וִידֵאוֹ: Studio A Sports - 20.ª Edição (אוֹקְטוֹבֶּר 2024)
כמה זמן ייקח לתוקף לפרוץ לעסק? לעלות לרשת הארגונית כמשתמש מאומת? אם אתה חושב שזה ייקח כמה ימים או אפילו כמה שעות, אתה בדרך, דרך.
נסה 20 דקות.
לקח דיוויד ג'ייקובי, חוקר אבטחה בכיר בצוות המחקר והניתוח העולמי במעבדת קספרסקי, שלוש דקות להתגנב בבניין, ארבע דקות לקבלת גישה לרשת, חמש דקות לקבלת גישה מאומתת לרשת ועשר דקות להתקנה דלת אחורית לרשת הארגונית. הוא הצליח להוריד ולהתרחק עם "גיגה-בייט של נתונים" מהחברה, הוא אמר למשתתפים בפסגת האנליסטים לביטחון המעבדה של קספרסקי בשבוע שעבר.
ג'ייקובי הוזמן על ידי חברה שנכנסה לבחון את ההגנות שלה. כפי שהתברר, הוא לא היה צריך שום פריצות מפוארות או אפס ימים כדי לעבור. הכל היה הנדסה חברתית.
"הם הוציאו כל כך הרבה כסף, ואני עדיין נכנסתי, " אמר ג'ייקובי.
להיות נחמד לכתבי זנב
החברה חייבה את העובדים להשתמש בתג כדי להיכנס לבניין ולעזוב אותו. ג'ייקובי חיכה לעובדים אחרים שייכנסו פנימה, ופשוט מיהר אחריהם. רוב האנשים רוצים להיות אדיבים ויפתחו את הדלת פתוחה אם מישהו ייכנס בו זמנית - משהו שרוב הזאטוטים מנצלים. ג'ייקובי הלך צעד אחד קדימה, למקרה שהעובד חשב לבקש לראות את התג. הוא התלבש קצת כדי להראות קצת ניהולי והחזיק טלפון סלולרי עד לאוזנו כאילו הוא מנהל שיחה עם מישהו. בזמן שהוא עבר את הדלת, הוא אמר, "אני ממש בלובי. אני אעוד עוד רגע."
אף אחד לא יפריע שיחת טלפון, ואם תביא את הרושם שאתה מישהו חשוב לצאת לפגישה עם מישהו חשוב, רוב האנשים לא יפסיקו לחקור אותך, אמר ג'ייקובי.
תמיד יש רכזת
בטח שהעלייה לרשת הייתה חייבת להיות קצת יותר קשה, נכון? התברר שג'ייקובי לא טרח לנסות להיכנס לחיבור האלחוטי של החברה. במקום זאת הוא הלך היישר לחדר המדפסות, שם תמיד יש מרכז רשת למדפסת. הוא חיבר את המחשב הנייד שלו לרכזת וקל כמו זה, הוא היה ברשת.
כניסה לרשת כמשתמש תקף דרשה יותר מדברים מאשר פריצה. יעקובי מצא עובד שישב בסמוך לחדר המדפסות והסביר שהוא מתקשה עם הרשת. הוא שאל אם הוא יכול לשאול את מחשב העובד. כשהוא התיישב, העובד עדיין היה מחובר, מה שאומר שהוא יכול לעשות כל מה שהוא רוצה ברשת.
בשלב זה, הוא התקין דלת אחורית ברשת, והעניק לו שליטה מלאה. הוא כבר לא היה זקוק למחשב של העובד או לתעודות.
כל צעד צעדים
זה ממש קשה להתגונן מפני הנדסה חברתית כי זה טבע אנושי לרצות להיות נחמד ועוזר. אנו רוצים לתת לאנשים את היתרון של הספק ולא להניח שכולם יצליחו לגרום נזק, אבל זה בדיוק הרגש האנושי הזה שגורם לנו להיכשל בביטחון. למרות שחשוב להזכיר למשתמשים שוב ושוב שהם צריכים להתנתק לפני שהם נותנים למישהו אחר להשתמש במחשב ויש להם שלטים המבקשים מהעובדים לא לתת לאנשים להתגייס למשרד, אנשים כברירת מחדל הם נחמדים ומועילים.
חשוב גם לזכור שעסקים קטנים אינם חסינים. למעשה, הם עשויים להיות רגישים עוד יותר להתקפות אלה, אם העובד חושב שהאדם הוא קבלן IT או חשמלאי.
זו הסיבה שכל כך חשוב להשתמש בטכנולוגיה כדי לאבטח את הרשת. במקום לאפשר לכל מכשיר המחובר לרכזת להיכנס לרשת, מנהלי מערכת יכולים לאפשר הגבלות כתובת MAC, כך שרק מכשירים ידועים יקבלו כתובת IP תקפה. לאחר שקיבל גישה לרשת, ג'ייקובי מצא שהרשת מפולחת בצורה לא נכונה, כך שמערכות רגישות היו נגישות בקלות. הוא מצא תוכנה מיושנת ופגיעה. הוא מצא גם 300 חשבונות משתמש עם סיסמאות שהוגדרו שלא יפוגו לעולם. כל הדברים האלה הפכו את העבודה שלו, כתוקף, להרבה יותר קלה.
תחשוב כמו תוקף. תופתעו עד כמה הארגון שלכם פגיע.
