Przechwytywanie komunikacji

Hakerzy kryminalni oraz nieuczciwi lub niezadowoleni pracownicy mogą uzyskiwać kody dostępu i inne informacje przydatne w ich wysiłkach związanych z penetracją systemu poprzez monitorowanie komunikacji. Mogą to być między dwiema stacjami roboczymi w sieci lokalnej lub rozległej, między zdalnym terminalem a hostem, takim jak komputer mainframe, lub między klientem a serwerem w Internecie. Atakujący mogą wykorzystać różne luki w technologiach komunikacyjnych. Przejście na komunikację internetową opartą na protokole transmisji / protokole internetowym (TCP / IP) w ciągu ostatniej dekady spowodowało, że o wiele więcej strumieni komunikacyjnych trafiło do docelowego zakresu potencjalnych penetratorów

Wyciek danych: podstawowy problem

Niestety, dla specjalistów ds. Bezpieczeństwa informacji (INFOSEC), nawet teoretycznie niemożliwe jest zapobieganie nieautoryzowanemu przepływowi informacji z zabezpieczonego regionu do niezabezpieczonego regionu. Niewidoczny transfer danych bez autoryzacji znany jest jako wyciek danych. Same środki techniczne nie mogą powstrzymać wycieku danych. Rozważ ściśle zabezpieczony system operacyjny lub monitor bezpieczeństwa, który zapobiega kopiowaniu poufnych danych do niezabezpieczonych plików. Stacje robocze są bezdyskowe, nie ma drukarek, pracownicy nie zabierają dysków do zabezpieczonego obiektu lub z nich, a także istnieją surowe ograniczenia dotyczące usuwania wydruków z budynku. Mechanizmy te powinny wystarczyć, aby zapobiec wyciekom danych.

Nie całkiem.

Każdy, kto ma zamiłowanie do mnemoniki lub ma pamięć fotograficzną, może po prostu zapamiętać informacje i zapisać je po wyjściu z obiektu. Niezwykle trudno jest też uniemożliwić pracownikom pisanie notatek na papierze i ukrywanie ich w ubraniach lub dobytku osobistym, gdy wychodzą z pracy. O ile pracownicy nie zostaną przeszukani, żaden strażnik nie będzie w stanie powstrzymać ludzi z prześcieradłami pełnymi poufnych danych przed wyjściem z budynku. Rzeczywiście, w ten sposób Wasilij Mitrokhin, główny archiwista Pierwszej Naczelnej Dyrekcji KGB, dopuścił się największego naruszenia bezpieczeństwa KGB w historii, przemycając tysiące swoich odręcznych kopii tajnych dokumentów z siedziby głównej KGB w Moskwie w swoich butach, skarpetach i innych odzież. Innym sposobem wycieku danych jest steganografia, ukrywająca cenne informacje na widoku wśród dużej ilości nietypowych informacji. Na przykład skorumpowany pracownik zdecydowany wysłać konfederacyjną informację o wzorze chemicznym może zakodować tekst jako ekwiwalenty liczbowe i wydrukować te wartości jako, powiedzmy, czwartą i piątą cyfrę zestawu cyfr inżynierskich. Nikt prawdopodobnie nie zauważy, że liczby te zawierały coś specjalnego. Bardziej skłonni cyfrowo mogą używać oprogramowania steganograficznego, dostępnego bezpłatnie w Internecie, do ukrywania danych w plikach obrazów. Nie można całkowicie zapobiec nieautoryzowanemu przekazywaniu informacji, ponieważ informacje mogą być przekazywane za pomocą wszystkiego, co może się zmieniać. Teoretycznie można przenieść dane do konfederatu, zmieniając położenie zasłony okna (powoli, ale możliwe). Lub można przesyłać jedynki i zera według kierunku drgań szpuli; lub można wysłać zakodowane informacje przez wybór muzyki. Nawet jeśli budynek byłby całkowicie zamknięty, nadal przenikałby ciepło na zewnątrz lub przenosił ciepło do wewnątrz – i to wystarczało do przenoszenia informacji. W praktyce menedżerowie systemów mogą najlepiej rozwiązać problem wycieku danych dzięki połączeniu ochrony technicznej i skutecznych strategii zarządzania. Ważne jest również, aby zdawać sobie sprawę, że znaczna ilość wycieków danych występuje w wyniku nieszkodliwych zamiarów komunikacji od pracowników. Pracownicy często dyskutują o małych aspektach swojej pracy i informacji o pracy, nie zdając sobie sprawy z konsekwencji i zdolności innych osób do zestawiania tych informacji w znacznie większych ilościach. Stało się to szczególnie rozpowszechnione wraz z pojawieniem się mediów społecznościowych. Mogą być znaczące ilości informacji o organizacji i jej wewnętrznych działaniach pochodzące ze stron pracowników mediów społecznościowych. W związku z tym media społecznościowe stały się bogatym źródłem danych dla atakujących, którzy chcą atakować organizację. Takie podejście jest szczególnie powszechne wśród atakujących atakujących organizację za pośrednictwem jej pracowników przy użyciu technik takich jak phishing spear. Zapobieganie utracie danych (DLP) to obecnie ustalony zestaw technik z licznymi narzędziami do egzekwowania ograniczeń dotyczących nieautoryzowanego przesyłania danych do urządzeń pamięci masowej i witryn zewnętrznych. Niemniej jednak czujność wobec ludzkich zachowań i skuteczna konfiguracja oraz analiza zapisów dziennika w czasie rzeczywistym lub przynajmniej częsta pozostają podstawowymi elementami skutecznego DLP.

