Жените напълно унищожават мъжете в конкуренция за социално инженерство

През последните пет години Крис Хаднаги, главен хакер за хора в Social-Engineer, Inc, провежда необичайно състезание в Def Con. Наричано социално инженерство Capture The Flag, предизвиква състезателите да събират информация за различни компании (знамена, ако желаете). Това е социалното инженерство: изкуството да се събира информация от цели, без да се налага да пробивате в сграда или да хакнете мрежа.

В първата фаза 20 състезатели работят, за да получат информация за целевите компании от публично достъпни източници. Последната фаза е 25-минутен маратон от телефонни разговори, където състезателите изпомпват жертви за информация. Това варира от светското („Имате ли кафене?“) До критичното („Използвате ли криптиране на дискове?“) До потенциално пагубното: подмазване на жертвите в посещение на фалшиви URL адреси. Тази година конкурсът включваше десет компании, сред които Apple, Boeing и General Dynamics.

Битката на половете

„От самото начало винаги сме отправяли призив към жените да се присъединят“, каза Хаднаги. Приемането на формат „мъже срещу жени“ и активното насърчаване на ролята на жените в състезанието помогнаха за постигане на по-добър паритет през последните две години. Хаднаги каза, че даването на повече видимост на жените в проекта е от решаващо значение и насърчи другите да се присъединят. "Имахме повече жени, отколкото можехме да вземем тази година", каза той.

Как жените постъпиха срещу мъжете си? "Тази година жените не просто спечелиха", каза Хаднаги. "Те заличиха мъжете." Три от най-добрите пет слота отидоха при жени, а социалният инженер с най-добри резултати има над 200 точки повече от следващия участник с най-висока оценка.

Лесно е да се направят много изводи от тези данни, но що се отнася до успеха на жените в социалното инженерство, Хаднаги каза, че просто няма достатъчно информация. „Не мисля, че това доказва, че хората по своята същност се доверяват на жените“, каза той. "Жените, които печелят, показват нещо, но ние нямаме данни, които показват, че са жени, които говорят с мъже."

Това каза, че жените имат широк спектър от резултати в сравнение с мъжете, което беше отбелязано в окончателния доклад на конкурса. В него се казва: "променливостта на може да се предположи от факта, че те са изключително разнообразна група, идваща от много различни среди и различни нива на опит." Мъжете от друга страна са склонни да се мотаят около същия диапазон от резултати с по-малко хора. „Въпреки че ние гарантирахме разнообразието като група, мъжете са склонни да бъдат по-хомогенни на фона и нивото на опит и може би това се е отразило в по-малкия диапазон от резултати“.

Нямам информация, която да я подкрепя, но мисля, че тези данни показват важността на включването на хора от различни среди в който и да е екип. Но това съм само аз.

Информацията вече е там

Окончателният доклад на състезанието може да е неубедителен относно ролята на пола, но е ясно, че внимателното изследване е било от решаващо значение за победителите. Участниците намериха шокиращо количество информация, свободно достъпна онлайн, а тези с по-високи резултати в етапите на проучване са склонни да се справят много по-добре по време на действителното обаждане.

В един случай състезател намери публичен уеб портал за служители. Въпреки че е осигурен с парола за вход, състезателят откри, че публично достъпен помощен документ, предоставен от целевата компания, съдържа работещо потребителско име и парола като пример. "2013 е и все още виждаме такива неща", каза Хаднаги.

Но не бяха необходими големи нарушения в сигурността, за да се намери по-голямата част от информацията, която състезателите търсеха. Голяма част от тях бяха достъпни чрез социални медии, понякога публикувани от лица, които свързваха корпоративния си имейл с обществена услуга. Един източник на информация изненада Хаднаги: "Myspace, вярвате или не."

По-добри и по-добри прикрития

Хаднаги отбеляза също, че освен за събиране на информация с отворен код, състезателите са използвали и много по-сложни предлози, когато са повикали компаниите в последната фаза на състезанието. Предишните години видяхме много състезатели, които се представят за участници в проучването или студенти, които пишат доклади. Хаднаги активно обезкуражи този подход тази година, напомняйки на състезателите, че вероятно сами ще затворят тези обаждания. „Защо някой в ​​корпоративна среда отговаря на тези въпроси?“ Попита той.

Тези предлози са привлекателни, защото са повече или по-малко анонимни и имат малък риск за обаждащия се. Тази година обаче видяхме повече състезатели, представящи се за колеги или продавачи, които работят с целевите компании. Въпреки че носи по-присъщ риск, Хаднаги каза, че има повече присъщо доверие. "Автоматично на състезателите се вярваше и им се дава информация веднага след прилепа", каза той.

Предлогът на участниците показа някои интересни различия между половете. От десетте жени девет се представиха като технически здрави и търсеха помощ от „колегите“. Всички мъже в състезанието се представяха за технически експерти, а в някои случаи и изпълнителни директори.

Знайте заплахата

Макар че е интересно да размишлявате върху каква и каква сила на конкуренцията, безспорният факт е, че десет компании се отказаха от огромно количество информация - по телефона или публикувани публично онлайн. Докато информацията, която състезателите бяха след, не винаги беше по своята същност опасна, те се четат като солидна първа стъпка в многостепенна атака. Един ден питаш за кафенето, а на другия ден питаш за вход.

Хаднаги опира проблема с липсата на осведоменост сред служителите, обикновено произтичаща от лошото образование от страна на висшите училища. Обучението на служителите да мислят критично за това, което публикуват онлайн и какво казват по телефона, каза Хаднаги, може да се отплати с по-малко успешни атаки.

Едно от най-интригуващите му предложения беше компаниите да не наказват лица, които попадат за измами, и да насърчават последващото безплатно докладване за възможни нарушения. Хаднаги каза на SecurityWatch, че компаниите, които следват тези практики, като цяло са по-добри в справянето с тези заплахи.

Независимо дали сте част от компания или просто човек вкъщи, знанието за опасностите от социалния инженеринг е изключително важно. Затова следващия път, когато някой ви се обади или изпрати имейли, за да помолите за помощ, задайте няколко въпроса, преди да предадете бижутата с короната.

Изображение чрез потребител на Flickr CGP Grey