Emberi tényezı az információbiztonságban

Átírás

1 Kritikus infrastruktúrák védelme, információbiztonság 2016/2017/2 v1 2. rész Emberi tényezı az információbiztonságban Váczi Dániel Budapest,

2 Mirıl lesz szó? A téma helye és jelentősége Mi az a social engineering? Támadási technikák Egy kivitelezett valós támadás ismertetése Védekezési technikák 2 Váczi Dániel - Emberi tényező az információbiztonságban

3 Bevezetı gondolatok Miért pont az enyém? Nincs semmi fontos adatom. Nem vagyok én olyan jelentős ember. Cél: Specifikus támadás Általános támadás 3 Váczi Dániel - Emberi tényező az információbiztonságban

4 Veled biztos nem történt meg? 4 Váczi Dániel - Emberi tényező az információbiztonságban

5 Mit védünk? Adat? Információ? Titkainkat! 5 Váczi Dániel - Emberi tényező az információbiztonságban

6 Mitıl is kell LEGINKÁBB védeni az információt? Saját magától, az EMBERTŐL! 6 Váczi Dániel - Emberi tényező az információbiztonságban

7 A komplex biztonságról: Amit el akarnak vinni, azt el is fogják Biztonságtechnika Adat-és információvédelem Szabályozás Tervezés Rendszerszemlélet Ellenőrzés 7 Váczi Dániel - Emberi tényező az információbiztonságban

8 Kell a szemléletváltozás! Olcsó nem egyenlő a megfelelővel Az emberi tényező alap tervezési szempont Ennek része generáció különbség Idősebb generáció a mai információs társadalomban nem úgy él, mint az megkívánná Alapvető informatikai hiányosságok (IoT) 8 Váczi Dániel - Emberi tényező az információbiztonságban

9 A rendszerben eltöltött hely ISO/IEC 27001:2003 A mellékletei közül a 7.2 De az 5-15 mind azt szabályozza, hogy ne lehessenek konkrét esetek 9 Váczi Dániel - Emberi tényező az információbiztonságban

10 Mi is az a social engineering? socialengineeringa művészete, még inkább a tudománya annak, hogy gyakorlatias műveletekkel befolyásoljukaz emberi lényeket, azért hogy a célunk érdekében cselekedjenek az életük néhány helyzetében. (ChristopherHadnagy) 10 Váczi Dániel - Emberi tényező az információbiztonságban

11 Ki használja? Kisgyerek Szórakozó helyen az ismerkedésnél Párkapcsolat Eladó Pszichológusok A pártok James Bond Hackerek Stb. 11 Váczi Dániel - Emberi tényező az információbiztonságban

12 Motiváció Pénzszerzés (bankkártya csalások) Bosszúvágy Ipari kémkedés Titkosszolgálati tevékenység Tudásuk, képességeik fitogtatása Social engineering audit Önös szempontok Stb. 12 Váczi Dániel - Emberi tényező az információbiztonságban

13 Biztonságtechnikára vonatkoztatva Olyan információszerzésre irányuló cselekvés, támadási forma, mely technikai ismeretekkel, vagy anélkül az emberi lény alapvető pszichológiai tulajdonságait használja ki. 13 Váczi Dániel - Emberi tényező az információbiztonságban

14 Szociálpszichológia Személyiséglélektan Pszichológia Gondolkodási módok Mimika és apró árulkodó gesztusok (Microexpressions) Összhang-, szimpátiateremtés (Building rapport) Személyiség felvétel (Pretexting) Kiderítési/kérdezési technikák (Elicitation) Befolyásolási taktikák (Influencetactics) 14 Váczi Dániel - Emberi tényező az információbiztonságban

15 Biztonságtechnikai érintett területei Adat-és információ védelem Mechanikai védelem Elektronikus rendszerek Élőerős őrzés-védelem 15 Váczi Dániel - Emberi tényező az információbiztonságban

16 Károk Anyagi Erkölcsi 16 Váczi Dániel - Emberi tényező az információbiztonságban

17 Identitás lopás Álruhába bújás Humán alapú technikák Céges alkalmazottnak adja ki magát Partner cég alkalmazottjának adja ki magát Új munkaerőnek adja ki magát Magas pozíciójú embernek adja ki magát Fontos embernek adja ki magát IT szakembernek/rendszergazdának adja ki magát Tombstonetheft ( sírkő lopás ) Thirdpartyauthorization (felhatalmazás) Hamis bizalom keltés 17 Váczi Dániel - Emberi tényező az információbiztonságban

