Kao posebna kategorija prijevara koje su među ostalim i izvor kartičnih prijevara napadači sve češće primjenjuju socijalni inženjering (Social engineering). Ova se vrsta napada na sigurnost oslanja na najslabiju kariku cijelog sustava - čovjeka, odnosno njegove slabosti koje izviru iz psiho-socijalnog profila ali i kulturnog okruženja. Napadači koristeći navedene slabosti i korištenjem niza obmana uvjeravaju pojedinca i/ili stječu njegovo povjerenje te dolaze do željenih informacija i sredstva.

Dva su tipa socijalnog inženjeringa: tehnološki socijalni inženjering i ljudski socijalni inženjering. Tehnološki socijalni inženjering koristi prethodno navedene ljudske karakteristike ali primarno upotrebljava tehnološka rješenja. Koriste se telefon, e-mail, chat servisi, software i dr. Klasični primjer tehnološkog socijalnog inženjeringa je korisnički program koji će u unaprijed zadanom vremenu simulirati dijalog za prijavu korisnika na operacijskom sustavu na kojemu radi korisnik.

Ljudski socijalni inženjering ne koristi tehnološka rješenja već se napad primarno ostvaruje interakcijom s zaposlenikom. Pri tom se koriste brojne tehnike pristupa povjerljivim informacijama koje se dobivaju ili usmeno kroz propitkivanje, ispitivanje licem-u-lice itd.

U oba se slučaja napad temelj na predvidljivosti ljudskog ponašanja i reakcije u određenim situacijama iako su u pozadini tih slabosti ipak propusti sigurnosti u poslovnoj organizaciji. U tablici dolje navedeno je više oblika djelovanja napadača na različitim područjima u poslovnoj organizaciji ili u javnosti.

Područja rizika	Taktika napadača
Ulazak u zgradu	- neovlašteni ulaz
Uredi	-    promatranje -    lutanje uredima u potrazi za propustima -    krađa osjetljivih dokumenata -    umetane lažnog softwarea na računala
Telefon, posebno Help Desk	- Imitiranje -  prisluškivanje -  uvjeravanje (Social Engineering by Phone)
Soba s poštom	- umetanje lažnih poruka - neovlašteno otvaranje pošte
Smetišta	-    Pretraživanje smeća  (Dumpster Diving)
Intranet-Internet	- Kreiranje i/ili umetanje  lažnog softwarea na intranet/internet radi    otkrivanja lozinki - promjene na korporativnim internetskim stranicama (Reverse social engineering) - e-mail, chat, On-line social engineering (Phishing)
Općenito-psihološko djelovanje	- imitiranje i uvjeravanje
Trgovine, bankomati	- špijuniranje kod unosa PIN broja (Shoulder surfing)

Informacije koje se na taj način prikupe napadači koriste za pristup tajnim poslovnim podacima i osobnim podacima koje dalje koriste u prijevari (npr. kartičnoj prijevari), kao sredstvo manipulacije ili korumpiraju podatke. I dok poslovne organizacije troše značajne svote novaca na implementaciju tehničkih kontrola zapostavljaju se zaposlenici koji su također dio poslovnog sustava i možda prva linija obrane. Stoga i ne čudi što se socijalni inženjering danas smatra najvećim sigurnosnim problemom.

KAKO SMANJITI RIZIKE OD SOCIJALNOG INŽENJERINGA ?

Iz tablice gore je vidljivo da u procesu poduzimanja napada socijalnim inženjeringom napadač djeluje na dvije razine. Prva je razina fizička, koja se tiče fizičkih mogućnosti poduzimanja napada (radno mjesto, telefoni, smeće, rač. mreža, javni prostor i dr.). Druga je razina psihološka, koja podrazumijeva način na koji je napadač proveo napad (nagovaranje, oponašanje, iznuđivanje i dr.). Stoga prevencija rizika od socijalnog inženjeringa također podrazumijeva uvođenje mjere na obje razine.

