PLEIT 2012 Rudy Baving Social engineering - Pleit.nl
PLEIT 2012 Rudy Baving Social engineering - Pleit.nl
PLEIT 2012 Rudy Baving Social engineering - Pleit.nl
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>PLEIT</strong> <strong>2012</strong><br />
<strong>Rudy</strong> <strong>Baving</strong><br />
<strong>Social</strong> <strong>engineering</strong><br />
<strong>Social</strong> <strong>engineering</strong> is een techniek waarbij een computerkraker een aanval op<br />
computersystemen tracht te ondernemen door de zwakste schakel in<br />
de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om<br />
vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichter bij het aan<br />
te vallen object kan komen.<br />
Doelen<br />
Kenmerkend voor <strong>Social</strong> <strong>engineering</strong> is dat er geen aanval op de techniek zelf wordt<br />
uitgevoerd. Een aanvaller tracht om<br />
de nieuwsgierigheid van een slachtoffer te wekken<br />
medelijden bij een slachtoffer te wekken<br />
een slachtoffer bang te maken<br />
De aanvaller doet zichzelf voor als iemand anders. Dit doet de aanvaller met het doel om via<br />
de aangenomen, vertrouwenwekkende, rol informatie te verkrijgen die op een andere<br />
manier niet of met aanzie<strong>nl</strong>ijk meer inspanning of hogere kosten te krijgen<br />
Technieken<br />
Er zijn drie aanvalstechnieken<br />
Persoo<strong>nl</strong>ijk contact<br />
De hacker probeert persoo<strong>nl</strong>ijk contact te leggen met het slachtoffer. Hij kan zich<br />
bijvoorbeeld voordoen als helpdeskmedewerker en de gebruiker opbellen met het verzoek<br />
aan diens gebruikersnaam en wachtwoord door te geven om een probleem te verhelpen.<br />
Vooraf aan dit contact verzamelt de hacker gerelateerde informatie over het slachtoffer<br />
zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden<br />
zoekmachines als Google, sociale netwerksites als Facebook en andere informatiebronnen<br />
op het internet gebruikt. Dit is in de praktijk een eenvoudige en effectieve techniek.<br />
Een actueel voorbeeld is de kwestie rond het gebruik van de pretext techniek (het<br />
voorwenden iemand anders te zijn) door de onderzoekers die voor de CEO van Hewlett-<br />
Packard door analyse van het privé telefoon en e-mail gebruik van mededirecteuren en
journalisten hebben achterhaald wie verantwoordelijk was voor het laten uitlekken van<br />
strategische informatie naar de pers.<br />
E-mail<br />
Een hacker verstuurt een e-mailtje met een belangwekkende tekst. Deze techniek wordt<br />
onder meer uitgevoerd bij de Phishing aanval, waarbij gebruikers ertoe worden verleid om<br />
op een authentiek ogende site vertrouwelijke gegevens zoals PINcodes en<br />
creditcardnummers op te geven. Ook de vele e-mail wormen, zoals Sober en Klez, hanteren<br />
deze techniek, waarbij een vertrouwenwekkend of bangmakend mailtje de gebruikers ertoe<br />
verleidt om ongemerkt een trojaans paard te laten installeren. De aanvaller kan daarmee<br />
vervolgens de computer controleren en gebruiken voor zijn eigen doeleinden, zoals het<br />
versturen van spam.<br />
Rondsnuffelen<br />
De computerkraker probeert vertrouwelijke informatie te krijgen door het snuffelen<br />
in vuilnisbakken, containers en prullenbakken. Deze techniek heet dumpster diving. Ook<br />
probeert een aanvaller rond te neuzen op de diverse plaatsen bij kopieermachines waar wel<br />
eens vertrouwelijke documenten worden weggegooid, of verzameld. Hierbij zal de hacker<br />
wel eerst een vorm van insluiping moeten uitvoeren om het gebouw waar de vertrouwelijke<br />
gegevens te vinden zijn binnen te komen.<br />
Maatregelen<br />
De belangrijkste maatregel tegen <strong>Social</strong> <strong>engineering</strong> is het creëren van<br />
beveiligingsbewustzijn (security awareness). Daarbij is het enerzijds van belang de<br />
eindgebruikers te informeren over het belang van informatiebeveiliging en hen anderzijds te<br />
trainen op het herkennen van oneige<strong>nl</strong>ijk gebruik.
