際際滷

際際滷Share a Scribd company logo

Sosial manipulering i praksis kjetil helberg

Harald Berntsen
Harald Berntsen
1 of 30
Download to read offline
Sosial manipulering i praksis Kjetil Helberg seniorkonsulent Secode Norge AS
Secode Ledende sikkerhetsleverand淡r i Norden 25 奪rs erfaring innen IT-sikkerhet Kontorer i Norge, Sverige, Finnland, Danmark og Nederland Arendal eksempel: 24/7 Security Operation Center (SOC) Konsulentavdeling Testavdeling Mobil sikkerhet Sikkerhetspartner for kunder innen: Bank og finans Detaljhandel Helse Offentlig sektor Forsvaret BS
Sosial manipulering Sosial manipulering (Social engineering) er handlingen 奪 manipulere folk til 奪 enten utf淡re handlinger eller avsl淡re konfidensiell informasjon Baserer seg p奪 anerkjent kunnskap og metoder fra psykologi og sosiologi Ikke tilfeldigheter og flaks Secode har bygget et godt rammeverk, som har vist seg 奪 fungere godt i praksis 3 21/10/2011
Om sosial manipulering: Zero-day exploits get all the sexy headlines, but social engineering gets most of the results! P奪litelig, etterpr淡vbart og reelt Fleksibelt og tilpasningsdyktig Gjennomf淡res b奪de internt og eksternt Planlegging troverdighet/forventninger vellykket test Angriper det svakeste punktet i sikkerhetsstrukturen, og vanskelig for tekniske sikkerhetstiltak 奪 detektere angrepet Angrepet er ikke n淡dvendigvis m奪let, men m奪let for angrepet er klart definert p奪 forh奪nd 4 21/10/2011
N淡kkelen til en godt test: Troverdighet og kompetanse Analyse og Funn og tilpassning tilbakemelding 5 21/10/2011
M奪let v奪rt er todelt: Fokus Bevise reell p奪 kundens sikkerhet verdier 6 21/10/2011
Metoder Nr Type Metode Verkt淡y M奪l 1 Fysisk tilgang Secode vil s淡ke tilgang til lukkede soner, via Fysisk oppm淡te F奪 tilgang til lukkede omr奪der, som igjen vil 奪pne for resepsjonsomr奪det eller via andre innganger. n脱rmest ubegrenset tilgang til informasjon. Erfaring viser Metoder som kan vurderes er 奪 gli inn i en st淡rre at om man penetrerer f淡rste del av skallsikringen, vil forsamling, operere i par og la en ansatt oppholde terskelen for senere 奪 bli avsl淡rt v脱re sv脱rt h淡y. resepsjonen, finne bakd淡rer som ansatte Adgang til serverrom, kablingsrom, printerrom etc vil v脱re benytter ifbm r淡ykepauser m.m. en naturlig del av denne testen. 2 Opsjon: I forbindelse med test av fysisk tilgang (over), kan Fysisk oppm淡te Om vi lykkes med dette, vil vi i effekt ha ubegrenset tilgang Datasniffing / vi fors淡ke 奪 sette opp en tr奪dl淡s, kryptert (WEP2- til det aktuelle nettet, uten 奪 m奪tte fors淡ke 奪 komme oss tr奪dl淡st ENT) forbindelse p奪 kundenettet. inn i bygget flere ganger. aksesspunkt Det vil ogs奪 v脱re naturlig 奪 sniffe data fra nettverket, for 奪 dokumentere funn. 3 Baiting Baiting er en passiv phishing-metode, hvor Secode USB-pinner Ved 奪 legge ut slike minnepinner tester Secode to ting: om (eller bedriften selv) utplasserer gjenglemte maskinparken til kunden er beskyttet mot autorun og om minnepinner p奪 troverdige steder, som toaletter de ansatte