Elektronika.lt
 2024 m. gruodžio 22 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 - Elektronikos komponentai
 - Elektronikos technologija
 - Parametrų apskaičiavimai
 - Kompiuterija
 - Telekomunikacijos
 - Įvairi teorija
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Gruodžio 22 d. 11:24
Energetikos sektoriaus laukia pokyčiai – alternatyvų yra, bet ar užteko laiko pasiruošti?
Gruodžio 21 d. 11:33
Kokį elektronikos įrenginį dovanoti, kad jis vėliau neišaugintų elektros sąskaitos?
Gruodžio 20 d. 17:12
KTU mokslininkai sukūrė nanolazerį – sidabro nanokubus panaudojo šviesos generavimui
Gruodžio 20 d. 14:28
Lietuvių kalba ir technologijos: VU mokslininkų projektas LIEPA-3 atvers naujas galimybes
Gruodžio 20 d. 11:49
Stacionarūs kompiuteriai: koks jų vaidmuo nešiojamųjų kompiuterių eroje?
Gruodžio 20 d. 08:14
„DS Automobiles“ pristato naujausią savo elektrinį flagmaną – „DS N°8“ kupė
Gruodžio 19 d. 20:18
Naudingi patarimai, kurie padės maksimaliai padidinti jūsų elektrinio automobilio priemonės įveikiamą atstumą
Gruodžio 19 d. 17:27
Žaidybinimas: efektyvus švietimo įrankis ar bėgimas nuo tikrovės?
Gruodžio 19 d. 14:27
Orkaitės darbymetis prasideda: 5 paprasti patarimai, kurie kalėdinius kepinius leis paruošti elektrą naudojant taupiau
Gruodžio 19 d. 11:15
Proveržis magnetų tyrimuose: ištisas savaites tarnaujanti telefono baterija ir 1000 kartų didesnė jo sparta
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
ATS Trailers
American Truck Simulator Mods, ATS Trucks, ATS Maps
Reklama
 Teorija, žinynai » Įvairi teorija Dalintis | Spausdinti

Kas yra socialinė inžinerija ir kaip ji veikia

Publikuota: 2016-08-29 17:14
Tematika: Įvairi teorija
Skirta: Pradedantiems
Autorius: Jonas Bunevičius
Aut. teisės: ©Technologijos.lt
Inf. šaltinis: Technologijos.lt

Į žmogiškąjį faktorių atsižvelgti reikėdavo visais laikais. Bejausmė skaitmeninė technika saugumą padidino, tačiau kartu atvėrė kelius žmogaus psichologijos vingrybėms ir silpnybėms krėsti vis didesnes šunybes. Visuomenė, itin aktyviai migruodama į skaitmeninę erdvę, nešasi kartu ir konfidencialią informaciją, į kurią suleist dantis norėtų ne vien pasaulio tvarką (jų pačių tvirtinimu) saugančios slaptosios tarnybos.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Į žmogiškąjį faktorių atsižvelgti reikėdavo visais laikais. Bejausmė skaitmeninė technika saugumą padidino, tačiau kartu atvėrė kelius žmogaus psichologijos vingrybėms ir silpnybėms krėsti vis didesnes šunybes.

Visuomenė, itin aktyviai migruodama į skaitmeninę erdvę, nešasi kartu ir konfidencialią informaciją, į kurią suleist dantis norėtų ne vien pasaulio tvarką (jų pačių tvirtinimu) saugančios slaptosios tarnybos (tiesą sakant, eiliniai džonai, marijos ir chuanai jiems rūpi mažiausiai), bet ir daug pragmatiškiau nusiteikę piktavaliai. Saugumo technikai tobulėjant, tapti išmanių piktavalių, kurie naudodami savo išskirtinę techninę kompetenciją geba įsilaužti į apsaugotas kompiuterines sistemas bei sukompromituoti slaptus duomenis, darosi vis sudėtingiau. Tai jau seniai nėra didžiausias saugos užtikrinimo ekspertų rūpestis.

