Video: Social Engineering | الهندسة الاجتماعية | Fadi Al-Aswadi | TEDxSanaaLive (November 2024)
Chris Hadnagy, Chief Human Hacker bij Social-Engineer, Inc, heeft de afgelopen vijf jaar een ongebruikelijke wedstrijd gehouden bij Def Con. Dit wordt Social Engineering Capture The Flag genoemd en daagt deelnemers uit om informatie te verzamelen over verschillende bedrijven (vlaggen, als je wilt). Dit is social engineering: de kunst van het verzamelen van informatie van doelen zonder in te breken in een gebouw of een netwerk te hacken.
In de eerste fase werken 20 deelnemers aan informatie over doelbedrijven uit openbaar beschikbare bronnen. De laatste fase is een 25 minuten durende marathon van telefoontjes waarbij deelnemers slachtoffers pompen voor informatie. Dit varieert van het alledaagse ("Heeft u een cafetaria?") Tot het kritische ("Gebruikt u schijfversleuteling?") Tot het potentieel rampzalige: slachtoffers misleiden om valse URL's te bezoeken. De competitie van dit jaar omvatte tien bedrijven, waaronder Apple, Boeing en General Dynamics.
Battle of the Sexes
"Vanaf het begin hebben we altijd een oproep gedaan voor vrouwen om mee te doen, " zei Hadnagy. Het gebruik van een "mannen versus vrouwen" -format en het actief promoten van de rol van vrouwen in de competitie heeft de afgelopen twee jaar bijgedragen tot een betere pariteit. Hadnagy zei dat het cruciaal was om vrouwen meer zichtbaarheid te geven in het project en moedigde anderen aan om mee te doen. "We hadden meer vrouwen dan we dit jaar konden nemen", zei hij.
Hoe deden vrouwen het tegen hun mannelijke tegenhangers? "Dit jaar wonnen de vrouwen niet alleen", zei Hadnagy. "Ze hebben mannen uitgewist." Drie van de top vijf slots gingen naar vrouwen, en de best scorende sociaal ingenieur had meer dan 200 punten meer dan de volgende hoogst scorende deelnemer.
Het is gemakkelijk om veel conclusies te trekken uit deze gegevens, maar wat het succes van vrouwen in social engineering betreft, zei Hadnagy dat er gewoon niet genoeg informatie is. "Ik denk niet dat het bewijst dat mensen vrouwen inherent vertrouwen, " zei hij. "De winnende vrouwen laten iets zien, maar we hebben geen gegevens waaruit blijkt dat ze vrouwen waren die met mannen praatten."
Dat gezegd hebbende, de vrouwen hadden een breed scala aan scores in vergelijking met de mannen, wat werd opgemerkt in het eindrapport van de wedstrijd. Het zei: "variabiliteit kan worden gehypothetiseerd door het feit dat ze een extreem diverse groep waren, afkomstig uit zeer verschillende achtergronden en verschillende ervaringsniveaus." Mannen daarentegen hingen vaak rond hetzelfde bereik met minder uitbijters. "Hoewel we als groep voor diversiteit zorgden, waren de mannen doorgaans homogener in achtergrond en ervaringsniveau en misschien kwam dit tot uiting in de kleinere reeks scores."
Ik heb niet de informatie om er een back-up van te maken, maar ik denk dat deze gegevens het belang aantonen van het opnemen van personen met verschillende achtergronden in een team. Maar dat ben ik alleen.
De informatie is er al
Het eindrapport van de competitie kan geen uitsluitsel geven over de rol van geslacht, maar het is duidelijk dat zorgvuldig onderzoek van cruciaal belang was voor de winnaars. Deelnemers vonden een schokkende hoeveelheid informatie vrij online beschikbaar, en degenen met hogere scores in de onderzoeksfasen deden het meestal veel beter tijdens de eigenlijke oproep.
In één geval vond een deelnemer een publieksgerichte webportal voor werknemers. Hoewel het was beveiligd met een wachtwoordaanmelding, ontdekte de deelnemer dat een openbaar beschikbaar helpdocument van het doelbedrijf een werkende gebruikersnaam en wachtwoord als voorbeeld bevatte. "Het is 2013 en we zien nog steeds dit soort dingen, " zei Hadnagy.
Maar er waren geen grote inbreuken op de beveiliging nodig om de meeste informatie te vinden waarnaar de deelnemers zochten. Veel daarvan was beschikbaar via sociale media, soms gepost door personen die hun zakelijke e-mail aan een openbare dienst koppelden. Eén bron van informatie verraste Hadnagy: "Myspace, geloof het of niet."
Betere en betere vermommingen
Hadnagy merkte ook op dat deelnemers naast het verzamelen van open source-informatie ook veel complexere voorwendsels gebruikten bij het bellen van bedrijven in de laatste fase van de wedstrijd. In voorgaande jaren deden veel deelnemers zich voor als enquêteurs of studenten die rapporten schreven. Hadnagy ontmoedigde deze aanpak dit jaar actief en herinnerde de deelnemers eraan dat ze die oproepen waarschijnlijk zelf zouden volhouden. "Waarom zou iemand in een zakelijke omgeving deze vragen beantwoorden?" Hij vroeg.
Deze voorwendsels zijn aantrekkelijk omdat ze min of meer anoniem zijn en een laag risico voor de beller hebben. Dit jaar zagen echter meer deelnemers zich voordoen als collega-werknemers of leveranciers die samenwerken met de doelbedrijven. Hoewel het meer inherent risico met zich meebrengt, zei Hadnagy dat er meer inherent vertrouwen was. "Automatisch werden de deelnemers vertrouwd en kregen ze meteen informatie", zei hij.
De voorwendsels van de deelnemers vertoonden enige interessante divergentie volgens geslachtslijnen. Van de tien vrouwen hebben negen zichzelf afgeschilderd als technisch niet slim en zochten ze hulp van 'collega'-werknemers. Alle mannen in de competitie deden zich voor als technische experts en in sommige gevallen CEO's.
Ken de dreiging
Hoewel het interessant is om na te denken over het hoe en waarom van de concurrentie, is het onbetwistbare feit dat tien bedrijven een enorme hoeveelheid informatie hebben opgegeven - telefonisch of online gepubliceerd. Hoewel de informatie waar deelnemers naar op zoek waren, niet altijd inherent gevaarlijk was, lezen ze wel als een solide eerste stap in een aanval met meerdere lagen. De ene dag vraagt u naar de cafetaria en de volgende dag vraagt u om inloggegevens.
Hadnagy pakt het probleem aan van een gebrek aan bewustzijn bij werknemers, meestal als gevolg van slecht onderwijs door de hogere ups. Trainen van medewerkers om kritisch na te denken over wat ze online posten en wat ze telefonisch zeggen, zei Hadnagy, kan zijn vruchten afwerpen met minder succesvolle aanvallen.
Een van zijn meest intrigerende suggesties was dat bedrijven geen personen bestraffen die vallen voor oplichting, en een gratis rapportage van mogelijke inbreuken aanmoedigen. Hadnagy vertelde SecurityWatch dat bedrijven die deze praktijken volgen, over het algemeen beter zijn in het omgaan met deze bedreigingen.
Of u nu deel uitmaakt van een bedrijf of gewoon een individu thuis, kennis van de gevaren van social engineering is van cruciaal belang. Dus de volgende keer dat iemand u belt of e-mailt en u om hulp vraagt, stelt u een paar vragen voordat u de kroonjuwelen overhandigt.
Afbeelding via Flickr-gebruiker CGP Gray
