Sikkerhet og Hacking Forelesning 3 Social Engineering Tom Heine Nätt
Hva er Social Engineering?
Hva er Social Engineering? Hvorfor stjele informasjonen, når du kan spørre etter den? Overtale folk til å gi fra seg informasjon eller utføre handlinger Med en mengde psykologiske teknikker + enkle teknologiske triks Kan sammenlignes med en tryllekunstner Stjeler med venstre hand, mens du følger med på høyre Angrep i seg selv, eller et forangrep før den tekniske hackingen Kevin Mitnick
Hva er Social Engineering? Det blir stadig vanskeligere å knekke teknologien Går rundt ved å knekke mennesker isteden Baserer seg på at teknologien er sikker, og at brukerne er dumme Spesielt ansatte i bedrifter
Hva er Social Engineering?
Hva er Social Engineering There is no patch for human stupidity
Drives av: Frykt Penger som er usikre Autoriteter Politi Nettleverandøren Kriser Alle må gi inn passordet så vi får systemet opp igjen fort Feltarbeider med sur kunde Nyskjerrighet Nude pictures See who blocked you Tillit Osv.
Social Engineering-angrep krever (som oftest) informasjon om offer Hvordan få tak i denne?
Hvordan finne informasjon om offer? Passive teknikker Google Blogger Medlemslister Osv.. Webarkiver Sosiale nettverk Personlige websider Offentlige registere Skjult informasjon i dokumenter F.eks Word (Mehlis report) Dumpster Diving
Oppgave Bruk 15 min til å: A. Finne mest mulig info om foreleser ved å google han Ikke Facebook-sider osv som krever at du er venn B. Hva ekstra informasjon får man gjennom lukkede nett som Facebook osv? Hva finner man?
Hva finner man? Inntekt/formue Adresse Telefonnummer Alder/Fødselsdato CV (Arbeidsgivere, skoler) Navn på venner Hvor man har vært/er på ferie Interesser/Hobbyer/Fritid Evt. firmaer som personen driver Med alle attester, rapporter mm. Kontonummer Påbegynte kurs på hiof (arbeidskravlister) Osv
Aktive teknikker Pakkesniffing Phishing Mail (SPAM) Eksempel: Read-logging (mailscamlogging.txt) Telefon (f.eks bytte nummer i telefonboken) Fysisk møte opp Bygge relasjoner i sosiale nettverk osv.
Angrepet Få den informasjonen/handlingen man virkelig var ute etter Hvilke medier har man
Medier E-mail Mail spoofing Sosiale nettverk Instant messaging Websider Kjente Kloner av kjente (Phishing) Ukjente Telefon Brev Mobil Fysisk +++
Hva benyttes Social Engineering til?
Bruksområder Stjele kontoinformasjon Både penge- og tjeneste-kontoer Hente ut teknisk informasjon Få personer til å utføre handlinger. F.eks Legge til kunder Fjerne logger Overføre penger Installere applikasjoner (virus) Få personer til å utføre angrep
Bruksområder Gå rundt sperrer ved å få informasjon fra de med tilgang Kryptering Passordbeskyttede tjenester Bestille varer Spesielt i andre land (som spesialiserer seg på anonymitet) Opprette abonnement/kontoer Osv..
Eksempel 1 1. Ringe til en butikk og skryte Si at man vil skrive et brev til sjefen på hovedkontoret og takke Får navn + info om sjefen og rutiner 2. Ringer til butikken og sier man er sjefen. Trenger info om en kunde som man tror har begått lovbrudd Får informasjonen om kunden
Eksempel 2 Ringe elektrobutikk og spørre etter personen som jobbet da og da Få navnet Ringe en annen i samme kjede og utgi seg for å være denne personen. Si at du har solgt en 1 kr mobil som ikke var på lager. Si at en person som heter X kommer og henter det, og at abonnementet er alt opprettet, så man bare trenger å selge selve telefonen for 1 kr... Gå til butikken (Fra The Art of Deception)
Eksempel 3 A survey out today by the organizers of the tech-security conference Infosecurity Europe found that 21% of 576 London office workers stopped on the street were willing to share their computer passwords with a good looking woman holding a clipboard. People were offered a chocolate bar in exchange for the information. More than half of the people surveyed said they used the same password for everything. http://www.darknet.org.uk/2008/04/chocolate-owns-your-passwords/
Eksempel 4 I made my way to the credit union at about 6 a.m. to make sure no employees saw us. I then proceeded to scatter the [USB]drives in the parking lot, smoking areas, and other areas employees frequented. Once I seeded the USB drives, I decided to grab some coffee and watch the employees show up for work. Surveillance of the facility was worth the time involved. It was really amusing to watch the reaction of the employees who found a USB drive. You know they plugged them into their computers the minute they got to their desks. http://www.darknet.org.uk/2006/07/free-usb-drives-defeat-company-security/
