Multilingual Studies at a Distance
Students and Academics of All Countries, Unite! :-)
Brak odporności na ataki socjotechniczne
Jestem pewien, że każdego z Was fraza "badanie personelu na odporność na ataki socjotechniczne" (Krzysztof Liderman. Analiza ryzyka i ochrona informacji w systemach komputerowych. Warszawa : Wydawnictwo Naukowe PWN : Mikom, 2008, s. 126) skłoniła do powtórzenia sobie ze stron 45-47 tego podręcznika szczegółów związanych z atakami socjotechnicznymi. Polecam także informacje dotyczące ataków socjotechnicznych, które znajdziecie u dołu strony internetowej pod adresem http://mariusz.rojek.w.interia.pl/ataki.html . Na ile takie badanie personelu na odporność na ataki socjotechniczne i ewentualne odsuwanie osób takiej odporności nie posiadających od dostępu do sieci znajduje odzwierciedlenie na stronach 68-84 PN-ISO/IEC 17799:2007? Czy przypadkiem brak odporności na ataki socjotechniczne nie byłby podstawą do odsunięcia takich osób od dostępu do danych wrażliwych danej organizacji w ogóle?
Replies to This Discussion
-
Permalink Reply by Tadeusz Lemańczyk on -
Kolejną książką godną polecenia ze wzmiankowanej tam ( http://fedcba.ning.com/group/bi/forum/topics/podrecznik-krzysztofa ) internetowej biblioteki-czytelni online jest Społeczeństwo informacyjne [Joanna Papińska-Kacperek (red.), 2008, Wydawnictwo Naukowe PWN/MIKOM]. Na ile strona 242 (5.1.1. Inżynieria społeczna) tej książki uzupełnia informacje ze strony 45-46 (5. Atak socjotechniczny) z podręcznika Lidermana?
-
Permalink Reply by Anna Stasiuk on -
Polecam książkę pani Papińskiej - napisana jest ona łatwym i przystępnym językiem. Ale do rzeczy - jak zostało wspomniane w książce "Społeczeństwo informacyjne" - najsłabszym ogniwem w ochronie danych jest człowiek. A jak mówi się w kontekście całości - taki łańcuch mocny, jak jego najsłabsze ogniwo (w kontekście łańcucha dostaw, ale także tu ma to swoje zastosowanie - http://www.ipipan.waw.pl/~subieta/prezentacje%20studenckie/Lancuch%... 3 - dla zainteresowanych tematem). Atak w warstwie ósmej powinien uświadomić wszystkim, że czasami lepiej nie wiedzieć za dużo. Tak naprawdę dlatego wszystkie systemy zarządzania w firmie nazwane ogólnie MRP II (http://www.mrp.malicki.info/erp2.html), mają za zadanie określić poziom widoczności dla każdego użytkownika. Nie ma to na celu pokazania braku zaufania dla pracownika, lecz przejrzyste ukazanie za co on odpowiada.
Co do ataków socjotechnicznych cały czas osoby odpowiedzialne za bezpieczeństwo danych, powinny uświadamiać zagrożenia czyhające na potencjalnego klienta, będącego laikiem w dziedzinie ochrony danych. Budowanie świadomości konsumenckiej powinno być ich misją!
Dlatego, jeśli nie mamy pewności co do otrzymanego linku, nie klikajmy w niego bezmyślnie.
-
Permalink Reply by Adam Marcinkiewicz on -
Na początku warto sobie uświadomić, przyswoić definicję ataków socjotechnicznych - na stronie
znalazłem ogólną definicję tego pojęcia:
Socjotechnika często określana jest jako inżynieria społeczna, socjalna. W fachowej literaturze można spotkać się z kilkoma jej definicjami. Dla przykładu Słownik Encyklopedyczny Edukacji Obywatelskiej socjotechnikę przedstawia jako ogół metod, środków i działań praktycznych zmierzających do wywołania pożądanych przemian w postawach lub zachowaniach społecznych. Jako podstawowe metody socjotechniczne wymienia perswazje, manipulację, intensyfikację lęku. W praktyce oddziaływania socjotechniczne kierowane są zarówno na emocje (np. strach, współczucie, miłość), jak i intelektualne (prezentacja danych statystycznych, powoływanie się na badania i autorytety naukowe).