har tilstrekkelig sikkerhetsforst奪else til 奪 v脱re eller kantine. obs p奪 at man ikke kobler til ukjent utstyr. Testen i seg selv Minnepinnene inneholder teknologi som vil selvf淡lgelig ikke kompromittere data, men vil vise dokumenterer mulighetene for 奪 ut淡ve spionasje. hvorvidt et slikt vil v脱re effektivt. Programmet som benyttes p奪 minnepinnen autokj淡res i de fleste Windowsmilj淡er. Programmet starter og kontrolleres igjennom 奪 kontakte en webserver hos Secode over port 80. 4 Sp淡rreunders淡kelse Ringer inn til ansatte og stiller sp淡rsm奪l som har til Telefon, evt. En slik sp淡rreunders淡kelse fungerer best i tilfeller der hensikt 奪 f奪 ut bedriftssensitiv informasjon. Secode web bedriften har en ansattpolicy som forteller at visse typer starter testen med ufarlige sp淡rsm奪l, for 奪 unng奪 sp淡rsm奪l kun skal h奪ndteres av enkelte representanter. mistanke. Etter hvert vil sp淡rsm奪lenes karakter bli mer konkrete. Denne metoden kan v脱re tidkrevende i og med at man skal unng奪 奪 bli oppdaget. Alternativt kan denne testen ogs奪 utf淡res som et web-questionnaire. 5 Tilgang til Secode kontakter ansatte og skaper en dialog Telefon M奪let er 奪 f奪 tilgang til den ansattes brukernavn og brukernavn og basert p奪 et for brukeren ukjent (og ikke- passord for p奪logging til domenet. passord eksisterende) dataproblem. Dialogen vil basere seg p奪 ofte-opplevde brukerproblemer (printer, backup ++), og til slutt ende opp med at vi ettersp淡r brukernavn og passord, for 奪 l淡se problemet.
Social Engineering Metoder 2 6 Falsk webmail Secode lager en falsk webmail-tjeneste Web og telefon M奪let er 奪 f奪 tilgang til den ansattes brukernavn og som settes opp hos oss. Vi kontakter passord for p奪logging til e-posttjenesten. deretter et representativt antall ansatte og ber dem teste betawebmail, samtalen vil f淡res p奪 en slik m奪te at vi aldri vil be om brukernavn eller passord over telefonen, vi vil heller understreke at vi ikke 淡nsker noe passord, og at man aldri kan v脱re trygg nok, alts奪 at man spiller p奪 folks trygghetsf淡lelse. Webserveren Secode setter opp kj淡rer HTTP over SSL nettopp for 奪 understreke denne trygghetsf淡lelsen. 7 Videresendt e-post Kontakte en bruker og skape dialog rundt et for Telefon F奪 videresendt e-post fra ansatte til e-postkonti kontrollert #1 brukeren ukjent (og ikke-eksisterende) av Secode. dataproblem. Forslag til feill淡sing vil v脱re 奪 be brukeren sette opp videresending av e- posten sin som lokal regel i Outlook. 8 Videresendt e-post Kontakte support/helpdesk og gi oss ut for 奪 v脱re Telefon F奪 videresendt e-post fra ansatte til e-postkonti kontrollert #2 en ansatt p奪 reise som m奪 f奪 videresendt av Secode. viktig e-post til en tredjeparts-adresse (for eksempel gmail) 9 Masseutsendelse Secode sender ut en mail til et stort antall ansatte. Mail og web Vise at det vil v脱re mulig 奪 eksekvere filer med potensielt Mailen er bygget opp for 奪 ikke gi inntrykk ondsinnet innhold. av troverdighet, og inneholder en lenke til en Secode-kontrollert webserver.