Najveći dio obaveza kod zaštite od socijalnog inženjeringa imaju poslovne organizacije koje vode zbirke osobnih podataka koji bi mogli biti zanimljivi napadaču. One u svakom slučaju trebaju provesti stroge sigurnosne politike i izraditi potpornu ISMS dokumentaciju koja podupire provođenje politike. Kontinuirani trening i edukacija su najvažniji. Zaposlenici trebaju biti spremni na oprez u svakom trenutku rada s osobnim podacima a taj oprez treba preći u radnu kulturu. Na primjer, zaposlenik treba moći prepoznati sumnjivo ponašanja (postavljanje "zabranjenih" pitanja, greške u izgovori ili sricanju, navođenje djelomično točnih podataka, žurbu u komunikaciji, intimizaciju u razgovoru, isl.). Neke od preporuka navedene su u tablici dolje.

Područja rizika	Strategija obrane
Ulazak u zgradu	§         Identifikacijske oznake §         Zaštitarsko osoblje
Uredi	§         Gosti trebaju biti praćeni §         Zabrana bilježenja lozinki §         Označavanje tajnosti dokumenata §         Zaključavanje povjerljivih dokumenata §         Screen saver lozinke §         Različite lozinke za različite servise §         Uništavanje dokumenata rezačem papira §         Korištenje provjerenog i legalnog antivirusnog softwarea s firewall programom i spyware zaštitom te redovito ažurirajte §         Politika čistog stola
Help Desk	§         Zaposlenici trebaju posjedovati tajnu šifru za određenu vrstu help deska, §         Praćenje poziva, zapisivanje poziva §         Procedure vođenja razgovora (help desk treba znati kad može odbiti dati informaciju)
Soba s poštom	§         Zaključavanje i nadgledanje prostorije
Telefon	§         Zaključane prostorije
Smetišta	§         Uništavanje i/ili brisanje nepotrebnih informacija §         Kontrola pristupa i nadgledanje
Intranet-Internet	§         Upravljanje promjenama i konfiguracijama računalne mreže §         Podizanje svijesti o sigurnosti §         Oprez s freeware programima
Općenito-psihološko djelovanje	§         Stalna edukacija i trening zaposlenika a posebno novih zaposlenika
Trgovine, bankomati	§         Skrivanje PIN broja §         Praćenje trgovca pri naplati

Osim tog treba razmisliti i o sljedećim mogućnostima unapređenja zaštite:

• različiti oblici podizanja svijesti zaposlenike o sigurnosti (glasnik, posteri, podlošci za čaše, olovke i privijesci, podlošci za miša, screensavers, logon naslovi, T-shirts, naljepnice, e-mail podsjetnici)
• biti oprezan s freeware i sličnim besplatnim neprovjerenim programima koji možda istražuju podatke unutar vašeg računala
• nikad ne otkrivati tajne ili osobne podatke telefonom ili mailom osim ako ste sami inicirali poziv
• statističko praćenje incidenta

Što je PCI DSS?

Payment Card Industry Data Security Standard, trenutno u verziji 1.1., globalni je standard za zaštitu kartičnih podataka (odnosno brojeva kartica, naziva vlasnika kartice, datuma isteka kartice, servis koda te ostalih osjetljivih podataka), koji je nastao kao nužan odgovor na sve veći broj incidenata koji uključuju kartične prijevare u okrilju PCI Security Standards Council komiteta, a čiji su članovi predstavnici globalnih kartičarskih kuća (VISA, MasterCard, AMEX itd.). Standard je nastao na temelju ISO 17799 preporuka te kao takav sadrži 12 skupina zahtjeva grupiranih u 6 logičkih cjelina odnosno kontrolnih ciljeva :

