Forside   Profil    IT sikkerhed    Søgemaskineoptimering    Reference    Ressourcer

  

Midlertidige links: vidensbank

Hacking

Med Social Engineering

Social Engineering er et begreb der ofte forbindelse med hacking, men i virkeligheder er der tale om egenskaber, kundskaber, redskaber eller metoder som bruges i et væld af andre sammenhænge. Formålet med Social Engineering er at få mennesker til at gøre ting de ellers ikke ville gøre, afsløre ting de ellers ikke ville afsløre og andre gange til at undlade at gøre ting de ellers ville have gjort eller undlade at afsløre hvad de har opdaget med andre ord, vi taler om forførering af mennesker i alle ordets betydninger.

Når nogle sælgere er bedre til at sælge ting end andre, så der det fordi nogle sælgere er gode til social engineering. Når nogle politikere som f.eks. Kennedy eller Clinton kan holde taler der tryllebinder og begejstre og medriver selv politiske modstander, så er det fordi nogle politikere er bedre til social engineering end andre. Social engineering indeholder et væld af emner og discipliner, lige fra orale færdigheder over påklædning, kropssprog og måde at bevæge sig på til psykologisk indsigt og især villighed til at udnytte andre menneskers svaghed for egen vindings skyld. Denne artikels fokus er selvfølgelig de færdigheder der anvendes til at skaffe sig adgang til fortrolige informationer.

Hvorfor forsøge at hacke systemer med komplekse exploits og videnskrævende teknikker, når man kan hacke mennesker så meget lettere

Fysisk Social Engineering

Social Engineering handler om kommunikation, og denne bliver ofte meget mere effektiv når den kombineres med viden fra den fysiske verden. Som et eksempel på dette kunne man nævne, at du ofte kan høre i en telefon når den du taler med smiler. Ligeså er viden om de fysiske sammenhænge ofte væsentlige i forhold til at virke troværdig og ægte i sin kommunikation. Hacking via social engineering vil ofte kræve en eller anden form for fysisk tilstedeværelse af hackeren og hvis virksomhederne ikke beskytter sine fysiske ressourcer ordenltigt, kan hackeren herigennem skaffe sig værdifulde oplysninger.

Dumpster Driving.

Dumpster driving er en gammel hacker disciplin, der kan føres helt tilbage til phreaker dagene, hvor det var telefonsystemer man angreb og søgte adgang til. Det drejer sig om at raide skrallespande og Containere, for at finde dokumenter og andre informations bærende medier, der kan afsløre fortrolige eller blot brugbare informationer, der kan hjælpe til den videre vej ind i systemerne. Denne teknik kan den dag i dag give de mest utrolige resultater, fordi folk helt generelt ikke betragter deres affald som en sikkerhedsrisiko. Man skal huske at en hacker vil gå efter alle mulige informationer om virksomheden, ikke blot brugernavne og passwords, der vil give ham direkte adgang, men også informationer, der afsløre virksomhedens organisation og procedure. Hvis hackeren senere ønsker at få fysisk adgang til virksomheden, og ikke decideret begå indbrud, er det vigtigt at han kender virksomheden godt nok tit kunne bevæge sig rundt i virksomheden uden at de ansatte opdager at han faktisk ikke har noget at gøre der. Det der søges efter er følgende

  1. System manualer, system dokumentation og  Policy dokumenter. disse kan give oplysninger både om firmaets netværk, systemer og fysiske procedure.
     
