SOCIAL ENGINEERING. Ing. Johannes Mariel, CSO Der IT-Dienstleister des Bundes. Öffentlich

Transkript

1 SOCIAL ENGINEERING Ing. Johannes Mariel, CSO Öffentlich Der IT-Dienstleister des Bundes

2 Definition SOCIAL ENGINEERING beschreibt die Methodik, berechtigte User eines IT-Systems durch Täuschung über die Identität des Angreifers oder andere Tatsachen dazu zu verleiten, dass sie zweckdienliche Angaben für einen Einbruch in das System bekannt werden lassen oder direkt Daten daraus unberechtigt weitergeben 2

3 Rechtliche Verpflichtungen Datenschutzgesetz DSG Abs. 1 verpflichtet alle Auftraggeber und Dienstleister, die Daten verwenden, zu Maßnahmen zur Gewährleistung der Datensicherheit 14 Abs. 3 Z.1 normiert eine Schulungspflicht für alle Mitarbeiter über die Datensicherheitsbestimmungen und die daraus erwachsenden Pflichten HANDELSRECHT Geschäftsführer von Betrieben sind zur Erlassung und Kontrolle von Maßnahmen verpflichtet, die Störungen des EDV-Betriebes verhindern; erleidet der Betrieb durch unzureichende Maßnahmen Schäden, so sind diese dem GF vorwerfbar 3

4 Aktuelle Situation 1 Befragung von Geschäftsführern und Sicherheitsverantwortlichen in der Schweiz 96 % sehen SE als reale Bedrohung, 66 % als Bedrohung Nr. 1 (Quelle: Swiss InfoSec, 2007) Befragung IT-Verantwortliche deutsche Industrie 49% sehen SE als Bedrohung Nr.1 und damit als größte Gefahr (Quelle: BSI-Lagebericht IT-Sicherheit Deutschland, 2007) Strassenbefragung von 576 Büroangestellten mit Fragebogen, dabei auch die Frage nach Passwort Belohnung: ein Schokoriegel 2007: 67 % geben ihr PWD bekannt 2008: 21 % geben ihr PWD bekannt (45% Frauen, 10% Männer) (Quelle: Infosecurity, 2008) 4

5 Aktuelle Situation 2 Die häufigste Ursache für unberechtigte Zutritte zu Bürogebäuden, in denen absolutes Rauchverbot herrscht, sind offen gehaltene Türen von Seiteneingängen und Fluchtwegen. (Quelle: NTA Monitor GB, 2007) Datendiebstahl in deutschen Industrieunternehmen erfolgt hauptsächlich durch SE-Methoden 2007: Schaden 20 Mio. 2008: Schaden 30 Mio. (Quelle: AG für Sicherheit der Wirtschaft, D, 2008) 5

6 Aktuelle Situation 3 Europaweite Befragung von 600 Angestellten: 37% der Unternehmen haben keine Regeln über den Umgang mit vertraulichen Dokumenten 24% der Mitarbeiter in Unternehmen mit Regeln kennen diese nicht 86% haben mehrmals vertrauliche Unterlagen per versandt, 83% ausgedruckt und mitgenommen 11 vertrauliche Dokumente pro Woche und Mitarbeiter verlassen das Unternehmen 52% werden vertrauliche Unterlagen mitnehmen, wenn sie das Unternehmen verlassen (Spitze: Frankreich 80%) (Quelle: Studie von McAffee, 2008) 6

7 Was sagt der Angreifer? KEVIN MITNICK Berüchtigter Hacker der 90er Jahre, nach fünf Jahren Haftstrafe jetzt Sicherheitsberater in USA Vor dem Kongress der USA: I was so successful in Social Engineering, that I rarely had to resort to a technical attack. In seinem Buch: For a good hacker it s not necessary to be a great technician, it s enough to be a good liar. 7

8 Angriffsschema Vorbereitung durch das Sammeln von Informationen Um ein Unternehmen zu analysieren, erhalte ich ca. 80% aus veröffentlichten Informationen, 15-18% aus Kontakten mit Mitarbeitern des Unternehmens und 2-5% - falls noch nötig durch technische Angriffe (Quelle: professioneller Informationsbeschaffer, anonym) Erstellen einer Legende für den Angriff Auswahl des/der Angriffsziele Erfolgreiche Informationsgewinnung bzw. weitere Verwertung dieser Informationen (zb. Zugangscodes) 8

9 Informationen passive Recherche auf Webseite des Unternehmens Pressemeldungen Foren und Soc-Platforms technische Recherchen aktive Recherchen durch Anrufe Zufalls -Gespräche mit Mitarbeitern Dumpster Diving (Daten auf Papier, Datenträgern) Begehung der Firmengebäude 9

10 Legendenbildung 1 Human Based Attacks Vortäuschen einer Identität Vorschieben einer wichtigen Persönlichkeit Vortäuschen einer hochrangigen Ermächtigung Vortäuschen einer technischen Supportleistung Persönlicher Auftritt Shoulder-Surfing Dumpster-Diving Reverse Social Engineering 10

11 Legendenbildung 2 Computer Based Attacks unter Verwendung von Phishing (Spearfishing, Whaling) Mail-Attachments Im Q1/08 1 von 2500 Mails verseucht (-64% gegen 2007) Malware auf Websites Spam alle 5 Sek. eine infizierte Webseite, 80 % davon gehackte Seiten führend USA mit 42% (Quelle:Sophos Sec. Threat Report) 11

12 Angriffsziele Der hilfsbereite Typ Hat keine negativen Beweggründe für die Verletzung von Sicherheits-Richtlinien Kennt die Sicherheits-Richtlinien Schätzt die Risiken falsch ein Verletzt Sicherheits-Richtlinien aus Hilfsbereitschaft, falsch verstandener Kundenorientierung, etc. Der ahnungslose Typ Hat keine negativen Beweggründe für die Verletzung von Sicherheits-Richtlinien Kennt die Sicherheits-Richtlinien nicht bzw. unzureichend Hat meist auch nur bescheidene Anwenderkenntnisse Verletzt Sicherheits-Richtlinien aus Unkenntnis, grenzenloser Vertrauensseligkeit, etc. 12

13 Abwehr-Strategie BAUEN SIE EINE VORSICHT: Es gibt keinen Patch gegen Dummheit! 13

14 Gegenmaßnahmen Security-Policies, die Realistisch sind Konsistent sind Keine unerfüllbaren Forderungen enthalten Einfach zugänglich (Intranet) Laufend aktuell gehalten werden Durch Awareness-Maßnahmen unterstützt 14

15 Empfehlung für Security-Invests Von einem EURO (1 ) Security-Invest sollten 15 Cent in Technik 20 Cent in Security-Betrieb 25 Cent in Sicherheits-Organisation 40 Cent in Sensibilisierungsmaßnahmen investiert werden, um die Bedrohung durch SOCIAL ENGINEERING zu verhindern! 15

16 SOCIAL ENGINEERING Ing. Johannes Mariel, CSO