Kas yra socialinė inžinerija ir kaip ji veikia

Kaip rodo praktika, tokias kibernetines saugumo problemas dažniausiai galima gan neskausmingai eliminuoti, tiesiog pasitelkus naujas technologijas. Tačiau diegiami nauji saugos mechanizmai baugina tikrai ne visus piktavalius. Kartais kibernetinių nusikaltėlių techninės žinios niekaip nepadeda atrasti silpnų skaitmeninės infrastruktūros vietų. Tačiau tokios kliūtys piktavalių nesulaiko. Jeigu nepavyksta įveikti kompiuterinės sistemos saugumo mechanizmų, lieka viena saugumo atnaujinimais ir moderniausiomis ugniasienėmis neištaisoma silpna vieta, – žmogaus psichologija.

Žmogaus psichologija – socialinės inžinerijos sėkmės pagrindas

Pagal griežtus algoritmus veikiančios kompiuterinės sistemos nėra linkusios klysti ar apsigalvoti. Tuo tarpu žmogui įgimta pasitikėti kitais ir tai neretai priverčia suabejoti savo pasirinkimu. Per pastaruosius penkerius metus ši žmogiška silpnybė tapo masine saugos mechanizmų pažeidžiamumo problema, garantavusia socialinės inžinerijos sėkmę. Kitaip sakant, su žmonių bendravimu ir jų manipuliavimu siejama mokslo kryptis tapo bene pagrindine piktavalių prieigos prie slaptos informacijos priemone.

Vis dėlto socialinės inžinerijos veikimo motyvai ir pritaikymas nėra nauja sritis. Šį terminą dar 1990 metais populiarinti pradėjo vienas žinomiausių visų laikų programišių Kevinas Mitnickas.

Kintant darbo aplinkai ir galimybėms, socialinė inžinerija piktiems kėslams pritaikoma pačiose įvairiausiose situacijose. O liūdniausia, – universalaus problemos sprendimo būdo nėra ir greičiausiai nebus dar labai ilgai. Net ir patikimiausias įmonės darbuotojas pats to nesuprasdamas, vieną (ne tokią jau) gražią dieną, gali tapti didžiulio kibernetinio nusikaltimo bendrininku.

Tačiau sumažinti socialinės inžinerijos veikimo įtaką žmogaus psichologijai tikrai įmanoma. Kibernetiniai nusikaltėliai dažniausiai taiko saugumo ekspertams gerai žinomas socialinės inžinerijos atakas. Supratus jų veikimo ir įgyvendinimo principą, be jokios abejo, sumažėja ir rizika tapti šio nemalonaus incidento tarpininku.

Populiariausios socialinės inžinerijos atakos

Kaip galima numanyti, socialinės inžinerijos terminas dažniausiai siejamas su paties įvairiausio tipo kenkėjiška veikla. Kitaip tariant, kad ir į kokį materialų ar skaitmeninį turtą piktavalis taikosi, siekdamas jį užvaldyti, naudos žinomus manipuliacijos žmogaus psichologija būdus. Kibernetiniai nusikaltėliai šį metodą taiko vis dažniau, kadangi taip dažniausiai nelieka jokių apčiuopiamų veiklos įrodymų, kuriuos būtų galima panaudoti piktavalio išaiškinimui ar juo labiau, kaip įrodymą teisme, o svarbiausia, taip galima gauti prieigą ne tik prie prie pavienių paskyrų ar banko sąskaitų, bet net ir prie didelių organizacijų įslaptintų duomenų bazių ar pan.

Fišingas (angl. Phishing)

Tai – viena iš populiariausių ir socialinės inžinerijos atakų. Piktavaliams ji itin patraukli, nes gali būti pritaikyta ir platinama praktiškai bet kokiomis skaitmeninėmis priemonėmis: elektroniniais laiškais, pokalbių programomis, trumposiomis žinutėmis, įvairiausio plauko tinklalapiais, įmonių administruojamomis sistemomis ar netgi skaitmeninėmis anketomis. Trumpai tariant, vykdydami fišingo atakas piktavaliai siekia įtikinti potencialią auką pateikti konfidencialią skaitmeninę tokiuose šaltiniuose, kurie tik iš pirmo žvilgsnio atrodo patikimi ir gerai žinomi.

