IT Professional Security - ΤΕΥΧΟΣ 32

More documents

Info

I SSUE Wetware και Social Engineering κτυο του οργανισμού. Περιγράφει απλά τον άνθρωπο που χειρίζεται τον υπολογιστή ενός εσωτερικού δικτύου ο οποίος α- ποτελεί τη (νοητή) διασύνδεση με όλα τα υπόλοιπα δίκτυα (διαδίκτυο, σταθερή τηλεφωνία, κινητή τηλεφωνία, κοινωνικά μέσα, φυσικές κοινωνικές επαφές, κλπ). Το Wetware είναι αντίστοιχα κρίσιμο για την ασφάλεια του δικτύου όπως ακριβώς είναι το hardware και το software, αφού όλο το υλικό, λογισμικό, servers, συσκευές εισόδου/εξόδου, γραμμές σύνδεσης, συνδέονται α- ποκλειστικά με τους χειρισμούς και το μυαλό του χρήστη με το αντίστοιχο Username στο εσωτερικό δίκτυο. Σε γενικότερο ε- πίπεδο, το Wetware ως πληροφοριακός όρος έχει περιγραφεί «ως το management των ανθρώπων σε συσχετισμό με την θέση τους και τη λειτουργία τους στην κοινωνία». Οι πιθανότεροι στόχοι στην κοινωνική μηχανική είναι οι υπάλληλοι και τα στελέχη που βρίσκονται σε θέσεις στις οποίες διαχειρίζονται ευαίσθητες πληροφορίες. Ενώ οι ίδιοι αντιλαμβάνονται πλήρως τη συναίσθηση του καθήκοντός τους, αυτό δε σημαίνει απαραίτητα ότι κατανοούν και τους ψηφιακούς κινδύνους, αφού οι ίδιοι δεν είναι επαγγελματίες IT. Γνωρίζουν τη βάση εφαρμογής της πολιτικής ασφαλείας αλλά δεν είναι πάντα ενήμεροι για τη συνεχώς εξελίξιμη επιτυχημένη έννοια της ψηφιακής εξαπάτησης. Σημαντικός είναι επίσης ο κίνδυνος που μπορεί να προκύψει “από μέσα” από τους ίδιους τους υπαλλήλους μιας εταιρείας είτε εκούσια είτε ακούσια. Ο παράγοντας αυτός μας είναι γνωστό και από το φυσικό κόσμο, αφού μεγάλο ποσοστό κάθε ε- γκλήματος προέρχεται από τον ίδιο το γνωστό κύκλο του θύματος. Σε μελέτες που έχουν γίνει αποδεικνύεται ότι το 30% των παραβιάσεων ασφαλείας γίνεται από εξωγενείς παράγοντες. Αυτό σημαίνει ότι το υπόλοιπο 70% των παραβιάσεων ασφαλείας γίνεται από μέσα, δηλαδή τους υπαλλήλους που χειρίζονται το δίκτυο υπολογιστών της εταιρείας ή του οργανισμού ή ήταν πρώην (απογοητευμένοι και εκδικητικοί) υπάλληλοι της ε- ταιρείας στο άμεσο προηγούμενο χρονικό διάστημα. Πληροφοριακή Κουλτούρα (Απλών Χρηστών και Διαχειριστών Δικτύου) Η πληροφοριακή κουλτούρα, ένας σημαντικός παράγοντας της κοινωνικής μηχανικής, ως ένα βαθμό αντανακλά το επίπεδο εκπαίδευσης που έχει το σύνολο ενός λαού, συνόλου ή ομάδας υπαλλήλων. Αντανακλά το επίπεδο επιμόρφωσης του προσωπικού /υπαλλήλων στην φιλοσοφία της ασφάλειας του εσωτερικού δικτύου του οργανισμού καθώς και στην έννοιας της πληροφορίας για τον οργανισμό. Ο υπάλληλος ως τελικός απλός χρήστης του εσωτερικού δικτύου μεταμορφώνεται σε βασικό (δια)χειριστή της ασφάλειας του δικτύου του οργανισμού, όσον αφορά τη διαθεσιμότητα αυτής της πολύτιμης, για τον οργανισμό εγκατάστασης, χωρίς όμως, πολλές φορές να διαθέτει το απαραίτητο υπόβαθρο για την υποστήριξή της. Σε τοπικό επίπεδο χρήστη ο ανθρώπινος παράγοντας περνάει στις περισσότερες περιπτώσεις σε δεύτερη μοίρα όσον αφορά την εκπαίδευση περί ασφάλειας υπολογιστικών συστημάτων. Οι νεαρότερες