Tre tester Fysisk tilgang Phishing - Brukernavn/passord Falsk e-post/installere u淡nsket programvare 9 21/10/2011
Forarbeid hvor finner vi informasjon? Facebook, Twitter, Nettby, LinkedIn, Flickr, Google,Telefonkatalogen, Google Maps/Earth, Internettleverand淡rer, mailsystemer, Usenet, Br淡nn淡ysundregistrene, bibliotek, arkitektkontorer, skattelister, referansekunder, pressemeldinger, hjemmesider, avisoppslag, sonefiler, blogger, e-post, telefonforesp淡rsler +++ 10 21/10/2011
Test 1: Fysisk tilgang Forarbeid Ansattes vaner Adgangskort Klesstil H奪ndtverkere/utstyr Innganger, spesielt r淡ykeinngangen Antall personer 2 mot 1 Snakke i mobiltelefon Konsulenter 11 21/10/2011
Typiske resultater fysisk tilgang Tilgang alle innganger, ogs奪 via resepsjon Gode p奪 n脱romr奪der, men ikke i fellesomr奪der Flinke til 奪 g奪 med adgangskort, men ikke 奪 sjekke andres Ul奪ste maskiner Konfidensielle dokument p奪 kontor, printere osv. Passord Flinkere til 奪 sikre de mest sensitive delene av bygg Ikke flinke til 奪 f淡lge opp mistanker F奪 gir beskjed til sikkerhetsavdelingen 12 21/10/2011
Eksempler p奪 funn Bildene er sladdet s奪 ikke kunden kan identifiseres 13 21/10/2011
Fysisk tilgang Nettverksskisse, inkludert: - IP-adresser - Hostnavn - Protokoller - Integrasjoner - Sikkerhetstekniske installasjoner
Fysisk tilgang Brukernavn og passord (root & administrator) til servere, inkludert liste over hvilke personer som skal ha tilgang
Fysisk tilgang Arkfane i resepsjonsomr奪det. Siste ark, det som vender mot bes淡kende, inneholder brukernavn og passord for p奪logging til domenet.
Fysisk tilgang delagte harddisker, identifisert med eiers navn p奪skrevet post- it-lapper. Diskene l奪 klare til destruksjon, men ble oppbevart i en pappeske utenfor sikker sone.
Fysisk tilgang En av Secodes 6 testere, i testlab hos oppdragsgiver.
Fysisk tilgang IP-adresse, brukernavn og passord til oppdragsgivers webhotell.
Fysisk tilgang Serverrommet. N奪r vi oppn奪r tilgang dit, har vi i stor grad lykkes med testen.
Fysisk tilgang Passord 21
Brukernavn/passord
Sikkerhet og s奪rbarhet 2011
Passord er enkelt 奪 h淡ste Ga passord Ga ikke passord Avsl淡rte testen Prosentvis fremstilling av passordh淡sting, kumulert fra Secodes tester 2010.
Falsk e-post/Installere u淡nsket programvare eksempler 25
Falsk e-post/Installere u淡nsket programvare eksempler 22% gikk p奪 denne
Vi har F奪tt l奪ne en firmabil F奪tt n淡kkelen til hvelv Blitt s奪 godt kjent med Securitasvaktene hos en kunde at de ga oss n淡klene til bygg 2 F奪tt brukernavn og passord til 100 % av de spurte via webmailtestene (10 personer i 10 forskjellige avdelinger) F奪tt tilgang til servere, printere, kablingsrom F奪tt tilgang til dokumenter markert Unntatt offentligheten Blitt ansatt! og mye mer
Hva brukes testene til? gjennomf淡re en Social Engineering-test uten at det foreligger planer om 奪 f淡lge opp resultatene med konstruktive, holdningsskapende prosjekter er som 奪 gjennomf淡re en pentest uten 奪 v脱re villig til 奪 patche i etterkant.
Hvordan oppfattes testene? Som veldig l脱rerikt og stort sett med et smil (men ikke alltid!) S脱rlig h淡sting av passord kan oppleves som 奪 krysse en grense. Passordet kan v脱re sv脱rt private. De ansattes reaksjon er viktig 奪 ta med i analysen av hva som skjedde og hvorfor det skjedde. Stor indignasjon kan tyde p奪 at den ansatte f淡ler at han/hun har skuffet seg selv. Apati er verre!
