Was ist Social Engineering? Dies ist keine technische Methode um
einzubrechen,
sondern der menschliche Faktor. Was passiert wenn jemand die
45-jährige Chefsekretärin
anruft, sich als Administrator ausgibt und nach ihrem Netzpasswort
fragt?
Denn oft verkennt man das Sicherheit ein Zustand ist, der fast
schon illusorisch
ist und nicht mit der Installation eines Programms oder
Paketfilters erreicht
werden kann. Das wichtigste im Netz bleiben die Menschen, denn
diese sind fehleranfällig,
faul und dumm.
Kläre die Leute über die möglichen Gefahren auf,
das jemand versuchen könnte in
das Netz einzudringen und sie dazu zu instrumentalisieren versucht.
Stelle eine
Policy auf die auch den sozialen Aspekt umfasst und erklärt
dies den Leuten.
Weist sie auch auf die Wichtigkeit der Passwörter hin und
droht mit Überprüfungen,
die natürlich auch durchgeführt werden. Sagt ihnen das
ihre Kinder, Telefonnummern,
Autonummern etc. keine guten Passwörter sind.
Es gibt automatische Passwortgeneratoren, die aber auch als
Quelle für eine Dictionaryattacke mißbraucht werden können.
Eine brauchbare Möglichkeit Passwörter zu generieren, ist es
sich einen einfachen Satz auszudenken und die Anfangsbuchstaben zum Passwort zu machen: Ich heiße Kevin Mitnichten und wurde am 01.01.1970 in Frankenberg/Sachsen geboren. IhKMuwa01.01.1970iF/Sg.
Man sollte aber auch nicht vergessen, das eine zu restriktive Passwortpolitik
ungesund sein kann. Wenn jeder Benutzer wöchentlich ein neues 70-stelliges PW
bekommt, wird es sich wohl oder übel aufschreiben. Man sollte daher evtl. über andere
Mittel, wie bspw. kryptographische Schlüssel oder Biometriken nachdenken.
Stellt sicher das die Admins nicht irgendwelche Leute
anrufen und nach
ihren Passwörtern fragen bzw. ein System aufstellt indem die
betreffenden Leute
euch zurückrufen.
Oftmals kundschaften die Angreifer ihr Opfer vorher aus, um an
Infos wie Netzaufbau
oder Organisation der EDV-Abteilung heranzukommen. Das heißt
das auch ihr als
Admins ziel des SE werden könnt, also das z.B. der Angreifer
sich als Supporter
von einer Firma vorstellt o.ä. Teilweise verwenden
14-jährige Stimmenverzerrer
oder anderes technisches Gerät um ihr Stimme zu verstellen und
älter bzw.
männlicher zu klingen.
Angreifer am Telefon, Opfer Stadtverwaltung
X:
Ang: Guten Tag, Müller mein Name, Firma IBM, ich hätte
gerne ihren IT Chef gesprochen.
Tel: Moment, ich Verbinde
EDV: Morgen, Schmidt, EDV
Ang: Morgen Herr Schmidt, Müller von Microsoft.
Ich bin mit ihrer Kundenbetreuung beauftragt, und da in letzter
Zeit Probleme mit
Produkt XYZ aufgetreten sind, soll ich sie vom Patch ABC
informieren.
EDV: XYZ? Ham wer nicht, wir verwenden doch RST Version 3.5 auf OS
4.4
Ang: Blah, laber, Gespräch beenden.
Was weiß der Angreifer nun?
- Name des EDV Mitarbeiter/Chefs
- eingesetztes Produkt und Version
- eingesetztes OS und Version
- mit ein wenig Geschick auch noch die Servertypen
Mit diesen Informationen und eine wenig "Fachchinesisch" kann der
Angreifer nun
irgendeinen Mitarbeiter dazu bringen wichtige Interna
auszuplaudern.
Es ist daher zwingen notwendig den Mitarbeitern den Sinn der
Passwörter und
Sicherungsmaßnahmen zu verdeutlichen. Wichtig sind hier auch
rechtliche Schritte
wie Dienstvorschriften, Arbeitsanweisungen etc. pp.
Zu den Überprüfungen:
Versuche einfach die Passwörter mit einem brute-force-tool
(das ist ein Angriff
bei dem einfach bloß der Reihe nach ein Lexikon durchgegangen
wird)
wie Jack the Ripper für Unix. Nutzer deren Passwort gecrackt
wird sollten zu
einer Änderung desselben veranlaßt werden.
Um dies zu vereinfachen kann man die Nutzer zwingen alle n-Tage ihr
Passwort zu
ändern, und zusätzlich eine proaktive Prüfung
einführen. Das bedeutet das man
mit einem Tool die Passwörter noch vor dem Eintrag
überprüfen läßt und nur
starke Passwörter zuläßt.
Sehr zu empfehlen ist npasswd von
der texanischen Uni.
Es ist ein sehr ausgereifter proaktiver Ersatz des gesamten passwd
Befehls.
