Abstract : | The rapid increasing prevalence of Social Media Networking (Social Networks) makes companies/organizations, as well as the general public, extremely vulnerable1 to the so called Social Engineering 2.0, and therefore prone to targeted attacks inside the cyberspace2. Recent studies on the registered security breaches, reveal that most security incidents involve the exploitation of the “human factor”, as a basic element in their attacks: almost 90% of attacks include many steps for the effectiveness of the attack, that use Social Engineering techniques. Unfortunately, today there is no solution available on the market that allows either the overall evaluation of social vulnerabilities, neither the management and reduction of the relative risk (Social Vulnerability Assessment – SVA). Despite the plethora existence of both free and commercial tools and programs that address the above issue, and are mainly used by penetration testers to analyze risks in information systems, these tools do not have all the required features each user desires embedded, nor are up to date to anticipate changes. The fact that for SVA more experience is needed than for the other types of risk assessment, creates multiple problems both to the users who do not have the appropriate experience in this field, and to companies and organizations that desire to conduct such types of audits in their information systems, such as trust problems to third parties. This thesis aims to create an interoperable system of tools (tool chain), with which it will be possible to commit an internal evaluation of users of an information system, with Internet access. In order to achieve this goal, various and realistic attack scenarios will be created, which could be automatically triggered by the system, provided the proper configuration takes place. Afterwords, the desired automated attacks shall be executed using social engineering, such as phishing, spear phishing, etc. at any difficulty level and extent the user desires. Finally, reports for all the attacks shall be exported automatically, along with some conclusions on the education and reaction levels of the users using the information system. The development of such a platform, can evaluate the human resources of an information system, pinpointing weaknesses that exploit human factors and then increase the awareness and the education of users about the attacks they experienced. The production and use of reports for the effects of attacks, may properly determine the level of each user andhighlight areas where adequate information is needed. The goals of this thesis include: • Gathering and study of attack tools• Evaluation, classification and selection of proper tools for initial implementation• Record the estimated results of the performing scenarios• Design the infrastructure and data base for storing information for each implemented scenario• Development of an integrated platform which will unify the tool's system• Production of documentation (report) result after executing a scenario• Notice of any legal issues arising from the implementation of such tools at workplaces Η ραγδαία αυξανόμενη εξάπλωση των Μέσων Κοινωνικής Δικτύωσης (Social Networks) καθιστά τόσο τις επιχειρήσεις/οργανισμούς όσο και το ευρύ κοινό τρομερά εκτεθειμένους1 στην λεγόμενη Κοινωνική Μηχανική 2.0 (Social Engineering 2.0), και