Hogyan takarítsák meg a vállalati titkokat 20 perc alatt: Kérdezd

Néhány cég a Fortune 500-ban frissítenie kell web böngészőjüket. És miközben vannak rajta, egy kis belső képzés a szociális tervezésről nem lenne rossz ötlet.

Szociális technikai hackerek - emberek, akik becsapják az alkalmazottakat abban, hogy dolgozzanak és mondjanak dolgokat, amiket nem kellene - - a Defcon pénteken zajló versenyen vette a legjobban a Fortune 500-at, és megmutatta, milyen könnyű az embereket beszélni, ha csak a helyes hazugságot mondja.

A Defcon és a Black Hat biztonsági konferencia zajlik Lasban Vegas ezen a héten.

[

] A versenytársak IT-alkalmazottakat kaptak a nagyvállalatoknál, köztük a Microsoftban, a Cisco Systemsben, az Apple-ben és a Shell-ben. (például az első két vállalat, amelyik pénteken az IE6-at használják), milyen szoftvereket használnak a pdf dokumentumok, az operációs rendszerük és a szervizcsomag számuk, a levelezőprogramjuk, a használt víruskereső programot, és még a nevét is a helyi vezeték nélküli hálózatot.

Az első két versenyző könnyedén nézett ki.

Wayne, Ausztrália biztonsági tanácsadója, aki nem adja meg vezetéknevét, először pénteken reggel. Küldetése: Adjon adatokat egy nagyobb amerikai cégtől. (Az IDG News Service úgy döntött, hogy nem számol be arról, hogy mely vállalatok támadtak, mivel a lehetséges biztonsági kockázatok miatt támadtak.)

Egy hangszigetelő fülke mögé ülve a közönség előtt összekapcsolódott egy informatikai ügyfélszolgálattal, és Ledoi nevű alkalmazottat foglalkoztatott. Feltételezve, hogy KPMG tanácsadója a határidő alatt nyomon követte a vizsgálatot, Wayne megkönnyítette a részleteket, a big time.

Wayne figyelmen kívül hagyta a munkavállalói létszám iránti kérelmet, és azonnal elindult egy történetről arról, hogy a főnöke a háta mögött volt, és hogy valóban szükséges volt az ellenőrzés befejezése. Az Aussie báját a munkásnál dolgozott, aki csak egy hónapja volt az új munkáltatójával. Néhány perc múlva úgy tűnt, hogy hajlandó volt megadni Wayne-nek elég sok információt, amit akart - egyszerre meglátogatott egy hamis KMPG weboldalt, amelyet Wayne felállított.

Megszüntette a hívást,.

"Melyik sört szereted?"

"Most egy kék holdrúgással vagyok."

A hívás után egy interjúban Wayne nem tudta elhinni a szerencséjét. "Azt gondoltam, hogy egy nagyon nagy cég, és tudom, hogy sok biztonsági ellenőrzést végeztek."

Később, a verseny szervezői szerint a maga erőfeszítése a legjobb volt. De mindenki, aki célzott, feladta az információkat. Chris Hadnagy, a verseny egyik alapítója úgy véli, hogy az áldozatok átengedték volna az érzékeny információkat, például a jelszavakat, ha megkérték őket. "A családjukról készítettek képeket, ha kérdezték volna őket" - mondta.

A versenyszabályok tiltják az érzékeny információkat kértek, vagy olyan bizonyos típusú szervezeteket célozzanak meg, mint a kormány vagy a pénzintézetek. Ennek ellenére a verseny még azelőtt indult el, hogy megkezdődött. A múlt hónapban Hadnagy felhívást kapott az FBI-tól, aki megkérdezte a versenyt.

Wayne, aki 15 évig a biztonsági tanácsadóként dolgozott ilyen típusú szociális mérnökként, azt mondta, hogy körülbelül 20 órás felderítést végzett a verseny. Tudta, hogyan juthat el az informatikai központhoz, és milyen nevek adódnak, mikor átjutott.

Elismerte, hogy szerencsétlenséget szerez azáltal, hogy ilyen zöld alkalmazottat szerzett. De az új alkalmazottak teszik a legjobb forrásokat. "Ha olyan embert választasz, aki egy magas rangú személy a cégnél, akkor semmit sem kapsz" - mondta. "Sokat kell vesztenünk."

A második versenyző, Shane MacDougall úgy döntött, hogy kihagyja a call centert, és jobbra megy a biztonsági személyzetnek egy másik jól ismert cégnél. Egy lenyúlóbb megközelítést alkalmazott, azt állítva, hogy a CSO Magazine felmérését végzi.

Az első ember, akit elérte, tudta, mit csinál, és határozottan, de udvariasan bezárta MacDougall-t, miután nem válaszolt néhány kérdésre, mondván: "Ezek olyan konkrét kérdések, amelyeket nem érzek kényelmesen."

A versenyzők csak 25 perc dolgozni. Tehát az óra ketyegésével MacDougall szerencsétlenkedik a következő jelzésén - egy szerződéses alkalmazott a biztonsági mérnöki osztályon, aki két hónapja volt a cégnél. Néhány softball-kérdés után a munkahelyi elégedettség és a kávézó ételeinek minősége után elment a kemény adatokért.

A megjelölt védjegy: operációs rendszer: Windows XP, Service Pack 3; vírusölő: McAfee VirusScan 8.7; e-mail: Outlook 2003, szervizcsomag 3; böngésző: IE 6.

MacDougall azt mondta neki, hogy látogasson el egy webhelyre, hogy összegyűjtse az US $ 25 felmérési kupont, és a munkavállaló betartotta.

A verseny a Defconon vasárnaponként fut. A győztes megkapja az iPad-et.

Robert McMillan a számítógépes biztonságot és az általános technológiai hírleveleket a The IDG News Service-hez nyújtja. Kövesse Robert a Twitteren @ bobmcmillan. Robert e-mail címe [email protected]