  2. Udskrifter, papirer eller sedler med login navne, passwords eller andre interessante oplysninger
     
  3. Disketter, CD´er USB medier, specielt redningsdisketter er interessante da de indeholder sam filer dvs. password og login
     
  4. Backup medier, her er hele firmaets IT hjerte og har man fysisk adgang til medierne, så kan man normalt læse alt data
     
  5. Kasseret hardware (Specielt harddiske er interessante), igen kan de indeholde oplysninger

Servicementalitetens problem

Når professionelle hackere laver social Engineering, så er det meget ofte en kombination af fysiske og virtuelle ting. I den forbindelse er vores problem ofte at vi ønsker at vores medarbejdere er servicemeindede, imødekomne og venlige. Når f.eks. en telefondame, eller en sekretær oplyser navne, telefonnumre, hvor når en person er tilstede på arbejde, hvornår virksomhedens medarbejdere med sikkerhed kan træffes og dermed også hvornår de ikke er tilstede i virksomheden. Er hun så dumt åbenmundet og tankeløs, eller er hun venlig og imødekommende. Alle virksomheder står med dillemaet mellem behovet for åbenhed, kunderne skal kunne komme i kontakt med virksomheden let og ubesværet og behovet for sikkerhed og fortrolighed.

Det menneskelige væsen.

Case 1

Der cirkulerer en vandre historie om hackeren, der havde udset sig et firma han ville hacke. 'Via dumpster driving, en del telefon opringninger og lidt overvågning, havde han opsnuset en masse nyttige oplysninger. Han gjorde derefter det at han lavede et fake adgangskort (der selvfølgelig ikke kunne låse døren op, men bare så rigtigt ud), iklæde sig tøj, der log fint inden for virksomhedens dresscode. Herefter fulde han med nogle af virksomhedens medarbejdere ind af hoveddøren og gik målbevidst forbi informationen op i kontorlandskabet.

Da han nåede derop henvendte han sig til en af medarbejderne og fortalte at han var den konsulent der var bestilt til projekt 2212 og spurgte hvor han skulle sidde. Han vidste fra virksomhedens skraldespande hvordan man navngav projekter, og havde via en scanner fremstillede projekt mapper med dokumenter med "rigtige" brevhoveder og sat op på den rigtige måde, endda med chefens underskrift. Medarbejderen så forvirret ud et kort øjeblik og mumlede noget om at det projekt havde hun ikke hørt noget om, men det var jo der sædvanlige med informationerne her i virksomheden og så fandt hun et skrivebord til han og tilbød at melde ud til resten af medarbejderne at han var kommet for de havde garanteret heller ikke hørt at han skulle komme. Således fik han daglig adgang til deres net og kunne efterfølgende bevæge sig frit rundt i organisationen, for alle vidste hvad han skulle lave og at han havde lov til at være der.

Om ovenstående historie er sand er svært at afgøre, men den illustrere det menneskelige sind ganske godt og viser at hvis en hacker har nok kendskab til en organisations procedure og optræder sikker nok, så vil vores servicemeindede medarbejdere nogle gange selv komme med forklaringerne på hvorfor de ikke lige har fået at vide at han kommer og dermed både skabe og medvirke til at udbringe og udvide hackerens alibi.

Case 2

En anden historie handler om chefen der blev ringet op at en person som udgav sig for at komme fra at analyseinstitut der var i gang med en af de sædvanlige undersøgelser og spurgte om han måtte stille nogle spørgsmål. I løbet af spørgerækken kom der også en serie spørgsmål omkring IT sikkerheden i virksomheden og chefen afstod godt nok fra at opgive sit password, men ville gerne fortælle at han brugte din ældste datters navn. Lidt senere under sprøgerækkens personlige spørgsmål fortalte han at han var gift med Jane og havde to døtre Sarah der var 11 og Stephanie der var 14.

Case 3

Her ringede hackeren først til IT chefen for en større virksomhed, præsenterede sig som en nyansat medarbejder, der lige skulle høre hvordan IT chefen anbefalede at man kombinerede sit password. IT chefen fortalte beredvilligt at han selv brugte de første to bogstaver i for og efternavn kombineret med de 4 sidste cifre i CPR nummeret. En efterfølgende opringning til telefonisten afslørede IT chefens for og efternavn, der så kunne slås op i telefonbogen. Dagen efter ringede hackeren til IT chefens kone og præsenterede sig som kommende fra den lokale brugs. Han fortalte at hendes mand havde deltaget i en konkurrence om en minihavetraktor, som han havde vundet og nu skulle man bare lige have de sidste 4 cifre i personnumret for at kunne udleverer traktoren.

