Video: Loverboy - Working for the Weekend (Official Audio) (Septembra 2024)
Chris Hadnagy, vedúci oddelenia Human Hacker v spoločnosti Social-Engineer, Inc, za posledných päť rokov organizoval v Def Con neobvyklú súťaž. Volaný program Social Engineering Capture The Flag je výzvou pre súťažiacich, aby zhromaždili informácie o rôznych spoločnostiach (vlajky, ak budete chcieť). Toto je sociálne inžinierstvo: umenie zhromažďovania informácií z cieľov bez toho, aby sa museli preniknúť do budovy alebo preniknúť do siete.
V prvej fáze sa 20 súťažiacich snaží získať informácie o cieľových spoločnostiach z verejne dostupných zdrojov. Poslednou fázou je 25-minútový maratón telefonických hovorov, kde pretekári napumpujú informácie pre obete. To siaha od svetských („Máte jedáleň?“) Po kritické („Používate šifrovanie disku?“) Až po potenciálne katastrofálne: podvádzanie obetí, aby navštívili falošné adresy URL. V tohtoročnej súťaži sa okrem iného zúčastnilo desať spoločností vrátane spoločností Apple, Boeing a General Dynamics.
Battle of the Sexes
„Od začiatku sme vždy žiadali ženy, aby sa pripojili, “ povedal Hadnagy. Prijatie formátu „muži verzus ženy“ a aktívne podporovanie úlohy žien v súťaži pomohli v posledných dvoch rokoch priniesť lepšiu paritu. Hadnagy povedal, že zviditeľnenie projektu v tomto projekte bolo rozhodujúce a povzbudil ostatných, aby sa pripojili. „Mali sme viac žien, ako by sme mohli tento rok vziať, “ povedal.
Ako urobili ženy proti svojim mužským náprotivkom? „Tento rok ženy nielenže nevyhrali, “ povedal Hadnagy. „Zabili mužov.“ Tri z piatich najlepších slotov boli určené ženám a sociálny inžinier s najvyšším skóre mal o 200 bodov viac ako ďalší účastník s najvyšším skóre.
Z týchto údajov je ľahké vyvodiť veľa záverov, ale pokiaľ ide o úspech žien v oblasti sociálneho inžinierstva, Hadnagy povedal, že tam nie je dostatok informácií. „Nemyslím si, že to dokazuje, že ľudia dôverujú ženám svojou podstatou, “ uviedol. "Víťazné ženy niečo ukazujú, ale nemáme žiadne údaje, ktoré by naznačovali, že to boli ženy, ktoré hovoria s mužmi."
Ženy mali v porovnaní s mužmi široké skóre, čo bolo uvedené v záverečnej správe súťaže. Uvádza sa v nej: „variabilitu možno predpokladať na základe skutočnosti, že išlo o extrémne rozmanitú skupinu, pochádzajúcu z veľmi odlišného prostredia a rôznych úrovní skúseností.“ Muži na druhej strane mali tendenciu visieť okolo rovnakého rozsahu skóre s menším počtom odľahlých hodnôt. „Aj keď sme zabezpečili rozmanitosť ako skupinu, muži mali tendenciu byť homogénnejšie na pozadí a na úrovni skúseností a možno sa to odrazilo v menšom rozsahu skóre.“
Nemám informácie na ich zálohovanie, ale myslím si, že tieto údaje ukazujú, že je dôležité zahrnúť jednotlivcov z rôznych prostredí do akéhokoľvek tímu. Ale to som len ja.
Informácie už existujú
Záverečná správa súťaže nemusí byť presvedčivá o úlohe pohlavia, je však zrejmé, že pre víťazov bol rozhodujúci starostlivý výskum. Súťažiaci zistili, že voľne dostupné online je šokujúce množstvo informácií, a tí, ktorí mali vo výskumných fázach vyššie skóre, mali počas skutočného telefonovania tendenciu robiť oveľa lepšie.
