Social Engineering / Inginerie Sociala

[NullCode]

- Part I –

Securitatea ar trebui sa fie de o mare importanta in fiecare business, din moment ce o bresa in securitate ar afecta atat valoare companiei cat si imaginea acesteia.

Acestea fiind spuse, companiile se bazeaza orbeste pe tehnologii ce le-ar putea oferi acest tip de securitate, ignorand cea mai slaba veriga din sistem ” omul”.

In cele ce urmeaza va voi prezenta succint ce inseamna “social engineering” si cum se aplica aceasta.

Social engineering = un procedeu prin care un om este pacalit in a livra informatii private/confidentiale despre o firma, sau mai peotic spus ” arta si stiinta de a face oamenii sa se supuna dorintelor tale”(Harl 1997).

Atunci cand un atacator nu poate invinge tehnologia, aceasta apeleaza la acest timp de atac, inseland angajatii sa le dea acces.

De ce Social Engineering are o rata de succes mare?

Acest tip de atac exploateaza vulnerabilitatile umane, ca ignorata sau naivitatea si foloseste concepte ca autoritatea, emotiile puternice, reciprocitatea, suprasolicitarea.

Cele mai multe atacuri se pot gasi in “6 weapons of influence” ( reciprocity, commitment and consistency, social proof, linking, authority , scarcity ) – Cialdini 1993.

O alta “vulnerabilitate” a oamenilor este aceea ca omul doreste sa ajute, astfel cautand satisfactie in ajutorarea unor persoane “la nevoie”.

Va voi prezenta cateva din vulnerabilitatile umane :

I.Emotiile puternice:

Acestea sunt folosite pentru a aduce “tinta” la o stare emotionala asa mare, incat aceasta sa nu mai dea atentie argumentelor.

Ex :

1. Anticiparea (primeste bani sau un premiu, astfel facand omul mai putin suspicios)

2. Stres : angajatii sunt facuti sa creada ca vor fi concediati sau ca vor fi consecinte grave in urma deciziilor luate de acestia.

Altele ar mai fi : suprize, frica, suparare, panica, emotionare.

II. Supra solicitarea:

Un om poate procesa o informatie intr-un anumit timp limitat.

Modul de a folosi aceasta vulnerabilitate este felul in care niste informatii corecte pot fi puse alaturi de informatii eronate, iar cele din urma fiind mai greu de observat.

Alt mod ar fi abordarea unei probleme din o alta perspectiva, dar “victimei” nu ii este lasata timp sa se gandeasca la aceasta perspectiva astfel lasand victima devenind mult mai maleabila(ar accepta opinini fara sa mai puna intrebari).

III. Reciprocitatea:

Este descrisa ca un sentiment ce te face sa raspunzi automat la o favoare/cadou ce primesti. Omul este multi mai deschis sa raspunda la o cerere, daca a primit un cadou in prealabil.

Tot conceptul se refera la modalitatea de oferta-cerere. Cu cat dai mai mult, cu atat vei primi mai mult in schimb.

IV. Relatii:

Cu cat o relatie este mai lunga, cu atat vei vedea mai mult incredere intre 2 persoane. O modalitatea de a stabili o relatie este modul prin care 2 oameni pot deveni prieteni avand acelasi inamic.

Un exemplu interesant ar fi cel prezentat de Mitnick ” two-year hack” ( Midnick and Simon 2005)

V.Autoritatea:

Aceasta este una din cele mai folosite modalitati de a sustrage informatii.

O persoana va desfasura o actiune cu o probabilitate mai mare, daca o persoana cu autoritate le-o va cere.

Ex: Experimentul Milgram. Il puteti gasi -> Milgram_experiment

VI.Integritate:

Acest idee se refera la inclinatia oamenilor de a rezolva niste task-uri, daca acestea sunt scrise si semnate de catre cineva. Adica vor reactiona la niste task-uri mai repede in scris, decat daca ar fi fost informati prin telefon.

Ex: un angajat este plecat in vacanta, iar atacatorul stie asta. El ar putea trimite mail-uri in numele lui, iar acestea sa fie citite si executate de catre alti oameni in subordinea lui, fara prea multe intrebari.

Tehnici de social-engineering:

1.Culegerea de informatii de pe Google.

2.Internet

3.Newsgroups

4.Listari telefonice( Pagini aurii/albe)

5.Google Maps

6. Social/Business Networking Sites ( hi5,facebook,linkdb)

7.Blogs

8.IRC/IM( yahoo,msn)

9.Spionaj

10.Telefon

11. Fata-in-fata

12.Dumpster Diving

13.Phishing

14.Reverse Social Engineering

15.Alte metode( nici eu nu le stiu pe toate )

Asta a fost una dintr-o serie de 3 articole despre acest subiect.

[NullCode]

- Part III -

Deoarce ingineria sociala exploateza factorul uman, ca veriga cea mai slaba dintr-o organizatie,cea mai eficienta metoda de aparare este educarea oamenilor.

Totusi nu trebuie uitat si partea tehnologica(pshingul poate fi evitat, daca ar exista un browser care le-ar detecta). Apararea pe mai multe niveluri

Multi-level Defense against Social Engineering:

1.Foundation Level: Politici de securitate impotriva igineriei sociale

2.Parameter Level: Security-awarness pentru useri

3.Fortress Level: Training de calitate pentru personalul cheie

4.Persisence Level: Remindere la intervale mici in legatura cu Ingineria Sociala

5.Gotcha Level: “Social engineering land mines”(SELM).

6.Offensive Level: Atacul impotriva 'hackerului'

Concluzie:

Ingineria sociala este o adevarata amenintare. Deocamdata firmele nu se protejeaza de asa ceva, dar cu cat acestea vor deveni mai constiente de pericole, va fi aproape imposibil de a exploata aceasta ramura.

