Phishing: μια ενδιαφέρουσα συστροφή σε μια κοινή απάτη
Μετά από δύο αξιολογήσεις της ασφάλειας πρέπει να είμαι ασφαλής, σωστός;
Φανταστείτε ότι είστε το CIO ενός εθνικού οικονομικού οργάνου και έχετε επεκτείνει πρόσφατα μια σε απευθείας σύνδεση υπηρεσία συναλλαγής κατάστασης προόδου για τους πελάτες σας. Για να σιγουρευτεί το δίκτυο της επιχείρησής σας η περίμετρος είναι ασφαλής, εκτελέσατε δύο εξωτερικές αξιολογήσεις της ασφάλειας και δοκιμές διείσδυσης. Όταν η τελική έκθεση μπήκε, στην επιχείρησή σας δόθηκε ένας καθαρός λογαριασμός της υγείας. Καταρχάς, αισθανθήκατε ανακουφισμένοι, και βέβαιοι στα μέτρα ασφάλειάς σας. Σύντομα έκτοτε, η ανακούφισή σας γύρισε στην ανησυχία. «Είναι πραγματικά πιθανό ότι είμαστε απολύτως ασφαλείς;» Λαμβάνοντας υπόψη είστε σκεπτικισμός, αποφασίζετε να πάρετε μια περισσότερη άποψη.
Η ημέρα της παράδοσης εκθέσεων δοκιμής διείσδυσης είναι τώρα προσιτή. Με βάση τις προηγούμενες αξιολογήσεις, αναμένετε να μην λάβετε παρά μόνο τις θετικές πληροφορίες ......
Τα αποτελέσματα ήταν λιγότερο από παρακαλώντας
Κατά τη διάρκεια αυτής της δοκιμής διείσδυσης, υπήρξαν διάφορα ενδιαφέροντα συμπεράσματα, αλλά πρόκειται να εστιάσουμε σε ένα που θα χτυπούσε τον αέρα από καθέναν αρμόδιο για την ασφάλεια των συστημάτων ανοικτής γραμμής. Ιδιαίτερα εάν είστε στην επιχείρηση των χρημάτων.
Οι περισσότεροι άνθρωποι εξοικειώνονται με τον όρο «Phishing». το Dictionary.com καθορίζει τη λέξη Phishing ως «πρακτική να δελεάσει τους ανυποψίαστους χρήστες του Ίντερνετ σε έναν πλαστό ιστοχώρο με τη χρησιμοποίηση του αυθεντικός-κοιτάγματος ηλεκτρονικό ταχυδρομείο με το λογότυπο της πραγματικής οργάνωσης, σε μία προσπάθεια να κλαπούν οι κωδικοί πρόσβασης, οικονομικός ή η προσωπική πληροφορία, ή να εισαχθεί μια επίθεση ιών η δημιουργία ενός αντιγράφου ιστοχώρου για οι ανυποψίαστοι χρήστες του Ίντερνετ στην υποβολή των προσωπικών ή οικονομικών πληροφοριών ή των κωδικών πρόσβασης». Αν και SPAM/το εκούσιο ηλεκτρονικό ταχυδρομείο και ο άμεσος κεντρικός υπολογιστής δικτύου συμβιβάζουν είναι οι πιό κοινές μέθοδοι Phishing. Υπάρχουν άλλοι τρόποι να ολοκληρωθεί αυτή η ψευδής δραστηριότητα.
Ο συμβιβασμός δρομολογητών Διαδικτύου κάνει για μια κακή ημέρα
Σε αυτήν την περίπτωση, ο δρομολογητής Διαδικτύου συμβιβάστηκε με τη χρησιμοποίηση μιας γνωστής ευπάθειας της CISCO. Μόλις ολοκληρώθηκε αυτό, ο ουρανός ήταν το όριο μέχρι αυτό που μπόρεσε να γίνει για να προσκρούσει στην οργάνωση. Ακόμα κι αν ο κεντρικός υπολογιστής δικτύου της επιχείρησης ήταν ασφαλής, και η αντιπυρική ζώνη που προστάτευε τον κεντρικό υπολογιστή δικτύου διαμορφώθηκε επαρκώς, τι πραγματοποιήθηκε έπειτα καμένος αυτά τα συστήματα άμυνας άσχετα.
