Diplomová práca si klade za cieľ preštudovať a zdokumentovať problematiku sociálneho inžinierstva ako nástroja prostredníctvom ktorého testovať a zvyšovať informačnú bezpečnosť. V práci je spracovaný prehľad netechnických a technických metód, ktoré sú používané pri útokoch sociálnym inžinierstvom a taktiež sú spomenuté nástroje, ktoré sociálny inžinieri používajú. Práca ďalej ponúka návrh opatrení ako sa brániť pred netechnickými a technickými útokmi. Ďalšia časť práce prezentuje postupy pomocou ktorých identifikovať možné bezpečnostné slabiny a zraniteľnosti a to formou testov sociálnym inžinierstvom. Ďalej sú prezentované výsledky z testov modelových situácií, pričom návrh práve týchto testov, ktoré odrážajú skutočnú potrebu ich realizácie, sa opiera o vyjadrenia oslovených bezpečnostných odborníkov v oblasti sociálneho inžinierstva. Na záver práce sú poskytnuté návrhy bezpečnostných opatrení zamerané na identifikáciu, prevenciu a ochranu pred útokmi sociálnym inžinierstvom.
Anotace v angličtině
The master thesis aims to study and document the social engineering as a tool by which can test and improve information security. The thesis presents overview of the non-technical and technical methods that are used for social engineering attacks, and also tools used by social engineers. The master thesis also offers draft of the measures how to defend against non-technical and technical attacks. The next part presents the procedures by which help to identify a potential security weaknesses and vulnerabilities with the social engineering tests. Next are presents the results of model situations tests, which proposal of these tests reflect the actual need for their realization. The proposal these tests is based on the opinions of the security experts at social engineering field. Finally, are offered proposals of security policies to identify, prevent and protect against social engineering attacks.
social engineering, social engineer, attack, penetration test, information security, security policy, physical penetration, pendrive, creating scenarios, risk, vulnerability, prevention, piggybacking, phishing, pharming, Caller-ID/SMS spoofing, road apples, FOCA, Maltego
Rozsah průvodní práce
100 s.
Jazyk
CZ
Anotace
Diplomová práca si klade za cieľ preštudovať a zdokumentovať problematiku sociálneho inžinierstva ako nástroja prostredníctvom ktorého testovať a zvyšovať informačnú bezpečnosť. V práci je spracovaný prehľad netechnických a technických metód, ktoré sú používané pri útokoch sociálnym inžinierstvom a taktiež sú spomenuté nástroje, ktoré sociálny inžinieri používajú. Práca ďalej ponúka návrh opatrení ako sa brániť pred netechnickými a technickými útokmi. Ďalšia časť práce prezentuje postupy pomocou ktorých identifikovať možné bezpečnostné slabiny a zraniteľnosti a to formou testov sociálnym inžinierstvom. Ďalej sú prezentované výsledky z testov modelových situácií, pričom návrh práve týchto testov, ktoré odrážajú skutočnú potrebu ich realizácie, sa opiera o vyjadrenia oslovených bezpečnostných odborníkov v oblasti sociálneho inžinierstva. Na záver práce sú poskytnuté návrhy bezpečnostných opatrení zamerané na identifikáciu, prevenciu a ochranu pred útokmi sociálnym inžinierstvom.
Anotace v angličtině
The master thesis aims to study and document the social engineering as a tool by which can test and improve information security. The thesis presents overview of the non-technical and technical methods that are used for social engineering attacks, and also tools used by social engineers. The master thesis also offers draft of the measures how to defend against non-technical and technical attacks. The next part presents the procedures by which help to identify a potential security weaknesses and vulnerabilities with the social engineering tests. Next are presents the results of model situations tests, which proposal of these tests reflect the actual need for their realization. The proposal these tests is based on the opinions of the security experts at social engineering field. Finally, are offered proposals of security policies to identify, prevent and protect against social engineering attacks.
social engineering, social engineer, attack, penetration test, information security, security policy, physical penetration, pendrive, creating scenarios, risk, vulnerability, prevention, piggybacking, phishing, pharming, Caller-ID/SMS spoofing, road apples, FOCA, Maltego
Zásady pro vypracování
Vypracujte rešerši technik a prostředků, které jsou používány v oblasti sociálního inženýrství.
