IT Professional Security - ΤΕΥΧΟΣ 32

More documents

Info

I SSUE Wetware και Social Engineering φαρμόζεται περισσότερο μόνο σε κοινωνίες με υψηλή πληροφοριακή κουλτούρα. Στις κοινωνίες αυτές, προσωπικές ερωτήσεις (προφορικές ή δικτυακές) του τύπου «Με τι ακριβώς α- σχολείσαι στην εταιρεία σου?» είναι λιγότερο πιθανές να συμβούν. Αντίθετα, μάλιστα στις κοινωνίες αυτές, με υψηλή κοινωνική/πληροφοριακή κουλτούρα, είναι ακόμα πιο απίθανο να δοθεί η απάντηση σ’ αυτήν την ερώτηση. Στο παρόν άρθρο εξετάζεται η έννοια της κοινωνικής μηχανικής, με βάση την οδηγία US CERT 2009 ST04-014, μια έννοια που στην ελληνική πληροφοριακή κουλτούρα εκτιμάται ότι συμβαδίζει με τη γενικότερη διείσδυση του πληθυσμού στην πληροφορική και στο διαδίκτυο και συνεπώς εκτιμάται ως ιδιαίτερα χαμηλή. Στο πρώτο μέρος του άρθρου επεξηγούνται οι πληροφορίες ανοικτών (ψηφιακών) πηγών σε συνδυασμό με την ε- θνική μας πληροφοριακή κουλτούρα και διασαφηνίζεται η βασική έννοια της κοινωνικής μηχανικής με παραδείγματα παραπλάνησης του προσωπικού και παραβίασης της εσωτερικής δικτυακής ασφάλειας ενός οργανισμού, μιας επιχείρησης ή κρατικών δικτυακών συστημάτων. Στο δεύτερο μέρος του άρθρου κατηγοριοποιούνται οι περιπτώσεις της κοινωνικής μηχανικής και περιγράφονται όλα τα ευάλωτα ανθρώπινα χαρακτηριστικά, με τα οποία οι κοινωνικοί μηχανικοί παρακάμπτουν, με υψηλό ταλέντο και μηδαμινό κόστος, όλα τα πανάκριβα συστήματα α- σφαλείας δικτύων υπολογιστών. Τέλος, παρουσιάζονται όλοι οι παράγοντες που επιδρούν στην κοινωνική μηχανική, η αξιοπιστία της ως τεχνική παραπλάνησης, οι τρόποι άμυνας καθώς και οι ανάγκες περαιτέρω εκπαίδευσης του απλού υπαλληλικού προσωπικού. Ανοικτές Πηγές Πληροφοριών (Open Sources Intelligence) Το αντικείμενο και η εξέταση της πληροφορίας είναι ιδιαίτερα ογκώδες και πολύπλευρο ανάλογα την κατηγορία που αφορά. Οι βασικές αρχές όμως σε οποιοδήποτε τομέα είναι ίδιες όπως ότι η πληροφορία διακρίνεται σε αδιαβάθμητη ή διαβαθμισμένη σε κάθε επίπεδο (βιομηχανικό, εμπορικό, κρατικό, στρατιωτικό). Κατά βάση κάθε αδιαβάθμητη πληροφορία συλλέγεται ε- λεύθερα από ανοικτές (ψηφιακές) πηγές, ενώ η διαβαθμισμένη πληροφορία φυλάσσεται στα εσωτερικά δίκτυα ενός οργανισμού. Η έννοια της προστασίας της πληροφορίας αφορά στις διαβαθμισμένες πληροφορίες. Στην επιστήμη της πληροφορίας, όμως, οι διάφορες φάσεις, που υφίστανται αυτή, όπως η συλλογή, η επεξεργασία, η σύνθεση και η ανάλυση καθιστούν ολόκληρη την πληροφοριακή α- λυσίδα ευάλωτη σε κακόβουλη χρήση και συνιστούν κυρίαρχο αντικείμενο την προστασία της. Πιο απλά, ενώ, μια απλή πληροφορία είναι καθόλα αδιαβάθμητη, όπως πχ ένας απλός α- ριθμός τηλεφώνου, η σύνθεση αυτής με ακόμα μια ή περισσότερες επίσης αδιαβάθμητη/τες πχ με το αντίστοιχο όνομα ενός πρέσβη γειτονικής χώρας, καθιστούν το τελικό αποτέλεσμα διαβαθμισμένο ή αλλιώς απόρρητο. Ακόμα πιο απλά η σύνθεση πολλών εντελώς αδιαβάθμητων πληροφοριών ανοικτών πηγών πολλές φορές οδηγούν σε πληροφορίες άκρως διαβαθμισμένες, η αποκάλυψη των οποίων θέτει σε κίνδυνο την ασφάλεια ενός