Embed Size (px)
Citation preview
Sosial manipulering i praksis
Kjetil HelbergseniorkonsulentSecode Norge AS
Secode
• Ledende sikkerhetsleverandør i Norden
• 25 års erfaring innen IT-sikkerhet
• Kontorer i Norge, Sverige, Finnland, Danmark
og Nederland
• Arendal – eksempel:
• 24/7 Security Operation Center (SOC)
• Konsulentavdeling
• Testavdeling
• Mobil sikkerhet
• Sikkerhetspartner for kunder innen:
• Bank og finans
• Detaljhandel
• Helse
• Offentlig sektor
• Forsvaret
BS
Sosial manipulering
• Sosial manipulering (Social engineering) er handlingen å
• manipulere folk til å enten utføre handlinger eller
avsløre konfidensiell informasjon
• Baserer seg på anerkjent kunnskap og metoder fra psykologi
21/10/20113
• Baserer seg på anerkjent kunnskap og metoder fra psykologi og sosiologi
• Ikke tilfeldigheter og flaks
• Secode har bygget et godt rammeverk, som har vist seg å fungere godt i praksis
Om sosial manipulering:
”Zero-day exploits get all the sexy headlines, but social engineeringgets most of the results!”
� Pålitelig, etterprøvbart og reelt
� Fleksibelt og tilpasningsdyktig� Gjennomføres både internt og eksternt� Planlegging ���� troverdighet/forventninger ���� vellykket test
21/10/20114
� Planlegging ���� troverdighet/forventninger ���� vellykket test
• Angriper det svakeste punktet i sikkerhetsstrukturen, og vanskelig for tekniske sikkerhetstiltak å detektere angrepet
• Angrepet er ikke nødvendigvis målet, men målet for angrepet er klart definert på forhånd
Nøkkelen til en godt test:
Troverdighet og kompetanse
21/10/20115
Funn og tilbakemelding
Analyse og tilpassning
Målet vårt er todelt:
21/10/20116
Fokuspå kundens
verdier
Bevise reell sikkerhet
Metoder
Nr Type Metode Verktøy Mål
1 Fysisk tilgang Secode vil søke tilgang til lukkede soner, viaresepsjonsområdet eller via andre innganger.Metoder som kan vurderes er å gli inn i en størreforsamling, operere i par og la en ansatt oppholderesepsjonen, finne ”bakdører” som ansattebenytter ifbm røykepauser m.m.
Fysisk oppmøte Få tilgang til lukkede områder, som igjen vil åpne fornærmest ubegrenset tilgang til informasjon. Erfaring viserat om man penetrerer første del av skallsikringen, vilterskelen for senere å bli avslørt være svært høy.Adgang til serverrom, kablingsrom, printerrom etc vil væreen naturlig del av denne testen.
2 Opsjon:Datasniffing /trådløstaksesspunkt
I forbindelse med test av fysisk tilgang (over), kanvi forsøke å sette opp en trådløs, kryptert (WEP2-ENT) forbindelse på kundenettet.
Fysisk oppmøte Om vi lykkes med dette, vil vi i effekt ha ubegrenset tilgangtil det aktuelle nettet, uten å måtte forsøke å komme ossinn i bygget flere ganger.Det vil også være naturlig å sniffe data fra nettverket, for ådokumentere funn.
3 Baiting Baiting er en passiv phishing-metode, hvor Secode(eller bedriften selv) utplasserer ”gjenglemte”minnepinner på troverdige steder, som toaletter
USB-pinner Ved å legge ut slike minnepinner tester Secode to ting: ommaskinparken til kunden er beskyttet mot autorun og omde ansatte har tilstrekkelig sikkerhetsforståelse til å være
eller kantine.Minnepinnene inneholder teknologi somdokumenterer mulighetene for å utøve spionasje.Programmet som benyttes på minnepinnenautokjøres i de fleste Windowsmiljøer.Programmet starter og kontrolleres igjennom åkontakte en webserver hos Secode over port 80.
obs på at man ikke kobler til ukjent utstyr. Testen i seg selvvil selvfølgelig ikke kompromittere data, men vil visehvorvidt et slikt vil være effektivt.
4 Spørreundersøkelse Ringer inn til ansatte og stiller spørsmål som har til hensikt å få ut bedriftssensitiv informasjon. Secode starter testen med ufarlige spørsmål, for å unngå mistanke. Etter hvert vil spørsmålenes karakter bli mer konkrete. Denne metoden kan være tidkrevende i og med at man skal unngå å bli oppdaget. Alternativt kan denne testen også utføres som et web-questionnaire.
Telefon, evt.web
En slik spørreundersøkelse fungerer best i tilfeller der bedriften har en ansattpolicy som forteller at visse typer spørsmål kun skal håndteres av enkelte representanter.
5 Tilgang tilbrukernavn ogpassord
Secode kontakter ansatte og skaper en dialogbasert på et for brukeren ukjent (og ikke-eksisterende) dataproblem. Dialogen vil basereseg på ofte-opplevde brukerproblemer (printer,backup ++), og til slutt ende opp med at vietterspør brukernavn og passord, for å ”løse”problemet.
Telefon Målet er å få tilgang til den ansattes brukernavn ogpassord for pålogging til domenet.
Social Engineering – Metoder 2
6 Falsk webmail • Secode lager en falsk webmail-tjenestesom settes opp hos oss. Vi kontakter deretter et representativt antall ansatte og ber dem teste ”betawebmail”, samtalen vil føres på en slik måte at vi aldri vil be om brukernavn eller passord over telefonen, vi vil heller understreke at vi ikke ønsker noe passord, og at man aldri kan være trygg nok, altså at man spiller på folks trygghetsfølelse.