Fišingo atakos metu piktavalis, taikydamas psichologinius spaudimo metodus, stengiasi platinti grėsmingus, tačiau įtikinamus ir auką verčiančius skubėti tekstus. Taikant šio tipo socialinės inžinerijos ataką, labai dažnai į pagalbą pasitelkiamos sutrumpintos ir tikrąjį šaltinį maskuojančios internetinės nuorodos. Būtent jomis įbaugintas asmuo nukreipiamas į kenkėjiškus tinklalapius.

Fišingo atakos vis sudėtingėja. Pavyzdžiui, „Google Play Books“ elektroninėje parduotuvėje yra platinamos tik knygos, tačiau praktika įrodo, kad patikliems vartotojams paspaudus jose įterptas nuorodas, kartais galima tapti ir fišingo auka.

Masalas (angl. Baiting)

Taip, taip, perskaitėte teisingai. Slieku žmogaus gal ir nepriviliosi, bet paliktu ar „pamestu“ daiktu, nemokama programine įranga ar žaidimu sudominti tikrai galima. Nors anksčiau tokio tipo socialinės inžinerijos atakos naudotos tik nelegalią programinę įrangą platinančiose tinklalapiuose, dabar jos vis dažniau vyksta ir fiziškai apčiuopiamu, materialiu pavidalu.

Čia ir vėl meškos paslaugą daro žmogiškoji psichologija, itin linkusi priimti dovanas. Nors dabar Trojos arklio niekas dovanoti nesiruošia, tačiau ant stalo „visiškai atsitiktinai“ palikti kenkėjiška programa, trojanu, apkrėstą USB raktą piktavalis tikrai gali net ir šiandien. Na, o toliau piktavaliui tiesiog belieka laukti, kada žmogiškasis smalsumas paims viršų.

Šio socialinės inžinerijos modelio veiksmingumą įrodė ne tik graikų mitologija, bet ir dabartinė praktika. „Secure Network Technologies, Inc.“ viceprezidentas ir įkūrėjas Steve‘as Stasiukonis kartu su savo komanda dar 2006 metais atliko eksperimentą – suinteresuotos organizacijos stovėjimo aikštelės atsitiktinėse vietose primėtė kenkėjišku programiniu kodu apkrėstų USB raktų. Dauguma šių atmintinių, žinoma, surado įmonės darbuotojai. Galima net neabejoti, kad jų smalsumas nugalėjo, o Steve‘ui tiesiog beliko džiaugtis itin sėkmingais atliko tyrimo rezultatais.

Pasitikėjimas (angl. Tailgating).

Itin pavojinga, nors gal kiek sunkiau įgyvendinama socialinės inžinerijos ataka yra pagrįsta betarpišku žmonių tarpusavio pasitikėjimu. Ši ataka ypatinga tuo, kad jos vykdymui reikia piktavalio fizinio kontakto su tam tikrą informaciją žinančiu asmeniu. Iš pirmo žvilgsnio gali atrodyti, kad toks metodas labai rizikingas, nepatikimas ir su kibernetiniais nusikaltimais turintis maža ką bendro. Vis dėlto praktika rodo, kad net ir taikant tokias manipuliacijas, galutinis piktavalio tikslas – būtent konfidenciali organizacijos ar asmens informacija.

Norėdamas įvykdyti tokio tipo socialinės inžinerijos ataką, piktavalis tiesiog laukia tinkamo momento pasinaudoti aplinkinių patiklumu. Tipinis tokios atakos pavyzdys – praėjimo kontrolė. Piktavaliai jas dažniausiai sugeba įveikti, tiesiog pameluodami vietiniams darbuotojams, jog namuose pamiršo savąją praėjimo kontrolės kortelę. O patekus į pastatą, jau galima imtis ir kitos piktavališkos veiklos. Pavyzdžiui, paprašyti „kolegos“ kelioms minutėms paskolinti kompiuterį, kad jame būtų galima įrašyti kenkėjišką programą.

