Elektronika.lt
 2017 m. rugpjūčio 19 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 - Elektronikos komponentai
 - Elektronikos technologija
 - Parametrų apskaičiavimai
 - Kompiuterija
 - Telekomunikacijos
 - Įvairi teorija
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Rugpjūčio 19 d. 10:08
Norite skristi pigiau? Išmokite naudotis „Google Flight“
Rugpjūčio 18 d. 20:36
Dar vienas fantastiškas LHC pasiekimas patvirtino kvantinės fizikos prognozes
Rugpjūčio 18 d. 18:08
Lietuvos pramonės įmonės sieks skaitmenizuoti procesus
Rugpjūčio 18 d. 14:14
Žaidimai – geriausias kritinio mąstymo lavintojas
Rugpjūčio 18 d. 12:11
„Sostų karai“ – ko žiūrovai ieško internete?
Rugpjūčio 18 d. 11:07
6 metus „Tesla“ dirbantis KTU absolventas: pradžia nebuvo lengva
Rugpjūčio 17 d. 19:19
Tyrimas atskleidė, ką lietuviai mėgsta veikti prie televizoriaus
Rugpjūčio 17 d. 17:15
BMW, „Audi“, „Renault“ automobiliuose – lietuvių inžinierių pagamintos detalės
Rugpjūčio 17 d. 16:02
Atgal į mokyklą: geriausias kompiuteris vaikui
Rugpjūčio 17 d. 15:22
Kaip pasikeitusi darbo rinka diktuoja technologijų madas?
Farmingmods2015.com
FS maps, farming simulator 2015 mods, FS 15 tractors
ATS mods
ATS trailers, American Truck Simulator Mods, ATS trucks
Amazon sellers
Ebay sellers, Walmart sellers, Etsy sellers
FS 17 Combines
Farming Simulator 17 Mods, FS 17 Trucks, FS 2017 Mods
FS 17 maps, FS 17 truck
FS 17 Trailers, Farming Simulator 2017 Mods
Farming Simulator 2017
FS 2017 Trailers, FS 17 Maps, FS 17 Tractors
FS 17 Tractors
Farming Simulator 17 Mods, FS17 Combines, FS17 Maps
ATS Trailer skins
ATS mods, How to install ATS mods, ATS Truck skins
How to install Gta6 Mod
GTA 6 Mods, GTA 6 Weapon Mods, GTA 6 Vehicles Mods
Farming Simulator 2017
FS17 Mods, FS17 Maps, FS17 Trucks
Cattle and Crops
Farming Simulator 17 Mods, FS2017 Maps, FS17 Tractors
Reklama
 Teorija, žinynai » Įvairi teorija Dalintis | Spausdinti

Kas yra socialinė inžinerija ir kaip ji veikia

Publikuota: 2016-08-29 17:14
Tematika: Įvairi teorija
Skirta: Pradedantiems
Autorius: Jonas Bunevičius
Aut. teisės: ©Technologijos.lt
Inf. šaltinis: Technologijos.lt

Į žmogiškąjį faktorių atsižvelgti reikėdavo visais laikais. Bejausmė skaitmeninė technika saugumą padidino, tačiau kartu atvėrė kelius žmogaus psichologijos vingrybėms ir silpnybėms krėsti vis didesnes šunybes. Visuomenė, itin aktyviai migruodama į skaitmeninę erdvę, nešasi kartu ir konfidencialią informaciją, į kurią suleist dantis norėtų ne vien pasaulio tvarką (jų pačių tvirtinimu) saugančios slaptosios tarnybos.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Į žmogiškąjį faktorių atsižvelgti reikėdavo visais laikais. Bejausmė skaitmeninė technika saugumą padidino, tačiau kartu atvėrė kelius žmogaus psichologijos vingrybėms ir silpnybėms krėsti vis didesnes šunybes.

Visuomenė, itin aktyviai migruodama į skaitmeninę erdvę, nešasi kartu ir konfidencialią informaciją, į kurią suleist dantis norėtų ne vien pasaulio tvarką (jų pačių tvirtinimu) saugančios slaptosios tarnybos (tiesą sakant, eiliniai džonai, marijos ir chuanai jiems rūpi mažiausiai), bet ir daug pragmatiškiau nusiteikę piktavaliai. Saugumo technikai tobulėjant, tapti išmanių piktavalių, kurie naudodami savo išskirtinę techninę kompetenciją geba įsilaužti į apsaugotas kompiuterines sistemas bei sukompromituoti slaptus duomenis, darosi vis sudėtingiau. Tai jau seniai nėra didžiausias saugos užtikrinimo ekspertų rūpestis.

