Meesterhacker Mitnick: mensen grootste probleem
Mensen zijn het grootste probleem binnen de informatiebeveiliging, zo stelt "meesterhacker" Kevin Mitnick. Uit onderzoek zou blijken dat de meeste incidenten van binnen de organisatie plaatsvinden en meestal per ongeluk gebeuren. Mitnick was jarenlang de meest gezochte hacker en werd uiteindelijk tot een gevangenisstraf van vijf jaar veroordeeld wegens het inbreken bij verschillende grote ondernemingen. Hiervoor gebruikte hij vaak social engineering, waarbij hij de medewerkers van het bedrijf via de telefoon wist te manipuleren.
En social engineering is nog steeds de zwakke schakel, laat Mitnick weten. Hij pleit er dan ook voor om personeel er continu aan te herinneren dat ze niet moeten klikken en niet zomaar e-mailbijlagen moeten openen. En niet alleen links en bijlagen in e-mails, maar ook die via instant messaging en sociale netwerksites worden verstuurd. "Een beslissing van slechts één persoon volstaat om de gehele onderneming te compromitteren."
Oplossing
Mitnick is dan ook voorstander om personeel via trainingen meer "internet security" bewustzijn bij te brengen. De vorm en inhoud kan per organisatie verschillen, wat ook voor andere tips geldt die Mitnick geeft. "Het belangrijkste punt is dat computer- en informatiebeveiliging geen 'one size fits all" oplossing is, en ook nooit zal zijn", aldus de voormalige hacker.
Een telefoon heeft geen beeld...
Maar dit wisten we al, gebruikers klikken ook op iedere willekeurige link en ook Microsoft geeft in veel gevallen de schuld aan de gebruiker.
Een mooie vrouw afsturen op bijvoorbeeld een systeembeheerder om zo informatie te ontfutselen is een geavanceerde manier van social engineering.
Werkzaam zal het wel zijn, geavanceerd niet echt hoor.
Trouwens vrouwen doen het voor een stukje chocolade, daar is toch makkelijker aan te komen dan een mooie vrouw die een systeembeheerder kan verleiden.
http://www.security.nl/article/18544/1
dit had anno 2000 al moeten gebeuren, door een werkelijk onderlegde security industry. hadden we nu HEEL wat minder problemen gehad, met malware, met banken/geld, met overheden en met gebruikers en cyberwarfare. en roep nou niet dat ik dat moet doen, dat heb ik geprobeerd alleen dat kan ik niet in mijn eentje.
Zit te wachten op een friesland bank ofzo die een internet bankieren live cd vereist. met (cloud) online updates en code(base) verificatie. in combinatie met encryptie, eigen dns en wat externe token generatortjes ofzo. als ze er dan met hun neus bovenop zitten, die banken, zoals ze nu doen; krijgt het wat perspectief. dat kan ook best als een soort virtual server/machine achtige oplossing, ZO opstartbaar vanuit je windows. middels een vpn via onderliggende stack hook (of hoe dat ook heet) heb je dan ook alleen maar contact met je bank, en verder helemaal NIETS (onderliggende stack hook, dus de stack die je windows aanbiedt aan zon vm omgeving is HOOKED, ook de (tcp/ip) stack die windows zelf dus heeft, eventueel onderliggend os bevriezen maar en direct op je netwerk kaart inhaken/pijpen die rommel). Laat maar komen die trojans. dan zouden je dus malware targets minimaliseren (ze moeten dan in het netwerk van de bank zelf, voor ze wat kunnen ipv al die duizenden gapende gebruikers) en alle eventuele interventies/incidenten qua oplossingen centraliseren. Scheelt ook nog eens bergen met geld (qua informeren, onderzoeken enzo). Hoppa.
Tot die tijd weiger ik eraan mee te werken, VEREIS ik kosteloos papieren alternatief en WEIGER ik mijn bank online toegang tot mijn rekening toe te laten. En hoewel ze het niet leuk vinden, ze kunnen het niet weigeren hoor. Kan makkelijk, lekker via papiertjes. Liefst eetbaar en met smaakje.
No shit Sherlock lol
Toen het hacken nog niet illegaal was , dwz geen juridische wetgeving hieromtrent was en laten we het al helemaal niet hebben over de pakkans vond ik het social engineering aspect van het hacken boeiend. Van het feitelijk hacken had ik weinig verstand maar het verkrijgen van informatie dat ging me goed af
Er zijn vele technieken voor het los peuteren van informatie
ik gebruikte vaak het expert model - jij bent de expert en duld geen tegenspraak
1988
een niet aangesloten toetsenbord op schoot, een telefoon en het telefoonboek zelf
Telefoneer naar Vroom&Dreesman
Telefoon wordt opgenomen en nog voordat de persoon iets kan zeggen zeg je verveeld `PTT telecom zegt u het maar`
Stotterend zei ( het was een vrouw in dit geval) ze: euhh maar u belt mij toch?
Nee mevrouw u belt mij, Ietwat zekerder riep ze nee hoor ik hoorde de telefoon rinkelen dus u belt mij dan toch?
Verveeld maar resoluut : Mevrouw u zit op de hulpmonteurs lijn van de PTT en u heeft mij gebeld, heeft u ogenblik geduld dan
ga ik kijken wat er aan de hand is. mevrouw: euhh ja..
rammelen op mijn toetsenbord 5 seconden en zeg tegen haar : even kijken...Vroom&Dreesman gelegen aan de steenstraat in Arnhem, ( geen vraag maar een conclusie) mevrouw antwoord: Ja dat klopt ( enige opluchting in haar stem )
Rammelen op het toetsenbord een paar seconden en vertel haar dan : Tja ik zie het al er zit impedantie op de lijn
stilte aan de andere kant... rammelen op toetsenbord mmmmm Ik zie ook dat de dual tone multi Frequency niet goed aangestuurd wordt. nog steeds stilte aan de andere kant rammelen op toestenbord... Goed mevrouw dat gaan we maar meteen oplossen, heeft u ook datacommunicatie apparatuur aangesloten op het telefoonnetwerk?
( in die tijd wisten ze van toeten noch blazen ) euhh nee euh, weet ik niet, wat is dat dan ???
( ze heeft zich al geconformeerd in dit stadium dat jij de expert bent ) Nou mevrouw ik bedoel daarmee of er ook bv computers
zijn die via het telefoonnet zijn aangesloten. Jaaahaa die hebben we .
Rammelen op toetsenbord. mompelend roepen mmm daar zie ik inderdaad aangesloten computers, rammelen... en daar zit de impedantie en daarom gaat het fout met de dual tone multi Frequency op de gewone lijnen. rammelen..rammelen
Mevrouw heeft u de inlog wachtwoorden van het systeem zodat ik dat even snel kan oplossen
euhh momentje.... 2 minuten later kreeg een aantal wachtwoorden van haar en ze bedankte me zeer vriendelijk.
Niet dat ik veel wegwijs kwam met deze gegevens met mijn comodore 64 en mijn teletron modempje (1200 - 75 boud ) op het netwerk van v&d
Maar het ontfutselen van de informatie vond ik kicken ( tja eigenaardig gedrag eigenlijk, maar niemand is perfect en ik was nog jong :D )
IK denk als je een middagje gaat zitten met een toestenbord en wat informatie over de bedrijven/instanties etc en wat gaat rond bellen als zijnde de ptt hulpmonteurs lijn je nog verbaasd zal zijn wat je zoal in je schoot geworpen krijgt.
stukje bronvermelding
de hulpmonteurs lijn stond vermeld in het blad Hac-Tic (wie kent het nog :) en daar stond een artikel in over idd social engineering
En een systeembeheerder onderuit halen gebeurt ook niet door een ''vrouwtje'' maar - als het al gebeurt - door een intelligente mens/vrouw.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
