Sikkerhetnr4web

More documents

Recommendations

Info

Sikkerhetskonferansen 2011 «Sociale» utfordringer Hvordan kan en angriper spasere rett inn på serverrommet uten å bli lagt merke til? Av: Christian Jacobsen, konsulent Secode Norge AS Social engineering er en hel verktøykasse av metoder for å få tilgang til informasjon eller områder, hvor det menneskelige aspektet av sikkerheten ligger i fokus. Gjennom flere års arbeid med social engineering, har Secode bygget seg opp en unik kompetanse og erfaring på hvordan angripere tenker, hvordan brukere lar seg lure og hvordan bedrifter best kan beskytte seg. Social engineering utfordrer flere sider av vår vanlige måte å ta avgjørelser på, hvor angriperens hovedfokus er å skape tillit og trygghet, for deretter å utnytte situasjonen for å få tilgang til data eller lokasjoner. Phishing, og spear phishing i særdeleshet, er eksempler på hvordan social engineering benyttes i målrettede angrep. Terrorbilder på Facebook Rundt 90 prosent av alle falske antivirusangrep involverer metoder fra social engineering. Også i Norge dukker det opp angrep som benyttes seg av social engineering, nå sist i form av et omfattende «likejacking»- angrep i kjølvannet av terrorhandlingene i Oslo og på Utøya. Facebook-brukere ble lurt til å klikke på linker, som få timer etter arrestasjonen av gjerningsmannen, kunne love videoer fra åstedene. Det sier seg selv at folks nysgjerrighet og behov for informasjon vinner over kritisk sans, og linkene ble spredd som ild i tørt gress. Christian Jacobsen arbeider som konsulent og sikkerhetstester i Secode, og har siden 2009 vært fagansvarlig for Secodes satsning på social engineering. Han leder årlig flere store social engineering-tester for kunder både i Norge og utlandet, og har vært pådriver for å skape en av de mest komplette og relevante metodelistene for social engineering. Christian startet i Secode i 2008, og har bakgrunn innen sosiologi og informatikk, samt mer enn ti års erfaring fra Telenor. Foruten social engineering arbeider Christian hovedsakelig med risiko- og sårbarhetsanalyser. Avanserte angrep Effekten av social engineering blir tydeligere om man begynner å se på resultatene av målrettet phishing, som gjerne kalles spear phishing. Ved å kombinere grundig teknisk innsikt og metoder fra social engineering, kan man skape avanserte angrep som er svært vanskelig å beskytte seg mot. Et unntak fra dette Social engineering Sosial manipulering (social engineering) går ut på å skaffe seg tilgang ved å lure noen. Sosial manipulering er en helt annerledes måte å angripe datasystemene på, og sjarm er kanskje den viktigste egenskapen for en hacker. var i august i fjor, da en finansmann fra Stavanger i siste liten klarte å avsløre et omfattende angrep mot seg selv. – Denne svindelen er det motsatte av primitive Nigeria-brev. Her har godt skolerte folk med god innsikt i teknologi lagt ned masse ressurser på å lage den perfekte svindel, sa finansmannen til Dagens Næringsliv i etterkant. «Tailgating» Da Secode gjennomførte en test for et større norsk konsern nylig, valgte vi å gjenskape et kjent phishingscenario, hvor vi sender en e-post til tilfeldig valgte brukere. E-posten inneholdt en enkel usammenhengende, dårlig forfattet setning og en lenke til en ukjent og eksekverbar fil, på en ukjent webserver. E-posten inneholdt ingenting som skulle gi de ansatte tillit til avsender eller innhold. I løpet av få timer hadde 26 prosent av de ansatte lastet ned og eksekvert filen, 50 prosent av de ansatte hadde klikket på lenken. Når vi i andre tester gjør en større jobb med å skape troverdighet og tillit, økes 16 SIKKERHET nr. 4 • 2011 www.nsr-org.no
Sikkerhetskonferansen 2011 «Rundt 90 prosent av alle falske antivirusangrep involverer metoder fra social engineering.» Christian Jacobsen Sosial manipulering er sannsynligvis den mest brukte metoden for hacking. Foto: Flickr.com også resultatene til at vi oppnår 100 prosent treff på for eksempel høsting av passord via telefon. Ved å benytte tailgating (følge etter personer med gyldig adgang) kan man forholdsvis enkelt få tilgang til kontornett, hvor en keylogger kan installeres. Eller man kan ringe support og be dem om å videresende ledergruppens e-post til en tilstrekkelig troverdig adresse. Tilpassede angrep Social engineering som angrepsvektor er fleksibelt og kan tilpasses situasjonene fortløpende, svært ofte krever et vellykket angrep veldig lite forkunnskap om offeret, og ettersom angrepene går mot de ansatte selv, er deteksjonsraten svært liten. Konsekvensene for de som blir angrepet kan være betydelige og langvarige. Hvor mye tillit skal og bør en sikkerhetsansvarlig da legge i tekniske sikkerhetsmekanismer som brannmurer og skallsikring av lokasjoner alene, om ansatte slipper angripere rett inn i sikker sone eller gir fra seg passord på telefonen? Gjennom flere tester som vi selv har gjennomført, og etterforskning i kjølvannet av ekte angrep, viser det seg at troverdige scenarioer kan få svært mange ansatte, uansett sted i organisasjonshierarkiet, til å bryte egen sikkerhetspolicy. Mens tradisjonelle sikkerhetsmekanismer gjør en utmerket jobb med å avdekke tekniske angrep, er det opplæring, testing og holdningsskapende arbeid som må legges til grunn for å sikre seg mot social engineering – kombinert selvfølgelig med ordinære sikkerhetsmekanismer som IDS og patch management. www.nsr-org.no SIKKERHET nr. 4 • 2011 17
Page 1 and 2: F 4 2011 Næringslivets sikkerhetso
Page 3 and 4: Innhold Nr 4 • 2011 • Årgang 5
Page 5 and 6: BEREDT? Farlig støy Årlig får Ar
Page 7 and 8: Smånytt - Bedrifter kan droppe kod
Page 9 and 10: Sikkerhetskonferansen 2011 «Andre
Page 11 and 12: Sikkerhetskonferansen 2011 Ullen tr
Page 13 and 14: Sikkerhetskonferansen 2011 Rekrutte
Page 15: Sikkerhetskonferansen 2011 Mye av i
Page 19 and 20: Beredskapsforskriften Risikovurderi
Page 21 and 22: Beredskapsforskriften Økt sikkerhe
Page 23 and 24: Beredskap «Økonomien ved Rana Gru
Page 25 and 26: Spørrespalten Om industrivern Juri
Page 27 and 28: i NSO-fokus Positive innsatsledere
Page 29 and 30: Sivilforsvaret Sivilforsvaret 75 å
Page 31 and 32: Aktivitetskalender NSO Påmelding t

Sikkerhetnr4web

Create successful ePaper yourself

Delete template?

Save as template?