No Tech Hacking

1. Hakowanie bez technologii wykorzystuje naturę ludzką i umiejętności obserwacyjne

Inżynieria społeczna może być tak prosta.

Obserwacja jest kluczowa. Hakowanie bez technologii opiera się na wnikliwej obserwacji i wykorzystywaniu natury ludzkiej, a nie na umiejętnościach technicznych. Zwracając uwagę na swoje otoczenie, hakerzy mogą zbierać cenne informacje bez użycia zaawansowanych narzędzi czy technologii.

Ludzkie słabości. Naturalna skłonność ludzi do bycia pomocnymi, unikania niezręcznych sytuacji i przyjmowania rzeczy na wiarę stwarza możliwości dla inżynierów społecznych. Proste techniki, takie jak podążanie za kimś, podglądanie przez ramię czy przeszukiwanie śmieci, mogą dostarczyć zaskakująco dużą ilość wrażliwych danych.

Codzienne okazje. Okazje do hakowania bez technologii są wszędzie w codziennym życiu - od wyrzuconych dokumentów po nieostrożnie wyświetlane ekrany i podsłuchane rozmowy. Przyjmując mentalność hakera i pozostając czujnym, można dostrzec te słabości, które większość ludzi przeocza.

2. Przeszukiwanie śmieci ujawnia wrażliwe informacje nieostrożnie wyrzucone

Umieść na parkingu, aby każdy mógł przeczytać.

Nieostrożne wyrzucanie. Organizacje i osoby prywatne często wyrzucają wrażliwe dokumenty bez odpowiedniego niszczenia. Przeszukiwacze śmieci mogą łatwo odzyskać nienaruszone papiery zawierające poufne dane, od zapisów finansowych po informacje medyczne.

Łatwe cele. Niezabezpieczone kontenery na śmieci i pojemniki na recykling, zwłaszcza te należące do firm, są głównymi miejscami poszukiwań. Nawet dokumenty pozostawione na widoku w pobliżu obszarów śmieci mogą dostarczyć cennych informacji.

Zapobieganie jest kluczowe. Aby powstrzymać przeszukiwaczy śmieci:

• Niszczyć wszystkie wrażliwe dokumenty przed wyrzuceniem
• Używać niszczarek krzyżowych lub mikro-ciętych dla maksymalnego bezpieczeństwa
• Zamykać kontenery na śmieci i pojemniki na recykling
• Wprowadzać rygorystyczne zasady dotyczące utylizacji dokumentów
• Edukować pracowników na temat właściwego postępowania z wrażliwymi informacjami

3. Podążanie za kimś i inżynieria społeczna umożliwiają nieautoryzowany dostęp

Podziękowali mi za przytrzymanie drzwi, mimo że właśnie włamałem się do ich budynku dzięki nim.

Wykorzystywanie uprzejmości. Podążanie za kimś wykorzystuje naturalną skłonność ludzi do przytrzymywania drzwi innym. Ubierając się odpowiednio i zachowując pewność siebie, hakerzy mogą wślizgnąć się do zabezpieczonych obszarów za uprawnionym personelem.

Siła pretekstowania. Inżynieria społeczna polega na tworzeniu fałszywego scenariusza, aby manipulować celami w celu ujawnienia informacji lub udzielenia dostępu. Powszechne preteksty to udawanie wsparcia IT, personelu dostawczego lub nowych pracowników.

Zapobieganie nieautoryzowanemu wejściu:

• Szkolenie pracowników w zakresie wyzwań dla nieznajomych twarzy
• Wprowadzenie rygorystycznych zasad dotyczących odwiedzających i eskort
• Używanie wieloskładnikowego uwierzytelniania do dostępu
• Instalowanie bramek bezpieczeństwa lub pułapek
• Kształtowanie kultury świadomości bezpieczeństwa

4. Podglądanie przez ramię ujawnia poufne dane w miejscach publicznych

Nagrałem również wideo i (mogłem) stać się bardzo zaznajomiony z narzędziami, protokołami i procesami, których używał (lub mógł nie używać) do interakcji z bankomatem.

Publiczna podatność. Ludzie często pracują nad wrażliwymi informacjami w miejscach publicznych, takich jak lotniska, kawiarnie i pociągi, nie zdając sobie sprawy, że inni mogą łatwo zobaczyć ich ekrany. Podglądacze przez ramię mogą zbierać hasła, dane finansowe i poufne dokumenty.

Elektroniczne dedukcje. Nawet krótkie spojrzenia na ekran mogą ujawnić cenne informacje o tożsamości, zawodzie i działaniach danej osoby. Hakerzy mogą złożyć zaskakującą ilość danych z ikon, otwartych okien i widocznego tekstu.

