Usability & Psychologyorrd/CompSecSeminar/2017/Chapter2-Nuha.pdf · Usability & Psychology...

Preview:

Click to see full reader

Citation preview

Usability & PsychologySecurity Engineering

סמינר באבטחת מידעדונקלמןאור ' פרופ: מרצה

דיאב נוהא: י "מוגש ע 1

Social Engineeringניצול של -הנדסה חברתית

אשר , האדםשל פסיכולוגיותתכונותעשויות להביא אותו לציית לבקשותיו

. של הפורץ

למה תוקפים משתמשים בSE?

מעשים זדוניים בהקשר שלSEאת כל טכנולוגיות מאפשרים לעקוף

.האבטחהמנגנוני

2

https://images-na.ssl-images-amazon.com/images/I/41HpNgCrStL._SX332_BO1,204,203,200_.jpg

מתקפות פסיכולוגיות

לחלק , מכוון שהמשתמשים במחשב הם בני אדםניכר מהמתקפות העכשוויות היעד הינו בני אדם ולא

.מכונות

מתקפות אלו הולכות ומתגברות.

מתקפות דרך האינטרנט יותר קלות לבצוע , לרוב.וקשות יותר לעצירה

האנשים משתפרים ביכולתם הטכנולוגית.

3

Pretexting תקיפה ופריצה למערכת דרך האנשים –הגדרה

.שמפעילים אותה

להגדיר את עצמך כמישהו אחר על מנת לשלוף מידע.פרטי

אימוןההיבט הכי חשוב במתקפה זו הוא.

אך , כ חברות הן שסובלות מסוג זה של מתקפות"בד.לאחרונה גם אנשים פרטיים מותקפים בשיטה זו

4

http://www.social-engineer.org/framework/influencing-others/pretexting/

?איך מתמודדים

לקבוע חוקים שמבטיחים העברה חסויה של מידע.בין מפעילים

להסביר לאנשי הארגון את חשיבות החוקים.שקיימים

"Like any other defense to social engineering, you

must be proactive and not reactive.”

5

Phishing

ברשת התחזותרגיש על ידימידעהוא ניסיון לגניבת.האינטרנט

מתבצע באמצעות התחזות לגורם לגיטימי פישינג.את המידעלקבל המעוניין

בה הגורם המתחזה שולח קישור לאתר מזויף ומבקש.מהקורבן להזין את פרטיו

כ שולחים מייל שמכיל את הקישור"בד.

6

7

טעויות ברמת המיומנות

פעולה שמתרגלים לעשותה באופן קבוע הופכת.למיומנות שנעשית באופן אוטומטי

טעויות נגרמות מהעובדה שאנו רגילים לסיטואציותכלשהם ולא שמים לב לשינויים או לפרטים קטנים

. שגורמים לטעות

8

http://patientsafetyed.duhs.duke.edu/module_e/types_errors.html

9

https://en.wikipedia.org/wiki/User_Account_Control

http://docs.trendmicro.com/en-

us/enterprise/endpoint-

application-control-20-

sp1/installation/server-

installation/license-agreement-sc.aspx

טעויות ברמת הכללים

אך לא משיגות את , פעולות מתואמות כוונההתוצאה הנדרשת עקב יישום כלל באופן לא נכון או

.בחירה בכלל כללי יותר או חזק יותר מאשר הנכון

10

http://patientsafetyed.duhs.duke.edu/module_e/types_errors.html

11

http://www.silicon.co.uk/workspace/facebook-phishing-reporting-89000

https://csiwodeadbodies.blogspot.co.il/2016/11/on-facebook-fake-news-and-election.html

טעויות ברמה הקוגניטיביתטעויות אלו נגרמות מחוסר ידע והבנה בנושא.

12

https://www.researchgate.net/profile/Lorrie_Cranor/publication/221655330/figure/fig8/AS:305554208641037@1449861208773/Figure-8-The-Netcraft-Anti-Phishing-Toolbar-at-a-legitimate-web-site.png

http://patientsafetyed.duhs.duke.edu/module_e/types_errors.html

Decision science

וההטיות שבהם אנשים היוריסטיקותמה הן?משתמשים כשמקבלים החלטות

תפיסת החברה לגבי סכנות.

13

https://blog.mailfence.com/wp-content/uploads/2015/11/human-nature-300x185.jpg

אימות משתמשים

ישנם שלוש דרכים לאימות משתמשים במערכות:

1) something you have מכשיר פיזי–

2) something you know סיסמה–

3) Something you are – מזהה ייחודי

14

סיסמאות

:בעיות השימוש בסיסמה

?האם המשתמש יזין את הסיסמה באופן תקין-אסיסמה ארוכה או מסובכת מדי▪

?האם המשתמש יזכור את הסיסמה-בירשום אותה בצד▪

קשה לזכירה\סיסמה קלה▪

?האם המשתמש יחשוף את הסיסמה שלו-גבכוונה או בלי▪

15

בעיתיות בסיסמאות:מה לא כדאי לעשות

בכללילשמות לבחור סיסמה שקשורה לשמך או

שימוש באותה סיסמה למספר אתרים

סיסמה קצרה וקלה מדי

:מה לא בהכרח עוזר

מגבלות על אורך הסיסמה ותוכנה

שינוי סיסמאות לעיתים קרובות

16

17

http://www.telegraph.co.uk/technology/2017/01/16/worlds-common-passwords-revealed-using/