Navrhněte metodiky pro ochranu před temito útoky.
Vypracujte metodiku pro identifikaci možných slabin PC systémů a jejich zneužití pomocí sociálního inženýrství.
Proveďte testy modelových situací.
Sestavte postupy pro identifikaci potenciálních útoků a pro prevenci před takovými útoky.
Zásady pro vypracování
Vypracujte rešerši technik a prostředků, které jsou používány v oblasti sociálního inženýrství.
Navrhněte metodiky pro ochranu před temito útoky.
Vypracujte metodiku pro identifikaci možných slabin PC systémů a jejich zneužití pomocí sociálního inženýrství.
Proveďte testy modelových situací.
Sestavte postupy pro identifikaci potenciálních útoků a pro prevenci před takovými útoky.
Seznam doporučené literatury
BARCELÓ, Marta a Pete HERZOG. ISECOM. The Open Source Security Testing Methodology Manual [online]. 3. vydanie. 2010, 211 s. [cit. 2012-01-18]. Dostupné z: http://www.isecom.org/mirror/OSSTMM.3.pdf
BASKIN, Brian, Kent NABORS a Jayson E. STREET. Dissecting the Hack: The F0rb1dd3n Network. Boston: Syngress Publishing, 2010, 360 s. ISBN 978-1-59749-478-6.
HADNAGY, Christopher. Social engineering: The Art of Human Hacking. Indianapolis: Wiley Publishing, 2011, 408 s. ISBN 978-0-470-63953-5.
LONG, Johnny, Kevin D. MITNICK, Scott PINZON a Jack WILES. No Tech Hacking: A guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Burlington: Syngress Publishing, 2008, 384 s. ISBN 978-1-59749-215-7.
MITNICK, Kevin D. a William L. SIMON. The Art of Deception: Controlling the Human Element of Security. Indianapolis: Wiley Publishing, 2003, 368 s. ISBN 0-7645-4280-X.
Seznam doporučené literatury
BARCELÓ, Marta a Pete HERZOG. ISECOM. The Open Source Security Testing Methodology Manual [online]. 3. vydanie. 2010, 211 s. [cit. 2012-01-18]. Dostupné z: http://www.isecom.org/mirror/OSSTMM.3.pdf
BASKIN, Brian, Kent NABORS a Jayson E. STREET. Dissecting the Hack: The F0rb1dd3n Network. Boston: Syngress Publishing, 2010, 360 s. ISBN 978-1-59749-478-6.
HADNAGY, Christopher. Social engineering: The Art of Human Hacking. Indianapolis: Wiley Publishing, 2011, 408 s. ISBN 978-0-470-63953-5.
LONG, Johnny, Kevin D. MITNICK, Scott PINZON a Jack WILES. No Tech Hacking: A guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Burlington: Syngress Publishing, 2008, 384 s. ISBN 978-1-59749-215-7.
MITNICK, Kevin D. a William L. SIMON. The Art of Deception: Controlling the Human Element of Security. Indianapolis: Wiley Publishing, 2003, 368 s. ISBN 0-7645-4280-X.
Přílohy volně vložené
1 CD
Přílohy vázané v práci
-
Převzato z knihovny
Ne
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Student seznámil komisi s obsahem své diplomové práce v krátké prezentaci. Po přečtení posudků vedoucího a oponenta následovala diskuze, ve které byly položeny následující dotazy:
1) doc. Lukáš: Co lze usoudit ze skutečnosti, že většina útoků má anglické názvy?
2) doc. Lukáš: Jak můžete prokázat komunikaci s odborníky v oboru?