TECHNICZNE TECHNIKI PENETRACJI.

Techniczne ataki penetracyjne mogą opierać się na danych uzyskanych z inżynierii społecznej lub mogą być przeprowadzane wyłącznie na podstawie technicznej. Stosowane techniki obejmują podsłuch, słuchając rozmów lub zatrzymując dane podczas transmisji, oraz naruszenia kontroli dostępu (np. Wypróbowanie wszystkich możliwych haseł dla identyfikatora użytkownika lub odgadnięcie haseł). Niedociągnięcia w projektowaniu i wdrażaniu systemów informatycznych, takie jak błędy programowe i brak sprawdzania poprawności danych wejściowych, mogą być również wykorzystywane w atakach technicznych. Niestety tego rodzaju słabości obfitują w sferę Internetu, nawet gdy coraz więcej organizacji zwiększa łączność z Internetem, tworząc w ten sposób coraz więcej potencjalnych punktów penetracji.

Wykorzystywanie informacji przyrostowych

Gromadząc i zręcznie wykorzystując małe i pozornie nieistotne informacje, można uzyskać dostęp do znacznie cenniejszych informacji. Ta technika przyrostowego wykorzystywania informacji jest ulubionym narzędziem hakerów, zarówno kryminalnych, jak i innych. Jedną ważną zaletą narzędzia, które jest szczególnie doceniane przez hakerów kryminalnych, jest niski profil, jaki przedstawia większości form wykrywania. Gromadząc pozornie nieszkodliwe informacje przez pewien czas i dokonując inteligentnych wniosków na ich podstawie, można przeniknąć do systemów na najwyższym poziomie. Doskonałym przykładem tego podejścia są wyczyny Kevina Mitnicka, który przez prawie pięć lat służył za kratkami za włamanie do komputerów, kradzież danych i nadużywanie systemów komunikacji elektronicznej. Nielegalne czyny popełniane przez Mitnicka obejmują penetrację w 1981 roku Systemu komputerowego dla operacji na komputerach mainframe (COSMOS), budynku Pacific Bell w centrum Los Angeles. COSMOS była scentralizowaną bazą danych wykorzystywaną przez wiele amerykańskich firm telefonicznych do kontrolowania podstawowych funkcji prowadzenia rejestrów. Mitnick i inni minęli ochroniarza i znaleźli pomieszczenie komputerowe COSMOS. Ukradli listy haseł komputerowych, instrukcje obsługi systemu COSMOS oraz kombinacje zamków do drzwi w dziewięciu centralnych biurach Pacific Bell. Później Mitnick wykorzystał znajomość systemów telefonicznych i operacji firmy telefonicznej do penetracji systemów w Digital Equipment Corp. (DEC). Od czasu wydania w styczniu 2000 r. Mitnick mówił o bezpieczeństwie informacji przed Kongresem i w innych miejscach publicznych. Opisał inżynierię społeczną jako tak potężne narzędzie, że „rzadko musiał uciekać się do technicznego ataku”. Jeśli chodzi o technikę, stwierdził: „Dużo improwizowałem. . . Próbowałbym nauczyć się ich wewnętrznego żargonu i ciekawostek, które zna tylko pracownik. ”Innymi słowy, budując wiedzę o celu, korzystając z wielu informacji, które nie są ani chronione, ani zastrzeżone, można uzyskać dostęp do tego, co jest zarówno zastrzeżone, jak i chronione. Moc przyrostowej dźwigni informacji jest odpowiednikiem przekształcenia stopy w drzwi w zaproszenie do wejścia do środka. Ochrona przed przyrostowym wykorzystywaniem informacji i wszystkimi innymi aspektami inżynierii społecznej zaczyna się od świadomości pracowników. Pracownicy, którzy zachowują zdrowy sceptycyzm wobec wszelkich wniosków o udzielenie informacji, zapewniają silną linię obrony. Kolejnym potężnym mechanizmem obronnym, na który zwrócił uwagę Mitnick, jest wykorzystanie wiadomości telefonicznych, takich jak: „Ta wiadomość może być monitorowana lub nagrywana w celach szkoleniowych i zapewniania jakości”. Osoba atakująca, która słyszy taką wiadomość, może dwa razy pomyśleć o podejmowaniu prób używać połączeń głosowych do informacji inżyniera społecznościowego od celu.

