Bajardi: 3 a guruh talabasi
Download 26.03 Kb.
|
Mustaqil ish Sotsial injineriya nima va uning zamonaviy usullari (1)
|
Mustaqil ish Sotsial injineriya nima va uning zamonaviy usullari Bajardi:3 A guruh talabasi Ma’murova Odinaxon Ijtimoiy muhandislik - axborot xavfsizligi kontekstida - muayyan harakatlarni amalga oshirish yoki maxfiy ma'lumotlarni oshkor qilish uchun odamlarni psixologik manipulyatsiyasi. Uni ijtimoiy fanlardagi ijtimoiy muhandislik kontseptsiyasidan farqlash kerak - bu maxfiy ma'lumotlarni oshkor qilish bilan bog'liq emas. Ma'lumot to'plash, soxtalashtirish yoki ruxsatsiz kirish uchun hiylalar to'plami an'anaviy "firibgarlik" dan farq qiladi, chunki u ko'pincha murakkabroq firibgarlik sxemasidagi ko'p bosqichlardan biridir. Mavjud bo'lmagan havolalar Saytga tashrif buyurish uchun jozibali sabab va unga to'g'ridan-to'g'ri havolani yuborishdan iborat bo'lgan hujum, faqatgina www.PayPai.com kabi kutilgan saytga o'xshaydi. Bu PayPal havolasi kabi ko'rinadi, "l" harfi "i" bilan almashtirilganini kam odam payqadi. Shunday qilib, havolani bosgandan so'ng, jabrlanuvchi kutilgan sayt bilan iloji boricha bir xil bo'lgan saytni ko'radi va kredit karta ma'lumotlarini kiritishda bu ma'lumot darhol tajovuzkorga yuboriladi. Global fishing firibgarligining eng mashhur misollaridan biri 2003-yildagi firibgarlik boʻlib, unda minglab eBay foydalanuvchilari oʻz hisoblari toʻxtatilganligi va uni qulfdan chiqarish uchun kredit karta maʼlumotlarini yangilash talab qilingani haqida e-pochta xatlarini olgan. Ushbu elektron pochta xabarlarining barchasi rasmiy sahifaga o'xshash soxta veb-sahifaga olib boradigan havolani o'z ichiga olgan. Biroq, ekspertlarning fikriga ko'ra, bu firibgarlikdan ko'rilgan zarar million dollardan (bir necha yuz ming) kam bo'lgan . Mashhur korporatsiyalarning brendlaridan foydalangan holda firibgarlik Ushbu fishing firibgarliklari soxta elektron pochta xabarlari yoki yirik yoki taniqli kompaniyalarning nomlarini o'z ichiga olgan veb-saytlardan foydalanadi. Xabarlarda kompaniya tomonidan o'tkazilgan tanlovda g'alaba qozonganingiz, hisob ma'lumotlari yoki parolingizni o'zgartirish zarurligi haqidagi tabriklar bo'lishi mumkin. Texnik qo'llab-quvvatlash xizmati nomidan shunga o'xshash firibgarlik sxemalari telefon orqali ham amalga oshirilishi mumkin. Soxta lotereyalar Foydalanuvchi qaysidir taniqli kompaniya tomonidan o‘tkazilgan lotereyada yutganligi haqidagi xabarlarni olishi mumkin. Tashqi tomondan, bu xabarlar korporatsiyaning yuqori martabali xodimlaridan biri nomidan yuborilgandek ko'rinishi mumkin[6]. Soxta antivirus va xavfsizlik dasturlari "Qo'rqinchli dastur" deb ham ataladigan bunday qalloblik dasturi antivirus dasturiga o'xshab ketadigan dasturiy ta'minot bo'lib, aslida buning aksi. Bunday dasturlar turli tahdidlar haqida noto'g'ri bildirishnomalar yaratadi, shuningdek, foydalanuvchini firibgarlik tranzaktsiyalariga jalb qilishga harakat qiladi. Foydalanuvchi ularni elektron pochta, onlayn reklamalar, ijtimoiy tarmoqlar, qidiruv tizimi natijalari va hatto tizim xabarlarini taqlid qiluvchi kompyuter qalqib chiquvchi oynalarida uchratishi mumkin. Respondentlarning 85% ular bilishi kerak bo'lmagan maxfiy ma'lumotlarni ko'rganliklarini tan oldilar; 82% ularning ekranida aks ettirilgan