Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna praktyka

Monika Sadlok

/sadlokmonika

Czego nie będzie w prezentacji?

- instrukcji związanych z konfiguracją narzędzi wykorzystywanych w pracy pentestera

gotowych testów

Ej, no co ty?

To po co mam tutaj siedzieć?

Ale…1. poznamy definicję socjotechniki i

przykłady jej stosowania,2. poznamy kilka narzędzi pomocnych w

fazie reaserchu,3. przekonamy się, że najsłabszym

elementem systemów bezpieczeństwa jest człowiek,

4. poznamy ścieżki dla samodzielnych poszukiwań.

Zaczynamy od definicji!Czym jest inżynieria społeczna?

zespół technik służących osiągnięciu pewnych, wcześniej zdefiniowanych celów

jest to działanie celowe, przemyślane

sztuka/umiejętność efektywnej manipulacji jednostką lub grupą/organizacją

Inżynierią społeczną rządzi 6 reguł, które pozostają niezmienne od momentu, kiedy człowiek pozyskał wiedzę, że manipulacja przynosi korzyści.

1. Reguła wzajemności

2. Reguła zaangażowania

3. Reguła społecznego dowodu słuszności

4. Reguła sympatii

5. Reguła autorytetu

6. Reguła niedostępności

Kto wykorzystuje inżynierię społeczną?

HAKERZY

Przykład?

Wszyscy znali, czytali, podziwiali?!Więc może coś innego?

Może i banalne, ale jeśli zależy nam na popularności w mediach

społecznościowych...

SZPIEDZY

NIELOJALNY PRACOWNIKNIEŚWIADOMY PRACOWNIK

SPRZEDAWCY

Jak wykorzystać tę wiedzę w testach bezpieczeństwa?

Rodzaje testów bezpieczeństwaBLACK BOXPentester nie posiada żadnych szczegołowych informacji na temat badanego obiektu.Ten rodzaj weryfikacji jest stosowany do symulacji zewnętrznego ataku, bez posiadania wiedzy wewnętrznej. WHITE BOXPentester posiada kompleksowe informacje na temat badanego obiektu. Obejmują one dane dostępowe, dokumentację analityczną, kod zrodłowy oraz wszelkieinne informacje, ktore pomogę uzyskac pełny obraz badanego systemu. GRAY BOXTyp testu pomiędzy Black a White box. W tym przypadku pentester może otrzymać okrojone informacje o badanym obiekcie, np. na poziomie wiedzy zwykłego użytkownika.

Pamiętaj testerze!!!!

Cel testów bezpieczeństwa

- biznesowy - technologiczny

Standardy testów bezpieczeństwa

PTES (Penetration Testing Execution Standard)- definiuje testy penetracyjne na nowo,- ustanawia podstawowe zasady ważne dla początkujących

i doświadczonych testerów,- www.pentest-standard.org.

Rozpoznanie:

- wykorzystanie portali społecznościowych

- google hacking- rozmowa z klientem

https://www.exploit-db.com/google-hacking-database/

Socjotechnika, a urządzenia mobilne? No Problem

Socjotechnika == manipulacja

http://www.youtube.com/watch?v=FHmXSKQB0PI

Raport

- to najważniejszy element testów penetracyjnych

- pozwalają przedstawić czynności jakie wykonałeś i przekazać informacje jak zabezpieczyć luki w systemie

- powinien składać się z trzech części (streszczenia dla zarządu, prezentacji dla zarządu, ustalenia techniczne)

Raport odpowiada na pytania:

- Czy środki bezpieczeństwa zostały odpowiednio dobrane?

- Czy wdrożone systemy zostały prawidłowo skonfigurowane?

- Czy chroniony zasób nie posiada w sobie luk umożliwiających atak?

Tego lepiej unikaćCo prawda w tej części sieci nie odnaleziono żadnych problemów, ale mogą one występować lub nie występować do momentu ich odkrycia.

Skutki przeprowadzenia testu na tej bazie danych mogą mieć poważne skutki.

Zaleca się, aby odkryte błędy zostały usunięte zgodnie z priorytetami określonymi w raporcie.

Czas trwania testów

Czas to pieniądz … pieniądz jest czasem..a czasem go nie ma

Człowiek czy skaner?

Skaner automatyczny- masowe, cykliczne skany,- czasowa przewaga w rozbudowanych aplikacjach,- możliwość pominięcia nietypowych przypadków,- możliwość pominięcia oczywistych, ale nietypowych

podatności,- niska skuteczność w testowaniu logiki biznesowej.

GRZECHY PENTESTÓW

PYCHAMamy świetne zabezpieczenia!

- brak dojrzałości organizacji- nieomylność ludzka- raport “AD ACTA”

CHCIWOŚĆTesty są kosztowne i nie są nam potrzebne

- cena czy jakość, czy jakoś(ć) to będzie,

- czas to pieniądz,- niedoszacowanie wydatków.

NIECZYSTOŚĆ

- brak opracowanej strategii,- rozmycie odpowiedzialności.

LENISTWO

Czuwaj nawet jeśli jesteś bezpieczny

- droga na skróty- kopiowanie

PODSUMOWANIE

Bezpieczeństwo nie jest stanem, lecz procesem.

Testy bezpieczeństwa pomagają zapobiegać niebezpieczeństwom,

zanim się zmaterializują.

Testy bezpieczeństwa potrafią zweryfikować pracowników firmy, czy

przestrzegają polityki bezpieczeństwa, czy są lojalni.

Testy bezpieczeństwa same w sobie nie usuną luk w systemie.

Polecam:

Z cyklu tego NIE powiedział P.Coelho

Najważniejsze w życiu są testy bezpieczeństwa.