οργανισμού, μιας βιομηχανίας ακόμα και ενός κράτους. Οι μέθοδοι και η χρήση τεχνικών που αφορούν συλλογή και σύνθεση αδιαβάθμητων πληροφοριών από ανοικτές πηγές σε συνδυασμό με τεχνικές ανθρώπινης εξαπάτησης και απόσπασης διαβαθμισμένων πληροφοριών αποτελούν το βασικό κορμό της έννοιας κοινωνικής μηχανικής στην επιστήμη της πληροφορικής. Οι παλαιότερα λεγόμενες μυστικές υπηρεσίες, εκτός από τις γνωστές επιχειρησιακές αποστολές που αναλαμβάνουν στο φυσικό χώρο ανά τον κόσμο (γνωστές κυρίως από ταινίες του James Bond με μια όμορφη γυναίκα που αποσπά πληροφορίες σε αναπτυσσόμενες χώρες!) στην εποχή μας επικεντρώνονται ακριβώς στον τομέα συλλογής και σύνθεσης αδιαβάθμητων πληροφοριών μέσω (ψηφιακών) ανοικτών πηγών (Internet, συνέδρια, συνεντεύξεις, περιοδικά, εφημερίδες κλπ) σε συνδυασμό με άλλες μεθόδους που δεν είμαστε σε θέση να γνωρίζουμε αλλά απλά φανταζόμαστε. Σε κάθε περίπτωση ό- <strong>32</strong> | security
μως σήμερα η ψηφιακή πληροφορία στα πλαίσια του βιομηχανικού απορρήτου είναι πλέον η πρώτη προτεραιότητα όσον α- φορά στη φύλαξή της, στη συλλογή της, στη σύνθεσή της και την αξιοποίησή της. Η σύνθεση πληροφοριών ανοικτών πηγών στην έννοια της κοινωνικής μηχανικής αποτελεί το πρώτο ή το αρχικό παράλληλο στάδιο. Εκτελείται με ιδιαίτερη ευκολία και αποτελεί μια ιδιαίτερα επιτυχημένη μέθοδο. Ως στόχος χρησιμοποιείται κάποιο στέλεχος της εταιρείας ή ένας απλός υπάλληλος σε αμέριμνες στιγμές του ή σε επιλεγμένες ψυχικές καταστάσεις ή ακόμα και από τις ψηφιακές πληροφοριές που αυτός αφήνει στο διαδίκτυο. Μερικά από αυτά τα ηλεκτρονικά ίχνη (πληροφορίες) που αυτός ο ίδιος αφήνει να αιωρούνται στον κυβερνοχώρο μπορούν να κατασταστούν ιδιαίτερα επιζήμια για τον ίδιο προσωπικά ή για τον οργανισμό του. Γενικά χρησιμοποιούνται ανοικτές πηγές με αναζητήσεις στον κυβερνοχώρο (Internet, φωτογραφίες, βίντεο, δημοσιεύσεις, βάσεις δεδομένων, κοινωνικά μέσα κ.α.) αλλά και στον φυσικό κόσμο με τηλεφωνικές λίστες, πεταμένα προσωπικά δεδομένα με ταχυδρομικές διευθύνσεις ή γραμμένους κωδικούς στα καλάθια σκουπιδιών! Η τελευταία είναι μια ιδιαίτερα πετυχημένη μέθοδος (ονομάζεται Dumpster Diving) που αποτελεί την παλαιότερη τακτική στην κοινωνική μηχανική και θα εξετασθεί στην συνέχεια. Ορισμός κοινωνικής μηχανική (Social Engineering) Λόγω της φύσης της η έννοια της κοινωνικής μηχανικής είναι σχετικά δύσκολο να καθοριστεί και ακόμα πιο πολύπλοκη στο να περιγραφεί και να οριστεί. Οι μέθοδοι, τεχνικές και η αποτελεσματικότητα της είναι συνεχώς εξελίξιμες και δυναμικές και όπως όλες οι επιθέσεις, προσαρμόζεται στον στόχο και στον αμυνόμενο. Η προσπάθεια να διευκρινιστεί μέσω ορισμού επιφέρει μεγαλύτερη δυσκολία σε κάθε απλό πληροφοριακό χρήστη, ενώ, μέσω της εξέτασης των παραδειγμάτων και των αποτελεσμάτων που επιφέρει σε περίπτωση επιτυχίας, η κατανόηση και απορρόφηση της έννοιας καθίσταται ιδιαίτερα εύκολη. Σε κοινωνικά, καθαρά επίπεδο, η κοινωνική μηχανική είναι απάτη (περιλαμβάνει εξαπάτηση), και ορίζεται ως η καθοδήγηση/χειρισμός ανθρώπων στη συμπεριφορά και στην αποκάλυψη