tisdag 8 juli 2014

Social engineering

Som jag nämnde tidigare så besökte jag en konferens för en tid sedan där jag bland annat fick lyssna på den fd hackaren, numera säkerhetskonsulten Kevin Mitnick. En av de saker Mitnick förklarade var begreppet social engineering och hur det används av hackare världen över, honom själv inkluderat.

Den traditionella bilden av en hacker

Foto:  Christophe Verdier
Licensierad under Creative Commons
Begreppet innebär i princip att man använder sina egna sociala talanger för att få personer inom företaget man har som mål att berätta lösenord, släppa in en i systemet, eller på andra sätt göra så att man får tillgång till det man vill ha. Mitnick tog ett exempel när han ville komma åt källkoden till programvaran i en välkänd elektronisk produkt. Han ringde helt enkelt till företaget och frågade efter projektledaren för projektet i fråga. Växeltelefonisten svarade honom:

"Ringer du ifrån kontoret i XXX?"
"Ja, precis" svarade Mitnick som fått första pusselbiten, nu visste han var det fanns ett kontor inom forskning och utveckling. Han kopplades vidare och presenterade sig nu annorlunda
"Hej, det här är Mick på R&D (Research & Development, forskning och utveckling) i XXX, jag söker projektledaren för det här projektet"

Så fortsatte det, ända tills han fick sekreteraren till projektledaren att, med hjälp från företagets lokale säkerhetschef, ladda upp filerna med källkoden till Mitnicks egen FTP. FTP:n låg givetvis utanför företagets område och nätverk och den som laddade upp filerna var därför tvungen att ha en hög säkerhetsnivå, vilket den inte ont anande säkerhetschefen hade.

Detta är bara ett av många exempel på hur det kan gå till när hackare bereder sig plats genom social engineering. För en yrkesfotograf är det ju självklart också av yttersta vikt att skydda sin data. Idag lagras allt på hårddiskar och bilderna från tidigare uppdrag är den skatt som varje fotograf sitter på och den får inte skadas. Likväl att bilderna inte bör hamna i orätta händer med tanke på kunderna.

Hur kommer man då till rätta med problemet? Ja, det är ju såklart inte så lätt. Det kan ju tyckas naivt att hjälpa en hackare på det sättet som vi beskrev i fallet med Mitnick ovan, men man ska komma ihåg att det här är människor som är extremt duktiga på att manipulera andra människor, och jag kan lova att många av dem skulle lura byxorna av både dig och mig även om vi blev varnade innan. Men att utbilda personalen är ett bra första steg, så att de åtminstone är medvetna om att den här typen av attacker förekommer. Inte sällan spelar man med tiden som en faktor, det är ofta bråttom, kanske fredag eftermiddag och chefen har åkt till golfbanan och de sista stackarna som är kvar på kontoret vill också åka hem. Klart att teknikern från nätfirman måste få tillgång till nätet.

  • Huvudtipset blir att ta det lugnt. Det är sällan så otroligt bråttom som det kan låta. 
  • Om du är osäker, fråga någon annan som inte har pratat med personen som ringde. Den som inte fått lyssna till den här duperande personen kan troligen se saken i ett annat ljus. Fråga gärnan någon tekniskt kunnig.
  • Be att få ringa tillbaka. Om det verkligen är nätverksteknikern från firman ni anlitar så är det såklart inget problem om du ringer upp. På så sätt får du en möjlighet att kolla upp om han är den han säger sig vara. 

Lycka till och kom ihåg att vara rädd om din data!

/Christer Hägglund

Det här är inte den traditionella bilden av en hacker, men faktum är att det här
är ett vanligt sätt att ta sig in i andras system, genom att ringa och helt
enkelt bli insläppt...

Personen på bilden har ingenting med innehållet att göra.

Foto: Nana B Agyei
Licensierad enligt Creative Commons

Upplagd av Fotofyndet kl. 06:54
Etiketter:

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)