Videó: ЧЕЙ УЧИТЕЛЬ ЛУЧШЕ? СТРАШНАЯ УЧИЛКА 3d против БАЛДИ! (November 2024)
Az elmúlt öt évben Chris Hadnagy, a Social-Engineer Inc. humán hackere szokatlan versenyt szervezett a Def Con-n. A Social Engineering Capture The Flag néven hívja fel a versenyzőket arra, hogy információkat gyűjtsenek a különféle vállalatokról (zászlók, ha akarod). Ez a szociális mérnöki tevékenység: az a cél, hogy információkat gyűjtsünk a céloktól anélkül, hogy betörnünk kellene egy épületbe vagy megtámadnánk a hálózatot.
Az első szakaszban 20 versenyző dolgozik azon, hogy nyilvánosan elérhető forrásokból információkat szerezzen a célvállalatokról. Az utolsó szakasz egy 25 perces telefonhívások maratonja, ahol a versenyzők információt cserélnek az áldozatokra. Ez a hétköznapi ("Van kávézója?") És a kritikus ("Használ-e lemez-titkosítást?") A potenciálisan katasztrófától kezdődőig: az áldozatok becsapása hamis URL-ek látogatására. Az idei versenyen tíz vállalat vett részt, köztük az Apple, a Boeing és a General Dynamics.
A nemek csata
"A kezdetektől fogva mindig felhívtuk a nőket, hogy csatlakozzanak" - mondta Hadnagy. A „férfiak és nők” formátum elfogadása és a nők versenyen való aktív előmozdítása elősegítette a jobb paritás elérését az elmúlt két évben. Hadnagy elmondta, hogy kritikus fontosságú a nők nagyobb láthatósága a projektben, és ösztönözte mások csatlakozását. "Több nő volt nálunk, mint amennyit el tudnánk venni ebben az évben" - mondta.
Hogyan működtek a nők a férfiakkal szemben? "Ebben az évben a nők nem csak nyertek" - mondta Hadnagy. "Megsemmisítették az embereket." Az öt legfontosabb résidőből három nők jutott el, és a legjobban teljesítő szociális mérnök több mint 200 ponttal több, mint a következő legmagasabb pontszámmal rendelkező résztvevő.
Ezekből az adatokból nagyon sok következtetés levonható, de ami a nők társadalmi mérnöki sikerét illeti, Hadnagy elmondta, hogy egyszerűen nincs elegendő információ. "Nem hiszem, hogy ez bizonyítja, hogy az emberek bizalommal bírnak a nőkben" - mondta. "A győztes nők megmutatnak valamit, de nincs adatunk arról, hogy nők férfiakkal beszélgettek volna."
Ennek ellenére a nőknek a férfiakéhoz képest széles skálája volt, amire utalt a verseny végső jelentése. Azt állította: "A változékonyságot feltételezhetjük abból a tényből, hogy rendkívül sokszínű csoport voltak, nagyon különböző háttérrel és eltérő tapasztalati szinttel". A férfiak viszont hajlamosak voltak ugyanazon pontszám-tartomány körül lógni, kevesebb túllépéssel. "Noha csoportként biztosítottuk a sokszínűséget, a férfiak inkább homogénebbek voltak a háttér és a tapasztalatok szintjén, és ez talán tükröződött a pontszámok kisebb tartományában."
Nincs információm a biztonsági másolat készítéséhez, de szerintem ezek az adatok azt mutatják, hogy fontos a különféle háttérrel rendelkező egyének bármely csoportba történő bevonása. De én csak engem.
Az információ már ott van
A verseny végleges jelentése lehet, hogy nem egyértelmű a nemek szerepéről, de egyértelmű, hogy a gondos kutatás kritikus jelentőségű volt a nyertesek számára. A versenyzők megdöbbentő mennyiségű információt találtak szabadon elérhetőek az interneten, és azok, akik a kutatási szakaszban magasabb pontszámmal rendelkeznek, sokkal jobban teljesítettek a tényleges felhívás során.
