Yritysten salaisuuksien varastaminen 20 minuutissa: Kysy

Muutama Fortune 500 -yritys tarvitsee päivittää verkkoselaimiaan. Ja vaikka he ovat siinä, myös vähän sosiaalinen insinöörin koulutus ei ole huono idea.

Sosiaalisen tekniikan hakkerit - ihmiset, jotka huijaavat työntekijöitä tekemään ja sanomalla asioita, joita heidän ei pitäisi - - otti parhaimman kuvaansa Fortune 500: ssä Defcon-perjantaisessa kilpailussa ja osoitti, kuinka helppoa on saada ihmiset puhua, jos vain sanot oikean valheen.

Defcon- ja Black Hat -turvallisuuskonferenssit käyvät Lasissa

Kilpailijat saivat suuryrityksissä, mukaan lukien Microsoft, Cisco Systems, Apple ja Shell, tietohallintojohtajia luopumaan kaikenlaisista tiedoista, jotka (kaksi ensimmäistä yritystä, jotka perjantaina käyttävät IE6: ää), mitä ohjelmistoja he käyttävät PDF-asiakirjojen, niiden käyttöjärjestelmän ja palvelupaketin numeron, heidän sähköpostiohjelmansa, niiden käyttämät virustorjuntaohjelmat ja jopa nimi

Kahdella ensimmäisellä kilpailija teki sen näyttävän helppoa.

Australian tietoturva-asiantuntija Wayne, joka ei anna sukunimensä, oli ensin perjantaiaamuna. Hänen tehtävänsä: Hanki tietoja suuresta yhdysvaltalaisesta yrityksestä. (IDG News Service on päättänyt olla raportoimatta siitä, mitkä yritykset joutuivat kärsimään hyökkäyksistä mahdollisten turvallisuusriskien vuoksi.)

Seisoi äänieristyspuhelun takana ennen yleisöä, hän liittyi IT-puhelukeskukseen ja sai Ledoi-nimisen työntekijän. Wayne jätti huomiotta yksityiskohtia, suurta aikaa.

Wayne jätti huomiotta työntekijän numeron pyynnön ja aloitti välittömästi tarinan siitä, kuinka hänen pomo oli takana, ja kuinka hän todella tarvitsi saada tämän tilintarkastuksen päätökseen. Hän työskenteli Aussien charmilla työntekijälle, joka oli ollut vain uuden työnantajansa kanssa kuukauden ajan. Muutamassa sekunnissa hän näytti olevan valmis antamaan Wayneille melko paljon tietoja, joita hän halusi - yhdestä paikasta hän kävi jopa väärennetyllä KMPG-Web-sivulla, jonka Wayne oli perustanut.

Hän lopetti puhelun, joka lupasi ostaa työntekijälle olutta.

"Mitä olutta pidät?"

"Tällä hetkellä olen Blue Moonin potku."

Wayne ei voinut uskoa hänen onneaan haastattelussa puhelun jälkeen. "Ajattelin, että he ovat aika iso yritys ja tiedän, että he tekivät paljon sisäisiä turvatarkastuksia."

Myöhemmin kilpailun järjestäjät sanoivat, että hänen ponnistelunsa oli parhaimmillaan. Mutta kaikki, jotka olivat kohdennetut, luovuttivat tietoja. Chris Hadnagy, yksi kilpailun perustajista, uskoo, että uhrit olisivat antaneet pois arkaluonteisia tietoja, kuten salasanoja, jos heitä pyydettiin. "Heidän olisi pitänyt antaa kuvia perheestään, jos he olisivat pyytäneet sitä", hän sanoi.

Kilpailusäännöt kielletään pyytämästä arkaluonteisia tietoja tai kohdistamalla tietynlaisia ​​järjestöjä, kuten hallinto- tai rahoituslaitoksia. Tällöin kilpailu ryntäsi hermoja jo ennen kuin se alkoi. Viime kuussa Hadnagy sai FBI: lta puhelun, jossa hän kysyi kilpailusta.

Wayne, joka on tehnyt tämäntyyppisen sosiaalisen konetekniikan 15 vuotta päivittäisessä tehtävässään turvallisuusasiantuntijana, sanoi, että hän teki noin 20 tuntia tiedustelua ennen kilpailu. Hän tiesi, miten päästä IT-puhelinkeskukseen ja mitä nimiä pudota, kun hän pääsi läpi.

Hän myönsi, että hän oli onnelliseksi saaden tällaisen vihreän työntekijän. Mutta uudet työntekijät tekevät parhaista lähteistä. "Jos valitset jonkun, joka on korkean henkilön yritys, et saa mitään", hän sanoi. "Heillä on paljon menoa."

Kilpailunumero kaksi, Shane MacDougall, päätti ohittaa puhelinkeskuksen ja siirtyä oikealle tietoturvahenkilöstölle toiselle tunnetulle yritykselle. Hän otti enemmän napinläpiä lähestymistapaa ja väitti suorittavansa kyselyä CSO Magazine.

Ensimmäinen ihminen, jonka hän oli tullut, tiesi, mitä hän teki, ja MacDougallin lujasti mutta polttouudan sulkemisen jälkeen, kun hän kieltäytyi vastaamasta muutamiin kysymyksiin ja sanoi: "Nämä ovat erityisiä kysymyksiä, joita en ole mielelläni vastannut."

Kilpailijat saivat vain 25 minuuttia töihin. Niinpä kelloa tinkimättä MacDougall hyppäsi seuraavaan merkkiinsä - työsuojelutekniikan osaston työntekijä, joka oli ollut yhtiön kanssa kahden kuukauden ajan. Muutamien softball-kysymysten jälkeen työtyytyväisyydestä ja kahvilatuotteiden laadusta hän meni kovaan dataan.

Toimitettu merkki: käyttöjärjestelmä: Windows XP, Service Pack 3; virustorjunta: McAfee VirusScan 8.7; sähköposti: Outlook 2003, Service Pack 3; selaimella: IE 6.

MacDougall sitten kertoi vierailleen verkkosivustolla keräämään US $ 25 -tutkimuskuponsa ja työntekijä noudatti.

Kilpailu käy Defconilla sunnuntain. Voittaja saa iPadin.

Robert McMillan kattaa tietoturvan ja yleisen teknologian uutiset IDG News Serviceille. Seuraa Robertin Twitterissä osoitteessa @bobmcmillan. Robertin sähköpostiosoite on [email protected]