Andmeturveː tehnoloogia, koolitus ja reeglid

Manipulatsioon - social engineering - tehnosotsiaalne sahkerdamine

Palju räägitakse, et igasuguse IT-süsteemi kõige nõrgem lüli on ikka inimene. Tuleb välja, et nende inimestega sahkerdamine on ka täiesti omaette eriala. DEF CON on USA's toimuv iga-aastane häkkerikonverents, mille raames toimub ka Social Engineering Capture the Flag (SECTF) võistlus. Võistlusel on kaks osa: 

1. Sul on kolm nädalat aega teostada OSINT (open-source intelligence) uuringut ette-antud firma kohta. Open-source all on mõeldud siinkohal, et sa võid kasutada kõiki avalike infoallikaid (nt google), ehk kõike mis on kättesaadav tavalisest veebist, ning kirjutama aruande informatsiooni kohta mida leiad. Flagid on selles võistluses kindlad tükid infot, mida sinult küsitakse.

2. Eduka aruande korral kutsutakse sind konverentsile, kus lastakse publiku ees sul teha 20 min telefonikõnesid samale firmale, kasutades infot mida enne kogusid. Siinkohal on eesmärk saada samad tükid infot (flagid) läbi telefonikõne, avalikult publiku ees.

DEF CON 25 (2017) võidukõnest on tehtud taaslavastus, mida on näha YouTubes. Huvitav on kuulda, kuidas täiesti igapäevaseid jutte ja teemasid kasutatakse vajaliku info kättesaamiseks. Tekst on väga sõbralik, ohvrilt küsitakse kiiret abi, kuna helistaja "peab" 10 min pärast lastele järgi minema, kuid on üks asi vaja korda seada enne seoses IT-ga ohvri firmas. Asja "uurides ja parandades" saab helistaja kätte kõiksugu infot, mõned flagid on: 

  • Kas Facebook on blokeeritud?
  • Sihtmärk avab kindla sinu soovitud veebilehe
  • Veebilehitseja ja selle versioon
  • OS ja selle versioon
  • Kas kasutatakse VPNi?
  • Kas kõvaketas võib olla krüpteeritud?
  • Riistvara tootja
  • jne..jne..

Poole kõne pealt hakkab aga tulema firmale eriti privaatset infot.

  • Töötajate palgaarvestuste ajakava (saab kasutada töötajate õngitsemiseks)
  • Töötaja ametiaeg (uuemaid töötajaid on kergem sihtmärgiks võtta)
  • Kohapeal kasutatakse uksekaarte, ning selgitatakse ka milliseid (aitab luua kaartide koopiaid)
  • Kullerteenus, koristusteenus (õige riietus aitab siseneda firma-aladele)

 

Kuidas maandada sellise rünnaku mõju Mitnicki valemi kolme komponendi põhjal?

Tehnoloogia - Arvestades millist infot kõnes koguti, siis võib suureks päästerõngaks olla ajakohane ja uuendatud tarkvara, millel ei ole veel teadaolevaid turvaauke. Samuti peaks olema kindel ülevaade millist tehnikat kuidas firmas kasutatakse, et oleks võimalik aru saada, kui midagi on tavalisest teistmoodi. Abi oleks tehnoloogiast, mis võimaldab nt teenindajale või juhile helistada vaid usaldusväärsete telefoninumbrite/IP'dega.

Koolitus - Seda aspekti rõhutavad kõne võistluse läbiviijad kõige rohkem. Kõne lõpus küsitakse "rutiinseid" küsimusi, milleks üks on "millal läbisite Te viimati turvateadlikuse koolituse?". Vastus sellele on üldjuhul üle aasta või rohkem tagasi. Korraldaja sõnad on, et tähtis on järjekindel koolitus teemadel, milliseid rünnakuid üldse kasutatakse, kuna väga paljudel pole sellest mingit aimugi, ning võimatu on ennast kaitsta, kui sa ei tea kuidas rünnatakse. Korraldaja lisab ka, et väga oluline on tekitada inimestes arusaam kui väärtuslik on tegelikult informatsioon. "Mis kullerteenust Te kasutate?" võib pealtnäha olla labane küsimus, kuid oskuslikule sahkerdajale võib selline väike tükk infot aidata väga suuresti laiema rünnaku planeerimiseks. Kui sa kahtlustad, et teistpool telefoni on mõni social engineer, peab mitte kartma öelda "Vabandage, ma ei saa Teid aidata." Üldiselt on inimesi õpetatud olema abivalmis ja kenad, kuid mõnikord turvalisus ja heaks inimeseks olemine koos ei klapi.

