- Přehledy IS
- APS (20)
- BPM - procesní řízení (22)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (33)
- CRM (51)
- DMS/ECM - správa dokumentů (20)
- EAM (17)
- Ekonomické systémy (68)
- ERP (80)
- HRM (27)
- ITSM (6)
- MES (32)
- Řízení výroby (36)
- WMS (29)
- Dodavatelé IT slueb a řeení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (39)
- Dodavatelé CRM (33)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (71)
- Informační bezpečnost (50)
- IT řeení pro logistiku (45)
- IT řeení pro stavebnictví (26)
- Řeení pro veřejný a státní sektor (27)
Hlavní partner sekce
Partneři sekce
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údrby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranové sekce
 | |
| Přihlaste se k odběru newsletteru SystemNEWS, který kadý týden přináí výběr článků z oblasti podnikové informatiky | |
 | |
Partneři webu
IT SYSTEMS 10/2007 , IT Security
Víte, ze které strany můe přijít útok na vai IT infrastrukturu a data v ní uloená? I kdy pouíváte moderní prvky zabezpečení, vyuíváte procesní politiky, provádíte aktualizace, instalujete bezpečnostní patche, máte vytvořenou bezpečnostní politiku, přesto existuje jedna důleitá zranitelnost, která bývá velmi často opomíjena.
Současná vize bezpečnosti je zaloena na převáně technických řeeních. Vyuívány jsou velmi sofistikované metody implementované v antivirových programech, IDS/IPS systémech, firewallech a dalích aplikacích, které mají primárně za úkol udret chráněné informace pod pokličkou organizace. Vysoké nároky na míru zabezpečení představují dlouhodobý a poměrně sloitý proces, ve kterém je nutné sledovat například vycházející bezpečnostní záplaty, objevené zranitelnosti implementovaných aplikací a mnoho dalích faktorů.
Z naí vlastní praxe máme zkuenost, e úroveň zabezpečení nových, moderních počítačových systémů je v průměru na mnohem vyí úrovni, ne tomu bylo například před třemi nebo pěti lety. Realizace útoků typu buffer over-flow, slovníkových útoků nebo odposlechu hesla se dnes tedy stává nereálnou.
Z pohledu běně znalého počítačového útočníka hackera je takový systém nezajímavý. Představuje pro něj nepřiměřené úsilí vynaloené na pokusy o prolomení ochrany, které není navíc nijak zaručeno úspěchem a přináí spíe dlouhodobé riziko jeho odhalení.
Díky těmto skutečnostem se cena utajovaných a před veřejností skrývaných informací plhá do závratných výin. Informace se stávají nepřehlédnutelným lákadlem pro konkurenční společnosti i jednotlivce. Výsledky soukromých výzkumů, technické patenty a dalí jiné utajované informace jsou velmi ádaným zboím.
Existují skupiny a jednotlivci, kteří jsou ochotni a schopni chráněné informace získat! O koho se jedná? Konkurence s bohatým investorem, chudá konkurence nebo například i vládní organizace z rozvojových států s rychlou ekonomikou. Tito kybernetičtí zloději hledají ta nejslabí místa a trhlinky, kudy se dokáí vloupat i do opravdu bezpečných institucí.
Moderní počítačoví zločinci, placení hackeři, ve snaze dostat se k velmi cenným informacím vyuívají nejmodernějích počítačových zbraní a útoků. Na druhé straně barikády se potkávají s neméně schopnými odborníky, kteří jim připravují nemilá překvapení ve formě stále obtíněji překonatelných ochranných opatření.
S jistotou lze ovem konstatovat, e se tito útočníci se stále větí mírou zaměřují na chyby lidí, tedy vude přítomný lidský faktor. Útočníci zejména vyuívají staré i nové techniky sociálního inenýrství, kdy se snaí přesvědčit a přimět uivatele, aby jim nevědomky pomohli a vykonali dvě nebo tři kliknutí myí, která dokáí pootevřít pomyslná vrátka. Těchto metod existuje velké mnoství. Lidé, ač si myslí, e jsou odolní, mají ve skutečnosti minimální anci těmto útokům nepodlehnout.
Jde například o přesvědčení uivatele o vykonání dvojkliku při surfovaní internetem, sputění aplikace z nalezeného podstrčeného CD-ROM disku nebo USB flash disku pohozeného u popelnic či u místa pro kuřáky, vyuití nového cracku do utility, kterou kadý den daná osoba pouívá a nemá na ni řádně zakoupenou licenci a snad tisíce dalích triků.
