Social engineering: kuidas su andmeid võidakse sult lihtsalt välja meelitada.

 Vaatamata erinevatele turvameetoditele, mida soovimatu juurdepääsu piiramiseks ja andmete varguse vastu tarvitusele võetakse, on endiselt olemas palju viise, mida küberkurjategijad kasutavad rünnakuteks vajaliku info omandamiseks või identiteedivarguse sooritamiseks. Üks tõhusamaid meetodeid selleks on sotsiaalne manipulatsioon (social engineering). Sotsiaalne manipulatsioon andmeturbes tähendab inimestelt info välja meelitamist, põhimõtteliselt pannes ohvri vabatahtlikult ja kogemata turvalisust kahjustavat infot avaldama. Selle peamine tugevus on see, et sellega ei rünnata otseselt mitte süsteemi turvameetmeid, vaid kõige nõrgemat osa ahelas: kasutajat. Sotsiaalne manipulatsiooni tegemiseks on mitmeid viise, mis erinevad oma keerukuse ja tõhususe poolest. Tehniliselt lihtsaimad meetodid on ohvriks valitud inimestega otsene suhtlemine või neilt näiteks ka pettuste kaudu vajaliku info kätte saamine. Teisest küljest võib tegu olla näiteks mitmelt ründevektorilt sooritatava operatsiooniga, luues valevõrke ja veebilehtede koopiaid, mille kaudu ohver andmeid edastades teeb selle kõik ründajale nähtavaks. On ka kaudsemaid meetodeid, näiteks prügis tuhnimine, lootuses leida konfidentsiaalset või muidu kasulikku infot (antud juhul võib ründajale ideaalne olla näiteks ära visatud paroolidega paber) või üle õla piilumine ehk siis avalikus kohas näiteks kuhugi sisse logides lihtsalt loetakse, mida te parooliks sisestate.

Üldiselt võib selle vastu aidata kõige paremini kõrgendatud tähelepanelikkus ja ettevaatlikkus. Samas ei ole mingit kindlat turvalisuse saavutamise valemit, mis kedagi säärase manipulatsiooni eest kaitseks. Vaatame seda läbi andmeturbe kolme komponendi: tehnoloogia, koolitus, reeglid. 

Tehnoloogiliselt poolelt aitaks siin põhimõtteliselt autentimise mitmekordistamine, sest sellega on ründajale vajaliku kogutava informatsiooni hulk samuti suurem. See võib olla abiks: 

  • manipulatsiooni avastamisel, ehk ründajad võivad rohkem kahtlust äratada spetsiifiliste küsimustega, 
  • ründajatele sihtmärgi väärtuse vähendamise näol, ehk nad peaks tegema liiga suurt eeltööd, et sisse saada. 
Samuti võib aidata tehnoloogiatest näiteks VPN, kaitstes saadetavat infot paremini.

Koolituse poole pealt võib siin abi olla rohkem. Õpetada võiks:

  • Kuidas erinevate omaduste järgi tunda ära näiteks õngitsemis kirju ja kõnesid
  • Tutvustada teisi võtteid, mida selleks kasutatakse (üle õla piilumine, vestlused, sappa võtmine, prügis tuhnimine)
  • Selgitada, kuidas näeb välja näiteks petteks loodud avalik wifi võrk (kui on mitu sarnase nimega wifi võrku, pöörata eriti olulist tähelepanu sellele, millega ühendada soovitakse; vältida oluliste andmete edastamist avalikes võrkudes; jne)
  • Selgitada, mille järgi ära tunda näiteks võltsitud sisselogimisleht (kui toimub ebatavaline hulk ümbersuunamisi; esineb mingeid märgatavaid kahtlaseid vigu veebilehe kujunduses; kui olete kogemata sisestanud või teid on suunatud sarnase, kuid näiteks mõne tähe poolest erinevale domeenile, mis näeb sarnane välja.)
  • Õpetada, kuidas takistada üle õla piilumist (avalikus kohas sisse logimise vältimine; peegeldavate ekraanikatete kasutamine)'
Ka näiteks mingite tegevusprotokollide ja reeglite kehtestamine võib selle puhul rohkem aidata:

  • Kuhu tohib milliseid andmeid sisestada?
  • Kui palju tohib näiteks firma turvameetmetest kuskil rääkida?
  • Kehtestada mitmetasemelised autentimise nõuded olulistele kontodele
  • Nõudes asutuse paberprahi purustamist enne ära viskamist
  • Keelates delikaatsematesse süsteemidesse logimise läbi avalike võrkude
  • Nõudes VPN-i kasutamist delikaatsete andmete edastamisel
  • Kehtestades tiheda, kuid mõistliku protokolli paroolide vahetamisele (tihe muutmine aitab kaitsta küll otseste rünnakute eest, kuid liiga tihe muutmine viib selleni, et inimesed lihtsalt kirjutavad oma paroole ülesse, kuna lühikese aja jooksul need ei jää meelde)
Selliste reeglite ja protokollide puhul tuleb aga meeles pidada, et kui need muuta liiga rängaks, näiteks kui autentimine on liiga mitmekihiline või paroolide vahetust nõutakse liiga tihti, hakkavad inimesed ise, eesmärgiga seda igapäevases tegevuses lihtsustada, tekitama turvaauke, kirjutades oma paroolid ülesse, laskes teisi koos nendega uksest sisse või pannes mitmele süsteemile sama parool. Seetõttu aitab siin isegi kaasa natuke leebemate reeglite kehtestamine.