Cloud Security<br />
“De cloud verandert uw digitale wereld”<br />
De 'cloud' maakt gebruik van internet voor toegang tot gedeelde resources. Hierdoor<br />
verandert de wijze waarop we digitale informatie tot ons nemen, delen en gebruiken, omdat<br />
de toegang tot informatie en rekenvermogen gemakkelijker, sneller en betaalbaarder wordt<br />
en, onder de juiste omstandigheden, veiliger.<br />
Als uw informatie zich in de cloud bevindt, hebt u toegang vanaf elke locatie waar u o<strong>nl</strong>ine<br />
gaat. U hoeft het niet op een computer mee te zeulen of een groot datacenter te bouwen<br />
voor de opslag ervan. En als uw software wordt geleverd als gehoste service in de cloud,<br />
hoeft u deze niet handmatig bij te werken.<br />
Wat het voor u betekent<br />
Cloud computing biedt consumenten gemakkelijk te gebruiken toepassingen en diensten,<br />
maar u moet er zeker van zijn dat uw persoo<strong>nl</strong>ijke gegevens en bestanden veilig zijn.<br />
Als ondernemer moet u de kansen en risico's van cloud computing kennen en weten hoe u<br />
de overstap kunt maken die past bij u en uw onderneming.<br />
Met de juiste beveiligingsstrategie kunt u optimaal profiteren van de verbazingwekkende<br />
mogelijkheden voor organisaties om hun gegevens te controleren, compliance te<br />
bewerkstelligen en kosten te verlagen.<br />
Ongeacht uw benaderingswijze van cloud computing, u zult moeten zorgen voor een stevige<br />
beveiligingsbasis die al uw platforms omvat – fysiek, virtueel en cloud.<br />
Digital Forensics<br />
Digitale recherche (ook bekend als digitale forensische wetenschap) is een tak van de<br />
forensische wetenschap welke het herstel en het onderzoek van het materiaal in digitale<br />
apparaten omvat, vaak in relatie tot computercriminaliteit . De term digitale recherche werd<br />
oorspronkelijk gebruikt als een synoniem voor computer forensics , maar is uitgegroeid tot<br />
onderzoek van alle apparaten die in staat van dekken opslag van digitale data . Met wortels<br />
in de personal computing revolutie van de late jaren 1970 en vroege jaren '80, de discipline<br />
evolueerde op een lukrake manier in de jaren 1990, en het was pas in het begin van de 21e<br />
eeuw, dat het nationale beleid naar voren.<br />
Digitale forensische onderzoeken hebben verschillende toepassingen. De meest<br />
voorkomende is het ondersteunen of een hypothese te weerleggen<br />
voordat strafrechtelijke of civiele (als onderdeel van het elektronische discovery proces)<br />
rechtbanken. Forensics kan ook opgenomen worden in de prive-sector; zoals tijdens intern<br />
bedrijfsnetwerk onderzoeken of inbraak onderzoek (het opsporen van niet-<br />
geautoriseerde indringers op het netwerk).
Het technische aspect van een onderzoek is verdeeld in verschillende sub-takken, met<br />
betrekking tot de aard van de digitale apparatuur; computer forensics, netwerk forensisch<br />
onderzoek , database-forensisch onderzoek en mobiel apparaat forensisch onderzoek . Het<br />
typisch forensisch proces omvat de inbeslagneming, forensische vergaring (acquisition) en<br />
analyse van digitale media en de productie van een verslag in de verzamelde<br />
bewijsmateriaal.<br />
Naast het identificeren van direct bewijs van een misdrijf, kan digitale recherche worden<br />
gebruikt om het bewijs toe te schrijven aan specifieke verdachten, bevestigen van alibi's of<br />
verklaringen, te bepalen opzet , bronnen (bijvoorbeeld, wat het auteursrecht betreft) te<br />
identificeren, of documenten te verifiëren. Onderzoeken zijn veel breder van opzet dan<br />
andere gebieden van forensische analyse (waar het gebruikelijke doel is om een antwoord te<br />
vinden op een reeks eenvoudigere vragen) vaak met een complexe tijd-lijn of hypotheses.