18

https://memesuper.com/categories/view/12c98b5526e34ef967151e4e6da55d086179765c/password-meme.html

http://www.backintheawesomedays.com/2014/01/creating-password.html

מה אפשר לעשות

ללמד אנשים איך לבחור סיסמה בטוחה

אנשים לא עושים מה שמבקשים מהם –בעיה ▪

לתת משוב לגבי איכות הסיסמה

לבחור סיסמה שבסיסה הוא משפט והיא מורכבתממספרים ואותיות

יותר קל לזכור▪

קשות יותר לניחוש▪

19

סוגיות מערכת:סוגי התקפות על המערכת

התוקף מנסה לפרוץ רק : מתקפה מכוונת מטרה1..לחשבון אחד מסוים

דוגמה , ( ספציפית)פריצה לאיזשהו חשבון במערכת 2..על בנקפישינגקלאסית מתקפת

בדומייןמערכת באיזשהיפריצה לאיזשהו חשבון 3..מסויים

התוקף רוצה למנוע משתמש : הכחשתיתמתקפה 4..חוקי מגישה למערכת

20

עוד מתקפות

רוב הזמן אזור הזנת הסיסמה אינו מוגן.

•Interface design

•Eavesdropping

•PDP-10 TENEX

מתקפות על אזור אחסון הסיסמאות.

.לסיסמאות יכול להיות מסוכן plaintext fileהשארת •

•Password cracking

21

Brain Vs. Computer

מה המוח עושה יותר טוב ממחשב?

לזהות אנשים באופן ויזואלי

זיהוי תמונות בכללי

להבין נאום

לזהות מי המדבר

כל מה שהוזכר לעיל אומר שיש אפשרות לבנות.מבחנים שיזהו אם מדובר במחשב או בבן אדם

22

CAPTCHAs

“Completely Automated Public Turing Test To Tell Computers and Humans Apart”.

23

https://www.scienceabc.com/innovation/how-does-captcha-work-google-recaptcha.html

סיכום

קל מאוד לרמות אנשים כי:

.אנשים נוטים לתת אימון יתר באחרים▪

.בני אדם מכחישים את האיומים שמסביבם▪

24

trust-חיפוש בגוגל תמונות denies-חיפוש בגוגל תמונות

מקורותhttps://blog.mailfence.com/pretexting/

http://www.social-engineer.org/framework/influencing-

others/pretexting/

https://he.wikipedia.org/wiki/%D7%94%D7%A0%D7%93%D7%A1%D7%94_%D7%97%D7%91%D7%A8%D7%AA%D7%99%D7%AA_(%D7%90%D7%91%D7%98%D7%97%D7%AA

_%D7%9E%D7%99%D7%93%D7%A2)

25

https://blog.mailfence.com/pretexting/
http://www.social-engineer.org/framework/influencing-others/pretexting/

Recommended

Usability, Affordance, and Usability Principlesuser.ceng.metu.edu.tr/~tcan/se705_s0910/Schedule/se705_week2.pdf · Usability, Affordance, and Usability Principles Visual affordances
Documents
דועיסב רקחמ רנימס - med.tau.ac.il · גוחה דועיסל םיניינע ןכות אביש לט הויז דועיסל ימדקאה רפס תיב תילוהינ הריירק
Documents
Pengujian Usability Website Menggunakan System Usability
Documents
ף“שת םידומילה תנשל - haifa.ac.il · חורה יעדמל הטלוקפה הירוטסיהל רפסה-תיב 'א רטסמס החפשמ םש יטרפ םש הצרמ ראותהעש
Documents
Israeli Association for the Study of Language and …םדא-ןב ראשיהלו חילצהל .םיצוביקה רנימס | 03-6901200| ביבא לת 149 רימנ ךרד:םינוש
Documents
USABILITY S10-B1: Powerpoint-Presentation »Usability«
Documents
אובמ םיטקיורפ לוהינל · 2018-03-28 · אובמ םיטקיורפ לוהינל רטע ןב קיימ 'גניא הצרמ דיינ mike@mike-engineering.com
Documents
BSc.Pharm חקור הצרמ יקסנקרש זעוב יקוי_רעלים_מהגוף.pdf · דבכב תופורת לורטנ CYP ידי לע-1 הזאפ ןימאטפמא ,ןיאוטינפ
Documents
Usability Testing. What is usability testing for?
Documents
Evaluation Assignment 4 Usability Testing Plan...1. Usability Test Plan Usability test plan is required to meet the need of proper structure of usability testing. Usability testing
Documents
מצגת של PowerPoint - BGUin.bgu.ac.il/engn/Documents/Announcements/GeneralCourses...העש םוי 'סמס הצרמ סרוקה םש סרוקה רפסמו הקלחמ - - הקירפא
Documents
Personal Usability Constructs: How People Construe Usability
Documents
Moodle- ה תועצמאב תנווקמ הניחב תמקהל ךירדמ · 2020-06-09 · Moodle- ה תועצמאב תנווקמ הניחב תמקהל ךירדמ,ה/רקי הצרמ
Documents
Usability - COnnecting REpositories · 2013-09-09 · Usability - Hvilke mål indgår i begrebet usability? Begrebet brugbarhed (usability) gennemgår hele tiden en udvikling, og
Documents
Usability Engineering. 2 Contents Usability Engineering Know the user Task analysis Usability metrics The usability engineering process
Documents
An Overview of Usability Evaluation #15 1. Outline What is usability evaluation ? Why perform usability evaluation ? Types of usability evaluations
Documents
User Experience. 2 Usability is more than Usability?
Documents
UPA Usability Poster - Interaction Design · Title: UPA Usability Poster Author: Usability Professionals' Association Subject: Designing the User Experience Keywords: UPA, usability,
Documents
Geoportal Usability Evaluation Geoportal Usability Evaluation
Documents
Usability, Affordance, and Usability Principlesuser.ceng.metu.edu.tr/~tcan/se542_f1516/Schedule/week1... · 2015-09-30 · Usability, Affordance, and Usability Principles Visual affordances
Documents