Video: TOPLUM MÜHENDİSLİĞİ (Mayıs 2024)
Geçtiğimiz beş yıl boyunca, Social Engineer, Inc İnsan Hacker'ı Chris Hadnagy, Def Con'da olağandışı bir yarışma düzenledi. Sosyal Mühendislik Yakalama olarak adlandırılan Bayrak, yarışmacıları çeşitli şirketler hakkında (toplarsanız, bayraklar) bilgi toplama konusunda zorlar. Bu sosyal mühendisliktir: bir binaya girmeye ya da bir ağa girmeye gerek kalmadan hedeflerden bilgi toplama sanatı.
İlk aşamada, 20 yarışmacı halka açık kaynaklardan hedef şirketler hakkında bilgi almak için çalışıyor. Son aşama, yarışmacıların bilgi almak için kurbanları pompaladığı 25 dakikalık bir telefon görüşmesi maratonu. Bu, sıradandan ("Kafeterya var mı?"), Eleştirelden ("Disk şifrelemesi kullanıyor musunuz?") Ve potansiyel olarak feci: kurbanları sahte URL'leri ziyaret etmeleri için kandırmaya kadar uzanıyor. Bu yılki yarışma, Apple, Boeing ve General Dynamics dahil on şirketten oluşuyordu.
Cinsiyetlerin savaşı
Hadnagy, “Her zaman kadınların bir araya gelmesi için her zaman bir çağrı yaptık” dedi. "Erkeklere karşı kadın" formatını benimsemek ve kadınların rekabetteki rolünü aktif olarak teşvik etmek, son iki yılda daha iyi bir parite getirilmesine yardımcı oldu. Hadnagy, kadınlara projede daha fazla görünürlük sağlamanın kritik olduğunu ve diğerlerini katılmaya teşvik ettiğini söyledi. “Bu yıl alabileceğimizden daha fazla kadınımız vardı” dedi.
Kadınlar erkek meslektaşlarına nasıl karşılandılar? Hadnagy, "Bu yıl kadınlar sadece kazanmadı" dedi. "Onlar insanları yok etti." En iyi beş alandan üçü kadınlara gitti ve en çok puan alan sosyal mühendis, bir sonraki en yüksek puan alan katılımcıdan 200'den fazla puan aldı.
Hadnagy, bu verilerden çok sayıda sonuç çıkarmak kolaydır, ancak kadınların sosyal mühendislik alanındaki başarısı söz konusu olduğunda, yeterli bilgi olmadığını söyledi. “İnsanların doğası gereği kadınlara güvendiğini kanıtladığını sanmıyorum” dedi. "Kazanan kadınlar bir şey gösteriyor, ancak erkeklerle konuştuğunu gösteren hiçbir veriye sahip değiliz."
Bununla birlikte, kadınların, yarışmanın final raporunda belirtilen erkeklerle karşılaştırıldığında geniş bir puan aralığı olduğu belirtildi. Dedi ki: "Değişkenlik, çok farklı geçmişlerden ve farklı deneyim seviyelerinden gelen son derece farklı bir grup oldukları gerçeğinden ileri sürülebilir." Diğer taraftan, erkekler daha az aykırı olanla aynı puan aralığını takma eğilimindeydi. “Grup olarak çeşitlilik sağlasak da, erkekler geçmiş ve deneyim düzeyinde daha homojen olma eğilimindeydiler ve belki de bu daha küçük puanlara yansıyordu.”
Yedeklenecek bilgiye sahip değilim, ancak bu verinin farklı kökenden bireyleri herhangi bir takıma dahil etmenin önemini gösterdiğini düşünüyorum. Ama bu sadece benim.
Bilgi Zaten Orada
Yarışmanın final raporu cinsiyetin rolü konusunda yetersiz olabilir, ancak kazananlar için dikkatli bir araştırmanın kritik olduğu açık. Yarışmacılar, çevrimiçi olarak serbestçe erişilebilen şok edici miktarda bilgi buldular ve araştırma aşamalarında daha yüksek puan alan kişiler, gerçek görüşme sırasında çok daha iyisini yapma eğilimindeydi.
