Odpowiedź brzmi "tak", ale nie jest to wcale takie łatwe, nawet dla doświadczonych użytkowników czy pracowników działów IT. Inżynieria społeczna to jedna z najskuteczniejszych metod ataków przypuszczanych na firmy i osoby prywatne - jej efektywność musi się więc skądś brać.
Uczestnicy konferencji Defcon 2010 (poświęconej zagadnieniom bezpieczeństwa IT) dowiedli, jak łatwo można wykraść dane korporacyjne - aby to zrobić, wystarczy o nie po prostu zapytać. Jeśli cyber-złodziej jest wystarczająco przekonujący, a na dodatek trafi mu się "zielony" pracownik, droga do poznania firmowych sekretów w zasadzie stoi otworem.
Krzysztof Kasperkiewicz, przedstawiciel firmy Dagma (dystrybutora produktów zabezpieczających IT), przypomina krążący wśród specjalistów ds. bezpieczeństwa dowcip, że inżynieria socjotechniczna nie działa wyłącznie na pracowników nieobecnych w firmie, których komputery pozostają odłączone od prądu. "Skuteczność socjotechniki nie zależy bowiem ani od systemu operacyjnego, ani od rodzaju komputera, ani nawet od liczby zastosowanych w sieci zabezpieczeń. Socjotechnika bazuje na ludzkiej naiwności, ciekawości, ignorancji, a nawet na potrzebie bycia docenianym" - ocenia. Te właśnie cechy bezlitośnie wykorzystują cyber-przestępcy, co czyni z ataków "social engineering" najgroźniejsze i najskuteczniejsze metody wyłudzenia informacji.
Pierwsze sygnały, że ktoś próbuje wobec nas zastosować socjotechniczne sztuczki, dotyczą sytuacji, w której jesteśmy pytani o sprawy nie związane bezpośrednio z naszymi kompetencjami.
"Jeśli przykładowy ankieter zapyta nas np. o typ serwera pocztowego wykorzystywanego w firmie w naszej głowie powinna zapalić się czerwona lampka" - mówi Kasperkiewicz. Przedstawiciel Dagmy radzi, że dobrze jest poinformować taką osobę o zakazie udzielania tego typu informacji i dodaje: "Jeśli w reakcji usłyszymy prośbę o odpowiedź lub kolejne pytania powiązane ze specyfiką sieci lub wykorzystywanymi aplikacji powinniśmy poprosić o imię i nazwisko naszego rozmówcy, jego stanowisko, numer telefonu i grzecznie zakończyć rozmowę obiecując kontakt zwrotny".
O całym zajściu należy następnie poinformować przełożonego.
Aby zminimalizować ryzyko skutecznego ataku socjotechnicznego, przedsiębiorstwa muszą przeprowadzać systematyczne szkolenia pracowników w zakresie obowiązujących reguł bezpieczeństwa i potencjalnych zagrożeń. Jest to jedyna skuteczna metoda ochrony przed socjotechniką - podkreśla Krzysztof Kasperkiewicz.
"Bardzo ważne, aby w takich szkoleniach brali udział wszyscy pracownicy bez wyjątku - nawet takie osoby jak portierzy, sprzątaczki czy praktykanci, którzy pozbawieni szkolenia mogą okazać się cennym źródłem informacji dla osób postronnych". Aby działania edukacyjne odniosły oczekiwany skutek, należy je regularnie powtarzać i aktualizować - przypomina przedstawiciel Dagmy.
Dobrym rozwiązaniem jest też takie zaprojektowanie architektury sieci firmowej i poziomów uprawnień, aby wrażliwe informacje niezbędne do pracy posiadała ograniczona liczba specjalnie wyszkolonych osób.
fakt trzeba edukowac pracownikow ale co to da jesli nikt nie zrobi testu w firmie udajac kogos z zewnatrz i dzwonic powinien udajac kogos z zewnatrz i sprawdzac jak wyszly szkolenia .. czasem warto zrobic taki test i potem na dywanik takiego pracownika i pogadac z nim i jeszcze raz wyjasnic zagrozenie :)
Jak widać po wyborach. Inżyniera społeczna, psychologia społeczna to przyszłość dla inteligentnych, pracowitych i bez skrupułów. Więksość coraz łatwiej daje się nabierać na papkę kartelu medialnego coraz niższym kosztem. Wszystko dzięki odpowiednio zaniżanemu kształceniu i zakazowi wychowania innego niz poprawne politycznie czyli nowomodne lewackie, zastępowaniu moralności prawem a miłosierdzia tolerancją. Hodujemy pod prawnym przymusem, zawartość kolejnych wieżowców - szklanych obór, na mleko, na mięso dla swoich panów bo takie jest prawo i tak nas przyuczają.