ως εκ τούτου επιρρεπής σε στοχευμένες επιθέσεις στον κυβερνοχώρο2. Πρόσφατες μελέτες σχετικά με τις καταγεγραμμένες παραβιάσεις ασφάλειας αποκαλύπτουν ότι τα περισσότερα από τα περιστατικά ασφαλείας περιλαμβάνουν την εκμετάλλευση του “ανθρώπινου παράγοντα”, ως βασικό συστατικό στις επιθέσεις τους: περίπου το 90% των επιθέσεων περιλαμβάνουν πολλά βήματα για την αποτελεσματικότητα της επίθεσης, που χρησιμοποιούν τεχνικές Κοινωνικής Μηχανικής. Δυστυχώς, σήμερα δεν υπάρχει διαθέσιμη λύση στην αγορά που να επιτρέπει ούτε τη συνολική αξιολόγηση των κοινωνικών ευπαθειών, ούτε τη διαχείριση και μείωση του σχετικού κινδύνου (Social Vulnerability Assessment - SVA). Παρά την ύπαρξη πλήθους, τόσο ελεύθερων, όσο και εμπορικών εργαλείων και προγραμμάτων που πραγματεύονται το παραπάνω ζήτημα και χρησιμοποιούνται κυρίως από penetration testers για την ανάλυση κινδύνων σε πληροφοριακά συστήματα, τα εργαλεία αυτά είτε δεν έχουν ενσωματωμένεςόλες τις επιθυμητές λειτουργίες που επιθυμεί ο εκάστοτε χρήστης είτε δεν ενημερώνονται τόσο γρήγορα όσο θα έπρεπε ώστε να προλαβαίνουν τις εξελίξεις. Το γεγονός ότι για το SVA χρειάζεται περισσότερη εμπειρία από τους άλλους τύπους αποτίμησης κινδύνου, δημιουργεί πολλαπλά προβλήματα τόσο στους χρήστες που δεν έχουν την κατάλληλη εμπειρία σε αυτόν τον τομέα, όσο και σε εταιρίες και οργανισμούς που επιθυμούν να προβούν σε τέτοιου είδους ελέγχους στα πληροφοριακά τους συστήματα, όπως προβλήματα εμπιστοσύνης προς τρίτους. Η παρούσα διπλωματική εργασία έχει σκοπό την δημιουργία ενός διαλειτουργικού συστήματος εργαλείων (tool chain), όπου θα είναι εφικτή η εσωτερική αξιολόγηση των χρηστών ενός πληροφοριακού συστήματος, το οποίο έχει πρόσβαση στο Διαδίκτυο. Για την επίτευξη του σκοπού αυτού, θα δημιουργηθούν διάφορα ρεαλιστικά σενάρια επιθέσεων, τα οποία θα μπορούν να υλοποιούνται αυτόματα μέσα από το σύστημα, με κατάλληλη παραμετροποίηση. Στη συνέχεια, θα εκτελούνται αυτοματοποιημένα οι επιθυμητές επιθέσεις με τη χρήση κοινωνικής μηχανικής (social engineering), όπως phishing, spear phishing, κ.α. σε όποιο βαθμό δυσκολίας και έκταση επιθυμεί ο χρήστης. Τέλος, θα εξάγονται αυτοματοποιημένα αναφορές για όλες τις επιθέσεις, μαζί με κάποια συμπεράσματα για το επίπεδο εκπαίδευσης και αντίδραση των χρηστών του πληροφοριακού συστήματος. Η ανάπτυξη της συγκεκριμένης πλατφόρμας δύναται να αξιολογεί το ανθρώπινο δυναμικό ενός πληροφοριακού συστήματος, εντοπίζοντας αδυναμίες που εκμεταλλεύονται τον ανθρώπινο παράγοντα και στη συνέχεια να αυξάνει την ενημέρωση και εκπαίδευση των χρηστών γύρω από τις επιθέσεις που έπεσαν θύματα. Η παραγωγή και χρήση αναφορών από τα αποτελέσματα των επιθέσεων δύναται να προσδιορίσει κατάλληλα το επίπεδο των χρηστών και να αναδείξει τομείς στους οποίους χρειάζεται κατάλληλη ενημέρωση. Στα ζητούμενα της εργασίας εντάσσονται: • Η συλλογή και μελέτη εργαλείων επιθέσεων• Η αξιολόγηση, κατηγοριοποίηση και επιλογή των εργαλείων προς αρχική υλοποίηση• Η καταγραφή των εκτιμώμενων αποτελεσμάτων από την πραγματοποίηση των σεναρίων• Ο σχεδιασμός υποδομής και βάσης δεδομένων για την αποθήκευση των πληροφοριών από κάθε σενάριο υλοποίησης• Η ανάπτυξη ολοκληρωμένης πλατφόρμας που θα ενοποιήσει το σύστημα τωνεργαλείων • Η παραγωγή υλικού τεκμηρίωσης (report) ως αποτέλεσμα μετά εκτέλεση κάποιου σεναρίου• Η καταγραφή νομικών ζητημάτων που εγείρονται από την εκτέλεση τέτοιων εργαλείων στον χώρο εργασίας
|
---|