18 Humán alapú technikák Reversesocialengineering(fordított SE) Valamit valamiért Jelszavak kitalálása Alapértelmezett jelszavak Személyre utaló jelszavak Rutin munkát végzők segítségkérése Bejutás az épületbe Tailgating Késés Hamis ID használata Piggybacking 18 Váczi Dániel - Emberi tényező az információbiztonságban

19 IT alapú technikák Alap információszerzés Internet böngészése Közösségi portálok figyelése Phishing(Adathalászat) Kártékony programok Keylogger Hálózatok figyelése Egyéb IT alapú támadások Telefonbeszélgetés Látszólag belső cím Távoli hozzáférés Okostelefonok/tabletek/PDA-ktámadásai WiFi 19 Váczi Dániel - Emberi tényező az információbiztonságban

20 Egyéb technikák Shouldersurfing Dumpsterdiving(kuka búvárkodás) 20 Váczi Dániel - Emberi tényező az információbiztonságban

21 Kártékony szoftverek bejutási lehetıségei (SE tekintetében) Csatolmányok Játékoknak, programoknak álcázott kártékony programok (trójai programok) Tartalom megtekintés alapuló átverések Baiting(fertőzött adathordozó) Frissítés/javítás felajánlása "Ingyen" programok Felugró ablakok Lánclevelek Supplychainattack 21 Váczi Dániel - Emberi tényező az információbiztonságban

22 A konkrét támadás 22 Váczi Dániel - Emberi tényező az információbiztonságban

23 Fı céljaink Bejutás az épületbe Minősített információk megszerzése Jelszó és felhasználónév megszerzése Belső telefonkönyv megszerzése Biztonságtudatosság tesztelése 23 Váczi Dániel - Emberi tényező az információbiztonságban

24 Audit kapcsán felmerülı kérdések Mennyire valós probléma? Milyen biztonsági kockázattal számolhatunk? Mekkora kockázat ez egy komplex rendszer tekintetében? 24 Váczi Dániel - Emberi tényező az információbiztonságban

25 Támadás felépítése 1. Cél(ok) meghatározása 2. Információ gyűjtés 3. Tervezés, előkészületek 4. A támadás kivitelezése 25 Váczi Dániel - Emberi tényező az információbiztonságban

26 1. Célok Bejutás az épületbe Minősített információk megszerzése Jelszó és felhasználónév megszerzése Belső telefonkönyv megszerzése Biztonságtudatosság tesztelése 26 Váczi Dániel - Emberi tényező az információbiztonságban

27 2. Elızetes információszerzés Internet Közösségi média Weblapok Google(hack) Online videók Épület körüljárás Ügyfélszolgálat Pénztárca Telefon hívások 27 Váczi Dániel - Emberi tényező az információbiztonságban

28 Facebook: Teljes név Becenév Születési dátum, hely Munkahely Tanulmányok (egyetem, főiskola, középiskola) Családtagok Párkapcsolati állapot Szakmai készségek Korábbi lakhelyek címek Mobiltelefonszám Lakcím Nemi identitás Ismert nyelvek Vallási nézet Politikai nézet Közösségi média LinkedIn: Teljes név Előző munkahelyek, pozíciók Publikációk Tanúsítványok Projektek, amikben az illető részt vett Különböző kurzusok, amiken a tulajdonos részt vett Elnyert díjak Beszélt nyelvek Tanulmányok Instagram, Snapchat, Tumblr 28 Váczi Dániel - Emberi tényező az információbiztonságban

29 3. Tervezés, elıkészületek A bejutáshoz szükséges lépések: Beléptetés felderítése Első alkalom Lehetőségek felderítése Második alkalom (hasonló kártya) Majdnem tökéletes kártya készítése 29 Váczi Dániel - Emberi tényező az információbiztonságban

30 4. A támadás kivitelezése Épületen belül: Belső hálózathoz történő hozzáférés Nyílt WiFihálózat tesztelése Notebook Okostelefon Épületen belüli információ gyűjtés Hálózati végpontok 30 Váczi Dániel - Emberi tényező az információbiztonságban

31 4. A támadás kivitelezése Személyes kontaktus: Megfelelő alany kiválasztása (generáció, szaktudás, korábbi ismeretek, technikai tudás) Általános felderítés apró kérdésekkel Helyszíni ismeretek szerzése Vagyon védelmi rendszer alapvető struktúrája Konkrét eset 31 Váczi Dániel - Emberi tényező az információbiztonságban

32 4. A támadás kivitelezése Biztonságtudatosság tesztelése: Belső információk lopása Nyitott iroda Nyitott irattárak Tiszta asztal politika Baiting Tárgyalókban hagyott információk Idegen adathordozók csatlakoztatása Phishing 32 Váczi Dániel - Emberi tényező az információbiztonságban

