Ingeniaritza sozial (segurtasun informatikoa)

Ingeniaritza soziala legezko erabiltzaileak manipulatuz ezkutuko informazioa eskuratzean datza. Teknika honen bidez, informazio sistemetan informazioa, sarbidea edo abantailak (pribilegioak) lor daitezke, erakundeak edo pertsonak kaltetuz.[1]

Segurtasun informatikoari dagokionean, punturik ahulena erabiltzaileak direla esan ohi da.[2]

Teknikak eta terminoak

aldatu

Praktikan, ingeniari sozial batek telefonoa edo internet erabiliko du jendea iruzurtzeko, enpresa bateko langile baten, lankide baten, tekniko baten edo bezero baten plantak eginez. Internet erabiltzen bada, web orrialdeetako sarbide baimenen berritzearen eskaeren bidalketak edo erantzuna eskatzen duten posta elektroniko faltsuak erabiltzen dira.

Metodo honekin, ingeniari sozialak egoera batzuetan jendeak izaten dituen joerak aurreikusteaz baliatzen dira; adibidez, bankuko langile bati finantza datu pertsonalak emateaz. Honela, ingeniari sozialek ez dute sistema informatikoetan ahultasunak bilatu beharrik.

Termino garrantzitsuenak ondorengoak dira:

  • Ingeniaritza soziala sare bateko erabiltzaile bati edo administratzaileari ziria sartzean datzan erasoa da.
  • Eraso hauen helburua biktimak duen informazioa eskuratzea da.
  • Erasotzailearentzat informazio hau erabilgarria izan dakioke edo informazio horren bidez, sistema batera sarbidea lor dezake.
  • Ingeniaritza sozialaren helburua iruzurra da.

Pretextuak

aldatu

Asmaturiko egoera baten sorkuntzan datza, biktimak informazio pertsonala erazagutzeko edo egoera normal batean arrunta izango ez litzateken modu batean jarduteko. Asmaturiko egoera hauetan biktimaren informazioa lortzeko, aurretiaz egindako ikerklana behar izaten da, sorturiko egoera sinisgarria izateko. Ikerlan honetan, erasotzaileak biktimak egin ahal dizkion galderen erantzunak prestatu behar ditu. Hori dela eta, garrantzitsua izaten da erasotzailearen inprobisatzeko abilezia eta honek hitz egiterakoan erabiltzen duen tonua, seriotasuna eta autoritatea ematen duen ahotsa behar izaten baitu.

Faktore arriskutsuen artean, sare sozialen erabiltzaile gazteenen artean batez ere, informazioa pertsonala era konstante batean argitaratzearen joera gorakorra dago. Izan ere, beraien familien argazkiak, gustu pertsonalak... argitaratzen dituzte. Hori dela eta, sare sozialek gaizkileei erasoa burutzeko informazio ugari ematen diete, hots, zure izenean lapurretak egiteko adibidez.

Eraso sinplea baina oso eraginkorra izan daiteke; izan ere, erabiltzaileari iruzur egitean datza, erasotzailea sistemako administratzailea dela pentsaraziz eta honela, pasahitzak eta bestelako datu pertsonalak lortuz. Ingeniari sozialek erabiltzen duten beste phishing metodo bat posta elektronikoei erantsita doazen fitxategien erabilpena da, hots, erabiltzaileak fitxategia jaistean, kode maltzur bat exekutatuz eta erabiltzailearen ekipoa kutsatuz. Ingeniaritza sozialari aurre egiteko erabiltzaileak hezi behar dira, segurtasun politikak erakutsiz eta hauek jarraituz.

Gaur egun eraso arrunta denez, hainbat era daude phisingari aurre egiteko:

  • Gizartearen erantzuna: erabiltzaileak arriskuez ohartu eta gerta litezkeen erasoen aurrean trebatzean datza.
  • Erantzun teknikoak: anti-phishinga eskaintzen duten programa informatikoak dira.
  • Erantzun legegilea eta judiziala: herrialde desberdinek phisingari aurre egiteko dauzkaten legeen multzoa da.

Vishing

aldatu

Inkesta bat izango balitz bezala kamuflatutako dei bat egitean datza, deia hartzen duen erabiltzailearen informazio pertsonala lortzeko, honek susmorik izan gabe.

