityksen siitä, kuinka Apple-laitteiden käyttöjärjestelmä (OS) on vuorovaikutuksessa sovellusten ja tietolähteiden kanssa. Lisäksi kokemukseni Gitistä antaa minulle mahdollisuuden työskennellä koodiversionhallintajärjestelmien parissa, mikä voi auttaa parantamaan tehokkuutta ja tuottavuutta ohjelmistokehityksessä.



Related posts