Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  13 4912
Hei!

Jeg jobber til daglig med sikkerhet, og har ansvaret for å opprettholde kompetansen til en god del personer. Dette med datasikkerhet er ikke noe vi konkret jobber med, og jeg tenkte å prøve å kjøre noen tester.

Er det noen som kan hjelpe meg med hvor jeg kan finne informasjon om phishing tester? Eventuelt hvor/hvordan jeg kan lage ufarlige tester?

Ser selv at det virker ganske klamt å spørre, men målet mitt er kun å få de ansatte til å bli bedre innenfor datasikkerhet. Vi er som alle bedrifter svært sårbare når det gjelder å trykke på lenker i tilfeldige e-poster. Har tenkt å gå til innkjøp av en keylogger, og vise dem hvor lett disse er å montere, og hvordan de fungerer. Noen som kan anbefale en keylogger?

Håper dere tar meg seriøst og at noen kanskje har noen tips. Send eventuelt PM. Jeg trenger å bli flinkere på dette området.

Ha en fin dag!
Undersått
Sitat av Basse89 Vis innlegg
Jeg jobber til daglig med sikkerhet
Vis hele sitatet...
Sitat av Basse89 Vis innlegg
Dette med datasikkerhet er ikke noe vi konkret jobber med
Vis hele sitatet...
Hvilken type sikkerhet er det du jobber med? Fysisk adgangskontroll? Vekter?

Sitat av Basse89 Vis innlegg
Håper dere tar meg seriøst og at noen kanskje har noen tips. Send eventuelt PM. Jeg trenger å bli flinkere på dette området.
Vis hele sitatet...
Mitt beste tips er egentlig å høre om bedriften du jobber i kan sende deg på relevant kurs. På den måten vil du få opplæring i hvordan du går frem på riktig måte, og ikke selv blir tiltalt for datakriminalitet. Du kan såvidt meg bekjent ikke bare sette igang med slike tiltak på eget initiativ.
Trådstarter
11 1
Hei og takk for svar.

Ja jobber i et sikkerhetsselskap som typ Nokas, Securitas, Skankontroll osv. Der er det ofte slik at man jobber for store kunder, og ivaretar sikkerheten på mange viktige objekter, men dette med datasikkerhet er ikke spesielt oppdatert hos "gutta på gulvet". Derfor tenkte jeg at det kunne være lurt at jeg ble litt flinkere på dette.

Og ja, jeg skal foreslå at jeg sendes på relevante kurs da jeg innehar en lederstilling. Men som med alt annet så må man gjerne få opp øyene til enkelte angående dette. Og da hadde det vært greit om jeg kunne gjennomføre noen tester på forhånd, og gjerne vise til at vi strøk greit på disse.

Ønsker å teste følgende scenarioer:

1 - Legge fra meg en minnepenn på gulvet på et av objektene. Det normale er at finneren er nysgjerrig og putter den i pcen. Jeg klarer ikke så mye mer avansert enn at jeg håper de klikker på den ene filen og det hopper opp 1000 bokser med mitt navn på. Da vil de nok spørre meg hva det er, og jeg har på en måte fått det jeg trengte.

2 - Keygrabber/keylogger. Montere dette på en kollega sin pc. Halvveis avtale med to-tre gode kolleger at jeg kan overbevise dem om at jeg kan få tak i hva de skriver, og at de "godkjenner" at jeg tester dette. Vil ikke lure noen av dem i tilfelle det blir veldig dårlig stemning.

3 - Prøve å få laget en falsk phishing side og sende denne ut fra en nyopprettet privat e-post adresse. For å se hvem som trykker.

Derfor håper jeg det er noen her inne som kanskje kunne hjulpet meg på disse områdene.
Ville ikke turt å gå igang med noe slikt uten en helt klar og presis godkjennelse av sjefen over deg. Si at den keyloggeren du installerer er infisert av ting som du ikke oppdager? Det har vært tilfeller der keyloggere som kan kjøpes ikke bare deler informasjon med den som har betalt for keylogger men at de også sender info til andre servere.

