Social Engineering
Unter Social Engineering versteht man das Erschleichen von (persönlichen) Informationen um sie zu einem späteren Zeitpunkt gegen das Opfer einzusetzen. Obwohl diese Vorgehensweise keine spezielle nur in der EDV Branche vorkommende Technik darstellt, so darf sie jedoch nicht unterschätzt werden und ein Systemadministrator sollte sich über die Möglichkeiten die sich einem Angreifer durch Social Engineering ergeben sowie die Ansatzpunkte des Social Engineering im Klaren sein.
Was kann ein Angreifer tun um Informationen über sein Zielobjekt zu erlangen? Zum Beispiel anrufen. Durch einfache Vorspiegelung falscher Tatsachen könnte er sich das Vertrauen erschleichen und so die Leute aushorchen. Ein Beispiel: Jemand ruft bei der zentralen Rufnummer einer Firma an und behauptet sich für ein Praktikum in der Netzwerkabteilung bewerben zu wollen. Aus dem Grund erbittet er einen Ansprechpartner genannt zu bekommen. Die Person am Empfang denkt sich nichts böses und teilt dem Anrufer den Namen des Abteilungsleiters sowie die Rufnummer seines Sekretariats mit.
Eine andere Möglichkeit Informationen zu erlangen besteht darin eine Internetrecherche zu starten. Hat man erst einmal einen Ansatzpunkt (z.B. Name des Ziels) kann man über Dejanews, Google oder andere Suchmaschinen gezielt weitere Informationen über sein Ziel suchen. So ist es z.B. denkbar, dass man den Namen eines Mitarbeiters des Unternehmens und seine Emailadresse kennt. Hat diese Person unter Verwendung seines Namens oder der Emailadresse in irgendwelchen Newsgroups gepostet, ist es kaum ein Problem diese Postings zu finden. Diese geben nun weitere Informationen über das Ziel preis. Im nächsten Schritt könnte sich ein Cracker dieses Wissen zu nutze machen um sich das Vertrauen des Opfers zu erschleichen. Ein kleines Beispiel: Der Abteilungsleiter der EDV ist begeisterter Golfer. Dies erfährt der Angreifer jetzt z.B. über eine Internetsuche. Außerdem erfährt er auf welchen Golfplätzen sein Opfer bevorzugt spielt. Nun kann er selber auf einem dieser Plätze spielen, bis er "zufällig" seine Zielperson trifft und kennen lernt.
Andere Möglichkeiten des Social Engineering ergeben sich z.B. durch private Homepages der Firmenmitarbeiter, oder Bücher/Zeitschriftenartikel die diese herausgegeben haben.
Aber Suchmaschinen und Onlinetools bieten auch eine andere Möglichkeit des "Social Engineering". Ich setze den Begriff hier absichtlich in Anführungszeichen, da es sich hierbei nicht darum dreht Informationen über eine Person zu erlangen, sondern eher Informationen über das Zielsystem herauszubekommen, ohne sich mit diesem direkt unterhalten zu müssen. Mit den Onlinetools kann man z.B. neben den Namen der Ansprechpartner für eine Domäne auch andere Dinge wie Adressbereiche, Programmierfehler auf Homepages, offene Ports etc. bekommen ohne besonders aufzufallen. Mit Hilfe der Suchmaschinen kann man u.a. fehlerhaft konfigurierte Server finden. Der Phantasie sind hierbei kaum Grenzen gesetzt.
Fragt sich, wie man sich gegen Social Engineering wehren kann:
Beispielsweise dadurch, dass man Unterlagen, die man wegwirft (auch wenn sie noch so unbedeutend sind) vollständig zerstört (z.B. Schreddern) ehe man sie wegwirft. Oder indem man bei Veröffentlichungen im Internet vermeidet einen Bezug zwischen Privatem und Beruflichem herstellbar zu machen (durch Nutzung eines Pseudonyms).
Gegebenenfalls sollte man IP-Adressen die Onlinetools anbieten unterbinden. Und sollte man mal einen Fehler auf Webpages gemacht haben sollte man die Betreiber von Suchmaschinen auffordern die entsprechenden Links aus dem Cache zu löschen.
In jedem Fall sollte man eine gewisse Paranoia entwickeln und nicht jedem x-beliebigen bereitwillig Auskunft geben.
