Vælg et sprog
Kontakta oss
Partners
Support
Jobb i Symantec
Nyheter och pressmeddelanden
E-post- och webbsäkerhetstjänster
Om Symantec
3. september 2010, 16:32 UTC+1(GMT+1)
Subpage toppicture

Social Engineering – hur kan din verksamhet manipuleras?

 Printvenlig version

Som vi tog upp i det senaste nyhetsbrevet är IT-säkerhet en kombination av produkter och processer. Det innebär att organisationer idag måste arbeta med kontinuerlig förändring och förnyelse. Samtidigt är världen inte sådan att all osäkerhet kan motas med en enkel lösning.

I samma ögonblick som man beslutar sig för att skydda sig mot obehöriga användare, hackers, crackers eller andra med ohederliga avsikter har man startat en livslång kapplöpning.

En av de mest använda metoderna när det gäller att skaffa sig otillbörlig tillgång till ett IT-system är Social Engineering. Ett okomplicerat verktyg som vi alla redan besitter. Det enda som krävs är research och träning för att lära sig tekniken.

De flesta människor kan känna igen dessa tekniker från andra sammanhang. Det kan t ex handla om misstankar om otrohet - då det är tydligt vilken kreativitet som kan uppbringas för att skaffa sig den rätta informationen. Eller den lojala medarbetaren som plötsligt får ett anbud från konkurrenten - kreativiteten kan visa sig även här när frågan om man kan få med sig eventuella kundregister dyker upp.

Det finns i stort två saker i livet som lyfter fram människors kreativa men dunkla sidor - det ena är tillräckligt med pengar, det andra är känslor. Blir vi föremål för eller fångade i situationer där vi utsätts för frestelser på en eller bägge dessa punkter kan det göra oss extremt kreativa. Det gäller också anställda som frestas, förförs, sviks, får sparken eller förorättas.

En av vår tids mest berömda och ökända experter på tekniken Social Engineering är amerikanen Kevin Mitnick. Han blev världskänd på 1980- och 90-talet när han bl a var efterlyst av FBI. Idag arbetar han som säkerhetsrådgivare och har gett ut boken "The art of deception" (Konsten att manipulera). Kevin Mitnick menar att alla människor har förmågan att manipulera. Somliga är dock bättre än andra. I takt med den explosionsartade utvecklingen inom IT har det också uppstått ett vakuum av okunskap som är enkelt att utnyttja.

Här följer några av de mer använda metoderna inom Social Engineering:

Imitation: Studier visar att ett företags rutiner kan vara enkla att förstå och efterlikna. Genom att göra efterforskningar, samla information och utarbeta en plan kan man bara genom att överblicka och förstå dagliga rutiner skaffa sig åtkomst till vitala delar av organisationen. Se till exempel på hur vi hanterar dörrar med dörrkoder som öppnas med passerkort men där ett par extra kollegor enkelt får följa med in. Det är bara ett exempel på hur ett dyrt säkerhetssystem genom invanda rutiner och beteende kan fås att svikta.

Viktiga användare - VIP: Det räcker inte alltid med att utge sig för att vara en "vanlig" användare. Den som istället utger sig för att vara VD, styrelseordförande eller liknande kan ofta mötas med en respekt som ger tillgång till platser som man normalt inte skulle ha åtkomst till. Vår ofta inbyggda respekt för auktoriteter kan nyttjas av den som vill komma åt svårtillgänglig information eller platser. Om man skall göra någonting ljusskyggt skall man göra det i full offentlighet. Är man bara fräck nog är det då ofta enkelt att undgå misstankar.

Tredjepartsauktorisation - att genom tredje part skaffa sig tillgång till känsliga uppgifter. En metod som innebär att man refererar till en person med stor makt. Det kan vara en person som har status som betrodd medarbetare som ger tillgång till vitala delar organisationen. Här kan det vara frågan om att "smörja" och betala vederbörande. För den som vill ge ett trovärdigt intryck handlar det ofta om att inleda med ren informationsinhämtning. Det kan t ex innebära "dumpster diving", dvs att man går igenom skräp och avfall. Här kan man finna nyckelord, namn på viktiga personer, kontaktuppgifter och annan relevant information om verksamheten.

Teknisk Support: En bekväm och mycket använd metod för att skaffa sig användbar information. Att utge sig för att vara från supportavdelningen har visat sig vara nyckeln in till många verksamheter. I dessa datoriserade tider är det inte ovanligt att kontaktas av supportavdelningen med frågor kring exempelvis olika tekniska problem. Allt som utgår härifrån kommer ju från organisationens hjärta och kan man bara få det att framstå som man arbetar här försvinner också det naturliga tvivel som finns och man får istället människor till att göra nästan vad som helst.

Personligt möte: Ett sätt som används inom spioneri är också det vanliga mötet eller besöket där man hälsar på och utger sig för att vara någon annan, en anställd, en gäst eller servicepersonal. Undersökningar visar bl a att vissa personer som t ex fastighetsskötare eller receptionister ofta har en omotiverat stor insyn i verksamhetens säkerhet och utan vidare kan ta sig långt in i verksamhetens hjärta. Utgångspunkten är att alla är till salu, det är bara frågan om pris. Man bör därför skaffa sig en god bild av vilka personer som sitter på nyckelpositioner i säkerhetshänseende. När man har identifierat denna (o)säkerhetsfaktor är det också enklare att ta rätt beslut sett till säkerhetsregler.

