Video: Menn vs. kvinner - P3aksjonen 2017 (Oktober 2024)
De siste fem årene har Chris Hadnagy, Chief Human Hacker hos Social-Engineer, Inc, kjørt en uvanlig konkurranse hos Def Con. Kalt Social Engineering Capture The Flag, og utfordrer deltakerne til å samle informasjon om forskjellige selskaper (flagg, hvis du vil). Dette er sosialteknikk: kunsten å samle informasjon fra mål uten å måtte bryte inn i en bygning eller hacke et nettverk.
I den første fasen jobber 20 deltakere for å få informasjon om målselskaper fra offentlig tilgjengelige kilder. Den siste fasen er et 25 minutters maraton med telefonsamtaler der deltakerne pumper ofre for informasjon. Dette spenner fra det verdslige ("Har du kafeteria?") Til det kritiske ("Bruker du diskkryptering?") Til det potensielt katastrofale: lure ofre til å besøke falske nettadresser. Årets konkurranse omfattet ti selskaper, blant andre Apple, Boeing og General Dynamics.
Battle of the Sexes
"Fra begynnelsen av har vi alltid oppfordret kvinner til å bli med, " sa Hadnagy. Å vedta et "menn mot kvinner" -format og aktivt fremme kvinnens rolle i konkurransen bidro til å gi bedre paritet de to siste årene. Hadnagy sa at det var viktig å gi kvinner mer synlighet i prosjektet, og oppfordret andre til å delta. "Vi hadde flere kvinner enn vi kunne ta i år, " sa han.
Hvordan gjorde kvinner det mot sine mannlige kolleger? - I år vant ikke kvinnene bare, sa Hadnagy. "De utslettet menn." Tre av de fem beste sporene gikk til kvinner, og den toppscorende samfunnsingeniøren hadde over 200 poeng mer enn den nest høyest scorende deltakeren.
Det er lett å trekke mange konklusjoner fra disse dataene, men hva angår kvinners suksess innen sosialteknikk, sa Hadnagy at det bare ikke er nok informasjon. "Jeg tror ikke det beviser at folk stoler på kvinner iboende, " sa han. "Vinnende kvinner viser noe, men vi har ingen data som viser at de var kvinner som snakket med menn."
Når det er sagt, hadde kvinnene et bredt spekter av score sammenlignet med mennene, noe som ble notert i konkurransens endelige rapport. Den sa: "variasjon i kan antydes fra det faktum at de var en ekstremt mangfoldig gruppe som kommer fra veldig forskjellige bakgrunner og forskjellige erfaringsnivåer." Menn derimot hadde en tendens til å henge rundt det samme utvalget av score med færre outliers. "Selv om vi sikret mangfold som gruppe, hadde mennene en tendens til å være mer homogene i bakgrunn og erfaringsnivå, og kanskje dette gjenspeiles i det mindre utvalget av score."
Jeg har ikke informasjonen til å sikkerhetskopiere den, men jeg tror at disse dataene viser viktigheten av å inkludere individer med forskjellig bakgrunn i et hvilket som helst team. Men det er bare meg.
Informasjonen er allerede der ute
Konkurransens endelige rapport kan være entydig om kjønns rolle, men det er tydelig at nøye undersøkelser var kritiske for vinnerne. Deltakerne fant en sjokkerende mengde informasjon fritt tilgjengelig på nettet, og de med høyere score i forskningsfasene hadde en tendens til å gjøre det mye bedre under selve samtalen.
I ett tilfelle fant en deltaker en offentlig portal for ansatte. Selv om det var sikret med passordpålogging, oppdaget deltakeren at et offentlig tilgjengelig hjelpedokument levert av målselskapet inneholdt et fungerende brukernavn og passord som eksempel. "Det er 2013, og vi ser fortsatt ting som dette, " sa Hadnagy.
Men det tok ikke store brudd på sikkerheten for å finne det meste av informasjonen deltakerne søkte. Mye av det var tilgjengelig gjennom sosiale medier, noen ganger lagt ut av enkeltpersoner som koblet bedriftens e-post til en offentlig tjeneste. En kilde til informasjon overrasket Hadnagy: "Myspace, tro det eller ei."
Bedre og bedre forkledd
Hadnagy bemerket også at i tillegg til open source informasjonsinnsamling, brukte deltakerne også mye mer komplekse påskudd når de ringte selskaper i sluttfasen av konkurransen. Tidligere år så mange deltakere utgjøre seg som kartleggere eller studenter som skrev rapporter. Hadnagy frarådet aktivt den tilnærmingen i år, og minner deltakerne om at de sannsynligvis ville henge med på disse samtalene selv. "Hvorfor vil noen i et bedriftsmiljø svare på disse spørsmålene?" Spurte han.
Disse påskuddene er attraktive fordi de er mer eller mindre anonyme og har lav risiko for den som ringer. I år var det imidlertid flere konkurrenter som stilte seg som medarbeidere eller leverandører som jobber med målselskapene. Mens det bærer mer iboende risiko, sa Hadnagy at det var mer iboende tillit. "Automatisk ble deltakerne klarert og gitt informasjon rett utenfor balltre, " sa han.
Deltakernes påskudd viste noen interessante divergenser etter kjønn. Av de ti kvinnene fremstilte ni seg som ikke teknisk kyndige og lette etter hjelp fra "medarbeidere". Alle mennene i konkurransen stilte seg som tech-eksperter, og i noen tilfeller administrerende direktører.
Kjenner trusselen
Selv om det er interessant å tenke på hvordan og hvordan konkurransen er, er det udiskutable faktum at ti selskaper ga opp en enorm mengde informasjon - enten over telefon eller lagt ut offentlig på nettet. Mens informasjonen som deltakerne var ute etter, ikke alltid var iboende farlig, leste de som et solid første skritt i et flerlags angrep. Den ene dagen spør du om kantina, og dagen etter ber du om pålogging.
Hadnagy taper problemet på manglende bevissthet blant ansatte, som vanligvis stammer fra dårlig utdanning av de høyere. Å trene ansatte til å tenke kritisk på hva de legger ut på nettet og hva de sier over telefon, sa Hadnagy, kan lønne seg med færre vellykkede angrep.
Et av de mest spennende forslagene hans var at selskaper ikke straffer enkeltpersoner som faller for svindel, og oppfordrer til konsekvensrapportering av mulige brudd. Hadnagy sa til SecurityWatch at selskaper som følger denne praksis generelt er flinkere til å håndtere disse truslene.
Uansett om du er en del av et selskap eller bare en person hjemme, er det viktig å vite om farene ved samfunnsingeniør. Så neste gang noen ringer eller e-postmeldinger du ber om hjelp, kan du stille noen spørsmål før du overleverer kronjuvelene.
Bilde via Flickr-bruker CGP Grey
