Social engineering II.

forrás: ÁRGUS Vagyonvédelmi és biztonságtechnikai szaklap

Szerző: Németh Árpád Dávid

Az ember a leggyengébb láncszem

A biztonságot fenyegető legnagyobb veszély az emberi természetből fakad. A vállalatok védelmi kiadásai, a technikára fordított milliók csupán ablakon kidobott pénz – ráadásul a biztonság hamis illúzióját nyújtják –, ha a felkészületlen dolgozó könnyen manipulálható.

A manipuláció – a megtévesztés művészete

A támadó, visszaélve az emberek jóindulatával vagy kihasználva az emberek kíváncsiságát, bármilyen üzleti adatot ellophat. Az ipari kémkedéssel foglalkozó csoportok is hasonló módszerekkel dolgoznak. A vállalatok üzleti információit védeni kell, veszélyeztetettségük kockázatot jelent, amit nem szabad figyelmen kívül hagyni. A védendő adatok - a vállalat üzleti terve; a fejlesztési stratégia; a bevezetés előtt álló termékek adatai; ügyfélkapcsolati és értékesítési adatok; pénzügyi adatok; személyi és személyzeti adatok; a vállalati vezetők adatbázisai, ill. elektronikus levelezése; termelési adatbázisok, és a sort még hosszasan folytathatnánk – a vállalat legkülönbözőbb működési területeit érinthetik. Az üzleti információk külső támadások elleni védelmére mára már komplex megoldásokat dolgoztak ki. Minden nagyobb vállalatnál magas szinten kezelik az informatikai fenyegetéseket, a legtöbb helyen használnak: tűzfalakat; vírusirtókat akár naponta frissített vírusmintákkal; anti-spyware (kémszoftver elleni) programokat, dinamikus jelszavakat; és magasabb szintű titkosítást, stb.

Biztonságtudatos szemlélet

Akkor van csak baj, ha az ilyen jellegű technikai megoldások kiépítése után valaki elégedetten hátradől, mert a sérthetetlenség érzése hamis biztonságtudatot kölcsönöz. A komolyabb támadások kivédhetők, ha megfelelő képzéssel sikerül a vállalat dolgozóiban biztonságtudatos szemléletet kialakítani. Nem kell hangsúlyozni, hogy a napi működés során milyen jelentősége van a dolgozók közötti zökkenőmentes együttműködésnek, de emellett szükség van minimális óvatosságra, folyamatos éberségre az ismeretlen személyekkel szemben, valamint általános felkészültségre, biztonsági ismeretekre és felelősségtudatra.

A támadások megelőzése a leghatékonyabb védelmi stratégia

Ez logikusan hangzik, de rendkívül sokan vannak, akik mégsem így gondolják. Miért? Mert ilyen az emberi természet… Pont úgy, ahogy az emberek többsége tisztában van azzal, hogy a biztonsági öv használata komolyabb balesetnél megmentheti az életét, mégsem kapcsolja be elinduláskor, annak ellenére sem, hogy kötelező a használata. Ezért az üzleti információk védelme – bármilyen professzionális informatikai megoldások mellett – sem lehet teljes körű, nagyon sok múlik a dolgozók hozzáállásán.

Melyek a legfontosabb alapszabályok?

Következzen néhány egyszerű alapszabály, amelyek betartása csökkenti a veszélyeztetettség szintjét, és segít kivédeni a kívülről érkező támadásokat.

 Ismeretlen helyről származó idegen floppy-t vagy CD-lemezt ne tegyünk be gépünkbe, mert behatolást elősegítő programokat tartalmazhatnak, például kifigyelhetik a jelszavunkat is.

 Ismeretlen helyről származó, gyanús e-mailt, vagy furcsa csatolmányt ne nyissunk meg, mert vírusokkal fertőzhetik meg gépünket. Érdemes tudni róla, hogy a baráti körből érkező vicces tartalmú képek vagy rövidfilmek is tartalmazhatnak ellenséges szoftvereket, amelyek a megnyitás után észrevétlenül települhetnek a számítógépünkre.

 Vannak olyan manipulált weboldalak, amelyek címében egészen minimális eltérés van az eredetihez képest (pl.: OTP Bank Rt. helyett OTB Bank Rt.), de természetesen csalók készítették azért, hogy a figyelmetlen felhasználókat megkárosítsák.

 Ha ismeretlen feladótól kapunk e-mailt, hogy nyertünk valamit (pl.: egy TV-t), de a nyeremény átvételének a feltétele, hogy regisztráljunk náluk, akkor biztosak lehetünk az átverésben, ugyanis ez a trükk arra alapoz, hogy az emberek az új regisztráció során a vállalati azonosítójukat és jelszavukat fogják megadni, mert nagyon kevesen tudnak sok jelszót fejben tartani.

 A jelszavunkat ne írjuk fel papírra, de ha így teszünk, semmiképpen ne tároljuk a számítógép közelében, és ha már megtanultuk, ne dobjuk a papírt a szemeteskukába se.

 Ha valaki vállalati informatikusnak adja ki magát, és telefonon keresztül kéri az azonosítót vagy a jelszót, nyugodtan gyanút foghatunk. Az informatikusnak a saját rendszergazdai jelszava használata mellett ugyanis nincs szüksége a mi jelszavunkra. Amúgy is nagyon egyszerű megbizonyosodni a hívó fél hitelességéről, elég ha az adott osztályon visszahívjuk a személyt.

 Ha napközben kimegyünk a szobából, mindig zároljuk a számítógépet, hogy idegenek ne férhessenek hozzá.

 A „tiszta asztal szabály” szerint pedig, amikor a munka végeztével elindulunk haza, soha ne hagyjunk fontos üzleti anyagokat, pl. dokumentumokat az íróasztalon.

A most áttekintett egyszerűbb alapelvek után, a cikksorozat harmadik részében a trükkös támadásokkal és az ellenük használható védekezési módszerekkel foglalkozunk majd.


Németh Árpád Dávid,
biztonsági szakértő

NÉMETH ÁRPÁD DÁVID
Pszichológusként szerzett diplomát az Eötvös Loránd Tudományegyetemen, jelenleg a Mûszaki és Gazdaságtudományi Egyetem végzõs MBA hallgatója. 2000–2002-ig az Õrmester Kft. kereskedelmi és marketing-, késõbb ügyvezetõ igazgatója. 2003-tól a Szikra Lapnyomda Rt. és az Athenaeum Nyomda Rt. biztonsági igazgatója, illetve a SecuriFocus Kft. ügyvezetõje. A Magyarországi Biztonsági Vezetõk Egyesületének szakmai tagja.
Forrás: None
Tagek:

Hirdetés
hírdetés
SecuriFocus

A SecuriFocus.com Magyarország első, a biztonságvédelmi szolgáltatások piacára szakosodott online hír- és információs portálja.
www.securifocus.com

SecuriForum

A SecuriForum Biztonságtechnikai és Tűzvédelmi Kiállítás & Konferencia a SecuriFocus Kft. által szervezett rendezvény.
www.securiforum.com

Elérhetőség

SecuriFocus Kft.
1118 Budapest
Nagyszeben u. 24/A
Tel: (30) 942-2789
Email: info@securifocus.com
Földfelszíni és drón-detektáló radarok a Zmaxnál
Olvasta már?
Földfelszíni és drón-detektáló radarok a Zmaxnál