Itt vagy: Nyitólap Árgus Információbiztonság Social engineering – a megtévesztés eszköze

fejlec argus

Social engineering – a megtévesztés eszköze

  • Nyomtatás
Részletek
2008. máj. 08. csütörtök, 00:00
 

Adataink és dokumentumaink „technológiai védelme” manapság olyan természetes, mint ahogy minden irodában használunk informatikát, de vajon minden támadásra felkészültünk és megfelelően kezeljük a humán kockázatokat is?

A vírusirtók frissítése és a tűzfal paraméterezése napi rutinunk részévé vált, mi több, a cégek IT és üzleti oldal döntéshozói között már nincs vita az IT biztonsági kiadások szükségességéről, csupán a kiadások mértéke a fő vitaalap. Elmondhatjuk azt is, hogy egy bizonyos cégméret felett – megfelelően képzett – IT biztonsági felelős kezeli a legtöbb informatikai biztonsági kockázatot, amely azonban csak egy általános technológiai biztonsági szint eléréséhez elegendő.



De mi van azokkal az információkkal, melyeknek a hordozói a dolgozók, nyomtatványok, adathordozók? Egy átlagos felkészültségű cég esetében a dolgozók gyanútlansága, segítőkészsége, hiszékenysége és együttműködésre való hajlama legalább akkora kockázatot jelent, mint például egy, a világhálóra csatlakoztatott tűzfal és vírusirtó nélküli munkaállomás.

A social engineering

Az információszerzésnek az a formája, amelyik a humán kockázatokat használja ki a social engineeringhez tartozik (SE), ami azért veszélyes, mert a legtöbb esetben nem igényel komolyabb informatikai előképzettséget (igaz, hogy a jelenleg hozzáférhető hacker eszközök egyre „felhasználóbarátabbak”, melyek már relatív kevés háttértudással is jól használhatók), csupán extrovertált személyiséget, jó kommunikációs készséget, fejlett IQ-t igényel. Ezek birtokában egyre szélesebb réteg válhat potenciális támadóvá. Ebben a kontextusban a SE nem az adathalász módszereket jelenti – azok szűrése és felismerése már-már ismertnek és kezeltnek mondható, de legalább is kész rutinjaink vannak rá –, hanem a közvetlen, személyes közreműködést igénylő technikákat. Erre vonatkozóan akár egy kísérletet is végezhetünk, mellyel könnyedén felmérhető, hogy a saját szervezet mennyire felkészült egy esetleges támadással szemben.

A biztonság csapdái

Telephelyre, épületbe történő bejutás esetén: megoldott-e, hogy az összes bejárat beléptető rendszerrel és/vagy portaszolgálattal felügyelt és megfelelően kontrollált, még a bejárati forgalom szempontjából frekventált időszakokban is (például reggeli érkezés, ebédidő), valamint egyedinek mondható időszakokban, mint például épületrekonstrukció? Az eddig vizsgált cégeknél nem volt olyan telephely, ahová előzetes megfigyelés nélkül ne lehetett volna könnyedén bejutni akár gépjárművel, akár gyalogosan. Mi több, előfordult olyan eset is, hogy többszöri bejutás során sikerült a portaszolgálattal olyan kapcsolatot kialakítani, hogy mar az egyes irodakulcsokat is fel tudtam venni. Telephelyen belül történő közlekedés, felderítés során: vajon a kollégák megállítanak-e egy idegent a folyosón, ha céltudatosan közlekedik, és nem visel vendégkártyát vagy helyi belépőt jól látható helyen? Feltűnik-e egyáltalán valakinek, hogy egy számára idegen ember közlekedik közöttük, és ha feltűnik, vállalják-e a kérdőre vonással járó esetleges konfrontálódást vagy konfliktust? Az eddigi tapasztalataim szerint az emberek nem vállaljak fel a konfrontációt, bizonyos mértékű közönnyel viseltetnek a számukra szokatlan eseményekkel szemben is. Egy alkalommal fordult elő mindössze, hogy egy irattárban járván a dokumentumok hozzáférését igazolandó fényképeztem és egy kollega megkérdezte, hogy mit keresek, de egy rövid beszélgetéssel a valós célom felfedése nélkül sikerült tisztázni a helyzetet. Sok esetben mindegy, hogy a támadó öltönyt vagy lazább öltözéket visel, sajnos a kollégák nem gyanakszanak, sőt inkább segítőkészen útbaigazítják az esetlegesen tétovázó támadót. Ürügykeresés: előfordul-e, hogy üres irodák nyitva maradnak, csak öt percre, amíg máshol volt dolguk vagy jól látható helyen (például faliújság) éppen aktuális témák vannak kifüggesztve? Igen, mindig vannak nyitva hagyott üres irodák, és mindig lehet találni az adott szervezetet éppen foglalkoztató és kommunikációs alapként szolgáló témát, amivel – a bennfentesség látszatát keltve – meg lehet szólítani a kollégákat. A beszélgetések során sok esetben a kollégák olyan közlékenynek bizonyulnak, hogy a magánélet is szóba kerül, nem egyszer történt meg, hogy 10 perc alatt a családi fotókig jutottunk.