Egy esetben egy versenyző nyilvános webportált talált a munkavállalók számára. Annak ellenére, hogy jelszóval bejelentkezett, a versenyző rájött, hogy a célvállalat által biztosított, nyilvánosan elérhető súgódokumentum példaként egy működő felhasználónevet és jelszót tartalmaz. "2013-as év, és még mindig látunk ilyen dolgokat" - mondta Hadnagy.
De a biztonság megsértése nem tette szükségessé a versenyzők által keresett információk többségének megtalálását. Ennek nagy része elérhető volt a közösségi médián keresztül, olykor olyan személyek által is, akik vállalati e-mailüket összekapcsolták a közszolgáltatással. Az egyik információforrás meglepte Hadnagyot: "Myspace, hidd el vagy sem."
Jobb és jobb álruhák
Hadnagy azt is megjegyezte, hogy a nyílt forrású információgyűjtésen túl a versenyzők sokkal összetettebb ürügyeket is használtak, amikor a cégeket a verseny utolsó szakaszában hívták meg. Az elmúlt években sok versenyző jelentést készített felmérés-választóként vagy hallgatóként. Hadnagy ebben az évben aktívan visszatartotta ezt a megközelítést, emlékeztetve a versenyzőket, hogy valószínűleg magukra fogják tenni ezeket a felhívásokat. "Miért válaszolna valaki vállalati környezetben ezekre a kérdésekre?" Kérdezte.
Ezek az ürügyek vonzóak, mivel többé-kevésbé névtelenek és alacsony a kockázata a hívó fél számára. Ebben az évben azonban több versenyző jelentkezett munkatársként vagy eladóként, akik a célcégekkel dolgoznak. Hadnagy azt mondta, hogy bár több velejáró kockázatot hordoz magában, a bizalom inkább fennáll. "Automatikusan a versenyzők megbíztak és információt kaptak a denevérről" - mondta.
A versenyzők ürügyei érdemi eltérést mutattak a nemek közötti vonalon. A tíz nő közül kilenc úgy gondolta, hogy nem műszakilag hozzáértőek, és "munkatársaik" segítségét keresik. A verseny összes férje technikai szakértőként, és néhány esetben vezérigazgatóként jelent meg.
Ismerje meg a fenyegetést
Noha érdekes elgondolkodni a verseny módszerein és sajátosságain, a vitathatatlan tény az, hogy tíz vállalat hatalmas mennyiségű információt adott fel - akár telefonon, akár nyilvánosan online. Bár a versenyzők utólagos információi nem mindig voltak természetéből adódóan veszélyesek, a többszintű támadás szilárd első lépéseként olvashatóak. Egy nap a kávézóról kérdezik, másnap pedig bejelentkezéseket.
Hadnagy a munkavállalók tudatosságának hiányára hívja fel a problémát, általában a felsőbbrendűek alacsony szintű oktatása miatt. A Hadnagy szerint az alkalmazottak kiképzése arra, hogy kritikusan gondolkodjanak azon, amit online tesznek, és amit telefonon mondnak, kevesebb sikeres támadással eredményezhetnek.
Az egyik legérdekesebb javaslata az volt, hogy a vállalatok ne büntessék meg csalásokat okozó személyeket, és ösztönözzék a lehetséges jogsértések következmény nélküli bejelentését. Hadnagy elmondta a SecurityWatch-nek, hogy az ilyen gyakorlatokat követõ vállalatok általában jobban kezelik ezeket a fenyegetéseket.
Függetlenül attól, hogy egy társaság tagja vagy csak magánszemély otthon, kritikus jelentőségű a szociális mérnöki veszélyek ismerete. Tehát legközelebb, amikor valaki segítséget kér, vagy e-mailt küld, kérdezzen néhány kérdést, mielőtt átadja a koronaékszereket.
Kép a Flickr felhasználói CGP Gray szolgáltatásán keresztül