Při následných testech metodami sociálního inenýrství byla náhodně vytáčena telefonní čísla a oslovováni lidé podle předem vymylených scénářů. Dále byly po pobočkách a centrále rozmístěny infikované CD-ROM a USB disky. Infikované soubory byly rovně zasílány pod různými záminkami na nalezené e-mailové adresy. A úspěnost takových útoků? Překvapivě velká.
Ale začněme od začátku. Základem úspěchu je dobrý scénář útoku. V tomto konkrétním případě jich bylo pouito více. Z nich nejefektivnějí byl následující.
Útočník se při telefonickém kontaktu představil jako zástupce neziskové společnosti, která v rámci grantu evropské unie zavádí určitý projekt. V první fázi projektu hledá dobrovolníky, kteří by se projektu zúčastnili s tím, e by měli nárok na určitou odměnu v euro. Po přednesení této nabídky byl kadý dotázán, zda se chce projektu účastnit. Odpověď byla větinou pozitivní, kadý si bleskurychle spočítal, kolik euro získá a nepřemýlel nad nějakým ověřováním identity volajícího nebo nad bezpečnostními předpisy. Kadé takto rekrutované oběti byl zaslán e-mail s tzv. testem počítačových dovedností, který bylo třeba vyplnit a poslat zpět. Samozřejmě, e se jednalo pouze o past, do které se chytilo mnoho uivatelů. Příloha e-mailu obsahovala trojského koně, jeho prostřednictvím pak bylo moné počítač plně ovládat. Při pokusu o otevření přílohy se objevilo pouze předem připravené chybové hláení. Touto cestou se v konečném výsledku dokonce nakazilo mnohem více uivatelů, ne bylo původně plánováno. Oběti si mysleli, e chyba je v jejich počítači a snaili se kód spoutět u svých kolegů. Dolo to dokonce a tak daleko, e sekretářka ředitele úseku jej spustila na stanici samotného ředitele, a to v době jeho nepřítomnosti, samozřejmě jako ve vech ostatních případech neúspěně.
Tímto byla významná část vnitřní sítě bankovní instituce kompromitovaná. Útočníkovi se podařilo dostat na rozličná důleitá pracovní místa, která měla, dle slov zadavatele, přístup přímo k samotným finančním transakcím.
Zde ale testy metodami sociálního inenýrství zdaleka nekončily. Pod heslem, e člověk se nejvíce naučí z vlastních chyb, jsme pokračovali dále. Opět byla vytáčena telefonní čísla obětí a s omluvou za zaslání chybného testu navrhována rychlá realizace testu po telefonu a následného zaslání jeho výsledku na daný e-mail. Test byl záměrně jednoduchý vytvoření adresáře, vytvoření souboru, vloení fotografie obrazovky atd. To nejdůleitějí přilo na konec testu. Do souboru měla kadá osoba napsat svoje iniciály, adresu, telefon, klapku, login a heslo. Po několika telefonicky udělených pochvalách se větina osob nezmohla na protest a uvedla svoje správné heslo. Vechny poadované údaje pak útočníkovi přily za pár okamiků elektronickou potou. Úsměvné, ale jak pro koho
Co si z toho odnést za ponaučení? Vichni zúčastnění zaměstnanci (nae oběti) proli nedávno bezpečnostním kolením, kde byli na podobná rizika a monosti útoků prokoleni, vlastnoručně podepsali, e tajné a citlivé informace nikomu nesdělí, budou je střeit a chovat se tak, aby nedolo k jejich úniku. Přesto na vechno nakonec zapomněli s vidinou slíbené odměny. Na závěr je třeba uvést, e po následném prokolení a dalích testech ji byla úspěnost podobných útoků (z pohledu útočníka) nesrovnatelně nií. Osobní zkuenosti úzké skupiny lidí (obětí) velice rychle samovolně prosákly do celé společnosti a dostali se tak do bezpečnostního povědomí větiny zaměstnanců, kteří pak začali dávat daleko větí pozor na to, s kým mluví a komu sdělují informace, jaké programy spoutí a jaké internetové stránky navtěvují
Je tedy patrné, e sociologickým a psychologickým útokům lze poměrně těko odolávat. Od dob mediálně známého mistra hackingu Kevina Mitnicka a vydání jeho slavné knihy Umění klamu uteklo ji hodně času a techniky sociálních útočníků se stále vyvíjí. Základní principy jsou ovem pořád stejné. Jsou zaloeny na vlastnostech, jako je přirozená autorita, sympatie, vzájemnost, důvěrnost, společenský souhlas nebo vzácná příleitost. Pro představu si uveďme několik teoretických příkladů.