Savaime suprantama, didžioji dali skaitytojų šiuos pavyzdžius išvadins nesąmonėmis, tačiau patikėkite, tai tikrai vyksta. Lietuvoje vykstančiomis tokio tipo atakų pavyzdžiais gal pasidalintų komentatoriai, o vieno tokio JK įvykusio atsitikimo pavyzdys pateikiamas čia

Rekomendacijos kaip netapti socialinės inžinerijos auka

Aptarti socialinės inžinerijos atvejai ir realūs pavyzdžiai aiškiai rodo, kad grėsmė patirti psichologinį spaudimą egzistuoja praktiškai kiekvienoje gyvenimiškoje situacijoje. O naudojant pasyvų spaudimą, gali palūžti net ir stipriausi. Kaip minėta, žmonės tiesiog visada liks žmonėmis, todėl jų galimybė protauti, keisti savo nuomonę ir įsitikinimus sukuria socialinės inžinerijos funkcionavimo terpę.

Tačiau sutartinai laikydamiesi kelių itin paprastų taisyklių, tie patys žmonės gali sumažinti primityvių socialinės inžinerijos atvejų skaičių bent jau dvigubai. Pirmoji – suprantamiausia, aiškiausia, galiojanti be išimčių: nespausti pelės klavišo ant nuorodų, gautų iš nežinomų siuntėjų. Pirmosios taisyklės papildymas: aklai nespausti pelės klavišo ant nuorodų, gautų iš žinomų siuntėjų, nes elektroninio pašto, „Facebook“ ir kt. paskyros nėra tokios saugios, kaip gali pasirodyti.

Ir nespausti reikia net tuomet, jeigu laiške, knygoje ar tinklalapyje pateiktas turinys atrodo itin įtikinamas. Taip pat reikia suprasti, kad konfidencialios informacijos, tuo labiau slaptažodžio, tikrai nereikalauja nei viena organizacija – tai kiekvieno iš mūsų asmeninė nuosavybė.

Reikia labai dėmesingai elgtis su elektronine įranga – išmaniaisiais telefonais, nešiojamais ar planšetiniais kompiuteriais – viešumoje. Ir ne vien saugantis elementarių vagysčių. Praktika aiškiai rodo, kad saugumo pažeidžiamumo pavojai šiuo metu yra itin kompleksiški, o kai kalba pakrypsta apie elektroninius prietaisus, socialinės inžinerijos pritaikymo galimybės dar labiau išsiplečia. Būtent dėl tos priežasties saugumo ekspertai jau rekomenduoja pasirūpinti ne tik savo kompiuterio, bet ir išmaniojo telefonu automatinio užrakto funkcija.

Deramą dėmesį vertėtų skirti ir elektroninių prietaisų programinės įrangos atnaujinimams. Asmeniniuose prietaisuose įsidiegti antivirusinę programą ar kitus saugumą užtikrinančius mechanizmus taip pat tikrai vertėtų, kadangi tai gali padėti ne tik pastebėti, bet ir sustabdyti jau inicijuotą potencialią socialinės inžinerijos ataką žymiai operatyviau.

Galiausiai reikėtų nepamiršti ir to, kad darbo aplinkoje taisyklės kuriamos ne šiaip sau, o tam, kad jų būtų laikomasi. Į tai vertėtų žiūrėti itin atsakingai, kadangi savo privatumą gerbiančios kompanijos vis dažniau samdosi saugos ekspertus, kurie periodiškai atlieka įsilaužimo galimybių įvertinimą (angl. penetration test). Pastarasis įvertinimas padeda nustatyti saugos pažeidžiamumo aspektus, tačiau taip pat akylai nagrinėja ir socialinės inžinerijos problematiką. Nors šiuo įvertinimu siekiama sužinoti bendrovės silpnybes, kaip valdžia sureaguos į pavienius socialinės inžinerijos pagrindu darbuotojų įvykdytus nusižengimus – labai individualus ir diskutuotinas klausimas.

Tiksliai apibrėžti socialinės inžinerijos darbo motyvus ne taip jau paprasta. Jie gali būti labai dinamiški ir priklauso ne tik nuo piktavalio, bet ir nuo potencialios aukos psichologinio pasiruošimo. Liaudies išmintis byloja: „devynis kartus matuok, dešimtą kirpk“ – būtent taip rekomenduojame ir elgtis, su socialinės inžinerijos pavojumi susidūrus akis į akį.


Technologijos.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

Sveiki ir ekologiški maisto produktai

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama