V zadnjih petih letih je Chris Hadnagy, glavni človeški heker v družbi Social-Engineer, Inc, vodil nenavadno tekmovanje v podjetju Def Con. Imenovano Social Engineering Capture The Flag, izziva tekmovalce, da zbirajo informacije o različnih podjetjih (zastave, če hočete). To je socialni inženiring: umetnost zbiranja informacij s ciljev, ne da bi morali vdreti v zgradbo ali vdreti v omrežje.
V prvi fazi si 20 tekmovalcev prizadeva pridobiti informacije o ciljnih podjetjih iz javno dostopnih virov. Zadnja faza je 25 minutni maraton telefonskih klicev, kjer tekmovalci črpajo žrtve za informacije. To sega od vsakdanjega ("Ali imate kavarno?") Do kritičnega ("Ali uporabljate šifriranje diska?") Do potencialno katastrofalnega: ubijanje žrtev v obisk lažnih URL-jev. Letošnje tekmovanje je vključilo deset podjetij, med katerimi so bila Apple, Boeing in General Dynamics.
Bitka spolov
"Že od začetka smo vedno klicali ženske, da se pridružijo, " je dejala Hadnagy. Sprejetje formata "moški proti ženskam" in aktivno spodbujanje vloge žensk v tekmovanju sta v zadnjih dveh letih pripomogla k večji enakovrednosti. Hadnagy je dejal, da je večja prepoznavnost žensk v projektu ključnega pomena, in druge spodbudil, da se pridružijo. "Letos smo imeli več žensk, kot bi jih lahko sprejeli, " je dejal.
Kako so ženske ravnale proti moškim kolegom? "Letos ženske niso samo zmagale, " je dejal Hadnagy. "Izbrisali so moške." Tri od prvih petih mest so se uvrstile med ženske, najboljši inženir socialnega inženirja pa je imel več kot 200 točk več kot naslednji udeleženec z najvišjim rezultatom.
Iz teh podatkov je enostavno izluščiti veliko zaključkov, toda glede uspešnosti žensk v socialnem inženiringu je Hadnagy dejal, da preprosto ni dovolj informacij. "Mislim, da to ne dokazuje, da ljudje sami sebi zaupajo ženske, " je dejal. "Ženske, ki zmagajo, kažejo nekaj, vendar nimamo podatkov, ki bi pokazali, da so ženske govorile z moškimi."
Kljub temu so ženske v primerjavi z moškimi imele širok razpon točk, kar je bilo zapisano v končnem poročilu tekmovanja. Rečeno je: "variabilnost je mogoče domnevati, da gre za izjemno raznoliko skupino, ki izhaja iz zelo različnih okolij in različnih izkušenj." Moški na drugi strani so se nagibali k enakemu številu rezultatov z manj odbitki. "Čeprav smo kot skupina zagotovili raznolikost, so bili moški ponavadi bolj homogeni v ozadju in stopnji izkušenj, in morda se je to odražalo v manjši oceni rezultatov."
Nimam podatkov, da bi jih podprl, vendar mislim, da ti podatki kažejo na pomembnost vključitve posameznikov iz različnih okolij v katero koli ekipo. Ampak to sem samo jaz.
Informacije so že tam
Končno poročilo natečaja morda ni prepričljivo o vlogi spola, vendar je jasno, da so bile za zmagovalce kritične raziskave ključne. Udeleženci so našli spletno šokantno količino informacij, ki so na voljo na spletu, tisti z višjimi ocenami v raziskovalnih fazah pa so med dejanskim klicanjem naredili veliko boljše rezultate.
V enem primeru je tekmovalec našel javni spletni portal za zaposlene. Čeprav je bil zavarovan z geslom za prijavo gesla, je tekmovalec odkril, da javno dostopni dokument pomoči, ki ga je priskrbela ciljna družba, vsebuje kot uporabno uporabniško ime in geslo. "Leto 2013 je in še vedno vidimo take stvari, " je dejal Hadnagy.
Vendar ni bilo večjih kršitev varnosti, da bi našli večino informacij, ki so jih tekmovalci iskali. Veliko tega je bilo na voljo prek družbenih medijev, včasih pa jih objavljajo tudi posamezniki, ki so korporativni e-poštni naslov povezali z javno storitvijo. En vir informacij je Hadnagyja presenetil: "Myspace, verjeli ali ne."
Boljše in boljše prikrite
Hadnagy je tudi opozoril, da so tekmovalci poleg odprtokodnega zbiranja informacij uporabili tudi veliko bolj zapletene predloge pri klicanju podjetij v zadnji fazi tekmovanja. Prejšnja leta je bilo veliko tekmovalcev, ki se predstavljajo kot anketiranci ali študenti, ki pišejo poročila. Hadnagy je tovrstni pristop letos odklonil in opomnil tekmovalce, da se bodo na te razpise verjetno sami odpravili. "Zakaj bi kdo v podjetniškem okolju odgovoril na ta vprašanja?" Je vprašal.
Ti predlogi so privlačni, ker so bolj ali manj anonimni in imajo majhno tveganje za klicatelja. Letos pa je bilo več tekmovalcev, ki se predstavljajo kot sodelavci ali prodajalci, ki sodelujejo s ciljnimi podjetji. Čeprav je tveganje bolj povezano, je Hadnagy dejal, da je zaupanja več. "Tekmovalcem se je samodejno zaupalo in jim takoj posredovali informacije, " je dejal.
Ugovori tekmovalcev so pokazali nekaj zanimivih razhajanj glede na spol. Od desetih žensk se jih je devet predstavilo, da niso tehnično pametne in so poiskale pomoč pri "kolega" zaposlenih. Vsi moški na tekmovanju so se predstavljali kot tehnološki strokovnjaki, v nekaterih primerih pa tudi izvršni direktorji.
Spoznajte grožnjo
Čeprav je zanimivo razmišljati o tem, kako in kaj je konkurenca, je nesporno dejstvo, da se je deset podjetij odreklo ogromno informacij - bodisi po telefonu bodisi javno objavljeno na spletu. Medtem ko informacije, po katerih tekmovalci niso bili vedno sami po sebi, nevarne, se vseeno berejo kot trden prvi korak v večplastnem napadu. En dan sprašujete o kavarni, naslednji dan pa vprašate za prijavo.
Hadnagy težavo zastavlja zaradi pomanjkanja ozaveščenosti zaposlenih, ki je običajno posledica slabe izobrazbe višjih. Usposabljanje zaposlenih, da kritično razmišljajo o tem, kaj objavljajo v spletu in kaj govorijo po telefonu, se je po besedah Hadnagy-ja izplačalo z manj uspešnimi napadi.
Eden njegovih najbolj intrigantnih predlogov je bil, da podjetja ne kaznujejo posameznikov, ki padejo zaradi prevare, in spodbujajo, da posledično poročajo o morebitnih kršitvah. Hadnagy je za SecurityWatch povedal, da podjetja, ki sledijo tem praksam, na splošno bolje obvladajo te grožnje.
Ne glede na to, ali ste del podjetja ali samo posameznik doma, je poznavanje nevarnosti socialnega inženiringa ključnega pomena. Torej, ko naslednjič nekdo pokliče ali po e-pošti, ki vas prosi za pomoč, postavite nekaj vprašanj, preden izročite dragulje iz krošnje.
Slika prek uporabnika Flickr CGP Grey
