marionettes_800

Användaren är den svagaste länken

Att arbeta med informationssäkerhet är omväxlande. Angriparna kommer från många olika håll, med riktade attacker, automatiserade botnät och massiva spamutskick som skickligt invaggar mottagaren i övertygelsen om att de måste agera som en god användare och lämna ifrån sig vad det nu är man förväntas lämna ifrån sig av känslig information som affärshemligheter, kreditkortsnummer eller inloggningsuppgifter.

Vanligtvis har IT-avdelningen gjort en hel del för att härda hårdvara och mjukvara och de fixar, lappar och lagar när det kommer uppdateringar från leverantörerna. Men hur skyddar vi verksamheten från social ingenjörskonst?

Människor är oftast den svagaste länken i säkerhetskedjan. Social ingenjörskonst definierar vi som konsten att komma över känslig eller hemlig information genom att manipulera behöriga användare. Angriparen utnyttjar människans naturliga vilja att hjälpa till och lita på andra människor snarare än att utnyttja tekniska säkerhetsbrister.

Det är oändligt mycket enklare att infiltrera och få åtkomst till känslig information genom ett telefonsamtal till någon aningslös medarbetare än att tillbringa timmar eller dagar för att hitta en svaghet i systemen som går att hacka.

Social ingenjörskonst är inget nytt i sig, ett av de mest kända exemplen är väl när turkarna rullade in den trojanska hästen innanför Trojas portar. Det som är nytt är möjligheten att genomföra den typen av attacker i en digital miljö.

Klicka inte på länkar hur frestande det än är

Nästan alla attackprogram som skrivs kräver att en användare hamnar på en webbsida som innehåller skadlig kod. Medan användaren tittar på innehållet på sidan installeras skadlig kod (till exempel en key logger eller fjärradministrationsverktyg) i bakgrunden. Att användaren hamnat på den webbsidan innebär att de måste ha klickat på en länk som de fått via e-post, när de surfat eller via något publikt trådlöst nätverk. Datorer är i sin tur designade att göra vad man ber dem om. Det spelar ingen roll hur mycket säkerhet som byggs in i ett system, om en användare verkligen vill besöka en webbsida som de tror kommer att visa lite nakenbilder, spännande skvaller, ge dem någonting för ingenting kommer de att hitta på något sätt att göra det.

Avancerade säkerhetslösningar och all teknik i världen kommer inte att skydda verksamheten från problemet med hjälpsamma användare och de risker som följer av att medarbetare har tillgång till för verksamheten kritisk information.

Metoderna är många

Variationsrikedomen är förkrossande när det gäller metoder inom social ingenjörskonst, framför allt som det i mångt och mycket handlar om psykologi och beteendevetenskap. Människor är ganska förutsägbara och det finns stöd inom forskningen för att vi tenderar att reagera på ett samma sätt i vissa situationer.

Ta till exempel en inkräktare som låtsas vara bekant med personer i organisationen och uppträder som att de hör hemma där. Det ger en känsla av tillit hos den medarbetare som ska förmås att lämna ifrån sig information eller släppa in någon i lokalerna. Klart vi hellre gör det för någon som verkar känna en kollega väl och vet vad vi pysslar med än till en fullständig främling som bara ställer konstiga frågor?

Vi människor undviker helst bråk och pinsamheter. En person som går och pratar högt och upprört i telefon eller bara muttrar ilsket för sig själv som efter ett gräl, samtidigt som denne ska förbi någon form av säkerhetskontroll har ganska stor möjlighet att lyckas. Tar personen dessutom följe med en större grupp människor är vi också mindre benägna att ifrågasätta, välj lunchtid, eller seminarier. Vi vill inte gärna vara pinsamma och fråga, tänk om det är någon som jobbar hos er och ni bara inte setts förut. Vi vill inte heller bli inblandade i något och frontar inte gärna arga människor (om vi inte råkar vara utbildade väktare och tränade för det). Vem vet vad de tar sig till?

Informationsinsamling är en viktig del av förberedelserna för att bli framgångsrik som angripare. Det kan ske genom allt från internetsökningar och sociala media, men ibland kan det vara något så trivialt som att gräva i andras sopor.

Om målet är värt risken och en angripare verkligen anser det vara mödan värt att anstränga sig kan hen gå så långt som att ta ett jobb eller uppdrag inom organisationen som ska infiltreras. Rekryteringsansvariga och ansvariga chefer och de som anlitar konsulter är oftast inga psykologer och ganska otränade i att se tecken på att de kanske anlitar någon med onda avsikter. Väl inne blir allt betydligt enklare för en angripare att åstadkomma det man vill.

En person som är vänlig, omtänksam, empatisk, ler och skrattar på de rätta ställena har förutsättningar att vara särskilt framgångsrik i sin infiltrering. En sådan person får människor att vilja hjälpa till och att må bra av det dessutom, snarare än ifrågasätta varför de ska lämna ifrån sig någon information över huvud taget.