Eksempel 5 Although the majority (60 percent) of 207 London residents were happy to hand over computer password data which might be useful to potential ID thieves in exchange for a 5 M&S gift voucher, the public at large take a hard line on firms who fail to keep tight hold of customer data. In exchange for the voucher, a number of those quizzed during a street survey in Covent Garden earlier this week went on to explain how they remember their password and which online websites (from a range of email, shopping, banking and social networking sites) they most frequently use. A sizeable chunk of those surveyed (45 per cent) said they used either their birthday, their mother s maiden name or a pet s name as a password. http://www.darknet.org.uk/2008/09/brits-give-up-passwords-for-a-5-gift-voucher/
Eksemplel 6 Just days after the Boston bomb scare, another team of Boston-based pranksters smuggled and distributed 2,350 suspicious light-up devices into the Super Bowl. Due to its attractiveness as a terrorist target, Dolphin Stadium was on a Level One security alert, a level usually reserved for Presidential inaugurations. By posing as media reporters, the pranksters were able to navigate 95 boxes through federal marshals, Homeland Security agents, bomb squads, police dogs, and a five-ton X-ray crane. http://www.schneier.com/blog/archives/2007/04/social_engineer_4.html
Eksempel 7 They ll call you in the middle of the night: Have you been calling Egypt for the last six hours? No. And they ll say, well, we have a call that s actually active right now, it s on your calling card and it s to Egypt and as a matter of fact, you ve got about $2,000 worth of charges from somebody using your card. You re responsible for the $2,000, you have to pay that... They ll say, I m putting my job on the line by getting rid of this $2,000 charge for you. But you need to read off that AT&T card number and PIN and then I ll get rid of the charge for you. People fall for it. http://www.gocsi.com/soceng.htm
Eksempel 8 The facilitator of a live Computer Security Institute demonstration, neatly illustrated the vulnerability of help desks when he dialed up a phone company, got transferred around, and reached the help desk. Who s the supervisor on duty tonight? Oh, it s Betty. Let me talk to Betty. [He s transferred.] Hi Betty, having a bad day? No, why?...your systems are down. She said, my systems aren t down, we re running fine. He said, you better sign off. She signed off. He said, now sign on again. She signed on again. He said, we didn t even show a blip, we show no change. He said, sign off again. She did. Betty, I m going to have to sign on as you here to figure out what s happening with your ID. Let me have your user ID and password. So this senior supervisor at the Help Desk tells him her user ID and password. Brilliant.
Kjennetegn på en Social Engineer Hva tror dere?
Kjennetegn på en Social Engineer Sosiale (i motsetning til hackere generelt) Utstråler tillit Høflige Suksessfulle Flinke til å uttrykke seg Ekstremt godt minne Evnen til å gjøre godt forarbeid! Klarer å tenke mange ulike trekk Jfr: Sjakkspiller +++
Kjennetegn på en Social Engineer Foreldre er ofte gode Social Engineers Fort kunne finne på forklaringer på hvorfor man må Historier Overtalelse Osv..
Hvordan forsvinne i mengden 1. Wear a suit. 2. Wear a Bluetooth headset. 3. Pretend to be talking loudly to someone on the other line. 4. Carry a clipboard. 5. Be white. http://www.schneier.com/blog/archives/2007/04/social_engineer_4.html
Hvorfor fungerer Social Engineering så godt? Hva tror dere?
Hvorfor fungerer social engineering så godt? Vi er ikke oppdratt til å være skeptiske Snarere å tro godt om hverandre Mange i bedrifter ønsker å være Hr./Fru. Hjelpsom Svarer på alt, for å ikke sette bedriften i dårlig lys Plutselig har alle tilgang Ikke lenger bare sjefer som arbeider med informasjon/pc. Vi er våre egne bankfolk Osv.. Vi tror at vi kan avsløre svindlere Og at de ser ut/oppfører seg som svindlere Osv..
Noen triks
Noen Triks Begynne med noe positivt Si at man liker tjenesten At du er en god kunde Osv Begynne med små enkle og ufarlige forespørsler Offer tenker: Det har jo gått bra hittil Få tak i kjent informasjon og bruke denne Virker jo som denne personen kjenner meg/oss Troverdighet => tillit Utgi deg for noen med høyere rang Sjefen Revisor Politi I rangsstiger ( kaptein, major, professor osv..)
