Social Engineering - Risikofaktor Mensch 1. Definition Das Social Engineering (dt.: soziale Manipulation) ist eine Angriffsart, die sich auf sozialer Ebene abspielt. Ein Social Engineer versucht sein Opfer so zu manipulieren, dass es ihm die Informationen gibt, die er haben möchte. Dies kann schwere Folgen haben, da der Social Engineer meist auf geheime, sicherheitsrelevante Informationen aus ist und er sich das schwächste Glied eines Unternehmens aussucht - den Mitarbeiter. Durch die nicht technische Vorgehensweise werden von ihm ausgeklügelte technische Sicherheitsvorkehrungen mit einem Schlag nutzlos. Solche Angriffe auf nichts-ahnende Personen werden nach dem Geschehen auch nur sehr selten aufgedeckt und deshalb ist es notwendig, die Mitarbeiter dementsprechend im Vorhinein zu schulen. Grundsätzlich wird dieses Thema in 3 verschiedene Bereiche gegliedert: Das Computer Based Social Engineering, das Human Based Social Engineering und das Reverse Social Engineering. Der Unterschied ist Folgender: Das Computer Based Social Engineering wird den meisten Leuten wohl im Internet begegnen. Lästige PopUps - wer kennt sie nicht - springen auf und geben vor, dass man bei irgendeiner Verlosung, bei einem Gewinnspiel oder Sonstigem gewonnen hat. Lässt man sich davon beeindrucken, so führt der Weg meist zu einem Formular, in dem man seine persönlichen Daten eintragen soll und dann nur den kleinen Submit-Button betätigen muss, um den großen Gewinn geliefert zu bekommen. Das wird höchst wahrscheinlich bei keiner dieser PopUp Meldungen der Fall sein (Warum auch? Sie haben ja eine Seite betreten und (wahrscheinlich) nicht einmal an einem solchen Gewinnspiel teilgenommen.). Das Human Based Social Engineering dient eher dazu, Informationen auf direktem Wege zu erhalten. So durchwühlen Informationsbegierdige beispielsweise die Mülltonnen eines Unternehmens (Sie glauben nicht, wie viele Informationen ein Social Engineer dabei ergattert), geben sich bei Telefonaten als ein Mitarbeiter einer anderen Abteilung aus, suchen innerhalb von Häusern nach Informationen oder beobachten die Zielpersonen. Mit diesem Bereich setze ich mich hier hauptsächlich auseinander. Bei dem Reverse Social Engineering agiert der Angreifer als "Retter in der Not". Er verursacht ein Problem und behauptet anschließend derjenige zu sein, der damit beauftragt wurde, dasselbe zu lösen. Er geht dabei so raffiniert vor, dass der/die Mitarbeiter/-in ihm jede Information verschafft, die er benötigt. Vorallem reagieren die Betroffenen immer sehr hilfsbereit, da man ja möglichst immer zur Seite stehen möchte, wenn jemand ein schwieriges Problem hat und er die benötigten Informationen zur Lösung nicht besitzt. Hierfür muss der Angreifer ebenfalls (wie bei den anderen beiden Bereichen) erst einmal Informationen sammeln, um sich dann am Telefon als Autoritätsperson ausgeben zu können. 2. Methoden Die meisten Leute gehen davon aus, sie könnten erkennen, wenn sie jemand manipulieren oder ihnen etwas vortäuschen will. So werden sie irgendwann einmal (und das mit Sicherheit, wenn es nicht schon passiert ist) zu einem Opfer einer Spionageaktion, da der Social Engineer die Schwächen des Menschen auszunutzen versucht, indem er z.B. ihr Vertrauen gewinnt oder auch die kleinsten Informationsteilchen ergattert, die dem Einzelnen vielleicht gar nicht als wichtig erscheinen, aber bei Zusammenfügen zu einem vollständigen Puzzle mit hohem Informationsgrad werden können, das bei Anwendung durchaus schwere Folgen