Kako ukrasti korporacijske tajne u 20 minuta: pitaj

Nekoliko tvrtki u Fortune 500 treba nadograditi svoje web preglednike. I dok su na njemu, malo obučavanje unutar društvenog inženjeringa ne bi bilo loša ideja.

Socijalni inženjering hakeri - ljudi koji trguju zaposlenike da rade i govore stvari koje ne bi smjeli - - snimali su najbolji hit na Fortune 500 tijekom utrke u Defconu u petak i pokazali kako je lako ljude pričati, ako samo kažete pravu laž.

Konferencije o sigurnosti Defcon i Black Hat odvijaju se u Lasu

Natjecatelji su dobili IT osoblje u velikim korporacijama, uključujući Microsoft, Cisco Systems, Apple i Shell, kako bi se odrekli svih vrsta informacija koje su (prve dvije tvrtke zvane Friday koristile su IE6), koji softver koriste za otvaranje PDF dokumenata, njihov operativni sustav i broj servisnog paketa, njihov klijent e-pošte, antivirusni softver koji koriste, pa čak i naziv njihova lokalna bežična mreža.

Prva dva natjecatelja učinila su da je lako.

Wayne, australski savjetnik za sigurnost koji ne bi dao svoje prezime, prvi put je u petak ujutro. Njegova misija: dobiti podatke od velike američke tvrtke. (IDG News Service je izabrala da ne prijavi koje su tvrtke pala za koje napade zbog mogućih sigurnosnih rizika.)

Sjedeći iza zvučne kupe pred publikom, on je povezao s IT pozivnim centrom i dobio zaposlenika po imenu Ledoi koji govori, Pretvarajući se da je KPMG savjetnik koji obavlja reviziju pod pritiskom na rok, Wayne ga je natjerao da proliše pojedinosti, veliko vrijeme. Wayne je zanemario zahtjev za broj zaposlenika i odmah pokrenuo priču o tome kako mu je šef bio na leđima i kako je stvarno trebao da se ova revizija završi. Radnik Aussiea radili su na radniku koji je bio samo s novim poslodavcem mjesec dana. Za nekoliko minuta činilo se da je spreman dati Wayneu prilično bilo kakvu informaciju koju je želio - jednom je posjetio lažnu KMPG web stranicu koju je Wayne postavio.

Završio je obećavajući ponudu za kupnju piva

"Kakvo pivo volite?"

"Trenutno sam na udaru Blue Moona."

U razgovoru nakon poziva Wayne nije mogao vjerovati svojoj sreći. "Mislila sam da su prilično velika tvrtka i znam da su napravili mnogo sigurnosnih revizija unutar tvrtke."

Kasnije organizatori natječaja rekli su da je njegov napor bio najbolji dan. Ali svi koji su bili ciljani odustali su od informacija. Chris Hadnagy, jedan od osnivača natječaja, vjeruje da bi žrtve dale osjetljive podatke kao što su lozinke, ako su ih pitali. "Dali bi slike svoje obitelji ako su to tražili", rekao je.

Pravila natječaja zabranila su traženje bilo kakvih osjetljivih informacija ili ciljanje određenih vrsta organizacija poput vladinih ili financijskih institucija. Čak i tako, natjecanje je trzalo živce čak i prije nego što je započeo. Prošli mjesec Hadnagy je primio telefonski poziv od FBI-a koji je pitao o natječaju. Wayne, koji je 15 godina obavljao taj tip društvenog inženjeringa u svojem danu kao savjetnik za sigurnost, rekao je da je radio oko 20 sati izviđanja ispred natjecanje. Znao je kako doći do informatičkog centra za poziv i koje će se nazive spustiti kad je prošao. Ali novi zaposlenici čine najbolje izvore. "Ako odaberete nekoga tko je visoki čovjek u tvrtki, ništa nećete dobiti", rekao je. "Imaju puno za izgubiti."

Natjecatelj broj dva, Shane MacDougall, odlučio je preskočiti pozivni centar i otići desno za sigurnosno osoblje u još jednoj poznatoj tvrtki. Uzeo je pristup s više prekida, tvrdeći da provodi anketu za CSO Magazine.

Prva osoba koju je dosegla znao je što radi, a MacDougal čvrsto, ali pristojno zatvorio, nakon što je odbio odgovoriti na nekoliko pitanja, govoreći: "Ovo su specifična pitanja koja se ne osjećam ugodno."

Natjecatelji su dobili samo 25 minuta za rad. Zato kad je sat otkucavao, MacDougall srećao je sljedeću oznaku - zaposlenik u odjelu za sigurnost koji je bio s tvrtkom dva mjeseca. Nakon nekoliko softball pitanja o zadovoljstvu poslom i kvaliteti hrane u kafeterija, on je otišao na teške podatke.

Isporučena oznaka: operacijski sustav: Windows XP, servisni paket 3; antivirusni program: McAfee VirusScan 8.7; e-pošta: Outlook 2003, servisni paket 3; preglednik: IE 6.

MacDougall mu je tada rekao da posjeti web stranicu kako bi prikupio svoj studijski kupon od 25 dolara, a radnik je poštovao.

Natječaj traje do Defcona do nedjelje. Dobitnik dobiva ipad.

Robert McMillan pokriva informatičku sigurnost i opću tehnološku vijest za IDG News Service. Slijedite Roberta na Twitteru @ bobmcmillan. Robertova adresa e-pošte je [email protected]