Αντί της καθιέρωσης μια διπλή περιοχή σύνδεσης σε ένα εξωτερικό σύστημα, έπειτα που στέλνει SPAM προκειμένου να προσελκυστεί ένας πελάτης για να σταματήσει το χρήστη τους - η ταυτότητα, ο κωδικός πρόσβασης, και οι αριθμοί απολογισμού, μια άλλη προσέγγιση, μια πιό φαύλος προσέγγιση λήφθηκαν.
Phishing για τις προσωπικές ή οικονομικές πληροφορίες
Θυμάστε εκείνο τον δρομολογητή που συμβιβάστηκε; Για λόγους απόδειξης της έννοιας, τη διαμόρφωση δρομολογητών άλλαξαν για να διαβιβάσει όλη τη κίνηση του δικτύου που δεσμεύθηκε για το νόμιμο κεντρικό υπολογιστή δικτύου, σε έναν άλλο κεντρικό υπολογιστή δικτύου όπου χρήστης - η ταυτότητα, ο κωδικός πρόσβασης, και οι πληροφορίες απολογισμού θα μπορούσαν να συλλεχθούν. Ο πρώτος χρόνος αυτές οι πληροφορίες εισήχθη, ο πελάτης θα ελάμβανε ένα διφορούμενο λάθος. Ο δεύτερος χρόνος η σελίδα που φορτώθηκε, ο πλαστός κεντρικός υπολογιστής δικτύου επαναπροσανατόλισε τον πελάτη στην πραγματική περιοχή. Όταν ο χρήστης κατέγραψε εκ νέου τις ζητούμενες πληροφορίες, όλα ελειτούργησαν ακριβώς λεπτό.
Κανένας, όχι ο πελάτης, ούτε η επιχείρηση δεν είχαν οποιαδήποτε ιδέα ότι κάτι φαύλο συνεχιζόταν. Κανένας κουδούνι ή συριγμός δεν πήγε μακριά, κανένας δεν εξέτασε το λάθος. Γιατί, θα μπορούσαν να έχουν υποβάλει το λανθασμένο κωδικό πρόσβασης, ή ήταν πιθανώς ένα χαρακτηριστικό λάθος ιστοσελίδας που ο καθένας εξετάζει από καιρό σε καιρό.
Σε αυτό το σημείο, μπορείτε να αφήσετε τη φαντασία σας να αναλάβει. Ο επιτιθέμενος δεν μπορεί να προωθήσει και να χρησιμοποιήσει τις πληροφορίες συλλεχθείσες αμέσως. Θα μπορούσε να είναι ημέρες ή εβδομάδες προτού να χρησιμοποιηθεί. Οποιοδήποτε ίχνος αυτό που πραγματοποιήθηκε πραγματικά για να συλλέξει τις πληροφορίες θα ήταν πιθανότατα ιστορία.
Αυτό που κάνουν εσείς πάρτε πραγματικά από τις αξιολογήσεις της ασφάλειας
Δεν μπορώ να σας πω πόσες φορές έχω παρουσιαστεί με τις εκθέσεις αξιολόγησης της ασφάλειας που είναι λίγο πολύ παραγωγή πληροφοριών από μια off-the-shelf ή ανοικτή αυτοματοποιημένη πηγή συσκευή ανάλυσης ασφάλειας. Αν και ένας επιτιθέμενος μπορεί να χρησιμοποιήσει τα ίδια ή παρόμοια εργαλεία κατά τη διάρκεια μιας επίθεσης, δεν στηρίζονται απλώς σε αυτές τις πληροφορίες για να επιτύχουν το στόχο τους. Μια αποτελεσματική αξιολόγηση της δοκιμής ή ασφάλειας διείσδυσης πρέπει να εκτελεσθεί από κάποιο που καταλαβαίνει όχι μόνο «τις αδυναμίες στην ασφάλεια» και πώς να τρέξει τα off-the-shelf εργαλεία. Το πρόσωπο που εκτελεί την αξιολόγηση πρέπει να κάνει έτσι οπλισμένος με τα εργαλεία και την εμπειρία που συναντά ή υπερβαίνει εκείνους ένας πιθανός επιτιθέμενος θα είχε.
