Opiskelijat tunkeutuvat isäntätietokoneeseen mentorin tarkkaileman silmän alla lippukaappauksen aikana. Richard Matthews, Tekijä toimitti.
Mitä ydinalan sukellusveneillä, erittäin salaisilla sotilastukikohdilla ja yksityisillä yrityksillä on yhteistä?
He ovat kaikki alttiita yksinkertaiselle cheddar-viipaleelle.
Tämä oli selkeä tulos kynätestauksesta, joka tunnetaan muuten tunkeutumistestauksena vuosittainen verkkoturvallisuuden kesäkoulu Tallinnassa, Virossa heinäkuussa.
Osallistuin australialaisen kontingentin kanssa esitelläkseen tutkimusta kolmannella vuosittaisella vuosipäivällä Monitieteinen tietoverkkotutkimuksen työpaja. Saimme myös mahdollisuuden käydä esimerkiksi yrityksissä Skype ja Funderbeam, Samoin kuin Naton yhteistyökykyisen puolustusalan huippuyksikkö.
Tämän vuoden koulun teema oli sosiaalinen tekniikka - taidetta manipuloida ihmisiä paljastamaan kriittinen tieto verkossa tajutamatta sitä. Keskityimme siihen, miksi sosiaalinen tekniikka toimii, kuinka estää tällaiset hyökkäykset ja kuinka kerätä digitaalista todistustapahtumaa tapahtuman jälkeen.
Vierailumme kohokohta oli osallistuminen live-tulipalojen (CTF) cyber range -harjoitteluun, jossa joukkueet tekivät sosiaalisen suunnittelun hyökkäyksiä kynän testaamiseksi oikealla yrityksellä.
Kynätestaus ja reaaliaikainen tietojenkalastelu
Kynätestaus on luvallinen simuloitu hyökkäys fyysisen tai digitaalisen järjestelmän turvallisuutta vastaan. Sen tavoitteena on löytää haavoittuvuuksia, joita rikolliset voivat hyödyntää.
Tällainen testaus vaihtelee digitaalisesta, jossa tavoitteena on pääsy tiedostoihin ja yksityisiin tietoihin, fyysiseen, jossa tutkijat todella yrittävät päästä rakennuksiin tai tiloihin yrityksen sisällä.
Adelaiden yliopiston opiskelijat osallistuivat yksityiskierrokseen Tallinnan Skypen toimistossa esitykseen verkkoturvallisuudesta. Richard Matthews, Tekijä toimitti
Kesäkoulun aikana kuulimme ammattimaisilta hakkereilta ja kynätestajilta ympäri maailmaa. Tarinoita kerrottiin kuinka fyysinen pääsy turvallisille alueille voidaan saada käyttämällä vain juustopalaa, joka on muotoiltu henkilökortiksi ja luottamus.
Laitimme sitten nämä oppitunnit käytännön käyttöön useiden lippujen kautta - tavoitteet, jotka joukkueiden oli saavutettava. Haasteenamme oli arvioida urakoitunutta yritystä nähdäksemme, kuinka herkkä se oli sosiaalisen insinöörin hyökkäyksille.
Fyysinen testaus oli nimenomaan rajojen ulkopuolella harjoitusten aikana. Eettiset rajat asetettiin myös yrityksen kanssa sen varmistamiseksi, että toimimme tietoverkkoturvallisuuden asiantuntijoina emmekä rikollisina.
OSINT: avoimen lähdekoodin älykkyys
Ensimmäinen lippu oli tutkia yritystä.
Sen sijaan, että tutkimme kuin työhaastattelua, etsimme mahdollisia haavoittuvuuksia julkisesti saatavissa olevissa tiedoissa. Tätä kutsutaan avoimen lähdekoodin tiedusteluksi (OSINT). Kuten:
- kuka on hallitus?
- kuka on heidän avustajansa?
- mitä tapahtumia tapahtuu yrityksessä?