für Firmen oder Privatleute haben kann. Hier ein paar Methoden eines Social Engineers: - Vertrauensgewinnung des Opfers - Kommunikation im Fachjargon des Unternehmens - Vortäuschen eine Autoritätsperson zu sein - Vortäuschung von verschiedenen Stimmungslagen (hektisch, ärgerlich, freundlich) - Selbst ein Problem verursachen und als "Retter in der Not" agieren - Personen ohne Fachwissen zu sicherheitsgefährdenden Aktionen bewegen - Durchsuchung von Müllanlagen der Zielperson/des Zielunternehmens usw. 3. Beispielszenarien Szenario 1 - Das neue Sicherheitssystem Ich nenne den Social Engineer hier einmal Michael und das "Opfer" Jennifer. Jennifer: Microsystems GmbH Frankfurt[*], schönen guten Tag, Sie sprechen mit Jennifer Meier. Michael: Guten Tag Frau Meier, hier spricht Michael Lenden aus München. Ich bin zuständig für die Umstellung der Serversysteme hier bei Microsystems in München. Jennifer: Was kann ich für Sie tun? Michael: Ich benötige wohl einmal ihre ID, die OneCard Nummer und ihr Passwort. Jennifer: OneCard Nummer? Sowas besitze ich nicht! Was soll das sein? Michael: Oh, haben Sie denn noch nichts von der Änderung gehört? Jennifer: Nein, welche Änderung? Michael: Wir haben hier vor ein paar Tagen eine Umstrukturierung vorgenommen, um die Sicherheit der Kundendaten zu erhöhen. Das System ist nun durch eine doppelte Authentifizierung von ID und OneCard Nummer sicherer vor Zugriff unbefugter Personen. Jeder Mitarbeiter sollte eine OneCard Nummer in einer Email zugesendet bekommen haben, um sich authentifizieren zu können. Die Person, die die OneCard Nummern verschickt hat, ist nur leider für eine längere Zeit krank geschrieben und ich wurde beauftragt die weiteren Umstellungen für ihn vorzunehmen, habe aber leider die Liste der Mitarbeiterdaten nicht hier. Deshalb muss ich nun jeden Mitarbeiter danach fragen. Jennifer: Ich würde Ihnen ja gerne helfen, aber ich habe eine solche Nummer nicht bekommen. Michael: Komisch, die eMail müsste spätestens heute angekommen sein. Schauen Sie vielleicht bitte nocheinmal eben in Ihrem Postfach nach? Jennifer: Ok, einen Moment - ah ja, da ist etwas gekommen - moment. Wie war der Name Ihres kranken Mitarbeiters doch gleich? Michael: Stefan Beckenheim. Jennifer: Ja, ich habe eine eMail von ihm bekommen. Ah ja, da ist ja die Nummer. Ich diktiere: 1-3-645-234-954. Sonst noch etwas? Michael: Dann bräuchte ich nur noch Ihre ID und das Passwort. Jennifer: Ok, die ID ist "Jenn" und der Passwort "JennMei". Michael: Ok, vielen Dank, ich werde dann nun Ihren Account auf das neue System umstellen. Jennifer: Alles klar, vielen Dank. Bestellen Sie Ihrem Mitarbeiter bitte gute Besserung. Michael: Werde ich machen. Wiederhören! * Anmerkung: Die Verwendung von bestehenden Firmennamen ist nicht beabsichtigt. Sie sind frei erfunden und stehen in keinerlei Zusammenhang mit existierenden Firmen. Szenario 2 - Die Hilfestellung in der Not Stellen Sie sich einmal eine Buchhalterin vor. Diese arbeitet den ganzen Tag am Computer, besitzt aber meistens kein Fachwissen über diesen. Nun ruft ein angeblicher Systemverwalter bei dieser Dame an und gibt vor, es gäbe einige Probleme mit Rechnern anderer Mitarbeiter und er wolle nun prüfen, ob sich bei ihrem Rechner dieselben Probleme zeigen. Er gibt ihr ein paar Anweisungen, was sie tun soll. Nach einigen Aktionen gibt er ihr die Aufgabe ihr eigenes Passwort zu ändern. Dieses solle sie tun, da man ein Update aufgesetzt hat, was das ermöglicht. Dazu solle sie ihm ihr altes allerdings