Categorie: IT General

Un pic de inginerie socială

Dacă serverele de mail îşi fac treaba din ce în ce mai bine treaba în protecţia împotriva SPAM-ului şi altor tipuri de mesaje, browser-ele web filtrează din ce în ce mai bine phishing-ul, iată că Web 2.0 ne oferă o nouă formă de inginerie socială care va da şi mai mult de furcă administratorilor de reţele, părinţilor şi altora.

Pe scurt povestea şi apoi interpretările.

Aseară primesc invitaţie pe Facebook de la o anumită persoană. Precaut cum sunt, m-am uitat la profil. Absolvent FEEA!, Iaşi. Contabil. M-am uitat apoi la data naşterii. Promoţia 2008. Search după nume în baza de date… Nixt. Caut mai detaliat… Tot nimic.

Mă uit apoi la poze… (nu se spune fotografii în acest context). Mda! Accept! :)

FaceBook - Fake profile

Dau un mesaj în care i-am transmis că facultatea absolvită este FEAA nu FEEA. Nici un răspuns.

Astăzi apar etichetat într-o fotografie de-a ei. ID-ul de yahoo era trecut acolo, precum şi toţi prietenii etichetaţi.

Etichetare prieteni in Fotografie

La ora 00:30 avea 12 prieteni, astăzi la 13:13 are 55 în creştere.

Atunci am realizat că ceva nu este în regulă şi am început săpăturile.

Pe un alt site apare dintr-o altă localitate, cu altă dată de naştere dar acelaşi nume şi fotografie de profil.

Alternate profile

După şi mai multe săpături, am decis să trecem la pasul urmator. Contactul pe Messenger.

Surpriză, primesc răspunsuri:

YM discuss Web page destination

Scopul SpamRobotului era de a mă directa spre pagina de web pe care erau doar nişte legături sponsorizate. Răspunsurile apăreau permanent după 15 – 20 secunde, şi se cunoştea din scriere că nu este un nativ de Engleză.

Acum interpretările

Conform Wikipedia Ingineria socială (engleză Social Engineering) este un termen prin care se înțelege arta de a influența, de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în psihologia maselor de a-i face pe alții să gândească și să creadă ceea ce ‘maestrul’ vrea ca acei "alții" să creadă.

Vladii încearcă în articolul său despre acest topic să explice care sunt tehnicile prin care inginerul social încearcă să extragă informaţii de la voi sau să vă determine să efectuaţi anumite acţiuni.

Într-un alt articol de pe WorldID ni se explică modul în care am putea să ne protejăm împotriva unor acţiuni de acest gen.

Scopul modelului prezentat în acest articol este de a acumula cât mai multe conexiuni pe diferite reţele sociale, prin afişarea unor informaţii aproximativ exacte şi a unor fotografii şi mesaje provocatoare.

Este uşor de acaparat în acest fel persoane de genul masculin. Wow colega mea… Silicoane!… fără a se gândi dacă au fost sau nu colegi :)

Persoanele de genul feminin sunt atrase prin tehnicile de asociere la o comunitate sau alta. Am terminat contabilitate la FEAA în 2008. Victima feminină poate ignora orice alte informaţii, iar fotografiile pot constitui un bun subiect de bărfă: Ai văzut fată, […] aia şi-a pus silicoane (acesta este un mesaj perfect real, autorul şi metoda de obţinere fiind păstrată deliberat confidenţială).  E greu totuşi să convingi o victimă feminină să acceseze o pagină de webcam pornografic, dar nu se ştie niciodată. :) 

Din punctul meu de vedere inginerul social duce o muncă sisifică. Trebuie să convingă cât mai multă lume să dea un click pe un link. Hai să analizăm rentabilitatea. Să luăm în considerare că un click costă 0,01 USD. Pentru a plăti un Indian pe zi pentru activitatea aceasta (media veniturilor in India este de 2 USD/zi) ai nevoie de 200 de click-uri. Discuţia mea cu Spamerul a durat 5 minute, timp în care am dat de 5 ori click în pagina destinaţie… rezultând 60 de click-uri pe oră ceea ce ar însemna că se pot produce 14,4 USD în 24 de ore. Şi asta dacă vorbeşti cu o singură victimă în acelaşi timp şi dacă un click costă doar 0,01 USD. Plus lista de ID-uri şi e-mailuri valabile.

Dacă te ţii de treabă poţi scoate mai mulţi bani pe lună decât un profesor de liceu român. Şi nici nu încalci nici un fel de regulament sau de lege din nici un stat!