Według normy PN-ISO/IEC 17799:2007 już na samym początku ogólnego punktu 11 Kontrola dostępu możemy w podpunkcie 11.2 Zarządzanie dostępem użytkowników zauważyć, że jest wzmianka, iż głównym celem wymienionym w tym podpunkcie jest zapewnienie dostępu autoryzowanym użytkownikom i zapobieganie nieuprawnionemu dostępowi do tej sieci. W podpunkcie tym jest zalecenie wprowadzenia procedur kontroli przyznawania dostępu do sieci użytkownikom. Zalecenie mówi o stałej kontroli wszystkich etapów korzystania z dostępu do tych systemów informacyjnych przez użytkowników, od początkowej rejestracji, aż do momentu ich wyrejestrowania.
W dalszy punktach normy są podane zalecenia o wprowadzeniu do umów o pracę klauzul określających sankcje grożące osobom, które ujawnią hasła, bądź doprowadzą do nieautoryzowanego dostępu. Każdy użytkownik powinien wiedzieć, jak wielka odpowiedzialność spoczywa na jego barkach.
Oprócz w.w. informacji norma PN-ISO/IEC 17799:2007 na stronach 68-84 zawiera zalecenia związane z zabezpieczeniem sieci, a także są wskazówki odnośnie zapobiegania czy kontrolowania użytkowników mających dostęp do różnego rodzaju systemów informacyjnych. Możemy się przykładowo dowiedzieć, że zalecane jest wprowadzenie zabezpieczeń ograniczających możliwości połączeniowych użytkowników. Jest to możliwe dzięki bramom sieciowym uniemożliwiającym użytkownikom: przesyłanie wiadomości (np. e-mail'em), przesyłanie plików, dostęp interaktywny, dostęp do aplikacji.
Widzimy więc, że brak odporności na ataki socjotechniczne nie jest uwzględniany i tym samym w normie PN-ISO/IEC 17799:2007 został "zaszufladkowany" wraz z nieuczciwością użytkownika czy też jego nieuwagą. Pracownik odgórnie musi być przygotowany na wszystko, wiedząc jak wielkiego obowiązku się podejmuje. Tym samym mamy odpowiedź na drugie zadane pytanie ”czy przypadkiem brak odporności na ataki socjotechniczne nie byłby podstawą do odsunięcia takich osób od dostępu do danych wrażliwych danej organizacji w ogóle?”, a mianowicie osoby nieodporne na ataki socjotechniczne są traktowane na równi z osobami nieuczciwymi i nieuważnymi, i tym samym czeka je ten sam nieunikniony los...
-
Permalink Reply by Tadeusz Lemańczyk on
-
No właśnie, czy w drugiej linii Pana wiadomości, Panie Adamie, nie powinna aby pojawić się poniższa informacja o stronie internetowej z artykułem Agnieszki Zalewskiej?
Gazeta IT - Socjotechnika zagrożeniem dla bezpieczeństwa informacyjnego ( http://gazeta-it.pl/200305225892/Socjotechnika-zagrozeniem-dla-bezp... )
-
Permalink Reply by Adam Marcinkiewicz on
-
Dziękuję;) Ma Pan rację. Chciałem tam zamieścić link do tej strony, jednak jakimś dziwnym sposobem nie znalazł się on tam:P Dla Osób, które jeszcze nie odwiedziły strony http://gazeta-it.pl/200305225892/Socjotec.. mogę krótko wyjaśnić co się tam znajduje:
-objaśnienie pojęcia "socjotechnika"
-opis czym się zajmuje "socjotechnik"
-krótka notka o najbardziej znanym socjotechniku
-sposoby, metody ataków socjotechników
-przykładowe cele ataków
-przykłady z życia codziennego
-zapobieganie
Jest to stosunkowo stary artykuł, ale ciągle aktualny, gdyż wraz ze wzrostem możliwości technologicznych rośnie także niebezpieczeństwo. Każda nowinka techniczna pomagająca bronić się przed atakami socjotechników jest wypierana przez nowe narzędzia i "udoskonalone" umiejętności socjotechników. Mimo uświadomienia pracowników o tym niebezpieczeństwie, pracownicy nie zawsze są w stanie obronić się przed atakami "geniuszów" socjotechnicznych, którzy wiedzą jak odwrócić naszą uwagę, a także "uwagę maszyn". Świadomość o występowaniu takiego zagrożenia może ograniczyć, ale nie wyeliminować próby takich ataków, gdyż człowiek nie jest doskonały w myśl przytoczonej przez Michała tezy Pani Joanny Papińskiej-Kacperek "najsłabszym ogniwem jest człowiek"..