Větina takových útoků končí na počítačích v Číně nebo v jiných rozvojových zemích s nespolupracujícím justičním systémem. Samotní útočníci z těchto zemí pravděpodobně nepocházejí. Vyuívají pouze kolních pouček a rad uváděných v hackerské literatuře, kde je doporučováno neútočit z vlastní IP adresy, ale kompromitovat nejdříve stanici, která je pro případné odhalení bezpečná právně nedosaitelná.
Efektivita = přepočítaný poměr počtu pouitých médií (zpráv, oslovených osob) ke kompromitaci jednoho cíle
Metody útoků, které vyuívají sociální inenýrství, před sebou mají zcela jistě velkou budoucnost. Otázkou nadále zůstává, jak se podobným útokům bránit.
V literatuře zabývající se metodami sociálního inenýrství je popsána řada obranných technik s vyí či nií úspěností. Z pohledu z praxe je nejefektivnějí metodou obrany poučení se z vlastních chyb.
e-mail: michal.drozd (zavináč) autori (tečka) ccb (tečka) cz
Boj s lidským faktorem v informační bezpečnosti
Michal Drozd
Víte, ze které strany můe přijít útok na vai IT infrastrukturu a data v ní uloená? I kdy pouíváte moderní prvky zabezpečení, vyuíváte procesní politiky, provádíte aktualizace, instalujete bezpečnostní patche, máte vytvořenou bezpečnostní politiku, přesto existuje jedna důleitá zranitelnost, která bývá velmi často opomíjena. Současná vize bezpečnosti je zaloena na převáně technických řeeních. Vyuívány jsou velmi sofistikované metody implementované v antivirových programech, IDS/IPS systémech, firewallech a dalích aplikacích, které mají primárně za úkol udret chráněné informace pod pokličkou organizace. Vysoké nároky na míru zabezpečení představují dlouhodobý a poměrně sloitý proces, ve kterém je nutné sledovat například vycházející bezpečnostní záplaty, objevené zranitelnosti implementovaných aplikací a mnoho dalích faktorů.
Z naí vlastní praxe máme zkuenost, e úroveň zabezpečení nových, moderních počítačových systémů je v průměru na mnohem vyí úrovni, ne tomu bylo například před třemi nebo pěti lety. Realizace útoků typu buffer over-flow, slovníkových útoků nebo odposlechu hesla se dnes tedy stává nereálnou.
Z pohledu běně znalého počítačového útočníka hackera je takový systém nezajímavý. Představuje pro něj nepřiměřené úsilí vynaloené na pokusy o prolomení ochrany, které není navíc nijak zaručeno úspěchem a přináí spíe dlouhodobé riziko jeho odhalení.
Díky těmto skutečnostem se cena utajovaných a před veřejností skrývaných informací plhá do závratných výin. Informace se stávají nepřehlédnutelným lákadlem pro konkurenční společnosti i jednotlivce. Výsledky soukromých výzkumů, technické patenty a dalí jiné utajované informace jsou velmi ádaným zboím.
Existují skupiny a jednotlivci, kteří jsou ochotni a schopni chráněné informace získat! O koho se jedná? Konkurence s bohatým investorem, chudá konkurence nebo například i vládní organizace z rozvojových států s rychlou ekonomikou. Tito kybernetičtí zloději hledají ta nejslabí místa a trhlinky, kudy se dokáí vloupat i do opravdu bezpečných institucí.
Moderní počítačoví zločinci, placení hackeři, ve snaze dostat se k velmi cenným informacím vyuívají nejmodernějích počítačových zbraní a útoků. Na druhé straně barikády se potkávají s neméně schopnými odborníky, kteří jim připravují nemilá překvapení ve formě stále obtíněji překonatelných ochranných opatření.
S jistotou lze ovem konstatovat, e se tito útočníci se stále větí mírou zaměřují na chyby lidí, tedy vude přítomný lidský faktor. Útočníci zejména vyuívají staré i nové techniky sociálního inenýrství, kdy se snaí přesvědčit a přimět uivatele, aby jim nevědomky pomohli a vykonali dvě nebo tři kliknutí myí, která dokáí pootevřít pomyslná vrátka. Těchto metod existuje velké mnoství. Lidé, ač si myslí, e jsou odolní, mají ve skutečnosti minimální anci těmto útokům nepodlehnout.
Jde například o přesvědčení uivatele o vykonání dvojkliku při surfovaní internetem, sputění aplikace z nalezeného podstrčeného CD-ROM disku nebo USB flash disku pohozeného u popelnic či u místa pro kuřáky, vyuití nového cracku do utility, kterou kadý den daná osoba pouívá a nemá na ni řádně zakoupenou licenci a snad tisíce dalích triků.
