Monika Sadlok - Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna praktyka? www.tsh.io Dlaczego miły, uprzejmy i towarzyski pracownik stanowi jedno z największych zagrożeń bezpieczeństwa każdej firmy czy organizacji? Ponieważ to jego pozytywne cechy charakteru wykorzystywane są przez osoby próbujące uzyskać dostęp do chronionych informacji w sposób nieuprawniony. Czy zatem testy bezpieczeństwa powinny uwzględniać metodologię inżynierii społecznej? Z pewnością tak. O tym będzie moja prezentacja.

1. Inżynieria społeczna jako
element testów
bezpieczeństwa - tylko
teoria, czy już niezbędna
praktyka

2. Monika Sadlok
/sadlokmonika

3. Czego nie będzie w prezentacji?
- instrukcji związanych z konfiguracją
narzędzi wykorzystywanych w pracy
pentestera
gotowych testów

4. Ej, no co ty?
To po co mam tutaj
siedzieć?

5. Ale…
1. poznamy definicję socjotechniki i
przykłady jej stosowania,
2. poznamy kilka narzędzi pomocnych w
fazie reaserchu,
3. przekonamy się, że najsłabszym
elementem systemów bezpieczeństwa
jest człowiek,
4. poznamy ścieżki dla samodzielnych
poszukiwań.

6. Zaczynamy od definicji!
Czym jest inżynieria społeczna?

7. zespół technik służących osiągnięciu pewnych, wcześniej
zdefiniowanych celów
jest to działanie celowe, przemyślane
sztuka/umiejętność efektywnej manipulacji jednostką lub
grupą/organizacją

8. Inżynierią społeczną rządzi 6 reguł, które
pozostają niezmienne od momentu, kiedy
człowiek pozyskał wiedzę, że manipulacja
przynosi korzyści.

9. 1. Reguła wzajemności

10. 2. Reguła zaangażowania

11. 3. Reguła społecznego dowodu słuszności

12. 4. Reguła sympatii

13. 5. Reguła autorytetu

14. 6. Reguła niedostępności

15. Kto wykorzystuje inżynierię społeczną?

16. HAKERZY

17. Przykład?
Wszyscy znali, czytali, podziwiali?!
Więc może coś innego?
Może i banalne, ale jeśli zależy nam na
popularności w mediach
społecznościowych...

19. SZPIEDZY

21. NIELOJALNY PRACOWNIK
NIEŚWIADOMY PRACOWNIK

24. SPRZEDAWCY

25. Jak wykorzystać tę
wiedzę w testach
bezpieczeństwa?

26. Rodzaje testów bezpieczeństwa
BLACK BOX
Pentester nie posiada żadnych szczegółowych informacji na temat badanego obiektu.
Ten rodzaj weryfikacji jest stosowany do symulacji zewnętrznego ataku, bez posiadania
wiedzy wewnętrznej.
WHITE BOX
Pentester posiada kompleksowe informacje na temat badanego obiektu.
Obejmują one dane dostępowe, dokumentację analityczną, kod źródłowy oraz wszelkie
inne informacje, które pomogę uzyskać pełny obraz badanego systemu.
GRAY BOX
Typ testu pomiędzy Black a White box. W tym przypadku pentester może otrzymać
okrojone informacje o badanym obiekcie, np. na poziomie wiedzy zwykłego
użytkownika.

28. Pamiętaj testerze!!!!

29. Cel testów bezpieczeństwa
- biznesowy
- technologiczny

30. Standardy testów bezpieczeństwa
PTES (Penetration Testing Execution Standard)
- definiuje testy penetracyjne na nowo,
- ustanawia podstawowe zasady ważne dla początkujących
i doświadczonych testerów,
- www.pentest-standard.org.

31. Rozpoznanie:
- wykorzystanie portali
społecznościowych
- google hacking
- rozmowa z klientem

40. Socjotechnika, a urządzenia mobilne?
No Problem

41. Socjotechnika == manipulacja

45. Raport
- to najważniejszy element testów penetracyjnych
- pozwalają przedstawić czynności jakie wykonałeś i
przekazać informacje jak zabezpieczyć luki w systemie
- powinien składać się z trzech części (streszczenia dla
zarządu, prezentacji dla zarządu, ustalenia techniczne)

46. Raport odpowiada na pytania:
- Czy środki bezpieczeństwa zostały
odpowiednio dobrane?
- Czy wdrożone systemy zostały prawidłowo
skonfigurowane?
- Czy chroniony zasób nie posiada w sobie
luk umożliwiających atak?

47. Tego lepiej unikać
Co prawda w tej części sieci nie odnaleziono żadnych problemów, ale mogą one
występować lub nie występować do momentu ich odkrycia.
Skutki przeprowadzenia testu na tej bazie danych mogą mieć poważne skutki.
Zaleca się, aby odkryte błędy zostały usunięte zgodnie z priorytetami
określonymi w raporcie.

48. Czas trwania testów
Czas to pieniądz … pieniądz jest
czasem..a czasem go nie ma

49. Człowiek czy skaner?
Skaner automatyczny
- masowe, cykliczne skany,
- czasowa przewaga w rozbudowanych aplikacjach,
- możliwość pominięcia nietypowych przypadków,
- możliwość pominięcia oczywistych, ale nietypowych
podatności,
- niska skuteczność w testowaniu logiki biznesowej.

50. GRZECHY PENTESTÓW
PYCHA
Mamy świetne zabezpieczenia!
- brak dojrzałości organizacji
- nieomylność ludzka
- raport “AD ACTA”

51. CHCIWOŚĆ
Testy są kosztowne i nie są nam
potrzebne
- cena czy jakość, czy jakoś(ć) to
będzie,
- czas to pieniądz,
- niedoszacowanie wydatków.

52. NIECZYSTOŚĆ
- brak opracowanej strategii,
- rozmycie odpowiedzialności.

53. LENISTWO
Czuwaj nawet jeśli jesteś bezpieczny
- droga na skróty
- kopiowanie

54. PODSUMOWANIE
Bezpieczeństwo nie jest stanem, lecz procesem.
Testy bezpieczeństwa pomagają zapobiegać niebezpieczeństwom,
zanim się zmaterializują.
Testy bezpieczeństwa potrafią zweryfikować pracowników firmy, czy
przestrzegają polityki bezpieczeństwa, czy są lojalni.
Testy bezpieczeństwa same w sobie nie usuną luk w systemie.

55. Polecam:

56. Z cyklu tego NIE powiedział P.Coelho
Najważniejsze w życiu są testy
bezpieczeństwa.