Ochrona przed podglądaniem przez ramię:

• Używanie ekranów prywatności na laptopach i urządzeniach mobilnych
• Świadomość otoczenia podczas pracy w miejscach publicznych
• Ustawianie ekranów pod kątem, aby nie były widoczne publicznie
• Unikanie dostępu do wrażliwych informacji w zatłoczonych miejscach
• Włączanie szybkiego blokowania ekranu na urządzeniach

5. Słabości fizycznego bezpieczeństwa utrzymują się mimo zaawansowanych technologii

Hasła są fajne, zwłaszcza domyślne.

Niskotechnologiczne obejścia. Wiele pozornie zabezpieczonych zamków i systemów można pokonać za pomocą prostych narzędzi lub technik. Przykłady obejmują:

• Otwieranie zamków z pinami za pomocą bumpingu
• Przesuwanie kłódek za pomocą metalowych pasków
• Omijanie zamków elektronicznych za pomocą magnesów lub exploitów

Błąd ludzki. Najsłabszym ogniwem w fizycznym bezpieczeństwie jest często zachowanie ludzi:

• Używanie domyślnych haseł w systemach elektronicznych
• Pozostawianie kluczy lub kart dostępu bez nadzoru
• Podpieranie otwartych drzwi zabezpieczonych dla wygody

Warstwowe bezpieczeństwo. Aby poprawić fizyczne bezpieczeństwo:

• Wdrażanie wielu warstw ochrony
• Regularne audyty i testowanie środków bezpieczeństwa
• Szkolenie personelu w zakresie świadomości i procedur bezpieczeństwa
• Używanie zamków o wysokim poziomie bezpieczeństwa odpornych na powszechne ataki
• Utrzymywanie systemów bezpieczeństwa i oprogramowania układowego na bieżąco

6. Hakowanie Google ujawnia wrażliwe informacje nieumyślnie wystawione online

To nie wina Google, jeśli twoje wrażliwe dane trafiają do sieci.

Nieumyślne wystawienie. Organizacje i osoby prywatne często nieświadomie wystawiają wrażliwe dane na publicznie dostępnych serwerach internetowych. Potężne możliwości wyszukiwania Google pozwalają hakerom łatwo znaleźć te informacje za pomocą specjalistycznych zapytań wyszukiwania.

Rodzaje wystawionych danych:

• Poufne dokumenty i arkusze kalkulacyjne
• Dane logowania i hasła
• Informacje o serwerach i bazach danych
• Zapiski finansowe i osobiste
• Komunikacja wewnętrzna i e-maile

Zapobieganie hakowaniu Google:

• Regularne audyty publicznie dostępnych treści internetowych
• Używanie pliku robots.txt do zapobiegania indeksowaniu wrażliwych katalogów
• Wdrażanie odpowiednich kontroli dostępu na serwerach internetowych
• Edukowanie pracowników na temat bezpiecznych praktyk udostępniania plików
• Korzystanie z narzędzi do skanowania luk w zabezpieczeniach sieci

7. Sieci P2P ujawniają prywatne dane przez niewłaściwie skonfigurowane udostępnianie plików

Jeśli atakujący znajdzie jeden marginalnie wrażliwy dokument, prawie na pewno przeszuka maszynę, która udostępniła plik, aby znaleźć więcej.

Przypadkowe udostępnianie. Użytkownicy często nieumyślnie udostępniają całe dyski twarde lub wrażliwe foldery podczas korzystania z sieci peer-to-peer. Może to ujawnić osobiste dokumenty, zapisy finansowe i poufne informacje biznesowe.

Trwałe ryzyko. Pomimo spadku popularności niektórych sieci P2P, udostępnianie plików pozostaje znaczącym źródłem wycieków danych. Wielu użytkowników nie zdaje sobie sprawy z zakresu udostępnianych danych ani związanego z tym ryzyka.

Łagodzenie ryzyka P2P:

• Unikanie instalowania oprogramowania P2P na komputerach służbowych
• Ostrożna konfiguracja ustawień udostępniania, jeśli P2P musi być używane
• Regularne audyty udostępnianych folderów pod kątem wrażliwych treści
• Korzystanie z dedykowanych maszyn do P2P oddzielonych od wrażliwych danych
• Edukowanie użytkowników na temat zagrożeń związanych z niewłaściwie skonfigurowanym udostępnianiem plików

8. Obserwowanie ludzi dostarcza zaskakujących informacji o jednostkach

Dobry haker bez technologii może uzyskać dobry obraz osoby, po prostu zwracając uwagę.

