Kryptocrew 20.Nov.2002<hr>

<b>Methodik: Social Engineering</b><br>
<br>
Social Engineering ist eine Methode, um nicht allgemein zugängliche Informationen durch "Aushorchen" zu erlangen. Oft gibt sich ein Angreifer bei Gesprächen durch die Kenntnisse der richtigen Schlagworte als Insider zu erkennen und erhält so zusätzliche Informationen, die an anderer Stelle ausgenutzt werden können.
Firmen investieren viel Zeit und Geld um ihr Netzwerk sicherheitstechnisch auf den letzten Stand zu bringen. Sie konzentrieren sich auf Upgrades, security kits und high-end encryption, vergessen dabei aber das schwächste Glied in ihrem System - die Mitarbeiter.
Social Engineers nützen die Naivität der Mitarbeiter eines Betriebes und deren Bedürfnis involviert und hilfreich zu sein aus, um an die gewünschten Informationen zu kommen.<br>
<br>
<b>Computer Based Social Engineering:</b>
<br>
Eine Möglichkeit die eingesetzt werden kann ist ein Popup, welches einem Benutzer mitteilt, die Netzwerkverbindung sei unterbrochen worden und er möge seinen Benutzernamen & Paßwort erneut eingeben. Sobald dies geschehen ist, werden diese Informationen mittels EMail an den Eindringling geschickt.
Diese Methode benötigt verschiedene Technologien um die Mitarbeiter auszutricksen und erfordert schon eine Vorkenntnis zum Opfer zu haben, um auf das gewünschte System zugreifen zu können.<br>
<br>
<b>Human Based Social Engineering:</b>
<br>
Es wird zuvor versucht einige Hintergrundinformationen der betreffenden Person ausfindig zu machen. Sei es Namen von Mitarbeitern, Telefonnummern u.ä.
<br>
Eine der wohl einfachsten Methoden einen Namen ausfindig zu machen ist wohl, das man danach fragt, ein öffentlicher Dienstplan, eine Website oder sogar das Namensschild am Büro oder Haustür. Ebenso Müll zu stehlen und diesen nach Informationen zu durchsuchen - sogenanntes "trashing" oder "dumpster diving" (das ist gesetzlich nicht illegal da Müll weder Privat noch Eigentum ist).
<br>
Eine Recherche hat ergeben, daß in Firmenmülleimern interne Telephonbücher, alte Dienstpläne, Kalender, Notizbücher, Ausdrucke von heiklen Dokumenten, Urlaubspläne, System Handbücher, Ausdrucke von Benutzernamen und Paßwörtern, Ausdrucke von source codes, Disketten, Backup Kassetten und alte Hardware gefunden wurden.
Informationen dieser Art lassen jedes Hackerherz höher schlagen und erleichtern ihm den Weg ins System erheblich...
Ist das Grundwissen eines Opfers verfügbar, tritt der Social Engineer mit einem Mitarbeiter in Kontakt.
Ob nun per Telefon, Fax oder E-Mail. Sogar persönliche Gespräche können das sein.
Er gibt vor ein neuer Mitarbeiter, Manager, vom Reparaturdienst, IT Support oder ähnliches zu sein.<br>
<br>
<b>Reverse Social Engineering:</b>
<br>
Der Social Engineer erzeugt eine fiktive Autoritätsperson, sabotiert das Netzwerk und behauptet anschließend derjenige zu sein, der dieses Problem beheben soll. Somit bewirkt er, daß sich die Mitarbeiter an ihn wenden und ihm alle Informationen geben, die er möchte. Hat er alle Daten, die er braucht, behebt er den Fehler und niemand schöpft Verdacht, da alles wieder wie gewohnt funktioniert.
Auch diese Methode benötigt gründliche Nachforschung und ein gewisses Maß an Zugriff am System.<br>
<br>
<b>Beispiele:</b>
<br>
Vorsicht vor Pseudo-eBay (Update) [18.01.2002]
Ein Spammer gibt sich derzeit als Mitarbeiter des Online-Auktionshauses eBay aus und versucht so, an Kreditkartennummern und andere persönliche Daten heranzukommen. In seiner Massen-Mail bestätigt er den Kauf eines erfundenen Artikels und gibt als Stornierungsseite www.ebay.com.rr.nu/ an. Dort verlangt ein Web-Formular, über dem das eBay-Logo platziert ist, alte und neue Kreditkartendaten. Auf den zweiten Blick entlarvt sich die Seite aber schnell als Kostenlos-Webspace.<br>
<br>
Anruf bei einem Callcenter:
Ein Hacker hat eine kleine Demonstration geliefert...er rief den Help Desk eines Callcenters an, um den Namen des diensthabenden Supervisors zu erfahren. Es war Betty. Er ließ sich weiterverbinden, begrüßte Sie mit Namen und fragte, ob sie heute einen schlechten Tag gehabt hätte, da das Netzwerk nicht funktioniert. Sie verneinte und meint, es sei alles in bester Ordnung. Er erwidert, daß etwas grundlegendes falsch gelaufen sein muß, da auf seinen Monitoren zu sehen ist, daß ihr PC offline ist.