Reeglid - Arvestades jällegi kõne iseloomu, peaks olema paigas kes milliste küsimustega üldse tegeleda firmas võib. Kui palutakse teenindajalt poe infosüsteemide haldamist, peaks tal olema võimalus ja teadlikus seda kõne edasi suunata kindlale spetsialistile. Peaks paigas olema ka reegel, et mida teha, kui helistab "spetsialisti asendaja"? Aga asendaja asendaja? Teistpidi peaks ka paika panema, milliseid andmeid võib üldse firma enda tööliselt koguda ja avaldada. Kas firma veebilehele võib panna töötaja täisnime ja tema telefoninumbri, või on mõistlikum panna üks üldine spetsialisti kontaktnumber, mis kuulub firmale? Töötajal võiks kindlasti olla teadlikus, kellel on ligipääs tema informatsioonile tööle asumisel, ning mis kuulub üldise "kontaktinfo" alla.


Viited:

Social Engineering - Winning SECTF call at DEF CON 25

https://defcon.org/index.html



Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Eetika ja IT

Arvan, et tehnoloogiale ei saa panna eetilist või ebaeetilist silti. Kapis seisev haamer võib iseeneses olla tükk metalli ja puitu, kuid saab analüüsida, kas selline tööriist võetakse kasutusele eetilistel kavatsustel või mitte. OpenAI visioon on tagada, et AGI (artificial general intelligence) oleks kasulik kogu inimkonnale. Nad usuvad, et parim viis AGI maailmani tuua, on luues järjest võimsamaid süsteeme, mida võetakse kasutusele päris inimeste poolt reaalses maailmas. Selliselt on võimalik inimestel kohaneda sarnaste tehnoloogiatega, teha vastavaid regulatsioone, tekitada arutelusid, jne. Kas uue tehnoloogia loomine, mille mõju ei oska keegi päriselt veel hinnata, on piisavalt eetiline eesmärk, kui selle raames loodud süsteeme kasutataks näiteks massilise järelvalve või inimeste manipuleerimise jaoks? Saaks ka analüüsida, kas säärane tööriist soodustab ja hõlbustab inimestes ebaeetlist käitumist. GPT-4 mudelit proovitakse kasutada näiteks Duolingos ja Khan Academys interaktiivsemak
Lisateave

Tarkvara arendus- ja ärimudelid

Linux Mint arendusmudel Mint on populaarne Debianil ja Ubuntul põhinev Linuxi distributsioon . Selle üheks sihiks on olla kogukonna juhitud (community driven) projekt - Minti kasutajaid julgustatakse andma tagasisidet, et nende ideid saaks kasutada OSi täiustamiseks. Minti arendus sai alguse ühest prantsuse mehest Clement Lefebvre . Ta kirjutas artikleid, ülevaateid ja õpetusi Linuxi teemadel, ning aegamisi mõistis ta järjest rohkem, mida kogukond ootab ühelt distributsioonilt . August 2006 tuli välja Linux Mint 1.0, ning aastaks 2007 oli see piisavalt populaarne, et arenduseks pandi kokku tiim. Praeguseks hetkeks on loodud erinevad alamtiimid suures projektis, on eraldi arendajad, administratiivsed tegelased, disainerid jne. Projekti võiks nimetada katedraalitüüpi, kuna sellel on olemas väga kindel visioon, mis on Linux Mint, ning samuti on sellega seotud kindel meeskond. Väljalasketsükkel võiks olla midagi sarnast sammsammulise ja iteratiivse mudeliga - lastakse välja üks suur vers
Lisateave

Teistmoodi IT

Eesti kui digiriik peaks kindlasti võimaldama igal enda kodanikul ühiskonna elust osa võtta. Kui üldine norm on võimalikult palju teha läbi e-lahenduste, siis on oluline ka neile lahendustele suhteliselt vaba ligipääs. See tähendab näiteks võimalust e-hääletada, toimetada eesti.ee portaalis, aga ka kasutada kullerteenuseid ja sotsiaalmeediat, kõike ilma suurtemate ebamugavusteta. Ma arvan, et suure kasutajaskonnaga riigi infotehnoloogiliste teenuste arendamisesse peaks suhtuma, nagu võiks suhtuda näiteks tavalise toidupoe arendamisesse. Poele peab olema ligipääs nii kaubavedajatel kui ka ostlejatel, sealhulgas ka nt liikumispuudega inimestel. Poest peaks olema võimalus igal ostlejal soovitud kaup kätte saada, sõltumata tema pikkusest, suhtlemisvõimekusest või tehnoloogilistest teadmistest. Pood peaks pakkuma lisaväärtust kogukonnale, näiteks uued töökohad, sh sellised mida saab teha ka erivajadustega inimene. Pood peab olema turvaline, ehk ei varise kokku ning õnnetuse korral on võimal
Lisateave