3. Social Engineering

a) Viikolla 16 Tero Karvisen tunkeutumistestauskurssilla vieraili Riku Juurikko kertomassa sosiaalisesta vaikuttamisesta tietomurron välineenä.

Juurikko esitteli tehokkaiksi osoitettuja sosiaalisen vaikuttamisen teorioita sekä menetelmiä, joista yksi on kohteen päätöksentekoprosessien ohittaminen hyödyntämällä yleisiä sosiaalisia periaatteita sekä normeja. Tätä yleisesti kutsutaan myös manipuloinniksi.

Henkilökohteen manipulointi tarkoittaa vaikuttamista kohteen motiiveihin ja niistä seuraaviin päätöksiin ja tekoihin. Tehokkaimmat vaikuttamiskeinot jäävät kokonaan kohteelta huomaamatta. Nämä keinot vetoavat henkilön sosiaaliseen käyttäytymiseen sekä omiin moraaleihin, kuten vastavuoroisuuteen; “Minulle avattiin ovi, minä vuorostani avaan hänelle oven.” Parhaimmillaan vastavuoroisuuden hyödyntäminen varomattomaan henkilöön voi ohittaa kaikki tunkeutumiskohteen pääsyesteet sekä turvaluokitukset.

Henkilöön vaikuttaminen on tehokkainta, kun henkilö lukee sinut kaltaisekseen tai jopa auktoriteetiksi. Epäsuoria vaikutusmenetelmiä ovat samanlainen pukeutuminen, tyyli ja tavat. Myös oikean nimen mainitseminen tai kiirellisyyden painottaminen voi ohittaa monia päätöksentekoprosesseja kohteessa. Tunkeutujalla on monia sosiaalisia välineitä käsissään toteuttaessaan tietomurtoa kohteeseen, jossa henkilöstö on heikoin lenkki.

b) Hacktheboxin yhdistämisessä tuli vaikeuksia. Nmap ei onnistunut. Katson tätä vielä toisella kerralla.

Hackthebox access
Ovpn
Yhteydenottoyrityksiä

Lisäyksiä 18.5.

b) Hacktheboxin koneen skannaus

Porttiskannasin onnistuneesti Hacktheboxin koneen 10.10.10.181

nmap -A -oA ./-T4 10.10.10.181

Skannaus löysi koneesta SSH- ja Apache-palvelimen. Etsin lisätietoa Nikto-ohjelmalla

nikto -h 10.10.10.181

Näin tuloksista, että ainakin Apache-palvelin oli vanhentunut. Suurempia tietoturva-aukkoja on X-Frame-Options header puuttuminen, joka ohjaa web-selainta hyökkäyksen alla. Myös X-XSS-Protection Manager ja X-Content-Type-Options-headerit puuttuvat. Nämä jättävät selaimen haavoittuvaiseksi.


Lähteet:

http://terokarvinen.com/2020/tunkeutumistestaus-kurssi-pentest-course-ict4tn027-3003/

http://terokarvinen.com/2020/social-engineering-with-riku/

https://www.hackthebox.eu

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

Advertisement

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: