Jak ukraść korporacyjne sekrety w 20 minut: Zapytaj

Kilka firm z listy Fortune 500 musi uaktualnić swoje przeglądarki internetowe. I choć są w tym samym miejscu, małe szkolenie wewnętrzne z zakresu inżynierii społecznej też nie byłoby złym pomysłem.

Hakerzy z branży inżynierii społecznej - ludzie, którzy oszukują pracowników i mówią rzeczy, których nie powinni robić - - zrobili najlepsze zdjęcia w Fortune 500 podczas konkursu w Defcon Friday i pokazali, jak łatwo jest skłonić ludzi do rozmowy, jeśli tylko powiesz odpowiednie kłamstwo.

Konferencje bezpieczeństwa Defcon i Black Hat odbywają się w Las Vegas w tym tygodniu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Uczestnicy otrzymali informatyków w dużych korporacjach, w tym Microsoft, Cisco Systems, Apple i Shell, aby zrezygnować z wszelkiego rodzaju informacji, które może zostać wykorzystany w ataku komputerowym, w tym na przeglądarkę i numer wersji, z której korzystali (dwie pierwsze firmy, które nazywają się piątek, używają IE6), jakie oprogramowanie używają do otwierania dokumentów PDF, ich system operacyjny i numer service pack, ich klienta poczty, oprogramowanie antywirusowe, którego używają, a nawet nazwa ich lokalna sieć bezprzewodowa.

Dwóch pierwszych uczestników sprawiło, że wyglądało to łatwo

Wayne, konsultant bezpieczeństwa z Australii, który nie podał swojego nazwiska, był pierwszy w piątek rano. Jego misja: Uzyskaj dane od dużej firmy z USA. (IDG News Service postanowiła nie zgłaszać, które firmy padły ofiarą ataków z powodu możliwego zagrożenia bezpieczeństwa).

Siedząc za dźwiękoszczelną kabiną przed publicznością, połączył się z centrum informatycznym i zatrudnił pracownika o imieniu Ledoi. Udając, że jest konsultantem KPMG wykonującym audyt pod presją czasu, Wayne zmusił go do rozlania szczegółów, wielki czas.

Wayne zignorował prośbę o numer pracownika i natychmiast zaczął opowiadać o tym, jak jego szef był na plecach, i jak naprawdę musiał zakończyć tę kontrolę. Pracował nad swoim australijskim urokiem na pracowniku, który pracował przez miesiąc tylko ze swoim nowym pracodawcą. W ciągu kilku minut wydawało się, że jest gotów udzielić Wayneowi wszelkich informacji - w pewnym momencie odwiedził nawet fałszywą stronę internetową KMPG, którą założył Wayne.

Zakończył rozmowę, obiecując, że kupi pracownikowi piwo.

"Jakie piwo lubisz?"

"Teraz jestem na kopniaku Niebieskiego Księżyca."

W wywiadzie po rozmowie Wayne nie mógł uwierzyć w swoje szczęście. "Myślałem, że to dość duża firma i wiem, że przeprowadzili wiele wewnętrznych audytów bezpieczeństwa."

Później organizatorzy konkursu stwierdzili, że jego wysiłek był najlepszy w danym dniu. Ale każdy, kto był celem, porzucił informacje. Chris Hadnagy, jeden z założycieli konkursu, uważa, że ​​ofiary oddałyby poufne informacje, takie jak hasła, gdyby zostały zapytane. "Zrobiliby zdjęcia swojej rodziny, gdyby o nią poprosili", powiedział.

Zasady konkursu zabraniają zwracania się o poufne informacje lub kierowania do określonych typów organizacji, takich jak rząd lub instytucje finansowe. Mimo to, konkurs szarpał nerwy jeszcze przed jego rozpoczęciem. W zeszłym miesiącu Hadnagy otrzymał telefon od FBI z pytaniem o konkurs.

Wayne, który przez 15 lat pracował jako inżynier ds. Bezpieczeństwa, powiedział, że zrobił około 20 godzin rozpoznania przed zawody. Wiedział, jak dotrzeć do centrum informatycznego IT i jakie imiona należy zrzucić, gdy przeszedł.

Uznał, że miał szczęście, że otrzymał tak zielonego pracownika. Ale nowi pracownicy tworzą najlepsze źródła. "Jeśli wybierzesz osobę, która jest wysoko postawioną osobą w firmie, nic nie dostaniesz", powiedział. "Mają wiele do stracenia".

Drugi numerant, Shane MacDougall, postanowił pominąć call center i udać się w prawo do personelu ochrony w innej znanej firmie. Przyjął bardziej zaprasowane podejście, twierdząc, że prowadzi ankietę dla magazynu CSO

Pierwsza osoba, do której dotarł, wiedziała, co robi, i stanowczo, ale grzecznie zamknęła MacDougalla po tym, jak odmówiła odpowiedzi na kilka pytań, mówiąc: "To są konkretne pytania, na które nie odpowiadam wygodnie."

Tylko uczestnicy zostali 25 minut do pracy. Tak więc przy tykaniu zegara MacDougall miał szczęście, że jest następny znak - pracownik kontraktowy w dziale inżynierii bezpieczeństwa, który pracował w firmie przez dwa miesiące. Po kilku pytaniach softballowych dotyczących satysfakcji z pracy i jakości jedzenia w kafeterii, sięgnął po twarde dane.

Dostarczony znak: system operacyjny: Windows XP, service pack 3; program antywirusowy: McAfee VirusScan 8.7; e-mail: Outlook 2003, dodatek Service Pack 3; przeglądarka: IE 6.

MacDougall następnie polecił mu odwiedzić stronę internetową, aby zebrać jego kupon ankietowy o wartości 25 USD, a pracownik spełnił warunki.

Konkurs trwa w Defcon do niedzieli. Zwycięzca otrzymuje iPada.

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami o przełomowych technologiach dla News Service IDG. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]