Vælg et sprog
Kontakt oss
Partnere
Support
Jobb
Nyheter
Email & Web Security Services
Om Symantec
7. september 2010, 17:47 UTC+1(GMT+1)
Subpage toppicture

Social Engineering – hvordan kan din virksomhet manipuleres?

 Printvenlig version

Som nevnt i vårt forrige nyhetsbrev, er IT-sikkerhet en kombinasjon av produkt og prosess. Dette innebærer at virksomheter i dag er nødt til å være i konstant forandring og fornyelse. Men beklageligvis er verden ikke slik at all usikkerhet kan fjernes med én, enkeltstående løsning. I det øyeblikket virksomheten har besluttet å sikre seg mot uautoriserte brukere, hackere, crackere eller andre med skumle baktanker, har de startet et livslangt kappløp.

Et av de mest brukte fenomenene når det handler om å skaffe seg uautorisert adgang til IT-systemer, er Social Engineering. Et ukomplisert verktøy, som vi alle allerede er i besittelse av. Trening og research er det eneste som kreves for å lære seg disse teknikkene.

Alminnelige mennesker kan kanskje kjenne igjen noen av teknikkene fra andre sammenhenger. Det kan f.eks. være ved mistanke om utroskap - det er utrolig hvilken kreativitet mennesker kan legge for dagen for å skaffe de riktige opplysningene. Eller den lojale medarbeideren, som plutselig har fått et tilbud fra konkurrenten som han eller hun bare ikke kan si nei til - så kan kreativiteten vise seg i det man samtidig blir bedt om at ta evt. kundedatabaser med seg når man slutter.

Der er som hovedregel to ting i livet som kan motivere menneskers kreative og mørkere sider - det ene er tilstrekkelig med penger og det andre er følelser. Blir vi gjenstand for eller gissler i situasjoner hvor vi uskyldig rammes på det ene eller kanskje begge punktene, motiveres våre kreative sider ekstremt. Det skjer også for ansatte når de fristes, lokkes, forføres, sviktes, får sparken eller forurettes. Så har man alle ingrediensene for å fremkalle den ultimate kreativitet.

En av vår tids mest berømte eller beryktede mestre i teknikken Social Engineering er amerikaneren Kevin Mitnick. Han ble verdenskjent på åtti- og nittitallet, da han bl.a. var etterlyst av FBI i USA. I dag arbeider han som sikkerhetsrådgiver og har utgitt boken "The art of deception" (Kunsten å manipulere). Kevin mener alle mennesker besitter denne spesielle evnen til å manipulere. Noen er bare bedre til det enn andre. I takt med at vi ble oversvømt av IT-teknologi har det vert vanskelig å følge med. Derfor har det oppstått et slags "naturlig vakum" av uvitenhet, som det er opplagt å misbruke.

Under er en beskrivelse av noen av de mest benyttede metodene innenfor Social Engineering.

Etterligninger: Etterforskning har vist at en virksomhets rutiner kan være enkle å etterligne. Hvis man innledningsvis gjør research, samler informasjon og utarbeider en plan. Kan man ved å etterligne en virksomhets daglige rutiner hurtig skaffe sig adgang til vitale deler av organisasjonen. Tenk f.eks. på når en dør - med dørkode - blir åpnet med adgangskort, og noen kolleger ekstra "sniker seg med" inn. En rutine som kan ende med å bli årsaken til at et dyrt sikkerhetssystem har sviktet.

Viktig bruker - VIP: Det er ikke alltid nok å bare utgi sig for å være alminnelig bruker. Skulle man derimot utgi seg for å være adm. dir., styreformann eller lignende, skapes ofte respekt og det kan gi direkte adgang til steder man normalt ikke har adgang til. Vår naturlige respekt for autoriteter kan utnyttes, når noen ønsker å skaffe seg adgang til vanskelig tilgjengelige steder. Hvis man skal gjøre noe i det skjulte, så gjør det i full offentlighet. Med andre ord - hvis man er frekk nok vil man ikke vekke mistanke.

Tredjeparts autorisasjon - å få en 3. person til å skaffe seg adgang til de følsomme opplysningene: Typisk benyttes denne metode ved at man refererer til en maktperson med en viktig posisjon. En person som har status som betrodd medarbeider, som kan gi adgang til viktige deler av systemet. Her hjelper bl.a. "smøring" og kontanter. Personer som vil fremstå troverdig og som innehaver av de rette opplysningene, starter ofte deres research med å skaffe seg informasjon om virksomheten. Det skjer typisk gjennom "dumpster diving", altså gjennomgang av søppel og avfall. Her finner man gjerne nøkkelord, viktige personer, lokalnumre, fagord og evt. relevante datoer eller andre viktige informasjoner om virksomheden.

Teknisk Support: En enkel og mye benyttet kilde for å skaffe brukbare opplysninger. Det å utgi sig for å være fra supportsenteret har vist seg å være nøkkelen inn i mange virksomheter. I disse elektroniske tider er det ikke unormalt at man blir kontaktet uoppfordret av supportsenteret, som f.eks. vil spørre om tekniske problemer. Alt som går ut herfra kommer da fra "virksomhetens hjerte", og hvis man får opprettet inntrykk av å være avsender fra supportsenteret, så har man avlivet de første tilløp til tvil, og man vil kunne få en bruker til å gjøre nesten hva som helst.

