Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek





A legsúlyosabb biztonsági rés: az ember

(2006. július 06.)

- Dark Reading -

Az adathalászati támadások terjedésével biztonsági szakemberek szerint újra előtérbe került az emberi hiszékenység kérdése, az informatikai rendszerekkel dolgozók képzése, oktatása.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

Az emberi hiszékenység kihasználásán alapuló úgynevezett „social engineering” támadások évtizedek óta ismertek, többek között a híres-hírhedt hacker, Kevin Mitnick is ezek alkalmazásával tudott behatolni különféle rendszerekbe. Az adathalászok is ezen módszert használják az internetezők átverésére, a korábban látott tömeges megkeresések mellett azonban egyre több célzott támadás is történik.

Értelemszerűen hatékonyabb, ha több millió vakon címzett levél helyett kevesebbet, ám azt célzottan, informatikai vezetők, felelős beosztású személyek számára küldenek el. Ha eközben rafinált trükköket is bevetnek, akkor játszi könnyedséggel járhatnak túl a leendő áldozatok eszén.

A legjobb példa egy az elmúlt hetekben történt eset, melynek során adathalászok egy pénzintézet informatikusának küldtek levelet: ügyfélnek adták ki magukat, aki látszólag a bank nevében kapott csalóktól származó üzenetet. A gyanútlan banki alkalmazottban pedig fel sem merült, hogy őt próbálják átverni, és rákattintott az e-mailben található linkre, ahonnan egy trójai települt a számítógépére.

Technikai szempontból súlyos mulasztások vezethettek ahhoz, hogy az adathalászok végül is hozzáférést szereztek egy belső rendszerhez. Hiszen ha minden javítás fel lett volna telepítve, és naprakészen tartott biztonsági szoftverek futottak volna a rendszeren, akkor egy böngészősebezhetőségen keresztül nem szabadott volna megfertőzniük a számítógépet. Emellett a céges tűzfalnak sem szabadott volna átengednie egy ismeretlen kapcsolatot – mégis az emberi természet és a hiszékenység volt a leggyengébb láncszem.

A támadók kreativitása azonban utat nyitott a bank számítógépeihez, és rávilágít arra, hogy a kényes adatokhoz hozzáférő személyeknek különleges oktatásban kell részesülniük, hogy felismerhessék és elháríthassák az ilyen incidenseket. A hackerek egyre leleményesebbek, egyre több fronton, újabbnál-újabb módszerekkel próbálnak támadni, és ezekre fel kell készülni. Az utólagos reagálás már nem megfelelő, intelligens módon kell elejét venni a támadásoknak, az ellenfél fejével kell gondolkozni.

Újfajta kihívások
A social engineering típusú támadások ráadásul csak elindítják a lavinát, mely egy vállalati hálózat vagy rendszer teljes kompromittálódásához is vezethet. Napjainkban, mikor egyre több mobil eszközt, laptopot, PDA-t, pendrive-okat és vezeték nélküli készüléket használunk, akkor előtérbe kerül az ezek eltulajdonításával elérhető anyagi haszon is, ezért fokozottan védeni kell őket. Az USB-kulcsos támadásról korábbi cikkünkben már beszámoltunk, a vezeték nélküli hálózatok feltörése pedig sajnos mindennaposnak számít.

A social engineering a felhasználók bizalmának manipulásáról szól: a hackerek aljas módon használják ki a hiszékenységet, és elérik, hogy az emberek senkiben se bízzanak meg. Gondoljunk csak a támadót áldozatnak gondoló banki informatikusra, vagy a magát telefonszerelőnek álcázó hackert beengedő portásra, a sort a végtelenségig lehetne folytatni.

Biztonsági szakemberek szerint az informatikai rendszerek sebezhetőségei ugyan óriási problémákat okoznak, és megkönnyítik a támadók dolgát, azt azonban soha ne felejtsük el, hogy a hackerek a legkisebb ellenállás felé veszik útjukat. Ha egy telefonhívással megszerezhetik a rendszergazda jelszavát, akkor nem fognak napokat vagy akár heteket tölteni a rendszer sérülékeny pontjának keresésével.

Sokak szerint a cégek nagy része megbukna egy olyan kísérleti támadás során, melynél social engineeringet alkalmaznak a biztonsági audittal megbízottak. Steve Stasiukonis, a Secure Network Technologies (SNT) alapítója szerint a pendrive-okkal végrehajtott akciójuk teljesen lehengerlő volt, és rávilágított arra, mennyire ki vannak szolgáltatva a céges hálózatok a dolgozóknak. Hiszen hiába üzemel behatolás jelző és elhárító rendszer, ha egy alkalmazott rádughat egy parkolóban talált USB-kulcsot a számítógépére, majd elindíthatja a rajta található programokat.

Stasiukonis egy másik megdöbbentő esetről is beszámolt: egy bank parkolójában megvárták a cigiszünetet, csatlakoztak a dolgozókhoz, és elmesélték, hogy elvesztették a belépőjüket. A jóhiszemű alkalmazottak pedig beengedték őket, ahol az egyik teremben szabad hálózati elérési pontot találtak, csatlakoztak, és rövid időn belül adminisztrátori jogokat szereztek.

Amíg a dolgozók cetlikre írják jelszavaikat, és azokat a monitorra ragasztják, amíg nem zárolják a munkaállomásukat, amíg egy telefonos beszélgetés után hozzáférést engednek valakinek, addig nehéz biztonságról beszélni. Biometrikus (például ujjlenyomat, írisz, retina) azonosítással szinte teljesen ki lehetne küszöbölni a visszaéléseket, a bevezetés költségei azonban igen magasak lennének.

A social engineering típusú támadások ellen gyakorlatilag lehetetlen védekezni, a megfelelő oktatás természetesen sokat számíthat. Ennél is fontosabb azonban, hogy az egyes alkalmazottak tényleg csak azokhoz a rendszerelemekhez és adatokhoz férhessenek hozzá, melyek a munkájukhoz feltétlenül szükségesek. Ez természetesen rengeteg kellemetlenséget okozhat, akár még a termelékenységet is visszavetheti, azonban jól behatárolt jogosultsági körökkel elejét vehetjük, hogy illetéktelen információhoz juthassanak.


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.