1 9 8 4 . d k

Hvad er truslerne


Tjekliste
Fysisk sikkerhed
Firewalls
Virus
- Antivirus
- Virus hoaxes
Sikker e-mail
- Filtyper
Spyware
Sikker surfing
Sikker sletning af data
Gode passwords
Opdatering af programmer
Social engineering
- Forholdsregler
Databaser
Undgå spam
Følsomme oplysninger over nettet

Links
Søg
Arkiv
BESKYT DIG SELV

Social Engineering - vigtigt


I sikkerhedssammenhæng betyder "social engineering" teknikker, der først og fremmest retter sig mod svagheder hos mennesker. Eksempelvis når en hacker (cracker) lokker et password ud af en anden person. Eller når en hacker opnår fysisk adgang til en pc eller et netværk ved at foregive at være ansat eller reparatør i firmaet.

Et typisk eksempel er hackere, der udgiver sig for at være systemadministratorer eller fra en internet-udbyder, og på den måde får et intetanende offer til at afsløre sit password. Det er dog ikke kun passwords og personlige oplysninger, der kan være værdifulde for en hacker. Også tilsyneladende harmløse oplysninger om brug af styresystemer, netværksopbygning, forskellige kontorlokationer, kollegers ferie, telefonnumre, interne procedurer osv. kan benyttes til at skaffe sig adgang til systemer eller bygninger.

Social Engineering er en meget udbredt metode til at skaffe sig adgang til andres data, fx passwords, og man bør derfor være på vagt overfor de forskellige teknikker, hvoraf nogle typiske eksempler er nævnt nedenfor. Og husk at det kun er et meget lille udpluk af en mængde meget avancerede metoder.

Dumpster diving metoden:
Gennemrodning af affald fra en person eller et firma. Her kan ofte findes disketter, bånd, harddiske eller lignende. Men også personlige informationer, der kan benyttes til at knække passwords, eller som kan benyttes til at snyde sig ind i firmaet.

Den psykologiske metode:
Omfatter bla. den ovennævnte metode hvor hackeren udgiver sig for at være systemadministrator el.lign. Men metoden kan også være langt mere raffineret, hvor personlige oplysninger om fx. børns navne, fødseldatoer, telefonnumre og lign. lokkes ud af folk i en tilsyneladende normal og venlig samtale. Erfaringen viser nemlig, at disse data meget ofte benyttes som passwords (se Sikre passwords).

Trojaner metoden:
En bruger narres til selv at installere software, der kan give hackeren adgang til systemet. Fx. ved at hackeren sender et sjovt lille program, som brugeren intetanende installerer, og som, udover at vise en sjov film eller køre et lille spil, placerer en såkaldt trojansk hest på brugerens system.

Fysisk adgang:
Kan en person skaffe sig fysisk adgang til en pc eller et netværk, vil han oftest også kunne bryde ind på den/det. Han kan benytte pc´ere, der står tændt uden password-beskyttelse, han kan sætte sniffere på netværket, han kan ændre administrator passwords, han kan gennemrode personlige oplysninger på papir osv. Og i mange tilfælde vil han finde password oplysninger skrevet ned i nærheden af pc´erne. Typisk vil en hacker udgive sig for at være reparatør, cykelbud, madleverandør, journalist, der vil skrive om firmaet el.lign.

Google metoden:
Med internettets gigantiske mængder af databaser med oplysninger om os alle sammen, er det ikke svært at finde oplysninger om familieforhold, kærestens telefonnummer, kæledyr osv. Endnu en måde at gætte sig til passwords, eller en metode til at kunne bruge den psykologiske metode mere effektivt.

Eksempler på social engineering:


Først et eksempel modtaget på CERT, hvor en cracker har plantet et program på en pc. Brugeren bedes indtaste sit password, som selvfølgelig bliver automatisk videresendt til crackeren:

OmniCore is experimenting in online - high resolution graphics display on the UNIX BSD 4.3 system and it's derivitaves. But, we need you're help in testing our new product - TurboTetris. So, if you are not to busy, please try out the ttetris game in your machine's /tmp directory. just type:

/tmp/ttetris

Because of the graphics handling and screen-reinitialazation, you will be prompted to log on again. Please do so, and use your real password. Thanks you for your support. You'll be hearing from us soon! OmniCore



Et andet eksempel er meget udbredt. Det er almindeligt, at folk benytter det samme password til mange forskellige ting. Det betyder, at har en hacker først fået adgang til et password, vil han også kunne gætte andre. I dette eksempel blev folk, der besøgte et bestemt site, bedt om at lave et password for at få adgang til ekstra materiale. Samtidig skulle man opgive sin e-mail adresse m.v.

Med denne e-mail adresse kunne bagmændene i mange tilfælde se, hvor den besøgende arbejdede, og de havde nu med stor sandsynlighed et password til dette sted.


En af de mere spektakulære metoder er også blevet benyttet i Danmark. Og måske er metoden opstået med inspiration i en gammel historie med Bjørne-Banden i Anders And & Co.

I hvert fald blev pengeautomater, præcis som i Anders And historien, udstyret med en falsk front. I denne falske front var der indbygget en kortlæser, som opsamlede kortdata og pin-kode, som den intetanende dankort-indehaver indtastede. Derefter var det blot at fremstille nye kort og benytte dem med pin-koden.


Andre eksempler er de udbredte "Update your billing information" eller "account information needs to be updated" mails, hvor brugeren snydes til at afsløre følsomme oplysninger om sig selv. De svarer til ovennævnte eksempel, hvor bagmændene opretter en hjemmeside, hvor man skal indtaste følsomme oplysninger som adresse, arbejdsplads, mail-adresse og passwords. I nogle tilfælde sågar kreditkort numre.


Specielt i løbet af sommeren florerer en udbredt metode. Over telefonen spørger en hacker efter IT-chefen. Er han på ferie, vil dette oftest blive oplyst. Med den viden dukker hackeren op senere på dagen med en mappe i hånden og slips om halsen. Han beder om at tale med IT-chefen, og da han får at vide, at denne er på ferie, meddeler han, at han ellers havde en aftale om at teste firmaets netværk.

Denne metode er overraskende effektiv, idet hackeren meget ofte vil få direkte adgang til netværket - måske oven i købet med en undskyldning for IT-chefens manglende tilstedeværelse.


"You try to make an emotional connection with the person on the other side to create a sense of trust." "That is the whole idea: to create a sense of trust and then exploiting it."

"You can have the best computer set-up in the world, but if someone can convince a member of staff to let them in all that is useless. The weakest link in any security chain is always human."

Kevin Mitnick - berømt hacker


Flere eksempler og gode råd:
- Forholdsregler mod social engineering

- The Use of Social Engineering as a Means of Violating Computer Systems - (EN)
- Social Engineering: What is it, why is so little said about it and what can be done? - (EN)
- Mitnick teaches 'social engineering' - (EN)
- Social engineering: examples and countermeasures from the real-world - (EN)

Sidst opdateret: 25. May 2003 20:34


Kontakt 1984.dk

I samarbejde med  
Privatliv.net
Sikkerhedsforum.dk
IT-politisk forening
Digitalforbruger.dk


Debatforum
Kontakt 1984.dk
Hvem er 1984.dk