Sp淡rsm奪l? kjetil.helberg@secode.com

More Related Content

Sosial manipulering i praksis kjetil helberg

  • 1. Sosial manipulering i praksis Kjetil Helberg seniorkonsulent Secode Norge AS
  • 2. Secode Ledende sikkerhetsleverand淡r i Norden 25 奪rs erfaring innen IT-sikkerhet Kontorer i Norge, Sverige, Finnland, Danmark og Nederland Arendal eksempel: 24/7 Security Operation Center (SOC) Konsulentavdeling Testavdeling Mobil sikkerhet Sikkerhetspartner for kunder innen: Bank og finans Detaljhandel Helse Offentlig sektor Forsvaret BS
  • 3. Sosial manipulering Sosial manipulering (Social engineering) er handlingen 奪 manipulere folk til 奪 enten utf淡re handlinger eller avsl淡re konfidensiell informasjon Baserer seg p奪 anerkjent kunnskap og metoder fra psykologi og sosiologi Ikke tilfeldigheter og flaks Secode har bygget et godt rammeverk, som har vist seg 奪 fungere godt i praksis 3 21/10/2011
  • 4. Om sosial manipulering: Zero-day exploits get all the sexy headlines, but social engineering gets most of the results! P奪litelig, etterpr淡vbart og reelt Fleksibelt og tilpasningsdyktig Gjennomf淡res b奪de internt og eksternt Planlegging troverdighet/forventninger vellykket test Angriper det svakeste punktet i sikkerhetsstrukturen, og vanskelig for tekniske sikkerhetstiltak 奪 detektere angrepet Angrepet er ikke n淡dvendigvis m奪let, men m奪let for angrepet er klart definert p奪 forh奪nd 4 21/10/2011
  • 5. N淡kkelen til en godt test: Troverdighet og kompetanse Analyse og Funn og tilpassning tilbakemelding 5 21/10/2011
  • 6. M奪let v奪rt er todelt: Fokus Bevise reell p奪 kundens sikkerhet verdier 6 21/10/2011
  • 7. Metoder Nr Type Metode Verkt淡y M奪l 1 Fysisk tilgang Secode vil s淡ke tilgang til lukkede soner, via Fysisk oppm淡te F奪 tilgang til lukkede omr奪der, som igjen vil 奪pne for resepsjonsomr奪det eller via andre innganger. n脱rmest ubegrenset tilgang til informasjon. Erfaring viser Metoder som kan vurderes er 奪 gli inn i en st淡rre at om man penetrerer f淡rste del av skallsikringen, vil forsamling, operere i par og la en ansatt oppholde terskelen for senere 奪 bli avsl淡rt v脱re sv脱rt h淡y. resepsjonen, finne bakd淡rer som ansatte Adgang til serverrom, kablingsrom, printerrom etc vil v脱re benytter ifbm r淡ykepauser m.m. en naturlig del av denne testen. 2 Opsjon: I forbindelse med test av fysisk tilgang (over), kan Fysisk oppm淡te Om vi lykkes med dette, vil vi i effekt ha ubegrenset tilgang Datasniffing / vi fors淡ke 奪 sette opp en tr奪dl淡s, kryptert (WEP2- til det aktuelle nettet, uten 奪 m奪tte fors淡ke 奪 komme oss tr奪dl淡st ENT) forbindelse p奪 kundenettet. inn i bygget flere ganger. aksesspunkt Det vil ogs奪 v脱re naturlig 奪 sniffe data fra nettverket, for 奪 dokumentere funn. 3 Baiting Baiting er en passiv phishing-metode, hvor Secode USB-pinner Ved 奪 legge ut slike minnepinner tester Secode to ting: om (eller bedriften selv) utplasserer gjenglemte maskinparken til kunden er beskyttet mot autorun og om minnepinner p奪 troverdige steder, som toaletter de ansatte har