Az a bizonyos emberi tényező

2014. augusztus 08. 11:49 - Csizmazia Darab István [Rambo]

Időnként visszatérő témánk ez, hiszen a legjobb technikai felszereltség és a leghatékonyabb védelmi programok használata mellett is utat ad a támadóknak a túlzott naivság, figyelmetlenség, vagy hiszékenység. El kell fogadni, hogy a biztonságtudatosság még inkább lényegi elem lett, ahogy azt is, hogy a statisztikák szerint az informatikai incidensek egy jelentős részében emberi hiba, szándékos károkozás vagy mulasztás történik.

Ezt a jó kis Cyanide kockát nézve talán sikerül szemléletesen bemutatni, hogy személyesen, e-mailben, de főként a közösségi oldalakon milyen hátrányt jelent a túlzott közlékenység. Emlékezhetünk például arra a nevezetes social engineering esetre is, amelynél 2008-ban Sarah Palin Yahoo! alatti levelezését tudta feltörni a támadó. Mit használt ehhez? Űrtechnológiát? Ehhh. Alvilági chatszobákban vásárolt drága exploit kitet? Dehogy. Csak az eszét, ahogy annak idején Kevin Mitnick is.

A módszer nem feltörés, nem jelszó találgatás volt, hanem egyszerűen új jelszó igénylése. A születési hely és idő megszerzése nem okozott neki semmilyen gondot, a titkos ellenőrző kérdés pedig az volt, hol ismerkedtek meg annak idején a férjével. "Természetesen" ez is ki Googlizható volt, mert Palin erről is beszélt már a nyilvánosság előtt - ez pedig egy középiskola neve volt.

A PEBKAC, a Problem Exists Between Keyboard And Chair rengetegszer tud problémákat okozni, gondoljunk csak a legutóbbi Mozillás szerveren jó egy hónapig fent felejtett SQL adatbázis dumpra.

De az is egy szemléletes példa volt, amikor egy magyar cég egy támadás nyomai miatt soron kívül etikus hackerekkel végeztetett vizsgálatot, majd az audit után a támadást lehetővé tevő hiba ellen javasolt javítást elvégezve hátradőlve a karosszékben arra számított, mostantól megszűnnek a korábbi adatlopások. Ám 1-2 hónappal később újra megismétlődött ugyanaz a biztonsági esemény, amire mindenki nagyon ideges lett. Végül aztán kiderült, a javasolt javítást mégsem végezték el, mert a cég helyi programozója véletlenül kikommentezve hagyta azt a kódban, így az nem is védhetett.

Ha alaposan végiggondoljuk, senki sem védett egy alaposan megkonstruált és precízen testreszabott megtévesztés ellen, ezt talán jól demonstrálta a 2013-as NewYork Times szerkesztősége ellen végrehajtott adatlopás. Kínai hackerek ehhez az ASEAN (Délkelet-ázsiai Nemzetek Szövetsége) és az USA közötti kereskedelmi kapcsolatokkal kapcsolatos egyezmény tervezetét használtak fel csalinak. Nagy számú magánszemélynek és ügynökségnek küldték szét azokat az e-maileket, akiket ez a bizonyos szakmai téma érdekelhetett - köztük a szerkesztőség újságíróinak is - és ez sikeresen fel is keltette az általuk kiszemelt célpont érdeklődését.

Természetesen ezek rosszindulatú hivatkozást tartalmazták, és ezzel elérték, hogy rákattintsanak, majd a történet végét már ismerjük: több hónapig rejtve futott egy kémprogram a szerkesztőség gépein, amit aztán csak három hónappal később, 2013. decemberében vettek észre.

De ennek ellenére, mert emberből vagyunk, nem kell bedobni a lovak közé a gyeplőt azzal, hogy kár vigyázni. Érdemes küzdeni - sőt a munkaadónk ezt el is várja - és tanulni, odafigyelni, nyomon követni az aktuális csalási formákat, hogy legalább ne egy überprimitív trükkön vérezzünk el. Erre pedig tulajdonképpen mindenki képes (lenne) némi kis erőfeszítés és állandó odafigyelés, folyamatos gondolkodás árán. És persze emiatt (lenne) lényeges a dolgozók rendszeres biztonságtudatossági képzése is.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr666587597

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.