Social Engineering

• * Einführung
• * Gegenmaßnahmen
• * Eine kleines Beispiel

* Einführung (Index)

Was ist Social Engineering? Dies ist keine technische Methode um einzubrechen,
sondern der menschliche Faktor. Was passiert wenn jemand die 45-jährige Chefsekretärin
anruft, sich als Administrator ausgibt und nach ihrem Netzpasswort fragt?
Denn oft verkennt man das Sicherheit ein Zustand ist, der fast schon illusorisch
ist und nicht mit der Installation eines Programms oder Paketfilters erreicht
werden kann. Das wichtigste im Netz bleiben die Menschen, denn diese sind fehleranfällig,
faul und dumm.

* Gegenmaßnahmen (Index)

Kläre die Leute über die möglichen Gefahren auf, das jemand versuchen könnte in
das Netz einzudringen und sie dazu zu instrumentalisieren versucht. Stelle eine
Policy auf die auch den sozialen Aspekt umfasst und erklärt dies den Leuten.
Weist sie auch auf die Wichtigkeit der Passwörter hin und droht mit Überprüfungen,
die natürlich auch durchgeführt werden. Sagt ihnen das ihre Kinder, Telefonnummern,
Autonummern etc. keine guten Passwörter sind.
Es gibt automatische Passwortgeneratoren, die aber auch als
Quelle für eine Dictionaryattacke mißbraucht werden können.
Eine brauchbare Möglichkeit Passwörter zu generieren, ist es
sich einen einfachen Satz auszudenken und die Anfangsbuchstaben zum Passwort zu machen:
Ich heiße Kevin Mitnichten und wurde am 01.01.1970 in Frankenberg/Sachsen geboren.
IhKMuwa01.01.1970iF/Sg.
Man sollte aber auch nicht vergessen, das eine zu restriktive Passwortpolitik
ungesund sein kann. Wenn jeder Benutzer wöchentlich ein neues 70-stelliges PW
bekommt, wird es sich wohl oder übel aufschreiben. Man sollte daher evtl. über andere
Mittel, wie bspw. kryptographische Schlüssel oder Biometriken nachdenken.
Stellt sicher das die Admins nicht irgendwelche Leute anrufen und nach
ihren Passwörtern fragen bzw. ein System aufstellt indem die betreffenden Leute
euch zurückrufen.
Oftmals kundschaften die Angreifer ihr Opfer vorher aus, um an Infos wie Netzaufbau
oder Organisation der EDV-Abteilung heranzukommen. Das heißt das auch ihr als
Admins ziel des SE werden könnt, also das z.B. der Angreifer sich als Supporter
von einer Firma vorstellt o.ä. Teilweise verwenden 14-jährige Stimmenverzerrer
oder anderes technisches Gerät um ihr Stimme zu verstellen und älter bzw.
männlicher zu klingen.

* Eine kleines Beispiel (Index)

Angreifer am Telefon, Opfer Stadtverwaltung X:
Ang: Guten Tag, Müller mein Name, Firma IBM, ich hätte gerne ihren IT Chef gesprochen.
Tel: Moment, ich Verbinde
EDV: Morgen, Schmidt, EDV
Ang: Morgen Herr Schmidt, Müller von Microsoft.
Ich bin mit ihrer Kundenbetreuung beauftragt, und da in letzter Zeit Probleme mit
Produkt XYZ aufgetreten sind, soll ich sie vom Patch ABC informieren.
EDV: XYZ? Ham wer nicht, wir verwenden doch RST Version 3.5 auf OS 4.4
Ang: Blah, laber, Gespräch beenden.

Was weiß der Angreifer nun?
- Name des EDV Mitarbeiter/Chefs
- eingesetztes Produkt und Version
- eingesetztes OS und Version
- mit ein wenig Geschick auch noch die Servertypen

Mit diesen Informationen und eine wenig "Fachchinesisch" kann der Angreifer nun
irgendeinen Mitarbeiter dazu bringen wichtige Interna auszuplaudern.

Es ist daher zwingen notwendig den Mitarbeitern den Sinn der Passwörter und
Sicherungsmaßnahmen zu verdeutlichen. Wichtig sind hier auch rechtliche Schritte
wie Dienstvorschriften, Arbeitsanweisungen etc. pp.

Zu den Überprüfungen:
Versuche einfach die Passwörter mit einem brute-force-tool (das ist ein Angriff
bei dem einfach bloß der Reihe nach ein Lexikon durchgegangen wird)
wie Jack the Ripper für Unix. Nutzer deren Passwort gecrackt wird sollten zu
einer Änderung desselben veranlaßt werden.
Um dies zu vereinfachen kann man die Nutzer zwingen alle n-Tage ihr Passwort zu
ändern, und zusätzlich eine proaktive Prüfung einführen. Das bedeutet das man
mit einem Tool die Passwörter noch vor dem Eintrag überprüfen läßt und nur
starke Passwörter zuläßt.
Sehr zu empfehlen ist npasswd von der texanischen Uni.
Es ist ein sehr ausgereifter proaktiver Ersatz des gesamten passwd Befehls.

\soc.html,v 1.36 2025/06/24 15:29:33 stefan Exp



soc.html,v
Revision 1.36  2025/06/24 15:29:33  stefan
korrekturen

Revision 1.6  2014/08/21 09:27:29  stefan
Umlaute und Makefile clean up