Noen triks Utviklere er ofte iverige til å fortelle om systemet de har lagd og alle finessene Stolthet Late som man spør for noen andre Jeg har en dame på tråden her som lurer på. Tidspress Virker mer uskyldig Late som man har problemer.. Maskinen min har fått virus kan du sjekke opp følgende for meg
Noen triks Spørre om informasjon ved å si du skriver en bok/artikkel om temaet Plutselig er få spørsmål rare/for dyptgående Spørsmålene må være så lite rare, at ingen stusser over dem etterpå.. offeret må glemme korespondansen Ofte best å benytte mange offer for å få tak i informasjonen man ønsker Mange biter uskyldig informasjon satt sammen blir kraftfult
Noen triks Endre belønning med tiden, men beholde risikoen konstant Eksempel: http://www.youtube.com/watch?v=hzhc7rft6q Y Late som man gjør et skoleprosjekt om firmaets system/rutiner og spørre om å få tilsendt informasjon Ringe til support for et produkt og si at man er fra IT-avdelingen spørre hvordan dette er installert her?
Noen triks Ofte er angrep opplysninger om at du har blitt angrepet Stoler på at angriperen skal fikse Hoaxes Late som man er ute på oppdrag for firmaet og at ting haster Hjelper sine egne Viktig å kjenne ord og utrykk fra bransjen Ellers avsløres man på dette
Noen triks Baserer seg ofte på missforståelser Vi har fått inn en bestilling fra deg Offeret gir ofte opplysninger frivillig for å rette opp missforståelsene kanskje noen har brukt feil kontonummer hva er ditt kontonummer? Ofte kamufleres SE-angrep som spørreundersøkelser Med stadig mer dyptgående spørsmål Få lar være å svare når de er på gli (automatikk) Ved å ha mange teite spørsmål først, slutter man å være kritisk Istedenfor å starte med det man egentlig lurer på
Noen triks For å få fatt i internummer Ringe til noen Oy...da har jeg kommet feil har du nummeret til...nn Spør etter informasjon man ikke trenger (som er opplagt) Senker mistenksomheten
Noen triks Ofte må man gå flere runder Stadig bytte informasjon i mer verdifull informasjon hos ulike parter Start med sentralbord/helpdesk De er opplært til å hjelpe til med alt Lite opplært i sikkerhet og verdien av informasjon, men sitter på det meste av info i bedriften
Noen triks Skaff deg passordet til brukerens usikre tjenester Som oftest samme passord andre steder..
Noen triks Dupster diving: company phone books organizational charts memos company policy manuals calendars of meetings events and vacations system manuals printouts of sensitive data or login names and passwords printouts of source code disks and tapes Selv de som er ødelagte company letterhead and memo forms outdated hardware http://www.securityfocus.com/infocus/1527
Social Engineering og sikkerhetsteknologi
SE og sikkerhetsteknologi SE gjør faktisk teknologien (brannmurer, viruskontroll osv) mer usikker - eller omvendt? Vi stoler så mye på teknologien, at vi ikke tenker selv Sikkerheten blir en illusjon Jfr: metalldetektorer på en flyplass Mennesket er sikkerhetens svakeste punkt Mer teknologi hjelper ikke (lite) Finnes kun noen få gode SE-filtere Phishing-filtere i Nettleser/mailklient
Mail spoofing
Mail spoofing Kjøre SMTP-kommandoer manuelt Kan lagres i en tekstfil, og så pastes inn i terminalvinduet etter at telnet mailserver 25 er kjørt Husk Quoted printables: http://www.motobit.com/util/quotedprintable-encoder.asp
Sende HTML-mail HELO meg.hiof.no MAIL FROM: a@b.c RCPT TO: d@e.f DATA from: test person <a@b.c> to: offer <d@e.f> reply-to: g@h.i subject: Melding MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 Content-transfer-encoding: quoted-printable <html> [osv..] =E6=F8=E5 [osv..] </html>. QUIT
Sende HTML-mail To, from, subject osv, kan encodes slik: =?ISO-8859-1?Q?Tom_Heine_N=E4tt?= NB! Benytt Underscore for space i quoted printables
Noen spoofing-triks Benytte reply-to Avslører ikke ovenfor avsender Evt. noreply Evt sær historie om at man har lånt en annen sin maskin, så svar til xxx Linkers tekst kan være andre linker Plukke logobilder fra virkelig side Link for å aktivere/gjenopprette ting..
