Video: Äoà n Viá»t Nam tá»± phá ká»· lục trong giải Äua xe tÄng quá»c tế (Tháng Chín 2024)
Trong năm năm qua, Chris Hadnagy, Giám đốc điều hành con người tại Social-Engineering, Inc, đã điều hành một cuộc thi bất thường tại Def Con. Được gọi là Chụp kỹ thuật xã hội Cờ, nó thách thức các thí sinh thu thập thông tin về các công ty khác nhau (cờ, nếu bạn muốn). Đây là kỹ thuật xã hội: nghệ thuật thu thập thông tin từ các mục tiêu mà không cần phải đột nhập vào tòa nhà hoặc hack mạng.
Trong giai đoạn đầu tiên, 20 thí sinh làm việc để có được thông tin về các công ty mục tiêu từ các nguồn công khai. Giai đoạn cuối cùng là cuộc đua marathon kéo dài 25 phút trong đó các thí sinh bơm nạn nhân để lấy thông tin. Điều này bao gồm từ trần tục ("Bạn có quán ăn không?") Đến mức quan trọng ("Bạn có sử dụng mã hóa đĩa không?") Cho đến thảm họa tiềm ẩn: lừa nạn nhân truy cập URL giả. Cuộc thi năm nay bao gồm mười công ty, bao gồm Apple, Boeing và General Dynamics trong số những công ty khác.
Trận chiến xác thịt
"Ngay từ đầu, chúng tôi luôn kêu gọi phụ nữ tham gia", Hadnagy nói. Việc áp dụng định dạng "đàn ông so với phụ nữ" và tích cực phát huy vai trò của phụ nữ trong cuộc thi đã giúp mang lại sự bình đẳng tốt hơn trong hai năm qua. Hadnagy nói rằng việc cho phụ nữ thấy rõ hơn trong dự án là rất quan trọng và khuyến khích những người khác tham gia. "Chúng tôi đã có nhiều phụ nữ hơn chúng ta có thể mất trong năm nay, " ông nói.
Phụ nữ đã làm thế nào để chống lại các đồng nghiệp nam của họ? "Năm nay, phụ nữ không chỉ chiến thắng, " Hadnagy nói. "Họ xóa sổ đàn ông." Ba trong số năm vị trí dẫn đầu thuộc về phụ nữ và kỹ sư xã hội đạt điểm cao nhất có hơn 200 điểm so với người tham gia có điểm cao nhất tiếp theo.
Thật dễ dàng để rút ra nhiều kết luận từ dữ liệu này, nhưng về sự thành công của phụ nữ trong ngành kỹ thuật xã hội, Hadnagy nói rằng không có đủ thông tin. "Tôi không nghĩ rằng điều đó chứng tỏ rằng mọi người vốn tin tưởng phụ nữ", ông nói. "Phụ nữ chiến thắng cho thấy một cái gì đó, nhưng chúng tôi không có dữ liệu cho thấy họ là phụ nữ nói chuyện với đàn ông."
Điều đó nói rằng, phụ nữ có một số điểm rộng so với nam giới, được ghi nhận trong báo cáo cuối cùng của cuộc thi. Nó nói: "sự thay đổi trong có thể được đưa ra giả thuyết từ thực tế rằng họ là một nhóm cực kỳ đa dạng, đến từ những nền tảng rất khác nhau và mức độ kinh nghiệm khác nhau." Mặt khác, những người đàn ông có xu hướng quanh quẩn trong cùng một phạm vi điểm với ít ngoại lệ hơn. "Mặc dù chúng tôi đảm bảo sự đa dạng như một nhóm, những người đàn ông có xu hướng đồng nhất hơn về nền tảng và mức độ kinh nghiệm và có lẽ điều này được phản ánh trong phạm vi điểm số nhỏ hơn."
Tôi không có thông tin để sao lưu, nhưng tôi nghĩ dữ liệu này cho thấy tầm quan trọng của việc đưa các cá nhân từ các nền tảng khác nhau vào bất kỳ đội nào. Nhưng đó chỉ là tôi.
Thông tin đã được đưa ra khỏi đó
Báo cáo cuối cùng của cuộc thi có thể không thuyết phục về vai trò của giới, nhưng rõ ràng nghiên cứu cẩn thận là rất quan trọng đối với người chiến thắng. Các thí sinh tìm thấy một lượng thông tin gây sốc có sẵn miễn phí trên mạng và những người có điểm số cao hơn trong các giai đoạn nghiên cứu có xu hướng làm tốt hơn nhiều trong suốt cuộc gọi thực tế.
