image

Hackermentaliteit onmisbaar voor social engineer (interview)

vrijdag 6 juli 2012, 14:12 door Redactie, 6 reacties

Het 'hacken' van mensen is nog altijd een zeer succesvolle manier voor aanvallers om interessante informatie te achterhalen, aldus ICT-dienstverlener Sogeti, dat zelf ook met social engineering te maken kreeg. Sogeti organiseerde tijdens Hack in the Box Amsterdam een social engineering wedstrijd waarbij deelnemers de Top 100 Nederlandse bedrijven moesten proberen te social engineeren.

De social engineers moesten proberen om verschillende gegevens, zoals gebruikte PDF-lezer, browser, besturingssysteem, cateraar en schoonmaakbedrijf bij de nietsvermoedende slachtoffers los te peuteren. Deze informatie zou bijvoorbeeld voor een gerichte phishingaanval zijn te gebruiken. Aan de hand van de verklapte PDF-lezer of plug-ins zou een aanvaller een exploit kunnen ontwikkelen en via de e-mail meesturen.

Ondanks dat Sogeti de wedstrijd organiseerde, besloot het zichzelf ook als doelwit neer te zetten. Social engineer Marcel (interview) wist via slimme vragen voldoende informatie te achterhalen om uiteindelijk de wedstrijd te winnen.

Probleem
"We kunnen niet zeggen hoe groot het probleem van social engineering is, daar zijn geen cijfers van", zegt Marinus Kuivenhoven, senior security specialist bij Sogeti. Hij wijst naar een trend waarbij aanvallen van het fysieke domein naar de netwerklaag gingen, om vervolgens naar de applicatielaag door te gaan. "Mochten we ooit applicatie, netwerk en fysieke beveiliging goed voor elkaar krijgen, dan blijven mensen die deze applicaties gebruiken de volgende laag die wordt aangevallen."

Kuivenhoven denkt dan ook dat social engineering in de toekomst een steeds groter probleem zal worden, maar dat we nu alvast lering kunnen trekken uit de problemen en oplossingen van de andere lagen.

De wedstrijd maakte duidelijk dat veel bedrijven in ieder geval weinig aandacht aan social engineering besteden, of het nu gaat om handhaving of bewustzijn bij het personeel. Alle "aangevallen" bedrijven krijgen toegang tot een lijst met aanbevelingen om hun beleid aan te passen in de vorm van een geanonimiseerde rapportage. Kuivenhoven merkt op dat in veel gevallen het beleid al beschreef hoe werknemers met bepaalde vragen om moesten gaan, maar dat het toch gebeurde dat er gegevens werden verstrekt. "Dan wordt het beleid niet nageleefd."

Nee zeggen
Waar bedrijven vooral op moeten letten is dat werknemers leren om ook nee te kunnen zeggen. "Dat kwam het meeste naar voren tijdens de wedstrijd", laat de security expert weten. Het gaat dan om vragen die buiten de normale rol van het personeel valt. "Bijvoorbeeld aan HR-personeel vragen wat voor computer of besturingssysteem ze gebruiken. Dat valt buiten de normale rol van een HR-medewerker." Bedrijven zouden een whitelist kunnen opzetten van wat wel en niet binnen de informatievoorziening valt.

"Als het buiten de rol valt moeten mensen de informatie niet geven, of de beller doorzetten naar een persoon die met uitzonderingen omgaat." Voor personeel is het belangrijk dat er duidelijk gedefinieerde rollen komen. Binnen die rollen moeten mensen voor bepaalde informatie verantwoordelijk zijn. Deze verantwoordelijkheid zorgt ervoor dat mensen het beleid zich eigen maken, in tegenstelling tot veel awareness trainingen waarbij er geen direct raakvlakken met de dagelijkse werkzaamheden zijn.

Het probleem is dat veel mensen behulpzaam willen zijn en daardoor informatie prijsgeven die ze eigenlijk niet moeten weggeven. "Mensen moeten zich realiseren waarom en met welke reden iemand iets vraagt." Deze rolbewaking moet onderdeel van het proces worden, merkt Kuivenhoven op, net als met applicatiebeveiliging. "Het beveiligen van applicaties is geïntegreerd in het proces, dat wil je ook bij de mens."

Toch is niet alles met regels en beleid op te lossen. "Sommige zaken waar een social engineer gebruik van maakt zitten 'hard wired' in mensen, zoals het helpen van anderen. Daar kun je niets aan doen, zo zijn we geëvolueerd", merkt Kuivenhoven op.