Příklad z praxe
Pro dokreslení představy, e jsou lidé veho schopni, uvedu krátký případ z praxe. Při praktické realizaci penetračních testů bankovní instituce prováděné i s vyuitím sociálního inenýrství byly nejprve otestovány hardwarové a softwarové prostředky vystavené přímo do internetu. Byla odhalena pouze nepříli podstatná monost kompromitace několika serverů, které ovem byly umístěny v demilitarizované zóně, take průnik jejich prostřednictvím do vnitřního informačního systému ji nebyl moný ádné známe zneuitelné chyby umoňující útok, prostě nic! Jako největí nedostatek se dala označit zranitelnost typu open relay zkráceně se jedná o monost posílání poty jménem testované instituce. Tato zranitelnost je zneuitelná například při phishingu podvodných e-mailech. Zranitelnost byla způsobena outsorcingovou firmou a jejím novým pracovníkem, který patně provedl konfiguraci daného serveru. V celku tedy vnitřní informační systém instituce jak tak obstál.Při následných testech metodami sociálního inenýrství byla náhodně vytáčena telefonní čísla a oslovováni lidé podle předem vymylených scénářů. Dále byly po pobočkách a centrále rozmístěny infikované CD-ROM a USB disky. Infikované soubory byly rovně zasílány pod různými záminkami na nalezené e-mailové adresy. A úspěnost takových útoků? Překvapivě velká.
Ale začněme od začátku. Základem úspěchu je dobrý scénář útoku. V tomto konkrétním případě jich bylo pouito více. Z nich nejefektivnějí byl následující.
Útočník se při telefonickém kontaktu představil jako zástupce neziskové společnosti, která v rámci grantu evropské unie zavádí určitý projekt. V první fázi projektu hledá dobrovolníky, kteří by se projektu zúčastnili s tím, e by měli nárok na určitou odměnu v euro. Po přednesení této nabídky byl kadý dotázán, zda se chce projektu účastnit. Odpověď byla větinou pozitivní, kadý si bleskurychle spočítal, kolik euro získá a nepřemýlel nad nějakým ověřováním identity volajícího nebo nad bezpečnostními předpisy. Kadé takto rekrutované oběti byl zaslán e-mail s tzv. testem počítačových dovedností, který bylo třeba vyplnit a poslat zpět. Samozřejmě, e se jednalo pouze o past, do které se chytilo mnoho uivatelů. Příloha e-mailu obsahovala trojského koně, jeho prostřednictvím pak bylo moné počítač plně ovládat. Při pokusu o otevření přílohy se objevilo pouze předem připravené chybové hláení. Touto cestou se v konečném výsledku dokonce nakazilo mnohem více uivatelů, ne bylo původně plánováno. Oběti si mysleli, e chyba je v jejich počítači a snaili se kód spoutět u svých kolegů. Dolo to dokonce a tak daleko, e sekretářka ředitele úseku jej spustila na stanici samotného ředitele, a to v době jeho nepřítomnosti, samozřejmě jako ve vech ostatních případech neúspěně.
Tímto byla významná část vnitřní sítě bankovní instituce kompromitovaná. Útočníkovi se podařilo dostat na rozličná důleitá pracovní místa, která měla, dle slov zadavatele, přístup přímo k samotným finančním transakcím.
