social engineering
Transcrição
social engineering
SOCIAL ENGINEERING There is no patch against human stupidity Gerald KORTSCHAK ¡ Forschungsfragen ¡ Themeneinführung ¡ Umfrageergebnisse ¡ Zusammenfassung und Fazit Forschungsfrage: Sind österreichische KMU durch Social Engineering Attacken gefährdet? Welche technischen und organisatorischen Prozesse ermöglichen die Abwehr bzw. Prävention von Social Engineering Attacken [...]? based on Gartner Group research from 2002 basierend auf einer Studie der Gartner Group von 2002 1 2 3 4 • Informationsbeschaffung • AuQau einer Beziehung • Ausnutzung der Beziehung • Informationsnutzung zur Erlangung Zielobjekt basierend auf einer Studie der Gartner Group von 2002 Kevin MITNICK Nov. 1992 Dumpster Diving Das Durchstöbern von Müll Tailgating Einer authorisierten Person in das Gebäude folgen Shoulder Surfing Über die Schulter den Bildschirminhalt mitlesen Physical Security Lock Bumping, das Knacken von Schlössern Google Hacking Informationen über ein Zielobjekt über Google erlangen, bzw. Schadcode über Google ausführen P2P Hacking Trojaner über P2P Portale einschleusen Kiosks Anzapfen oder manipulieren von Kiosk-Systemen Vehicle Surveillance Ausspähen von Informationen in Fahrzeugen. z.B. finden sich Ausweise und Parkberechtigungen in den Frontscheiben etc. Badge Surveillance Ausweiskarten ausspionieren, manipulieren oder stehlen. ¡ Keine Rückrufnummer ¡ ungewöhnliches Anliegen ¡ Autorität ¡ hohe Dringlichkeit ¡ negative Konsequenzen ¡ Rückfragen lästig ¡ Name Dropping ¡ Schmeichelei ¡ Flirts vgl. Mittnick 2006 ¡ computer based ¡ reverse ¡ human based pictures: sevian7 IT development GmbH picture: sevian7 IT development GmbH picture: http://www.keelog.com/images/kl_mod25_m.jpg Zuneigung Furcht Impuls der Einwilligung Attribuierung Glaubwürdigkeit Psychologische Prinzipien psychologische Reaktanz Altercasting Helfer-‐ syndrom basierend auf Kevin Mitnick, The Art of Intrusion, 2006 Ablenkung von systematischen Denken Aus-‐ schmückung Zuneigung Furcht Attribuierung main unit 175.000 country Austria age 20 -‐ 59 employment self-‐employed / executive basic set 1.004 42% 58% Geschäftsführung Selbständig „Wurde Ihr Unternehmen bereits einmal Opfer eines IT-‐Sicherheitsproblems, z.B. Computervirus, bewusste oder unbewusste Schädigung durch Mitarbeiter, Hacker-‐ Angriffe etc.?“ In weiterer Folge als Q51 bezeichnet. 36% 64% ja nein 24,50% 25,00% 20,00% 20,10% 14,60% 15,00% 15,40% 12,60% 12,90% 10,00% 5,00% 0,00% 0 Euro 1-‐200 Euro 201-‐500 Euro 501 -‐ 1000 Euro 1001 -‐ 5000 Euro > 5000 Euro 080% 070% 060% 050% 040% 030% Q51-‐Nein Q51-‐Ja 020% 010% 000% Opfer 30,00% 30,00% 25,00% 20,00% 19,00% 15,00% 17,00% 11,00% 9,00% 10,00% 9,00% 6,00% 5,00% 0,00% Gewerbe und Handwerk Industrie Handel Banken und Versicherungen Transport und Verkehr Tourismus und Freizeitwirtschaft Information und Consulting Opfer 48,00% 50,00% 45,00% 40,00% 35,00% 30,00% 25,00% 20,00% 15,00% 10,00% 12,00% 16,00% 18,00% 6,00% 5,00% 0,00% 0 bis 2 Jahre 3 bis 5 Jahre 6 bis 10 Jahre 11 bis 20 Jahre Älter als 20 Jahre Opfer 27,00% 30,00% 25,00% 20,00% 16,00% 20,00% 15,00% 18,00% 11,00% 8,00% 10,00% 5,00% 0,00% Nur ich selbst 1 bis 4 Mitarbeiter 5 bis 9 Mitarbeiter 10 bis 49 Mitarbeiter 