Penetrační testy pomocí sociálního inženýrství

Je však obecně známo, že nejslabším článkem bezpečnosti je člověk. Můžete mít bezpečně ošetřené přístupy,...


Je však obecně známo, že nejslabším článkem bezpečnosti je člověk. Můžete mít
bezpečně ošetřené přístupy, fungující firewall i antivirový program, můžete
poctivě instalovat všechny softwarové záplaty, mít šifrovanou komunikaci, ale
pokud některý ze zaměstnanců sdělí neoprávněnému člověku své heslo do systému,
případně si nechá odcizit privátní klíč certifikátu, je brána k vašim důvěrným
datům dokořán. Dříve se útočníci pokoušeli dostat k datům hlavně pomocí průniků
do vnitřní sítě organizace z internetu. Postupem času ale začaly firmy používat
na svou ochranu stále lepší technická zabezpečení. Tato zabezpečení sice nejsou
zcela neprůstřelná, ale vyžádala by si pro překonání tolik času nebo
prostředků, že pro útočníka začíná být nejjednodušší se na věci, které chce
vědět, přímo zeptat.
Sociální inženýrství
Jedná se o způsob chování, které používá útočník, aby pracovníky firmy
přemluvil k tomu, aby udělali něco, co nesmějí, nebo ani nechtějí. Někdy navíc
tak, že si ani sami neuvědomí, že něco takového udělali. Tento pojem je možná
celkem nový, ale metoda je stará jako lidstvo samo. Dříve se jí říkalo
přesvědčit někoho, použít lest nebo jednat podvodně. V současné době se
používají metody sociálního inženýrství také v e-mailech, například viry se
snaží přesvědčit uživatele, aby otevřel zavirovanou přílohu nebo klikl na
odkaz. Dalším příkladem je phishing, který nás chce přesvědčit, že přichází od
banky (viz článek v minulém Computerworldu). Sociální inženýrství je ale
používáno i legálně, například v marketingu. Reklama se snaží lidi ovlivnit
tak, aby koupili něco, co nechtějí a možná ani nepotřebují. Provedení testu
K prověření zaměstnanců formou penetračního testu je vhodné přistoupit až
potom, co je zavedena řízená bezpečnost IT, definována politika bezpečnosti IT
a zaměstnanci jsou pravidelně školeni, a to i o metodách sociálního
inženýrství. Může a nemusí být předem proveden i penetrační test
infrastruktury. Pak, pokud máte pocit, že bezpečnost IT je perfektně zajištěna,
nastal ten správný čas pro provedení penetračního testu pomocí sociálního
inženýrství. Test je samozřejmě možné provést kdykoliv jako ilustraci
aktuálního stavu, ale před vyškolením zaměstnanců je to poněkud nefér asi jako
zkoušení žáků první třídy ze středoškolského učiva. S vědomím, co se v oblasti
bezpečnosti smí a nesmí, se člověk nerodí, musí se to naučit. Jediné zdůvodnění
pro provedení tohoto testu před zavedením řízené bezpečnosti IT je ukázat
vedení organizace aktuální stav, a získat tak argument pro její zavedení.
Nedoporučuje se, abyste si tento penetrační test dělali sami je to podobné jako
s penetračními testy infrastruktury. Existuje totiž něco, co se nazývá provozní
slepota, a navíc zaměstnanec vždy ví více než vnější útočník a dokáže se
zpravidla dostat tam, kam člověk zvnějšku teprve chce získat přístup. Ale i
kdybyste "použili" pro takový test zaměstnance, který žádný přístup do
informačního systému nemá (existuje-li vůbec takový), je pak ohrožena jeho
další činnost v organizaci. Ostatní se na něj budou již vždy dívat podezřívavě
a spolupráce na jiných úkolech bude nelehká. Proto je lepší, když penetrační
test provádí cizí firma, která se takovými testy zabývá.
Lidé z této specializované firmy se pokusí získat informace, ke kterým by se
správně neměli dostat. Rozdíl oproti penetračním testům infrastruktury je v
tom, že útočník se může osobně setkat se zaměstnancem organizace, přičemž jeho
