روشهای فیزیکی جمع آوری اطلاعات
انواع روشهای فیزیکی جمع آوری اطلاعات در سازمان ها
روشهای فیزیکی جمع آوری اطلاعات دارای متدهای متفاوت برای دستیابی به اطلاعات سازمان ها و جمع آوری اطلاعات آنهاست. یعنی در بعضی از مراجع، جمع آوری داده ها را به دو دسته الکترونیکی و فیزیکی تقسیم بندی می کنند. در این مقاله، روش های فیزیکی جمع آوری اطلاعات و داده ها را بررسی می کنیم.
روش ها و متدها
روشهای فیزیکی جمع آوری اطلاعات انواع مختلف دارد. برخی از این روشها نیاز به تجهیزات اندکی دارند و تعدادی از آنها نیز نیازمند تجهیزات پیشرفته ای هستند.
یکی از ویژگیهای مشترک این روشها، این است که نمیتوان آنها را از راه دور اجرا کرد و برای انجام آنها باید حتماً مهاجم در محل، حضور فیزیکی داشته و آنها را به صورت رودررو و شخصی اجرا کند. بنابراین جهت بهره برداری موفقیت آمیز از چنین روشهایی، وجود یک سناریوی از پیش طراحی شده، استفاده از اصول نفوذ بر افراد (مهندسی اجتماعی) و سایر عوامل روانشناسی ضروری است.
در جمع آوری اطلاعات به روش فیزیکی، یک روش خاص وجود ندارد که بتوان آن را بهترین روش دانست و نمیتوان با اطمینان هم گفت که یک روش خاص میتواند به صورت موفق و تمام و کمال، تمام دادههای مورد نیاز را فراهم کند. بهترین راه برای رسیدن به موفقیت، جمع آوری اطلاعات با استفاده از روشهای مختلف و سپس طبقه بندی آنها است.
گام بعدی نیز پیدا کردن ارتباط بین آنها و در نهایت انتخاب بهترین مسیر حمله با توجه به دادههای جمع آوری شده است. یک کاربر و کارمند، با آگاهی از روش های فیزیکی جمع آوری داده می تواند اقدام های بازدارندگی و مرزهای دفاعی خود را توسعه داده و از نشت اطلاعات جلوگیری کند.
اگر خواهان اجرای روش زیر برای سازمانتان هستید و میخواهید مانوری را در این خصوص اجرا کنید، توصیه میکنیم فعالیتهایی را که در ادامه شرح داده میشوند، در محدوده یک آزمون نفوذ مجاز و تأیید شده انجام دهید.
1- شیرجه در زبالهها
به صورت کلی، شیرجه در زبالهها به عمل جستجو در آشغالها جهت یافتن اطلاعات ارزشمند گفته میشود. اغلب اطلاعات مهمی در زباله ها یافت می شود، از جمله پروندههای پزشکی، نامه ها، عکس ها، نام افراد و شماره تماس آنها، صورت حساب های بانکی، اطلاعات حساب بانکی، اطلاعاتی درباره نرمافزارها و گزارشهای بخش پشتیبانی فنی.
در بعضی از کتب و نشریات علمی، شیرجه در زباله های سطل آشغال رایانه را نیز در این طبقه گنجانده اند. بسیاری از افراد از نبود کاربر پشت میز استفاده کرده و یک نسخه کپی از کل فایل های پاک شده تهیه می کنند تا در فرصت مناسبی بتوانند اقدام به بررسی و تحقیق و تفحص کنند.
تمامی این اطلاعات و طبقه بندی آنها در موفقیت یک حمله، مثمرثمر خواهد بود. شعار این حمله هم مثل سایر حملات مهندسی اجتماعی «کار کردن به صورت هوشمندانهتر، نه سختتر» است. وقتی بتوانید اطلاعاتی را از طریق کاغذ یادداشتی که بدون پاره شدن دور ریخته شده جمع آوری کنید، نیازی ندارید که ساعتها برای به دست آوردن همان اطلاعات تلاش کنید. دید یک هکر
یک کارمند می تواند با امحای فیزیکی زباله های خود، اقدام های مناسبی را انجام دهد. همه کارکنان باید از روش هایی که سبب نشت اطلاعات به صورت فیزیکی می شوند آگاه باشند.
در یک سریال تلویزیونی قدیمی به نام گروه تایگر (Tiger Team)، نحوه استفاده از زبالهها برای پیداکردن اطلاعات درباره هدف، نمایش داده شده است. بازیگران این سریال توانستند پس از شناسایی نام کارمند بخش پشتیبانی شرکت، یکی از اعضای تیم خودشان را به عنوان پشتیبان فنی به آن شرکت فرستاده و از این طریق دسترسی کاملی به سرورها پیدا کنند.
هنوز هم کتاب «هک بدون فناوری»، یکی از بهترین منابع درباره شیرجه در زبالهها در حوزه امنیت است. این کتاب، پر از اطلاعات فوق العاده درباره مهندسی اجتماعی است و دارای عکس های زیادی از نمونه اطلاعاتی است که میتوان از سطل های زباله و بدون نیاز به کاوش و بررسی عمیق زبالهها به دست آورد.