- ovatko he todennäköisesti lomalla tällä hetkellä?
- mitä työntekijöiden yhteystietoja voimme kerätä?
Pystyimme vastaamaan kaikkiin näihin kysymyksiin poikkeuksellisen selkeästi. Tiimimme löysi jopa suorat puhelinnumerot ja tiensä yritykseen tiedotusvälineissä ilmoitetuista tapahtumista.
Tietokalastelusähköposti
Tätä tietoa käytettiin sitten kahden tietokalastelusähköpostin luomiseen OSINT-tutkimuksistamme yksilöityihin kohteisiin. Tietokalastelu on silloin, kun haitallisia online-viestejä käytetään henkilökohtaisten tietojen hankkimiseen.
Tämän lipun tarkoituksena oli saada linkki napsautettaviin sähköpostiosoitteihimme. Laillisista ja eettisistä syistä sähköpostin sisältöä ja ulkonäköä ei voida paljastaa.
Aivan kuten asiakkaat napsauttavat käyttöehdot lukematta, käytimme hyväksi sitä, että tavoitteemme napsauttaisi kiinnostavaa linkkiä tarkistamatta mihin linkki osoitti.
Järjestelmän alustava tartunta voidaan saada yksinkertaisella linkillä, joka sisältää linkin. Freddy Dezeure / C3S, Tekijä toimitti
Todellisessa tietojenkalasteluhyökkäyksessä, kun napsautat linkkiä, tietokonejärjestelmäsi on vaarantunut. Meidän tapauksessamme lähetimme tavoitteemme hyväntekeväisiin sivustoihin.
Suurin osa kesäkoulun joukkueista saavutti onnistuneen tietojenkalasteluviestien hyökkäyksen. Jotkut jopa onnistuivat lähettämään sähköpostinsa edelleen eteenpäin koko yrityksessä.
Kun työntekijät lähettävät edelleen sähköposteja yrityksessä, sähköpostin luottamuskerroin kasvaa ja sähköpostin sisältämiä linkkejä napsautetaan todennäköisemmin. Freddy Dezeure / C3S, Tekijä toimitti
Tuloksemme vahvistavat tutkijoiden havaintoja siitä, etteivät ihmiset kykene erottamaan vaarantunutta sähköpostia luotettavasta. Yksi tutkimus 117-ihmisistä havaitsi sen olevan noin 42% sähköposteista oli luokiteltu väärin joko oikeina tai väärin vastaanottimen toimesta.
Tietokalastelu tulevaisuudessa
Tietojenkalastelu saa todennäköisesti vain hienostuneempaa.
Koska yhä useammassa Internet-yhteydellä varustetussa laitteessa puuttuu perusturvallisuusstandardeja, tutkijat ehdottavat, että tietojenkalastelusta hyökkääjät etsivät menetelmiä näiden laitteiden kaappaamiseksi. Mutta miten yritykset reagoivat?
Tallinnassa kokemukseni perusteella näemme, että yritykset tulevat avoimemmiksi kyberhyökkäyksissä. Massiivisen jälkeen verkkohyökkäys 2007: ssäEsimerkiksi Viron hallitus reagoi oikein.
Sen sijaan, että tarjoaisi yleisölle kehrää ja peittäisi hitaasti offline-tilassa olevat julkiset palvelut, he tunnustivat suoran hyökkäyksen tuntemattomalta ulkomaiselta edustajalta.
Samoin yritysten on tunnustettava hyökkäyksensä. Tämä on ainoa tapa palauttaa luottamus keskenään asiakkaidensa kanssa ja estää tietojenkalasteluhyökkäysten leviäminen edelleen.
Siihen asti voin kiinnostaa sinua ilmainen tietojenkalastelun torjuntaohjelmisto?
kirjailijasta
Richard Matthews, PhD-kandidaatti, University of Adelaide
Tämä artikkeli julkaistaan uudelleen Conversation Creative Commons -lisenssin alla. Lue alkuperäinen artikkeli.
