לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


1/2007

הנדסה חברתית - האיום הסמוי מן העין


כמו במותחן של גרישם, העלילה נשארת אותו הדבר, רק הדמויות והמקומות משתנים.

 

שלושה ישראלים חשודים כי גנבו כעשרה מיליון אירו מבנקים בצרפת באמצעות הנדסה חברתית. הנוכלים (לכאורה?) התקשרו למנהלי סניפים והתחזו לאנשי חוק והודיעו כי סוכנים סמויים ייצרו קשר בימים הקרובים. לאחר מכן התקשרו, הפעם כסוכנים סמויים וביקשו לרכז עבורם נתונים על העברות בסכומים גבוהים. לאחר קבלת הנתונים ביקשו כי הכספים יועברו לחשבונותיהם, משם הם פיזרו את הכספים. (ynet)

 

הנדסה חברתית היא אחד האיומים המרכזיים בתחום אבטחת המידע ולא בכדי. לאחר שהגבלנו את יכולת המשתמשים להעביר את אמצעי ההזדהות שלהם באמצעות ביומטרי (נניח...) ולאחר שצמצמנו את ההרשאות למינימום ההכרחי (שוב נניח...) התקנו את מערכות מניעת דלף המידע של Onigma, Port Authority (ועכשיו גם Secure Islands?), הוספנו חיוויים אינספור, כי כך דורש SOX והטמענו בעצם כל טכנולוגיה אפשרית, גילינו כי עדיין ניתן לגנוב מאיתנו מידע, לפגוע בעסקים ובקיצור - להפריע את מנוחת הצהריים. 

 

אין מה לעשות, צריך להתמודד עם העובדה שעוד לא ניתן להעסיק רובוטים ואנו מעסיקים בני אדם. בני אדם שמדליפים מידע, מאפשרים לאחרים גישה למערכות שלהם וכדומה. כל זאת ללא שניתן כמעט לאתר את החודר למערכת, כיוון שהוא עושה זאת תחת הרשאות המשתמשים הלגיטימיים. ואולי החמור מכל, האנשים שמסייעים בתהליך אינם אנשים רעים, להיפך - ברוב המקרים הם בטוחים שהם עושים רק דברים טובים.

 

כשמדברים על הנדסה חברתית חושבים בדרך כלל על פישינג - הונאת לקוחות. אך הנדסה חברתית היא אולי האמצעי הטוב ביותר לחדור לארגון. היא אינה מעוררת חשד ולא ניתן לאתר אותה באמצעים טכנולוגיים. כיצד מתמודדים עם הנדסה חברתית? שילוב של שלושה מרכיבים:

  1. זיהוי נקודות כשל אנושיות - תהליכים ארגוניים המועדים לניצול לרעה.  
  2. זיהוי פערים בין טכנולוגיה לנהלים.
  3. הדרכה, הכוונה ובקרה.

אחת הבעיות המרכזיות בהסברת הסכנה בהנדסה חברתית היא התחושה הטבעית ש"לי זה לא יקרה". מניסיון כמחלץ סיסמאות מאנשים (מחלץ מורשה יש לומר), אני יכול לומר שהסטטיסטיקה שלי היא בסביבות ה-80% הצלחה. הכל עניין של תיאום ציפיות מול הנתקף (כמובן, בלי שהוא מרגיש). זה קצת כמו התחקירים האלה של כלבוטק - שכל אחד אומר לעצמו "מי אלה האנשים האלה שמתפתים לכל מיני עסקאות", ובכל זאת אנשים מתפתים.

נכתב על ידי , 5/1/2007 16:59   בקטגוריות ניהול אבטחת מידע, הנדסה חברתית, Phishing ו-Pharming  
8 תגובות   הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט



כינוי: 

גיל: 43




64,561
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2018 © נענע 10 בע"מ