Video: MITEN NAISET ISKEVÄT MIEHIÄ? (Marraskuu 2024)
Viimeisen viiden vuoden ajan Social-Engineer, Inc: n johtava ihmisen hakkeri Chris Hadnagy on järjestänyt epätavallisen kilpailun Def Conissa. Sosiaalisen tekniikan kaappauslippuna kutsuttu haaste kilpailijoille kerätä tietoja eri yrityksistä (liput, jos haluat). Tämä on sosiaalinen tekniikka: taidetta kerätä tietoja kohteista joutumatta murtautumaan rakennukseen tai hakkeroimaan verkkoa.
Ensimmäisessä vaiheessa 20 kilpailijaa pyrkii saamaan tietoa kohdeyrityksistä julkisesti saatavista lähteistä. Viimeinen vaihe on 25 minuutin puhelinsoittojen maraton, jossa kilpailijat pumppaavat uhreja tietoja. Tämä vaihtelee arkipäiväisestä ("Onko sinulla kahvilaa?") Kriittiseen ("Käytätkö levyn salausta?") Potentiaalisesti katastrofaaliseen: uhreiden huijaaminen vierekkäisiin URL-osoitteisiin. Tämän vuoden kilpailuun osallistui kymmenen yritystä, muun muassa Apple, Boeing ja General Dynamics.
Sukupuolitaistelu
"Alusta lähtien olemme aina pyytäneet naisia liittymään", sanoi Hadnagy. "Miehet vs. naiset" -muodon omaksuminen ja naisten roolin aktiivinen edistäminen kilpailussa auttoi parantamaan pariteettia kahden viime vuoden aikana. Hadnagy sanoi, että naisten näkyvyyden lisääminen projektissa oli kriittistä, ja rohkaisi muita liittymään. "Meillä oli enemmän naisia kuin voisimme ottaa tänä vuonna", hän sanoi.
Kuinka naiset tekivät miehiä vastaan? "Tänä vuonna naiset eivät vain voittaneet", sanoi Hadnagy. "He hävittivät miehiä." Kolme viidestä parhaasta lähtöpaikasta meni naisille, ja parhaalla pistemäärällä sosiaalisilla insinööreillä oli yli 200 pistettä enemmän kuin seuraavalla korkeimmalla pistemäärällä osallistuneella.
Näistä tiedoista on helppo tehdä paljon johtopäätöksiä, mutta mitä tulee naisten menestymiseen sosiaalisissa tekniikoissa, Hadnagy sanoi, että vain ei ole tarpeeksi tietoa. "En usko, että se osoittaa, että ihmiset luottavat naisiin luonnostaan", hän sanoi. "Voittaneet naiset osoittavat jotain, mutta meillä ei ole tietoja, jotka osoittaisivat, että he olivat naisia puhuessaan miesten kanssa."
Naisilla oli kuitenkin laaja pisteet miehiin verrattuna, mikä todettiin kilpailun loppuraportissa. Se sanoi: "vaihtelevuuteen voidaan olettaa siitä tosiasiasta, että he olivat erittäin monimuotoinen ryhmä, joka oli peräisin hyvin erilaisista taustoista ja erilaisista kokemustasoista." Toisaalta miehillä oli taipumus roikkua samalla pistemääräalueella vähemmän harvemmin. "Vaikka varmistimme ryhmänä monimuotoisuuden, miehillä oli taipumus olla homogeenisempi taustalla ja kokemustasolla, ja ehkä tämä heijastui pienemmässä pistemääräalueessa."
Minulla ei ole tietoa sen varmuuskopioinnista, mutta mielestäni nämä tiedot osoittavat, että on tärkeää sisällyttää eri taustoilla olevia henkilöitä mihin tahansa joukkueeseen. Mutta se on vain minä.
Tiedot ovat jo siellä
Kilpailun loppuraportti voi olla epävarma sukupuolen roolista, mutta on selvää, että huolellinen tutkimus oli kriittinen voittajan kannalta. Kilpailijat löysivät järkyttävän määrän tietoa, joka oli vapaasti saatavana verkosta, ja niillä, joilla tutkimusvaiheissa oli korkeampi pistemäärä, oli taipumus tehdä paljon paremmin varsinaisen kutsun aikana.
Yhdessä tapauksessa kilpailija löysi julkisen verkkoportaalin työntekijöille. Vaikka kilpailija oli suojattu salasanalla, kirjautui sisään, mutta kilpailija huomasi, että kohdeyrityksen tarjoama julkisesti saatavilla oleva ohjeasiakirja sisälsi esimerkkinä toimivan käyttäjänimen ja salasanan. "On vuosi 2013 ja näemme edelleen tällaisia asioita", sanoi Hadnagy.
Mutta suurimman osan kilpailijoiden etsimästä tiedosta ei vaadittu suuria tietoturvaloukkauksia. Suuri osa siitä oli saatavana sosiaalisen median kautta, joskus lähettäneet ihmiset, jotka linkittivät yrityksen sähköpostin julkiseen palveluun. Yksi tietolähde yllätti Hadnagy: "Myspace, usko tai älä."
Parempi naamiointi
Hadnagy huomautti myös, että avoimen lähdekoodin tiedonkeruun lisäksi kilpailijat käyttivät myös paljon monimutkaisempia tekosyitä soittaessaan yrityksiä kilpailun viimeisessä vaiheessa. Aikaisempina vuosina monet kilpailijat poseeraavat tutkimuksen ottajana tai opiskelijana kirjoittamalla raportteja. Hadnagy lannisti aktiivisesti tätä lähestymistapaa tänä vuonna, muistuttaen kilpailijoita, että he todennäköisesti keskeyttäisivät nämä puhelut itse. "Miksi kukaan yritysympäristössä vastaisi näihin kysymyksiin?" Hän kysyi.
Nämä tekosyyt ovat houkuttelevia, koska ne ovat enemmän tai vähemmän nimettömiä ja heillä on pieni riski soittajalle. Tänä vuonna nähtiin kuitenkin enemmän kilpailijoita, jotka poseeraavat kohdeyritysten parissa työskentelevinä työntekijöinä tai myyjinä. Vaikka siihen liittyy enemmän luontaista riskiä, Hadnagy sanoi, että luottamus oli enemmän luontaista. "Kilpailijoihin luotettiin automaattisesti ja heille annettiin tietoja heti lepakoista", hän sanoi.
Kilpailijoiden tekosyyt osoittivat mielenkiintoisia eroja sukupuolen mukaan. Kymmenestä naisesta yhdeksän kuvasi olevansa teknisesti taitamattomia ja etsinyt apua "muilta" työntekijöiltä. Kaikki kilpailun miehet tekivät teknisenä asiantuntijana ja joissain tapauksissa toimitusjohtajina.
Tunne uhka
Vaikka on mielenkiintoista pohtia kilpailun tapoja ja haittoja, kiistaton tosiasia on, että kymmenen yritystä luopui valtavasta määrästä tietoa - joko puhelimitse tai postitettuna julkisesti verkkoon. Vaikka tiedot, jotka kilpailijat olivat jälkeenpäin, eivät aina olleet luonnostaan vaarallisia, he lukevat kuin vankka ensimmäinen askel monitasoisessa hyökkäyksessä. Eräänä päivänä kysyt kahvilasta, ja seuraavana päivänä kirjaudut sisään.
Hadnagy kiinnittää ongelman työntekijöiden puutteelliseen tietoisuuteen, joka johtuu yleensä korkea-asteen koulutuksen heikosta koulutuksesta. Hadnagy sanoi, että työntekijöiden kouluttaminen ajattelemaan kriittisesti sitä, mitä he postittavat verkossa ja mitä puhelimitse sanotaan puhelimitse, Hadnagy sanoi, että se voi maksaa vähemmän onnistuneilla hyökkäyksillä.
Yksi mielenkiintoisimmista ehdotuksista oli, että yritykset eivät rangaista huijauksia tekeviä henkilöitä, ja rohkaisevat mahdollisten rikkomusten ilmaista ilmoittamista. Hadnagy kertoi SecurityWatchille, että näitä käytäntöjä noudattavat yritykset pystyvät yleensä paremmin käsittelemään näitä uhkia.
Riippumatta siitä, oletko osa yritystä vai onko kotona yksilö, sosiaalisen tekniikan vaaroista tiedäminen on kriittistä. Joten seuraavan kerran, kun joku soittaa tai lähettää sinulle sähköpostia pyytämällä apua, kysy muutama kysymys ennen kuin annat kruunukoruja.
Kuva Flickr-käyttäjän CGP Grey kautta