Wewnątrz / Zasięg docelowy dla ludzi

Wiele największych i najodważniejszych napadów na świecie po zbadaniu okazało się być miejscami pracy. To samo dotyczy penetracji systemu. Chociaż wiele z właśnie opisanych technik może zostać wykorzystanych do uzyskania pomocy od wewnątrz, niektóre z nich są możliwe przez osoby wewnątrz, które z jakiegokolwiek powodu decydują się na pomoc i uzdrowienie hakerów. Na przykład nieuczciwy pracownik może aktywnie starać się sprzedać dostęp dla osobistych korzyści. Organizacje powinny starać się zwracać uwagę na tę ewentualność, ale bardzo mało jest obrony przed całkowicie nieuczciwymi pracownikami, gdy jedynym jawnym czynem koniecznym do otwarcia bram od wewnątrz jest przekazanie poświadczeń systemowych osobie z zewnątrz

Zasięg docelowy dla ludzi.

Organizacje nie powinny lekceważyć zakresu celów, do których mogą być skierowane opisane techniki. Mimo że w poprzednich akapitach użyto terminów pracownicy, upoważniony personel i personel zewnętrzny, docelowy zakres obejmuje wszystkich dostawców, dostawców i wykonawców, a także wszystkie poziomy pracowników – od dostawców oprogramowania i sprzętu, przez programistów kontraktowych , do dostawców napojów bezalkoholowych i personelu sprzątającego. Może nawet obejmować klientów i klientów, z których niektórzy posiadają szczegółową wiedzę na temat działalności organizacji. Pracownicy na każdym poziomie prawdopodobnie znają się na komputerach, choć mają różny poziom umiejętności. Na przykład jest całkiem możliwe, że ktoś pracujący dzisiaj jako dozorca wie, jak umiejętnie obsługiwać komputer, a nawet umie surfować po witrynach hakerskich w Internecie i pobierać narzędzia penetracyjne. Rzeczywiście woźny mógł zdobyć pracę specjalnie z zamiarem angażowania się w szpiegostwo przemysłowe, kradzież danych lub sabotaż. Krótko mówiąc, każdy, kto wejdzie w kontakt z organizacją, może przekazać osobie atakującej informacje przydatne w przygotowaniu i przeprowadzeniu ataku. Ludzkie cele ataku socjotechnicznego nie mogą, indywidualnie, posiadać ani ujawniać krytycznych informacji, ale każdy może dostarczyć wskazówek – elementów układanki – których agregacja może doprowadzić do udanej penetracji i kompromisu cennych danych i zasobów. Wykorzystanie tego procesu jest znakiem rozpoznawczym niektórych z najbardziej skutecznych hakerów kryminalnych. Określenie przyrostowe pozyskiwanie informacji wymyślono dla tego wykorzystania mniej wartościowych danych w celu uzyskania bardziej wartościowych danych

Wymuszenie / Szantaż

Przestępcy mogą zagrozić krzywdą, jeśli ich żądania nie zostaną spełnione. Zagrażaj czyjejś rodzinie lub trzymaj broń przy głowie, a niewielu będzie lub powinno się oprzeć żądaniu wejścia do zabezpieczonego obiektu lub sekwencji logowania do sieci. Niektóre fizyczne systemy kontroli dostępu zawierają sygnał przymusu, którego można użyć do wyzwolenia cichego alarmu na stacjach monitorowania. Sygnał przymusu wymaga z góry określonej, celowej akcji ze strony osoby zmuszanej do przyjęcia nieupoważnionego personelu. To działanie może polegać na dodaniu dodatkowego numeru do normalnego kodu dostępu, dwukrotnym naciśnięciu znaku funta (#) po wprowadzeniu kodu lub wpisaniu 4357 (H-E-L-P) na klawiaturze. Sygnał przymusu potajemnie informuje o bezpieczeństwie, że pracownik jest zmuszany do robienia czegoś niechętnie. Bezpieczeństwo może wówczas podjąć odpowiednie działania.

