A diákok behatolnak a fogadó számítógépbe egy mentor figyelő szeme alatt a zászló rögzítése során. Richard Matthews, A szerző megadta. 

Mi a közös az atomtengeralattjárókban, a szigorúan titkos katonai bázisokban és a magánvállalkozásokban?

Mindannyian kiszolgáltatottak a cheddar egyszerű szeletének.

Ez egyértelmű eredménye egy „toll tesztelés” gyakorlatnak, más néven penetrációs tesztnek a éves kiberbiztonsági nyári iskola észtországi Tallinnban júliusban.

Részt vettem egy ausztráliai kontingenssel együtt, hogy a harmadik évben bemutassam a kutatásokat Interdiszciplináris kiberkutató műhely. Lehetőséget kaptunk olyan cégek felkeresésére is, mint pl Skype és a Funderbeam, Valamint a NATO Kiberbiztonsági Együttműködési Kiválósági Központ.

Az idei iskola témája a társadalmi mérnöki tudomány volt - az a művészet, amely manipulálja az embereket, hogy online észrevétlenül elárulják a kritikus információkat. Arra összpontosítottunk, hogy miért működik a szociális mérnöki munka, hogyan lehet megakadályozni az ilyen támadásokat és hogyan lehet digitális bizonyítékokat gyűjteni egy eset után.

Látogatásunk fénypontja az volt, hogy részt vettünk egy élő tűzfogó zászló (CTF) kiberpálya-gyakorlaton, ahol a csapatok társadalmi mérnöki támadásokat hajtottak végre egy valódi társaság tesztelésére.

Toll tesztelés és valós adathalászat

A tollteszt egy engedélyezett szimulált támadás egy fizikai vagy digitális rendszer biztonsága ellen. Célja olyan sebezhetőségek felkutatása, amelyeket a bűnözők kihasználhatnak.

Az ilyen tesztek a digitális, ahol a fájlokhoz és a személyes adatokhoz való hozzáférés a cél, a fizikaiig terjednek, ahol a kutatók valóban megpróbálnak bejutni egy vállalat épületébe vagy terébe.

Az Adelaide-i Egyetem hallgatói privát turnén vettek részt a tallinni Skype irodában a kiberbiztonságról tartott előadáson. Richard Matthews, Szerző biztosított

A nyári iskola során a világ minden tájáról érkező professzionális hackerektől és toll tesztelőktől hallottunk. Történeteket meséltek arról, hogy miként lehet a biztonságos területekre fizikai belépést elérni, csak egy személyi igazolvány formájú sajtdarabot és bizalmat.

Ezután ezeket a leckéket több zászló révén gyakorlati felhasználásra is alkalmaztuk - a csapatoknak el kellett érniük azokat a célokat. Az volt a kihívásunk, hogy értékeljük a szerződött vállalatot, hogy lássuk, mennyire hajlamos a társadalmi mérnöki támadásokra.

A fizikai tesztek kifejezetten nem voltak érvényesek a gyakorlataink során. Etikai határokat is meghatároztak a céggel, hogy megbizonyosodjunk arról, hogy kiberbiztonsági szakemberek vagyunk, és nem bűnözők.

OSINT: Nyílt forráskódú intelligencia

Az első zászló a vállalat kutatása volt.

Ahelyett, hogy kutattunk volna, mint egy állásinterjún, a nyilvánosan elérhető információk potenciális sebezhetőségét kerestük. Ez az úgynevezett nyílt forráskódú intelligencia (OSINT). Mint például:

• kik az igazgatóság?
• kik az asszisztenseik?
• milyen események történnek a cégnél?
• valószínűleg jelenleg nyaralnak?
• milyen munkavállalói elérhetőségeket gyűjthetünk?

Mindezekre a kérdésekre rendkívül egyértelműen tudtunk válaszolni. Csapatunk még közvetlen telefonszámokat és a vállalatba vezető utakat is talált a médiában közölt eseményekből.

Az adathalász e-mail

Ezt az információt azután két adathalász e-mail létrehozására használták fel, amelyek az OSINT-vizsgálataink során azonosított célpontokhoz irányultak. Az adathalászat az, amikor rosszindulatú online kommunikációt használnak személyes adatok megszerzésére.

Ennek a zászlónak az volt a célja, hogy linket kapjon a kattintott e-mailjeinkben. Jogi és etikai okokból az e-mail tartalma és megjelenése nem hozható nyilvánosságra.

Csakúgy, mint az ügyfelek Általános Szerződési Feltételek olvasás nélkül, kihasználtuk azt a tényt, hogy a célpontok rákattintanak egy érdekes linkre anélkül, hogy ellenőriznénk, hol mutat a link.

A rendszer kezdeti fertőzését el lehet érni egy egyszerű e-mailben, amely tartalmaz linket. Freddy Dezeure / C3S, Szerző biztosított

Valódi adathalász támadás esetén, ha rákattint a linkre, a számítógép rendszere veszélybe kerül. Esetünkben célkitűzéseinket jóindulatú gyártási helyeinkre küldtük.

A nyári iskola csapatai többsége sikeres adathalász e-mail támadást ért el. Néhányuknak sikerült elküldeni az e-mailt az egész vállalat számára.

Amikor az alkalmazottak e-maileket küldenek egy vállalaton belül, az e-mail megbízhatósági tényezője megnő, és az e-mailben található linkekre nagyobb valószínűséggel kattintanak. Freddy Dezeure / C3S, Szerző biztosított

Eredményeink megerősítik a kutatók azon megállapításait, hogy az emberek képtelenek megkülönböztetni a veszélyeztetett e-mailt a megbízhatótól. Egy 117 emberrel végzett tanulmány szerint ez kb Az e-mailek 42% -át tévesen osztályozták akár valós, akár hamis a vevő által.

Adathalászat a jövőben

Az adathalászat valószínűleg csak kifinomultabb.

Mivel az internethez kapcsolódó eszközök egyre több számánál hiányoznak az alapvető biztonsági előírások, a kutatók azt javasolják, hogy az adathalász támadók felkutassák ezen eszközök eltérítésének módszereit. De hogyan reagálnak a vállalatok?

Tallinnban szerzett tapasztalataim alapján azt látjuk, hogy a vállalatok átláthatóbbá válnak a kibertámadások kezelésében. Egy masszív után kibertámadás 2007-benpéldául az észt kormány helyesen reagált.

Ahelyett, hogy pörgetést nyújtott volna a nyilvánosságnak, és leplezte volna a kormányzati szolgáltatásokat, amelyek lassan offline állapotba kerültek, egyenesen beismerték, hogy egy ismeretlen külföldi ügynök támadja őket.

Hasonlóképpen, a vállalkozásoknak be kell vallaniuk, amikor támadás érte őket. Csak így lehet helyreállítani a bizalmat saját maguk és ügyfeleik között, és megakadályozni az adathalász támadás további terjedését.

Addig érdekelhetlek ingyenes adathalászat-ellenes szoftver?

A szerzőről

Richard Matthews, PhD-jelölt University of Adelaide

Ezt a cikket újra kiadják A beszélgetés Creative Commons licenc alatt. Olvassa el a eredeti cikk.