Anul trecut cunoscusem o studentă din România care era plătită cu 450 USD pe lună (plus beneficii din realizări) pentru a citi cărţi în engleză şi a comenta pe forumuri de discuţii specializate, introducând subtil, în context, mesaje către anumite tipuri de medicamente. În lunile bune putea primi până la 1200 USD.

Ne putem proteja în astfel de cazuri?

Unii spun că da! Eu cred că nu. Socializarea face parte din natura noastră, deci într-o zi sigur putem fi victimele unei astfel de tehnici.

Cea mai bună protecţie în astfel de cazuri este educaţia.

A doua atenţia! Suntem sociabili dar facem conexiuni cu persoane pe care le cunoaştem, sau le-am cunoscut. Orice invitaţie pe o reţea socială trebuie verificată şi validată înainte de a o accepta.

O întrebare pertinentă este: Cum protejează reţelele sociale utilizatorii în astfel de cazuri?

Tehnic având în vedere că utilizatorul (răufăcătorul :) ) nu încalcă regulamentul nu ai cum să-ţi dai seama că este un spammer. Greşeala făcută în cazul de faţă de spammer este etichetarea mai multor persoane pe aceeaşi fotografie. Ar putea exista o tehnică de detectare a etichetărilor masive, dar este doar o idee.

Dacă aţi fost victima unui inginer social trebuie să vă eliminaţi din fotografia în care aţi fost etichetat şi să denunţaţi acea fotografie. Apoi eliminaţi spammerul din lista voastră de prieteni pentru a nu-i “infecta” şi pe alţii.

Block a profile

Personal folosesc ingineria socială ori de câte ori am ocazia.

Sintetic tehnica se numeşte: Zâmbind obţii mai mult!

Mergeţi la un ghişeu al statului, la care un/o angajat(ă) cu 25% mai acru(ă) nici măcar nu se uită la voi când spuneţi Bună ziua! Zâmbiţi şi întrebaţi cum merge treaba. Lăsaţi-i de înţeles că îl/o compătimiţi pentru cât de mult are de muncă şi cât de aglomerat este … etc, etc. Veţi pleca cu 25% din timp mai repede decât în mod obişnuit şi în 75% din cazuri cu treaba rezolvată.

Sper că nu v-am stricat această zi minunată de 13 septembrie :)

Referatul de achiziție – Emulare în SharePoint (1)

Una din cele mai interesante aplicații pe unde am avut ocazia să merg, este aceea a gestionării fluxului de aprovizioare. Tradus direct din engleză: Managementul lanțului de aprovizionare (supply chain management).

Nici nu mai știu unde începe și unde se termină tradiția, dar cert este că majoritatea companiilor tind din ce în ce mai mult spre zona de generalizare dar în același timp de personalizare a propriului proces.

Astăzi  voi prezenta componenta economică, un fel de documentație a sistemului de calcul a necesarului de birotică pentru o companie românească cu filiale și departamente în mai multe orașe. Ghidându-se după dictonul managementului modern compania are bugete de birotică alocate pentru fiecare departament în parte.

Organizarea companiei este oarecum simplă:

Locație – Centru de Cost – Departament

(Iași, Timișoara, Cluj Napoca – Magazin, Locuințe, Leasing – Marketing, Contabilitate, IT )

Fiecare Departament are propriul său buget și realizează comenzile de achiziție, care se centralizează la nivelul centrului de cost.

Hai să vedem ce a ieșit. Voi reveni într-un episod viitor cu un film al derulării operațiunilor.

 

Necesar Birotică – Prezentare Generală

Justificare

În contextul automatizării proceselor economice din cadrul grupului vă propunem soluția informatică de gestiune centralizată a fluxului de aprovizionare cu materiale consumabile destinate activității de birotică.

Scop

Asigurarea unui flux informațional optim, controlul aprovizionării și raportarea centralizată a activității de aprovizionare.

Beneficiarii

Beneficiarii acestui sistem sunt angajații și managementul de la toate nivelurile din cadrul grupului.

Beneficii

  • Soluția este proiectată după principiile orientate utilizator (user-centric) în scopul ușurării completării și urmăririi datelor. Se aplică de asemenea principiul RACI de separare pe roluri în cadrul fluxului, asigurându-se funcții de control, monitorizare și raportare în timp real a activității.
  • Transparența este asigurată de un mediu comun de acțiune.
  • Privilegiile sunt garantate prin sistemul de autentificare.
  • Auditul și jurnalizarea sunt asigurate de către sistemul de management al documentelor. Beneficiarii sistemului trebuie Informați și Responsabilizați în legătură cu operațiunile de auditare și jurnalizare în timp real.

