Jak ukrást firemní tajemství za 20 minut: Zeptejte se

Několik firem Fortune 500 musí aktualizovat své webové prohlížeče. A když jsou na tom, trochu in-house školení o sociálním inženýrství by nebylo špatný nápad, buď.

Sociální inženýrství hackerů - lidé, kteří triky zaměstnanců dělat a říkat věci, které by neměly - - vzali nejlepší výstřel na Fortune 500 během soutěže v Defcon Friday a ukázali, jak snadné je přimět lidi, aby si promluvili, i kdybyste jenom řekli správnou lež.

Bezpečnostní konference Defcon a Black Hat se konají v Las

Soutěžící dostali pracovníky IT ve velkých společnostech, včetně Microsoft, Cisco Systems, Apple a Shell, aby se vzdali všech druhů informací, které by mohly být používány při počítačovém útoku, včetně toho, jaký prohlížeč a číslo verze používaly (první dvě společnosti nazývané pátek používaly IE6), jaké software používají k otevírání dokumentů PDF, jejich operačního systému a čísla service pack, antivirový software, který používají, a dokonce i název jejich místní bezdrátová síť

První dva soutěžící to udělali vypadat snadněji.

Wayne, bezpečnostní poradce z Austrálie, který by nedal své příjmení, byl první v pátek ráno. Jeho poslání: Získejte údaje od velké americké společnosti. (IDG News Service se rozhodla, že nebude informovat o tom, které společnosti klesly, kvůli kterým může dojít kvůli možným bezpečnostním rizikům.)

Seděl za zvukotěsnou kabinou před publikem, připojil se k IT call centru a dostal zaměstnance,. Předstíral, že je KPMG konzultant, který provádí audit pod předepsaným tlakem, Wayne ho přiměl, aby rozdělil detaily, velkokrát. Wayne ignoroval žádost o číslo zaměstnance a okamžitě spustil příběh o tom, jak je jeho šéf na zádech. jak skutečně potřeboval, aby byl tento audit dokončen. Jeho dělník Aussie pracoval, který byl po dobu jednoho měsíce s novým zaměstnavatelem. Během několika minut se zdálo, že je ochotný Wayneovi poskytnout prakticky všechny informace, které chtěl - v jednom okamžiku dokonce navštívil falešnou webovou stránku KMPG, kterou Wayne založil.

Skončil hovor, že slibuje koupit zaměstnance pivo

"Jaké pivo se vám líbí?"

"Právě teď jsem na modrém kopu."

V rozhovoru po telefonátu Wayne nemohl uvěřit svému štěstí. "Myslel jsem, že jsou docela velkou společností a vím, že provedli spoustu vnitřních bezpečnostních auditů."

Později organizátoři soutěží uvedli, že jeho úsilí je nejlepší den. Ale všichni, kteří se cítili, vzdali informací. Chris Hadnagy, jeden ze zakladatelů soutěže, se domnívá, že by oběti poskytly citlivé informace, jako například hesla, pokud by byli požádáni. "Kdyby o to požádali, poskytli by fotografie své rodiny," řekl.

Pravidla soutěže zakázala žádat o jakékoli citlivé informace nebo se zaměřila na některé typy organizací, jako jsou vládní nebo finanční instituce. Dokonce i taková soutěž narušila nervy ještě před tím, než začala. Minulý měsíc dostal Hadnagy od FBI výzvu, aby se zeptal na tuto soutěž.

Wayne, který udělal tento typ sociálního inženýrství již 15 let ve své práci jako bezpečnostní poradce, řekl, že udělal asi 20 hodin průzkumu před soutěž. Věděl, jak se dostat do call centra IT, a jaké názvy k poklesu, když prošel.

Přiznal, že se mu podařilo dostat takový zelený zaměstnanec. Nové zaměstnance však vytvářejí nejlepší zdroje. "Pokud vyberete někoho, kdo je ve společnosti vysokou osobou, nebudete mít nic," řekl. "Musí hodně ztratit."

Soutěžící číslo dva, Shane MacDougall, se rozhodl přeskočit call centrum a jít doprava pro bezpečnostní pracovníky v jiné známé společnosti. Udělal více přibitý přístup a tvrdil, že provádí průzkum pro časopis CSO Magazine.

První člověk, kterého dosáhl, věděl, co dělá, a pevně, ale slušně zavřel MacDougalla poté, co odmítl odpovědět na několik otázek a řekl: "Jsou to specifické otázky, které se mi necítí dobře."

25 minut do práce. Když MacDougall hodil hodiny, udeřil se na svou další známku - smluvní zaměstnance v oddělení bezpečnostního inženýrství, které bylo ve společnosti dva měsíce. Po několika otálech softballových dotazů ohledně spokojenosti s prací a kvality jídel kavárny se vydal na tvrdé údaje.

Dodaná značka: operační systém: Windows XP, service pack 3; antivirový program: McAfee VirusScan 8.7; e-mail: Outlook 2003, service pack 3; prohlížeč: IE 6.

MacDougall mu pak řekl, aby navštívil webovou stránku, kde získal průzkumný kupón v hodnotě 25 USD a pracovník splnil.

Soutěž probíhá v Defconu přes neděli. Vítěz získá iPad.

Robert McMillan se zabývá počítačovou bezpečností a generálními technologiemi, které přinášejí novinky pro IDG News Service. Sledujte Robert na Twitteru @bobmcmillan. Robertova e-mailová adresa je [email protected]