• Webserveren Secode setter opp kjører HTTP over SSL nettopp for å understreke denne trygghetsfølelsen.
Web og telefon Målet er å få tilgang til den ansattes brukernavn og passord for pålogging til e-posttjenesten.
7 Videresendt e-post #1
Kontakte en bruker og skape dialog rundt et for brukeren ukjent (og ikke-eksisterende) dataproblem. Forslag til feilløsing vil være å
Telefon Få videresendt e-post fra ansatte til e-postkonti kontrollert av Secode.
dataproblem. Forslag til feilløsing vil være å be brukeren sette opp videresending av e-posten sin som lokal regel i Outlook.
8 Videresendt e-post #2
Kontakte support/helpdesk og gi oss ut for å være en ansatt på reise som må få videresendt viktig e-post til en tredjeparts-adresse (for eksempel gmail)
Telefon Få videresendt e-post fra ansatte til e-postkonti kontrollert av Secode.
9 Masseutsendelse Secode sender ut en mail til et stort antall ansatte. Mailen er bygget opp for å ikke gi inntrykk av troverdighet, og inneholder en lenke til en Secode-kontrollert webserver.
Mail og web Vise at det vil være mulig å eksekvere filer med potensielt ondsinnet innhold.
Tre tester…
• Fysisk tilgang
• Phishing - Brukernavn/passord
• Falsk e-post/installere uønsket programvare
21/10/20119
Forarbeid – hvor finner vi informasjon?
Facebook, Twitter, Nettby, LinkedIn, Flickr, Google,Telefonkatalogen, Google Maps/Earth, Internettleverandører, mailsystemer, Usenet, Brønnøysundregistrene, bibliotek, arkitektkontorer, skattelister, referansekunder, pressemeldinger, hjemmesider, avisoppslag, sonefiler, blogger, e-post, telefonforespørsler +++
21/10/201110
Test 1: Fysisk tilgang
• Forarbeid
• Ansattes vaner
• Adgangskort
• Klesstil
• Håndtverkere/utstyr
• Innganger, spesielt røykeinngangen
21/10/201111
• Innganger, spesielt røykeinngangen
• Antall personer – 2 mot 1
• Snakke i mobiltelefon
• Konsulenter
Typiske resultater fysisk tilgang…
• Tilgang alle innganger, også via resepsjon
• Gode på nærområder, men ikke i fellesområder
• Flinke til å gå med adgangskort, men ikke å sjekke andres
• Ulåste maskiner
• Konfidensielle dokument på kontor, printere osv.
• Passord
21/10/201112
• Passord
• Flinkere til å sikre de mest sensitive delene av bygg
• Ikke flinke til å følge opp mistanker
• Få gir beskjed til sikkerhetsavdelingen
Eksempler på funn
Bildene er sladdet så ikke kunden kan identifiseres
21/10/201113
Fysisk tilgang
Nettverksskisse, inkludert:
- IP-adresser- Hostnavn- Protokoller- Integrasjoner- Sikkerhetstekniske installasjoner
Fysisk tilgang
Brukernavn og passord (root & administrator) til servere, inkludert liste over hvilke personer som skal ha tilgang
Fysisk tilgang
Arkfane i resepsjonsområdet. Siste ark, det som vender mot besøkende, inneholder brukernavn og passord for pålogging til domenet.
Fysisk tilgang
Ødelagte harddisker, identifisert med eiers navn påskrevet post-it-lapper. Diskene lå klare til destruksjon, men ble oppbevart i en pappeske utenfor sikker sone.
Fysisk tilgang
En av Secodes 6 testere, i testlab hos oppdragsgiver.
Fysisk tilgang
IP-adresse, brukernavn og passord til oppdragsgivers webhotell.
Fysisk tilgang
Serverrommet. Når vi oppnår tilgang dit, har vi i stor grad lykkes med testen.
Fysisk tilgang
21
Passord…
Brukernavn/passord
Sikkerhet og sårbarhet 2011
Passord er enkelt å høste
Ga passord
Ga ikke passordGa ikke passord
Avslørte testen
Prosentvis fremstilling av passordhøsting, kumulert fra Secodes tester 2010.
Falsk e-post/Installere uønsket programvare – eksempler
25
Falsk e-post/Installere uønsket programvare – eksempler
22% gikk på denne
Vi har…
• Fått låne en firmabil
• Fått nøkkelen til hvelv
• Blitt så godt kjent med Securitasvaktene hos en kunde at de ga oss nøklene til ”bygg 2”
• Fått brukernavn og passord til 100 % av de spurte via webmailtestene (10 personer i 10 forskjellige avdelinger)personer i 10 forskjellige avdelinger)
• Fått tilgang til servere, printere, kablingsrom…
• Fått tilgang til dokumenter markert ”Unntatt offentligheten”
• Blitt ansatt!
• …og mye mer
Å gjennomføre en Social Engineering-test uten at det
foreligger planer om å følge opp resultatene med
konstruktive, holdningsskapende prosjekter er som å
Hva brukes testene til?
gjennomføre en pentest uten å være villig til å patche i
etterkant.
Som veldig lærerikt og stort sett med et smil
(men ikke alltid!)
Særlig høsting av passord kan oppleves som å krysse en grense. Passordet kan
Hvordan oppfattes testene?
være svært private. De ansattes reaksjon er viktig å ta med i analysen av
hva som skjedde og hvorfor det skjedde. Stor indignasjon kan tyde på at
den ansatte føler at han/hun har skuffet seg selv. Apati er verre!