auf keinen Fall laut nennen. Das neue Passwort soll nun "test123" heißen. Sie ändert es und loggt sich aus. Nach einigen Minuten soll sie sich dann wieder einloggen. Er sagt zu ihr, dass es keine Probleme mit ihrem Computer gäbe und sie nun beruhigt ihr Passwort wieder ändern und mit ihrer Arbeit fortfahren könne. Sie ist sehr erleichtert, bedankt sich und legt auf. 4. Analyse Szenario 1 Was ist hier passiert? Der Social Engineer hat sich als ein Mitarbeiter einer Abteilung in einer anderen Stadt, jedoch des gleichen Unternehmens, ausgegeben. Er hat die "Mitarbeiterin" mit einer angeblichen Änderung im System konfrontiert. Da es sich hierbei, wie so oft, um eine sicherheitsrelevante Änderung gehandelt und er ihr dieses "neue System" geläufig gemacht hat, wurde schon die erste Vorstufe zum Vertrauen errichtet. Dann erzählte er ihr von dem kranken Mitarbeiter, für den er seine Aufgaben nun erledigen sollte. Er gab vor, keine Informationen über die Daten ("OneCard Nummer", ID, Passwort) der Mitarbeiter vorliegen zu haben und nun die Hilfe der Mitarbeiter selbst benötige. Hier sieht man - zwar nicht so ausgeprägt wie es sein könnte -, die Methoden des Social Engineers, nämlich die Vertrauensgewinnung (durch Status(Rang), benötigen von Hilfe, u.a.), Hilfestellung (hier: in Form der Aufklärung über das neue System) und die Überzeugung der Tatsache dadurch, dass die Mitarbeiterin eine persönliche Email erhalten hat. Diese Email war natürlich nur ein Fake und der erkrankte Mitarbeiter existiert auch nicht, aber beides verschaffte dem Angreifer Vertrauen vom "Opfer". Die "OneCard Nummer" war auch eine erdachte Geschichte und sollte nur zur Ablenkung und Vertrauensgewinnung für die wirklich wichtigen Informationen sein, nämlich der ID und des Passworts, mit denen der Angreifer nun Zugriff auf das System hat und sich vielleicht sogar durch Schwachstellen eine (noch) höhere Authentität erringen kann. Szenario 2 Der Social Engineer agiert hierbei als Retter vor/in der Not. Er gibt der Dame einige Anweisungen, um festzustellen, ob ihr Rechner dieselben Symptome aufzeigt oder nicht. Dazu muss sie ihr Passwort ändern. Er sagt allerdings zu ihr, dass sie ihr altes Passwort auf keinen Fall vorlesen solle. Damit erhält der Angreifer wiedereinmal Vertrauen und Gläubigkeit des "Opfers". Sie schöpft also keinen Verdacht von irgendeinem Spionageangriff. In der Zwischenzeit aber, als die Dame sich vom System abgemeldet hat, hat der Social Engineer genügend Zeit, um sich selbst anzumelden (das Passwort ist ja nun "test123") und ein Trojanisches Pferd zu installieren. Nach einigen Minuten loggt die Dame sich dann wieder ein und ist froh, als ihr der angebliche Systemverwalter ihr mitteilt, dass ihr System nicht von den Problemen betroffen ist und sie nun wieder mit ihrer Arbeit fortfahren könnte. Der Angreifer hat durch dieses von ihm entworfene Programm vollen Zugriff auf die Ressourcen der Frau. Er könnte nun alle möglichen (, sensiblen!?) Daten einsehen und so mehr über die Abläufe in der Firma lernen, um so vielleicht weitere Social Engineering Attacken auf diese Firma auszuüben! 