|
مقاله تخصصي
Social Engineering
مقدمه
شايد تا کنون با عبارت " !There is no patch to human stupidity" يا به زبان خودمان، " هيچ وصله اي براي حماقت هاي بشر وجود ندارد!" برخورد کرده باشيد. در مباحث امنيتي، اگر امنيت يک سازمان را به صورت يک زنجيره در نظر بگيريم، انسان ها ضعيف ترين اتصال در اين زنجيره هستند. Social Engineering يا مهندسي اجتماعي از همين مسئله بهره مي گيرد. مهندسي اجتماعي، تاکتيک يا حيله بدست آوردن اطلاعات با سوء استفاده کردن از رفتار و طبيعت ذاتي انسان ها مانند اعتماد به ديگران، ترس و تمايل در کمک به ديگران است. مهندسان اجتماعي يا به اصطلاح ملموس تر، گروهي از هکرها، در تلاش جهت بدست آوردن اطلاعاتي مانند اطلاعات حساس، جزئيات مجوزها و دسترسي ها دريک سازمان هستند. باوجود بهترين فايروال ها، سيستم هاي تشخيص نفوذ و ضد ويروس ارائه شده توسط تکنولوژي، سازمان ها هنوز هم مي توانند داراي رخنه هاي امنيتي باشند. مهندسي اجتماعي پيچيده ترين شکل حمله جهت دفاع است چرا که به تنهايي قابل دفاع توسط سخت افزار يا نرم افزار نيست.
مهندسي اجتماعي و انواع آن
همان طور که اشاره شد، هکرها با کمک گرفتن از حمله مهندسي اجتماعي در تلاش جهت بدست آوردن اطلاعات حساس سازمان ها مانند سياست هاي امنيتي، اسناد حساس و مهم، زيرساخت شبکه سازمان و رمزهاي عبور مي باشند.
مهندسي اجتماعي به دو دسته تقسيم مي شود:
1- مبتني بر انسان: جمع آوري اطلاعات حساس از طريق تعامل، حملات از اين قبيل از طبيعت انسان ها در اعتماد به ديگران، ترس و کمک به ديگران بهره مي گيرند.
2- مبتني بر کامپيوتر: انجام مهندسي اجتماعي با کمک کامپيوتر. اين دسته از مهندسي اجتماعي، شامل مواردي مانند Mail attachments، Pop-up Windows، Spam Mails، Phishing و ... مي شود.
به دليل اهميت دسته اول و اينکه حمله مهندسي اجتماعي بيشتر در نوع اول آن مطرح است، به مثال هايي از اين دسته اشاره مي کنيم.
- جازدن خود به جاي يک کاربر قانوني با ارائه هويت و درخواست اطلاعات حساس مانند رمز عبور.
- جازدن خود به جاي يک کاربر مهم مانند VIP، يک مشتري ارزشمند و .... .
- جا زدن خود به جاي پشتيبان تکنيکي و درخواست شناسه کاربري و رمز عبور جهت بازيابي داده ها. ( مثلا ادعاي اينکه شب گذشته SYSTEM CRASH اتفاق افتاده و اکنون جهت بررسي داده هاي از دست رفته، شناسه کاربري و رمز عبور فرد موردنظر را درخواست مي کند)
- مردي با Help desk شرکتي تماس گرفته و ادعا مي کند که رمز عبورش را فراموش کرده است. همچنين با نگراني و ناراحتي زياد بيان مي کند که که اگر سررسيد يک پروژه تبليغاتي بزرگ را از دست بدهد رئيسش او را اخراج خواهد کرد. HELP Desk هم دلش به حال او مي سوزد و رمز عبورش را RESET کرده و بدين ترتيب بطور غير عمدي و نا آگاهانه به هکر امکان ورود و نفوذ به شبکه شرکت را مي دهد.
- سلام . من از شرکت Aircon Express Services تماس مي گيرم. ما تلفني داشتيم مبتني بر اينکه اتاق کامپيوتر بسيار گرم شده است و نيازبه بررسي سيستم HVAC (Heating, Ventilation and Air Conditioning) مي باشد. بکاربردن اصطلاحات حرفه اي و تخصصي مانند HVAC اعتبار لازم را به يک هکر مي دهد که به منبع امن شده مورد نظر دسترسي يابد.