Tenk deg kaoset om du blir ansvarlig for å brakt inn en minnepenn eller lagt inn en keylogger på bedriftens pc og det senere viser seg at akkurat den også sender all info over til kriminelle? Sikkert mange kriminelle som vil kose seg med massiv tilgang til data fra et sikkerhetsselskap.

Dette høres ut som en sikker vei til å få sparken og kanskje bli både tiltalt, dømt og erstatningspliktig ovenfor arbeidsgiver, klienter eller forsikringsselskap.

Intensjonen din virker å oppriktig. Men gode intensjoner er ikke nok. Du ønsker å teste sikkerhet for at andre i organisasjonen skal få opp øynene for at sikkerheten deres er for dårlig. Da er det en svært dårlig ide at du begynner med dette selv når du ikke har nok kunnskap til å gjøre dette på en trygg og forsvarlig måte.

Hva med å snakke med sjefen og få leid inn et selskap til å teste sikkerheten hos dere? Evt forklare klienter at du opplever at det er rom for økt IT sikkerhet og at du anbefaler at det hentes inn spesialkompetanse på dette feltet for å sjekke det ut?

Tror ikke det er noen som forventer at seciuritas skal ha kunnskap om IT sikkerhet. Det er et eget fagfelt. Bruk spesialister og dermed så unngår du å kunne bli dratt ned i dritten om eksperimentet ditt går i dass.
Sist endret av random67489; 22. juni 2018 kl. 10:30. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Trådstarter
11 1
Sitat av random67489 Vis innlegg
Ville ikke turt å gå igang med noe slikt uten en helt klar og presis godkjennelse av sjefen over deg. Si at den keyloggeren du installerer er infisert av ting som du ikke oppdager? Det har vært tilfeller der keyloggere som kan kjøpes ikke bare deler informasjon med den som har betalt for keylogger men at de også sender info til andre servere.

Tenk deg kaoset om du blir ansvarlig for å brakt inn en minnepenn eller lagt inn en keylogger på bedriftens pc og det senere viser seg at akkurat den også sender all info over til kriminelle? Sikkert mange kriminelle som vil kose seg med massiv tilgang til data fra et sikkerhetsselskap.

Dette høres ut som en sikker vei til å få sparken og kanskje bli både tiltalt, dømt og erstatningspliktig ovenfor arbeidsgiver, klienter eller forsikringsselskap.
Vis hele sitatet...
Hehe, takker for bekymringen!

Har lest at det er mange tilfeller av akkurat det du nevner. Keyloggeren vil ikke bli plassert i en PC med sensitiv info. Jeg vurderer enda sterkere og bare plassere den på en gammel slitt PC, for å demonstrere hvordan de virker. Det er kun for å demonstrere at hvem som helst kan montere en slik. Men igjen, takk for bekymringen. Eksemplene er kun for å vise, ikke på noen måte som kan skade bedriften eller sende sensitiv informasjon ut til andre.

Men ingen med litt peiling på phishing som kunne gitt meg noen tips?
Ta worst case scenario, keyloggeren du installerer sprer seg over nettverket - og sender til en ukjent tredjepart.

Å gjøre noe slikt på ett objekt uten at det er forankret hos ledelsen på objektet er jo helt hinsides.

Når det er sagt så finnes det en haug av phishing «simulatorer» der ute for å nettopp teste bedriftens ansatte hvor man får ut rapporter om det ene og det andre. Eks. GoPhish.
Noen ansatte vil kanskje la seg lure av klassikere som:
klone selskapets innlogginsside for ansatte-så maile innlogginslink til alle ansatte fra "IT-admin@selskap.no" å be de logge inn for å "oppdatere sin info"-din klonede side vil kun lagre innloggingsinfo til ansatte og deretter redirekte til rett side.
Det er ikke normalt å utføre faktiske angrep. Du sender bare epost med en link som logger når noen klikker på den.
Og husk å ikke heng ut noen som faktisk gjør det, dette er ett problem både blant IT folk og administrasjon/arbeidere.