Social engineering ehk manipulatsioon on üks põhilisi meetodeid, kuidas võidakse tänapäeval lihtsalt saada kaitstud süsteemidesse ja varastada turvatud andmeid. Seetõttu on ka oluline selle peale aegajalt mõelda ja hoida end kursis, millele tuleks tähelepanu pöörata, et seda oma eraelus või töös vältida.

Kommentaarid

Postita kommentaar

Populaarsed postitused sellest blogist

Edukamad ja vähemedukad lahendused enne interneti algusaastaid

HTML      HTML ehk Hyper Text Markup Language või hüperteksti märgistuskeel on veebilehtede märgistuseks mõeldud keel. Selle eesmärk on lahutada dokumendi või faili sisu ja vaade, pannes paika põhilise dokumendi struktuuri. Lisaks sellele võimaldab ta lehele siduda kujunduse andmeid ja skripte, vastavalt siis CSS faile ja JavaScripti, harvemini ka PHP-d, viimaste põhikasutus on interaktiivsuse ja dünaamilisuse lisamine. HTML  loodi 1990 - nendal aastal Tim Berners Lee poolt koos esimese WWW brauseriga. Hiljem lõi ta W3C, mis on muuhulgas tegelenud HTML-i edasi arendamisega, millest on nüüdseks välja tulnud 4 suuremat edasiarendust ja kolm alamversiooni, mis olid seotud ülemikuga uuele baasile 4.01 välja tulles. Praegu on uusim versioon HTML 5. Peale loomist kasutati juba paari aasta pärast nii World Wide Web brauserit kui ka HTML tuumauuringutega seotud info vahetamiseks üle maailma (või vähemasti Lääne - Euroopas ja Ameerika Ühendriikides). Praeguseks on HTML veebifailide ja veebileht
Lisateave

Lahendused puuetega inimestele: Punktkirja monitor ja luger

 Võimaldamaks puuetega inimestel lihtsamini ja tõhusamalt arvuteid kasutada, on arvutite ajaloo jooksul loodud mitmeid erinevaid lahendusi. Üks neis on punktkirja monitor, mis võimaldab vaegnägijatele kuvada tekstiridu arvutiekraanilt. Esimene punktkirja monitor patenteeriti 1975 aastal. Kuigi alates sellest on see tehnoloogia tugevalt arenenud, oli pikka aega see stagneerunud suurte kohmakate seadmete juurde, mis suutsid lõpuks ikkagi vaid üht rida punktkirja kuvada. Hiljuti tuli aga  Bristol Braille Technology CIC välja uudse punktkirja lugeriga. Nende luger on 9 realine ja 40 tähemärgiga rea kohta. Seadeldis töötati välja koostöös kohaliku punktkirja ühinguga, mille eesmärk on nägemispuudega inimestele punktkirja õpetamine ja nende seeläbi tööle aitamine. Üks seadeldise väljatöötamise eesmärkidest oli luua monitor, millelt oleks võimalik lugeda ka näiteks tabeleid või ka noodikirja, mida üldiselt vanemad üherealised seadmed ei võimaldanud. Noodikiri on tõenäoliselt ka seadme ridade
Lisateave

Kuidas saada häkkeriks - Eric Steven Raymond

Eric Steven Raymond avaldas 2001 artikli/teksti "How To Become A Hacker", millest on nüüdseks saanud üks tuntumaid ja tihedamini tsiteeritavaid tekste, kui jutt käib häkkerite kui isikute, arendajate omadustest ja mida tähendab olla häkker. Alates esimesest avaldamisest on ta seda korduvalt täiendanud ja muutnud. On inimesi, kes tema vaadetega ei nõustu, inimesi, kes suures pildis on sama meelt ja ka neid, kes seda teksti ülistavad ja selle järgi oma olu seavad. Üks olulisemaid punkte sellest teosest oleks võibolla häkkerite ja nö kräkkerite vahe. Häkkerid on inimesed, kes oma oskusi kasutades lahendavad probleeme ja arendavad asju edasi. Kräkkerid seevastu on tihti lapsikud algajad, kes saavad rahuldust süsteemide lõhkumisest. Seda vaadet üldiselt ka IT - maailmas pooldatakse.  Omadused     Raymond kirjeldab oma tekstis olulisemaid omadusi, mida keegi, kes soovib häkker olla, peaks omama. Kõige tugevamalt on välja toodud õppimishimu, soov ennast arendada ja kirg probleemide
Lisateave