W firmie pracuje wielu użytkowników komputerów. Nie jest możliwe zatrudnianie na wszytkich stanowiskach mających jakiś przydatny dostęp do komputerów ludzi inteligentnych, mogących być w tym wyszkolonymi, kojarzących poprawnie z refleksem przez cały dzień na zawsze. Zawsze ktoś popełnia błędy (w różne strony), taka jest firma - aby była konkurencyjna - przecież firmy nie są po to aby być idealne (bo byłyby za kosztowna czyli niemożliwa) ale po to aby wygrywać w realu z innymi finansowo i perspektywami.
Konfiguracja zapisu punktów przywracania w Windows 7 (04.11.2011 19:29) Zapis punktów przywracania to jeden ze sposobów zabezpieczenia się przed awarią systemu i oprogramowania. Warto wiedzieć, jak konfigurować zajmowane przez nie miejsce, usuwać stare kopie czy rejestrować własne. Dzięki temu nie stracisz na poziomie bezpieczeństwa, a zyskasz na przestrzeni na dysku.
CrossOver 9.1 - programy i gry z Windows na Mac OS X (29.07.2010 11:23) Code Weavers udostępniło nową wersję programu CrossOver, który umożliwia uruchamianie programów z systemu Windows na platformę Mac OS. W nowej wersji oznaczonej cyframi 9.1 poprawiono między innymi obsługę pakietu MS Office oraz kombajnu Windows Media Player 9.
AutoRuns 10.01 - prosta optymalizacja zasobów komputera (15.07.2010 13:49) AutoRuns 10.01 jest nieskomplikowaną aplikacją opracowaną przez Microsoft, która umożliwia łatwe przyspieszenie działania komputera, dzięki m.in. zoptymalizowaniu listy programów, uruchamianych wraz z systemem operacyjnym. AutoRuns jest prosty w obsłudze i nie sposób popełnić błąd, który doprowadzi do awarii komputera - każdą zmianę można cofnąć, jednak nie powinno być problemu, jeśli użytkownik będzie uważnie korzystał z możliwości narzędzia.
System Cleaner 5.91c - czyszczanie Windows (07.07.2010 09:34) W każdym systemie podczas pracy pozostają różne śmieci, niepotrzebne pliki, wpisy w rejestrze. Obciążają one niepotrzebnie Windows i spowalniają jego pracę. Zainstaluj System Cleaner i pozbądź się zbędnych danych.
Uxtheme Multi-patcher - usuń blokadę styli w Windows (29.06.2010 11:52) W internecie można znaleźć wiele skórek i tematów wizualnych do Windows. Aby korzystać bez problemu ze wszystkich trzeba zmodyfikować system za pomocą Uxtheme.
Adobe AIR - nowa wersja 2.0.2 dostępna do pobrania (11.06.2010 14:01) Ukazała się nowa wersja środowiska wykonawczego od Adobe, czyli AIR. Jest to technologia, która umożliwia korzystanie z wielu usług znanych dotychczas z zaawansowanych witryn internetowych, wprost z pulpitu komputera bez konieczności używania przeglądarki. Dodatkowo, pod AIR powstało wiele dedykowanych, zaawansowanych aplikacji, z których warto skorzystać.
Flash 10.1 - finalna wersja do pobrania (11.06.2010 09:12) Adobe udostępniło stabilną wersję wtyczki Flash Player 10.1, umożliwiającej przeglądanie sieciowych multimediów.
Backup4all Professional 4.4.207 - kopia zapasowa dla każdego (21.05.2010 12:59) Regularne zapisywanie kopii zapasowych gwarantuje bezpieczeństwo danych. Aby jednak nie tracić na to zadanie zbyt wiele czasu zautomatyzuj proces archiwizacji za pomocą Backup4all.
Total Recorder Pro 8.1 - nagraj rzeczy niemożliwe (19.05.2010 16:13) Jeżeli masz kłopot z zapisem dźwięku z jakiegoś źródła skorzystaj z wyspecjalizowanego narzędzia. Za pomocą Total Recorder Pro zarejestrujesz każdy strumień audio, który przepływa przez twoja kartę dźwiękową.
Nowe wydanie
Konfiguracja zapisu punktów przywracania w Windows 7 (04.11.2011 19:29)
© Copyright 2012 International Data Group Poland S.A.
wydrukuj
wyślij znajomemu
skomentuj
