Vælg et sprog
Kontakt os
Partnere
Support
Job i SoftScan
Nyheder og presseinformation
Produkter
Om SoftScan
28. august 2008, 01:49 UTC+1(GMT+1)

Social Engineering – Hvordan kan din virksomhed manipuleres?

 Printvenlig version

Som nævnt i vores sidste nyhedsbrev, så er IT-sikkerhed en kombination af produkt og proces. Dette indebærer, at virksomheder i dag er nødt til at være i konstant forandring og fornyelse. Men beklageligvis er verden ikke sådan, at al usikkerhed kan kureres med én enkelt løsning. I det øjeblik virksomheden beslutter sig for at sikre sig mod uautoriserede brugere, hackere, crackere eller andre med skumle bagtanker, så har de startet et livslangt kapløb.

Et af de mest benyttede fænomener, når det drejer sig om at skaffe sig uautoriseret adgang til IT-systemer, er Social Engineering. Et ukompliceret værktøj, som vi alle allerede er i besiddelse af. Det kræver blot træning og research, hvis man skal lære denne teknik.

Almindelige mennesker kan måske i anden sammenhæng genkende nogle af disse teknikker.

Det kan fx være ved mistanke om utroskab - så er det utroligt at se, hvilken kreativitet almindelige mennesker kan være i besiddelse af for at skaffe de rette oplysninger. Eller den loyale medarbejder, der pludselig har fået et tilbud fra konkurrenten man ikke bare kan sige nej til - så viser kreativiteten sig, når man samtidig bliver bedt om at tage evt. kundedatabase med sig når man stopper.

Der er som hovedregel 2 ting i livet, der kan motivere menneskers kreative og dunkle sider - den ene er tilstrækkelig med penge, og den anden er følelser. Bliver vi genstand eller gidsel i situationer, hvor vi uskyldigt rammes på en af disse sider eller måske begge, så motiveres vores kreative sider ekstremt. Dette sker også for ansatte når de fristes, lokkes, forføres, svigtes, bliver opsagt, fyret eller forurettede, og så har man alle ingredienserne til den ultimative kreativitet.

En af vor tids mest berømte eller berygtede mestre bag teknikken Social Engineering er Amerikaneren Kevin Mitnick. Han blev verdenskendt i 80'erne og 90'erne, hvor han bl.a. var eftersøgt af FBI i USA. I dag arbejder han som sikkerhedsrådgiver og har udgivet bogen "The art of deception" - kunsten at manipulere. Kevin mener at alle mennesker besidder denne særlige evne at manipulere. Nogle er blot bedre end andre. I takt med at vi blev oversvømmet af IT-teknologi, har det været vanskeligt at nå at følge med, og derfor er der opstået et naturligt vakuum af uvidenhed, som er oplagt at misbruge.

Herunder er listet nogle af de mest benyttede metoder man bruger indenfor Social Engineering.

Efterligninger - efterforskning har vist at en virksomheds rutiner kan være nemme at efterligne. Hvis man indledningsvis laver research, samler information og udarbejder en plan, så kan man ved at efterligne en virksomheds daglige rutiner hurtigt skaffe sig adgang til vitale dele af organisationen. Tænk bare på når en dør - med dørkode - bliver åbnet med et adgangskort og der lige er et par ekstra kolleger, der smutter med ind. En rutine, der kan bliver årsagen til at et dyrt sikkerhedssystem svigter.

Vigtig Bruger - VIP - det er ikke altid nok bare at udgive sig for at være bruger, men udgiver man sig derimod for at være adm. direktør, bestyrelsesformand eller lign. skabes ofte respekt og det kan skabe direkte adgang til steder, andre normalt ikke har adgang til.. Vores naturlige respekt for autoriteter er det som bruges når man skal skaffe sig adgang til svært tilgængelige steder. Hvis man skal gøre noget i det skjulte - så skal man gøre det i fuld offentlighed. Med andre ord hvis man er fræk nok, så vil det ikke vække mistanke.

3. parts autorisation - At få en 3. person til at skaffe sig adgang til de følsomme oplysninger. Typisk anvendes denne metode ved at man refererer til en person med stor magtposition. En person, som har status af betroet medarbejder, der kan give adgang til vigtige dele af systemet. Her hjælper bl.a. "smørelse" og kolde kontanter. For at virke troværdig og have de rette oplysninger starter meget research med indhentning af informationer omkring virksomheden. Det sker typisk igennem "dumpster diving" altså gennemgang af skrald og affald. Her finder man nøgleord, vigtige personer, lokalnumre, fagord og evt. relevante datoer eller andre vigtige begivenheder for virksomheden.

Teknisk Support - En meget benyttet og en nem kilde til at skaffe sig brugbare oplysninger. Det at udgive sig for at være fra support-centeret har vist sig at være nøglen ind i mange virksomheder. I disse computertider er det ikke unormalt uopfordret at blive kontaktet fra support-centeret, der kan spørge om tekniske problemer. Alt som udsendes herfra afgår jo fra "virksomhedens hjerte" og hvis man kan snyde sig til at være afsender fra support-centeret - så har man aflivet de første par spørgsmål omkring tvivl og man vil næsten kunne få en bruger til hvad som helst.

