Будинки Securitywatch Жінки абсолютно знищують чоловіків у змаганнях із соціального інженерії

Жінки абсолютно знищують чоловіків у змаганнях із соціального інженерії

Відео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Листопад 2024)

Відео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Листопад 2024)
Anonim

Протягом останніх п'яти років Кріс Хаднагі, головний хакер людини в Social-Engineer, Inc, проводив незвичну конкуренцію в Def Con. Називається Захоплення соціальної інженерії Прапор, він кидає виклик учасникам змагань збирати інформацію про різні компанії (прапори, якщо ви хочете). Це соціальна інженерія: мистецтво збирати інформацію з цілей, не вбиваючись у будівлю чи зламати мережу.

На першому етапі 20 учасників працюють над тим, щоб отримати інформацію про цільові компанії з загальнодоступних джерел. Остання фаза - це 25-хвилинний марафон телефонних дзвінків, де учасники змагань накачують жертв для інформації. Це варіюється від мирського ("Чи є у вас їдальня?") До критичного ("Чи використовуєте ви шифрування диска?") До потенційно згубного: введення жертв у відвідування фальшивих URL-адрес. Цьогорічний конкурс взяв участь десять компаній, серед яких Apple, Boeing та General Dynamics.

Битва статей

"З самого початку ми завжди телефонували жінкам приєднатися", - сказав Хаднагі. Прийняття формату «чоловіки проти жінок» та активне просування ролі жінок у змаганнях допомогли досягти кращого паритету за останні два роки. Хаднагі зазначив, що надати жінкам більше наочності в проекті є критичним, і закликав інших приєднатися. "У нас було більше жінок, ніж ми могли взяти цього року", - сказав він.

Як жінки вчинили проти своїх колег-чоловіків? "Цього року жінки не просто перемогли", - сказав Хаднагі. "Вони знищили чоловіків". Три з п’ятірки кращих слотів дісталися жінкам, а соціальний інженер, що набрав найкращий результат, мав на 200 очок більше, ніж наступний учасник з найвищим балом.

З цих даних легко зробити багато висновків, але що стосується успіху жінок у соціальній інженерії, Хаднагі сказав, що інформації там просто недостатньо. "Я не думаю, що це доводить, що люди спокійно довіряють жінкам", - сказав він. "Жінки, які виграють, щось показують, але у нас немає даних, які б свідчили про те, що вони розмовляли з чоловіками."

Однак, жінки мали широкий спектр балів порівняно з чоловіками, що було відзначено у підсумковому звіті конкурсу. У ній сказано: "мінливість може бути висунута гіпотезою з того, що вони були надзвичайно різноманітною групою, що походить із дуже різного походження та різного рівня досвіду". Чоловіки з іншого боку, як правило, зависають у тому ж діапазоні балів з меншою кількістю людей. "Хоча ми забезпечували різноманітність як група, чоловіки прагнули бути більш однорідними за рівнем досвіду та рівня досвіду, і, можливо, це відбилося на меншому діапазоні балів".

Я не маю інформації для її резервного копіювання, але я вважаю, що ці дані свідчать про важливість включення людей до будь-якої команди в будь-яку команду. Але це тільки я.

Інформація вже там

Підсумковий звіт конкурсу може бути непереконливим щодо ролі статі, але очевидно, що ретельне дослідження було вирішальним для переможців. Учасники конкурсу знайшли шокуючу кількість інформації, вільно доступної в Інтернеті, а ті, хто має більші бали на етапах дослідження, як правило, набагато краще під час власних розмов.

В одному випадку учасник конкурсу знайшов загальнодоступний веб-портал для працівників. Незважаючи на те, що він був забезпечений логіном для входу пароля, учасник конкурсу виявив, що публічно доступний довідковий документ, наданий цільовою компанією, містить приклад робочого імені користувача та пароля. "Настав 2013 рік, і ми все ще бачимо подібні речі", - сказав Хаднагі.

Але не було значних порушень безпеки, щоб знайти більшість інформації, яку шукали учасники змагань. Значна частина була доступна через соціальні медіа, інколи розміщувалась особами, які пов’язували свою корпоративну електронну пошту із державною службою. Одне джерело інформації здивувало Хаднагі: "Myspace, вірите чи ні".

Кращі та кращі маскування

Хаднагі також зазначив, що крім збору інформації з відкритим кодом, учасники змагань також використовували набагато складніші приводи, коли дзвонили компаніям на заключну фазу змагань. У попередні роки багато учасників конкурсу виступали як учасники опитування або студенти, які писали звіти. Хаднагі активно відмовлявся від такого підходу в цьому році, нагадуючи учасникам конкурсу, що вони, ймовірно, самі будуть зациклюватися на цих дзвінках. "Чому хтось у корпоративному середовищі відповів би на ці запитання?" Запитав він.

Ці приводи є привабливими, оскільки вони більш-менш анонімні та мають низький ризик для абонента. Однак цього року спостерігалося більше учасників, які виступають як співробітники чи продавці, які працюють з цільовими компаніями. Хоча він несе більш притаманний ризик, Хаднагі сказав, що існує більше притаманної довіри. "Автоматично учасникам змагань довіряли та надавали інформацію відразу ж", - сказав він.

Підтексти учасників конкурсу показали цікаву розбіжність за гендерними ознаками. З десяти жінок дев'ять зобразили себе, що не мають технічної кмітливості та шукали допомоги у "колег" співробітників. Усі чоловіки на змаганнях виступали як технічні експерти, а в деяких випадках і керівники.

Знайте загрозу

Незважаючи на те, що цікаво роздумувати над голосами та змаганнями конкуренції, незаперечним фактом є те, що десять компаній відмовилися від величезної кількості інформації - або по телефону, або публічно публікувались в Інтернеті. Незважаючи на те, що інформація, яку учасники змагалися після не завжди, була по суті небезпечною, вона все-таки читається як твердий перший крок у багатоярусному нападі. Один день ви запитуєте про кафетерію, а наступного дня ви запитуєте про вхід.

Хаднагі вирішує цю проблему через недостатню обізнаність працівників, як правило, пов'язану з поганою освітою вищих освітян. Навчання співробітників критично мислити те, що вони публікують в Інтернеті і те, що вони говорять по телефону, сказав Хаднагі, може окупитися меншою кількістю успішних атак.

Однією з його найбільш інтригуючих пропозицій було те, що компанії не карають осіб, які потрапляють за афери, і заохочують вільну звітність про можливі порушення. Хаднагі сказав SecurityWatch, що компанії, які дотримуються цієї практики, як правило, краще справляються з цими загрозами.

Незалежно від того, чи є ви членом компанії чи просто людиною вдома, важливо знати про небезпеку соціального інженерії. Тож наступного разу, коли хтось зателефонує або надішле електронною поштою вам прохання про допомогу, поставте кілька питань, перш ніж вручити коронні коштовності.

Зображення через користувача Flickr CGP Grey

Жінки абсолютно знищують чоловіків у змаганнях із соціального інженерії