__ __ __ .-----.--.--.----.| |.--.--.--| |.-----.--| | .-----.----.-----. | -__|_ _| __|| || | | _ || -__| _ |__| _ | _| _ | |_____|__.__|____||__||_____|_____||_____|_____|__|_____|__| |___ | by ProXy - member of excluded-team |_____| v.1.0 - 28.09.2003 v.1.1 - 30.10.2003 Social Engineering |- Was ist es? |- Wie funktioniert es? |- Schutzmassnahmen |- Beispiele |- Geschichte ------------------------------------------------------------------------------------------- |- WAS IST SOCIAL ENGINEERING?? Social Engineering nennt man die 'Kunst' Informationen aus Leuten herauszubekommen die man als Person mit normalen Privilegien nie bekommen würde.. Das können diverse Firmeninterne Dokumente, Passwörter, Kreditkarten-Infos, Bankinformationen, etc. sein.. Komplizierte technische Sicherheitseinrichtungen von Firmen werden dadurch machtlos, denn die Technik basiert auf sozialem zwischenmenschlichem Kontakt! Menschen haben Gefühle und Schwachpunkte, und fühlen sie sich erst in Sicherheit gewogen lassen sich eine Menge an Informationen aus ihnen herrausbekommen. Im besten Fall merkt die Zielperson es gar nicht manipuliert geworden zu sein oder Dinge erzählt zu haben die sie gar nicht erzählen hätte dürften. ------------------------------------------------------------------------------------------- |- DER SOCIAL ENGINEER UND DESSEN ARBEITSWEISE! Die Person welche diese Art von Angriff ausführt wird Social Engineer genannt. Der Social Engineer muss sich dazu gut über in die Betriebs-Abläufe der Unternehmen welchen die gesuchten Infomationen entlockt werden sollen einarbeiten. Auch wichtige fachbegriffe muss er kennen um bei seinem Vorhaben glaubwürdiger zu klingen und den Anschein zu erwecken das er eine priviligierte Person sei. Meistens arbeiten Social Engineers via Telefon und geben sich dann als Personen aus die sie in Wirklichkeit nicht sind. Es gibt etliche Arten von Techniken für Social Engineering Angriffe, eine davon ist das verursachen eines Problems, und das anbieten der eigenen Hilfe. der Social Engineer weiss dann selbst wo der Fehler liegt und kann hilfsbereit zur Seite stehen und ihn schnell korrigieren. Wenn währenddessen genug an Vertrauen aufgebaut wurde schlägt der Social Engineer unbemerkt zu indem nebenbei ein paar entscheidende Fragen fallen.. (diese Art wird reverse engineering genannt, weil der Spies dabei einfach umgedreht wird) Gerne wird auch 'name dropping' angewandt, das bedeutet dem Gesprächspartner am Telefon zu erzählen das er im Auftrag einer dem anderen gegenüber höher stehenden Person agiert. Ein Social Engineer muss ein hervorragender Redenskünstler sein und sich schnell und glaubwürdig in die verschiedensten Stimmungslagen versetzen können. Daten und Dokumente werden via E-Mail auf einem maildrop (Postkasten unter falschem Namen) oder über Fax entgegen genommen. Gute Social Engineers schaffen das alles ohne am Ort des geschehens aufzutauchen, da ansonsten das Risiko besteht festgehalten zu werden oder in eine Falle zu tappen. Der ganze Ablauf wird von einem Prepaid-Karten Handy aus abgewickelt welches danach problemlos entsorgt werden kann.. Benutzer von Prepaid-Karten sind NICHT dazu verpflichtet ihre persönlichen Daten beim Kauf einer solchen dem Verkäufer mitzuteilen. Siehe Heise-Meldung: http://www.heise.de/newsticker/data/gr-25.10.03-000/ (thnx reggid) Wie kommt man nun an die richtigen Anfangs-Informationen? Stichwort:'Dumpster Diving' Die Vorarbeit eines Social Engineers liegt darin sich Informationen über die Abläufe, Ereignisse und das momentane geschehen der Firma anzueignen. Dazu werden beispielsweise Mülltonnen des Unternehmens nach Dingen wie Firmen-Telefonbüchern, Organisationsdiagramme, Memos, Firmenhandbücher, Kalender von Sitzungen, Systemhandbücher, Ausdrucke von empfindlichen Daten oder von Loginnamen und Kennwörtern, Ausdrucke von sourcecode, Disketten, etc.. durchsucht. ------------------------------------------------------------------------------------------- |- SCHUTZ! Firewalls, Authentizifierungs-Geräte, Intrusion-Detection-Systeme, Verschlüsselungen etc.. alles wird wirkungslos gegen einen guten Social Engineer! Auch wenn eine Firma noch so tolle Überwachungsgeräte hat haben diese keinen Sinn wenn die Mitarbeiter nicht auch geschult werden. Darauf wird aber zum Grossteil vergessen und der Social Engineer kann problemlos zuschlagen und sich jede art von Information holen die er möchte.. Das schwächste Glied der Kette ist der Mensch! Schutz vor Social Engineering Angriffen bilden eigentlich nur Kurse für Mitarbeiter in welchen die Leute darauf trainiert werden diese Art von Angriffe zu erkennen und entsprechend zu handeln. Die von den Mitarbeitern besuchten Kurse geraten aber für gewöhntlich wieder schnell in Vergessenheit und sollten regelmässig aufgefrischt werden! Weites sollten noch Regeln für interne Informationen festgelegt werden, welche Mitarbeiter diese via Telefon übermitteln dürfen und welche nicht. Einige Schutzmassnahmen zur Vorbeugung: | |\_ Info-Bereiche zum Thema SE auf Infotafeln im Unternehmen, Firmen-Newslettern | oder als Beilage zu Gehaltsabrechnungen. | |\_ Bei vertraulichen Anfragen durch das Firmenverzeichnis feststellen ob es sich | um einen Mitarbeiter handelt, und ihn mittels interner Durchwahl zurückrufen. | |\_ Rufidentifikation am Telefon - Ist es eine interne nummer? Falls ja, welche Abteilung? | Oder handelt es sich um ein allgemein zugängliches Telefon? | |\_ Deaktivierung aller Gast-Accounts auf den Computern! | |\_ Einwahlnummern von Modems,.. dürfen nicht von Angestellten weitergegeben werden | sondern nur vom Technischen Support. | |\_ Firmeninterne Postkästen dürfen nicht in öffentlich zugänglichen Bereichen stehen. | |\_ Einführung eines firmeninternen Tagescodes. | |\_ Ein dem Angestellten bekannter Anrufer kann durch dessen Stimme identifiziert werden. | |\_ Der Firmenausweis sollte ein gut erkennbares foto beinhalten, | und immer gut ersichtlich getragen werden. | |\_ Aufkleber am Telefon wie zB: 'ist ihr Anrufer der, für den er sich ausgibt?' - ------------------------------------------------------------------------------------------- |- BEISPIELE! [BEISPIEL-1] A: Personalabteilung, Andrea Bauer am Apparat. B: Guten Tag, hier ist Peter von der Sicherheitsabteilung! A: Ja, bitte? B: Wie gehts denn so? A: Alles prima. Was kann ich für Sie tun? B: Hören Sie.. Wir entwickeln gerade ein Sicherheitsseminar für neue Angestellte und suchen ein paar Leute, mit denen wir das ausprobieren können. dafür brauche ich die Namen und Telefonnummern aller Neueinstellungen aus dem letzten Monat. Können sie mir dabei helfen? A: Das kriege ich wohl bis heute Nachmittag