Συμπέρασμα
Εάν είστε μικροί, μέσος, είναι μεγάλη επιχείρηση, πρέπει να είστε πολύ προσεκτικοί για ποιων αποφασίζετε ότι είναι ο πιό κατάλληλος για να εκτελέσει μια αναθεώρηση των συστημάτων άμυνας ασφάλειας της επιχείρησής σας, ή το σχεδιάγραμμα ασφάλειας. Ακριβώς επειδή μια οργάνωση σας παρουσιάζει με τα πιστοποιητικά, όπως οι σύμβουλοι με CISSP τους ....., δεν σημαίνει ότι αυτοί οι άνθρωποι έχουν οποιαδήποτε πραγματική εμπειρία. Όλες οι πιστοποιήσεις στον κόσμο δεν μπορούν να σας βεβαιώσουν τα αποτελέσματα που λαμβάνετε από τη συμμετοχή σε μια αξιολόγηση της ασφάλειας είστε λεπτομερείς/ολοκληρώνετε. Να πάρει μια δεύτερη άποψη είναι κατάλληλο δεδομένου τι μπορεί να είναι σε κίνδυνο. Εάν δεν αισθανόσαστε καλά, και ξέρατε ότι κάτι έκανε λάθος με σας, θα εγκαθιστούσατε για μόνο μια άποψη του γιατρού;
Αρκετά ειλικρινά, δεν έχω συναντήσει ποτέ έναν χάκερ (ξέρω ότι θα πάρω χτυπημένου για τη χρησιμοποίηση αυτού του όρου, πάντα), ο οποίος έχω μια πιστοποίηση δηλώνοντας ότι ξέρουν τι κάνουν. Ξέρουν τι κάνουν επειδή το έχουν κάνει, επανειλημμένως, και έχουν μια πλήρη κατανόηση των συστημάτων και του λογισμικού δικτύων. Συν τοις άλλοις, το ένα πράγμα έχουν ότι καμία κατηγορία ή πιστοποίηση δεν μπορεί να διδάξει εσείς είναι, φαντασία.
Περίπου ο συντάκτης
Ο μυλωνάς Darren είναι σύμβουλος ασφαλείας πληροφοριών με πάνω από δέκα έξι έτη εμπειρίας. Έχει γράψει πολλά άρθρα τεχνολογίας & ασφάλειας, μερικά από τα οποία έχουν δημοσιευθεί στα εθνικά κυκλοφορημένα περιοδικά & τα περιοδικά. Εάν θα επιθυμούσατε να έρθετε σε επαφή με Darren μπορείτε να τον στείλετε μήνυμα με το ηλεκτρονικό ταχυδρομείο σε Darren.Miller@ParaLogic.Net. Εάν θα επιθυμούσατε να ξέρετε περισσότεροι για την ασφάλεια υπολογιστών παρακαλώ μας επισκεφτείτε στο
http://www.defendingthenet.com.
Αρθρο Πηγη: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!
» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
Webmaster παίρνει τον κώδικα HTML
Προσθεστε αυτο το αρθρο στον ιστοτοπο σας τωρα!
Webmaster υποβάλλει τα άρθρα σας
Εγγραφή που απαιτείται καμία! Συμπληρώστε τη μορφή και το άρθρο σας είναι στον κατάλογο Messaggiamo.Com