- استراق سمع کردن يا گوش دادن بدون اجازه به مکالمات يا خواندن پيام ها و بطور کلي دسترسي بي اجازه به هر شکلي از اطلاعات مانند صوت، تصوير يا متن گونه اي از مهندسي اجتماعي است.
- Shoulder Surfing: نگاه کردن از پشت شانه هايتان هنگامي که رمز عبور را وارد مي کنيد. در واقع اصطلاح Shoulder Surfing به فرايندي اطلاق مي شود که هکرها جهت دسترسي به رمزهاي عبور، شماره شناسايي شخصي، شماره حساب ها و... استفاده مي نمايند.
-Tailgating يا Piggybacking : يک فرد بدون مجوز، با دنبال کردن يک شخص داراي مجوز از طريق دري که نياز يه دسترسي با کليد دارد، به محل امن شده اي وارد شود.
- Dumpster Diving: جستجوي سطل هاي زباله، سطل زباله مخصوص چاپگر و ميز کاربران براي يادداشت ها، جهت يافتن اطلاعات حساس در شرکت هدف.
- جمع آوري قبوض تلفن، اطلاعات تماس، اطلاعات مالي و اطلاعات عملياتي.
- جمع آوري ليست عناوين کارکنان، برنامه هاي بازاريابي و آخرين اسناد مالي شرکت.
با بدست آوردن اين اطلاعات، هکر ميتواند اطلاعات خوب و کاملي درباره شرکت بدست آورد. بنابراين بهتر مي تواند خود را بجاي يکي از کارکنان شرکت جازده و مهندسي اجتماعي انجام دهد.
Oracle زباله هاي Microsoft را جستجو مي کند!!!
شرکت ORACLE که از بزگترين شرکت هاي توليد نرم افزار است اعتراف نمود که يک آژانس کارگاهي را جهت بازرسي گروه هايي که از Microsoft، شرکت رقيبش، حمايت مي کردند، استخدام کرده است. Oracle ، Investigate GroupInternational را استخدام کرد تا سر از کار دو سازمان تحقيقاتي Independence Institute و National Taxpayers Union درآورد. Oracle بدنبال افشاي ارتباط اين سازمان ها با Micrisoft بوده است. چراکه اين شرکت ها ادعاي مستقل بودن داشتند، درحالي که اقداماتشان با پشتيباني مالي Microsoft انجام مي شد. در اين راستا آژانس کاراگاهي تلاش هايي را جهت خريداري زباله هاي Microsoft انجام داده بود.
هدف هاي معمول مهندسي اجتماعي
- پرسنل پذيرش و Help Desk.
- پشتيبان هاي تکنيکي.
- مسئولان فروش سازمان هدف.
- مديران سيستم و کاربران.
- پرسنل ناراضي شرکت.
فاکتورهايي که سازمان ها را نسبت به حمله مهندسي اجتماعي آسيب پذير مي کنند:
- آموزش و آگاهي امنيتي ناکافي
- وجود چند واحد سازماني
- فقدان سياست هاي امنيتي مناسب
- دسترسي آسان به اطلاعات نظير شناسه هاي eپست الکترونيکي، شماره تلفن کارکنان
چرا مهندسي اجتماعي موثر است؟
- انسان ها مستعدترين و ضعيف ترين اتصال در زنجيره سياست هاي امنيتي به شمار مي روند.
- شناسايي و تشخيص حملات مهندسي اجتماعي مشکل است.
- هيچ روشي جهت اطمينان حاصل کردن از امنيت کامل در برابر حملات مهندسي اجتماعي وجود ندارد.
- عدم وجود نرم افزار يا سخت افزار مشخص جهت دفاع در برابر حمله مهندسي اجتماعي.
علائم هشدار دهنده حمله:
يک هکر ممکن است:
- قادر به ارائه شماره callback معتبر نباشد.
- تقاضاهاي غيررسمي داشته باشد.
- ادعاي مجاز بودن کند.
- عجله نشان دهد.
- تعريف و تمجيد غير معمول کند.
- هنگامي که از او سوال مي شود ناراحت شود.
- تهديد به عواقب بد در صورت عدم ارائه اطلاعات به او.
