Video: ZEITGEIST: MOVING FORWARD | OFFICIAL RELEASE | 2011 (Octombrie 2024)
În ultimii cinci ani, Chris Hadnagy, șef hacker uman la Social-Engineer, Inc, a organizat o competiție neobișnuită la Def Con. Numit Inginerie Socială Capture Flag, acesta provoacă concurenții să strângă informații despre diverse companii (steaguri, dacă vrei). Este vorba de inginerie socială: arta de a colecta informații din ținte, fără a fi nevoie să intre în clădire sau să pirateze o rețea.
În prima fază, 20 de concurenți lucrează pentru a obține informații despre companiile țintă din surse disponibile publicului. Ultima fază este un maraton de 25 de minute de apeluri telefonice în care concurenții pompează victimele pentru informații. Aceasta variază de la lumea („Aveți o cafenea?”) La cea critică („Utilizați criptarea discului?”) Până la potențial dezastruos: păcălirea victimelor în vizitarea adreselor URL false. Concursul din acest an a inclus zece companii, printre care Apple, Boeing și General Dynamics, printre altele.
Bătălia sexiurilor
"De la început am făcut întotdeauna un apel pentru ca femeile să se alăture", a spus Hadnagy. Adoptarea unui format „bărbați vs. femei” și promovarea activă a rolului femeilor în competiție a contribuit la o mai bună paritate în ultimii doi ani. Hadnagy a spus că oferirea femeilor de mai multă vizibilitate în proiect a fost critică și i-a încurajat pe alții să se alăture. „Am avut mai multe femei decât am putea lua anul acesta”, a spus el.
Cum au procedat femeile împotriva omologilor lor bărbați? "Anul acesta, femeile nu doar au câștigat", a spus Hadnagy. „Au omorât bărbații”. Trei dintre primele cinci sloturi au mers la femei, iar inginerul social cu cele mai bune notări a avut peste 200 de puncte mai mult decât următorul participant cu cele mai mari scoruri.
Este ușor să trageți multe concluzii din aceste date, dar în ceea ce privește succesul femeilor în inginerie socială, Hadnagy a spus că pur și simplu nu există suficiente informații. „Nu cred că se dovedește că oamenii au încredere în femei în mod inerent”, a spus el. „Femeile câștigătoare arată ceva, dar nu avem date care să arate că erau femei care vorbeau cu bărbați”.
Acestea fiind spuse, femeile au avut o gamă largă de scoruri în comparație cu bărbații, ceea ce a fost remarcat în raportul final al concursului. Acesta a spus: "variabilitatea în poate fi ipotezată din faptul că erau un grup extrem de divers, provenind din medii foarte diferite și niveluri de experiență diferite." Pe de altă parte, bărbații aveau tendința să stea în jurul aceleiași game de scoruri cu mai puțini valori. „Deși am asigurat diversitatea ca grup, bărbații au avut tendința de a fi mai omogeni în fond și experiență și probabil că acest lucru s-a reflectat în gama mai mică de scoruri.”
Nu am informații pentru a o copia, dar cred că aceste date arată importanța includerii unor persoane din medii diferite în orice echipă. Dar eu sunt doar eu.
Informațiile sunt deja acolo
Raportul final al competiției poate fi neconcludent cu privire la rolul de gen, dar este clar că o cercetare atentă a fost critică pentru câștigători. Concurenții au găsit o cantitate șocantă de informații disponibile gratuit online, iar cei cu scoruri mai mari în fazele de cercetare au avut tendința de a se descurca mult mai bine în timpul convorbirilor efective.
Într-un caz, un concurent a găsit un portal web destinat angajaților. Deși a fost securizat cu o autentificare cu parolă, concurentul a descoperit că un document de ajutor disponibil public furnizat de compania țintă conținea un nume de utilizator și o parolă de exemplu, ca exemplu. „Este anul 2013 și încă vedem așa ceva”, a spus Hadnagy.
Dar nu a fost nevoie de încălcări majore în securitate pentru a găsi cele mai multe informații pe care le solicitau concurenții. O mare parte din aceasta a fost disponibilă prin intermediul rețelelor de socializare, uneori postate de persoane fizice care și-au conectat e-mailurile corporative la un serviciu public. O sursă de informație l-a surprins pe Hadnagy: „Myspace, crezi sau nu”.
Mai bune și mai bune deghizări
Hadnagy a menționat, de asemenea, că pe lângă colectarea informațiilor despre surse deschise, concurenții au folosit și pretexturi mult mai complexe atunci când au apelat companii în faza finală a competiției. Anii precedenți au văzut mulți concurenți pozând ca participanți la sondaj sau studenți care scriau rapoarte. Hadnagy a descurajat activ această abordare în acest an, amintindu-le concurenților că probabil vor participa la aceste apeluri. "De ce ar răspunde cineva la aceste întrebări?" El a intrebat.
Aceste pretexte sunt atractive, deoarece sunt mai mult sau mai puțin anonime și au un risc scăzut pentru apelant. Anul acesta, însă, a văzut mai mulți concurenți pozând ca colegi angajați sau vânzători care lucrează cu companiile țintă. Deși are un risc mai inerent, Hadnagy a spus că există o încredere mai inerentă. „În mod automat, concurenții au primit încredere și li s-au oferit informații chiar de pe liliac”, a spus el.
Pretextele concurenților au arătat o divergență interesantă pe linii de gen. Dintre cele zece femei, nouă s-au înfățișat ca fiind neînțelese din punct de vedere tehnic și căutau ajutor de la angajații „colegi”. Toți bărbații din competiție au reprezentat experți în tehnologie și, în unele cazuri, CEO-uri.
Cunoaște amenințarea
Deși este interesant să ne gândim la felul în care se află convingerea concurenței, ceea ce este incontestabil este faptul că zece companii au renunțat la o cantitate uriașă de informații - fie prin telefon, fie publicate online online. În timp ce informațiile pe care concurenții le-au fost nu au fost întotdeauna periculoase, ele au citit ca un prim pas solid într-un atac cu mai multe niveluri. Într-o zi întrebi despre cafenea, iar a doua zi ceri autentificări.
Hadnagy pune problema problemei pe o lipsă de conștientizare a angajaților, care rezultă de obicei din educația precară de către cei mai înalți. Instruirea angajaților să se gândească critic la ce postează online și la ce spun ei prin telefon, a spus Hadnagy, poate plăti cu mai puține atacuri de succes.
Una dintre cele mai interesante sugestii a fost aceea că companiile nu pedepsesc persoanele care se confruntă cu escrocherii și încurajează raportarea gratuită a eventualelor încălcări. Hadnagy a declarat pentru SecurityWatch că companiile care urmează aceste practici sunt în general mai bune în tratarea acestor amenințări.
Indiferent dacă faci parte dintr-o companie sau doar o persoană acasă, este important să știi despre pericolele ingineriei sociale. Așa că data viitoare când cineva sună sau trimite prin e-mail solicitând ajutor, puneți câteva întrebări înainte de a preda bijuteriile coroanei.
Imagine prin intermediul utilizatorului Flickr CGP Grey
