Nieuws
image

Mitnick: bijna 100% succes met social engineering

maandag 11 mei 2015, 12:42 door Redactie, 7 reacties

Social engineering is nog altijd één van de beste manieren voor hackers om bij organisaties binnen te dringen, aangezien er geen patch voor menselijke stupiditeit is, zo stelt beveiligingsexpert Kevin Mitnick. Mitnick was jarenlang de meestgezochte hacker ter wereld en werd uiteindelijk tot een gevangenisstraf van vijf jaar veroordeeld wegens het inbreken bij verschillende grote ondernemingen, waar hij ook social engineering toepaste.

Tijdens zijn keynote voor de CeBIT business IT-conferentie in Sydney stelde Mitnick dat social engineering met name effectief is om bij beveiligde netwerken binnen te dringen, omdat aanwezige problemen menselijke fouten zijn. "Je kunt geen patch voor stupiditeit downloaden", merkte hij op. "Social engineering omzeilt alle intrusion-detectiesystemen. Er is niets op de markt dat het kan detecteren." Daarnaast is gratis of vrij goedkoop om uit te voeren, zoals het versturen van e-mail.

Zelf voert Mitnick met zijn eigen bedrijf penetratietests uit. Als er social engineerg mag worden toegepast is de succesratio bijna 100%. "Het werkt op elke platform, ongeacht of je Windows, Mac OS X of Linux gebruikt. Het is volledig platformonafhankelijk en de succesratio is bijna 100%." Mitnick vertelde het publiek dat anti-virussoftware dood is en dat de meeste aanvallen die het gevolg van social engineering zijn de virusscanner weten te omzeilen, zo laat Zdnet weten.

Het zijn volgens hem dan ook mensen die de zwakste schakel in de beveiliging zijn. "Gebruikers zijn het probleem", aldus de ex-hacker. Hij adviseert bedrijven dan ook om de "menselijke firewall" te versterken, iets wat door herhaaldelijke trainingen kan worden gedaan. Daarnaast moeten organisaties ervoor zorgen dat alle software op de computers van werknemers up-to-date is en moet inkomend en uitgaand verkeer strenger via de firewall worden gefilterd.

Reacties (7)
11-05-2015, 13:09 door Anoniem
Nog altijd wordt security onderschat bij bedrijven....

En al helemaal de opleiding van de medewerkers met IT-gerelateerde attributen.
11-05-2015, 14:48 door Anoniem
Ik heb zijn boek "The Art of Deception" toen gelezen, dan snap je vrij snel hoe zoiets werkt. Hij gebruikte bijna altijd een 2-staps aanpak. In de eerste stap verzamelde hij informatie over het bedrijf die hij in de 2e stap gebruikte om zich als insider voor te doen. Als je googled op de boektitel + pdf dan is het eenvoudig online te vinden.
11-05-2015, 17:57 door Anoniem
Overheden hanteren dezelfde methodieken; creer een probleem voor je slachtoffer en biedt dan hulp om het probleem weg te nemen, doe dat en je hebt je 'vertrouwenswaardigheid' aan je slachtoffer bewezen. En speel vervolgens 2 slachtoffers tegen elkaar uit of schakelen ze in serie om zo 'verdachte acties' in meertrapsraketten te vermommen en peer pressure doet de rest :)
11-05-2015, 22:35 door Anoniem
Stupiditeit kent geen grenzen - nee, maar dan toch de stupiditeit van degenen die beter zouden moeten weten, niet van de mensen in kwestie die gefopt worden.

Twee puntjes van verbazing:

- bij de receptie worden medewerkers geacht tegelijkertijd klantvriendelijk en behulpzaam, als strikt en streng te zijn.
- voor het opstellen van beveiligignsbeleid worden hooggeschaalde mensen ingezet, voor het uitvoeren van beveiliging komen we in de laagste schalen terecht. Ten eerste, hoe weet je nou of je goed beleid maakt als je zelf nooit met je poten in de modder (oftewel aan de balie of bij zaalbeheer) staat; en ten tweede, wil je bij een openhartoperatie dat deze bedacht en beschreven wordt door de chirurg en uitgevoerd door de schoonmaker?

Niet dat ik veel fiducie heb in het vermogen van het "tactisch niveau" om social engineering te herkennen en tegen te gaan, trouwens.

Kevin Mitnick en consorten misbruiken net als "gewone" oplichters hoe mensen gebouwd zijn (Ghost in de wires geldt net zo goed voor onze "wiring") en hoe mensen met elkaar omgaan. Als je niemand vertrouwt kan een maatschappij niet draaien.
Om je slachtoffers stupide te noemen, vind ik net zo iets als bejaarden beroven en het dan stomme sukkels noemen. Ja, het is makkelijk. Maar om daar nou trots op te zijn?
12-05-2015, 10:07 door Anoniem
Door Anoniem:
- voor het opstellen van beveiligignsbeleid worden hooggeschaalde mensen ingezet, voor het uitvoeren van beveiliging komen we in de laagste schalen terecht. Ten eerste, hoe weet je nou of je goed beleid maakt als je zelf nooit met je poten in de modder (oftewel aan de balie of bij zaalbeheer) staat; en ten tweede, wil je bij een openhartoperatie dat deze bedacht en beschreven wordt door de chirurg en uitgevoerd door de schoonmaker?
Ook in het ziekenhuiswezen is er een verschil tussen mensen die diagnose stellen en mensen die opereren. Beleid opstellen vereist brede generieke kennis, het echte beveiligen vereist specialistische kennis over één onderwerp. In het geval van een hartoperatie vereist het uitvoeren ook veel kennis en kunde, dat is minder in het geval bij het bewaken van een slagboom, ken.
12-05-2015, 11:22 door Anoniem
ex-hacker ?? of bedoelen ze ex-computercrimineel?
12-05-2015, 13:14 door Anoniem
Door Anoniem: Beleid opstellen vereist brede generieke kennis, het echte beveiligen vereist specialistische kennis over één onderwerp. In het geval van een hartoperatie vereist het uitvoeren ook veel kennis en kunde, dat is minder in het geval bij het bewaken van een slagboom, ken.

Ja, dat is wel de algemene zienswijze. Maar als iets belangrijk genoeg is om het te doen (bewaken van een slagboom lijkt me onzin, wie wil zo'n ding stelen? Enfin) dan kan het ook maar beter goed gebeuren. Overigens is de kwaliteit van de nazorg minstens zo bepalend voor het uiteindelijke succes van de hartoperatie. Iets dat ook nog wel eens vergeten wordt. Met goede zorg en zonder operatie konden wel eens meer hartpatiënten het overleven dan andersom.

Het algemene dédain voor de uitvoerende (dus minder goed betaalde) taken van beveiliging maken het nou juist de Mitniks zo makkelijk. Bovendien, door het wijdverbreide geloof dat het vooral om goed doordacht beleid gaat en je voor uitvoering kan volstaan met sukkels, is het ookerg makkelijk om managers en beleidsmakers om de tuin te leiden. Die zijn ervan overtuigd dat hun hogere intellect (lees: salarisschaal) hen zal beschermen.

Men motiveert trouwens de beveiligingsmedewerkers in de lagere schalen ook niet erg door te vinden dat ze niks hoeven te kunnen.

We zullen het niet eens worden vrees ik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search