Veiligheidsbewustzijn als wapen tegen social engineering

Net zoals een professionele inbreker zijn uitverkoren object vooraf zal inspecteren op zwakke plekken, zo gaat een hacker ook te werk. Hij begint met het verkennen van de machine waarop hij wil inbreken. Bij dit verkennen kunnen de hackers gebruik maken van allerlei computerprogramma's, zoals de poortscanner en/of hij kan gebruik maken van "social engineering".

 

Bij social engineering is niet het computersysteem het doel, maar de gebruiker van het computersysteem, waarop men wil inbreken. Het gaat erom vertrouwelijke of geheime informatie te achterhalen, waarmee de hacker een idee kan krijgen van de beveiliging van het systeem. Waar het hem vooral om te doen is, is de gebruikersnaam, het wachtwoord, en/of serieuze aanwijzingen voor het wachtwoord.

 

De hacker tracht de gebruiker van het systeem op verschillende manieren om de tuin te leiden. Het uitgangspunt hierbij is dat mensen altijd te goeder trouw handelen. Maar pas op, er worden niet alleen "slachtoffers" gemaakt onder goedgelovige of gemakkelijk te intimideren mensen, maar ook onder alerte gebruikers. Hackers maken gebruik van een aantal gevoeligheden die bij de sociale omgang tussen mensen een rol speelt. In zijn werk "The Science of Persuation" stelt specialist R.B. Cialdini zes gevoeligheden centraal:

 

 

Het eerste voorbeeld richt zich op de gevoeligheid voor gezag. Een nieuwe systeembeheerder van een gemeente wordt gebeld door een gemeentesecretaris van een andere gemeente. Hij zegt dat hij namens de secretaris van de eigen gemeente belt om toegang te krijgen tot een bepaalde server. De systeembeheerder maakt een tijdelijk account aan. Dat gaat zo:

 

Hacker: "Hallo, met Pieter van de IT-afdeling. Heb jij toevallig een uur geleden je bedrijfsaccount gebruikt?"

Medewerker: "Ja, inderdaad ik heb een aantal orders moeten plaatsen bij een leverancier."

Hacker: "Nou, dat is niet zo mooi, want je account is gekraakt en het is noodzakelijk dat we de hackers zo spoedig mogelijk opsporen anders kunnen we tegen een forse schade aanlopen."

Medewerker (schrikt): "Aj, wat erg, hoe kan ik helpen?"

Hacker: "Welnu, ik maak nu meteen een nieuw account voor je aan, maar geef me eerst je wachtwoord zodat we met je oude account de hacker kunnen traceren."

Medewerker: "Oh natuurlijk, mijn wachtwoord is......"

 

In het tweede voorbeeld gaat het om aantrekkelijkheid. De hacker belt een medewerker op van een bedrijf. De hacker weet dat de man een bepaalde hobby heeft, omdat dit op de website van het bedrijf stond. De hacker verdiept zich in de hobby van de man en wanneer hij hem spreekt, begint hij over de hobby van de man. Dit schept meteen een band en de medewerker zal de hacker vriendelijker en opener tegemoet treden.

 

De wederdienst wordt als volgt ingeleid: De hacker belt een beheerder met de melding dat er een virus op zijn pc staat. Hij gebruikt hiervoor een onschuldig .dll bestand dat in elk Windows XP-systeem voorkomt. Hij zegt dat dit een virus is en dat het bestand verwijderd moet worden. Heeft de hacker echt goed zijn huiswerk gedaan, dan laat hij de beheerder eerst een scan uitvoeren, wetende dat de scan zal reageren kan hij snel het vertrouwen winnen van de beheerder. Deze zal de hacker vertrouwen. Het vervolg laat zich raden.

 

Een voorbeeld van consequent zijn is het hameren op procedures. De hacker belt een nieuwe medewerker en loopt de systeemprocedure met hem door omdat dit tot de veiligheidsprocedure hoort van het bedrijf. De hacker hamert erop dat de gebruiker zich strikt aan deze procedure moet houden. Het achterhalen van het wachtwoord is vervolgens met de juiste vragen een koud kunstje.