Hvad skal man stille op.

Der er nok kun en ting af gøre hvis man lever i den virkelige verden og ønsker åbenhed og servicemeindede medarbejdere og det er at arbejde aktivt med Avareness. Jo mere opmærksomme medarbejderne er på problemet, jo mere vågne de er, jo svære er det for en hacker at udnytte Social Engineering uden at det opdages. Awareness programmer bør være en del af dagligdagen, metoderne bør ændre sig løbende hen over året, nye ting bør tages i drift for at medarbejderne ikke vender sig til budskaberne, så de blot bliver en del af den daglige støj.

En mellemstor dansk handelsvirksomhed gjorde det at de hyrede en sikkerhedskonsulent til at foretage Social Engineering via telefonopringninger. Inden han gik i gang, havde man meldt ud i virksomheden at der i perioden ville blive foretaget disse forsøg og at den medarbejder der kunne identificerer hvad man var udsat for og undlade at afsløre fortrolige informationer ville vinde en pæn vingave, som var udstillet så alle kunne se den. Samtidig lagde virksomheden vægt på at medarbejderne selvfølgelig stadig skulle være venlige og imødekommende over for kunder og forretningsforbindelser.

Dette affødte naturligvis spørgsmål fra medarbejderne om hvordan virksomheden havde tænkt sig at man skulle kunne adskille kunder og forretningsforbindelser fra hackeren, hvilket igen affødte en givende diskussion om hvad der netop var problemetstillingen i Social Engineering og at opgaven i virkeligheden snare gik på at identificerer når man var udsat for forsøg og at melde det videre til rette vedkommende. Hvorom alting er, så bevirkede denne konkurrence at alle medarbejdere fik vendt problemstillingen i deres egen bevidsthed og sammen med deres kollegaer og nærmeste chefer. 6 måneder senere kunne man så ved en samling præsenterer resultatet af hackerens arbejde og vise hvad han havde fundet ud af og dermed bringe problemstillingen op til overfladen igen.

Hvis du vil læse mere.

Kevin Mitchnik's bog "The Art of Deception" er et godt sted at starte. Den beskriver de teknikker Mitchnik anvendte mens han udførte sine veldokumenterede bedrifter for snart 20 år siden.

Også hele "Stealing the netvork" serien indeholder gode indformationer om bl.a. Social Engineering og også andre af hackingens mange facetter.

 

Hackere, Hacking med mere

Hacking - Hvordan gøres det
Hacking - Hvilke typer findes der
 Hacking – Hvorfor hackes der, Hvad vil de opnå.
Hacking - Kendte hackere
Hacking - Hacker emblemet
Hacking - Hackernes værktøj #1. Google
Hacking - Hackernes værktøj #2. Rootkits
Hacking - Hackernes værktøj #3. Sniffer
Hacking - Hackernes værktøj #4. Scanner
Hacking - Tænk som en hacker
Hacking - Via Social Engineering
Hacking - Hacking for Managers, del 1
Hacking - Hacking for Managers, del 2
Gør noget dumt og Hack dig selv
Hvordan hacker man. Den indirekte vej ind

Læs også disse serier

Søgemaskineoptimering
 Søgemaskinepositionering
Søgemaskinemarkedsføring
Webpromotion
IT sikkerhed
Google
Hacking
SEO - Blackhat Teckniques


Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk


Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone










FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering
- IT sikkerhed
- SEO
- Hacking

Copyright 2006 BufferZone.dk. All Rights Reserved.
Legal Stuff, BufferZone dedication, Testimonials, Privacy Policy.



 
Hacking med Social Engineering bufferzone.dk Hacking med Social Engineering bufferzone.dk Hacking med Social Engineering bufferzone.dk Hacking med Social Engineering bufferzone.dk Hacking med Social Engineering bufferzone.dk