Bir durumda, bir yarışmacı çalışanlar için halka açık bir web portalı buldu. Bir şifre girişi ile güvence altına alınmış olmasına rağmen, yarışmacı, hedef şirket tarafından sağlanan halka açık bir yardım belgesinin örnek olarak çalışan bir kullanıcı adı ve şifre içerdiğini keşfetti. Hadnagy, "2013 ve hala böyle şeyler görüyoruz." Dedi.
Ancak, yarışmacıların aradığı bilgilerin çoğunu bulmak güvenlik açısından büyük ihlaller gerektirmedi. Bunların çoğu, bazen kurumsal e-postalarını bir kamu hizmetine bağlayan kişiler tarafından gönderilen sosyal medya aracılığıyla elde edildi. Bir bilgi kaynağı Hadnagy'yi şaşırttı: "Myspace, inan ya da inanma."
Daha iyi ve daha iyi kıyafetler
Hadnagy ayrıca, açık kaynak bilgi toplamanın yanı sıra, yarışmacıların yarışmanın son aşamasında şirketleri çağırırken daha karmaşık bahaneler kullandıklarını da belirtti. Daha önceki yıllarda ankete katılanlar ya da öğrenciler rapor yazarken poz veren birçok yarışmacı görmüştü. Hadnagy, bu yıl bu yaklaşımı aktif olarak reddetti ve yarışmacılara muhtemelen bu çağrıları kendilerine asacaklarını hatırlattı. "Neden şirket ortamındaki biri bu soruları cevaplasın?" O sordu.
Bu bahaneler çekicidir çünkü az ya da çok isimsizdir ve arayanlar için düşük risk taşırlar. Ancak bu yıl, hedef şirketler ile çalışan diğer çalışanlar veya satıcılar olarak poz veren daha fazla yarışmacı gördüm. Hadnagy, daha doğal bir risk taşıyor olsa da, daha doğal bir güven olduğunu söyledi. "Otomatik olarak, yarışmacılar güvenilir ve yarasa kapalı bilgi verildi" dedi.
Yarışmacıların varoluşları cinsiyet çizgisi boyunca bazı ilginç farklılıklar gösterdi. On kadından dokuzu, teknik açıdan anlayışlı olmadıklarını ve “çalışan” çalışanlardan yardım aradıklarını gösteriyorlardı. Yarışmadaki tüm erkekler teknoloji uzmanı ve bazı durumlarda CEO olarak görev yaptı.
Tehdit bilmek
Rekabetin nedenlerini ve nedenlerini düşünmek ilginç olsa da, tartışmasız gerçek, on şirketin telefon üzerinden veya halka açık çevrimiçi olarak yayınlanan çok büyük miktarda bilgiden vazgeçtiğidir. Yarışmacıların peşinde olduğu bilgiler her zaman tehlikeli olmamakla birlikte, çok katmanlı bir saldırıda ilk adım gibi okuyorlar. Bir gün kafeterya hakkında soru soruyorsun ve ertesi gün oturum açmayı istiyorsun.
Hadnagy, problemi çalışanlar arasında farkındalık eksikliği üzerine çekiyor, genellikle yüksek öğrenimciler tarafından kötü eğitimden kaynaklanıyor. Hadnagy, çalışanların çevrimiçi olarak yayınladıkları ve telefonla söyledikleri hakkında eleştirel düşünmeleri için eğitildiğini belirtti.
En ilgi çekici önerilerinden biri, şirketlerin dolandırıcılıktan düşen kişileri cezalandırmamaları ve olası ihlallerin serbest raporlanmasını teşvik etmeleriydi. Hadnagy, SecurityWatch'a bu uygulamaları izleyen şirketlerin bu tehditleri ele almada genellikle daha iyi olduğunu söyledi.
Bir şirketin bir parçası mı yoksa yalnızca bir bireyin evde mi olmasından bağımsız olarak, sosyal mühendisliğin tehlikelerini bilmek çok önemlidir. Bu yüzden bir dahaki sefere birileri sizi aradığında veya yardım istemesini istediğinde, taç mücevherlerini teslim etmeden önce birkaç soru sor.
Flickr kullanıcısı CGP Gray üzerinden görüntü
