kötelező Önvédelmi gyakorlatok nem csak „feketeöves adatvédőknek”
DESCRIPTION
Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek”. Kun Árpád vezető rendszermérnök, CEH Budapest, 2009. Január 28. Tartalomjegyzék. Mi a támadó célja? Mire van szüksége a támadónak? Social Engineering Technikák és példák Összefoglalás. Kötelező Önvédelmi Gyakorlatok. - PowerPoint PPT PresentationTRANSCRIPT
Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek”
Kun Árpád vezető rendszermérnök, CEH
Budapest, 2009. Január 28.
Tartalomjegyzék
Kötelező Önvédelmi Gyakorlatok...
1. Mi a támadó célja?
2. Mire van szüksége a támadónak?
3. Social Engineering
4. Technikák és példák
5. Összefoglalás
Mi a támadó célja ?
Kötelező Önvédelmi Gyakorlatok...
INFORMÁCIÓ INFORMÁCIÓ INFORMÁCIÓ
Mire van szüksége támadónak?
Kötelező Önvédelmi Gyakorlatok...
Kik dolgoznak a cégben, mióta
Elérhetőségek, telefonszámok, e-mail címek
Mikor vannak szabadságon egyes személyek
Kiknek dolgozik a cég
Milyen alvállalkozókkal dolgozik
Stb…
Technikák és példák – Social Engineering
Kötelező Önvédelmi Gyakorlatok...
Szabályzat által nem kezelt peremvidék
Ellentmondásos helyzetbe hozni
Az emberek többsége kis nyomásra is
enged
A Social Engineering alapja – Elhitetni a célponttal, insiderek
vagyunk, bízhat bennünk.
Elbizonytalanítás
Technikák és példák – Social Engineering
Kötelező Önvédelmi Gyakorlatok...
Felderítés, Információgyűjtés
Internetről minden adatot összeszedni a célpontról:
– Személyek,
– E-mail címek,
– Telefonszámok,
– Ügyfelek nevei,
– Partnerek nevei,
– Állásajánlatok
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Néhány további technika:
Dumpster Diving
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Néhány további technika: Tailgating
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Néhány további technika: Lunching sniff
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Néhány további technika: Shoulder surfing
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Teljes ügyféllista megszerzése
Ügyféllistával való további információszerzés
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Teljes ügyféladatbázis
www.carnation.hu honlap, Tóth Krisztián, Seres
Adrienn
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Teljes ügyféladatbázis
www.carnation.hu honlap, Tóth Krisztián, Seres
Adrienn
Hamisított levél küldése
Cégen belül az emberek sokkal kevésbé
gyanakodnak
Példák a nagyvilágból és tőlünk
Kötelező Önvédelmi Gyakorlatok...
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Teljes ügyféladatbázis
www.carnation.hu honlap, Tóth Krisztián, Seres Adrienn
Hamisított levél küldése
Cégen belül az emberek sokkal kevésbé gyanakodnak
Várakozás…
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Teljes ügyféladatbázis
Megvan a teljes ügyfélcontactlista. Tudom a személyek nevekeit,
– Hozzájuk tartozo cégnevet,
– Beosztást,
– Telefonszámot, mobilszámot,
– Postacímeket,
– E-mail címeket, egyes esetekben privát e-mail címeket,
és mobilszámokat,
– Az adott személy által ismert idegen nyelveket
Bárki nevében vagy bárkire hivatkozva el lehet kezdeni próbálkozni
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Személyes adatok megszerzése
A celpont.org üzemeltetőjétől sikerült megszerezni a contact
listát
Szeretnénk megtudni a teljes felhasználói listát a
http://www.celpont.org/ -ról
A korábban megszerzett listában szereplő nevekkel már
könnyebb dolgunk van
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Személyes adatok megszerzése
Hamar kiderül http://www.celpont.org/intranet/ cím
Telefon a szolgáltatónak, belépésre van szükség
Ismert emberekre hivatkozni, hihető esettel
FAX üzenettel megtámogatva
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Technikák és példák
Kötelező Önvédelmi Gyakorlatok...
Összefoglalás
Nincs egyszerű, könnyen telepíthető mindenre kiterjedő adatvédelmi
megoldás
Az alkalmazottak megfelelő információ birtokában könnyedén
megtéveszthetők
Az e-maileket –digitális aláírás hiányában– nem szabad biztos
forrásnak tekinteni
Hajlamosak vagyunk a FAX üzenetet megbízható forrásnak tekinteni
Rendszeresen meg kell ismernünk saját gyenge pontjainkat, a
hibákat foltozni, az alkalmazottakat oktatni
Sebezhetőek vagyunk
Kötelező Önvédelmi Gyakorlatok...
Régóta rá lehet minket
venni sok mindenre…
„A leggyengébb
láncszem az ember!”
Köszönöm a figyelmet!
Kun Árpád vezető rendszermérnök, CEH
Budapest, 2009. Január 28.