ma'lumotni ruxsatsiz shaxslar ko'rishi mumkinligini tan oldi; 82% o'z tashkilotidagi kimdir o'z ekranini begonalardan himoya qilishiga unchalik ishonmaydi. Teskari ijtimoiy muhandislik Jabrlanuvchining o'zi tajovuzkorga kerakli ma'lumotlarni taqdim etganda, teskari ijtimoiy muhandislik haqida gapiriladi. Bu bema'ni tuyulishi mumkin, lekin aslida texnik yoki ijtimoiy idoralar ko'pincha foydalanuvchi identifikatorlari va parollari va boshqa nozik shaxsiy ma'lumotlarni hech kim ularning yaxlitligiga shubha qilmagani uchun oladi. Masalan, yordam stoli xodimlari hech qachon foydalanuvchilardan ID yoki parol so‘ramaydi; muammolarni hal qilish uchun ularga bu ma'lumot kerak emas. Biroq, ko'plab foydalanuvchilar muammolarni imkon qadar tezroq hal qilish uchun ushbu nozik ma'lumotni ixtiyoriy ravishda baham ko'rishadi. Ma'lum bo'lishicha, tajovuzkor bu haqda so'rashga hojat yo'q [manba 1368 kun ko'rsatilmagan]. Teskari ijtimoiy muhandislik misoli quyidagi oddiy stsenariydir. Tajovuzkor jabrlanuvchi bilan birgalikda kompyuteridagi fayl nomini o'zgartiradi yoki uni boshqa katalogga o'tkazadi. Jabrlanuvchi fayl yo'qligini sezsa, tajovuzkor uni tuzatishi mumkinligini da'vo qiladi. Ishni tezroq yakunlashni yoki ma'lumotni yo'qotganlik uchun jazodan qochishni istab, jabrlanuvchi bu taklifga rozi bo'ladi. Hujumchining ta’kidlashicha, muammoni hal qilishning yagona yo‘li jabrlanuvchining ma’lumotlari bilan tizimga kirishdir. Endi jabrlanuvchi tajovuzkordan faylni tiklashga urinib ko‘rish uchun uning nomi bilan tizimga kirishni so‘ramoqda. Buzg'unchi istamay rozi bo'ladi va faylni tiklaydi, yo'lda qurbonning ID va parolini o'g'irlaydi. Hujumni muvaffaqiyatli amalga oshirib, u hatto obro'sini oshirdi va bundan keyin boshqa hamkasblar unga yordam so'rab murojaat qilishlari mumkin. Ushbu yondashuv oddiy qo'llab-quvvatlash xizmati protseduralariga xalaqit bermaydi va tajovuzkorni qo'lga olishni qiyinlashtiradi. Mashhur ijtimoiy muhandislar Kevin Mitnik Asosiy maqola: Kevin Mitnik Tarixdagi eng mashhur ijtimoiy muhandislardan biri Kevin Mitnikdir. Dunyoga mashhur kompyuter xakeri va xavfsizlik bo'yicha maslahatchi sifatida Mitnik kompyuter xavfsizligi bo'yicha ko'plab kitoblar muallifi bo'lib, asosan ijtimoiy muhandislik va psixologik manipulyatsiya usullariga e'tibor qaratadi. 2001 yilda uning muallifligi ostida "Aldash san'ati" kitobi nashr etildi, unda ijtimoiy muhandislikdan foydalanishning haqiqiy voqealari haqida hikoya qilinadi. Kevin Mitnikning ta'kidlashicha, xavfsizlik tizimiga kirishga urinishdan ko'ra aldash yo'li bilan parol olish ancha oson . Birodarlar Badir Shuningdek qarang: ko'k quti Aka-uka Badir, Mushid va Shodi Badir tug'ma ko'r bo'lishsa-da, ular 1990-yillarda ijtimoiy muhandislik va ovoz soxtaligi yordamida Isroilda bir qancha yirik firibgarlik sxemalarini yo'q qilishga muvaffaq bo'lishdi. Ular televideniyega bergan intervyusida shunday dedilar: “Faqat telefon, elektr energiyasi va noutbukdan foydalanmaydiganlar tarmoq hujumlaridan to‘liq sug‘urtalangan”. Aka-ukalar telefon liniyasidagi xizmat signallarini eshitgani uchun allaqachon qamoqxonada bo'lishgan. Ular kanal ichidagi stansiyalararo signalizatsiyani simulyatsiya qilib, birovning hisobidan chet elda uzoq qo'ng'iroqlarni amalga oshirdilar. Ijtimoiy