Trong một trường hợp, một thí sinh đã tìm thấy một cổng thông tin công cộng đối mặt với nhân viên. Mặc dù nó được bảo mật bằng thông tin đăng nhập mật khẩu, nhưng thí sinh phát hiện ra rằng một tài liệu trợ giúp có sẵn công khai do công ty mục tiêu cung cấp có chứa một tên người dùng và mật khẩu làm việc làm ví dụ. "Đó là năm 2013 và chúng tôi vẫn thấy những thứ như thế này", Hadnagy nói.
Nhưng nó đã không vi phạm lớn trong an ninh để tìm thấy hầu hết các thông tin mà các thí sinh đang tìm kiếm. Phần lớn có sẵn thông qua phương tiện truyền thông xã hội, đôi khi được đăng bởi các cá nhân liên kết email công ty của họ với một dịch vụ công cộng. Một nguồn thông tin khiến Hadnagy ngạc nhiên: "Myspace, tin hay không."
Cải trang tốt hơn và tốt hơn
Hadnagy cũng lưu ý rằng ngoài việc thu thập thông tin nguồn mở, các thí sinh còn sử dụng các lý do phức tạp hơn nhiều khi gọi các công ty trong giai đoạn cuối của cuộc thi. Những năm trước đã chứng kiến nhiều thí sinh đóng giả làm người khảo sát hoặc sinh viên viết báo cáo. Hadnagy đã chủ động ngăn cản cách tiếp cận này trong năm nay, nhắc nhở các thí sinh rằng họ có thể sẽ tự cúp máy. "Tại sao bất cứ ai trong môi trường doanh nghiệp trả lời những câu hỏi này?" Anh ấy hỏi.
Những cái cớ này hấp dẫn bởi vì chúng ít nhiều ẩn danh và có rủi ro thấp cho người gọi. Tuy nhiên, năm nay đã chứng kiến nhiều thí sinh đóng giả làm nhân viên hoặc nhà cung cấp làm việc với các công ty mục tiêu. Trong khi nó mang nhiều rủi ro vốn có, Hadnagy nói rằng có sự tin tưởng vốn có hơn. "Tự động, các thí sinh đã được tin tưởng và cung cấp thông tin ngay lập tức, " anh nói.
Cái cớ của thí sinh cho thấy một số khác biệt thú vị dọc theo đường giới tính. Trong số mười phụ nữ, chín người tự nhận mình là người không am hiểu về kỹ thuật và đang tìm kiếm sự giúp đỡ từ các nhân viên "đồng nghiệp". Tất cả những người đàn ông trong cuộc thi đóng giả là chuyên gia công nghệ, và trong một số trường hợp là CEO.
Biết mối đe dọa
Mặc dù thật thú vị khi suy ngẫm về tiếng nói và sự cạnh tranh của cuộc thi, nhưng thực tế không thể chối cãi là mười công ty đã từ bỏ một lượng thông tin khổng lồ trên mạng hoặc đăng lên mạng. Mặc dù thông tin mà các thí sinh sau đó không phải lúc nào cũng nguy hiểm, nhưng họ đọc như một bước đầu tiên vững chắc trong một cuộc tấn công nhiều tầng. Một ngày nọ bạn hỏi về quán ăn, và ngày hôm sau bạn yêu cầu đăng nhập.
Hadnagy ghim vấn đề về sự thiếu nhận thức của nhân viên, thường xuất phát từ trình độ học vấn kém của những người cao hơn. Đào tạo nhân viên suy nghĩ chín chắn về những gì họ đăng trực tuyến và những gì họ nói qua điện thoại, Hadnagy nói, có thể trả hết với các cuộc tấn công ít thành công hơn.
Một trong những gợi ý hấp dẫn nhất của ông là các công ty không trừng phạt những cá nhân rơi vào lừa đảo và khuyến khích báo cáo miễn phí về các vi phạm có thể xảy ra. Hadnagy nói với SecurityWatch rằng các công ty tuân theo các thực tiễn này thường tốt hơn trong việc xử lý các mối đe dọa này.
Bất kể bạn là một phần của công ty hay chỉ là một cá nhân ở nhà, biết về những nguy hiểm của kỹ thuật xã hội là rất quan trọng. Vì vậy, lần tới khi ai đó gọi điện hoặc gửi email cho bạn yêu cầu giúp đỡ, hãy hỏi một vài câu hỏi trước khi bạn trao lại trang sức vương miện.
Hình ảnh qua Flickr người dùng CGP Gray