-
Permalink Reply by Michał Ozimek on -
Jeżeli idzie o definicje socjotechniki i ataków socjotechnicznych to do rozwiązania zadanego problemu pasowałyby definicje podane w pierwszym linku przytoczonym przez Pana Tadeusza. Tym którym nie chce się szukać podpowiem, że są to dwie ostatnie definicje.
Ksiązka Społeczeństwo informacyjne uzupełnia książkę Analiza ryzyka i ochrona informacji w systemach komputerowych o dokładniejsze informacje dotyczące phishingu. Na uzupełnienie te składają się informacje praktyczne, dotyczące popełniania błędów przez niedoświadczonych i nieświadomych użytkowników.
Przeczytawszy wszystkie przytoczone przykłady, przypomniałem sobie, że miałem styczność z takimi wiadomościami „zachęcającymi” do kliknięcia w link, informującymi o aktualizacji danych, czy o rzekomym wirusie „jdbgmgr.exe”. Przed zniszczeniem danych uratowało mnie prawdopodobnie jedynie lenistwo. Dziś, bogatszy o pewne informacje dotyczące ataków socjotechnicznych nie tylko będę zwracał uwagę na otrzymywane wiadomości e-mail ale również w miarę możliwości przestrzegał i informował innych o tego typu atakach.
Jeżeli idzie o odpowiedź na pytanie „Czy przypadkiem brak odporności na ataki socjotechniczne nie byłby podstawą do odsunięcia takich osób od dostępu do danych wrażliwych danej organizacji w ogóle?” to uważam, że słuszne byłoby takie zaszufladkowanie o jakim pisał Adam jedynie wtedy gdyby pracownicy czy jacykolwiek użytkownicy sieci zostali by odpowiednio przeszkoleni, poinformowani a mimo to i tak pali by ofiarami. Moim zdaniem po odpowiednim przeszkoleniu ofiarami padli by ci, którzy popadają w rutynę, robią swoje i wracają do domu. Zwróćmy uwagę na zalecenia dotyczące „Polityki kontroli dostępu” w normie PN-ISO/IEC 17799:2007. Pani Joanna Papińska-Kacperek słusznie stwierdza, że najsłabszym ogniwem jest człowiek- moim zdaniem człowiek nieświadomy. Jeżeli firmy działają zgodnie z ww. normą, dostęp do odpowiednio ważnych informacji mają odpowiednio świadome tego osoby, to prawdopodobieństwo bycia ofiarą ataku jest mniejsze. Mówimy o badaniu personelu na odporność na ataki socjotechniczne, ale z drugiej strony czy badania takie mają sens jeśli jak czytamy (http://www.itwadministracji.pl/numery/kwiecien-2009/jak-powstrzymac...) w Polsce brakuje publikacji, które odniosły by się do naszych realiów, do „naszych socjotechników”? Sądzę, że badania takie bez wcześniejszego przeszkolenia są jedynie sprawdzianem ufności wrodzonej…
Czyżby psychologowie byli najlepszymi szpiegami?
