20 Dakika İçinde Şirket Sırlarını Nasıl Ele Alacaksınız:

Fortune 500'deki birkaç şirketin Web tarayıcılarını yükseltmesi gerekiyor. Ve işte çalışırken, sosyal mühendislik üzerine küçük bir kurum içi eğitim de kötü bir fikir olmaz.

Sosyal mühendislik korsanları - çalışanları kandırıp yapmaması gereken şeyleri söyleyen insanlar - - Defcon Cuma günü yapılacak bir yarışmada Fortune 500'de en iyi atışlarını yaptı ve insanların doğru konuşmalarını söyleyebilmeleri için ne kadar kolay olduğunu gösterdi.

Defcon ve Black Hat güvenlik konferansları Las'te gerçekleşiyor. Vegas bu hafta

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımlar nasıl kaldırılır]

Yarışmacılar, Microsoft, Cisco Systems, Apple ve Shell gibi büyük şirketlerin BT çalışanlarına, hangi tarayıcıyı ve sürüm numarasını kullandıklarını (Cuma olarak adlandırılan ilk iki şirketin IE6 kullanıyorduklarını), pdf belgelerini açmak için kullandıkları yazılımı, işletim sistemlerini ve hizmet paketi numarasını, posta istemcilerini, bir bilgisayar saldırısında kullanılabilir. kullandıkları virüsten koruma yazılımı ve hatta Yerel kablosuz ağları.

İlk iki yarışmacı bunu kolaylaştırdı.

Avustralya'dan, soyadını vermeyecek bir güvenlik danışmanı olan Wayne, ilk olarak Cuma sabahıydı. Onun görevi: Büyük bir ABD şirketinden veri alın. (IDG News Service, olası güvenlik riskleri nedeniyle hangi şirketlerin hangi saldırılara uğradığını bildirmemeyi seçti.)

Bir seyirciden önce ses geçirmez bir standın arkasında otururken, bir IT çağrı merkezine bağlandı ve Ledoi adında bir çalışan aldı.. Bir KPMG danışmanı olarak son tarih baskısı altında bir denetim yapıyormuş gibi davranan Wayne, ayrıntılar için büyük zaman ayırdı.

Wayne, bir çalışan numarası için bir talebi reddetti ve patronunun sırtında nasıl bir hikayeye dönüştüğünü anlattı. Bu denetimi almak için gerçekten ne ihtiyacı vardı. Aussie cazibesini, bir ay boyunca yeni işvereni ile birlikte olan işçiye çalıştı. Birkaç dakika içinde, Wayne'e istediği her türlü bilgiyi vermeye istekli görünüyordu - bir noktada Wayne'in kurduğu sahte bir KMPG web sayfasını bile ziyaret etti.

Çalışana bir bira almayı umut eden çağrıyı sonlandırdı.

"Hangi birayı seviyorsun?"

"Şu an bir Blue Moon vuruşundayım."

Görüşmeden sonra bir röportajda, Wayne şansına inanamadı. “Oldukça büyük bir şirket olduğunu düşünüyordum ve çok fazla şirket içi güvenlik denetimi yaptım.”

Daha sonra, yarışma organizatörleri çabalarının günün en iyisi olduğunu söyledi. Ancak hedeflenen herkes bilgi verdi. Yarışmanın kurucularından Chris Hadnagy, kurbanların kendilerine sorulan şifreler gibi hassas bilgiler vereceğini düşünüyor. "İstedikleri takdirde ailelerinin fotoğraflarını vermiş olurlardı" dedi.

Yarışma kuralları herhangi bir hassas bilgi talep etmeyi veya hükümet veya finans kurumları gibi belirli kuruluş türlerini hedeflemeyi yasakladı. Yine de, yarışma başlamasından önce bile sinirleri salladı. Geçtiğimiz ay, Hadnagy, FBI'dan yarışma hakkında bir çağrı aldı.

15 yıl boyunca bir güvenlik danışmanı olarak bu tür bir sosyal mühendisliği yapmış olan Wayne, yaklaşık 20 saatlik bir keşif yaptığını söyledi. yarışma. BT çağrı merkezine nasıl ulaşılacağını biliyordu ve yaşadığı zaman hangi isimlerin düşeceğini biliyordu.

Böylesine yeşil bir işçi alarak şansını yitirdiğini kabul etti. Ancak yeni çalışanlar en iyi kaynakları oluşturuyor. “Şirkette yüksek bir kişi olan birini seçerseniz, hiçbir şey almayacaksınız” dedi. "Kaybedecek çok şeyleri var."

İkinci yarışmacı Shane MacDougall, çağrı merkezini atlamaya ve iyi bilinen bir şirketteki güvenlik görevlilerine doğru gitmeye karar verdi. CSO dergisi için bir anket yürüttüğü iddiasıyla daha aşağı yönlü bir yaklaşım sergiledi.

Ulaştığı ilk kişi, ne yaptığını biliyordu ve MacDougall'ı birkaç soruya cevap vermeyi reddettikten sonra sert bir şekilde ama kibarca kapattı, “Bunlar, kendimi rahat bir şekilde cevaplamadığımdan belli sorular.”

Yarışmacılara sadece Çalışmak için 25 dakika. Böylece MacDougall, saatin geçmesiyle birlikte, bir sonraki işte - iki aydır şirkette bulunan güvenlik mühendisliği departmanında çalışan bir sözleşme çalışanı - şansını yitirdi. İş memnuniyeti ve kafeterya yemeklerinin kalitesiyle ilgili birkaç softbol sorusu sonrasında, zor veriler için gitti.

Teslim edilen işaret: işletim sistemi: Windows XP, servis paketi 3; antivirüs: McAfee VirusScan 8.7; e-posta: Outlook 2003, hizmet paketi 3; tarayıcı: IE 6.

MacDougall daha sonra 25 $ 'lık anket kuponunu toplamak için bir web sitesini ziyaret etmesini ve işçinin yerine getirmesini söyledi.

Yarışma Pazar günü Defcon'da çalışıyor. Kazanan bir iPad aldı.

Robert McMillan, IDG News Service için bilgisayar güvenliği ve genel teknoloji haberlerini kapsar. @bobmcmillan'da Robert'ı takip edin. Robert'in e-posta adresi [email protected]