tilstrekkelig sikkerhetsforst奪else til 奪 v脱re eller kantine. obs p奪 at man ikke kobler til ukjent utstyr. Testen i seg selv Minnepinnene inneholder teknologi som vil selvf淡lgelig ikke kompromittere data, men vil vise dokumenterer mulighetene for 奪 ut淡ve spionasje. hvorvidt et slikt vil v脱re effektivt. Programmet som benyttes p奪 minnepinnen autokj淡res i de fleste Windowsmilj淡er. Programmet starter og kontrolleres igjennom 奪 kontakte en webserver hos Secode over port 80. 4 Sp淡rreunders淡kelse Ringer inn til ansatte og stiller sp淡rsm奪l som har til Telefon, evt. En slik sp淡rreunders淡kelse fungerer best i tilfeller der hensikt 奪 f奪 ut bedriftssensitiv informasjon. Secode web bedriften har en ansattpolicy som forteller at visse typer starter testen med ufarlige sp淡rsm奪l, for 奪 unng奪 sp淡rsm奪l kun skal h奪ndteres av enkelte representanter. mistanke. Etter hvert vil sp淡rsm奪lenes karakter bli mer konkrete. Denne metoden kan v脱re tidkrevende i og med at man skal unng奪 奪 bli oppdaget. Alternativt kan denne testen ogs奪 utf淡res som et web-questionnaire. 5 Tilgang til Secode kontakter ansatte og skaper en dialog Telefon M奪let er 奪 f奪 tilgang til den ansattes brukernavn og brukernavn og basert p奪 et for brukeren ukjent (og ikke- passord for p奪logging til domenet. passord eksisterende) dataproblem. Dialogen vil basere seg p奪 ofte-opplevde brukerproblemer (printer, backup ++), og til slutt ende opp med at vi ettersp淡r brukernavn og passord, for 奪 l淡se problemet.
  • 8. Social Engineering Metoder 2 6 Falsk webmail Secode lager en falsk webmail-tjeneste Web og telefon M奪let er 奪 f奪 tilgang til den ansattes brukernavn og som settes opp hos oss. Vi kontakter passord for p奪logging til e-posttjenesten. deretter et representativt antall ansatte og ber dem teste betawebmail, samtalen vil f淡res p奪 en slik m奪te at vi aldri vil be om brukernavn eller passord over telefonen, vi vil heller understreke at vi ikke 淡nsker noe passord, og at man aldri kan v脱re trygg nok, alts奪 at man spiller p奪 folks trygghetsf淡lelse. Webserveren Secode setter opp kj淡rer HTTP over SSL nettopp for 奪 understreke denne trygghetsf淡lelsen. 7 Videresendt e-post Kontakte en bruker og skape dialog rundt et for Telefon F奪 videresendt e-post fra ansatte til e-postkonti kontrollert #1 brukeren ukjent (og ikke-eksisterende) av Secode. dataproblem. Forslag til feill淡sing vil v脱re 奪 be brukeren sette opp videresending av e- posten sin som lokal regel i Outlook. 8 Videresendt e-post Kontakte support/helpdesk og gi oss ut for 奪 v脱re Telefon F奪 videresendt e-post fra ansatte til e-postkonti kontrollert #2 en ansatt p奪 reise som m奪 f奪 videresendt av Secode. viktig e-post til en tredjeparts-adresse (for eksempel gmail) 9 Masseutsendelse Secode sender ut en mail til et stort antall ansatte. Mail og web Vise at det vil v脱re mulig 奪 eksekvere filer med potensielt Mailen er bygget opp for 奪 ikke gi inntrykk ondsinnet innhold. av troverdighet, og inneholder en lenke til en Secode-kontrollert webserver.