Kas yra socialinė inžinerija ir kaip ji veikia

Kaip rodo praktika, tokias kibernetines saugumo problemas dažniausiai galima gan neskausmingai eliminuoti, tiesiog pasitelkus naujas technologijas. Tačiau diegiami nauji saugos mechanizmai baugina tikrai ne visus piktavalius. Kartais kibernetinių nusikaltėlių techninės žinios niekaip nepadeda atrasti silpnų skaitmeninės infrastruktūros vietų. Tačiau tokios kliūtys piktavalių nesulaiko. Jeigu nepavyksta įveikti kompiuterinės sistemos saugumo mechanizmų, lieka viena saugumo atnaujinimais ir moderniausiomis ugniasienėmis neištaisoma silpna vieta, – žmogaus psichologija.

Žmogaus psichologija – socialinės inžinerijos sėkmės pagrindas

Pagal griežtus algoritmus veikiančios kompiuterinės sistemos nėra linkusios klysti ar apsigalvoti. Tuo tarpu žmogui įgimta pasitikėti kitais ir tai neretai priverčia suabejoti savo pasirinkimu. Per pastaruosius penkerius metus ši žmogiška silpnybė tapo masine saugos mechanizmų pažeidžiamumo problema, garantavusia socialinės inžinerijos sėkmę. Kitaip sakant, su žmonių bendravimu ir jų manipuliavimu siejama mokslo kryptis tapo bene pagrindine piktavalių prieigos prie slaptos informacijos priemone.

Vis dėlto socialinės inžinerijos veikimo motyvai ir pritaikymas nėra nauja sritis. Šį terminą dar 1990 metais populiarinti pradėjo vienas žinomiausių visų laikų programišių Kevinas Mitnickas.

Kintant darbo aplinkai ir galimybėms, socialinė inžinerija piktiems kėslams pritaikoma pačiose įvairiausiose situacijose. O liūdniausia, – universalaus problemos sprendimo būdo nėra ir greičiausiai nebus dar labai ilgai. Net ir patikimiausias įmonės darbuotojas pats to nesuprasdamas, vieną (ne tokią jau) gražią dieną, gali tapti didžiulio kibernetinio nusikaltimo bendrininku.

Tačiau sumažinti socialinės inžinerijos veikimo įtaką žmogaus psichologijai tikrai įmanoma. Kibernetiniai nusikaltėliai dažniausiai taiko saugumo ekspertams gerai žinomas socialinės inžinerijos atakas. Supratus jų veikimo ir įgyvendinimo principą, be jokios abejo, sumažėja ir rizika tapti šio nemalonaus incidento tarpininku.

Populiariausios socialinės inžinerijos atakos

Kaip galima numanyti, socialinės inžinerijos terminas dažniausiai siejamas su paties įvairiausio tipo kenkėjiška veikla. Kitaip tariant, kad ir į kokį materialų ar skaitmeninį turtą piktavalis taikosi, siekdamas jį užvaldyti, naudos žinomus manipuliacijos žmogaus psichologija būdus. Kibernetiniai nusikaltėliai šį metodą taiko vis dažniau, kadangi taip dažniausiai nelieka jokių apčiuopiamų veiklos įrodymų, kuriuos būtų galima panaudoti piktavalio išaiškinimui ar juo labiau, kaip įrodymą teisme, o svarbiausia, taip galima gauti prieigą ne tik prie prie pavienių paskyrų ar banko sąskaitų, bet net ir prie didelių organizacijų įslaptintų duomenų bazių ar pan.

Fišingas (angl. Phishing)

Tai – viena iš populiariausių ir socialinės inžinerijos atakų. Piktavaliams ji itin patraukli, nes gali būti pritaikyta ir platinama praktiškai bet kokiomis skaitmeninėmis priemonėmis: elektroniniais laiškais, pokalbių programomis, trumposiomis žinutėmis, įvairiausio plauko tinklalapiais, įmonių administruojamomis sistemomis ar netgi skaitmeninėmis anketomis. Trumpai tariant, vykdydami fišingo atakas piktavaliai siekia įtikinti potencialią auką pateikti konfidencialią skaitmeninę tokiuose šaltiniuose, kurie tik iš pirmo žvilgsnio atrodo patikimi ir gerai žinomi.

Fišingo atakos metu piktavalis, taikydamas psichologinius spaudimo metodus, stengiasi platinti grėsmingus, tačiau įtikinamus ir auką verčiančius skubėti tekstus. Taikant šio tipo socialinės inžinerijos ataką, labai dažnai į pagalbą pasitelkiamos sutrumpintos ir tikrąjį šaltinį maskuojančios internetinės nuorodos. Būtent jomis įbaugintas asmuo nukreipiamas į kenkėjiškus tinklalapius.

