IT-sikkerhed i virksomheden afhænger i høj grad af adfærd, sund fornuft og forebyggelse.


IT-sikkerhed i virksomheden er afprøvet af Kevin Mitnick
Kevin Mitnick er en berømt / berygtet hacker, som har været én af USA's mest efterlyste hackere, der i fængsel med en dom på næsten 5 år.
Mitnick er blandt andet kendt for at have trængt i flere telefonselskabers netværk, deriblandt Motorola og Nokia.
 
Kevin Mitnick anvender "social engineering" i stedet for egentlige hackerteknikker i sit arbejde som sikkerhedskonsulent.
 
Den tidligere hacker advarer mod sikkerhedsstrategier, som udelukkende fokuserer på teknologi. Hvis man lærer medarbejderne at sige nej, så får virksomheden et mere sikkert netværk, mener Mitnick. Hvad er så "social engineering?"
 
 
 
 
 
 
 
 
 
 
 
 
 
Forebyg

Social engineering er et begreb. I sammenhæng med IT dækker det over et angreb, som afhænger af hvordan brugeren reagerer på en henvendelse. (brugerinteraktion.) Det går typisk ud på, at lokke andre mennesker til at bryde sikkerhedsprocedurerne. Det gælder både i hackertilfælde, hvor hackere lokker passwords ud af folk via telefonen eller finder fortrolige oplysninger i skraldespanden, og i virus og phishing tilfælde, hvor man forsøger, at lokke brugerne til at åbne vedhæftede filer med virus eller afgive fortrolige oplysninger på falske websites.

De vira og orme, som har spredt sig bedst via e-mail, har brugt social engineering. For eksempel lokker overskriften i en e-mail med de billeder, der er vedhæftet og afsenderadressen er forfalsket, så det ser ud til at e-mailen kommer fra en man kender.

Et kendt eksempel på social engineering er, da AOL (American Online) blev hacket: En hacker ringede til AOL's tekniske support og talte med supporteren i en time. Under samtalen nævnte hackeren, at han havde en billig bil til salg. Supporteren var interesseret, så hackeren sendte supporteren en e-mail med et vedhæftet billede af bilen. Men i stedet for et billede af bilen, blev der åbnet en bagdør på AOL's computer.

Uanset hvilken metode der benyttes, så er hovedformålet at overbevise "ofret" om, at "angriberen" er en person, som man stole på. En anden pointe er, at der aldrig bliver spurgt om for meget information fra en person på en gang, men at angriberne spørger om lidt af gangen og gerne udspørger flere forskellige personer.

Det svageste led
Mange firmaer investerer kun i tekniske løsninger, der fysisk skal hjælpe med til at beskytte deres netværk: Firewall, antivirus og software mod f.eks. spyware og lignende. Men Mitnick påpeger, at selv de bedste tekniske løsninger aldrig har stoppet ham. Han påpeger, at planlagt social engineering eller det at rode i en skraldespand, kan spare mange timer for en hacker.

Hackerne benytter det svageste led i virksomhedens sikkerhedsforsvar – nemlig medarbejderne. Dette kan lade sig gøre ved at udgive sig for en medarbejder og for eksempel ringe til den interne it-afdeling, eller udgive sig for at være en forretningsforbindelse, der skal til møde. Dette kan kun lade sig gøre, fordi medarbejderne har svært ved at sige nej – også selvom de er mistænksomme overfor en veltalende fremmed.

Man kan for eksempel komme langt ved at udgive sig for en forretningsforbindelse, som skal til møde. Hvis en hacker får bare to minutter alene i virksomhedens konferencelokale, hvor der er netadgang, så kan han let åbne en bagdør i netværket, som han senere hen kan anvende.

Løsningen er uddannelse og sikkerhedspolitik
Der er ikke en simpel løsning på alle disse problemer, men én ting er sikkert: En virksomhed med respekt for sig selv bør etablere en sikkerhedspolitik, som omfatter alle aspekter af it-sikkerhed og give alle medarbejdere i virksomheden uddannelse og bede dem lade være med at improvisere.

En sikkerhedspolitik er et regelsæt som skal følges af alle i virksomheden, hvis det skal have effekt.

Uddrag fra nyhedsbrev af Suzette Wagner · Virus112 A/S - 20/04 2005 

 

ITProfil.dk

Lars E. Jensen


 
TilbageDette website vedligeholdes med Content Management Systemet ADcms