social engineering - defcamp 2012
TRANSCRIPT
Ingineria Sociala
De Bogdan-Gabriel TORCESCUCEO, RedShift IT SRL
Inginerie Sociala
Ce este Ingineria Sociala?
Ingineria sociala (engleza Social Engineering) este un termen prin care se intelege arta de a influenta, de a manipula si de a minti. Cu alte cuvinte, este priceperea unor maestri in psihologia maselor de a-i face pe altii să gandeasca si sa creadă ceea ce 'maestrul' vrea ca acei "altii" sa creada.
Inginerie Sociala
Termenul de inginerie sociala a fost pus in circulatie de un hacker autointitulat CitiZen-0ne, cu scopul de a desemna modul in care actioneaza initiatorii jocurilor (sau afacerilor) piramidale Exemple ar fi jocul piramidal Caritas (1991-1994) care, bazandu-se pe mirajul banilor nemunciti, a lasat fara economii un mare numar de participanti, sau Delphin International (inceput in 2002), care functioneaza pe acelasi principiu.
(sursa: wikipedia)
Inginerie Sociala
Implicatii in securitatea informatica
Adesea ingineria sociala este folosita in securitatea informatica. Sunt cazuri cand un hacker nu poate lua acces intr-un sistem informatic, in modalitati clasice, iar atunci acesta poate apela la manipularea celor ce folosesc respectiv, administreaza acel sistem pentru a lua acces.
Inginerie Sociala
Cu toate astea, ingineria sociala face parte din viata noastra de zi cu zi, caci folosim tehnici ce fac parte din aceasta de multe ori fara sa stim cand negociem un contract, cand rugam pe cineva sa amane plata unei datorii...
Ingineria sociala are la baza tehnici de manipulare, iar aici prin manipulare intelegem modalitati de a induce interlocutorului, o perceptie malformata asupra scopului, implicit subiectului abordat.
Inginerie Sociala
Aceasta se realizeaza cel mai des folosind declansatori in subconstient, acestia se bazeaza pe tipare de gandire generale ce sunt actionate de catre manipulator, si fiecare conduc subiectul intr-o anumita stare, ce permite, fie inducerea unor conexiuni rationale (rationamente), noi, ce vor servi apoi ca declansator, fie formeaza pareri (induse) vis-a-vis de subiectul aflat in discutie.
Inginerie Sociala
O alta tehnica des intalnita este inducere starii de confuzie, si blocaj mental.
Aceasta are rolul de a suspenda procesele naturale ale psihicului implicit o data cu acesta si barierele naturale de protectie. Dupa acesta manipulatorul poate ”programa” efectiv mintea subiectului, spunandu-i cum sa reactioneze pe moment sau pe viitor cand se va regasi intr-un context, folosit in cazul de fata ca declansator.
Acesta tehnica este cunoscuta sub numele NLP.
Inginerie Sociala
Bun, hai sa vedem un exemplu practic de astfel de manipulare.
http://www.youtube.com/watch?feature=player_embedded&v=EWBvdZa_Nno&noredirect=1
Inginerie Sociala
Sa lamurim un lucru, in video, tipul a fost putin misogin, de fapt a folosit asta, pentru a distrage atentia celui ce il vizioneaza, de la orice intrebare i-ar veni in minte vizavi de tehnica, si ce a urmarit prin fiecare propozitie adresata subiectului. Pauzele facute in conversatie si adresarea directa catre camera au avut si ele rolul lor.
Inginerie Sociala
Pana unde poate duce acesta manipulare?Pe scurt imaginatia este limita, as lua ca exemplu,
un italian, ce a folosit manipularea pentru a fura efectiv, mai exact NLP-ul. Folosind o tehnica a acestuia numita hipnoza in trei pasi.
Tipul intra in supermaket, cumpara unul sau doar cateva produse trecea pe la casa si iesea linistit. La finalul zilei cand vanzatoarea verifica banii din casa observa ca lipsea o suma semnificativa.
Inginerie Sociala
Dupa investigatii, s-a descoperit, ca tipul folosea NLP, pentru a programa vanzatoarea cum ca i-ar fi dat o batcnota mai mare decat in realitate primind restul aferent acesteia.
Vanzatoarea isi amintea doar ca acel individ ajuns la casa i-a spus ceva la ureche, dupa care nu-si mai putea aduce aminte nimic vizavi de acel client. Nici ce a cumparat, nici daca i-a platit.
Inginerie Sociala
Un lucru bun, este ca aceste tehnici nu sunt accesibile oricui, si informatiile cu privire la acestea sunt precare, si totusi o persoana specializata poate avea acces in multe locuri unde n-ar trebui sa aiba.
Mai este de mentionat aici parapsigologia, ce cuprinde tehnici prin care de exemplu, doar vazand un obiect, fara ca cineva sa iti fi vorbit despre acesta sa ai o dorinta irezistibila, inexplicabila de a-l achizitiona. Aceasta de asemenea este o ramura a tehnicilor de manipulare extrem de greu accesibila.
Inginerie Sociala
Exercitiu de imaginatie :)Iar acum, haideti sa facem un exercitiu de
imaginatie pentru a percepe mai usor implicatiile si modul de utilizare a ingineriei sociale cel mai frecvent intalnite.
Ganditi-va cu un individ, Ion, a fost angajat de o companie D&S, pentru a sustrage de la concurenta, compania Rale, o baza de date interna si o aplicatie ce le-ar permite celor de la D&S sa ii scoata de pe piata pe cei de la Rale.
Inginerie Sociala
Compania Rale, a are un sistem de securitate destul de bun, astfel Ion nu a reusit sa patrunda in serverele acesteia din exterior, in continuare a apelat la inginerie sociala.
Cautand informatii despre companie, Ion, il gaseste pe seful departamentului it pe facebook, Alex.
Inginerie Sociala
Observa astfel ca au un prieten comun pe facebook, Lidia.
Ion aloca 2 saptamani pentru a relua relatiile cu ea, si afla ca Alex este vecin de cartier al Lidiei, astflel intr-o seara cand o conducea acasa, il intalneste, Lidia le face cunostiinta si incep sa dezbata subiecte comune.
Urmatoarea saptamana au iesit la bere cu inca niste prieteni.
Inginerie Sociala
In discutie, Alex, ii spune ce proiecte are si Ion vine cu solutii, revolutionare la problemele ce le intampina Alex la locul de munca, reusind apoi, in cateva intalniri sa-i induca lui Alex, ca are nevoie de cineva cu care sa imparta munca iar Ion este cea mai potrivita persoana.
Astfel Alex intervine pe langa seful sau, spunandu-i cate s-ar putea rezolva cu inca cineva care sa lucreze, convingandu-l, Ion este chemat la interviu.
Inginerie Sociala
Interviul era una din tintele lui Ion, astfel putea avea sansa sa patrunda in reteaua locala.
Ion se pregateste de interviu, si isi lasa intentionat laptopul acasa, pentru a nu atrage atentia prin intententia de a conecta ceva din exterior la reteaua locala.
Totodata datorita faptului ca nu avea laptopul la el i s-a oferit un cont ftp pe serverul unde era baza de date si aplicatia de care avea nevoie, pentru a rezolva testul de la interviu.
Inginerie Sociala
Chiar daca din exterior, serverul nu era vulnerabil, o data ce Ion, a primit acces, a reusit sa il exploateze pana la root.
Astfel in cateva zile a extras zeci de GB de date, nu de alta dar wifi-ul lu' vecinu mergea greu.
Testul l-a dat cu succes, a fost acceptat, dar a deturnat negocierea salariului cat sa nu fie angajat.
