Social Enginering
Social Enginering
Deze text is een inleiding in de kunst van het misleiden,
Dit is zowat de basis van SE, waar alles op rust =)
Eerst en vooral, wat is Social Enginering?
SE is de kunst van het misleiden, geheime info verkrijgen door mensen te misleiden.
Je kan SE ook wel voorstellen als de exploit voor het grootste securityhole dat er bestaat... wij, mensen =)
De zwakste schakel in heel het concept van beveiliging is de mens, een systeem kan de beste beveiliging hebben dat er bestaat, het is nog steeds kwetsbaar... idd... door de beheerder, de mens =)
Niet alleen op computervlak is dit zo, een winkel bevoorbeeld... het mag het beste alarmsysteem hebben, beste sloten, beste videocamera's die er bestaan... maar de eigenaar/verkoper is nog steeds kwetsbaar bijgevolg is de winkel zelf kwetsbaar :)
Omdat beveiliging geen technologisch probleem is, maar een menselijk probleem,
moeten we naar de mensen gaan, ipv onze systemen steeds veiliger te maken, betere beveiligingsmethoden te zoeken, etc...
(think of this: Complexiteit is de vijand van veiligheid)
Privacy policies bij bedrijven zijn al een goed begin, maar denk je dat alles wat daarin staat ook word gedaan door de werknemers? Er zal allicht wel eens iemand afwijken ervan, en zeker voor vriendelijke mensen aan de andere lijn die om een klein gunstje vragen ;) SE'er dus.
Hoe kunne we ons er dan tegen beschermen? Zoals je al weet.. "security is an illusion", we kunnen ons er nooit volledig tegen wapenen, maar we moeten goed geinformeerd worden over SE. Dan staan we al een stuk verder =)
SE is een krachtig, maar soms moeilijk wapen. Een overval van een bank zonder enig gebruik van geweld, volledige controle over bedrijven, topgeheime informatie van overheidsinstanties, het is allemaal mogenlijk met SE =)
Niet om jullie aan te zetten tot bankovervallen of dergelijke, maar op dit moment, als je dit leest zijn honderden bedrijven slachtoffer van SE.
Hoe zit een aanval van een SE'er er ongeveer uit?
Wel kzal ff een klein overzichtje make.
I. VERKENNING
1. Over welke info wil ik beschikken?
2. Waar kan ik die info verkrijgen?
3. Hoe gaan de mensen tewerk, hoe gaan ze met elkaar om, wat zijn de procedures, wat zijn de namen van gebouwen etc van die plek.
4. Welke info moet ik specifiek hebben voor mijn attack, gaande over puntje 3.
II. UITVOERING
1. Een plan opstellen, een scene maken voor zijn attack, incl technieken.
2. The attack =) De theorie wordt in de praktijk omgezet =)
(3. Moment of glory :D )
De verkenning moet zeer gedetaileerd gebeuren, de SE'er moet onverwachte vragen vermijden en moet zich dus zo veel mogelijk inlichten.
De uitvoering...
'het plan' opstellen, de SE'er kiest hoe hij tewerk zal gaan,
zoals bij verkenning moet hier ook aandacht zijn voor onverwachte situaties.
de uitvoering zelf een kwestie van skills
SE skills opdoen is dan weer een kwestie van oefening :)
En dan The moment of glory =) Als de aanval een succes was natuurlijk =)
Nu de verkenning bestaat grotendeels uit SE skills, om procedures en andere belangrijke info te krijgen van een organisatie, zal je ook SE moeten gebruiken. Dit is een voorbereiding op de eigenlijke attack, de essentie, de exacte informatie die moet verkregen worden.
Vertrouwen
"Security is not a product, it's a process", juist hetzelfde bij vertrouwen.
Nu vertrouwen, kzal da ff opdelen, hoe zalk het noemen...
Je hebt process-vertrouwen en een instant-vertouwen
Wa ik bedoel met process-vertrouwen...
Dit onstaat door veel met de persoon om te gaan, die persoon niet verder benaderen,
maar er met omgaan als 'een zakenpartner waar je goed mee overweg kunt' =)
Instant-vertouwen..
Ik kan nu de KBC in schil opbelle en zegge da ik van de grote KBC building in brussel ben,
door de nodige 'inside information' (die te verkrijgen valt bij de verkenning)
zal die persoon zich open stellen voor mij en mij helpen met wat ik nodig heb. =)
Dan 'vertrouwt' hij mij, moete is over nadenke das een heel ander soort vertrouwen,
persoonlijk is er geen vertrouwen, maar als zakelijk wel.
Ge zou da wa kunne vergelijken met 2 pc's, pc 1 laat alleen connecties toe van
pc 2 en omgekeerd. Als pc2 een connectie wilt met pc1 zal pc1 die aanvaarden, want
het is zijn 'partner', maar wie zegt dat pc2 wel echt pc2 is =)
Hetzelfde bij 'human nature', als er nen dweep aan de lijn is die zegt da em de kerstman is,
wilt da ni zegge da ge op dat moment me de kerstman zijt aant telefoneren =)
Vertrouwen is een in de meeste gevallen een cruciaal element. Dus denk eerst na voor je iemand vertrouwt =)
Omgaan met informatie (en het risico ervan)
Ik zal beginnen met een voorbeeld, dat jullie allemaal kunnen staven vanuit jullie eigen ervaringen. Toen de CD's hun intreden deden, was iedereen zeer voorzichtig met die CD's, altijd voorzichtig in de CD speler steken en in het doosje, zien dat er geen krassen opkomen etc, maar naar mate men CD's gebruikte begon de voorzichtigheid met deze CD's te verdwijnen =)
Hetzelfde gebeurt met informatie, wat grote gevolgen kan hebben voor een bedrijf.
In de bankwereld krijgen de werknemers elke dag een code, die code word zo veel gebruikt dat de voorzichtigheid van heel die zaak vervaagt.
"Seg wa was de code van vandaag nuweer?" - "Euh, ff zien... 76"
UC? Bedrijven/banken welke organizatie dan ooit moeten strikte regels hebben deze codes niet zomaar te zeggen, en als dat het geval zou zijn eerst een grondige identificatie te doen van die persoon.
Inform to get informed =)
[MAAK JE EIGEN SE TRICK PAGINA, KLIK HIER]
Let op: Als je niet ingelogd bent kan je maar 10% zien van alle tutorials zien!!
|