Personligt fremmøde - Som i spionverdenen kan man endelig møde personligt op. Udgiver sig for at være en ansat, en gæst eller servicepersonale. Undersøgelser har bl.a. vist at specielt en bestemt person, nemlig viceværten eller portneren, ofte er den person, der har en uforbeholdent stor indsigt i virksomhedens sikkerhed, og typisk kan han bevæge sig uhindret langt ind i virksomhedens hjerte. Som udgangspunkt er alle til salg, det er blot et spørgsmål om prisen er rigtig. Man bør derfor tænke på hvilke personer, der er de mest vitale i forbindelse med sikkerheden. Når man er bekendt med den faktor/usikkerhed er det lettere at tage sine forbehold.

Dumpster diving - Er en meget nem kilde til information omkring et firma. Selv ofte meget følsomme informationer får lov at blive smidt ud uden makulering. Firmaets egen sikkerhed og derved også huller kan ofte erfares blot ved at gennemgå firmaets skrald. Og de fleste veje ind i virksomhederne går desværre alt for let igennem skraldet - netop fordi man ikke har en sikkerhedspolitik omkring makulering af fortrolige eller vigtige papirer. Et godt råd er at få lavet en risikovurdering, så man er bekendt med de risici der måtte være.

Shoulder surfing - Er den mest simple af dem alle - her skal man blot kigge andre over skulderen for bl.a. at se deres password. Ved shoulder surfing handler det meget om den adfærd brugerne har tilegnet sig. Hvad gør de, hvor gør de det og hvornår? Alt for tit oplever man ansatte, der sidder på offentlige steder og arbejder. Her glemmer de så tid og sted, alt imens de arbejder med fortrolige informationer, der ofte nemt kan opsnappes fra andre i lokalet.

Pop-up windows - typisk at et vindue popper op og fortæller brugeren at forbindelsen er blevet afbrudt, således bliver brugeren bedt om at genindtaste sit login og password. Både login og password bliver således, via mail, sendt til angriberen, efter at denne forudgående har fået installeret et lille program, der foretager denne handling.

Mail Attachments - eller vedhæftede filer er den virkelige farlige kilde til social engineering. Små scripts, vira, worms, trojanske heste eller programmer bliver sendt til modtageren. Tænk blot på nogle af de første vira "I love you" eller "Anna Kournikova" begge to overskrifter, der kan få nysgerrige til at optræde uhensigtsmæssigt, set ud fra et sikkerhedsmæssigt perspektiv. Op til alle højtider stiger intensiteten af disse typer af angreb og man skal virkelig være på vagt for angreb, der gemmes i mængden af lykønskninger og glade budskaber - jul, pinse, påske og specielle mærkedage er særlige udsatte.

Spam, kæde breve og "Hoaxes": Alle sammen er de afhængige af social engineering. Informationer sendt ud med det formål at forvirre og desorientere. De skaber umiddelbart ingen fysisk skade eller tab af informationer, men de forårsager store tidsmæssige tab i produktionen. Samtidig bruger de en voldsom mængde af virksomhedens netværk. En Hoax er en falsk virus - hvis eneste formål er at blive spredt som spam og den stjæler derved tid og båndbredde.

Websites - En ofte brugt metode er at tilbyde spil, lotto eller lign. forlystelser via en hjemmeside. For at vinde bliver man typisk bedt om at indtaste sin e-mail adresse og et password - dette af hensyn til sikkerheden på siden. Og da mange mennesker ikke altid kun tænker på sikkerheden, så har de ofte det samme password hjemme og på arbejdet, og pludselig har de uden at vide det givet deres login og password væk.

Hvad kan man så gøre?
Det handler om at være proaktiv og erkende at man reelt har et behov/problem. Der findes ikke en universel løsning eller et quick fix. Ud over en nødvendig IT-politik, regler og andre vejledninger så er herunder et par gode råd:

1. Brug din sunde fornuft - det er det bedste våben (stik fingeren i jorden - giver det mening?)
2. Tidssvarende uddannelse af medarbejderne (helst løbende og dynamisk)
3. Pas på at du ikke du uopfordret bliver bragt i situationer (opkald, mail, post, personlig henvendelse mv.)
4. Lad være med at opsøge problemet (reflekteret på annonce, opkald eller lign.)
5. Det er ingen skam at spørge en ekstra gang (når nu bliver bedt om en aktiv handling både elektronisk og fysisk så spørg evt. afsenderen om validitet. Eks. bliver du kontaktet telefonisk - så spørg om ikke du må ringe tilbage. Husk - der findes ingen dumme spørgsmål - kun dumme svar!)
6. Test jeres beredskab (ligesom man tester brandberedskabet, så test jeres Social Engineering -beredskab)
7. Er skaden sket, så er debriefing en måde at blive klogere på (hvad skete, hvordan, hvorfor, hvilke metoder, forudsætninger, metoder og mål)
8. Indvi personalet i hændelser med Social Engineering, så det kan genkendes (det er svært at bekæmpe et problem, hvis ingen ved det er der.)
9. Vær realistisk - Spionage er verdens næst ældste erhverv - (hvorfor tro at det ikke eksisterer hos jer i dag!)
10. Uddannelse - uddannelse og uddannelse.

Ovennævnte gode råd er ikke en facitliste, men en rettesnor for at komme godt i gang. En god sikkerhedspolitik, et godt beredskab, samt en fornuftig realitetssans er godt begyndt. Arbejd ud fra devisen - det er ikke hvis, men når vi bliver ramt så gør vi følgende ... og test det så af inden andre omstændigheder gør det for jer.

Jesper Lundorf
Sikkerhedskonsulent

Copyright 2008 SoftScan - All rights reserved