ηλικίες, ακόμα και αυτοί που είναι περισσότερο εξοικειωμένοι με καθημερινές ηλεκτρονικές συναλλαγές καθώς και ηλεκτρονικά gadgets, διατηρούν στην αίσθηση τους ότι είναι ασφαλείς μόνο με ένα firewall και ένα antivirus. Ακόμα και σ’ αυτές τις ηλικίες, όπου το κινητό τους τηλέφωνο ξεπερνά τις δυνατότητες ενός διπήρυνου home pc, δεν παραλείπονται τα κενά ασφαλείας. Η ελεύθερη επικοινωνία με φίλους, γνωστούς και αγνώστους σε κοινωνικά μέσα όταν οι ίδιοι εργάζονται σε ευαίσθητους τομείς οργανισμών, ή, ακόμα και η αδυναμία τους να καλύψουν τα κενά ασφαλείας καταδεικνύουν τη χαμηλή α- ντίληψη των αρχών της πληροφοριακής ασφάλειας. Ο διαχειριστής ασφαλείας (administrator) ενός δικτύου μιας ε- πιχείρησης/οργανισμού, δεν είναι πάντα ο μόνος υπεύθυνος για την απώλεια ευαίσθητων πληροφοριών. Πιθανότατα, όμως, συγκαταλέγεται πάντα στους συνυπεύθυνους, αφού στις αρμοδιότητες του συγκαταλέγεται και η εκπαίδευση του προσωπικού και η αναβάθμιση της πληροφοριακής τους κουλτούρας που πολύ συχνά παραλείπεται. Η νοοτροπία της ομάδας διαχείρισης ασφαλείας στην συμπεριφορά ως “computers geeks υψηλού προγραμματισμού” απέναντι όλων των απλών υπαλλήλων και χρηστών είναι ασφαλώς παρωχημένη. Όπου αυτή εφαρμόζεται πιθανόν καταδεικνύει τη χαμηλή πληροφοριακή επιμόρφωση της ίδιας της ομάδας. Η ομάδα οφείλει να προστατεύει τον οργανισμό μέσω του hardware, software αλλά και του malware. Σε καμία περίπτωση δεν δρα μεμονωμένα, γιατί με τον τρόπο αυτό το προσωπικό και ο κάθε υπάλληλος μεμονωμένα καθίσταται ο πιο αδύναμος κρίκος στην ασφάλεια των υπολογιστικών συστημάτων. Για την εξέταση της πληροφοριακής κουλτούρας του ελληνικού κοινού αποτελεί ιδιαίτερη πρόκληση η μικρή ανάλυση της σημερινή τεχνολογικής διείσδυσης του ελληνικού πληθυσμού στις τεχνολογικές εφαρμογές. Η πληροφοριακή κουλτούρα με την 34 | security
Διάγραμμα 1 τεχνολογική διείσδυση είναι άρρηκτα συνδεδεμένες μεταξύ τους αφού καθορίζουν την ενσωμάτωση στην καθημερινότητά μας, στην επαγγελματική μας ζωή καθώς και στην εθνική νομοθεσία μας, πληροφοριακών όρων όπως cyber defense, phishing attack, Internet, κυβερνοάμυνα, κα. Ταυτόχρονα, καθορίζει τον τρόπο χρήσης της υπολογιστικής επιστήμης είτε ως πολύπλευρο ε- παγγελματικό ή προσωπικό εργαλείο για τη διευκόλυνση της καθημερινότητάς μας και την δημιουργικότητα μας, είτε ως έ- να καινούριο gadget για surfing σε νέα και κουτσομπολιά μεταξύ φίλων ή στην ίδια απλή χρήση ως παιχνιδομηχανή όπως το 1985 με τον Commodore 64. Στο χειρότερο βαθμό η πληροφοριακή κουλτούρα μπορεί να εμφανίζεται σε κάποιους μηδενική, αφού ακόμα και αν λειτουργούν καθημερινά ως χρήστες σε κάποιον οργανισμό πιθανόν να το αισθάνονται ως ένα “καταναγκαστικό” εργαλείο που είναι απαραίτητο γιατί απλά καθίσταται υποχρεωτικό από την διεύθυνση του οργανισμού. Η κοινωνική μηχανική διακρίνεται γενικά σε τέσσερις συνδυαστικές φάσεις που είναι: η συγκέντρωση πληροφοριών, η ανάπτυξη σχέσεων, η εκτέλεση και η εκμετάλλευση/αξιοποίηση των αποτελεσμάτων. Έχοντας ήδη αναλύσει