Ett tips er å lese NSM sin Risiko 2018 rapport, den burde være pålagt lesing for alle ansatte, den viser hvordan noe så enkelt som en treg lukkemekanisme for dører faktisk kan utgjøre en IT risiko.

https://www.nsm.stat.no/globalassets...o_2018_web.pdf

For å poengtere viktigheten av gode sikkerhetsrutiner kan du prøve å bruke offentlig tilgjengelig informasjon i utformingen av angrepet.
Har sjefen postet at han er på ferie denne uken på facebook? Da kan du bruke
"Hei, jeg sitter i spania på ferie med <kunde> på tråden. Han prøver å sende ett vedlegg men jeg får ikke åpnet det på telefonen min.
Jeg har bedt han sende eposten til <navn på ansatt>, kan du skrive ut dokumentet og levere det til <navn på annen ansatt>?.

Vennlig hilsen <Navn på sjef>"

Her vil du kunne slippe unna med en vanlig gmail adresse iom at sjefen er på ferie og har problemer med jobb mailen.

Er det anleggsarbeid i området? Skaff deg arbeidsklær fra Jula, print ut litt random papirer og skjema og be om å få tilgang til rom som egentlig skal være uten adgang for andre.

En annen metode er å sende ett brev fra fiktivt fiber-service selskap og gi beskjed om at det vil komme en inspektør innom for å utføre noen kontroller i sammenheng med utbedringer av infrastruktur i området.
Kjøp en kjeledress og fest en fiktiv logo på.

Møt opp i resepsjonen og be om passord til WiFi eller en nettverksplugg slik at du kan utføre en hastighetstest.

Metodene er mange, du må bare alltid huske på å finne noe som kan virke sannsynlig og gjerne bruke informasjon som er spesifikk for den aktuelle bedriften.
Hvem ringer Telenor for å spørre om dette stemmer?

Det er også forskjell på type ærend og spørsmål du stiller for å få respons, kler du deg ut som ett blomsterbud vil resepsjonisten mest sannsynlig stoppe deg og ta i mot blomstene men dersom du kommer med verktøykasse med en spesifikk arbeidsoppgave så er det få som begynner å stille mye spørsmål.

Tillegg:
Fremgangsmåten du ønsker å bruke virker dårlig planlagt. Du må aldri finne på å laste ned en random keylogger for å infisere egen infrastruktur.
Dette er arbeidsoppdrag som MÅ klareres på øverste hold (ofte CTO).

Og metodene må skreddersys den aktuelle bedriften. En bedrift uten besøksadresse vil ikke la seg lure like lett av en utkledd kunde som en rema 1000 butikk.
Det kan også lønne seg å se den gamle dokumentaren om kevin mitnick, teknologien er ikke lengre relevant men metodene innenfor social engineering er like aktuelle i dag, om ikke mer aktuelle.
Sist endret av random105675; 22. juni 2018 kl. 12:16. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Hvorfor ikke sende dem på kurs om datasikkerhet? Hadde en kompis som ønsket å teste sin datacenter / server sikkerhet, så han kjørte en shady "wannacry lignende" exe på privatmaskin. Det idioten ikke tenkte over at det må gjøres offline. Den spredde seg fra datamaskin over til lokal intranet og gjorde stygge skader.

Om du sender 1000 tyske soldater for å rydde minefelt uten trening, vil sikkert 90% dø i første uken. Peis på med kurser og foredrag om sikkerhet og virus / hacking. Du lære ikke ansatte ved å legge en minnepenn på gulvet, det er som å ha en rød knapp med "ikke rør" Jøss det fungere.