50 bis 249 Mitarbeiter 250 und mehr Mitarbeiter Zusammenhang zwischen eingesetzten Abwehrmaßnahmen und SE-‐Angriffen: 25,70% Ja 74,30% Nein 100% 90% 22% 80% 28% 70% 60% VR-‐Nein 50% 40% 78% 30% VR-‐Ja 72% 20% 10% 0% Q51-‐JA Q51-‐Nein 48,30% 51,70% yes no 120% 100% 080% 45% 50% IM-‐Nein 060% IM-‐Ja 040% 020% 55% 50% 000% Q51-‐JA Q51-‐Nein 35,70% 64,30% Ja Nein 100% 90% 80% 70% 63% 65% 60% VS-‐Nein 50% VS-‐Ja 40% 30% 20% 37% 35% Q51-‐JA Q51-‐Nein 10% 0% 55) Welcher Art sind diese Identifikationsmerkmale? [1] in % Kundennummer 22,0% Kennwort/ Passwort 10,4% Kundennummer und Passwort 7,1% Benutzername und Passwort 6,4% Buchstaben/Nummerncodes 4,8% Code/ Codewort 3,1% ID Nummern 2,5% Digitale Signatur 1,2% Geschäftzahl und Ordnungsnummern 1,2% Eigene Kennzahlen 1,0% Geheim 1,0% E-Mail und Passwort 0,6% Ausweis 0,4% Kundenkennwort 0,4% Rechnungsnummer 0,4% 55) Welcher Art sind diese Identifikationsmerkmale? [2] 12-stellige Kundennummer plus fortlaufende Auftragsnummern 4-stelliger Code Alphanummerisch Austausch der Zertifikate Digitaler Ausweis Diverse Zugangsberechtigungen Erkennungsnummer und Geheimzahl Geheimwörter Kontonummer, Losungswörter Kenndaten Reisepassnummer Rückrufnummer Steuernummer keine Ahnung / weiß nicht keine Angabe Summe der Nennungen in % 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 0,2% 2,5% 32,2% 67,2% 48,30% 51,70% Ja Nein 100% 90% 80% 44% 70% 51% 60% SD-‐Nein 50% SD-‐Ja 40% 30% 56% 20% 49% 10% 0% Q51-‐JA Q51-‐Nein 16,40% yes 83,60% no 100% 90% 80% 70% 60% 75% 50% 89% DK-‐Nein DK-‐Ja 40% 30% 20% 10% 26% 0% Q51-‐JA 11% Q51-‐Nein anders Telefon pers. Gespräch eMail 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% Mehrfachnennungen waren möglich, daher andere Grundmenge Entstehung Bearbeitung Übertragung / Übermittlung Speicherung / Archivierung Entsorgung / Löschung vgl. Königs, 2005 ¡ Unternehmen > 250 MA gefährdet ¡ KMU einheitliches Bedrohungsszenario ¡ KMU keine schriftlichen Regeln ¡ KMU kein Risikomanagement für Informationen ¡ Abwehrmaßnahmen eingeführt nicht gelebt ¡ kaum Mindeststandards E-‐Mail Live-‐Chat Hotlines SE File-‐ Sharing Twitter Soziale Netzwerke ¡ Über 250 MA stärker betroffen ¡ KMU gleiche Bedrohungsszenarien ¡ Über 250 MA Regeln vorhanden ¡ getroffene Abwehrmaßnahmen nicht konsequent realisiert ¡ Mindeststandards nach BSI kaum verbreitet ¡ Social Engineering kaum berücksichtigt Riskmanagement durchführen Verhaltensregeln einführen Ausbildung, Kontrolle, Nachbesserung Schutzareal definieren Identifikations-‐ merkmale einführen Maßnahmen evaluieren Unternehmenskultur anpassen Strategie (Policy) Motivation (Incentives) Mechanismus (Mechanism) Verlässlichkeit (Assurance) basierend auf Security Engineering, Anderson, 2008 ¡ ¡ ¡ ¡ ¡ Cialdini, Robert B.: Die Psychologie des Überzeugens, Huber Verlag, Bern 2007 Long, Johnny: No Tech Hacking, Syngress Media, USA 2008 Mitnick, Kevin: Die Kunst der Täuschung, mitp-‐Verlag, Heidelberg 2006 (A) Mitnick, Kevin: Die Kunst des Einbruchs, mitp-‐Verlag, Heidelberg 2006 (B) Schneier, Bruce: Secrets & Lies, dpunkt-‐Verlag, Heidelberg 2004 ¡ DI Gerald KORTSCHAK, BSC, CMC [email protected] www.sevian7.com www.itsecurityexperts.at Download: ¡ https://public.me.com/kortschak ¡ pwd: sevian7