Zde ale testy metodami sociálního inenýrství zdaleka nekončily. Pod heslem, e člověk se nejvíce naučí z vlastních chyb, jsme pokračovali dále. Opět byla vytáčena telefonní čísla obětí a s omluvou za zaslání chybného testu navrhována rychlá realizace testu po telefonu a následného zaslání jeho výsledku na daný e-mail. Test byl záměrně jednoduchý vytvoření adresáře, vytvoření souboru, vloení fotografie obrazovky atd. To nejdůleitějí přilo na konec testu. Do souboru měla kadá osoba napsat svoje iniciály, adresu, telefon, klapku, login a heslo. Po několika telefonicky udělených pochvalách se větina osob nezmohla na protest a uvedla svoje správné heslo. Vechny poadované údaje pak útočníkovi přily za pár okamiků elektronickou potou. Úsměvné, ale jak pro koho
Co si z toho odnést za ponaučení? Vichni zúčastnění zaměstnanci (nae oběti) proli nedávno bezpečnostním kolením, kde byli na podobná rizika a monosti útoků prokoleni, vlastnoručně podepsali, e tajné a citlivé informace nikomu nesdělí, budou je střeit a chovat se tak, aby nedolo k jejich úniku. Přesto na vechno nakonec zapomněli s vidinou slíbené odměny. Na závěr je třeba uvést, e po následném prokolení a dalích testech ji byla úspěnost podobných útoků (z pohledu útočníka) nesrovnatelně nií. Osobní zkuenosti úzké skupiny lidí (obětí) velice rychle samovolně prosákly do celé společnosti a dostali se tak do bezpečnostního povědomí větiny zaměstnanců, kteří pak začali dávat daleko větí pozor na to, s kým mluví a komu sdělují informace, jaké programy spoutí a jaké internetové stránky navtěvují
Je tedy patrné, e sociologickým a psychologickým útokům lze poměrně těko odolávat. Od dob mediálně známého mistra hackingu Kevina Mitnicka a vydání jeho slavné knihy Umění klamu uteklo ji hodně času a techniky sociálních útočníků se stále vyvíjí. Základní principy jsou ovem pořád stejné. Jsou zaloeny na vlastnostech, jako je přirozená autorita, sympatie, vzájemnost, důvěrnost, společenský souhlas nebo vzácná příleitost. Pro představu si uveďme několik teoretických příkladů.
Autorita
Lidé mají přirozenou tendenci podřídit se vůli osob, které mají moc. Příklad:- Útočník vystupuje pod autoritou moci.
- Říká, e pracuje pro top management, pro oddělení IT, pro partnerskou firmu a v zájmu vedení organizace atd.
Sympatie
Lidé mají sklon vyhovět, kdy je adatel schopen ukázat se jako sympatická osoba, která má podobné zájmy, názory a přístupy k ivotu jako obě. Příklad:- Během rozhovoru se obě dozvídá podobné, nebo stejné koníčky, zájmy, koly, známé osoby, místa atd.
Vzájemnost
Princip něco za něco. Útočník provede oběti laskavost, slubu. Obě se cítí jistým způsobem zavázána a snáze podlehne ádosti útočníka. Příklad:- Dali jsme vám knihu, co nám dáte vy, je na vás,
- Zařadili jsme vás do projektu, tak nám na oplátku sdělte tuto informaci, je to pro čistě statistické účely
Důvěrnost
Pokud lidé něco veřejně prohlásí, mají tendenci v dané věci pokračovat a vyhovět. Příklad:- Útočník kontaktuje nového zaměstnance a přednese mu bezpečnostní zásady. Následně si vyádá jeho heslo pro kontrolu slučitelnosti se zásadami.
Společenský souhlas
Lidé mají velkou tendenci vyhovět prosbám, jestlie se to zdá shodné s chováním ostatních. Příklad:- Volající tvrdí, e provádí anketu, na kterou ji několik jmenovaných osob odpovědělo. Obě věří, e chování jiných potvrzuje věrohodnost ádosti.
Vzácná příleitost
Lidé mají tendenci se podřídit, kdy věří, e vytouený objekt je v malém mnoství a je ádoucí pro mnoho jiných nebo je dostupný jen krátký čas. Příklad:- Hledáme deset účastníků výzkumu, hodinová mzda...
- Prvních 500 registrovaných získá CD...
Větina takových útoků končí na počítačích v Číně nebo v jiných rozvojových zemích s nespolupracujícím justičním systémem. Samotní útočníci z těchto zemí pravděpodobně nepocházejí. Vyuívají pouze kolních pouček a rad uváděných v hackerské literatuře, kde je doporučováno neútočit z vlastní IP adresy, ale kompromitovat nejdříve stanici, která je pro případné odhalení bezpečná právně nedosaitelná.
| Vyuitá metoda | Efektivita (%) |
|---|---|
| Hromadná e-mailová zpráva | 020 |
| Cílená e-mailová zpráva | 560 |
| CD-ROM | 05 |
| USB flash disk | 2070 |
| Sofistikovaná metoda | 5090 |
Metody útoků, které vyuívají sociální inenýrství, před sebou mají zcela jistě velkou budoucnost. Otázkou nadále zůstává, jak se podobným útokům bránit.
V literatuře zabývající se metodami sociálního inenýrství je popsána řada obranných technik s vyí či nií úspěností. Z pohledu z praxe je nejefektivnějí metodou obrany poučení se z vlastních chyb.
e-mail: michal.drozd (zavináč) autori (tečka) ccb (tečka) cz
Autor je bezpečnostním konzultantem ve společnosti AEC.
Chcete získat časopis IT Systems s tímto a mnoha dalími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z naeho archivu.