5. Schutzmaßnahmen Da Angriffe eines Social Engineers auch (noch) schwerere Folgen haben können als in den obigen Beispielen gezeigt, ist es wichtig, die Mitarbeiter einer Firma über solcherlei Befragungen aufzuklären, damit sie davor geschützt werden können. Ausserdem sollten Sicherheitsrichtlinien eingeführt werden, die z.B. verbieten, einer Person, die sich als Mitarbeiter ausgibt, Daten mitzuteilen, ohne die Identität und die Befugnis der Person zu überprüfen. Das Hauptziel ist fast immer ein Passwort. Deshalb sollten die Mitarbeiter darin geschult werden, kein Vertrauen aufzubauen, alles in Frage zu stellen und niemals Passwörter oder Informationen über Mitarbeiter weiterzugeben. Falls dieses Weitergabe wirklich nötig ist, um z.B. eine reale Umstellung der Systeme durchzuführen, so sollten diese Daten am besten gar nicht erst telefonisch, sondern nur mit direktem Kontakt oder über firmeninterne Medien übergeben werden, die nicht in Verbindung mit ausserfirmlichen Medien wie z.B. dem Internet zusammenhängen. Wichtige Daten sollten nur an einen kleinen Personenkreis weitergegeben werden, der diese wirklich benötigt und der darin geschult ist, damit vorsichtig und achtsam umzugehen. Daten, die einem selbst vielleicht als unwichtig erscheinen, sollten trotzdem ohne Anfrage nach dem Verwendungszweck und Identitätsprüfung der Person auf der anderen Seite auf keinen Fall weitergegeben werden. Auch sollte jeder in der Lage sein, beurteilen zu können, ob diese Informationen in Verbindung mit anderen zu einem Sicherheitsrisiko für die Firma werden können und ob "der Gegenüber" für das Besitzen dieser Informationen wirklich befugt ist. Die beste Vorsorge ist aber, den Mitarbeitern keinen Zugang zu diesen Informationen zu geben, sondern nur einer Person, die sehr gut damit umgehen kann und die Methoden eines Social Engineers erkennt und ins Leere laufen lässt. Das Entsorgen von Papier sollte erst nach gründlichem Schreddern geschehen. Andere Vorsichtsmaßnahmen sollten auch getroffen werden, die aber mehr zur Sicherung der EDV-System gehören. So sollten Passwörter in regelmäßigen Abständen von 2-4 Wochen geändert werden und aus Groß-, Kleinbuchstaben, Sonderzeichen, Zahlen und mindestens 8 Stellen bestehen. Die Systeme sollten auch einen Viren- bzw. Trojanerscanner beinhalten, der in kurzen Abständen von bis zu 3 Tagen aktualisiert werden. Sicherheitsrelevante Daten sollten verschlüsselt werden und nur innerhalb des Firmennetzwerkes verfügbar sein. Damit sollte der Schutz gegen die meisten Angriffe eines Social Engineers gesichert sein. Weitere Sicherheitsmaßnahmen innerhalb der Gebäudearchitektur sind z.B. die Installierung von Kameras und Retinascannern (Stichwort: Biometrie). Ansonsten sollte man eventuell eine Karte einführen, die jeder Mitarbeiter erhält und womit sich jeder Mitarbeiter beim Beginn und Ende eines Arbeitstages ein- und auschecken sollte. Gäste sollten eine provisorische Karte erhalten und sich in einer Liste eintragen. All diese Sicherheitsmaßnahmen bringen aber keinen Nutzen, wenn ein Mitarbeiter nicht versteht, warum sie eingeführt werden und was damit überhaupt verhindert wird. Deshalb sollten spezielle Trainingsseminare durchgeführt werden, wo sie dieses erlernen und anhand von Beispielen verstehen. Diese Seminare sollten nicht einmalig durchgeführt werden; in regelmäßigen Abständen sollten Ihre Mitarbeiter erinnert werden und an diesen Seminaren teilnehmen. 6. Weiterführende Literatur Die Kunst der Täuschung (ISBN: 3-8266-0999-9, Verlag: mitp) Google: Social Engineering Autor: Jonas Havers eMail: jh "at" it-helpnet.de Homepage: www.it-helpnet.de Datum: 21.08.2003 © Copyright 2003 by Jonas Havers. Der Inhalt dieses Textes ist geistiges Eigentum. Das Kopieren für nicht-kommerzielle Zwecke ist genehmigt, sofern der Text unverändert bleibt. Vielen Dank für die Beachtung und Kenntnissnahme dieser Notiz!