Знаймо

Додати знання

приховати рекламу

Цей текст може містити помилки.

Соціальна інженерія


Question book-4.svg

План:


Введення

Question book-4.svg
У цій статті не вистачає інформації.
Інформація повинна бути проверяєма, інакше вона може бути поставлена ​​під сумнів і вилучена.
Ви можете відредагувати цю статтю, додавши посилання на авторитетні джерела.
Ця позначка стоїть на статті з 30 січня 2012.

Соціальна інженерія - це метод управління діями людини без використання технічних засобів. Метод заснований на використанні слабкостей людського фактора і вважається дуже руйнівним. Найчастіше соціальну інженерію розглядають як незаконний метод отримання інформації, проте це не зовсім так. Соціальну інженерію можна також використовувати і в законних цілях - не тільки для отримання інформації, але і для вчинення дій конкретною людиною. Сьогодні соціальну інженерію часто використовують в інтернеті для отримання закритої інформації, або інформації, яка представляє велику цінність.


1. Історія

Соціальна інженерія - відносно молода наука [Джерело не вказано 192 дні] , Яка є складовою частиною соціології [Джерело не вказано 192 дні] і претендує на сукупність тих специфічних знань, які направляють, упорядковують і оптимізують процес створення, модернізації та відтворення нових ("штучних") соціальних реальностей. Певним чином вона "добудовує" соціологічну науку, завершує її на фазі перетворення наукових знань в моделі, проекти та конструкції соціальних інститутів, цінностей, норм, алгоритмів діяльності, відносин, поведінки і т. п. Заняття зорієнтовані на озброєння слухачів насамперед методологією аналітико- синтетичного мислення і знаннями формалізованих процедур (технологій) конструкторсько-винахідницькій діяльності. У характеристиці формалізованих операцій, з яких складається це останнє, особлива увага звертається на операції складної комбінаторики. Ігнорування принципу системності в операціях комбінаторики завдали і продовжують завдавати великої шкоди на всіх рівнях трансформаційних процесів, які відбуваються в нашому суспільстві. Послідовні знання принципових вимог до зазначених операцій дають підстави до запобігання помилкових збочень в реформаційної практиці на її макро-, мезо-і мікрорівнях.

Колишній комп'ютерний злочинець, нині консультант з безпеки, Кевін Митник популяризував термін "соціальна інженерія", вказавши, що для зловмисника набагато простіше хитрістю вивудити інформацію з системи, ніж намагатися зламати її.


2. Техніки і терміни соціальної інженерії

Всі техніки соціальної інженерії засновані на особливостях прийняття рішень людьми, званих когнітивним базисом. Вони також можуть бути названі особливістю ухвалення рішення людської і соціальної психологій, заснованої на тому, що людина повинна комусь довіряти в соціальному середовищі виховання.

2.1. Претекстінг

Претекстінг - це дія, відпрацьований за заздалегідь складеним сценарієм (претекст). В результаті мета повинна видати певну інформацію або вчинити певну дію. Цей вид атак застосовується зазвичай по телефону. Найчастіше ця техніка включає в себе більше, ніж просто брехня, і вимагає яких попередніх досліджень (наприклад, персоналізації: дата народження, сума останнього рахунку та ін), з тим, щоб забезпечити довіру мети. До цього ж виду належать атаки і по онлайн-мессенджерам, наприклад, по ICQ.


2.2. Фішинг

Фішинг - техніка, спрямована на неправомірне отримання конфіденційної інформації. Зазвичай зловмисник посилає мети e-mail, підроблений під офіційний лист (фейк) - від банку або платіжної системи - вимагає "перевірки" певної інформації або вчинення певних дій. Цей лист зазвичай містить посилання на фальшиву веб-сторінку, яка імітує офіційну, з корпоративним логотипом і наповненням, і містить форму, що вимагає ввести конфіденційну інформацію - від домашньої адреси до пін-коду банківської картки.


2.3. Троянська програма

Ця техніка експлуатує інтерес, цікавість чи жадібність мети. Зловмисник відправляє e-mail, містить у вкладенні "кльовий" або "сексуальний" скрін-Сейвері, важливий апгрейд антивіруса або навіть свіжий компромат на співробітника. Така техніка залишається ефективною, поки користувачі будуть сліпо клікати по будь вкладенням.

2.4. Дорожнє яблуко

Цей метод атаки являє собою адаптацію троянського коня і полягає у використанні фізичних носіїв. Зловмисник може підкинути інфікований CD або флеш в місці, де носій може бути легко знайдений (туалет, ліфт, парковка). Носій підробляється під офіційний і супроводжується підписом, покликаної викликати цікавість.

2.5. Кви про кво

Зловмисник може подзвонити за випадковим номером в компанію і представитися співробітником техпідтримки, опитувати, чи є які-небудь технічні проблеми. У разі, якщо вони є, в процесі їх "рішення" мета вводить команди, які дозволяють хакеру запустити шкідливе програмне забезпечення.

