Sikkerhetnr4web

Sikkerhetskonferansen 2011
«Sociale» utfordringer
Hvordan kan en angriper spasere rett inn på serverrommet uten å bli lagt merke til?
Av: Christian Jacobsen,
konsulent Secode Norge AS
Social engineering er en hel verktøykasse
av metoder for å få tilgang
til informasjon eller områder, hvor
det menneskelige aspektet av sikkerheten
ligger i fokus. Gjennom flere
års arbeid med social engineering,
har Secode bygget seg opp en unik
kompetanse og erfaring på hvordan
angripere tenker, hvordan brukere
lar seg lure og hvordan bedrifter
best kan beskytte seg.
Social engineering utfordrer flere
sider av vår vanlige måte å ta avgjørelser
på, hvor angriperens hovedfokus
er å skape tillit og trygghet, for
deretter å utnytte situasjonen for å
få tilgang til data eller lokasjoner.
Phishing, og spear phishing i særdeleshet,
er eksempler på hvordan social
engineering benyttes i målrettede
angrep.
Terrorbilder på Facebook
Rundt 90 prosent av alle falske antivirusangrep
involverer metoder
fra social engineering. Også i Norge
dukker det opp angrep som benyttes
seg av social engineering, nå sist i
form av et omfattende «likejacking»-
angrep i kjølvannet av terrorhandlingene
i Oslo og på Utøya. Facebook-brukere
ble lurt til å klikke på
linker, som få timer etter arrestasjonen
av gjerningsmannen, kunne love
videoer fra åstedene. Det sier seg
selv at folks nysgjerrighet og behov
for informasjon vinner over kritisk
sans, og linkene ble spredd som ild i
tørt gress.
Christian Jacobsen
arbeider som konsulent og sikkerhetstester
i Secode, og har siden 2009 vært
fagansvarlig for Secodes satsning på
social engineering. Han leder årlig flere
store social engineering-tester for kunder
både i Norge og utlandet, og har
vært pådriver for å skape en av de mest
komplette og relevante metodelistene for
social engineering.
Christian startet i Secode i 2008, og har
bakgrunn innen sosiologi og informatikk,
samt mer enn ti års erfaring fra
Telenor. Foruten social engineering arbeider
Christian hovedsakelig med risiko-
og sårbarhetsanalyser.
Avanserte angrep
Effekten av social engineering blir
tydeligere om man begynner å se
på resultatene av målrettet phishing,
som gjerne kalles spear phishing.
Ved å kombinere grundig teknisk
innsikt og metoder fra social engineering,
kan man skape avanserte
angrep som er svært vanskelig å beskytte
seg mot. Et unntak fra dette
Social engineering
Sosial manipulering (social engineering)
går ut på å skaffe seg tilgang
ved å lure noen.
Sosial manipulering er en helt annerledes
måte å angripe datasystemene
på, og sjarm er kanskje den
viktigste egenskapen for en hacker.
var i august i fjor, da en finansmann
fra Stavanger i siste liten klarte å
avsløre et omfattende angrep mot
seg selv.
– Denne svindelen er det motsatte
av primitive Nigeria-brev. Her har
godt skolerte folk med god innsikt i
teknologi lagt ned masse ressurser
på å lage den perfekte svindel, sa finansmannen
til Dagens Næringsliv i
etterkant.
«Tailgating»
Da Secode gjennomførte en test for
et større norsk konsern nylig, valgte
vi å gjenskape et kjent phishingscenario,
hvor vi sender en e-post
til tilfeldig valgte brukere. E-posten
inneholdt en enkel usammenhengende,
dårlig forfattet setning og en
lenke til en ukjent og eksekverbar
fil, på en ukjent webserver. E-posten
inneholdt ingenting som skulle gi de
ansatte tillit til avsender eller innhold.
I løpet av få timer hadde 26
prosent av de ansatte lastet ned og
eksekvert filen, 50 prosent av de ansatte
hadde klikket på lenken. Når vi
i andre tester gjør en større jobb med
å skape troverdighet og tillit, økes
16 SIKKERHET nr. 4 • 2011 www.nsr-org.no