hin. Reicht ihnen das? Wie lautet ihre Durchwahl? B: Das ist die 66 ... aber ich bin leider den ganzen Tag auf irgendwelchen Besprechungen. Wenn ich damit fertig bin rufe ich sie heute Nachmittag von meinem Büro aus an. Warscheinlich ab 16uhr! - Als der Social Engineer dann gegen 16.30 anrief, hatte Andrea die Liste schon zur Hand und las ihm die Namen und Durchwahlen vor. [/BEISPIEL-1] [BEISPIEL-2] A: Videothek-Ring SuperFilm, Nicole am Apparat. B: Hallo, ich bin schon einge Zeit Kunde bei Euch und habe mit dieser Filiale sehr gute Erfahrungen gemacht. Ich würde mich gerne beim Geschäftsführer schriftlich bedanken. Wärst du so freundlich mir dessen Name und Anschrift zu sagen? A: Es freut uns immer wieder wenn Kunden unseren Service loben. Er heisst Hans Buchsbaum, und die Adresse: Kleingartenweg 23/5 in 34621 Seelendorf B: Danke Sehr, da fällt mir ein ich sollte auch der Firmenzentrale schreiben. Welche Nummer hat eure Filiale? A: Unsere Filialnummer lautet 345. B: Vielen Dank, Ich hoffe noch lange Kunde bei euch bleiben zu dürfen. Anruf in einer anderen Filiale: A: Videothek-Ring SuperFilm, Hannes am Apparat. B: Tag.. Hier spricht Hans Buchsbaum der Leiter der Filiale 345! Ich wollte mich nur mal erkundigen ob bei euch die Computer laufen, bei uns stürzen sie ununterbrochen ab. A: Ja, bei uns läuft alles ohne Probleme! B: Gut, wären Sie dann bitte so freundlich für mich ein Kundenkonto zu prüfen ob er wirklich ein Kunde ist!? A: Ja klar.. schiessen sie los. B: Sein Name lautet Jürgen Grossglockner A: Einen Moment ... Ja er ist Kunde bei uns! B: Ok, wie wäre denn bitte seine Anschrift, Telefonnummer.. und wann hat seine Mitgliedschaft begonnen? A: Er wohnt in der Blubberstrasse 34 in 7812 Glockingen, seine Telefonnummer lautet 568412541, und die Mitgliedschaft hat am 12.4.2001 begonnen. B: Oh Mann hier ist mittlerweile eine ziehmlich lange Schlange an der Kasse, Wie war doch gleich die Kreditkartennummer und die Gültigkeitsdauer? A: 0011-5588-6542-1124 und sie ist gültig bis März 2005. B: Danke sehr und einen schönen Tag noch! [/BEISPIEL-2] ------------------------------------------------------------------------------------------- |- GESCHICHTE! Als bekanntester Social Engineer gilt Kevin Mitnick welcher durch die 'New York Times' zum 'Superhacker' ernannt wurde und daher auch seinen Ruf hat.. Er wurde lange Zeit vom FBI gesucht und im Februar 1995 aufgrund mehrerer Hacks verhaftet. Unter anderem Social Engineering Angriffe auf die Firmen Motorola, Sun Microsystems, Nokia, Fujitsu und NEC. Er ist seit dem Jahr 2000 wieder auf freiem Fuß, durfte aber keinen Computer und kein Telefon benutzen. Am 20. Januar 2003 wurde ihm das wieder erlaubt und er veröffentlichte daraufhin sein Buch 'The Art of Deception'. Ich kann das Buch nur weiterempfehlen denn es sind darin eine Menge an detailierten Kurzgeschichten zum Thema Social Engineering zu lesen welche anschliessend jeweils ausführlich analysiert werden. Das Buch ist auch in deutscher Sprache verfügbar und im Mitp-Verlag erschienen ('Die Kunst der Täuschung' - ISBN: 3826609999). Weiters empfehle ich den Film 'Takedown' welcher von Kevin Mitnicks Geschichte erzählt. ------------------------------------------------------------------------------------------- Kopieren erlaubt - Ändern verboten! ProXy http://www.excluded.org