Fišingo atakos vis sudėtingėja. Pavyzdžiui, „Google Play Books“ elektroninėje parduotuvėje yra platinamos tik knygos, tačiau praktika įrodo, kad patikliems vartotojams paspaudus jose įterptas nuorodas, kartais galima tapti ir fišingo auka.

Masalas (angl. Baiting)

Taip, taip, perskaitėte teisingai. Slieku žmogaus gal ir nepriviliosi, bet paliktu ar „pamestu“ daiktu, nemokama programine įranga ar žaidimu sudominti tikrai galima. Nors anksčiau tokio tipo socialinės inžinerijos atakos naudotos tik nelegalią programinę įrangą platinančiose tinklalapiuose, dabar jos vis dažniau vyksta ir fiziškai apčiuopiamu, materialiu pavidalu.

Čia ir vėl meškos paslaugą daro žmogiškoji psichologija, itin linkusi priimti dovanas. Nors dabar Trojos arklio niekas dovanoti nesiruošia, tačiau ant stalo „visiškai atsitiktinai“ palikti kenkėjiška programa, trojanu, apkrėstą USB raktą piktavalis tikrai gali net ir šiandien. Na, o toliau piktavaliui tiesiog belieka laukti, kada žmogiškasis smalsumas paims viršų.

Šio socialinės inžinerijos modelio veiksmingumą įrodė ne tik graikų mitologija, bet ir dabartinė praktika. „Secure Network Technologies, Inc.“ viceprezidentas ir įkūrėjas Steve‘as Stasiukonis kartu su savo komanda dar 2006 metais atliko eksperimentą – suinteresuotos organizacijos stovėjimo aikštelės atsitiktinėse vietose primėtė kenkėjišku programiniu kodu apkrėstų USB raktų. Dauguma šių atmintinių, žinoma, surado įmonės darbuotojai. Galima net neabejoti, kad jų smalsumas nugalėjo, o Steve‘ui tiesiog beliko džiaugtis itin sėkmingais atliko tyrimo rezultatais.

Pasitikėjimas (angl. Tailgating).

Itin pavojinga, nors gal kiek sunkiau įgyvendinama socialinės inžinerijos ataka yra pagrįsta betarpišku žmonių tarpusavio pasitikėjimu. Ši ataka ypatinga tuo, kad jos vykdymui reikia piktavalio fizinio kontakto su tam tikrą informaciją žinančiu asmeniu. Iš pirmo žvilgsnio gali atrodyti, kad toks metodas labai rizikingas, nepatikimas ir su kibernetiniais nusikaltimais turintis maža ką bendro. Vis dėlto praktika rodo, kad net ir taikant tokias manipuliacijas, galutinis piktavalio tikslas – būtent konfidenciali organizacijos ar asmens informacija.

Norėdamas įvykdyti tokio tipo socialinės inžinerijos ataką, piktavalis tiesiog laukia tinkamo momento pasinaudoti aplinkinių patiklumu. Tipinis tokios atakos pavyzdys – praėjimo kontrolė. Piktavaliai jas dažniausiai sugeba įveikti, tiesiog pameluodami vietiniams darbuotojams, jog namuose pamiršo savąją praėjimo kontrolės kortelę. O patekus į pastatą, jau galima imtis ir kitos piktavališkos veiklos. Pavyzdžiui, paprašyti „kolegos“ kelioms minutėms paskolinti kompiuterį, kad jame būtų galima įrašyti kenkėjišką programą.

Savaime suprantama, didžioji dali skaitytojų šiuos pavyzdžius išvadins nesąmonėmis, tačiau patikėkite, tai tikrai vyksta. Lietuvoje vykstančiomis tokio tipo atakų pavyzdžiais gal pasidalintų komentatoriai, o vieno tokio JK įvykusio atsitikimo pavyzdys pateikiamas čia

Rekomendacijos kaip netapti socialinės inžinerijos auka

Aptarti socialinės inžinerijos atvejai ir realūs pavyzdžiai aiškiai rodo, kad grėsmė patirti psichologinį spaudimą egzistuoja praktiškai kiekvienoje gyvenimiškoje situacijoje. O naudojant pasyvų spaudimą, gali palūžti net ir stipriausi. Kaip minėta, žmonės tiesiog visada liks žmonėmis, todėl jų galimybė protauti, keisti savo nuomonę ir įsitikinimus sukuria socialinės inžinerijos funkcionavimo terpę.

Tačiau sutartinai laikydamiesi kelių itin paprastų taisyklių, tie patys žmonės gali sumažinti primityvių socialinės inžinerijos atvejų skaičių bent jau dvigubai. Pirmoji – suprantamiausia, aiškiausia, galiojanti be išimčių: nespausti pelės klavišo ant nuorodų, gautų iš nežinomų siuntėjų. Pirmosios taisyklės papildymas: aklai nespausti pelės klavišo ant nuorodų, gautų iš žinomų siuntėjų, nes elektroninio pašto, „Facebook“ ir kt. paskyros nėra tokios saugios, kaip gali pasirodyti.