muhandislikdan himoya qilish usullari O'z hujumlarini amalga oshirish uchun ijtimoiy muhandislik hujumchilari ko'pincha foydalanuvchilar va tashkilotlar xodimlarining ishonchliligi, dangasaligi, xushmuomalaligi va hatto ishtiyoqidan foydalanadilar. Bunday hujumlardan himoyalanish oson emas, chunki ularning qurbonlari aldanganliklariga shubha qilmasliklari mumkin. Ijtimoiy muhandislik tajovuzkorlari, asosan, har qanday boshqa tajovuzkorlar bilan bir xil maqsadlarga ega: ularga pul, ma'lumot yoki jabrlanuvchi kompaniyaning IT resurslari kerak. Bunday hujumlardan himoya qilish uchun siz ularning turlarini o'rganishingiz, tajovuzkorga nima kerakligini tushunishingiz va tashkilotga etkazilishi mumkin bo'lgan zararni baholashingiz kerak. Ushbu ma'lumotlarning barchasi bilan zarur himoya choralari xavfsizlik siyosatiga kiritilishi mumkin. Ijtimoiy muhandis hujumini qanday aniqlash mumkin Quyidagilar ijtimoiy muhandislarning harakat usullari: o'zingizni do'st-xodim yoki yordam so'ragan yangi xodim sifatida tanishtirish; o'zini etkazib beruvchining, hamkor kompaniyaning xodimi, qonun vakili sifatida ko'rsatish; o'zingizni boshqaruvdan kimdir sifatida ko'rsatish; o'zini operatsion tizim sotuvchisi yoki ishlab chiqaruvchisi sifatida ko'rsatish, o'rnatish uchun jabrlanuvchiga yangilanish yoki yamoq taklif qilish uchun qo'ng'iroq qilish; muammo yuzaga kelganda yordam taklif qilish va keyin jabrlanuvchini yordam so'rashga olib keladigan muammoni qo'zg'atish; ishonchni mustahkamlash uchun ichki jargon va terminologiyadan foydalanish; elektron pochta ilovasi sifatida virus yoki troyan otini yuborish; qayta autentifikatsiya qilishni so'ragan soxta qalqib chiquvchi oynadan foydalanish yoki parolni kiritish; foydalanuvchi nomi va parol bilan saytda ro'yxatdan o'tish uchun mukofot taklif qilish; jabrlanuvchi o'z kompyuteriga yoki dasturiga kiritgan kalitlarni yozib olish (keylogging); turli xil ma'lumotlar tashuvchilarni (flesh-kartalar, disklar va boshqalar) zararli dastur bilan qurbonning stoliga tashlash; hujjat yoki papkani kompaniyaning pochta bo'limiga ichki yetkazib berish uchun tashlash; faksdagi harflarni kompaniyadan kelganga o'xshatish uchun o'zgartirish; kotibning faksni qabul qilish va keyin jo'natish haqidagi so'rovi; hujjatni mahalliy ko'rinadigan joyga (ya'ni tashkilot hududida joylashgan) yuborish to'g'risidagi so'rov; ovozli pochtani qayta qo'ng'iroq qilishga qaror qilgan xodimlar tajovuzkorni ularning xodimi deb o'ylashlari uchun sozlash; Telefon tahdidlari Telefon hanuzgacha tashkilotlar ichida va o'rtasida eng mashhur aloqa vositalaridan biri bo'lib qolmoqda, shuning uchun ham u ijtimoiy muhandislik uchun samarali vositadir. Telefonda gaplashganda, suhbatdoshning shaxsini tasdiqlash uchun yuzini ko'rishning iloji yo'q, bu esa tajovuzkorlarga maxfiy yoki ahamiyatsiz bo'lib ko'rinadigan ma'lumotlar bilan ishonchli bo'lishi mumkin bo'lgan xodim, xo'jayin yoki boshqa shaxsni ko'rsatish imkoniyatini beradi. Hujumchi ko'pincha suhbatni shunday tartibga soladiki, jabrlanuvchining yordam berishdan boshqa iloji yo'q, ayniqsa so'rov arzimas narsaga o'xshasa. Mobil telefon foydalanuvchilarining pullarini o'g'irlashga qaratilgan turli xil firibgarliklar ham mashhur. Bular lotereyalardagi yutuqlar, tanlovlar, noto'g'ri