Szantaż to wymuszenie oparte na groźbie ujawnienia tajemnic. Pracownik może zostać uwięziony w ujawnieniu poufnych danych, na przykład przy użyciu właśnie opisanych technik. Klasyczny szantaż obejmuje uwodzenie, a następnie zdjęcia w flagrante delicto, które przestępcy grożą ujawnieniem. Czasami osobę można wrobić w sfabrykowane dowody; wiarygodny, ale sfałszowany obraz okolicy może zrujnować karierę równie łatwo jak prawda. Zdrowy szacunek dla osób i więzi społeczne między pracownikami, przełożonymi i zarządem mogą utrudnić szantażystom odniesienie sukcesu. Jeśli pracownicy, którzy padli ofiarą szantażu, uważają, że mogą poinformować zarząd bez ponoszenia niewłaściwie negatywnych konsekwencji, zagrożenie można w pewnym stopniu złagodzić. Być może ostatnią, najlepszą obroną przed szantażem jest uczciwość. Wyjątkowo uczciwa osoba odrzuci okazje, które prowadzą do wiktymizacji poprzez szantaż, i będzie się śmiać z fabrykacji, ufając, że znajomi i koledzy rozpoznają kłamstwa, gdy je usłyszą.

Uwodzenie

Czasami hakerzy i szpiedzy kryminalni uzyskali poufne informacje, w tym kody dostępu, oszukując pracowników, aby uwierzyli, że są kochani. To kłamstwo działa wystarczająco dobrze, aby umożliwić dostęp do rzeczy osobistych, czasami po tym, jak fałszywa pasja lub narkotyki doprowadziły ofiarę do niewrażliwości. Nie jest nieznane, że prostytutki uwodzą mężczyzn z organizacji, które oni i ich konfederaci próbują złamać. Przeszukując portfele klientów często można odkryć charakterystyczne kupony z identyfikatorami użytkowników i hasłami. Nikt nie może zapobiec wszelkim takim nadużyciom. Ludzie zafascynowani doświadczonymi manipulatorami rzadko podejrzewają, że są wykorzystywani jako kliny przez obwód bezpieczeństwa. Wraz z ogólnym wzrostem świadomości bezpieczeństwa pracownicy z wrażliwymi kodami muszą zdawać sobie sprawę z tych technik, aby byli mniej podatni na zagrożenia. Być może wtedy automatycznie odrzucą prośbę o poufne informacje lub kody dostępu.J

Obalenie / Przekupstwo

Obalenie.

Ludzie stale dokonują moralnych wyborów. Zawsze istnieje świadome lub nieświadome równoważenie alternatyw. Hakerzy kryminalni starają się osiągnąć swoje cele, zmieniając zasady, tak aby nieuczciwość stała się bardziej akceptowana dla ofiary niż uczciwość.

Przekupstwo.

Wiele informacji przemysłowych i handlowych ma wartość czarnego rynku. To samo dotyczy danych osobowych, które można wykorzystać do popełnienia oszustwa i kradzieży tożsamości. Cena planów inżynieryjnych lub bazy danych klientów konkurenta może stanowić roczną pensję dla operatora komputerowego odpowiedzialnego za tworzenie kopii zapasowych. Niewielkie prawdopodobieństwo, że ktokolwiek zauważy, że zbuntowany operator kopiuje kopię zapasową o 3:00 rano lub sekretarka wyjmująca dodatkową płytę kompaktową z biura. Wiele organizacji nie zainstalowało oprogramowania, aby uniemożliwić menedżerowi wysyłanie poczty elektronicznej z poufnymi plikami do przyszłego pracodawcy. Fakt, że szpiegostwo przemysłowe, ze sponsorem państwowym lub bez niego, jest dobrze prosperującym biznesem, jest faktem, który jest obecnie powszecahnie – a czasem dość otwarcie – uznawany. Budowanie środowiska korporacyjnego, w którym pracownicy słusznie czują się częścią społeczności, jest ostoją przeciw szpiegostwu. Gdy szacunek i poczucie zamiany na wzajemne korzyści będą miały wpływ na kulturę korporacyjną, pracownicy odrzucą szpiegów, a nawet uwięzią ich, ale niezadowolony pracownik, którego potrzeby nie są zaspokojone, jest potencjalnym wrogiem

Zastraszenie

Techniką związaną z podszywaniem się pod uprawniony lub osoby trzecie jest zastraszanie. Ktoś podający się za osobę na stanowisku władzy wykazuje irytację lub złość z powodu opóźnień w przyznaniu nieautoryzowanego odstępstwa od zasad, takich jak przekazanie hasła przez telefon osobie o nieuwierzytelnionej tożsamości. Atakujący pośrednio lub bezpośrednio grożą niepokojącymi konsekwencjami (np. Opóźnieniami krytycznych napraw, strat finansowych, działań dyscyplinarnych), chyba że otrzymają ograniczone informacje lub dostęp do zabezpieczonego sprzętu lub urządzeń.

