Видео: По закону ⚡️ Барбоскины ⚡️ Сборник мультфильмов 2019 (Октября 2024)
В течение последних пяти лет Крис Хаднаги, главный человек-хакер в Social-Engineer, Inc, проводил необычное соревнование на Def Con. Называемый социальной инженерией Capture The Flag, он бросает вызов участникам собирать информацию о различных компаниях (если хотите, флаги). Это социальная инженерия: искусство сбора информации от целей без необходимости взломать здание или взломать сеть.
На первом этапе 20 участников работают, чтобы получить информацию о целевых компаниях из общедоступных источников. Последний этап - это 25-минутный марафон телефонных звонков, где участники качают жертвы для получения информации. Это варьируется от мирского («Есть ли у вас кафетерий?») До критического («Используете ли вы шифрование диска?») До потенциально катастрофических: обманывать жертв в посещении поддельных URL-адресов. В этом году в конкурсе приняли участие десять компаний, в том числе Apple, Boeing и General Dynamics.
Битва полов
«С самого начала мы всегда призывали женщин присоединиться», - сказал Хаднаги. Принятие формата «мужчины против женщин» и активное продвижение роли женщин в конкурсе помогли добиться лучшего паритета за последние два года. Хаднаги сказал, что предоставление женщинам большей видимости в проекте имеет решающее значение, и призвал других присоединиться. «У нас было больше женщин, чем мы могли бы взять в этом году», - сказал он.
Как женщины справились со своими коллегами-мужчинами? «В этом году женщины не просто победили, - сказал Хаднаги. «Они уничтожили мужчин». Три из пяти лучших слотов достались женщинам, а у лучшего социального инженера было более чем на 200 баллов больше, чем у следующего участника с наибольшим количеством очков.
Из этих данных легко сделать много выводов, но в том, что касается успеха женщин в социальной инженерии, Хаднаги сказал, что информации просто недостаточно. «Я не думаю, что это доказывает, что люди доверяют женщинам по своей сути», - сказал он. «Женщины-победители показывают что-то, но у нас нет данных, показывающих, что они были женщинами, разговаривающими с мужчинами».
Тем не менее, у женщин был широкий диапазон баллов по сравнению с мужчинами, что было отмечено в итоговом отчете конкурса. В нем говорилось: «Изменчивость может быть предположена из того факта, что они были чрезвычайно разнообразной группой, происходящей из самых разных слоев общества и с разным уровнем опыта». Мужчины, с другой стороны, имели тенденцию зависать в одном и том же диапазоне баллов с меньшим количеством выбросов. «Несмотря на то, что мы обеспечили разнообразие в группе, мужчины, как правило, были более однородными по фону и уровню опыта, и, возможно, это отражалось в меньшем диапазоне баллов».
У меня нет информации, чтобы поддержать это, но я думаю, что эти данные показывают важность включения людей из разных слоев в любую команду. Но это только я.
Информация уже есть
Окончательный отчет о конкурсе может быть неубедительным о роли пола, но ясно, что тщательное исследование имело решающее значение для победителей. Конкурсанты обнаружили шокирующее количество информации, свободно доступной в Интернете, и те, у кого были более высокие баллы на этапах исследования, имели тенденцию к гораздо лучшему результату во время фактического вызова.
В одном случае участник нашел общедоступный веб-портал для сотрудников. Несмотря на то, что он был защищен паролем, участник обнаружил, что общедоступный справочный документ, предоставленный целевой компанией, содержит рабочее имя пользователя и пароль в качестве примера. «Сейчас 2013 год, и мы все еще видим подобные вещи», - сказал Хаднаги.
Но не потребовалось серьезных нарушений в безопасности, чтобы найти большую часть информации, которую искали участники. Многое из этого было доступно через социальные сети, иногда публикуемые людьми, которые связывали свою корпоративную электронную почту с государственной службой. Один источник информации удивил Хаднаги: «Myspace, верьте или нет».
Все лучше и лучше Маскировка
Хаднаги также отметил, что в дополнение к сбору информации с открытым исходным кодом, конкуренты также использовали гораздо более сложные предлоги при вызове компаний на заключительном этапе конкурса. В предыдущие годы многие конкурсанты выдавали себя за участников опросов или студентов. Hadnagy активно препятствовал такому подходу в этом году, напоминая участникам, что они, вероятно, сами повесят трубку. «Почему кто-то в корпоративной среде отвечает на эти вопросы?» Он спросил.
Эти предлоги привлекательны, потому что они более или менее анонимны и имеют низкий риск для звонящего. В этом году, однако, было больше участников, выдававших себя за коллег или продавцов, которые работают с целевыми компаниями. В то время как это несет в себе больше неотъемлемого риска, Хаднаги сказал, что доверие было более присуще. «Автоматически конкурсантам доверяли и давали информацию сразу, - сказал он.
Предлоги участников показали интересное расхождение по признаку пола. Девять из десяти женщин изображали себя не технически подкованными и искали помощи у «коллег». Все мужчины в конкурсе выдавали себя за технических экспертов, а в некоторых случаях за руководителей.
Знать угрозу
Несмотря на то, что интересно размышлять о причинах и причинах конкуренции, бесспорным фактом является то, что десять компаний отказались от огромного количества информации - либо по телефону, либо опубликовали в Интернете. Хотя информация, которую искали участники, не всегда была опасна по своей природе, они действительно читаются как твердый первый шаг в многоуровневой атаке. Однажды вы спрашиваете о кафетерии, а на следующий день вы спрашиваете логины.
Хаднаги связывает проблему с неосведомленностью среди работников, что обычно связано с плохим образованием старших должностных лиц. По словам Хэднаги, обучение сотрудников критическому анализу того, что они размещают в Интернете и что они говорят по телефону, может окупиться с меньшим количеством успешных атак.
Одним из его самых интригующих предложений было то, что компании не наказывают людей, которые попадают за мошенничество, и поощряют бесплатное сообщение о возможных нарушениях. Хэднаги сказал SecurityWatch, что компании, которые следуют этим правилам, обычно лучше справляются с этими угрозами.
Независимо от того, являетесь ли вы частью компании или просто человеком дома, знание об опасностях социальной инженерии имеет решающее значение. Поэтому в следующий раз, когда кто-то позвонит или напишет письмо с просьбой о помощи, задайте несколько вопросов, прежде чем передать драгоценности короны.
Изображение от пользователя Flickr CGP Grey