Sie verneint erneut woraufhin er sie bittet den PC herunterzufahren und sich neu anzumelden. Gesagt getan. Er gibt vor keine Veränderung bemerkt zu haben und bittet sie wieder herunterzufahren und sich anzumelden. Er sagt ihr, daß wieder keine Veränderung auf seinen Monitoren zu sehen ist. Nun meint er, daß es wohl einfacher w&aul;re, wenn Sie ihm Ihren Benutzernamen und Paßwort gibt, damit er vor Ort prüfen kann, wo der Fehler liegt. Sie gibt ihm die Daten. Nachdem er ihr erzählt, daß er sich mit Ihrem Login angemeldet hat und keinen Unterschied bemerkt bittet er Sie sich erneut anzumelden und plötzlich fällt ihm ein, daß sie unter Umständen mit alten Dokumenten arbeitet....sie solle ihm doch bitte die ersten zehn PIN Codes vorlesen, da sich diese täglich ändern, damit er sie mit seinen aktuellen vergleichen kann. Nachdem sie den ersten PIN vorgelesen hat legt er auf - er hat alle Informationen, die er brauchte.<br>
<br>
"Guten Tag. Hier ist die Hotline der Medizininformatik. Wir hatten einen Hacker auf unserem Webserver. Daher mussten wir den Server neu installieren. Leider sind im Zuge der Backups einige Benutzerdaten verloren gegangen."
"Und was bedeutet das für mich?"
"Sie sind Dr. Müller vom Institut für seltene Krankheiten?"
"Ja."
"Gott sei Dank. Wir haben Ausdrucke von den wichtigsten Unterlagen und rufen jetzt alle Webmaster an, die wir so erfasst haben."
"Und wie kann ich Ihnen helfen?"
"Damit sie weiterhin Zugriff auf Ihre Dateien haben, müssen wir die Rechte wieder richtig einstellen. Dafür bräuchten wir jedoch einmal Ihr Passwort."
"Ich weiß nicht..."
"Oh ja - natürlich. Wir sagen ja immer wieder, dass Sie diese nicht herausgeben sollen. Aber Sie können es sofort, nachdem ich die Einstellungen gemacht habe wieder ändern."
"Na gut. Das Passwort ist 'geheim' - also g-e-h-e-i-m."
"Vielen Dank. Ich melde mich sofort bei Ihnen, sobald ich hier fertig bin."
"Gern geschehen."
<br>
<br>
<b>Worauf sollte geachtet werden?:</b>
<br>
-  Es sollte festgelegt werden wer zuständig ist um Zutritt zum System zu gewähren.<br>
-  Weiters sollte eine vorgegebene Prozedur, neue Benutzerkonten anzulegen und zu alte    löschen, vorhanden sein um Fehler und Verwirrung zu vermeiden.<br>
-  Paßwörter sollten Groß- und Kleinbuchstaben, Sonderzeichen und Nummern enthalten und    darüber hinaus regelmäßig gewechselt werden.<br>
-  Help Desks haben keine Berechtigung Paßwörter weiterzugeben...<br>
...außer sie rufen den Mitarbeiter zurück um seinen Aufenthaltsort festzustellen,<br>
...der Mitarbeiter holt sich sein Paßwort persönlich ab<br>
...oder der Mitarbeiter sendet zuerst ein EMail unter Verwendung einer "digital signature"<br>
-  Einführung einer "picture ID-Card", die jeder Mitarbeiter sichtbar tragen muß,
   Gäste erhalten eine provisorische ID-Card und müssen sich bei einer Besucherliste    eintragen<br>
-  "shredding" von empfindlichen Dokumenten um "trashing/dumpster diving" zu vermeiden bzw.    die Müllräume Videoüberwachen<br>
-  wichtige Dokumente sowie Sicherungen sollten in dafür vorgesehenen Räumen versperrt sein
<br><br>
Desweiteren ist es durchaus sehr hilfreich die oben genannten Punkte, den Mitarbeitern, immer wieder schriftlich in regelmäßigen Abständen mitzuteilen. Auch bildliche Wahrnehmung unterstützt das nicht vergessen. Poster lösen auch diese Aufgabe und verschönern auch die Umgebung.
<br>
Außerdem ist es hilfreich die Mitarbeiter einem "security awareness & training program" zu unterziehen um die security policies zu kommunizieren und Ihnen die Beispielszenarios vor Augen zu führen damit Sie angewendetes Social Engineering auch wahrnehmen. Policies dienen nicht nur zur Information, sondern müssen verstanden, angenommen und vor allem angewendet werden.<br><br>Copyright (mm)<hr>

Quellen: uni-muenster, tks, BSI,