Hoe omzeil je de mens bij databeveiliging?

| Rense Kuipers

UT-onderzoekers dagen EU-burgers uit een scenario te bedenken waarbij de mens – vaak de zwakste schakel in databeveiliging – kan worden omzeild. Ook moeten deelnemers aan deze Social Engineering Challenge 2014 aangeven hoe zo’n ‘aanval’ kan worden afgeslagen.

Deze Social Engineering Challenge is onderdeel van een groot Europees onderzoeksproject naar cybersecurity (TREsPASS). Het project richt zich met de challenge vooral op het sociale aspect van cybersecurity. Dat vertelt Jan-Willem Bullée, UT-promovendus en onderzoeker binnen TREsPASS. ‘Deze wedstrijd laat zien dat niet alleen technische oplossingen belangrijk zijn, maar vooral ook menselijke.’

Social Engineering is gericht op het verkrijgen van vertrouwelijke informatie door het kraken van de zwakke schakel in computerbeveiliging, namelijk de mens. Bullée licht toe: ‘Social Engineering draait niet om het hacken van systemen, maar om het manipuleren van mensen. Denk hierbij aan het winnen van vertrouwen, overtuigen, bang maken. Vaak weet het slachtoffer niet eens dat hij slachtoffer is.’

Slopen is leuk

Met de challenge zoeken de wetenschappers niet naar nieuwe technische mogelijkheden om te hacken, maar juist naar manieren om het menselijke element van beveiliging te omzeilen. Daarnaast moeten deelnemers een duidelijke tegenmaatregel bedenken hoe de aanval tegen kan worden gegaan.

‘Zo kan een aanvaller in het geval van de UT proberen toegang te krijgen tot de studentenadministratie, door te bellen en zich voor te doen als iemand van ICTS. Wanneer de persoon aan de andere kant van de lijn bijvoorbeeld druk is met andere dingen zal hij eerder geneigd zijn mee te gaan in het verhaal van de aanvaller. Informatie kan dan snel in de verkeerde handen vallen. Mensen hebben vaak niet door dat kleine stukjes informatie prijsgeven grote gevolgen kan hebben.’

‘Het is makkelijk en leuk om iets te slopen, maar het is veel uitdagender om ervoor te zorgen dat iets in stand blijft’, vertelt Jan-Willem. ‘Met deze challenge vragen we mensen om zowel met originele aanvallen als tegenmaatregelen te komen.’

Meedoen?

Deelnemers (binnen de EU) kunnen tot begin december hun voorstel (twee pagina’s) en cv (één pagina) indienen. Een jury beoordeelt de inzendingen op creativiteit, haalbaarheid en de mate waarin misleid kan worden. De winnaar van de Social Engineering Challenge 2014 ontvangt 750 euro.

Stay tuned

Sign up for our weekly newsletter.