-
Permalink Reply by Daniel Linka on -
Norma PN-ISO/IEC 17799:2007 zawiera informacje dotyczące kontroli dostępu do informacji, nie ma w niej informacji o postępowaniu z osobami które poddane zostały badaniom socjotechnicznym a tym bardziej informacji czy powinny one zostać odsunięte czy tez nie od dostępu do sieci. Norma ta zawiera metody i sposoby chroniące pracowników i tym samym przedsiębiorstwo przed atakami socjotechnicznymi.
Jednak nigdy w 100% nie możemy być pewni tego że jesteśmy bezpieczni od ataków socjotechnicznych nawet jeśli firma kupi najlepsze i najdroższe technologie bezpieczeństwa, wyszkoli personel, aby każda poufna informacja była trzymana w zamknięciu i wynajmie firmę ochroniarską, nie jest w pełni zabezpieczona. Jej pracownicy mogą bowiem wyjawić sympatycznym, ale nieznanym ludziom informacje na temat firmy, prowadzonego projektu czy planów na wakacje. Sądzę ,że osób posiadających brak odporności na ataki socjotechniczne nie powinno odsuwać się od dostępu do sieci, można zastosować natomiast pewne ograniczenia i kontrole zarówno w dostępie do systemów operacyjnych jak i kontrole dostępu do aplikacji i informacji czy też izolowanie systemów wrażliwych. Ograniczenie dostępu tych osób do pewnych informacji, zwiększa naszą szanse uchronienia się przed atakami socjotechnicznymi a co za tym idzie przed utratą cennych dla nas informacji.
Kolejnym elementem, który zwiększa nasze szanse jest ciągłe podnoszenie świadomości pracowników oraz zaznajomienie ich z dobrymi praktykami użytkowania komputera podłączonego do sieci( chodzi tutaj o tematykę bezpieczeństwa sieciowego). Należy także poinformować pracowników o odpowiedzialności za utrzymanie skutecznej kontroli dostępu, szczególnie w odniesieniu do haseł i zabezpieczenia swojego sprzętu.
Tak więc uważam, że odsuwanie osób od dostępu do sieci nie jest rozwiązaniem ale jedynie ucieczką od tematu, sadzę że ograniczenia, kontrole jak i podnoszenie świadomości pracowników jest lepszą i wydajniejszą formą ochrony przed atakami socjotechnicznymi.
-
Permalink Reply by Ola Ryngis on -
Zgadzam się z Danielem. Uciekanie od problemów nie jest dobrym rozwiązaniem, chociaż nie da się ukryć, jak już pisał Michał, że to właśnie człowiek jest najsłabszym ogniwem jakiegokolwiek systemu zabezpieczeń. Świadomość pracowników, a raczej jej brak, w obszarze bezpieczeństwa informacji jest także dużym problemem. Techniki wykorzystywane w atakach socjotechnicznych są z reguły bardzo skuteczne ponieważ ludzie z natury są podatni na manipulację. Istnieje dużo rodzajów technik socjotechnicznych i jeszcze więcej możliwości wsparcia ataków różnymi technologiami.
Więc tak jak powiedział mój poprzednik dobrym rozwiązaniem jest ciągłe uświadamianie i doskonalenie umiejętności, ale nie tylko w obszarze obrony przed atakami socjotechnicznymi czy bezpiecznego użytkowania komputera. Warto także zapoznać się bezpośrednio z rodzajami ataków czy metod jakich używają socjotechnicy, poznać na czym polegają aby w porę można było je rozpoznać i im zapobiec.
Tematy takie jak perswazja i psychomanipulacja od jakiegoś czasu leżą w polu moich zainteresowań i na własnym przykładzie mogę powiedzieć, że znajomość technik manipulacyjnych pozwala mi unikać lub zmniejszać w znacznym stopniu moje uleganie ich wpływowi. Myślę, że każdy może nabyć takie umiejętności w mniejszym lub większym stopniu. Tak więc badania personelu na odporność na ataki socjotechniczne powinny być jedynie sposobem na określenie tego co trzeba jeszcze udoskonalić czy poprawić, bo jak twierdzi autor książki „Sztuka podstępu” Kevin Mitnick – ataki socjotechniczne nie polegają na łamaniu haseł a ludzi. Książka warta uwagi. Zawiera wiele informacji dotyczących bezpieczeństwa danych i socjotechniki. Pokazuje jakie są słabe strony systemów bezpieczeństwa oraz w jaki sposób socjotechnicy wykorzystują nasze zaufanie, chęć pomocy, współczucie oraz naiwność, aby dostać to, czego chcą.