2.6. Інше

Зловмисник одержує інформацію, наприклад, шляхом збору інформації про службовців об'єкта атаки, за допомогою звичайного телефонного дзвінка або шляхом проникнення в організацію під виглядом її службовця.

Зловмисник може подзвонити працівникові компанії (під виглядом технічної служби) і вивідати пароль, пославшись на необхідність вирішення невеликої проблеми в комп'ютерній системі.

Імена службовців вдається дізнатися після низки дзвінків і вивчення імен керівників на сайті компанії та інших джерел відкритої інформації (звітів, реклами і т. п.).

Використовуючи реальні імена в розмові зі службою технічної підтримки, зловмисник розповідає вигадану історію, що не може потрапити на важливу нараду на сайті зі своїм обліковим записом віддаленого доступу.

Іншим підмогою в даному методі є дослідження сміття організацій, віртуальних сміттєвих кошиків, крадіжка портативного комп'ютера або носіїв інформації.


3. Зворотній соціальна інженерія

Метою зворотного соціальної інженерії (reverse social engineering) є змусити мета самої розповісти про свої паролі, інформацію про компанію.

Приклад:

  • Фільм " Хакери ", коли головний герой запитує у співробітника телевізійної компанії МАК-адресу устаткування (нібито щоб допомогти даній компанії) - і співробітник сам називає його, тим самим відкриваючи двері хакеру.
  • При використанні ел.пошти багато роблять секретним питанням "дівоче прізвище матері" - тоді хакер дзвонить жертві і представляється співробітником соціальної (опитуваної, державної, муніципальної та ін) служби, проводить опитування про батьків - і одним з питань є питання про дівочого прізвища матері - жертва її називає і навіть не припускає що тільки це і потрібно було зловмисникові, т. к. людський мозок не зміг пов'язати безпеку своєї поштової системи і опитування про батьків.

4. Захист користувачів від соціальної інженерії

Для захисту користувачів від соціальної інженерії можна застосовувати як технічні, так і антропогенні засоби.

4.1. Антропогенна захист

Найпростішими методами антропогенної захисту можна назвати:

  • Залучення уваги людей до питань безпеки.
  • Усвідомлення користувачами всій серйозності проблеми і прийняття політики безпеки системи.
  • Вивчення та впровадження необхідних методів і дій для підвищення захисту інформаційного забезпечення.

Дані кошти мають один загальний недолік: вони пасивні.

4.2. Технічний захист

До технічного захисту можна віднести кошти, заважають роздобути інформацію і засоби, що заважають скористатися отриманою інформацією.

Найбільшу поширеність серед атак в інформаційному просторі соціальних мереж з використанням слабкостей людського фактора отримали атаки за допомогою електронних листів, як то: e-mail і внутрішня пошта мережі. Саме до таких атак можна з найбільшою ефективністю застосовувати обидва методи технічного захисту. Перешкодити зловмиснику отримати запитувану інформацію можна, аналізуючи як текст вхідних листів (імовірно, зловмисника), так і вихідних (імовірно, цілі атаки) за ключовими словами. До недоліків даного методу можна віднести дуже велике навантаження на сервер і неможливість передбачити всі варіанти написання слів. До прикладу, якщо зломщикові стає відомо, що програма реагує на слово "пароль" і слово "вказати", зловмисник може замінити їх на "пассворд" і, відповідно, "ввести". Так само варто брати до уваги можливість написання слів із заміною кириличних літер латиницею для співпадаючих символів і використання так званого мови t + [ невідомий термін ].

Засоби, що заважають скористатися отриманою інформацією, можна розділити на ті, які повністю блокують використання даних, де б то не було, крім робочого місця користувача (прив'язка аутентифікаційних даних до серійним номерам та електронним підписам комплектуючих комп'ютера, ip і фізичній адресами), так і ті , які унеможливлюють (або який важко буде) автоматичне використання отриманих ресурсів (наприклад, авторизація по системі Captcha, коли в якості пароля потрібно вибрати названу раніше зображення або частину зображення, але в сильно спотвореному вигляді). Як у першому, так і в другому випадку відомий баланс між цінністю необхідної інформації та роботою, необхідної для її отримання, зміщується, взагалі кажучи, в бік роботи, так як частково або повністю блокується можливість автоматизації. Таким чином, навіть маючи всі дані, видані нічого не підозрюють користувачем, наприклад, з метою масово розіслати рекламне повідомлення (спам), зловмиснику доведеться на етапі кожній ітерації самостійно вводити отримані реквізити.


Примітки


Цей текст може містити помилки.

Схожі роботи | скачати

Схожі роботи:
Генетична інженерія
Будівельна інженерія
Промислова інженерія
Інженерія знань
Інженерія програмного забезпечення
Фрейм (інженерія знань)
Комп'ютерна інженерія
Соціальна політика
Соціальна стигматизація
© Усі права захищені
написати до нас