Nee, de meest onderschatte dreiging is het niet (tijdig)
overzien van de dreigingen. De ene keer een social
engineering kunstje, de andere keer een nieuw soort
applicatie aanval enz.

Ja, doordat de techniek steeds ge-avanceerder wordt is het
ook steeds beter mogelijk om met behulp van de techniek de
hacker buiten de deur te houden. Als gevolg hiervan gaat de
hacker zich op andere manieren richten en daarom zal hij
steeds vaker gebruik maken van social engineering.

Ik heb een onderzoek gedaan naar dit fenomeen voor meer info zie
http://www.student.kun.nl/dickjanssen/afstuderen/

Helmaal mee eens met de stelling. Tegen social engineering
kan je je veel moeilijker wapenen ook.

Kevin Mitnick was eigenlijk ook meer social engineer dan
'hacker'!
En met social engineering bereik je altijd je doel. Zijn wel
dan gerichtere aanvallen dan bijv virussen e.d.

T

Helemaal mee eens. Als je ooit het boek "The art of
deception" van Kevin Mitnick hebt gelezen, dan zul je zien
dat de mens vaker de zwakste schakel is dan de software.

Mee eens.
Echter: Social Engineering wordt bijna altijd samen met
technische aanvallen uitgevoerd. De een voedt de ander met
informatie, waardoor de ander effectiever kan worden
uitgevoerd. Heb je het technisch en goed op orde, maak je
voor een groot deel de door social ge-engineerde info minder
bruikbaar.
En je medewerkers en mensen bewust maken dat er zoiets is
als social engineering is zeer lastig. De meeste denken toch
dat het hen niet zal overkomen. En de mens is nu eenmaal
graag behulpzaam... zit in de aard van het beestje.

Mee eens.

Het gaat hier om de bewustzijn van medewerkers. Zij zijn vaak niet bewust
van de gevolgen van Social Engineering.
In het boek van Mitnick (Art of Deception of Het kunst van het misleiden)
staan voorbeelden, tips en een mooie checklist achterin. Het is natuurlijk
niet de ultieme oplossing, want niet iedereen zal willen meewerken (o.a.
vanwege de gedragsverandering die er dan ook plaats moet vinden),
maar het kan een aardig begin zijn.

Het wordt inderdaad vaak over het hoofd gezien, maar of het
nou de "meest" onderschatte dreiging is... 'Onderschat'
betekent dat mensen het gevaar ervan niet inzien. In dit
geval is het vaker zo dat mensen er gewoon niet aan denken.
Zo ervaar ik het tenminste. Dat je je er het moeilijkst
tegen kan wapenen is ook niet helemaal waar... Goede
voorlichting kan veel voorkomen en het beperken van
restricties van risico-users helpt ook. Een linux-systeem
bijvoorbeeld is heel makkelijk te beveiligen tegen social
engineering door de gebruiker simpelweg het root-wachtwoord
niet te verstrekken. Al zou hij het willen; hij kan weinig
kwaads uithalen (hoogstens het verzieken van de weergave
instellingen). Bestanden laat je uiteraard back-uppen, dus
ook dat is geen probleem...

Ik denk dat het testen van gebruikers door zelf Social
Engineering op ze toe te passen het beste
voorlichtingsmiddel is.. Als je een voor hun onbekende
persoon laat proberen achter het wachtwoord te komen kun je
mensen later hun fouten laten zien waardoor ze zich goed
bewust worden van het daadwerkelijke gevaar. Maar dat is
maar mijn idee, ik heb het nog nooit echt uit gevoerd.

-b^4

Absoluut. geen technologie kan beschermen tegen de
goedgelovigheid van mensen en de personen die daar gericht
misbruik van maken. Security starts with awareness.
Awareness trainingen voor personeel, niet alleen in key
positions maar ook mensen die veel met de telefoon en derde
partijen werken zouden hier voor een groot deel verandering
in kunnen brengen.

R3tr0

Social Engineering is al zo oud als de weg naar Rome.

Vanuit Security oogpunt is de natuurlijke dreiging zoveel mogelijk alles
dicht natuurlijk, maar het moet ook werkbaar blijven. Security was toch
availibilty?

Ook al geef je een training...op dit gebied aan al je mensen dan vlakt de
boel ook weer af...Daarbij onthou je op het eind hoogstens 30% van wat je
geleerd hebt...Herhaling is het toverwoord denk ik, wie kent die hoogst
irritante wasmiddelen reclame b.v. niet ;) En dit kost geld.

Het wordt pas serieus genomen als het mis gegaan is...net mis dat dan
wel weer wel.

Maar goed die credit card database ben ik nog niet vergeten...Waanzinnig
systeem trouwens dat met die creditcards...

Checklistje bij de telefoon dan maar met anti social engineering
maatregelen?

hmm...het grootste punt is wel dat security voor veel managers een
kostenpost is die ze onverwachts moeten dekken.....

En zolang er niks gebeurt maken ze zich nergens druk om...Tot de schade
weer aanzienlijk is dan maken ze zich even druk en hoppa stappen ze
weer in die valkuil..

En die onbevoegden zijn ook niet gek...niet opvallen is hun keywoord..Dat
zou ik althans doen...snel toeslaan niet opvallen en hoppa weer weg...

Maar ja dan komt Sony weer om de hoek..en komt er weer een ceo met
een mooie uitspraak waardoor de mussen spontaan van ellende een
domino zaal in vliegen.

Ach ja we blijven aan het werk...mooi beroep toch ;)

Iemand die echt op zoek is houd je niet 100% tegen ...kijk naar het
terrorisme zoals met die kerncentrale in sydney...Maar daarom hoeven we
de voordeur nog niet laten openstaan omdat die voordeur ook niet 100%
is...tis maar hoever je wil gaan...

Riskmanagement, risk strategies etc...het zijn keuzes...

Zelfs mijn vrouw sluit af en toe de deuren niet goed af...andere vrouw helpt
ook niet ..merkte ik ;) Daar helpt geen MS Security strategie tegen ;)

Ook ik heb de wijsheid niet in pacht...wie wel. De ene security specialist is
nog niet geboren en de ander is er wel weer als de kippen bij om de
zwakke punten van het betoog van de vorige security specialist aan te
geven. Houd ons wel lekker scherp natuurlijk.

Met vriendelijke groet,

MrHawkeye ;)

Als iemand een tip heeft om mijn vrouw op het rechte (security) pad te
helpen dan ben ik hem haar zeer erkentelijk (fake inbraak dan maar???)
We blijven bezig en verdienen er lekker aan..Thanks!

wat jullie? Ik weet het niet....maar 1 ding is voor mij zeker herhalen
herhalen,. herhalen....

Tot Vista uitkomt want die dekt weer alles natuurlijk,....

Technologie is no panacea....


mrhawkeye.

Dat van dat 'vista dekt weer alles' was vast een grapje?

Verder snap ik niet zo goed wat MS met dit verhaal te maken
heeft. Anders dan met virussen en andere malware heeft het
os weinig invloed op social engineering.

De beste bescherming daartegen is (mijnsziens) zo paranoia
mogelijk zijn en alles in twijfel trekken. Een goede social
engineer bereikt meestal wel zijn doel.

Dat van Vista was idd een grapje. Gezien de vele bugs.

Je hebt gelijk niettemin is MS haar aanpak absoluut niet zaligmakend

Van een konijn maak je nooit een wortel.

Andersom lukt wel.