Автор работы: Пользователь скрыл имя, 25 Сентября 2011 в 17:13, контрольная работа
Даже самая совершенная система защиты бесполезна, если ей управляет психологически неустойчивый, наивный или доверчивый человек. Помните анекдот о диссертации на тему "зависимость скорости перебора паролей от температуры паяльника (утюга)"? Многие почему-то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты.
Содержание
Введение…………………………………………………………………………...3
1. Определение понятия социальная инженерия………………………………5
2. Виды социальной инженерии…………………………………………………8
3. Техники и термины социальной инженерии………………………………12
3.1 Претекстинг………………………………………………………………..12
3.2 Фишинг…………………………………………………………………….13
3.3 Троянский конь……………………………………………………………13
3.4 Дорожное яблоко………………………………………………………….13
3.5 Кви про кво……………………………………………………………......14
4. Обратная социальная инженерия…………………………………………….14
5. Защита пользователей от социальной инженерии ………………………....16
5.1 Антропогенная защита…………………………………………………....17
5.2 Техническая защита………………………………………………………17
Заключение……………………………………………………………………….19
Список использованной литературы…………………………………………...20
Социальная инженерия применяется не только для обмана, но и в качестве способа ведения статистики. Пример, на сайте продаются дорогие автомобили. Под товаром какой-нибудь многоканальный телефон и подпись, «Спрашивайте Вашего персонального менеджера Ивана». Под другим товаром - «Спрашивайте Вашего персонального менеджера Александра» и т.п.
Рекомендуется указывать имена людей вообще не работающих в этой организации, чтобы точно вести статистику звонков посетителей с конкретных страничек или сайтов.
Реально таких людей даже не существует, а все звонки могут обрабатывать один – два человека. Но такие подписи придают солидность организации, повышают уровень доверия и используются в маркетинговых целях.
Социальная
инженерия очень часто
В интернет основными факторами, позволяющими повысить доверия к сайту являются следующие:
Помимо выше
приведённых примеров существует ещё
масса других методик и способов.
Предположим , у нашей фирмы №1 есть следующее:
Каким же образом фирма будет получать прибыль от этого?
Осталось понять только одно, как фирма, находящаяся в собственной квартире доставляет товары и отправляет заказчиков на склады?
Все очень просто, рассказывать детали не буду. Дам только намек, что есть договоренность с производителями, которые и выполняют всю работу, а задача владельцев сайта, только сообщить, что клиент пришел от них.
Не стоит бояться заказывать через интернет, после прочтения данного текста, Вы просто делаете заказ через посредников, у которых есть определенные скидки, поэтому они могут предлагать товары дешевле, чем производитель, который специально фиксирует цены.
Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы особенностью принятия решения человеческой и социальной психологий, основанной на том, что человек должен кому-либо доверять в социальной среде воспитания.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн-мессенджерам, например, по ICQ.
Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.
Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скрин-сейвер, важный апгрейд антивируса или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.
Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD или флэш в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто «добрый самаритянин» отнесёт диск в компанию.
Злоумышленник может позвонить по случайному номеру в компанию и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.
Этот недостаток пытается устранить обратная
социальная инженерия или как часто пишется
ОСИ.
Обратная социальная инженерия строится
на трех факторах.
В данном случае
вначале нужно создать
Сейчас не проходят трюки, описанные ранее,
замените название файла и т.п. Все решается
простой переустановкой программ, да и
запустить программу в большинстве случаев
не удастся, уже не те времена.
Остается один вариант. Исследовать людей, их интересы, пристрастия и пытаться воздействовать за счет них, причем программы и любые способы электронного воздействия должны быть полностью работоспособны и до определенного времени не вызывать никаких опасений.
Возьмем один из
старых вариантов, описанных в большинстве
книг. Пошлем по почте адресату новый
диск его любимого исполнителя с записанным
вирусом. Думаете, сработает? Очень сомневаюсь.
Большинство проигрывателей запустит
диск без запуска вируса, да и антивирус
заблокирует такой вирус очень быстро.
Лучше всего не использовать такие методы,
они просто не эффективны. Гораздо эффективнее
разработать программу, которая будет
полезна этому предприятию, разработана
специально для него, но через определенное
время ее нужно обслуживать, обновлять
и так далее.
Вот вам и доступ и зависимость. О чем еще мечтать. Наверное, о том, чтобы научиться делать такие программы.
Таким образом, обратная социальная инженерия позволяет управлять людьми, но для этого нужно много сил и знаний. Социальная инженерия воздействует в большинстве своем на более широкую аудиторию и более выгодна, хотя Вы и находитесь в зависимом состоянии.
Целью обратной социальной инженерии (reverse social engineering) является заставить цель самой рассказать о своих паролях, информацию о компании.
Пример:
1. Фильм "Хакеры" когда главный герой спрашивает у сотрудника телевизионной компании мак-адрес оборудования (якобы чтобы помочь данной компании) - и сотрудник сам называет его, тем самым открывая дверь хакеру.
2. При использовании почты многие делают секретным вопросом "девичья фамилия матери" - тогда хакер звонит жертве и представляется сотрудником социальной(опрашиваемой, государственной, муниципальной и др.) службы, проводит опрос о родителях - и одним из вопросов является вопрос о девичьей фамилии матери - жертва её называет и даже не предполагает что только это и нужно было злоумышленнику, т.к. человеческий мозг не сможет связать безопасность к своей почтовой системе, и опрос о родителях.
Нужно не только знать, как нападать, нужно знать и как защищаться
Во всех крупных компаниях регулярно проводятся тесты на проникновение с использованием социальной инженерии.
Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.
С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.
Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.
Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.
Простейшими методами антропогенной защиты можно назвать:
Данные средства имеют один общий недостаток: они пассивны. Огромный процент пользователей[1] не обращает внимания на предупреждения, даже написанные самым заметным шрифтом.
К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.
Наибольшую распространенность
среди атак в информационном пространстве
социальных сетей с использованием
слабостей человеческого