Hypoteser ang ditt prosjekt.
- Du i verstefall utgjør en stor risiko ved bevist la ansatte kjøre noe shady på deres nettverk.
- Du kan risikere jobben om dette ikke er godkjent i henhold til deres policy.
- Du blir mindre populær blant dine ansatte (Noe min leder ville blitt) om han gikk rundt å fikk oss til å kjøre shady virus filer.
Installere programvare du egentlig ikke vet hvordan fungerer på en pc som ikke tilhører deg? veldig lurt.
Trådstarter
11 1
Var veldig mye fokus på uvitenhet og dumdristighet her. Veldig dumt. Eneste jeg ba om var noen som kunne hjelpe meg å utvikle min kompetanse om datasikkerhet. Men gikk fort OT.

Kommer ikke til å teste noe på noen PC som er koblet opp mot noe som helst nett eller lignende. Vi har egne «dummies» pc-er uten Wifi eller BT som vi har prøvd oss ut på før. Ba bare om litt hjelp. Ingen reprimander.
Jeg tror det ble slik det ble fordi du kanskje hadde litt hang up på testingen uten at du hadde tenkt nok gjennom hva som kunne bli utfallet om dette hadde gått fullstendig føkk. Var vel du som nevnte blant annet epost lureri? Det måtte ha skjedd på pc på nettverk.

Intensjonene dine er jo bra, men du virker ikke helt å se det store bildet og når folk da oppfattet at du var villig til å risikere hele datanettverkets integritet for å kunne kjøre en demo på hvor dårlig sikkerhet dere har så tror jeg folk følte de måtte si med litt store bokstaver. Ikke bare for bedriften du jobber i sin del men faktisk like mye for din egen del. For om et slikt eksperiment hadde medført tap av data og dernest tap for kunder så ville du måtte ta ansvaret og du hadde mistet jobben. Tap av jobb det ville vært best case scenario. Påtale eller økonomisk ansvarlig worst case.

Ikke vær butthurt. Du fikk luftet tankene. Du fikk feedback. Ta til deg det folk forsøker å få frem og søk mer kunnskap før du begynner å fronte dette.
Sist endret av random67489; 23. juni 2018 kl. 09:05.
ओम नमो नारायण
Dodecha's Avatar
DonorCrew
Sitat av Basse89 Vis innlegg
Var veldig mye fokus på uvitenhet og dumdristighet her. Veldig dumt. Eneste jeg ba om var noen som kunne hjelpe meg å utvikle min kompetanse om datasikkerhet. Men gikk fort OT.

Kommer ikke til å teste noe på noen PC som er koblet opp mot noe som helst nett eller lignende. Vi har egne «dummies» pc-er uten Wifi eller BT som vi har prøvd oss ut på før. Ba bare om litt hjelp. Ingen reprimander.
Vis hele sitatet...
Det er et utrolig kompleks og omfattende tema.
Det er ikke noe du kan lære på kort tid og litt avhengig av hvor mye du vil lære så vil du aldri være helt utlært.
Datasikkerhet er et emne som får ny informasjon konstant, det er selvfølgelig standarder som varer over tid, men man er alltid avhengig av et engasjement der man søker ny informasjon selv via diverse nyhetssider og diskusjonsforum om temaene.

Om du vil ha et startpunkt så vil jeg anbefale linux. Det finnes enkle distroer nå som Ubuntu, men på et punkt vil du måtte bruke litt kommandolinje og konfigurere ting via tekstfiler, om du prøver deg frem f.eks sette opp en webservere, vil du sakte men sikkert danne deg god kunnskap om hvordan ting fungerer og hvordan bevare sikkerheten. Du kan og bør selvfølgelig lese noen bøker innenfor spesifikke temaer. Og om du virkelig vil lære så er programmering noe du også burde se på.


Det er rett å slett ingen snarvei innen temaet, og det er stort, tungt og er i stadig utvikling, det er vel grunnen til de litt pessimistiske svarene du har fått.
Jeg er skikkelig noob på dette, men selv jeg vet at man rører ikke slik type programvare uten å kunne lese koden og se hva den gjør, for alt du vet så gir du en random dude root access til systemet du tester på, en vakker dag blir det systemet plugget til Internett og derfra kan random dude gjøre hva han vil med deres data og sikkert få tilgang til flere systemer.