 

Inspelend op sociaal normale zaken belt de hacker de medewerker met de vraag deel te nemen aan een enquête die in opdracht van het bedrijf wordt uitgevoerd. Door enkele namen van collega's te noemen en door de juiste vragen te stellen kan de hacker veel inzicht krijgen in de organisatie.

 

En als laatste voorbeeld, de schaarste. De hacker stelt een aantal medewerkers een unieke beloning in het vooruitzicht, wanneer ze zich inschrijven voor een bepaalde site. Dikwijls schrijven ze zich in met hun standaard inlognaam en wachtwoord.

 

Als zevende gevoeligheid is ook nieuwsgierigheid van mensen een belangrijk wapen van de hacker. De aanvaller speelt daarop in, als hij via zijn vertrouwenwekkende rol informatie wil verkrijgen die op een andere manier niet of alleen met aanzienlijk meer inspanning of hogere kosten te krijgen is.

 

De hacker hanteert drie soorten technieken om contact te maken:

 

 

De laatste techniek wordt vooral ingezet bij phishingaanvallen. Gebruikers worden uitgenodigd om op een authentiek ogende site vertrouwelijke gegevens in te voeren. Op dezelfde manier worden ook Trojaanse paarden het systeem binnen gesluisd.

 

Het toppunt van social engineering is het fysiek rondsnuffelen op het bedrijf in kwestie. De hacker tracht op die manier vertrouwelijke informatie te verkrijgen door te zoeken naar aanwijzingen hoe het netwerk is opgebouwd en mogelijk zelfs wachtwoorden die onzorgvuldig zijn achtergelaten (bijvoorbeeld briefjes op monitoren.) Uiteraard moet de hacker dan wel op de een of andere manier toegang tot het bedrijf hebben, maar dat zou hij kunnen regelen door bijvoorbeeld een bezoek te brengen aan een van de medewerkers, die hij van tevoren al bewerkt heeft met social engineering.

 

 

De belangrijkste maatregel die u tegen social engineering kunt treffen is het creëren van een beveiligingsbewustzijn, binnen ICT-kringen ook wel bekend als veiligheidsbewustzijn. Twee uitgangspunten staan hier centraal. Enerzijds het informeren van gebruikers over informatiebeveiliging, anderzijds het helpen van de gebruikers om oneigenlijk gebruik van hun systemen te herkennen.

 

De volgende maatregelen kunt u treffen om veiligheidsbewustzijn te bereiken:

 

 

De nieuwe Intelligent Application Gateway (IAG) 2007 is onderdeel van het Forefront beveiligingsprogramma van Microsoft. Het betreft hier een hardwarematige firewall, een apparaat dus, met totaal toegangsbeheer, een ingebouwd Secure Socket Layer (SSL) virtual private network (VPN), autorisatie en contentinspectie, waarmee tal van zakelijke applicaties gecontroleerd kunnen worden. Intelligent Application Gateway 2007 biedt veilige externe verbindingen. Vooral in omgevingen waarin een maximale mate van bescherming noodzakelijk is, bijvoorbeeld waar sterke juridische en bedrijfsvereisten gelden voor gevoelige gegevens, zorgt de SSL-beveiliging ervoor dat ongewenst verkeer aan de grenzen van het netwerk wordt geblokkeerd. Daarmee wordt de infrastructuur met bedrijfsgegevens en toepassingen optimaal beschermd. Qua beheer is aan thuiswerkers en mobiele gebruikers gemakkelijk en flexibel toegang tot het netwerk te verlenen, ongeacht waarmee ze dat willen doen: een mobieltje, PDA, laptop, pc in een internetcafé etc. Is het beheer van dit soort voorzieningen in de regel niet eenvoudig, de IAG 2007 werkt met een set eenvoudige beheerfuncties, die zelfs op afstand kunnen worden uitgevoerd. Optimizers zorgen voor ‘endpoint security', publicatie van applicaties en aanvraagfiltering.

In hoofdlijnen dient binnen uw bedrijf gezorgd te worden voor:

 

 

Om uw bedrijf optimaal te beschermen tegen externe bedreigingen is het noodzakelijk om alle procedures voor de toegang tot en het werken met uw ICT-systemen goed te analyseren. De volgende checklist van aandachtspunten kan u hierbij helpen: