image

Column: Social engineering, de dreiging die niemand ziet

woensdag 2 februari 2005, 14:48 door Redactie, 9 reacties

Altijd al een mooi wit Security.NL T-shirt willen hebben? Nu heb je de kans. Security.NL is namelijk op zoek naar mensen die interessante, security-gerelateerde columns willen schrijven. Heb jij een mening over de huidige stand van zaken in de security industrie of heb je een ervaring die je met anderen wilt delen, laat het ons en de rest van Nederland weten. Je kunt de column naar redactie@security.nl sturen. De redactie zal de beste columns op Security.NL plaatsen. Word je column geplaatst, dan zul je het Security.nl T-shirt ontvangen, hoewel de eeuwige roem die schrijvers ten deel valt door het schrijven voor Security.NL natuurlijk voldoende is.

Door IT Consultant Steven Pauwels

Security is één van de meest gebruikte woorden om tegenwoordig iets verkocht te krijgen. Alleen valt het mij op dat men het begrip security vaak niet ruim genoeg bekijkt. Meestal spreekt men over specifieke technologiën, zoals anti-virus oplossingen, firewall oplossingen, VPN security oplossingen, en ga zo maar verder. Nu mag je nog zo goed door de beste technologie die er bestaat beveiligd zijn, men blijft toch vaak het grootste security risico over het hoofd zien.

Wat heb je immers aan al die technologie als je een bezoekje of telefoontje krijgt van een social engineer? Je weet wel, mensen die je onverwachts opbellen om op het eerste gezicht ‘onbelangrijke’ informatie op te vragen. Ze kunnen je vertrouwen dan nog winnen door wat andere (onterecht verkregen) informatie te verschaffen. Men weet meestal niet dat men in contact geweest is met een dergelijk persoon, maar dat is nu juist het grootste probleem op het security vlak. Hoe kan je je nu in godsnaam bewapenen tegen social engineers? Mijn inziens is er maar één manier en dat is actieve bewustmaking binnen je bedrijf. Mensen erop wijzen wat de gevaren en symptomen zijn en wat men in dergelijke situaties het best kan doen. Uiteraard heb je dan echter weer het probleem om dit verkocht te krijgen aan de man die dit alles zal moeten betalen, want wie geeft er nu geld uit aan iets wat toch nooit gebeurd? Je hoort voldoende incidenten van virussen en hackers op tv en in de krant, maar die problemen los je op met anti-virussoftware en een firewall, toch? En dan is het bedrijf weer veilig, althans, dat denkt men....

Waarom ligt de focus van security zoveel op het technologische aspect en amper op het psychologische en menselijke aspect? IT-verantwoordelijken kennen deze gevaren en weten dat het een probleem kan vormen waar men uitermate voor moet oppassen, maar het algemene publiek weet niet eens dat dergelijke praktijken bestaan. Werken de social engineers misschien voor de media? Zodat ze de algemene bewustwording kunnen onderdukken, of is de mens nu eenmaal een zwak wezen dat behoefte heeft aan het kunnen geven van vertrouwen, ook al zijn het wildvreemden? En gaat die behoefte dan zo ver, dat men zelf niet wil aannemen dat het een bedreiging kan zijn om die mensen te vertrouwen, ook al komt het van iemand die ze al jaren kennen? Of ben ik er gewoon teveel mee bezig en word ik paranoia... Wie zal het zeggen? Als een dergelijk incident zich weer voordoet heeft toch niemand het gemerkt.

Reacties (9)
02-02-2005, 15:13 door Anoniem
Art of Deception gelezen?
07-02-2005, 12:59 door Anoniem
De grootste security-dreiging is nog altijd een specifieke
vorm van volkomen legale social engineering: marketing....
07-02-2005, 14:02 door Anoniem
Inderdaad, het lijkt erop dat hij dat boek van Mitnick heeft
gelezen om een T-shirt te scoren. Desondanks, er kan niet
vaak genoeg op gehamerd worden. Het is haast niet te
bevatten maar veel virussen verspreiden zich via domme
gebruikers die overal maar op klikken...
07-02-2005, 14:47 door Anoniem
Wat is social engineering:

"Security is één van de meest gebruikte woorden om tegenwoordig iets
verkocht te krijgen."

"Je weet wel, mensen die je onverwachts opbellen om op het eerste
gezicht ‘onbelangrijke’ informatie op te vragen."

"Uiteraard heb je dan echter weer het probleem om dit verkocht te krijgen"

Conclusie: elke verkoper/oplichter/ "security consultant" doet er aan.
09-02-2005, 14:54 door Anoniem
Ik zal Art of Deception blijkbaar eens dringend moeten lezen...
Ik heb het even opgezocht en lijkt mij interessante lectuur.
Het is mij echt niet om het T-shirt te doen, maar ik vind het gewoon erg en
eigenlijk ook wel raar dat social engineering zo simpel lijkt te zijn. Als IT
Consultant kom ik geregeld bedrijven tegen die de gevaren hiervan niet
begrijpen en ik zie het dan ook deels als mijn plicht om deel te nemen aan
de bewustmaking hiervan.

Marketing is inderdaad een probleem op dat vlak, mensen zijn er zich niet
van bewust waarvoor die info gebruikt kan worden en gebruikt zal worden.

En wat betreft de 'definitie' en 'conclusie' van social engineering:
U zit er compleet naast :)
Het is de taak van een goed consultant en verkoper om de feiten goed te
analyseren en daaruit het goede advies te verlenen. Je doet dit met
medeweten van uw klanten en dit om een positief gezamelijk doel te
bereiken.

Een social engineer doet dit echter voor eigen belang en zonder
medeweten van anderen. Zij ontfutselen informatie waartoe ze eigenlijk
geen recht hebben. Een verkoper of consultant zal dit echter nooit doen.
Een oplichter daarentegen is een andere zaak.

Mvg,

S. Pauwels
09-02-2005, 19:52 door Anoniem
Door Anoniem
Ik zal Art of Deception blijkbaar eens dringend moeten lezen...
Ik heb het even opgezocht en lijkt mij interessante lectuur.

Slecht boek, slechts leuk voor CEO's en politici....
Als je 1 hoofdstuk hebt gelezen of bovenstaande betoog hebt
gelezen heb je het hele boek gelezen.
Voornamelijk veel herhaling van het zelfde geïllustreerd met
wat verhaaltjes.


Als IT
Consultant kom ik geregeld bedrijven tegen die de gevaren
hiervan niet
begrijpen en ik zie het dan ook deels als mijn plicht om
deel te nemen aan
de bewustmaking hiervan.

Het is geen ICT aangelegenheid.
Als een onderneming geen leidraad heeft voor verstrekken van
gegevens (wat overigens wettelijk verplichting is, die
leidraad dan) dan hoeven ze ook niets te patchen.


Marketing is inderdaad een probleem op dat vlak, mensen zijn
er zich niet
van bewust waarvoor die info gebruikt kan worden en gebruikt
zal worden.

Marketing = social engineering


Het is de taak van een goed consultant en verkoper om de
feiten goed te
analyseren en daaruit het goede advies te verlenen.

consultancy = social engineering


Je doet dit met
medeweten van uw klanten en dit om een positief gezamelijk
doel te
bereiken.

Aha, dus jou werkgever vind het niet erg indien er geen
extra business gegenereerd wordt door je, omdat je de klant
de waarheid verteld waardoor je overbodig bent?


Een social engineer doet dit echter voor eigen belang en zonder
medeweten van anderen.

Jij dus ook, de gehele economie draaid op eigen belang, of
ben jij die gratis werkende consultant die als een nobele
ridder gratis organisaties van advies voorziet?


Zij ontfutselen informatie waartoe ze eigenlijk
geen recht hebben.

Bepaald wie ?
Geheim houding is een voorwaarde van elke economie, zonder
geheimhouding geen economie.

Tevens haal je hier 2 termen door elkaar, gegevens en
informatie.
Het verkrijgen van gegevens wil niet zeggen dat het
informatie hoef te zijn.
Een social engineer zoals jij die bedoelt verzamelt slechts
gegevens, en die los staande gegevens zijn vrij onschuldig.
Pas als je ze gaat toepassen en combineren met andere
gegevens kan je informatie verschaffen waarmee je iets kunt
of iets meer/beters kunt bemachtigen.

Elke projectleider houd zich met bovenstaande bezig, anders
zou je namelijk geen politiek hebben binnen grotere
organisaties......
Eigen belang speelt overal.


Een verkoper of consultant zal dit echter nooit doen.
Een oplichter daarentegen is een andere zaak.

Verkoper = afzetter = sociaal begaafd/sociaal engineer =
oplichter.

Er is geen wezelijk verschil.

Of je wordt genaaid en hebt er een prettig gevoel bij, zoals
jou klanten.
Of je wordt genaaid en je voelt je genaaid.......... slechts
verschil van optiek.
11-02-2005, 16:32 door Anoniem
Volgens mij kan men de mensheid beter uitleggen hoe je een goed
wachtwoord maakt. wachtwoorden zijn soms zeer makkelijk te
achterhalen. En zeker de stommiteit van webmail met zo'n geheime vraag,
bijv. wat is de naam van mijn huisdier. De eerste de beste vandaal kan
daar, met een goed beeld van zijn doel, echt wel een geldig antwoord op
vinden. Lang leve de evolutie-theorie die wat steekjes heeft laten vallen ;).
12-02-2005, 13:13 door Anoniem
Aha, dus jou werkgever vind het niet erg indien er geen
extra business gegenereerd wordt door je, omdat je de klant
de waarheid verteld waardoor je overbodig bent?

Nee, het is onze eerste taak om eerlijk te zijn naar onze klanten toe. Hoe
kan je anders een degelijke service verlenen? Het is onze job om
degelijke advies te verlenen en als dat wil zeggen dat we hen naar andere
partijen moeten verwijzen is dat nu eenmaal zo. We gaan hen geen
diensten en/of producten verkopen die voor hun niet aangewezen zijn.

Ik kan je standpunt begrijpen, maar die van mij is nu eenmaal anders.

Mvg,

Steven
12-02-2005, 22:59 door Anoniem
" Because there is no patch 4 human stupidity "
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.