  • 9. Tre tester Fysisk tilgang Phishing - Brukernavn/passord Falsk e-post/installere u淡nsket programvare 9 21/10/2011
  • 10. Forarbeid hvor finner vi informasjon? Facebook, Twitter, Nettby, LinkedIn, Flickr, Google,Telefonkatalogen, Google Maps/Earth, Internettleverand淡rer, mailsystemer, Usenet, Br淡nn淡ysundregistrene, bibliotek, arkitektkontorer, skattelister, referansekunder, pressemeldinger, hjemmesider, avisoppslag, sonefiler, blogger, e-post, telefonforesp淡rsler +++ 10 21/10/2011
  • 11. Test 1: Fysisk tilgang Forarbeid Ansattes vaner Adgangskort Klesstil H奪ndtverkere/utstyr Innganger, spesielt r淡ykeinngangen Antall personer 2 mot 1 Snakke i mobiltelefon Konsulenter 11 21/10/2011
  • 12. Typiske resultater fysisk tilgang Tilgang alle innganger, ogs奪 via resepsjon Gode p奪 n脱romr奪der, men ikke i fellesomr奪der Flinke til 奪 g奪 med adgangskort, men ikke 奪 sjekke andres Ul奪ste maskiner Konfidensielle dokument p奪 kontor, printere osv. Passord Flinkere til 奪 sikre de mest sensitive delene av bygg Ikke flinke til 奪 f淡lge opp mistanker F奪 gir beskjed til sikkerhetsavdelingen 12 21/10/2011
  • 13. Eksempler p奪 funn Bildene er sladdet s奪 ikke kunden kan identifiseres 13 21/10/2011
  • 14. Fysisk tilgang Nettverksskisse, inkludert: - IP-adresser - Hostnavn - Protokoller - Integrasjoner - Sikkerhetstekniske installasjoner
  • 15. Fysisk tilgang Brukernavn og passord (root & administrator) til servere, inkludert liste over hvilke personer som skal ha tilgang
  • 16. Fysisk tilgang Arkfane i resepsjonsomr奪det. Siste ark, det som vender mot bes淡kende, inneholder brukernavn og passord for p奪logging til domenet.
  • 17. Fysisk tilgang delagte harddisker, identifisert med eiers navn p奪skrevet post- it-lapper. Diskene l奪 klare til destruksjon, men ble oppbevart i en pappeske utenfor sikker sone.
  • 18. Fysisk tilgang En av Secodes 6 testere, i testlab hos oppdragsgiver.
  • 19. Fysisk tilgang IP-adresse, brukernavn og passord til oppdragsgivers webhotell.
  • 20. Fysisk tilgang Serverrommet. N奪r vi oppn奪r tilgang dit, har vi i stor grad lykkes med testen.
  • 21. Fysisk tilgang Passord 21
  • 24. Passord er enkelt 奪 h淡ste Ga passord Ga ikke passord Avsl淡rte testen Prosentvis fremstilling av passordh淡sting, kumulert fra Secodes tester 2010.
  • 25. Falsk e-post/Installere u淡nsket programvare eksempler 25
  • 26. Falsk e-post/Installere u淡nsket programvare eksempler 22% gikk p奪 denne
  • 27. Vi har F奪tt l奪ne en firmabil F奪tt n淡kkelen til hvelv Blitt s奪 godt kjent med Securitasvaktene hos en kunde at de ga oss n淡klene til bygg 2 F奪tt brukernavn og passord til 100 % av de spurte via webmailtestene (10 personer i 10 forskjellige avdelinger) F奪tt tilgang til servere, printere, kablingsrom F奪tt tilgang til dokumenter markert Unntatt offentligheten Blitt ansatt! og mye mer
  • 28. Hva brukes testene til? gjennomf淡re en Social Engineering-test uten at det foreligger planer om 奪 f淡lge opp resultatene med konstruktive, holdningsskapende prosjekter er som 奪 gjennomf淡re en pentest uten 奪 v脱re villig til 奪 patche i etterkant.
  • 29. Hvordan oppfattes testene? Som veldig l脱rerikt og stort sett med et smil (men ikke alltid!) S脱rlig h淡sting av passord kan oppleves som 奪 krysse en grense. Passordet kan v脱re sv脱rt private. De ansattes reaksjon er viktig 奪 ta med i analysen av hva som skjedde og hvorfor det skjedde. Stor indignasjon kan tyde p奪 at den ansatte f淡ler at han/hun har skuffet seg selv. Apati er verre!