Phishing
Phishing To hensikter: Gi villedende informasjon Eksempel: vgnetproxy Stjele informasjon Eksempel: loginphishing Hvordan få brukere til å besøke Feiltastede webadresser F.eks www.dagblade.no Sende URL i mail Redirects fra den virkelige siden XSS? DNS/Proxy servere Søkemotorer
Phishing - kode <?php $url = fopen("http://www.vg.no","r"); while( $linje = fgets($url) ) { $linje = str_replace( XXX", YYY",$linje); $linje = str_replace( XXX", YYY",$linje); echo $linje; } fclose($url);?>
Metoder for å kammuflere URL Username-URL er http://www.vg.no@10.0.0.1/script.php Redirects tinyurl.com bit.ly moo.no Typos Eget fagfelt rundt hvilke bokstaver som kan fjernes osv.. Domenekloner F.eks.nu
Eksempel Mail spoofing/phishing PayPal
http://paypal.user-updates.com/update/
http://i276.photobucket.com/albums/kk23/amykhim/phishingtrustedbank-1.png
www.smithbarney.com
http://s197.photobucket.com/albums/aa256/thewicker/?action=view¤t=ebayphishing3.jpg
Bank of Scotland Dear Bank of Scotland customer, You have received this alerting message, as you are listed to be an Bank of Scotland Business Banking user. We would like to inform you that we are currently carrying out scheduled maintenance of banking software, that operates customer database for Bank of Scotland Business Banking users. Customer database is based on a client-server protocol, so, in order to finish the update procedure, we need customer direct participation. Every Bank of Scotland Business Banking customer has to complete a Business Banking Form. In order to access the form, please use the link below. The link is unique for each account holder and expires within a certain period of time. If you don't fill in Business Banking Form before your unique link expires, the system will automatically send you a new notification message. http://www.bankofscotlandbusiness.co.uk.session46061/ibfom/hobsinter net/en/index.jsp?id=797848383589246287693666979215274208825 91 Thank you for your cooperation. We apologize for any inconvenience brought. Bank of Scotland Business Banking
UPS Unfortunately we were not able to deliver postal package you sent on Nov the 7 in time because the recipients address is not correct. Please print out the invoice copy attached and collect the package at our office Your UPS
Facebook Subject: Ole Olsen added you as a friend on Facebook... From: "Facebook" <notification+mphwd5md@facebookmail.com> Date: Tue, April 21, 2009 9:05 am To: Hans Hansen <hans.hansen@domene.no> Priority: Normal Ole added you as a friend on Facebook. We need to confirm that you know Ole inorder for you to be friends on Facebook. To confirm this friend request, follow the link below: http://www.facebook.com/n/?reqs.php&mid=57645ssf3ed97g4806212g2 Thanks,The Facebook Team This message was intended for hans.hansen@domene.no. Want to control which emails you receive from Facebook? Go to: http://www.facebook.com/editaccount.php?notifications&md=znjpzw5ko2zyb209weswm DgRvPT wnduxntiymw==&mid=57645ssf3ed97g4806212g2 Facebook's offices are located at 156 University Ave., Palo Alto, CA 94301.
Eksempler Greetingcards Invitasjoner til sosiale nettverk Stort arkiv: http://www.millersmiles.co.uk THN s spamfilter THN s SPAMORAN-prosjekt
Mail/Phishing scams - Trender
Trender Personlig informasjon Fra venner Tilpasset språk osv. Loke stedsnavn (lokalisering av ip ) Logoer og grafikk Virker tryggere Meget gjennomførte Ikke lenger usannsynlige
Reverse Social Engineering Lage en kunstig autoritet som offerene selv kontakter Du har automatisk tillitt i det kontakten opprettes. F.eks kræsje noens datanett dagen etter de har mottatt en fake annonsebrosjyre fra deg om hvor bra ditt firma er til å fikse slike typer kræsj
Kredittkort Sikkert?
Kredittkort Kjenner man følgende informasjon, kan man handle på noen sitt kredittkort Kortnummer Card Verification Value Code (CVV) Expire date CVV fungerer som PIN-kode Ofte benytter SE-folk pornosider ( i alle fall et slikt navn) for å ta ut penger.. Ingen diskuterer med noen at de har blitt svindlet med noe slikt
Noen småklipp
Noen demonstrerende klipp Scratch and Loose: http://www.youtube.com/watch?v=26fuhvnejyu (US) http://www.youtube.com/watch?v=hfpobp-hifq (UK fra ca 6 min 15 sek) Lottery Scam http://www.youtube.com/watch?v=qmwwbxfmisy Subliminal Advertising http://www.youtube.com/watch?v=zyqjr1yl0zg Get Drunk Without Drinking http://www.youtube.com/watch?v=zrygztbu49i Finding London Eye http://www.youtube.com/watch?v=7nkiw_lgyiq Ask for wallet http://www.youtube.com/watch?v=ciiz2fagwcw
Hva skjedde så: Konspirasjonsteorier Folk ser syner Har sett henne på fester osv. Folk påstår de kjenner henne Virklige Line Frerdriksen er blir kontaktet
Oppslag i DHCP med mer: xxxxxxxx, sitter på trådløst nett i 1.etg D-fløyen et sted..
$ finger xxxxxxxx Login: xxxxxxx Name: XXXXX XXXXX XXXXX Directory: /home/studenter/it07/xxxxxxx Shell: /bin/bash Last login Thu Nov 6 20:44 (CET) on pts/4 from pc174-8.hiof.no No mail. No Plan.