Munkaállomások, hálózati végpontok megszerzése: megtagadták-e valaha egy aktuális témával Önökhöz forduló embertől az együttműködést, amikor azt kérte, hogy bizonyos céllal pár percre adják át a számítógépüket? Az eddigi vizsgálataim során nem találkoztam olyan esettel, amikor a célszemély – a szervezetben betöltött pozíciójától függetlenül – ne adta volna át a számítógépet rövid időre, de nem ritka, hogy az így kieső munkaidőt a kollégák egy kávészünettel kötik össze, így teljes szabadságot adnak a támadónak az összes informatikai alkalmazás saját nevükben történő felhasználására. Adatok, dokumentumok, információk megszerzése: biztosak abban, hogy az IT technológiai védelmük olyan szintű, hogy a hálózaton nem él meg egy távolról megszólítható alkalmazás, vagy a nyomtatott – különös tekintettel a dolgozói és ügyféladatokat tartalmazó – dokumentumok kontrollált hozzáférése teljesen megoldott? Ezen a területen sem biztatóak a tapasztalataim, szinte mindegyik hálózaton – meg a központilag menedzselt és standard hálózati munkaállomásokon is – el lehetett helyezni egy távolról elérhető alkalmazást, akármennyire tesztelt környezetről van szó. Több esetben voltak felhasználhatóak a nyolcvanas években fejlesztett cél programok a mai IT környezetben, melyek segítségével könnyedén lehet elérni az adott munkaállomást, mint a teljes hálózat előszobáját. Továbbá sok esetben érzékeny üzleti, esetenként stratégiai adatokat tartalmazó dokumentumokhoz lehet hozzáférni akár sokszorosítással – így a támadásnak nyoma sem marad – vagy rosszabb esetben az eredeti példány eltulajdonításával. Sajnos az Ügyfél- és dolgozói adatokat tartalmazó dokumentumok kezelése (tárolása, hozzáféréskontrollja) sok esetben nincs megfelelően szabályozva és üzemeltetve. Számos esetben lehetett akár viszszaélésre alkalmas személyes adatokhoz hozzájutni.

A fenti példák csak a főbb kockázatokra mutatnak rá, melyeknek számtalan továbbfinomított változata létezik. Azoknak az olvasóknak, akik legyintenek ezekre a kockázatokra, és azt gondolják, hogy a vizsgálatok kis jelentéktelen cégeknél történtek, és az ő cégük ilyen támadásoknak nincs kitéve, azt tudom mondani, hogy nemzetközi cégek és hazai nagyvállalatok voltak a megrendelők, akik szintén azt gondolták, hogy náluk tökéletes rendszert üzemeltetnek. Az első vizsgálatok eredményei alapján át kellett értékelnem a hatékony támadás módszereit, mert valahova bemenni és elkérni a szükséges iratot vagy információt töredéknyi időbe és energiába kerül, mint távolról az IT hálózat gyenge pontjait pásztázni, és az egyes célszoftverek log állományait böngészni, majd a gyenge pontokat kihasználni. Az eddig elvégzett vizsgálatok mindegyike sikeres volt, minden esetben könynyedén hozzá lehetett jutni a megszerzendő dokumentumhoz vagy információhoz.

Tapasztalataim szerint érdemes elvégeztetni egy rövid vizsgálatot minden kis- és nagyvállalkozásnál, ami rámutat a cég social engineering szempontból gyenge pontjaira. Persze senkit sem akarok arra buzdítani, hogy a cikk elolvasása után a több éve ismert postástól is igazolványt kérjen, pusztán annyi a célom, hogy felkeltsem a figyelmet egy olyan jellegű problémára, amire eddig nagyon kevesen gondoltak és készültek fel. Nagyon fontos, hogy a vizsgálatnak etikus módon kell történnie (anonim módon és személyes retorziók nélkül, a támadási mintákat nem végrehajtva, hanem a végrehajtásuk lehetőségét igazolva). A szakértői vizsgálat eredményei alapján egy szisztematikus építkezésnek kell kezdődnie megfelelő és időközönként ismételt, frissített oktatásokkal és tesztekkel, amelyek során a kollégákban tudatosul egy biztonsági szempontból megfelelőbb felelősségtudat.