Kiber Xavfsizlik: Penetratsion Test va Ijtimoiy Muhandislik
Penetratsion Test va Ijtimoiy Muhandislik
Penetratsion test xizmatlarni va tashkilotlarni boshqa hujumchilar topishdan oldin zaifliklarini aniqlash uchun proaktiv chora sifatida xizmat qiladi.
Penetratsion test ko'plab sohalarda taklif qilinishi mumkin, masalan:
- Veb-ilovalar: Yangi veb-ilovalar ishlab chiqilmoqda va chiqarilmoqda.
- Tarmoq va Infrastruktur: Ko'plab ilovalar veb-ilova bo'lmagan, balki boshqa protokollardan foydalanadi. Bu tashkilot ilovalari tashqi va ichki tarmoqlarda joylashgan bo'lishi mumkin.
- Ichki test / Infektsiyalangan kompyuter simulyatsiyasi: Agar foydalanuvchi o'z tizimida zararli dastur olsa, bu tizimga qo'lda kirgan hujumchiga tengdir va har qanday tashkilot uchun jiddiy xavf tug'diradi.
- Tashqi Tashkilot Testi: Penetratsion testchilar uchun to'liq tashkilotni sinash. Bu ideal, lekin ko'pincha o'z ichki penetratsion test jamoasi bo'lishini yoki tashqi jamoani yollashni talab qiladi.
- O'g'irlangan Noutbuk Senariysi: Quyidagi senariylarimizda batafsil tavsiflangan.
- Mijoz Tomonidan Ilovalar: Ko'plab tashkilotlarda C, C++, Java, Flash, Silverlight yoki boshqa kompilyatsiyalangan dasturlarda yozilgan ilovalar mavjud. Penetratsion test bu aktivlarga ham e'tibor qaratishi mumkin.
- Simsiz tarmoqlar: WIFI tarmog'ini buzish mumkinligini, qurilmalarda eskirgan va zaif dasturlar mavjudligini va simsiz tarmoq va boshqa tarmoqlar orasida to'g'ri ajratish borligini aniqlash testi.
- Mobil ilovalar (Android, Windows Phone, IOS): Mobil ilovalarda zaifliklar bo'lishi mumkin, shuningdek, ular tashkilot ichidagi tizimlarga ulanadi va API kalitlarini o'z ichiga olishi mumkin.
- Ijtimoiy Muhandislik: Quyidagi senariylarimizda batafsil tavsiflangan.
- Phishing va Vishing: Quyidagi senariylarimizda batafsil tavsiflangan.
- Jismoniy: Penetratsion test jamoasi qanday bo'lishini ko'rish uchun joyga laptop bilan kelishi mumkin. Jismoniy hujumlar boshqa turdagi yashirin hujumlarni ham o'z ichiga olishi mumkin.
- ICS ("Industrial Control Systems") / SCADA ("Supervisory Control And Data Acquisition"): Ushbu tizimlar odatda tashkilotlarning eng zaif va muhim aktivlarini boshqaradi, shuning uchun ular sinovdan o'tishi kerak.
Bilmaslik, Qisman Bilish va To'liq Bilish Penetratsion Testlari
Angajementga qarab, tashkilot penetratsion test jamoasiga ma'lumot berishni tanlashi mumkin. Bilmaslik penetratsiyasi, ba'zan qora quti deb ataladi, hujumchiga oldindan hech qanday ma'lumot berilmasligini anglatadi. Qisman bilish, ba'zan kulrang quti testi deb ataladi, hujumchilarga ba'zi ma'lumotlar beriladi, va to'liq bilish penetratsion testi, ba'zan oq quti deb ataladi, penetratsion testchilar to'liq ma'lumotga ega bo'lishadi, jumladan, manba kodi, tarmoq diagrammalari, loglar va boshqalar.
Tashkilot penetratsion test jamoasiga ko'proq ma'lumot bersa, jamoaning taqdim etadigan qiymati yuqoriroq bo'ladi.
O'g'irlangan Noutbuk Senariysi
O'g'irlangan yoki yo'qolgan noutbukning oqibatlarini isbotlash uchun ajoyib penetratsion test senariysi. Tizimlar ustida imtiyozlar va credentiallar bo'lishi mumkin, hujumchilar ularni maqsad tashkilotga kirish uchun ishlatishi mumkin.
Tizim parol bilan himoyalangan bo'lishi mumkin, ammo hujumchilar bu himoyani chetlab o'tish uchun ko'plab usullar mavjud. Masalan:
- Tizimning qattiq disk to'liq shifrlangan bo'lmasligi mumkin, bu hujumchiga qattiq diskni o'z tizimiga ulab, ma'lumotlar va credentiallarni chiqarib olish imkonini beradi. Ushbu credentiallar keyinchalik ko'plab tashkilotlar kirish sahifalarida ishlatilishi mumkin.