2-نفوذ و نقش بازی کردن
نفوذ (ورود سرزده و بدون اجازه) وقتی انجام می شود که مهندس اجتماعی برای به دست
آوردن اطلاعات یا با جعل هویت فرد دیگری وارد ساختمان یا ملک شخص یا سازمان مورد هدف میشود. مهندس اجتماعی میتواند با بازی کردن نقش یک کارمند، یک پیمانکار یا حتی یکی از مدیران IT سؤال هایی را پرسیده یا پیشنهاد رفع مشکلات را به صورت رودررو یا از پشت تلفن مطرح کند.
مهندسان اجتماعی برای موفق شدن در این کار باید خودشان را همرنگ جماعت کرده و مثل افراد حاضر در محیط لباس پوشیده و رفتار کنند. مشارکت در یکسری فعالیتها یا قرار گرفتن در محیط هایی که مهندس اجتماعی را در تعامل با کارمندان مورد هدف قرار میدهد، فرصت بسیار خوبی جهت گردآوری اطلاعات فراهم میکند. مجاورت با کارمندان میتواند فرصتهای بسیار خوبی برای گفتگو، استراق سمع (شنود) یا حتی کپی کردن کارت شناسایی یا کارتهای RFID فراهم کند.
در وب سایت “Dark Reading” به یک حمله مهندسی اجتماعی مخرب اشاره شده که در آن یک فرد ناشناس، فقط با استفاده از هوش و مهارت خودش توانسته است رابطهای را با کارمندان برقرار کند. وی با استفاده از این رابطه، موفق به پیدا کردن محل ذخیره الماسهایی با ارزش بیش از 20 میلیون دلار شد.
3- حرکت کردن پشت سر هدف
حرکت کردن با فاصله کم، پشت سر هدف (که به آن ” Piggybacking ” هم گفته میشود) یک راه برای دسترسی به یک ساختمان ایمن سازی شده، حتی در صورت وجود سازوکارهای امنیتی مبتنی بر کارت هوشمند یا استفاده از ویژگیهای زیست سنجی است. معمولاً این راهکارهای امنیتی میتوانند مانع ورود کارکنان غیرمجاز به ساختمانها و دسترسی آنها به سیستمها یا شبکهها شوند.
متأسفانه افراد در بسیاری از وقت ها، بیش از حد لازم برای کمک به دیگران تلاش میکنند و مثلاً وقتی به نظر میرسد که فردی در حال جستجوی کارت عبور خودش است در را برای او باز میگذارند تا از این طریق به او کمک کرده باشند.
بازی کردن نقش کارمند یا تکنسینی که با عجله به سمت در حرکت میکند تا قبل از بسته شدن در وارد ساختمان شود هم یکی از روشهای دسترسی به ساختمانهایی است که ورود به آنها برای مهندسان اجتماعی دشوار است.
4- مهندسی اجتماعی معکوس
در این روش، مهندس اجتماعی از قبل به شبکه یا ماشین مورد نظر دسترسی پیدا کرده و به نوعی آن را خراب و غیرقابل استفاده میکند. سپس پیشنهاد تعمیر کردن آن را مطرح میکند.
یکسری دستگاههای کنترل از راه دور وجود دارند که امکان شنیدن صداها از راه دور یا استراق سمع از طریق یک سیم کارت معمولی را فراهم میکنند. همچنین مهندس اجتماعی میتواند با کمک اطلاعاتی که از قبل از طریق تلفن، ایمیل یا وب سایت جمع آوری کرده است، یک نقطه دسترسی برای نفوذ تشکیل داده یا به قسمتهای مورد نیاز دسترسی های لازم را پیدا کند.
5- سرک کشیدن
یکی از روشهای فیزیکی جمع آوری اطلاعات ، ایستادن پشت سر افراد و نگاه کردن و سرک کشیدن جهت دستیابی به اطلاعات است. اطلاعاتی که از این طریق جمع آوری میشوند طیف وسیعی دارند، از شناسه کاربری گرفته تا کلمه های عبور یا سایر اطلاعات محرمانهای که به صورت متن ساده هستند. در این روش، لزوماً نیازی به نفوذ فیزیکی به محل مورد نظر وجود ندارد. چنین کاری را میتوان در هر جایی که مردم لپتاپهایشان را برای کار باز میکنند، از جمله در کافی شاپ ها، فرودگاهها، رستوران هتلها یا حتی در فضای باز انجام داد.
نتیجه گیری
در این مقاله، به بعضی از روش های مورد استفاده نفوذگران به منظور روشهای فیزیکی جمع آوری اطلاعات درباره افراد و سازمان ها اشاره کردیم. همانطور که اشاره شد، متدهای مختلف و بسیار متنوعی که با هوش و ذکاوت ذهنی مهندسان اجتماعی در هم آمیخته اند، برای جمع آوری اطلاعات، آن هم بدون استفاده از هیچگونه سازوکار فناورانه وجود دارد. بنابراین همواره مراقب بوده و از دارایی های اطلاعاتی خود مراقبت های لازم را به عمل آورید.