تهديدات مهندسي اجتماعي و روش هاي دفاع در برابر آن ها
روش هاي اصلي اي که مهندسان اجتماعي يا هکرها از آنها استفاده مي کنند شامل موارد زير مي باشند:
- online : در دنياي تجاري متصل امروز، کارکنان سازمان ها غالباً از درخواست هايي که به صورت الکترونيکي مي آيند، استفاده نموده به آنها پاسخ مي دهند. اين اتصال به هکرها امکان مي دهد تا از طريق بي نامي نسبي اينترنت به کارکنان نزديک شوند. هکر مهندسي اجتماعي عضوي از کارکنان شرکت را از طريق حيله قابل باوري متقاعد مي کند تا اطلاعات مورد نياز او را فراهم آورند به جاي اينکه از طريق بد افزارها ( ويروس ها، کرم هاي اينترنتي و ...) کامپيوتر هدف را مورد حمله مستقيم قرار دهد.
راه حل : آگاهي دادن به کارکنان جهت شناسايي و اجتناب از حملات مهندسي اجتماعي.
- تلفن : تلفن ابزار حمله منحصر بفردي جهت هکرهاي مهندسي اجتماعي فراهم مي آورد چرا که هدف، هکر را نمي بيند.
- رويکرد هاي شخصي : ساده ترين و ارزان ترين روش يک هکر جهت بدست آوردن اطلاعات، سوال کردن مستقيم است. رويکردهاي موفق مهندسي اجتماعي در اين زمينه شامل تهديد، متقاعدسازي، چاپلوسي و خود شيريني کردن و تقاضاي کمک است.
پس از آشنايي با طيف گسترده تهديدات، سه مرحله جهت دفاع در مقابل تهديدات مهندسي اجتماعي لازم است:
1- ايجاد يک چارچوب مديريت امنيت
2- انجام ارزيابي هاي مديريت ريسک ( ارزيابي و تعيين سطح ريسکي که يک حمله براي سازمان شما داراست تا بتوانيد اقدامات مناسب امنيتي را انجام دهيد)
3- پياده سازي روش هاي دفاع در برابر مهندسي اجتماعي در سياست امنيتي سازمان.
به طور کلي، يک دفاع موفق مستلزم داشتن سياست هاي درست و آموزش کارکنان جهت پيروي از آنها مي باشد.
- آموزش: يک برنامه آموزشي کارا بايستي شامل همه سياست هاي امنيتي و روش هاي افزايش آگاهي درباره حمله مهندسي اجتماعي باشد.
- سياستهاي رمز عبور: تغيير دوره اي رمزهاي عبور، اجتناب از گذاشتن رمز عبئرهاي قابل حدس زدن، پيچيدگي رمز عبور، عدم نوشتن رمز عبور جهت به خاطر سپاري آن و ...
- اطمينان حاصل کردن از امنيت اطلاعات و استفاده با مجوز از منابع.
- سياست هاي امنيتي فيزيکي ( شناسايي کارمندان با ارائه کارت، لباس و ....، همراهي بازديدکنندگان، پاره کردن مناسب اسناد بي فايده، استخدام پرسنل امنيتي)
- طبقه بندي اطلاعات جهت استفاده داخلي، استفاده عمومي و ..
- مجوزهاي دسترسي
- بررسي سابقه کارمندان و اعمال سياست هاي امنيتي مناسب هنگام اتمام ارتباط با پرسنل مستعفي يا در شرف بازنشتگي.
- راهکارهاي مناسب جهت واکنش هنگام حمله مهندسي اجتماعي.
نتيجه گيري
با توجه به موارد ذکر شده ، به طور کلي چهار مرحله جهت انجام مهندسي اجتماعي وجود دارد:
1- تحقيق درباره سازمان هدف ( Dumpster Diving، وب سايت ها، کارکنان و..)
2- انتخاب قرباني (شناسايي کارمندان ناراضي و ناراحت شرکت)
3- ايجاد رابطه (برقراري رابطه با کارمندان انتخاب شده)
4- بهره گيري از رابطه جهت رسيدن به اهداف (جمع آوري اطلاعات حساس Accountها، اطلاعات مالي، تکنولوژي هاي فعلي)
تنها راه پيشگيري در برابر اين حمله، آموزش پرسنل سازمان و اعمال سياست هاي امنيتي مناسب مي باشد. البته اين روش ها تنها مي توانند احتمال اين حمله را کاهش دهند و قادر به شناسايي يا جلوگيري کامل از آن نمي باشند.
|