Podszywanie się pod autoryzowany personel.

Kryminalni hakerzy i pozbawieni skrupułów pracownicy dzwonią do pracowników ochrony, operatorów, programistów i administratorów, aby żądać identyfikatorów użytkowników, uprawnień, a nawet haseł. (Jest to jeden z powodów, dla których telefon jest słabym medium do nadawania uprawnień bezpieczeństwa; jeśli pracownicy zostali przeszkoleni w zakresie odrzucania wniosków składanych przez telefon, wiele prób przeniknięcia do systemów może zostać udaremnionych). W miejscach, gdzie pracownicy noszą identyfikatory, intruzi mają trudność z przeniknięciem do bezpieczeństwa fizycznego przez udawanie pracowników. Jednak bezpieczeństwo fizyczne w tych przypadkach zależy od współpracy wszystkich upoważnionych pracowników w celu rzucenia wyzwania każdemu, kto nie nosi plakietki. Ta polityka jest niezwykle ważna w punktach wejścia. Aby fizycznie przeniknąć do takich witryn, przestępcy muszą ukraść lub wykuć odznaki lub współpracować z konfederatami w celu uzyskania prawdziwych, ale nieautoryzowanych odznak. Witryny, w których bezpieczeństwo fizyczne obejmuje fizyczne tokeny, takie jak karty do elektronicznej kontroli dostępu, są trudniejsze do penetracji przez przestępców. Muszą uzyskać prawdziwy token, być może przez kradzież lub zmowę z pracownikiem. Bezpieczeństwo obwodowe zależy od aktualizacji kodów dostępu, aby karty należące do byłych pracowników były nieaktywne. Pracownicy ochrony muszą natychmiast dezaktywować wszystkie zgubione karty. Ponadto istotne jest, aby pracownicy nie zezwalali na piggybacking, czyli czynność pozwalającą innej osobie, być może nieupoważnionej, na wjazd do strefy zamkniętej wraz z osobą upoważnioną. Zbyt często pracownik, w grzeczności, pozwala innym wejść do normalnie zamkniętych drzwi, gdy wychodzi. Wewnątrz budynku przestępcy mogą ukraść cenne informacje, które umożliwią późniejszą penetrację systemów komputerowych ze zdalnych lokalizacji. Często osiąga się to poprzez podszywanie się pod personel zewnętrzny. Nawet jeśli pracownicy są gotowi rzucić wyzwanie odwiedzającym w garniturach biznesowych, może nie przychodzić im na myśl, aby ingerować w ludzi, którzy wyglądają, jakby byli pracownikami autoryzowanej firmy wsparcia. Na przykład złodziejom często udawało się wejść do strefy chronionej, ubierając się jak technicy komputerowi lub sprzątacze biur. Niewielu pracowników pomyśli o sprawdzeniu wiarygodności znużonego technika w brudnym kombinezonie, autentycznie wyglądającej firmowej plakietce, kolorowym dowodzie osobistym i pasku narzędzi. Kiedy odpowiedni pracownik twierdzi, że został wezwany do przeprowadzenia diagnostyki na stacji roboczej, wielu nietechnicznych pracowników zgodzi się natychmiast, korzystając z okazji, aby napić się kawy lub porozmawiać z kolegami. Kilka minut później złodziej mógł skopiować poufne pliki lub zainstalować urządzenie podsłuchujące (np. Rejestrator naciśnięć klawiszy lub sniffer pakietów sieciowych). W jednym przypadku znanym jednemu z autorów (MK) przestępcy otrzymał obszar roboczy i połączenie sieciowe w dużym banku i pozwolono mu na pracę przez kilka miesięcy w sposób niezamierzony i niekwestionowany przy „tajnym projekcie”. ochroniarz zdał sobie sprawę, że nikt w biurze nie wiedział, kim jest ta osoba, że ​​rzuciła wyzwanie intruzowi i złamała oszustwo.