V jednom prípade súťažiaci našiel verejný webový portál pre zamestnancov. Hoci to bolo zabezpečené prihlasovacím heslom, súťažiaci zistil, že verejne prístupný dokument pomoci poskytnutý cieľovou spoločnosťou obsahoval ako príklad funkčné užívateľské meno a heslo. „Je to rok 2013 a stále vidíme také veci, “ povedal Hadnagy.
Nájdenie väčšiny informácií, ktoré súťažiaci hľadali, však neznamenalo zásadné porušenie bezpečnosti. Väčšina z nich bola dostupná prostredníctvom sociálnych médií, niekedy zaslaných jednotlivcami, ktorí prepojili svoj firemný e-mail s verejnou službou. Jeden zdroj informácií prekvapil Hadnagyho: „Myspace, verte tomu alebo nie.“
Lepšie a lepšie maskovanie
Hadnagy tiež poznamenal, že okrem zhromažďovania informácií o otvorenom zdroji, súťažiaci používali aj oveľa zložitejšie zámienky, keď volali spoločnosti v záverečnej fáze súťaže. V predchádzajúcich rokoch bolo veľa súťažiacich vystupujúcich ako prieskumní pracovníci alebo študenti, ktorí píšu správy. Hadnagy tento rok aktívne odrádzala od tohto prístupu a pripomenula účastníkom, že by si pravdepodobne tieto hovory sami zavesili. „Prečo by niekto v podnikovom prostredí odpovedal na tieto otázky?“ Spýtal sa.
Tieto zámienky sú atraktívne, pretože sú viac-menej anonymné a majú nízke riziko pre volajúceho. V tomto roku sa však viac súťažiacich predstavovalo ako spolupracovníci alebo predajcovia, ktorí pracujú s cieľovými spoločnosťami. Aj keď to so sebou prináša väčšie riziko, Hadnagy povedal, že existuje väčšia dôvera. „Automaticky sa súťažiacim dôverovalo a dostali informácie hneď od netopiera, “ uviedol.
Zámienky pretekárov ukázali niektoré zaujímavé rozdiely v rodových líniách. Deväť z desiatich žien sa vyjadrilo, že nie sú technicky dôvtipné a hľadali pomoc od „kolegov“ zamestnancov. Všetci muži v súťaži boli technickými odborníkmi av niektorých prípadoch generálnymi riaditeľmi.
Poznať hrozbu
Aj keď je zaujímavé uvažovať o spôsoboch a príčinách konkurencie, nespornou skutočnosťou je, že desať spoločností sa vzdalo obrovského množstva informácií - telefonicky alebo verejne zverejnených online. Aj keď informácie, ktoré súťažiaci dostali, neboli vždy vo svojej podstate nebezpečné, čítajú ako solídny prvý krok vo viacvrstvovom útoku. Jedného dňa sa pýtate na jedáleň a ďalší deň sa pýtate na prihlásenie.
Hadnagy problém pripisuje nedostatočnej informovanosti zamestnancov, ktorá zvyčajne vyplýva z nedostatočného vzdelania zo strany vyšších. Hadnagy povedal, že školenie zamestnancov, aby kriticky rozmýšľali o tom, čo uverejňujú online a čo hovoria telefonicky, sa môže vyplatiť s menším počtom úspešných útokov.
Jedným z jeho najzaujímavejších návrhov bolo, že spoločnosti netrestajú jednotlivcov, ktorí padajú za podvod, a podporujú bezplatné hlásenie možných porušení. Hadnagy povedal spoločnosti SecurityWatch, že spoločnosti, ktoré dodržiavajú tieto postupy, sú vo všeobecnosti lepšie zvládané tieto hrozby.
Bez ohľadu na to, či ste súčasťou spoločnosti alebo ste jednotlivec doma, je znalosť nebezpečenstva sociálneho inžinierstva kritická. Keď nabudúce niekto zavolá alebo pošle e-maily s prosbou o pomoc, položte pár otázok predtým, ako odovzdáte korunovačné klenoty.
Obrázok prostredníctvom používateľa Flickr CGP Gray