• Izgradi i održavaj sigurnu mrežu
• Zaštiti kartične podatke ("cardholder data")
• Održavaj program upravljanja ranjivostima
• Implementiraj jake mjere kontrole pristupa
• Redovito nadziri i testiraj mreže
• Održavaj politiku informacijske sigurnosti

Sami zahtjevi variraju od prvenstveno tehničkih (poput instalacije i održavanja vatrozida), pa do administrativnih i upravljačkih (poput izrade i održavanja politike informacijske sigurnosti). Zahtjevi se odnose na sve komponente informacijskih sustava (mrežne komponente, serveri, aplikacije itd.) koje su uključene ili povezane na okolinu s kartičnim podacima ("cardholder data").

Sam standard je u potpunosti dostupan na sljedećoj adresi :
https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm Detaljno pojašnjenje svih zahtjeva nalazi se ovdje :
https://www.pcisecuritystandards.org/pdfs/navigating_pci_dss_v1-1.pdf

Na koga se primijenjuje?

Zahtjevi PCI DSS standarda primjenjivi su na sve organizacije koje pohranjuju, procesiraju ili prenose PAN brojeve (Primary Account Number) kartica. Po definiciji, PCI DSS sve organizacije na koje se primjenjuje dijeli u 2 osnovne kategorije : trgovce (merchants) i pružatelje usluga (service providers). Kako biste precizno mogli odrediti da li se i u kojoj mjeri PCI DSS standard odnosi na vašu organizaciju, možete se koristiti tablicom odnosno kriterijima na ovoj adresi :
https://www.pcisecuritystandards.org/tech/instructions.htm

Nakon što utvrdite u koju kategoriju pripadate, možete na istom webu preuzeti i odgovarajući PCI DSS upitnik za samoprocjenu (Self Asessment Questionnaire) kako biste utvrdili u kojoj ste mjeri sukladni zahtjevima.

Do kada se je potrebno uskladiti?

Sve organizacije na koje se PCI DSS odnosi u Hrvatskoj su obavezne uskladiti se s zahtjevima standarda do kraja tekuće godine, a nakon čega će se početi provoditi obavezne revizije (od strane ovlaštene QSA organizacije) i provjere ranjivosti odnosno penetracijska testiranja (od strane ovlaštene ASV organizacije).

Odjel za informacijsku sigurnost Zavoda za ispitivanje kvalitete uspješno je izvršio implementaciju sustava upravljanja informacijskom sigurnošću (ISMS - Information Security Management System) u tvrtci T-Mobile Hrvatska, zahvaljujući čemu je ta tvrtka stekla certifikat po normi ISO/IEC 27001:2005. Riječ je o međunarodnoj normi koja predstavlja model za ISMS, a uključuje i sustav kontrola za poboljšanje integriteta, povjerljivosti i dostupnosti podataka te druge oblike zaštite informacija. Nakon uspostavljenog projekta te uspješno dovršenog procesa implementacije od strane ZIK-a, certifikaciju je provela svjetski poznata britanska certifikacijska kuća BSI (British Standards Institute).

"U Hrvatskoj u ovome trenutku postoji samo 5 certificiranih tvrtki po normi ISO/IEC 27001:2005, i veliko nam je zadovoljstvo da je upravo ZIK implementacijom ISMS-a pridonio stjecanju certifikata u T-Mobileu. Cilj ovog projekta bio je smanjenje utjecaja sigurnosnih incidenata te zaštitita informacijske imovine tvrtke, a koja obuhvaća sve od informacija i informacijskih sustava, preko dokumentacije, medija za pohranu podataka, telekomunikacijske opreme i uređaja, lokacije, zaposlenika, imidža i pozicije tvrtke na tržištu, pa sve do operativnog kontinuiteta, intelektualnog i materijalnog vlasništva, pravnih i poslovnih interesa od štete i gubitaka uzrokovanih internim ili eksternim, slučajnim ili pak hotimičnim djelovanjem," navodi prof. dr. sc. Nikola Hadjina, direktor Odjela za informacijsku sigurnost ZIK-a.

