Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





A biztonsági rés a földön hever

(2006. június 22.)

- Darkreading -

A dolgozó pedig felveszi, beviszi a céghez, és csatlakoztatja a gépéhez. Steve Stasiukonis informatikus szakember beszámolója egy biztonsági auditról.
Nyomtatható verzió Nyomtatható verzió

Nemrégiben felbérelt minket egy hitelezéssel foglalkozó cég, hogy vizsgáljuk meg a hálózatuk biztonságát. Külön kérésük volt, hogy különösen nagy hangsúlyt fektessünk a 'social engineering'-re, azaz a megtévesztésen, hiszékenységen alapuló támadásokra. Korábban voltak gondjaik dolgozókkal, akik elárulták jelszavaikat, könnyen kiadtak céges információkat.

Az ügyfél azt is kiemelte, hogy aggódnak az USB eszközök miatt, mivel ez egy egyszerű módja az adatok kijuttatásának, vagy potenciális károkozók bejuttatásának. Sok más ügyfelünk is aggódott emiatt, mégsem tettek túl sokat, hogy megvédjék magukat egy USB eszközön érkező támadás ellen. Kíváncsi voltam, hogy rá tudunk-e venni valakit, hogy csatlakoztasson egy ismeretlen USB eszközt a vállalati hálózatra.

Korábban számos megtévesztő eszközzel éltünk, hogy hozzáférjünk egy hálózathoz. Általában lógtunk egy kicsit a dohányzókkal, elcsevegtünk a recepcióssal vagy belopóztunk egy tárgyalóba és ott csatlakoztunk a hálózatra. Ez alkalommal azonban valami újat kellett tennünk. Hallottuk, hogy a dolgozók egymást értesítik, figyelmeztetik a hálózat biztonságának felméréséről, beleértve az emberi tényezőt is.

Kitaláltuk, hogy valami teljesen újjal csaljuk lépre a most már figyelmesebb dolgozókat. Összegyűjtöttük az összes értéktelen ajándék pendrive-ot amit az elmúlt pár évben kaptunk és feltettük rájuk a saját kis programunkat. Az egyik emberem írt egy trójait, amely ha futtatják, jelszavakat, felhasználóneveket, és gépinformációkat gyűjt össze a gépről, majd ezeket visszaküldi nekünk e-mailen keresztül.

Megjegyzés: a trójai programok nem terjednek, és nem maradnak a memóriában. Mivel szerződéses alapon végrehajtott biztonsági auditról van szó, ezért ebben az esetben használata megengedett, hiszen jól kotrollálható a kör, ahova a program eljut. Minden egyéb esetben a törvény bünteti az ilyen cselekedetet!

A következő problémánk az volt, hogy hogy jutassuk ezeket úgy a dolgozókhoz, hogy ne fogjanak gyanút. Kora reggel, hogy a munkába érkezők ne lássanak minket, felkerestem a telephelyet, és elkezdtük szétszórni a meghajtókat a parkolóban, a dohányzónál, és egyéb a dolgozók által sűrűn látogatott helyeken. Egy kávé elfogyasztása után visszamentem a helyszínre, és figyeltem a dolgozók reakcióit, akik megtalálták az USB eszközöket. Tudni lehetett, hogy abban a pillanatban csatlakoztatják a gépükhöz, amint az asztalukhoz értek.

Azonnal felhívtam a trójait készítő emberemet, hogy kapott-e már valamit. Lassan, de biztosan jöttek a levelek az összegyűjtött információval. Szerettem volna az épületen belül lenni, és nézni, ahogy a dolgozók csatlakoztatják az USB meghajtót, átnézik a feltett képeket, és tudtukon kívül futtatják a mi programunkat is.

Nagyjából 3 nap elteltével úgy gondoltuk, hogy elég adatot gyűjtöttünk. Megdöbbentem amikor átnéztem az eredményeket: húsz USB kulcsot szórtunk el amiből 15-öt találtak meg a dolgozók és ezeket rendre mind csatlakoztatták is gépeikhez. A kapott adatok alapján aztán további rendszerekhez fértünk hozzá. A legjobb az egészben a kényelem volt. Szinte nem kellett csinálnunk semmit. Minden magától történt, láthatatlanul a dolgozók, a hálózat, vagy a cégvezetés számára.

Az elmúlt évek összes social engineering alapú megmozdulásunk alatt mindig aggódnom kellett, hogy elkapnak, őrizetbe vesz a rendőrség, vagy semmilyen használhatót nem találok. Az USB módszer az igazi út. Az eszközök telepítésének kivételével az esély arra, hogy elkapnak erősen lecsökkent.

Egy korábbi kísérlet során embereket arra próbáltak rávenni, hogy egy tábla csokiért, vagy 1 dollárért adják meg a jelszavukat. Volt aki megtette. Ez a módszer még egy lépéssel tovább megy, és az emberek belső kíváncsiságát használja ki. A levélben terjedő kártevők és adathalászok a megtévesztésig hasonló weblapjaikkal is ezt használják ki. A megbízónk nem volt semmilyen szempontból sem különleges, vagy egyedi. Semmilyen technológia, szűrés és ellenőrzés sem tudja kezelni az emberi természetet, ami az egyetlen és legnagyobb nyitott kapu bármely cég titkaihoz.

Nem ért egyet? Rejtsen el néhány USB meghajtót a recepciós cukros táljában, és tapasztalja meg Ön is, hogy mennyi időbe telik, míg az emberi természet felfedi magát.
 Kapcsolódó írásaink:
Hazánkban is terjed a megtévesztésre épülő számítógépes visszaélés
Social engineering: az emberi hiszékenység kihasználása
Vad egérkattintgató társadalom...


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.