Vídeo: Ingeniería Social (Setembre 2024)
Durant els últims cinc anys, Chris Hadnagy, cap humà hacker de Social-Engineer, Inc, ha disputat una competició inusual a Def Con. Enginyeria Social Capture The Flag, repta als concursants a obtenir informació sobre diverses empreses (banderes, si ho voleu). Es tracta d’enginyeria social: l’art de recopilar informació d’objectius sense haver d’entrar en un edifici ni fer pirates a una xarxa.
En la primera fase, 20 concursants treballen per obtenir informació sobre empreses destinatàries de fonts disponibles públicament. L’última fase és una marató de 25 minuts de trucades telefòniques on els concursants bomben víctimes per obtenir informació. Això va des del mundà ("Té una cafeteria?") Fins al crític ("Utilitzeu xifratge de disc?") Fins al potencialment desastrós: enganyar les víctimes a visitar URL falses. La competició d’aquest any va incloure deu empreses, entre les quals Apple, Boeing i General Dynamics, entre d’altres.
Batalla de les Sexes
"Des del començament, sempre hem fet una crida perquè les dones s'hi uneixin", va dir Hadnagy. L’adopció d’un format “homes davant dones” i la promoció activa del paper de la dona en la competició va contribuir a millorar la paritat en els darrers dos anys. Hadnagy va dir que donar més visibilitat a les dones en el projecte era crític i va encoratjar a altres a participar-hi. "Teníem més dones del que podríem prendre aquest any", va dir.
Com van fer les dones contra els seus homòlegs masculins? "Aquest any, les dones no només han guanyat", va dir Hadnagy. "Van oblidar els homes." Tres de les cinc primeres franges horàries van ser a dones i l'enginyer social amb més puntuació tenia més de 200 punts més que el següent participant.
És fàcil treure moltes conclusions a partir d’aquestes dades, però pel que fa a l’èxit de les dones en enginyeria social, Hadnagy va dir que no hi ha prou informació. "No crec que demostri que la gent confia de manera inherent a les dones", va dir. "Les dones guanyadores mostren alguna cosa, però no tenim dades que demostrin que eren dones que parlen amb homes".
Dit això, les dones van tenir una àmplia gamma de puntuacions en comparació amb els homes, cosa que es va assenyalar a l’informe final del concurs. Va dir: "La variabilitat en pot ser hipòtesi a partir del fet que eren un grup extremadament divers, procedents de procedències molt diferents i nivells d'experiència diferents". Els homes, d’altra banda, tendien a penjar la mateixa gamma de puntuacions amb menys outliers. "Tot i que vam assegurar la diversitat com a grup, els homes van tendir a ser més homogenis en el nivell de experiència i experiència i potser això es va reflectir en la menor gamma de puntuacions".
No tinc informació per fer una còpia de seguretat, però crec que aquestes dades mostren la importància d’incloure persones de diferents orígens en qualsevol equip. Però sóc jo.
La informació ja està fora
L’informe final del concurs pot no ser concloent sobre el paper del gènere, però està clar que una investigació acurada va ser crítica per als guanyadors. Els concursants van trobar una quantitat impactant d’informació disponible lliurement en línia, i els que tenien una puntuació més alta en les fases de recerca tendien a millorar molt millor durant la trucada real.
En un cas, un concursant va trobar un portal web destinat als empleats. Tot i que es va assegurar amb un inici de sessió de contrasenya, el concursant va descobrir que un document d'ajuda disponible públicament proporcionat per l'empresa destinatària contenia un nom d'usuari i una contrasenya que funcionaven com a exemple. "És el 2013 i encara veiem coses així", va dir Hadnagy.
Però no es van produir grans infraccions en la seguretat per trobar la majoria de la informació que buscaven els concursants. Bona part estava disponible a través de les xarxes socials, de vegades publicades per persones que enllaçaven el seu correu electrònic corporatiu a un servei públic. Una font d'informació va sorprendre a Hadnagy: "MySpace, creieu-la o no".
Millors i millors disfresses
Hadnagy també va assenyalar que, a més de la recollida d'informació de codi obert, els concursants també van utilitzar pretextes molt més complexos quan van convocar empreses a la fase final de la competició. En anys anteriors, molts concursants es presentaven com a estudiants enquestats o estudiants que escrivien informes. Hadnagy va descoratjar activament aquest enfocament aquest any, recordant als concursants que probablement podrien penjar-se en aquestes trucades. "Per què algú d'un entorn corporatiu respondria aquestes preguntes?" Va preguntar.
Aquests pretextos són atractius perquè són més o menys anònims i tenen un risc baix per a la persona que truca. Aquest any, però, es van veure més concursants posant-se com a col·laboradors o venedors que treballen amb les empreses objectiu. Si bé comporta un risc més inherent, Hadnagy va dir que hi havia una confiança més inherent. "De forma automàtica, es va confiar en els concursants i es va rebre informació immediatament fora de la bat", va dir.
Els pretextos dels concursants mostraven una interessant divergència segons la línia de gènere. De les deu dones, nou es van retratar com no experimentades tècnicament i buscaven ajuda dels empleats "companys". Tots els homes de la competició es van plantejar com a experts en tecnologia i, en alguns casos, consellers delegats.
Conegueu la amenaça
Tot i que és interessant analitzar els aspectes i els per què de la competència, el fet indiscutible és que deu empreses van donar una gran quantitat d'informació, ja sigui per telèfon o publicades en línia per Internet. Si bé la informació que els concursants tenien després no sempre era intrínsecament perillosa, sí que van llegir-se com un primer pas sòlid en un atac de diversos nivells. Un dia estàs preguntant per la cafeteria, i l'endemà demanen sessió.
Hadnagy soluciona el problema en la manca de consciència dels empleats, generalment derivada d'una mala educació per part dels majors. Capacitar els empleats a pensar críticament sobre el que publiquen en línia i el que diuen per telèfon, va dir Hadnagy, pot donar-se els resultats amb menys atacs reeixits.
Un dels seus suggeriments més intrigants va ser que les empreses no castiguessin els individus que cauen per estafes i fomentessin la denúncia gratuïta de possibles incompliments. Hadnagy va dir a SecurityWatch que les empreses que segueixen aquestes pràctiques generalment són millors per gestionar aquestes amenaces.
Independentment de si formeu part d’una empresa o només un individu a casa, conèixer els perills de l’enginyeria social és fonamental. Així que la propera vegada que algú truqui o envieu un correu electrònic per demanar ajuda, plantegeu-vos algunes preguntes abans de lliurar les joies de la corona.
Imatge mitjançant Glic CGP de l’usuari de Flickr