pul mablag'larini qaytarish to'g'risidagi so'rovlar yoki jabrlanuvchining yaqin qarindoshlari muammoga duch kelganligi va ma'lum miqdorda pul o'tkazish zarurati to'g'risidagi qo'ng'iroqlar va SMS xabarlar bo'lishi mumkin. Xavfsizlik choralari har qanday bunday xabarlarga va ba'zi xavfsizlik tamoyillariga shubha bilan munosabatda bo'lishni anglatadi: Qo'ng'iroq qiluvchining shaxsini tekshirish; Raqamni identifikatsiya qilish xizmatidan foydalanish; SMS xabarlardagi noma'lum havolalarga e'tibor bermaslik; Elektron pochta tahdidlari Ko'pgina xodimlar korporativ va shaxsiy pochta tizimlari orqali har kuni o'nlab va hatto yuzlab elektron xatlarni olishadi. Albatta, bunday yozishmalar oqimi bilan har bir harfga munosib e'tibor berish mumkin emas. Bu hujumlarni amalga oshirishni ancha osonlashtiradi. Elektron pochta tizimlarining aksariyat foydalanuvchilari bunday xabarlarni qayta ishlashga xotirjam munosabatda bo'lishadi va bu ishni qog'ozlarni bir papkadan boshqasiga o'tkazishning elektron analogi sifatida qabul qilishadi. Buzg'unchi pochta orqali oddiy so'rov yuborganda, jabrlanuvchi ko'pincha o'z harakatlari haqida o'ylamasdan, ulardan so'ralgan narsani bajaradi. Elektron pochta xabarlarida xodimlarni korporativ muhit xavfsizligini buzishga undaydigan giperhavolalar bo'lishi mumkin. Bunday havolalar har doim ham da'vo qilingan sahifalarga olib kelmaydi. Qatlamli xavfsizlik modeli Yirik kompaniyalar va ularning xodimlarini ijtimoiy muhandislik texnikasidan foydalangan holda firibgarlardan himoya qilish uchun ko'pincha murakkab ko'p darajali xavfsizlik tizimlari qo'llaniladi. Bunday tizimlarning ba'zi xususiyatlari va mas'uliyatlari quyida keltirilgan. Jismoniy xavfsizlik. Kompaniya binolari va korporativ resurslarga kirishni cheklaydigan to'siqlar. Shuni unutmangki, kompaniyaning resurslari, masalan, kompaniya hududidan tashqarida joylashgan axlat konteynerlari jismonan himoyalanmagan. Ma'lumotlar. Biznes ma'lumotlari: hisoblar, pochta va boshqalar. Tahdidlarni tahlil qilish va ma'lumotlarni himoya qilish choralarini rejalashtirishda qog'oz va elektron ma'lumotlar tashuvchilar bilan ishlash tamoyillarini aniqlash kerak. Ilovalar. Foydalanuvchilar tomonidan boshqariladigan dasturlar. Atrof-muhitni himoya qilish uchun tajovuzkorlar elektron pochta dasturlari, tezkor xabar almashish xizmatlari va boshqa ilovalardan qanday foydalanishi mumkinligini ko'rib chiqishingiz kerak. Kompyuterlar. Tashkilotda ishlatiladigan serverlar va mijoz tizimlari. Korporativ kompyuterlarda qanday dasturlardan foydalanish bo'yicha qat'iy ko'rsatmalarni belgilash orqali foydalanuvchilarni kompyuterlariga to'g'ridan-to'g'ri hujumlardan himoya qilish. Ichki tarmoq. Korporativ tizimlar o'zaro ta'sir qiladigan tarmoq. Bu mahalliy, global yoki simsiz bo'lishi mumkin. So'nggi yillarda masofaviy ish usullarining tobora ommalashib borayotganligi sababli, ichki tarmoqlarning chegaralari asosan o'zboshimchalik bilan bo'lib qoldi. Kompaniya xodimlariga har qanday tarmoq muhitida xavfsiz ishni tashkil qilish uchun nima qilishlari kerakligini tushuntirish kerak. tarmoq perimetri. Kompaniyaning ichki tarmoqlari va Internet yoki hamkor tashkilotlarning tarmoqlari kabi tashqi tarmoqlar o'rtasidagi chegara. Download 26.03 Kb. Do'stlaringiz bilan baham: 
|