- Foydalanuvchi tizimni bloklagan bo'lishi mumkin, ammo foydalanuvchi hali ham tizimga kirishli. Tizimda fon rejimida ishlayotgan dasturlar va jarayonlar mavjud. Hujumchilar USB orqali zararli tarmoq kartasini qo'shishga harakat qilishlari mumkin. Ushbu tarmoq kartasi tizimning internetga ulanishining afzal yo'li bo'lishga harakat qiladi. Agar tizim ushbu tarmoq kartasidan foydalansa, hujumchilar tarmoq trafigini ko'rishlari va sezgir ma'lumotlarni topishga yoki ma'lumotlarni o'zgartirishga harakat qilishlari mumkin.
- Hujumchilar tizimga kirishganlarida, ular ma'lumotlarni qidirish va hujumchilar maqsadlariga erishish uchun foydalanishi mumkin bo'lgan ma'lumotlarni to'plashni boshlashlari mumkin.
Ijtimoiy Muhandislik
Tizim faqat eng zaif a'zoga bog'liq, va bu ko'pincha odam bo'ladi. Ijtimoiy muhandislik foydalanuvchilarni ular niyat qilmagan harakatlarni amalga oshirishga aldashni o'z ichiga oladi. Ushbu texnika juda mashhur va dunyodagi eng katta xakerliklar ko'pincha ijtimoiy muhandislik texnikalarini ishlatgan.
Ijtimoiy muhandislik ko'pincha qurbonlarni harakatlarga majbur qilish uchun ba'zi jihatlarni suiiste'mol qiladi, masalan:
- Ko'p odamlar xushmuomalalik qilishni istaydi, ayniqsa begonalarga.
- Mutaxassislar yaxshi ma'lumotga ega va aqlli ko'rinishni xohlaydi.
- Agar siz maqtalsangiz, siz ko'proq gapirishingiz va ko'proq ma'lumot berishingiz mumkin.
- Ko'p odamlar yolg'on gapirmaslikni afzal ko'radi.
- Ko'p odamlar o'zlarini tashvishga solayotgan odamlar bilan yaxshi muomala qilishadi.
Yaxshi ijtimoiy muhandislik hujumi qurbonlarni hujum qilinganini tushunmasdan qoldirishi mumkin.
Ijtimoiy Muhandislik Senariysi: Yordam Ko'rsatish
Odamlar odatda bir-birlariga yordam berishni xohlaydi. Biz yaxshi ishlashni yaxshi ko'ramiz!
Misol uchun, Eve katta korporativ ofisga kirib, qog'ozlarini qahvaga botirib yuborganini tasavvur qiling. Receptionist Eve-ni qiynalayotganini ko'radi va nima bo'layotganini so'raydi. Eve 5 daqiqadan so'ng ish suhbatiga kirishi kerakligini va hujjatlarni chop etishi kerakligini tushuntiradi.
Oldindan Eve zararli USB disk tayyorlagan va uni kompyuterlarni buzish uchun tayyorlangan hujjatlar bilan to'ldirgan. U receptionistsga zararli USB diskni berib, tabassum bilan hujjatlarni chop etishni so'raydi. Bu, hujumchilarga ichki tarmoqdagi tizimni infektsiya qilish va ko'proq tizimlarni buzish imkoniyatini berishi mumkin.
Ijtimoiy Muhandislik Senariysi: Qo'rqinchdan Foydalanish
Odamlar ko'pincha muvaffaqiyatsizlikdan yoki buyruqlarni bajarmaslikdan qo'rqadilar. Hujumchilar ko'pincha qurbonlarni o'zlarining ehtiyojlariga moslashishga majbur qilish uchun qo'rqinchdan foydalanadilar. Masalan, ular kompaniya direktori sifatida ma'lumot so'rashi mumkin. Ehtimol, ijtimoiy media yangilanishi direktorni ta'tilga chiqishini oshkor qilgan bo'lishi mumkin va bu hujumni tashkil qilish uchun ishlatilishi mumkin.
Qurbon direktor bilan bahslashishni xohlamaydi va direktor ta'tilda bo'lsa, ma'lumotni tekshirish qiyin bo'lishi mumkin.
Ijtimoiy Muhandislik Senariysi: Qaytarishdan F
oydalanish
Qaytarish — bu biror narsani qaytarish, boshqaga mehribonlik ko'rsatish kabi.