Personlig fremmøte: Endelig kan man, som i spionverdenen, møte personlig opp og utgi seg for å være en ansatt, en gjest eller servicepersonale. Undersøkelser har bl.a. vist at bestemte personer, f.eks vaktmesteren eller portneren, ofte har en uforholdsmessig stor innsikt i virksomhetens sikkerhet, og typisk kan han eller hun bevege seg uhindret langt inn i virksomhetens hjerte. Som utgangspunkt er alle til salgs. Det er bare et spørsmål om riktig pris. Man bør derfor tenke over hvilke personer som er de mest vitale i forbindelse med sikkerheten. Når man er kjent med denne faktor/usikkerhet, er det lettere å ta sine forhåndsregler.

Dumpster diving: En veldig enkel kilde til informasjon om et firma. Selv meget følsom informasjon får ofte lov til å bli kastet ut uten makulering. Firmaets sikkerhet og dermed også de hullene den har, kan ofte avsløres ved å gå gjennom firmaets søppel. Og de fleste veier inn i virksomhetene, får dessverre alt for lett komme ut i avfallet - nettopp fordi man ikke har en sikkerhetspolitikk omkring makulering av fortrolige eller viktige papirer. Et godt råd er å få utarbeidet en risikovurdering, så man er kjent med de risikoene som måtte eksistere.

Shoulder surfing er den enkleste av de alle: Her skal man bare kikke andre over skulderen, for bl.a. å se deres passord. Ved shoulder surfing handler det mye om den atferd brukerne har tilegnet seg. Hva gjør de, hvor gjør de det og når? Alt for ofte opplever man ansatte som sitter og arbeider på offentlige steder. Det er lett å glemme tid og sted, selv om man arbeider med fortrolig informasjon, så denne kan ofte med enkelhet snappes opp av andre i lokalet.

Pop-up windows: Typisk vil det åpne seg et vindu som forteller brukeren at det har oppstått et brudd på forbindelsen, og brukeren blir igjen bedt om å taste inn brukernavn og passord. Både brukernavn og passord blir på denne måten sendt med e-post til angriperen, etter at denne på forhånd har klart å installere et lite program som utfører denne handlingen.

Mail attachments eller vedlagte filer er den virkelig farlige kilden til Social Engineering. Små scripts, virus, ormer, trojanske hester eller programmer som blir sendt til mottakeren. Tenk bare på noen av de første virusene, "I love you" eller "Anna Kournikova", begge to overskrifter som kan få nysgjerrige til å opptre uhensiktsmessig, sett i et sikkerhetsmessig perspektiv. Opp mot alle høytider stiger intensiteten av denne typen angrep, og man skal virkelig være på vakt overfor hva som gjemmer seg i mengden av lykkeønskninger og glade budskap - jul, pinse, påske og spesielle merkedager er spesielt utsatte.

Spam, kjedebreve og hoaxes: Alle sammen er de avhengige av Social Engineering. Informasjoner sendt ut med det til formål å forvirre og å desorientere skaper umiddelbart ingen fysisk skade eller tap av informasjon, men kan forårsake store tidsmessige tap i produksjonen. Samtidig bruker de en voldsom mengde av virksomhetens nettverk. En hoax er et falskt virus, hvis eneste formål er å blive spredt som spam. Den stjeler derved både tid og båndbredde.

Websites: En ofte brukt metode er å tilby spill, lotto eller lignende underholdning via en hjemmeside. For å kunne delta blir man typisk bedt om å taste inn en e-postadresse og et passord - dette av hensyn til sikkerheten på siden. Og da mange mennesker ikke alltid kun tenker på sikkerheten har de ofte det samme passordet hjemme som på arbeid, og plutselig har de uten å tenke over det gitt vekk sitt eget brukernavn og passord.

Hva kan man så gjøre?
Det handler om å være proaktiv, og å erkjenne at man har et reelt behov eller problem. Der finnes ikke en universell løsning eller et "quick fix". Ut over en nødvendig IT-politikk, regler og andre veiledninger, så kommer det her under noen gode råd:

1. Bruk din sunne fornuft. Det er det beste våpenet du har (stikk fingeren i jorden - gir det mening?).
2. Tidssvarende utdannelse av medarbeiderne (helst løpende og dynamisk).
3. Pass på at du ikke settes i uhensiktsmessige situasjoner (uoppfordrede telefoner, e-post, post, personlig henvendelser mv.).
4. Ikke oppsøk problemene (reflektere over annonser, telefoner eller lignende).
5. Det er ingen skam å spørre en ekstra gang (når du blir bedt om en aktiv handling, enten elektronisk eller fysisk, så spør avsenderen om validering. Hvis du f.eks. blir kontaktet telefonisk, spør om du kan få ringe tilbake. Husk: Det findes ingen dumme spørsmål - kun dumme svar!).
6. Test deres egen beredskap (på samme måte som man tester beredskap ved brann, så test deres beredskap ved Social Engineering).
7. Om uhellet er ute og skaden er skjedd, er debriefing en god måte å bli klokere på (hva hendte der, hvordan, hvorfor, hvilke metoder, forutsetninger og mål).
8. Få personalet innviet i hendelsene med Social Engineering, slik at de kan gjenkjenne de (det er vanskelig å bekjempe et problem ingen vet er der).
9. Vær realistisk - spionasje er verdens nest eldste yrke (hvorfor tro at det ikke eksisterer hos dere i dag!).
10. Utdannelse - utdannelse og utdannelse.

De gode rådene nevnt over er ikke en fasitliste, men en rettesnor for å komme godt i gang. En god sikkerhetspolitikk, god beredskap, samt en fornuftig realitetssans, er et godt utgangspunkt. Arbeid ut fra devisen: Det er ikke hvis, men når vi rammes - så gjør vi følgende ... og vær sikker på å ha testet, før andre omstendigheter likevel gjør det for dere.

Jesper Lundorf
Sikkerhetskonsulent

Copyright 2010 SoftScan - All rights reserved