Hackermentaliteit
Bij een echte social engineering test wordt meestal meer tijd genomen om de context te bedenken dan bij de wedstrijd het geval was. Social engineer Marcel bedacht voor zichzelf een scenario en een omgeving waaruit hij de vragen stelde."Wij wilden zien wat er gebeurt als je iemand die er niets mee doet, maar wel de mindset heeft hoe je een applicatie of netwerk hackt, op een bedrijf loslaat. En dan zie je gewoon dat het lukt."

De hackermentaliteit is dan ook onmisbaar voor social engineers. "Je kijkt als hacker naar een proces of actor om te zien hoe het werkt en wat je er nog meer mee kunt doen. Dat was bij de wedstrijd ook het geval."

In tegenstelling tot een firewall waarbij je een regel kunt opstellen die niet wordt overtreden, is dat bij mensen niet mogelijk. Die kunnen beleid of regels naast zicht neerleggen. "Daar hebben we nog een grote uitdaging liggen", gaat Kuivenhoven verder. Het is echter de vraag of training en awareness alles kunnen oplossen. "Als awareness 100% werkt, zou je ook geen dikke mensen hebben die roken."

Om bedrijven nogmaals duidelijk te maken dat social engineering belangrijk is, zal Sogeti ook volgend jaar een social engineering wedstrijd tijdens Hack in the Box sponsoren. Daarbij wordt ook geprobeerd om vrouwen mee te laten doen, want die ontbraken nu. En dat terwijl vrouwen worden geacht betere social engineers te zijn.

Reacties (6)
07-07-2012, 15:16 door Anoniem
Fijn om eindelijk weer eens een artikel te lezen waarbij constructief naar de toekomst wordt gekeken.

10% meer bewustwording is 20% minder problemen lijkt me zo :p
09-07-2012, 09:13 door RickDeckardt
Social engineering komt steeds vaker naar boven als risico voor bedrijven. Al dat moeilijke gedoe met computers hacken en over firewalls heenspringen... 1 telefoontje geeft meer resultaat.
Must read voor de geïnteresseerden: de boeken van Kevin Mitnick o.a. the art of deception en the art of intrusion.
10-07-2012, 10:31 door Anoniem
Belangrijk onderwerp. Na de wedstrijd heb ik ook besloten meer kennis over dit onderwerp te gaan delen. Daarvoor heb ik inmiddels een (ludiek) twitteraccount: @Foo_Ling_Yu geopend. Ik hoop via die weg met mensen in gesprek te raken en wat nuttige tips kwijt te kunnen. Ook staan er voor de nabije toekomst wat lezingen gepland. Waarschijnlijk zal ik volgend jaar niet meedoen, maar mijn vriendin heeft wel interesse ;-)

<Marcel>
16-07-2012, 18:31 door Anoniem
Je kan waarschuwen tot je een ons weegt.
17-07-2012, 09:36 door Shadowzz
Door RickDeckardt: Social engineering komt steeds vaker naar boven als risico voor bedrijven. Al dat moeilijke gedoe met computers hacken en over firewalls heenspringen... 1 telefoontje geeft meer resultaat.
Must read voor de geïnteresseerden: de boeken van Kevin Mitnick o.a. the art of deception en the art of intrusion.
of gewoon de film kijken :D
01-08-2012, 10:08 door Anoniem
Wat ik een beetje jamer vind is dat Sogeti er zelf kennelijk niets van heeft geleerd. In plaats van de kwetsbaarheid te onderkennen en er direct iets aan te doen gaan ze nu 'intern mensen opleiden'. Mijn vraag is natuurlijk: " Wie gaat dat dan doen, en waarom hebben ze dat niet eerder gedaan als ze de expertise wel in huis hebben? ". Eerlijk gezegd is mijn vertrouwen in deze expertise bij Sogeti aardig verdwenen. Voor het organiseren van de wedstrijd 100 punten, maar om vervolgens alle deuren dicht te trekken wanneer de uitslag je niet bevalt... Is dat niet een beetje je kop in het zand steken?
Als ik een bedrijf moest inhuren om mij iets te vertellen over social engineering zou ik daarom niet meer voor Sogeti kiezen. Heeft iemand het nummer van die gast die gewonnen heeft? Als Sogeti hem niet belt doe ik het wel!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.