Video: Culture in Decline | Episode #2 "Economics 101" by Peter Joseph (Oktober 2024)
I de sidste fem år har Chris Hadnagy, Chief Human Hacker hos Social-Engineer, Inc, kørt en usædvanlig konkurrence på Def Con. Kaldt Social Engineering Capture The Flag, det udfordrer deltagerne til at indsamle information om forskellige virksomheder (flag, hvis du vil). Dette er social engineering: kunsten at indsamle information fra mål uden at skulle bryde ind i en bygning eller hacke et netværk.
I den første fase arbejder 20 deltagere for at få information om målvirksomheder fra offentligt tilgængelige kilder. Den sidste fase er et 25 minutters maraton af telefonopkald, hvor deltagerne pumper ofre til information. Dette spænder fra det verdslige ("Har du en cafeteria?") Til den kritiske ("Bruger du diskkryptering?") Til det potentielt katastrofale: narre ofre til at besøge falske webadresser. Årets konkurrence omfattede ti virksomheder, herunder Apple, Boeing og General Dynamics blandt andre.
Battle of the Sexes
”Fra begyndelsen har vi altid opfordret kvinder til at deltage, ” sagde Hadnagy. Vedtagelsen af et "mænd mod kvinder" -format og aktivt at fremme kvinders rolle i konkurrencen hjalp med til at skabe bedre paritet i de sidste to år. Hadnagy sagde, at det var kritisk at give kvinder mere synlighed i projektet og opfordrede andre til at deltage. ”Vi havde flere kvinder, end vi kunne tage i år, ” sagde han.
Hvordan gjorde kvinder det mod deres mandlige kolleger? ”I år vandt kvinderne ikke bare, ” sagde Hadnagy. "De udslettede mænd." Tre af de fem bedste slots gik til kvinder, og den topscorerende socialingeniør havde over 200 point mere end den næsthøjest scorede deltager.
Det er let at drage en masse konklusioner fra disse data, men hvad angår kvinders succes inden for social engineering, sagde Hadnagy, at der bare ikke er nok information. ”Jeg tror ikke, det viser, at folk har tillid til kvinder iboende, ” sagde han. ”De kvinder, der vinder, viser noget, men vi har ingen data, der viser, at de var kvinder, der talte med mænd.”
Når det er sagt, havde kvinderne en lang række scoringer sammenlignet med mændene, hvilket blev noteret i konkurrenceens endelige rapport. Den sagde: "variation i kan antages at være antaget af, at de var en ekstremt mangfoldig gruppe, der kom fra meget forskellige baggrunde og forskellige erfaringsniveauer." Mænd på den anden side havde en tendens til at hænge rundt i det samme antal scoringer med færre outliers. "Selvom vi sikrede mangfoldighed som en gruppe, var mændene tilbøjelige til at være mere homogene i baggrund og erfaringsniveau, og dette afspejles måske i det mindre antal scoringer."
Jeg har ikke oplysningerne til at sikkerhedskopiere dem, men jeg tror, disse data viser vigtigheden af at inkludere individer med forskellige baggrunde i ethvert hold. Men det er bare mig.
Oplysningerne er allerede derude
Konkurrenceens endelige rapport kan være entydig om køns rolle, men det er klart, at omhyggelig forskning var kritisk for vinderne. Deltagere fandt en chokerende mængde information frit tilgængelig online, og dem med højere score i forskningsfaserne havde en tendens til at gøre det meget bedre under selve opkaldet.
I et tilfælde fandt en deltager en offentlig portal for ansatte. Selvom det var sikret med et kodeord-login, opdagede deltageren, at et offentligt tilgængeligt hjælpedokument leveret af målselskabet indeholdt et fungerende brugernavn og adgangskode som eksempel. ”Det er 2013, og vi ser stadig ting som dette, ” sagde Hadnagy.
Men det krævede ikke store sikkerhedsbrud at finde de fleste af de oplysninger, som deltagerne søgte. Meget af det var tilgængeligt via sociale medier, undertiden sendt af enkeltpersoner, der linkede deres virksomheds e-mail til en offentlig service. En informationskilde overraskede Hadnagy: "Myspace, tro det eller ej."
Bedre og bedre forklædninger
Hadnagy bemærkede også, at ud over informationsindsamling af open source, deltog deltagere også meget mere komplekse påskud, når de ringede til virksomheder i den sidste fase af konkurrencen. Tidligere år var der mange deltagere, der stod som undersøgelsesoptagere eller studerende, der skrev rapporter. Hadnagy modtog aktivt denne tilgang i år og mindede deltagere om, at de sandsynligvis ville hænge på disse opkald selv. "Hvorfor skulle nogen i et virksomhedsmiljø besvare disse spørgsmål?" Spurgte han.
Disse påskud er attraktive, fordi de er mere eller mindre anonyme og har en lav risiko for den, der ringer. I år så der imidlertid flere deltagere udstille sig som medarbejdere eller leverandører, der arbejder med målselskaberne. Mens det bærer mere iboende risiko, sagde Hadnagy, at der var mere iboende tillid. "Automatisk blev deltagere betroet og givet information lige fra flagermus, " sagde han.
Deltagernes påskud viste nogle interessante afvigelser langs køn. Af de ti kvinder fremstilte ni sig som ikke teknisk kyndige og ledte efter hjælp fra "medarbejdere". Alle mændene i konkurrencen stod som tech-eksperter og i nogle tilfælde administrerende direktører.
Kend truslen
Selvom det er interessant at overveje konkurrencens hvordan og whys, er det ubestridelige faktum, at ti virksomheder opgav en enorm mængde information - enten over telefonen eller offentliggjort online. Mens de oplysninger, som deltagerne var efter, ikke altid var iboende farlige, læste de som et solidt første skridt i et flerlagsangreb. Den ene dag spørger du om cafeteriet, og den næste dag beder du om login.
Hadnagy benytter sig af problemet på en mangel på opmærksomhed blandt medarbejderne, som regel stammer fra dårlig uddannelse af de højere. At uddanne medarbejdere til at tænke kritisk over, hvad de poster online, og hvad de siger over telefonen, sagde Hadnagy, kan betale sig med færre succesrige angreb.
Et af hans mest spændende forslag var, at virksomheder ikke straffer personer, der falder for svindel, og tilskynder til konsekvensrapportering af mulige overtrædelser. Hadnagy fortalte SecurityWatch, at virksomheder, der følger denne praksis, generelt er bedre til at håndtere disse trusler.
Uanset om du er en del af et firma eller bare en person derhjemme, er det vigtigt at vide om farerne ved social ingeniørarbejde. Så næste gang nogen ringer eller e-mailer du beder om hjælp, skal du stille et par spørgsmål, før du overleverer kronjuvelerne.
Billede via Flickr-bruger CGP Grå