Hur kan framgångar inom social ingenjörskonst försvåras?

Först och främst, lita inte blint på folk, särskilt inte sådana du möter på internet eller via telefon. Dubbelkolla gärna att de är den de säger att de är. Se till att medarbetare inte har tillgång till mer information än de behöver för att sköta sitt jobb och att deras riskmedvetande tränas regelbundet. Anlita någon att göra den här typen av penetrationstester som ett utbildningsmoment. Ni kommer att bli förvånade hur enkelt det kan vara.

Etiketter: , , , , Foto: marionettes av Priit Tammets (CC BY)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Sebastian Nielsen 4 oktober 2016, kl 00.05

    Mycket går faktiskt att göra tekniskt också, för att minska effekterna av SE-attacker. För att förhindra digitala SE-attacker kan man använda sig av autensiteringssystem och inställningar som binder användaren till fysisk plats.

    En simpel sådan inställning är att exempelvis brandvägga så IMAP och POP3 inte är åtkomlig utifrån, utan bara från kontoret. På samma sätt kan SMTP-servern konfigureras att bara tillåta inloggning med användarnamn/lösenord från de IP-adresser som är lokala. Kombinera det med ytterligare brandväggsinställningar som begränsar eller hindrar skadlig mjukvara från att kommunicera med nätet, så har du gjort mycket för att förhindra SE-attacker.
    Då spelar det ingen roll vilka mejllösenord angriparen har, de kommer inte ens i närheten av att komma åt något ändå.

    Ett annat sätt är att använda sig av olika former av interaktiv autensitering, som t.ex. smartkort, challenge/response, YubiKey, TPM-krets och liknande. Autensiteringsmetoden måste såklart vara gjort så den inte kan kopieras över huvud taget, även med fysisk tillgång, så en mjukvarutoken duger inte.

    Det är också ett sätt att binda autensiteringen till fysisk plats, så att stulna inloggningsuppgifter är värdelösa för en angripare.

    När det gäller fysiska angrepp så ser jag att här kan man också använda sig av olika typer av segmentering. Ta till exempel att chefen med massa känslig information behöver ju inte ha åtkomst till denna känsliga information från receptionistdatorn. Det hindrar inte att man använder sig av ”roaming profiles” och tillåter att chefen loggar in på receptionistdatorn, det är bara att man begränsar behörigheten så att tillgång till känslig information förhindras.

    Baserar man sedan inloggningarna på ett vanligt passerkort som måste ligga kvar på en avläsare för att datorn ska förbli inloggad, och sedan placerar passerläsare även på t.ex. toaletter, kaffeautomater, fikarum, skrivarrum, utpassering och liknande, så blir det en vana att alltid ta med sig kortet vart man än går, och därmed förblir ingen obevakad dator inloggad, samtidigt som man slipper inaktivitetstimers.

    Sluss är också ett bra alternativ om man har mycket känslig information.

    Ett annat alternativ om man behandlar små mängder känslig information, men denna information är jättekänslig, är att ha särskilda datorer/terminaler för denna information, som är konfigurerade med read-only, inga USB-portar, kanske touchscreen, säker inloggning etc, på så sätt nuddar de konventionella datorerna ingen känslig information, och skadan blir inte så stor om det skulle komma in något illvilligt på de datorerna.

    Är det bara skada man är ute efter att förhindra (produktionsbortfall) och inte läckage av information, så kan man ha enkla system för backup och återställning, samt i vissa fall även read-only system, så att ett system återställs genom omstart. Man kan också exempelvis ha ett enklare reservsystem åtkomligt via PXE i en bootmeny, så om man skulle få in virus på det konventionella kan man boota reservsystemet och forsätta vara produktiv.

    Mycket går att göra för att bygga bort möjligheterna till Social Engiinering-attacker, beroende på hotnivå, vad man vill skydda, och kostnadsnivå.

    Och till sist, att förhindra att illvilliga anställer sig kan både göras genom att exempelvis kräva utdrag från belastningsregistret, men också genom att inte ge nyanställda så stora behörigheter. Här är det också bra nyttor med elektroniska system, där man både kan begränsa i precis vilken ordning folk ska göras sitt jobb, t.ex. kan man ställa in så städpersonalens kort måste användas i en viss ordning i enlighet med ett städschema, annars spärras kortet, men också spåra och logga eventuellt missbruk.

    Målet med skyddsmetoderna är altså att göra det så svårt som möjligt att kringgå systemet, även om personalen vill. Tänk lite som banksystem, även om bankpersonalen har en pistol mot sitt huvud så hjälper det inte, det kommer inga pengar ut den färgpatronskyddade utmatningsenheten.

    Behövs det kunna kringgås, t.ex. vid myndighetsbeslut och sådant, så se till att enbart vissa enstaka i organisationen har den behörigheten, och dessa personer kan då vara väl insatta i SE-attacker och hur man kontrollerar att meddelanden, samtal och sådant är äkta.

    Svara