Sper ca va placut, si astept feedback

[Cheater]

Se pare ca sunt primul care va da un feetback acestui articol, in primul rand felicitari, ai punctat aproapte doate punctele principale in domeniu.

Apoi tin sa reamintesc de cartea care am recomandat-o si o recomand in continuare "Psihologia multimilor de Gustave le Bon"

In al trei-lea rand as vrea sa prezint un experiment propriu facut in liceu:

Am luat o foaie alba, A4, pe care am scris ca si titlu "Pentru doamna profesoara de biologie" (legea autoritatii), apoi am scris toate numele celor din clasa in ordine alfabetica, iar apoi dupa ce au semnat 3 persoane (legea continuitatii) care stiau despre ce e vorba, am decis sa dea mai departe foaia cu mesajul "-Semneaza si da mai departe!" (tine de psihologia multimilor, sunt in aceeasi clasa, sunt toti pe lista, trebuie sa semneze, li se da un scop comun, deci sunt o multime, intr-o astfel de multime psihicul se adapeaza si functioneaza ca parte a multimii, cei care nu se incadreaza vor trebui eliminati, multimea are intotdeauna un lider, pe care il urmeaza pana la fanatism, aici liderul este initiatorul anonim al foii), dand foiaia de la unu la altu, fara a fi specificat exact ce reprezinta ea, si ce inseamna semnaturile lor pe aceea, dupa un calcul ~95% au semnat fara sa puna intrebari, chiar si pers la care ne asteptam mai purin, pe cand unele din persoanele la care ne asteptam (care se afirmau mai putin) nu s-au incadrat in multime/s-au rput de turma si au refuzat cu desavarsire semnarea foii, iar noi le spuneam, nu semnezi, da mai departe cu mesajul "..." iti explic in pauza.

La final dupa ce am adunat cum spuneam 95% din semnaturile celor prezenti, vroiam sa scriu "Suntem deacord sa facem curat in laboratoril de biologie timp de 2 saptamani, dupa orele de curs" dar discutand intre noi, initiatorii, am decis sa le iertam prostia.

In concluzie printr-un test simplu am testat si confirmat mai multe legi simple, care se pot aplica cu succes in ingineria soliala.

PS: Imi pare rau ca ma repet dar fiti foarte atenti, mai ales la varsta fragede si/sau fara experienta, ca va puteti frige foarte naspa cu psihologia, un aspect de exemplu este ca TOATE TRATATELE/CARTILE sunt scrise cu scopul de a impregna cititorului ca este un pur adevar exact asa cum este scris si ca nu este nevoie de a-si bate capul cu cantarirea adevarului/modului de aplicare, eu m-am fript cu asta, nu aplicati nimik fara a sti ceea ce faceti si pe masura ce sunteti mai convinsi ca e ok cu atat mai atrasi sunteti spre greseala, acea greseala care incet-incet duce spre deziluzie/povara si autodistrugere intr-un final!!!

Bafta tuturor!

[NullCode]

Mrs ptr feedback si promit ca o sa citesc cartea recomandata de tine.("Psihologia multimilor de Gustave le Bon").

Interesant experiment ai facut. Ceea ce ai facut tu se poate aplica la orice nivel, la facultate, la munca etc.

Mai ai cumva altele?

Eu am venit cu urmatoarea "poveste":

Sa zicem ca vrei sa furi o baza de date de la o firma, si nu stii cum sa faci.

1.Pai in primul rand trebuie sa aflii de la ce ISP au internet(destul de usor zic eu).

2.Incerci "Reverse Social Engineering"(prin care pui tinta sa aiba nevoie de tine)

Ex:

Suni si zici: Buna ziua, suntem de la RDS/UPC/etc.. si am vrea sa va intrebam daca aveti cumva probleme cu internetul, ca se lucreaza la infrastructura in zona dvs.

Tinta: Nu, totul merge ok.

Atacatorul : Ok, daca aveti probleme sunati la nr-ul 073xxxxxxx.

T: Ok.

Dupa ce se incheie convorbirea, atacatorul la incerca sa intrerupa conexiunea lor la internet.Taie/scoate cablul principal din router(daca are acces) sau face un DOS/DDOS.

Asteapta cateva minute si sigur firma il va suna.

Tinta: Buna ziua, avem probleme, nu ne merge internetul etc..

A: Da stim se lucreaza, internetul va reveni in 3 zile.

T: CUM!??!! CUM ASA MULT?!!!*se plange etc*

A: O sa vad ce pot sa fac. O sa revin cu un telefon, sa vad daca va putem da drumul mai repede la internet.

*aici e aplicat reverse social engineering, TINTA are nevoie de atacator*

Atacatorul opreste DDOS-ul/baga firul inapoi si suna la TINTA.

A: Va merge internetul?

T: Da, doar ce si-a revenit! Multumesc mult

A: Se lucreaza pe infrastructura, dar v-am pus pe o cale 'speciala'. Veti avea nevoie de un program, va rog intrati pe http://<ip>/rds.exe si dati dublu click si instalati-l si nu veti mai avea probleme.

Ati intrat?

T: Da acum intru, trb sa fac asta la toate calc?!

A: Nu, doar la dvs.

T: Va multumesc mult!

A: Pentru nimic, O zi buna!

T: O zi buna!

------------

Tin sa precizez ca tinta am presupus ca este vreo secretara, si firma este una mica.

Vei avea nevoie de sunete de fundal, sa para ca suni de la RDS/UPC..

Exista o regula: NU INCEARCA NICIODATA SA FACI SOCIAL ENGINEERING UNUI OM MAI DESTEPT CA TINE!(gen nu iti va reusi niciodata, cu un sysadmin)

P.S:Asta a fost doar o 'poveste' testata de mine