-
Permalink Reply by Tadeusz Lemańczyk on
-
Ponieważ perswazja i psychomanipulacja są głęboko osadzone w tematyce nie tylko kierunku studiów inżynieria bezpieczeństwa, ale także kierunku studiów zarządzanie, jako pracownikowi Instytutu Inżynierii Zarządzania pozostaje mi nic innego, jak cieszyć się ogromnie z Pani zainteresowań. Dodałbym tylko nieśmiało, że jako entuzjasta języka angielskiego liczę na to, że w tych swoich zainteresowaniach nie ogranicza się Pani do polskiego obszaru językowego, a jako przedstawiciel rodu męskiego liczę na to, że z wyżyn języka angielskiego nie oddziaływuje Pani na ten ród tak manipulacyjnie, jak poniżej wyeksponowana niewiasta. :-)
-
Permalink Reply by Ola Ryngis on
-
Nie jestem pewna czy te stwierdzenia na koszulce, pochodzą z jakichkolwiek wyżyn biorąc pod uwagę kto jest ich autorką ;) Nawiązując do języka angielskiego, a raczej czepiając się szczegółów dodatkowo jest tu błąd (brak apostrofu), ale to ze względu na pewnego rodzaju slang, a slang ten można bardziej zrozumieć korzystając z Urban Dictionary:
1. That's hot
Phrase made famous by wold-renowned genius Paris Hilton. Sounds like the opposite of "That's cool" but means the same thing.
2. That's hot
A phrased used since forever recently trademarked by Le Paris Hilton. It can be used in whatever situation, and it will always make sense.
For example:
- Your grandma died.
- That's hot.
I kilka innych definicji...
Tak więc po dokładnym przeanalizowaniu mogę stwierdzić, że z pewnością nie posługuję się takim sposobem manipulacji jak pani powyżej ;) Używam innych metod tak więc „ataki” socjotechniczne są z mojej strony bardziej skuteczne ;P To tak pół żartem pół serio.
Jeśli chodzi o język angielski to oczywiście staram się rozwijać w tym kierunku nie tylko w dziedzinie moich wcześniej wymienionych zainteresowań. No i oczywiście zgodzę się z Panem, że perswazja i psychomanipulacja są dość ważnym tematem na naszym kierunku studiów chociażby ze względu na poruszany tu właśnie problem.
-
Permalink Reply by Tadeusz Lemańczyk on
-
Zgadzam się z Panią całkowicie. Zamierzając na dyskusję z Panią powołać się w dyskusji ( http://www.ci2020.com/xn/detail/2036441:Comment:23321 ) z członkiem także naszej społeczności ( http://fedcba.ning.com/profile/VivekRaghuvanshi ), wykorzystałem ten JPG z minispódniczką. Słuszniej byłoby jednak wykorzystać ilustracje pod adresem http://www.zazzle.com/thats_hot_paris_hilton_tshirt-235901320854554307 , gdzie na piersiach pojawia się napis "THAT'S HOT", a na plecach, gdy facet zaintrygowany tym napisem obejrzy się za taką "odważną" dziewczyną, spotka się z pełnym oskarżenia pod swoim adresem napisem "YOU'RE NOT". :-)
-
Permalink Reply by Ola Ryngis on
-
Odnosząc się do tamtej dyskusji mogłabym mieć małe wątpliwości co do skuteczności metody przed napadem jaką Pan zasugerował ;). Mogłoby to wywołać raczej odwrotne skutki i być odebrane jako jeszcze większa prowokacja. O ile oczywiście potencjalny napastnik zainteresowałby się napisem na koszulce, a nie tylko ową „micro-mini” ;).
About
© 2010 Created by Tadeusz Lemańczyk.
Powered by 
.