Beneficiile grupului

  • Sistemul curent asigură simplificarea și fluidizarea fluxului de aprovizionare.
  • Este asigurată raportarea în timp real corelată cu indicatorii de performanță și cei bugetari.
  • Soluția este una complet flexibilă și extensibilă fiind utilizate standarde deschise de reprezentare, manipulare și stocare a datelor.

Tehnologiile utilizate

  • Windows Server 2008 Standard R2
  • SQL Server Express 2008 R2
  • Microsoft SharePoint Foundation 2010
  • Microsoft Office Excel

Documente conexe

  • Diagrama sistem
  • Procedura utilizare pe roluri

Necesar Birotică – Diagrama sistem

Diagrama conține principalii actori și etape traversate de o cerere de aprovizionare.

Diagrama sistem aprovizionare

 

Necesar Birotică – Procedura utilizare

Angajat – Inițiere

1. Accesează adresa: http://intranet/procese/

2. Adaugă elemente în lista Necesar Birotica: + Add new item

3. Excepții: NU se va modifica câmpul Stare și nu se va completa câmpul Preț achiziție.

4. Final: Confirmă recepția produselor.

Șef departament – Aprobare

1. Creare view personalizat – în mod asistat sau după documentație. Filtre necesare: Locație, Centru de cost, Departament. Acest pas se execută o singură dată

2. Setare alertă pentru comenzile inițiate. Acest pas se execută o singură dată.

3. Verifică mesaje alerte e-mail

4. Accesează lista Necesar birotica folosind view personalizat.

5. Editează elementele și schimbă starea în Aprobată.

6. Excepții: NU se va completa câmpul Preț achiziție.

7. Monitorizează procesul

8. Final: Este informat de recepția produselor

Secretar Unitate funcțională

1. Lunar sau la cerere deschide adresa http://intranet/procese/ și deschide folosind aplicația Excel raportul: Centralizator NB Aprobate.

2. Filtrează informațiile folosind parametrii: Locație, Centru de cost, Departament

3. Salvează și trimite prin e-mail centralizatorul spre Director pentru informare și avizare.

4. După primirea răspunsului: accesează lista Necesar Birotica, view-ul Aprobate, în format DataSheet View.

5. Filtrează datele după criteriile: Locație, Centru de cost, și modifică starea elementelor în curs în starea Comanda. Salvează datele dacă se solicită operațiunea.

6. Deschide folosind aplicația Excel raportul Comanda NB din biblioteca Rapoarte.

7. Filtrează informațiile folosind parametrii: Locație, Centru de cost

8. Salvează și compune e-mail sau listează formularul de Comandă și-l transmite către Furnizorii agreați.

Directorul

1. Primește lunar Centralizatorul NB Aprobate.

2. Verifică informațiile și trimite e-mail de aprobare sau confirmare.

3. Urmărește indicatorii de buget.

Furnizorii agreați

1. Primesc comenzile de la grup.

2. Transmit produsele de pe Comanda și Factura.

Responsabil aprovizionare

1. Recepționează produsele și facturile

2. Accesează lista Necesar Birotica, view-ul Comenzi, în format DataSheet View.

3. Filtrează informațiile folosind parametrii: Locație, Centru de cost

4. Introduce prețul unitar de achiziție și setează starea comenzii pe Finalizat.

Monitorizarea

1. Se realizeză prin proceduri specifice oferite de facilitățile sistemului.

 

Voi reveni cu filmulețul pe toate rolurile pentru a vedea în detaliu operațiunile.

Aștep comentarii și întrebări. Nu puneți întrebări de preț on-line :)

Windows Server workshops pentru Linux professionals

Tricky? Eu m-am simțit ca un Tigru în cușca Leilor. Cel puțin la început.

22 aprilie Galați. Soare și un nor de cenușă undeva în Islanda. Se făcea că eu trebuia să prezint rolurile Windows Server 2008 R2 în fața unui public preponderent open-source oriented.

Continuând metafora, pentru a-mi da seama cât de ascuțiți sunt colții Leilor am introdus chiar de la început, un slide în prezentarea de 7 ore (de la 9 la 17 cu pauze cumulate de o ora și jumătate, cu indulgență) în care solicitam detalii despre numele celor 23 de cetățeni prezenți, firma de la care veneau (profil de firmă: 15 – 150 PC-uri), numărul de servere de tip Windows și Linux, sisteme de operare pentru clienți, experiența cu diferite sisteme de operare.