Dumpster diving: En mycket enkel källa till information om ett företag. Också mycket känslig information slängs ofta utan vidare makulering. Företagets säkerhet och med det även bristerna går ofta att avslöja bara genom att man går igenom vad som betecknats som skräp. De flesta vägarna in i organisationen går ofta att finna alltför lätt genom att gå igenom soprummet - ofta för att det inte finns en säkerhetspolicy kring makulering av känsliga eller viktiga dokument. Ett gott råd är här att göra en riskutvärdering som gör att man bättre förstår de risker som finns och kan vidta åtgärder.

Shoulder surfing är förmodligen den enklaste tekniken av alla, här handlar det om att kika över axeln på andra för att t ex se lösenord. Vid s k shoulder surfing handlar det mycket om att studera människors beteende och de vanor de har. Vad gör de, var gör de det och när? Allt för ofta ser man anställda som sitter på offentliga platser och arbetar. De glömmer tid och rum medans de arbetar med känslig information som inte sällan kan snappas upp av andra i lokalen.

Pop-up fönster: Ett s k pop-up meddelande dyker upp som talar om för användaren att förbindelsen avbrutits. Man ombeds skriva in sitt användar- och lösenord. På så vis skickas dessa uppgifter vidare med e-post till angriparen som dessförinnan lyckats installera det lilla program som krävs för att genomföra metoden.

E-postbilagor är den verkligt farliga källan till Social Engineering. Små scripts, virus, maskar, trojanska hästar eller program skickas till mottagaren. Tänk bara på ett par av de tidiga attackerna; "I love you" eller "Anna Kournikova", bägge ämnesrader som kan få den nyfikne att bete sig olämpligt sett ur ett säkerhetsperspektiv. Inför storhelger stiger intensiteten i dessa angrepp och man bör vara mycket försiktig med vad som döljer sig i lyckönskningar och glada hälsningar till jul och påsk.

Spam, kedjebrev och bluffmeddelanden: Alla går de att koppla till Social Engineering. Information skickas ut för att förvirra och desorientera. Den skapar ingen omedelbar fysisk skada eller förlust av information. Däremot orsakar den stora förluster i tid och skapar lätt störningar i t ex produktionen. De upptar också en stor del av verksamhetens nätverkskapacitet. En s k hoax är ett falskt virus vars enda syfte är att spridas som spam vilket i sin tur tar både tid och bandbredd i anspråk.

Hemsidor: En ofta använd metod är att tillhandahålla spel, lotterier eller liknande nöjen via en hemsida. För att delta blir man ofta ombedd att uppge sin e-postadress och ett lösenord - detta av hänsyn till säkerheten på sidan. Eftersom många människor inte tänker utifrån ett större säkerhetsperspektiv använder de ofta samma lösenord hemma som på arbetet och plötsligt har de avslöjat användarnamn och lösenord.

Vad kan man då göra?
Det handlar om att agera proaktivt och erkänna att man har behov av att möta dessa problem på ett bra sätt. Det finns dock ingen universallösning eller "quick fix". Utöver en generell IT-policy, regler och annan vägledning så följer här några råd:

1. Använd ditt sunda förnuft, i allmänhet ditt bästa vapen.
2. Använd modern utbildning för medarbetarna (helst löpande och dynamisk).
3. Var uppmärksam på att inte ledas in i olämpliga situationer ("pushiga" telefonsamtal, personlig och förtrolig ton).
4. Undvik att söka dig till problem (reflektera över annonser, inkommande samtal och dyl.).
5. Det är aldrig fel att fråga en extra gång (när du t ex ombeds göra en aktiv handling antingen elektroniskt eller fysiskt kan det vara på sin plats att fråga avsändaren om någon form av validering. Om du kontaktas telefonledes kan det exempelvis vara bra att be att få ringa tillbaks. Kom ihåg, det finns inga dumma frågor - bara dumma svar!).
6. Testa er beredskap (på samma sätt som man testar brandsäkerheten kan man testa beredskapen för Social Engineering).
7. Om skadan redan skett, är debriefing ett sätt att omvandla erfarenheten till kunskap (vad har hänt, hur, varför, vilka metoder användes, vilka förutsättningar rådde etc).
8. Involvera medarbetarna i händelser där Social Engineering varit en del så att det kan kännas igen (problemet kan aldrig bekämpas om ingen vet vad det är eller kan identifiera det).
9. Var realist - spionage är världens näst äldsta yrke (varför skulle det inte finnas i just din omgivning?)
10. Utbildning - utbildning och utbildning.

Ovan råd skall inte betraktas som facit utan snarare några punkter som gör att arbetet kan komma igång. En bra säkerhetspolicy, god beredskap samt en utvecklad känsla för realiteter är en bra utgångspunkt. Arbeta utifrån devisen: "Det är inte om, utan när vi angrips, som vi gör på följande sätt..." och se till att testa er själva innan andra omständigheter gör det åt er.

Jesper Lundorf
Säkerhetskonsult

 

 

 

 

 

 

 

Copyright 2010 SoftScan - All rights reserved