33 Miért is védjük az információt? Mai világ: A fél életünket számító gép előtt töltjük Mindenünk az eszközeinken, felhőkben van Üzemekben a gépek irányítása, IoT Szabadalom Pénzünk (e-bank) Közszolgáltatások Yahoo 33 Váczi Dániel - Emberi tényező az információbiztonságban

34 Mobil eszközökön tárolt adatok Telefonkönyv Híváslista -> közeli ismerősök, ügyfelek SMS kliens programok (Gmail, Outlook) Felhőszolgáltatók SD kártya Jelszavak, PIN kódok üzenetként Útvonalak (Waze, GoogleMaps, Tinder!, sport alkalmazások) Mentett Wi-Fihálózatok Naptár bejegyzés Szórakozó alkalmazások (képmegosztók, zene stream) Társkereső alkalmazások Böngészési előzmények Nyelvtudásról árulkodó szótárprogramok Utazási szokásaikn(bkv, Volán, MÁV menetrend) Különböző eszközök, amik csatlakoztatva voltak Bluetooth-alWi-Fi-vel 34 Váczi Dániel - Emberi tényező az információbiztonságban

35 Támadásra utaló jelek A hívó nem adja meg a telefonszámát Rendkívüli kérés Hivatali hatalmára hivatkozik Sürgősség Együttműködés hiánya esetén negatív következményekkel fenyegetőzik Dobálózik a nevekkel Bókol, hízeleg Flörtöl 35 Váczi Dániel - Emberi tényező az információbiztonságban

36 Személyazonosság ellenırzése Hívószám kijelzés (név, szám megegyezősége) Visszahívás (céges telefonkönyvből) Kezesség vállalás (megbízható személy kezeskedik-e érte) Megosztott titok (jelszó/naponta változó kód) Alkalmazott felettese/főnöke Biztonságos (digitálisan hitelesített) Hangfelismerés (személyes ismeretség) Személyes megjelenés kérése (igazolhatóság) 36 Váczi Dániel - Emberi tényező az információbiztonságban

37 Nem a problémákat kell orvosolni, hanem MEGELİZNI azokat. 37 Váczi Dániel - Emberi tényező az információbiztonságban

38 Üzleti szintő lépések Szenzitív munkakörökben dolgozók előzetes ellenőrzése BIZTONSÁGTUDATOSSÁG NÖVELÉSE Oktatás, képzés Szabályzatok készítése, frissítése, betartatása Intézkedések előre, jól definiáltsága (incidens esetén, mi a teendő) Figyelem fenntartása Audit KONTROL 38 Váczi Dániel - Emberi tényező az információbiztonságban

39 Üzleti szintő lépések Jogosultságkezelés Megfelelő titkosítások Naprakészség Mindezt rendszeresen Jogi alapok (titoktartási szerződések) Engedélyezési szintek megalkotása Tiszta szoftver Megfelelő hálózati beállítások Mentések 39 Váczi Dániel - Emberi tényező az információbiztonságban

40 Egyéni megelızés Mit adunk meg magunkról (fórumok, blogok, közösségi oldalak) Mit osztunk meg Ki láthatja az adatainkat Ki láthatja a képeinket Események Kinek milyen hozzáférést biztosítunk (pl.: Neptun) 40 Váczi Dániel - Emberi tényező az információbiztonságban

41 Egyéni megelızés Otthoni eszközök Frissítés (operációs rendszer, Antivirus, Adobe Reader, Java, activex) Vendég fiók létrehozása Böngésző bővítmények Wi-Fihálózat Törtprogramok (hozzászólások olvasása) 41 Váczi Dániel - Emberi tényező az információbiztonságban

42 Egyéni megelızés Mobil eszközök védelme Képernyő zárolása Antivirus program Root/jailbreak Alkalmazás boltok Fiók szinkronizálás Gyanús Wi-Fi Jelszókezelés 42 Váczi Dániel - Emberi tényező az információbiztonságban

43 Jelszó probléma: Egyéni megelızés Alapértelmezett Gyári beállítás 12345, admin Logikai kapcsolat Személy-jelszó ( anya névnapja) Login név-jelszó (Andrea Aerdna) Szótár Nyers erő (bruteforce) 70^10=2,8*10^18 10^18 26^18=3*10^25 43 Váczi Dániel - Emberi tényező az információbiztonságban

44 Egyéni megelızés Közösségi média Társkeresők Minden áron lejátszás kerülése Online fenyegetés fertőzéssel Biztonsági mentés NEVELÉS 44 Váczi Dániel - Emberi tényező az információbiztonságban

45 Gondolkodj! 45 Váczi Dániel - Emberi tényező az információbiztonságban

46 Köszönöm a figyelmet! 46 Váczi Dániel - Emberi tényező az információbiztonságban