Agar biz kimdir sizni ofis binosining old tomoniga kirish uchun eshikni ushlab turganini ko'rsak. Shuning uchun siz keyingi eshikni ushlab turgan kishiga qaytarish qilishingiz ehtimoli yuqori. Ushbu eshik kirish nazorati ostida bo'lishi mumkin, xodimlardan ularning kartalarini taqdim etishni talab qiladi, lekin qaytarish uchun eshik ushlab turiladi. Bu "tailgating" deb ataladi.
Ijtimoiy Muhandislik Senariysi: Qiziqishni Suiiste'mol Qilish
Odamlar tabiatan qiziqadi. Agar siz ofis binosi oldida yotgan USB diskni topsangiz, nima qilasiz? Uni ulaysizmi? Agar USB diskda "Maosh Ma'lumotlari - Hozirgi Yangilanishlar" sarlavhasiga ega hujjat bo'lsa?
Hujumchi zararli USB disklarni xodimlar mavjud bo'lgan hududda o'z intentional ravishda tashlashi mumkin, umid qilib, kimdir uni ulaydi.
Hujjatlar zararli makrolar yoki eksploitlarni o'z ichiga olishi mumkin, yoki foydalanuvchilarni o'zlarini xavfga soladigan harakatlarni amalga oshirishga undashi mumkin.
Phishing
Phishing odatda email orqali amalga oshiriladigan texnikadir. Hujumchilar xodimlarni sezgir ma'lumotlarini, masalan, credentiallarni berishga yoki zararli dasturlarni o'rnatishga undashga harakat qiladilar.
Phishing
Phishing hujumchilarning tizimlarga kirish uchun foydalanadigan keng tarqalgan texnikalaridan biridir, shuningdek, penetratsion testchilar ham bu usuldan foydalanishlari mumkin. Kiber xavfsizlikda inson omilini hech qachon past baholamaslik muhimdir. Insonlar ishtirok etgan vaqt davomida phishing hujumchilarga tizimlarga kirish imkoniyatini yaratadi.
Phishing insonlarning xatoga yo'l qo'yishini isbotlash uchun ishlatilmasligi kerak, balki bu xatolarni oqibatlarini isbotlashga harakat qilish kerak. Shuningdek, anti-spam filtrlarining kuchini va foydalanuvchilarni xabardorligini sinash uchun ham ishlatilishi mumkin.
Bir martalik urinish o'rniga ko'plab phishing kampaniyalarini o'tkazish mumkin. Bir nechta phishing raundlarini o'z ichiga olgan kampaniya tashkilotning umumiy xabardorligini aniqlashga yordam beradi va nafaqat hujumchilar, balki xavfsizlik bo'limining ham foydalanuvchilarni aldashga harakat qilayotganini ko'rsatadi.
Vishing
Vishing telefon qo'ng'iroqlari orqali xodimlarni hujumchilar uchun xohlanmagan harakatlarni amalga oshirishga majbur qilishni anglatadi. Agar xodim telefon orqali biladigan, afzalroq muayyan hukumat vakili bo'lgan shaxs bilan gaplashayotganiga ishonadigan bo'lsa, xodim xohlanmagan harakatlarni amalga oshirish uchun aldanishi mumkin.
Misol: Eve va Alice telefon orqali suhbatlashmoqda
Eve: Salom, men Miss Eve. Sizni shaxsiy ravishda CEO Margarethe'dan telefon qilib qo'ydilar; u siz yordam bera olishingizni aytdi. Alice: Yaxshi... Sizga nima yordam bera olishim mumkin? Eve: Margarethe hozirda safarda, ammo biz uchrashuv uchun darhol uning parolini qayta o‘rnatishni talab qilmoqda. U landigandan so‘ng uchrashuvga tayyor bo‘lishi kerak. Eve: Biz uning email parolini darhol qayta o‘rnatishni so‘raymiz, shunda u uchrashuvni o‘tkazishi mumkin. Eve: Siz parolni Margareth123 deb qayta o‘rnatishingiz mumkinmi? Alice: Men ishonchim komil emas... Eve: Iltimos, Margarethe sizni shaxsiy ravishda bu so‘rovni bajaring, bu darhol amalga oshirilishi kerak, aks holda oqibatlarini o‘ylashni xohlamayman... Alice: Yaxshi. Parol qayta o‘rnatildi.
Vishing qurbonlarni sezgir ma'lumotlarni oshkor qilishga majbur qilish uchun ishlatilishi mumkin. Masalan, hujumchi sezgir hujjat yoki elektron jadvalning nusxasini so‘rashi mumkin.