Exact așa cum mă așteptam, nu exista nici un mediu pur Windows sau pur Linux, ci sisteme interconectate.

Continuăm sub forma unui meci de fotbal, că tot se poartă, în care eu eram antrenorul Tigrilor (oaspeții), cel al Leilor (gazde) fiind suspendat etapa curentă.

Meciul scor cu scor, minut cu minut

0 – 0: Dorind să joc la egal am intrat în defensivă punând pe tapet sintagma: Cel mai bun sistem de operare este cel pe care îl cunoști și cu care îți rezolvi problemele specifice ale afacerii.

Meci de tatonare: rolurile Windows Server, și primul șut spre poartă cu Versiunile Windows versul Versiunile Linux. Portarul leilor apără cu greu de pe linia porții. Un nou șut al tigrilor cu puncte forte ale Windows Server, trece puțin pe lângă colțul porții.

Minutul 16: Oaspeții deschid scorul prin Active Directory urmat pe fondul unor neînțelegi ale gazdelor de un nou gol prin GPO și un șut prins de portar din partea jucătorului PowerShell.

Pe fondul unei replici severe portarul oaspeților apără la capitolul eficiență economică dar gazdele reduc din diferență punctând la capitolul Preț.

Minutul 26: Oaspeții prind din nou curaj și atacă prin intermediul WSUS, dar gazdele sunt mult mai atente și dejoacă planurile de eficiență economică încercând, fără succes de această dată, să egaleze prin jucătorul Preț.

Meciul continuă, cu faze spectaculoase și demonstrații de Hyper-V, în ciuda scorului, gazdele păstrând o atitudine pozitivă și activă în joc cu schimb de replici, scuze… pase, constructive și din ce în ce mai elaborate.

Minutul 37: Pe fondul unui contraatac al gazdelor se produce o egalare pe tabela de joc, favorizat și de neatenția fundașului RAM Ieftin care a greșit pasa către jucătorul Hyper-V.

Minutul 44: Pe fondul unei glicemii din ce în ce mai scăzute, jucătorii ambelor echipe așteaptă pauza, dar … supriză! Mijlocașul Auditul Accesului la fișiere șutează puternic de la mijlocul terenului, după o pasă de la DFS, luând prin surprindere pe toată lumea, ridicând scorul la 3-2 pentru oaspeți.

Pauză

Pe perioada pauzei se elaborează o nouă strategie plus reîncărcarea bateriilor. Pe la colțuri se aud mici discuții despre un nou caz valiza, patronul oaspeților propunându-le jucătorilor din echipa leilor un an! de subscripție TechNet, în cazul în care fac un meci bun astăzi și îl iau în probe timp de o lună pe jucătorul BPOS.

Minutul 46: La gazde nici o schimbare, la oaspeți în schimb intră jucătorii Exchange cu numărul 2010 pe tricou și SharePoint Foundation 2010 (SPF2010) momentan aflat în perioada de probe (Beta), special antrenat pentru a îl înlocui pe WSS3.

Nici bine nu a început repriza și oaspeții trec vertical la acțiune și înscriu în primele secunde prin jucătorul OWA. Gazdele contraatacă, dar reușesc cu greu să treacă de liberoul oaspeților ForeFront. Jucătorul Preț al gazdelor pune presiune din ce în ce mai mare la poarta oaspeților.

Minutul 69: Joc frumos al jucătorului SPF 2010 care înscrie cu capul un gol spectaculos. Spiritele se încing în tribune, spectatorii încurajându-și jucătorii frenetic.

Minutul 71: Jucătorul Preț atacă aproape involuntar dar periculos jucătorul SPF2010, și vede cartonașul roșu. Rămași fără cel mai bun jucător de pe teren, gazdele bat în retragere în ideea ca scorul să nu ia proporții prea mari.

Minutul 83: Oaspeții au redus și ei turația motoarelor în ideea conservării resurselor pentru meciul din etapa viitoare la de la Brașov, urmat de meciul din Cupă de la Cluj.

Minutul 91: Doar cu câteva minute de prelungire, meciul se încheie într-un ton optimist, spectatorii fiind în mare parte mulțumiți de prestația ambelor echipe, cu observațiia că “s-a jucat destul de puțin Linux și prea mult Windows”.

 

La conferința de presă antrenorul oaspeților a declarat: E greu, dar nu imposibil, să învingi Leii, câștigul meciului fiind certitudinea poți juca un joc frumos și spectaculos cu ei.

Blog la WordPress.com.

SUS ↑