Marcus Nohlberg
marcus@nohlberg.com
www.nohlberg.com
Vad vi ska prata om idag
Vem är Marcus
Systemvetare
MBA
Fil.Dr. DSV - informationssäkerhet
Fokus på manipulation av människor
Lärare på HiS
Konsult och föreläsare
Förr: teknik fokus
Nu: Ökat intresse för människor
Men märks inte så mycket på investeringar
Hård teknik vs. mjuka människor
Min mening: Attityd och kunskap är största riskerna
Det finns bra teknik idag
Tekniken blir ständigt bättre
Men vi ställer högre krav på användarna
Social engineering är det största hotet mot din verksamhet
Vad är social engineering? 
Det handlar om attacker mot mänskliga svagheter
Nätfiske
Det klassiska exemplet
Det liknar traditionella bedrägerier
Short cons
Long Cons
...men man använder också lite annat...
Desktop Hacking
Road apple
Dumpster Diving
Många angripna, lite kontakt.
Typ 1: Komma åt personlig information
Typ 2: Få användaren att installera program
Klassiskt nätfiske
Mailet
Siten
Spear Phishing
Klassiska exempel
Varför syssla med detta?
- världen har ändrats!
Social engineering
Easiest penetration
Tekniken börjar blir bra
Ekonomi/värdekedja
Automatiserad SE
...men inte mänskliga klantigheter
Varför?
Ändrade verktyg
Finns viss infrastruktur (bots)
Billigt
Effektivt
Vi har provat det på Facebook
Facebook har teoretiska skydd...
Legala, tekniska, operationella...
Men vår bot blev inte stoppad...
Den beter sig som en vanlig användare
De skydd som finns är mot spam
Restriktiva säkerhetsdefaults är inte lönsamma för facebook
ASE bots är tekniskt möjliga via t ex Facebook
Hur ska man skydda sig?
Generellt: Träna, inte utbilda!
Vad gäller ASE:
Säkerhetspolicy för använding av sociala nätverk
"Privacyinställningar", definiera vad som är intern info etc.
Ersätt externa tjänster med interna (IBM's beehive)
Övergripande: Förändra säkerhetsarbetet - "Cycle of deception"


Mer om vad som har ändrats
Orimliga krav på användarna
Mänskliga faktorer
Nya företagsmiljöer
Nya typer av angripare
Ny teknisk utveckling
Vi blir mer utsatta än någonsin förut - nya gränssnitt!
Men viktigast!
Tro inte att utbildning fungerar. 
Primary task. 
Fokusera på att tvinga användare och er själva.
Från verkligheten
Cycle of deception
...eller ogenomtänkt säkerhetsdesign
och helt nya möjligheter att träna sig
Cycle of deception
En mer detaljerad beskrivning av vad som händer...
Angripar-
cykeln
Offer-cykeln
Försvarar-
cykeln
Motiv, metod, medel, tillfälle
Slutmål
Planering
Dumpster Diving
Media
Kunder/konsulter/lev
Anställda etc.
Teknisk
Ego
Sympati
Skrämsel
Ha värde, göra det känt
Ge ut information
Göra handling
Publik policy
Rykte
"Snatterier"
Känn värde
Träna användare
Policy för beteende
Övervaka trafik
Användare som vet när de angrips
Skamfri incidentrapportering
Medvetenhet om rekrytering
Vet datas värde
Lärande
Finna angripare
Hantera fortsatta angrepp
Triviala saker att hitta om mig på Facebook
Var jag jobbar nu, var jag har jobbat och var jag bor
Om jag är i förhållande nu
Sexualitet
Folk jag gått i skolan med
Föredetta kollegor, och var de jobbar nu
Vilka som är mina bästa vänner
Film & musiksmak. 
Var jag varit och hur jag känner mina vänner
Vilka produkter jag gillar, siter jag besöker, vilka nyheter jag tycker är intressanta
Vad innebär detta?
Automatiska attacker ändrar ekonomin
Vi kan träna på nytt sätt, om de gamla utbildningarna är allt mer irrelevanta
Personalens fritidsaktiviteter blir allt viktigare för företag att ha koll på
Ökad misstro
Nätverks/skal-effekten: vi kan inte bedöma effektiviteten/skadan i angreppen

Marcus Nohlberg
marcus@nohlberg.com
www.nohlberg.com
För mer information & kontakt
Frågor/kommentarer?