Umiejętności obserwacyjne. Obserwatorzy ludzi mogą wywnioskować znaczące informacje o jednostkach na podstawie ich wyglądu, zachowania i rzeczy osobistych. Obejmuje to zawód, status społeczno-ekonomiczny i nawyki osobiste.

Wskazówki kontekstowe. Przedmioty takie jak identyfikatory, etykiety bagażowe i loga firm dostarczają cennych informacji o tożsamości i powiązaniach danej osoby. Nawet drobne szczegóły, takie jak rodzaj zegarka czy butów, mogą dostarczyć wglądu.

Implikacje dla prywatności. Łatwość zbierania informacji osobistych przez obserwację podkreśla znaczenie utrzymywania świadomości otoczenia i minimalizowania widocznych wskaźników wrażliwych danych lub powiązań, zwłaszcza w miejscach publicznych.

9. Kioski i bankomaty są podatne na proste techniki hakowania

Dobry przyjaciel, CP, ma tę dziką zdolność do sprawiania, że maszyny robią szalone rzeczy.

Ucieczka z trybu kiosku. Wiele publicznych kiosków i terminali można wyłamać z ich ograniczonych interfejsów za pomocą prostych skrótów klawiaturowych lub exploitów. Może to umożliwić dostęp do podstawowego systemu operacyjnego i wrażliwych danych.

Słabości bankomatów. Pomimo ich krytycznego charakteru, bankomaty często działają na standardowym sprzęcie i oprogramowaniu PC, co czyni je podatnymi na różne ataki. Fizyczny dostęp do wnętrza bankomatu może ujawnić cenne informacje o jego działaniu.

Poprawa bezpieczeństwa kiosków:

• Używanie specjalistycznego oprogramowania i sprzętu do kiosków
• Wyłączanie niepotrzebnych funkcji i usług systemu operacyjnego
• Wdrażanie odpowiednich kontroli dostępu i uprawnień użytkowników
• Regularne aktualizowanie i łatanie systemów kiosków
• Fizyczne zabezpieczanie kiosków, aby zapobiec manipulacjom

10. Nadzór nad pojazdami dostarcza nieoczekiwanych informacji osobistych

Naklejki na wymianę oleju, takie jak ta, wydają się dość niewinne, ale haker bez technologii może użyć prostych dedukcji, aby zrozumieć, że adres jest prawdopodobnie blisko miejsca pracy lub zamieszkania właściciela.

Pojazdy jako źródła informacji. Samochody i ich zawartość mogą ujawnić zaskakującą ilość danych osobowych o ich właścicielach. Obejmuje to miejsce pracy, miejsce zamieszkania, status finansowy i codzienne rutyny.

Rodzaje informacji o pojazdach:

• Zezwolenia parkingowe i naklejki bezpieczeństwa
• Zapiski serwisowe i przypomnienia o wymianie oleju
• Widoczne dokumenty i paragony
• Marka, model i stan pojazdu
• Naklejki zderzakowe i personalizacja

Rozważania dotyczące prywatności. Aby zminimalizować wyciek informacji:

• Usuwanie lub zasłanianie identyfikujących naklejek i zezwoleń, gdy nie są potrzebne
• Nie pozostawianie wrażliwych dokumentów widocznych w pojazdach
• Świadomość, jakie informacje osobiste mogą ujawniać dekoracje samochodowe
• Regularne czyszczenie pojazdów w celu usunięcia przedmiotów bogatych w informacje

11. Odsłonięte identyfikatory kompromitują systemy kontroli dostępu

Wizualna identyfikacja identyfikatora pracownika nie jest bezpiecznym mechanizmem uwierzytelniania.

Słabości identyfikatorów. Identyfikatory pracowników i karty dostępu, gdy są widoczne lub nieostrożnie wyeksponowane, mogą być łatwo sklonowane lub zreplikowane przez atakujących. To kompromituje nawet zaawansowane elektroniczne systemy kontroli dostępu.

Powszechne ekspozycje:

• Noszenie identyfikatorów poza miejscem pracy
• Wyświetlanie identyfikatorów w pojazdach
• Publikowanie zdjęć identyfikatorów w mediach społecznościowych
• Pozostawianie identyfikatorów bez nadzoru na biurkach lub w miejscach publicznych

Zwiększanie bezpieczeństwa identyfikatorów:

• Wdrażanie rygorystycznych zasad dotyczących obsługi i wyświetlania identyfikatorów
• Używanie wieloskładnikowego uwierzytelniania dla wrażliwych obszarów
• Regularne audyty i aktualizacje systemów kontroli dostępu
• Szkolenie pracowników na temat znaczenia bezpieczeństwa identyfikatorów
• Rozważanie projektów identyfikatorów trudnych do sfotografowania lub replikacji

Ostatnia aktualizacja: September 9, 2024