πληροφοριών. Σε καθαρά πληροφοριακό επίπεδο, ορίζεται αντίστοιχα ως πληροφοριακή απάτη με σκοπό το hacking σε διαφορετικά επίπεδα. Σήμερα εφαρμόζονται πολλές τεχνικές (σε υλικό και εφαρμογές) που σκοπό έχουν να αποτρέψουν την επιτυχία μια προαποφασισμένης επίθεσης στο εσωτερικό μας δίκτυο. Στον αντίποδα, η κοινωνική μηχανική έχει ως σκοπό να παρακάμψει ό- λες αυτές τις τεχνικές και συστήματα και επικεντρώνεται στους απλούς ανθρώπινους χρήστες, στην ψυχολογία τους, στους τρόπους συμπεριφοράς τους, στο μυαλό τους, στα συναισθήματά τους, στο wetware. Η ανθεκτικότητα της κοινωνικής μηχανικής σε προσπάθειες παράκαμψης των μέτρων ασφαλείας έγκειται κυρίως στην έλλειψη του παράγοντα εκπαίδευσης προσωπικού στις πολιτικές ασφαλείας των δικτύων μας. Η επέκταση της απειλής θα συμβαίνει όσο η επιχειρηματική κοινότητα ή οι κρατικοί οργανισμοί με σημαντική αξία εσωτερικού δικτύου (πλήθος χρηστών) δεν αντιλαμβάνονται το πόσο ευάλωτοι καθίστανται σε αυτού του είδους τις επιθέσεις. Μια απλή αναδρομή στην κατασκευή και δομή των υπολογιστικών συστημάτων είναι ότι αυτά είναι κατασκευασμένα να παρέχουν προγραμματισμένες αντιδράσεις (unconditional response) σε καθορισμένες εντολές (instructions). Οι περισσότερες τεχνικές/πολιτικές ασφαλείας επικεντρώνονται σ’ αυτό ακριβώς το επίπεδο, παρέχοντας προστασία των υπολογιστικών συστημάτων επιτρέποντας ή απαγορεύοντας την πρόσβαση σ’ αυτά. Η κοινωνική μηχανική, όμως, επιχειρεί να εξετάσει και να εισχωρήσει στην πληροφορική ασφάλεια αδιαφορώντας για την αρχιτεκτονική των ψηφιακών μηχανών ή δικτύων αλλά στοχοποιώντας την ανθρώπινη φύση, τα συναισθήματα και τις τάσεις της. Όπως, ακριβώς, γνωρίζουμε το hardware (υλικό) και το software (λογισμικό) καθώς και την συνεργασία μεταξύ τους για την παροχή πληροφοριακής ασφάλειας μια νέα έννοια ορίζεται ως ε- πίσης καθοριστικός παράγοντας στην ασφάλεια: το WETWARE. Το wetware αποτελεί αναπόσπαστο εργαλείο “εγκατεστημένο” στον υπολογιστή και απλά περιγράφει τις ανθρώπινες αντιδράσεις σε συνεργασία με το υπόλοιπο υπολογιστικό υλικό και εφαρμογές και κατ’ επέκταση με ολόκληρο το εσωτερικό δί- security | 33
Page 1: Αύγουστος - Σεπτέμβ
Page 4 and 5: CONTENTS 20 26 30 1|EDITORIAL 6|NEW
Page 6 and 7: NEWS Συνδυασμός κορυ
Page 8 and 9: NEWS Επίθεση από malware.
Page 10: NEWS Υπεύθυνοι Ασφαλ
Page 14 and 15: COVER ISSUE Διαχείριση Ε
Page 20 and 21: I SSUE το virtualization, οι λ
Page 22 and 23: I SSUE Εξασφαλίζοντας
Page 24 and 25: I SSUE Πιστοποίηση Δι
Page 26 and 27: I SSUE Γνωριμία με το
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Software Defined Networking
Page 32 and 33: I SSUE Xαράλαμπος Γκιώ
Page 36 and 37: I SSUE Wetware και Social Engine
Page 38 and 39: I ΝΤERVIEW Η κορυφαία π
Page 40 and 41: I ΝΤERVIEW Η Oracle Database 12c
Page 42 and 43: I ΝΤERVIEW Κομβικής ση
Page 44 and 45: I ΝΤERVIEW Κομβικής ση
Page 46 and 47: REFERENCE Ivan Straniero, Territory
Page 48 and 49: REFERENCE Λία Αργύρη, Corp

IT Professional Security - ΤΕΥΧΟΣ 32

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?