Napomena: Izvadak iz objave za medije, travanj 2008.

I ove godine se u Opatiji održava najveća IT konferencija u Hrvatskoj. Po osmi puta, na Windaysima će se predsaviti većina domaćih i neke strane tvrtke, koje će kroz više od 160 predavanja govoriti o aktualnim IT pitanjima.

Očekuje se oko dvije tisuće sudionika, a glavna nit vodilja ove godine odnosi se na to kako najbolje iskoristiti investiciju u informatička riješenja te kakvu dodanu vrijednost tvrtke mogu ostavariti implementirajući ih. Najveće zanimanje sigurno će polučiti nova izdanja Windows Servera, Visual Studia, SQL Servera i Silverlighta te virtualizacija.

ZIK na Windaysima sudjeluje s jednim predavanjem na temu revizije informacijskih sustava. Što je revizija informacijskog sustava, kako se izvodi, koje su preporuke međunarodnih standarda i najboljih praksi poput CobiT-a, ISO 27001 i sl. te koja su najrizičnija područja na koje je autor naišao u dosadašnjim revizijama, pokušat će se objasniti na ovom predavanju.

Predavanje drži Dalibor Uremović, konzultant za informacijsku sigurnost u tvrtki ZIK. Vidimo se na Windays-ima!

Web stranice: Windays 2008

Administratori mreža odavno imaju na umu sigurnosne implikacije Simple Network Management Protocola (SNMP), ali nedavan eksperiment koji je provela grupa za etičko hakiranje GNUCitizen pokazala je da je veliki broj mrežnih uređaja koji podržavaju SNMP ostao nezaštićen te može biti izvor osjetljivih informacija. U slučajnom odabiru SNMP-om skenirano je 2,5 milijuna IP adresa. Otkrilo se da veliki broj uređaja odaje informacije kao što su ime, model i u nekim slučajevima verzije operacijskog sustava. SNMP ima brojne sigurnosne nedostatke, uključujući i činjenicu da je podložan brute force napadima, te napadima koji se temelje na rječniku, a s obzirom da je najčešće korišten putem User Datagram Protocola (UDP), ranjiv je i na napade koji se zasnivaju na krivotvorenju IP adrese. Upotreba UDP-a znači da se sustavi mogu skenirati puno brže nego kod protokola koji koriste TCP. Zbog sigurnosnih slabosti SNMP-a, potencijalni pristup mrežnim uređajima s mogućnosti uvida u konfiguraciju je ozbiljan sigurnosni problem.

Izvor: CERT, 05.03.2008.

Prema istraživanjima provedenim na Princeton University to je prilično lako - čak i kad se na računalima koriste posebni sistemski moduli za šifriranje podataka na disku. Problem leži u "trajnosti" podataka koji se nalaze u RAM memoriji.

Iako se obično smatra da podaci nestaju iz RAM memorija odmah nakon isključivanja računala, istraživanja su pokazala da se oni ipak mogu sadržati nekoliko sekundi (pa i duže) u neoštećenom stanju. Na temelju ove činjenice moguće je primijeniti sasvim novu tehniku razbijanja zaštite na računalu.

Računalo jednostavno treba ugasiti i što prije ga ponovo upaliti te ga navesti na podizanje s posebno pripremljenog CD/DVD-a na kojem se nalaze alati za analizu sadržaja memorije. Na taj način mogu se saznati mnogi korisni podaci primjenjivi u razbijanju različitih vrsta zaštite.

Da bi stvar bila još gora, istraživanje je pokazalo da se hlađenjem memorijskih čipova znatno produžava vrijeme sadržavanja podataka. Na primjer, čipove ohlađene na minus 50 stupnjeva moguće je bez problema premjestiti čak i u drugo računalo te tamo provesti analizu njihovog sadržaja.

Izvor: NASIT, 22.02.2008.