Ir nespausti reikia net tuomet, jeigu laiške, knygoje ar tinklalapyje pateiktas turinys atrodo itin įtikinamas. Taip pat reikia suprasti, kad konfidencialios informacijos, tuo labiau slaptažodžio, tikrai nereikalauja nei viena organizacija – tai kiekvieno iš mūsų asmeninė nuosavybė.

Reikia labai dėmesingai elgtis su elektronine įranga – išmaniaisiais telefonais, nešiojamais ar planšetiniais kompiuteriais – viešumoje. Ir ne vien saugantis elementarių vagysčių. Praktika aiškiai rodo, kad saugumo pažeidžiamumo pavojai šiuo metu yra itin kompleksiški, o kai kalba pakrypsta apie elektroninius prietaisus, socialinės inžinerijos pritaikymo galimybės dar labiau išsiplečia. Būtent dėl tos priežasties saugumo ekspertai jau rekomenduoja pasirūpinti ne tik savo kompiuterio, bet ir išmaniojo telefonu automatinio užrakto funkcija.

Deramą dėmesį vertėtų skirti ir elektroninių prietaisų programinės įrangos atnaujinimams. Asmeniniuose prietaisuose įsidiegti antivirusinę programą ar kitus saugumą užtikrinančius mechanizmus taip pat tikrai vertėtų, kadangi tai gali padėti ne tik pastebėti, bet ir sustabdyti jau inicijuotą potencialią socialinės inžinerijos ataką žymiai operatyviau.

Galiausiai reikėtų nepamiršti ir to, kad darbo aplinkoje taisyklės kuriamos ne šiaip sau, o tam, kad jų būtų laikomasi. Į tai vertėtų žiūrėti itin atsakingai, kadangi savo privatumą gerbiančios kompanijos vis dažniau samdosi saugos ekspertus, kurie periodiškai atlieka įsilaužimo galimybių įvertinimą (angl. penetration test). Pastarasis įvertinimas padeda nustatyti saugos pažeidžiamumo aspektus, tačiau taip pat akylai nagrinėja ir socialinės inžinerijos problematiką. Nors šiuo įvertinimu siekiama sužinoti bendrovės silpnybes, kaip valdžia sureaguos į pavienius socialinės inžinerijos pagrindu darbuotojų įvykdytus nusižengimus – labai individualus ir diskutuotinas klausimas.

Tiksliai apibrėžti socialinės inžinerijos darbo motyvus ne taip jau paprasta. Jie gali būti labai dinamiški ir priklauso ne tik nuo piktavalio, bet ir nuo potencialios aukos psichologinio pasiruošimo. Liaudies išmintis byloja: „devynis kartus matuok, dešimtą kirpk“ – būtent taip rekomenduojame ir elgtis, su socialinės inžinerijos pavojumi susidūrus akis į akį.


Technologijos.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

www.bigbox.lt

LTV.LT - lietuviškų tinklalapių vitrina

www.rslietuva.com – nemokamas elektronikos komponentų pristatymas

www.matuok.lt - Interneto spartos matavimo sistema

www.rrt.lt – Lietuvos Respublikos ryšių reguliavimo tarnyba

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Technologijos.lt

Mokslo festivalis „Erdvėlaivis Žemė

RaskInterneta.lt – plačiajuosčio ryšio žemėlapis

„EParašas“ – elektroninio parašo mokymo sistema

www.esaugumas.lt – apsaugok savo kompiuterį!

www.cert.lt – praneškite apie incidentą viešuosiuose elektroninių ryšių tinkluose arba informacinėse sistemose

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai


Reklama
‡ 1999–2017 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Farming Simulator 2017 Mods, FS 17 Mods
ls2017.com
„TV programa“ – tiksli
televizijos programa

www.tvprograma.lt
„Google“ reklama,
logotipų kūrimas

www.cet.lt
Wireless, point to point, backhaul, PTP
www.ligowave.com
Svarstyklės, matuokliai, laboratorinė įranga
www.moris.lt
Lietuvių k. informacinėse technologijose
www.likit.lt
ETS 2 Mods, ETS 2 Truck Mods, ETS 2 Map Mods
www.ets2world.com
Farming Simulator 2017 Mods, FS 17 Maps, FS 17
www.fs2017mod.com
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Geriausių lietuviškų tinklalapių katalogas
www.ltv.lt/technologijos/
Farming Simulator 2017, FS 17 Map, FS 17 Tractor
www.farming2015mods.com
500 000 elektronikos komponentų per 1 dieną
www.rslietuva.com
Reklama


Reklama