zájmem je získat informace tak, aby si uvedený pracovník ani při dotazu a ani
zpětně neuvědomil, že podal informaci, kterou by podat neměl. Pokusy o průnik
lze rozdělit podle různých hledisek. Jedno z nich je způsob přístupu sociálního
inženýra, který může například přijít přímo za dotyčnou osobou, od které se
chce něco dozvědět, může jí zavolat nebo poslat e-mail. Další možné dělení je
na slabé a silné metody. Při použití slabých metod je kontakt sociálního
inženýra a oběti většinou jednorázový. Útočník se představí jako někdo jiný a
požádá o informaci. Může se představit: ljako někdo, kdo má oprávnění třeba
administrátor, oprávněný uživatel, klient, dodavatelská firma, ljako významná
osoba, která má postavení a moc státní úředník, známý ředitele nebo přímo osoba
jednající na příkaz ředitele; je využita předstíraná autorita nebo je vyvoláván
pocit ohrožení, pokud by oběť žádost odmítla,
ljako někdo, kdo potřebuje pomoc například nový zaměstnanec, zaměstnanec
spřátelené firmy, klient; snaha útočníka vzbudit sympatii případně pocit
sounáležitosti je využívána ochota pomoci. Někdy stačí, když útočník je pouze
slušný a zdvořile o informaci požádá.
Silné metody potřebují více času, kontaktů s obětí může být mnoho. Bývá použito
dlouhodobé budování důvěry, zastrašování nebo i vydírání. Budování důvěry je
možné i pomocí neosobního přístupu, třeba při chatování. Je zajímavé, jak lidé
podléhají pocitu, že důvěrně znají někoho, s kým si delší dobu chatují.
Náplň dohody
V případě, že jste se rozhodli penetrační test pomocí sociálního inženýrství
provést a máte vybranou firmu, která jej provede, je vhodné dohodnout se na
následujících skutečnostech:
lobdobí, ve kterém se test bude provádět,
lkolik času tomu má ona firma věnovat (od toho se odvíjí cena),
ljaké metody a způsoby je možno použít (pouze slabé metody, pouze telefonicky
apod.),
lpřípadná omezení (zda pouze na ústředí nebo i pobočkách, zda je možno testovat
i management organizace apod.),
lvytipovat informace, které by se měla pokusit získat (třeba osobní údaje o
klientech, osobní certifikát zaměstnanců včetně privátního klíče),
lzda se má pokusit i o osobní přístup k PC, případně vložení zapisovatelného
média, připojení k vnitřní síti.
Doporučuje se ve smlouvě pamatovat i na klauzuli o mlčenlivosti a ochraně
neveřejných dat organizace. Základní podmínkou pro provedení testu je ale
utajení jeho konání. Ideální je, pokud o testu ví předem pouze ředitel
organizace a manažer bezpečnosti. Každá osoba navíc zvyšuje nebezpečí, že
informace o chystaném testu proniknou mezi zaměstnance, kteří se začnou mít na
pozoru a chovat se obezřetněji než obvykle.
Výsledky testu
Výsledky mohou posloužit k zmapování současné situace a zjištění účinnosti
školení o bezpečnosti IT. Také je možno je použít jako materiál pro další
školení. Odstrašující případy, které se staly ve vlastní organizaci, jsou
účinnější než memorování obecných zásad či než odstrašující případy v jiných
zemích nebo v jiných organizacích.
Kdo si tento test na zaměstnancích vlastní organizace nevyzkoušel, bude možná
překvapen, že tyto metody skutečně fungují. Výsledky mohou být pro mnohé
manažery bezpečnosti šokující až deprimující. Je na čase si uvědomit, že nejen
do technického zabezpečení, ale i do neustálého vzdělávání zaměstnanců je třeba
investovat nemalé částky. Zaměstnance je třeba motivovat, kladně i záporně,
snažit se o zvýšení jejich povědomí o tom, co se smí a co se nesmí, naučit je,
aby nejprve přemýšleli a až poté jednali.(pal) 6 1179









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.