τις μεθόδους συγκέντρωσης πληροφοριών και την στοχοποίηση χρηστών στο διάγραμμα 1 παρουσιάζονται όλες οι φάσεις. Στο επόμενο μέρος εξετάζονται τα ανθρώπινα χαρακτηριστικά που συνδράμουν την ανάπτυξη επιθέσεων κοινωνικής μηχανικής στις προσωπικές ή επαγγελματικές ψηφιακές πληροφορίες στο αντίστοιχο δίκτυο υπολογιστών. iTSecurity ΒΙΒΛΙΟΓΡΑΦΙΑ 1. Thomas R. Peltier CISSP, CISM (2006): Social Engineering: Concepts and Solutions, Information Systems Security, 15:5, 13-21, http://dx.doi.org/10.1201/1086.1065898X/46353.15.4.20060901/95427.3 2. Kurt Manske (2000): An Introduction to Social Engineering, Information Systems Security, 9:5, 1-7, http://dx.doi.org/10.1201/1086/43312.9.5.20001112/31378.10 3. Infosecurity Magazine, “Social engineering: Re-defining the human factor”, 24 May 2010, http://www.infosecurity-magazine.com/view/9697/socialengineering-redefining-the-human-factor/ 4. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal: A Global Perspective, 18:1, 40-46, http://dx.doi.org/10.1080/19393550802623214 5. Alistair S. Duff (2005): Social Engineering in the Information Age, The Information Society: An International Journal, 21:1, 67-71, http://dx.doi.org/10.1080/01972240590895937 6. Cadet Derek Kvedar, 2nd Lieutenant Michael Nettis and Dr. Steven P Fulton, USAF Academy, “The Use of Formal Social Engineering Techniques to Identify Weaknesses during a Computer Vulnerability Competition” 7. Scott D. Applegate Major (2009): Social Engineering: Hacking the Wetware!, Information Security Journal:A Global Perspective, 18:1, 40-46, http://dx.doi.org/10.1080/19393550802623214 8. Lena Laribee, Captain, USAF, “Development of Methodical Social Engineering Taxonomy Project”, Naval Postgraduate School, June 2006, http://faculty.nps.edu/ncrowe/oldstudents/laribeethesis.htm 9. Security Tip (ST04-014), US CERT, http://www.us-cert.gov/ncas/tips/st04-014 10. Christopher J. Hadnagy & Eric Maxwerll, Social Engineering Capture the Flag Results, Defcon 20, http://www.Social-Engineering.org security | 35
Page 1: Αύγουστος - Σεπτέμβ
Page 4 and 5: CONTENTS 20 26 30 1|EDITORIAL 6|NEW
Page 6 and 7: NEWS Συνδυασμός κορυ
Page 8 and 9: NEWS Επίθεση από malware.
Page 10: NEWS Υπεύθυνοι Ασφαλ
Page 14 and 15: COVER ISSUE Διαχείριση Ε
Page 20 and 21: I SSUE το virtualization, οι λ
Page 22 and 23: I SSUE Εξασφαλίζοντας
Page 24 and 25: I SSUE Πιστοποίηση Δι
Page 26 and 27: I SSUE Γνωριμία με το
Page 28 and 29: I SSUE Της Παναγιώτας
Page 30 and 31: I SSUE Software Defined Networking
Page 32 and 33: I SSUE Xαράλαμπος Γκιώ
Page 34 and 35: I SSUE Wetware και Social Engine
Page 38 and 39: I ΝΤERVIEW Η κορυφαία π
Page 40 and 41: I ΝΤERVIEW Η Oracle Database 12c
Page 42 and 43: I ΝΤERVIEW Κομβικής ση
Page 44 and 45: I ΝΤERVIEW Κομβικής ση
Page 46 and 47: REFERENCE Ivan Straniero, Territory
Page 48 and 49: REFERENCE Λία Αργύρη, Corp

IT Professional Security - ΤΕΥΧΟΣ 32

Create successful ePaper yourself

Delete template?

Save as template?