Arrazoi honengatik, arreta izan behar dugu eta ez dizkiogu inori gure datu pertsonalak eman behar gure telefono hornitzailea, elektrizitate hornitzailea... izan harren.

Baiting

aldatu

Baiting teknikan software maltzurra duten kanpo biltegiratze gailuak (CD, DVD edota USB memoriak) erabiltzen dira, edonorek aurki ditzaken leku batan utziz (igogailuak, liburutegiak...). Biktimak gailua aurkitu eta bere ordenagailuan sartzen duenean, softwarea instalatu egingo da. Honela, erasotzaileak biktimaren datu pertsonalak lortzen ditu.

Baitingari aurre egiteko, kontuz ibili behar gara gure gailuetan sartzen ditugun gailuekin; izan ere, gu konturatu gabe gure sistemetan edozein software maltzur sartzen egon gaitezke.

Quid pro quo "zerbait zerbaitegatik" esan nahi duen latinetik eratorrirako esaldi bat da. Erasotzaileak enpresa bateko telefono zenbakiei dei egiten die, euskarri teknikotik deitzen ari dela esanez. Teknika honen bidez, erasotzaileak sarbide datuak lortu ahal izango ditu eta erasoa burutuko du.

Ingeniari sozial aipagarriak

aldatu

Kevin Mitnick

Informatiko eta segurtasun aholkularia. Bere ustetan, norbaiteri ziria sartzea eta sistema bateko pasahitza ematea errazagoa da sistema horretan indarrean sartzea baino. Bere ustetan, ingeniaritza sozialak lau oinarri hauetan oinarritzen da:

  1. Denok lagundu nahi dugu.
  2. Lehenengo mugimendua bestearekiko konfiantzazkoa da.
  3. Ez zaigu ez esatea gustatzen.
  4. Denoi gustatzen zaigu goretsiak izatea.

Christopher Hadnagy

Segurtasun irakaslea. Ingeniaritza sozialari buruz printzipio fisiko eta psikologikoak idatzi zituen lehena izan zen. Idatzitako liburuengatik, podcastengatik eta DEF CON Social Engineer Capture the Flag eta Social Engineer CTF for Kidsen sortzailea izateagatik da ezagutua gehien bat.

Mike Ridpath

Segurtasun aholkularia, autore eta hizlaria. Cold calling (deiak hotzean) deritzon teknikak eta taktikak azpimarratzen ditu. Ezaguna egin zen erregistratutako deiak erreproduzitzen eta zuzenean pasahitzak nola lortu frogatzen zituen hitzaldiak emateagatik.

David Pacios Izquierdo

Ingeniaritza Sozial Aplikatuko terminoaren sortzailea, iruzur digitalak eta Hacking Sozialaren ikasketen artean desberdintzeko erabilia. Ingeniaritza Sozial Aplikatua: Lehenengo defentsa lerroa (Ingeniería Social Aplicada: Primera línea de defensa) liburuaren egilea. Deep Webean egiten den merkataritzari eta giza hackingari buruzko hitzaldiengatik ezagutua.

Badir Anaiak

Ramy, Muzher eta Shadde Badir anaiak, jaiotzez itsuak direnak, ingeniaritza soziala, ahotsaren pertsonifikazioa eta Braille pantailadun ordenagailuak erabiliz iruzur telefoniko eta informatiko ugari burutu zituzten Israelen 90. hamarkadan.

Erreferentzia

aldatu
  1. 1963-, Mitnick, Kevin D. (Kevin David),. (2002). The art of deception : controlling the human element of security. Wiley Pub ISBN 0471237124. PMC 50797873. (Noiz kontsultatua: 2018-11-27).
  2. Rojas, Joxe. (2022). Horrelakoak dira 3 iruzur informatiko ohikoenak | Teknopataren txokoa. (Noiz kontsultatua: 2022-10-18).

Bibliografia

aldatu
  • Mitnick, Kevin D., William L. Simon, Steve Wozniak. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, 2002. ISBN 0-471-23712-4.
  • SirRoss, 19 de enero de 2005. A Guide to Social Engineering, Volume 1 A Guide to Social Engineering, Volume 2. AstaLavista.

Kanpo Loturak

aldatu

Kanpo estekak

aldatu