2010-08-03 18:17:51 来源:ZDnet
上周五的Defcon黑客大会组织了一场比赛,各个黑客现在正在竞争利用社会工程学进行犯罪。其方法是通过美国最大的10个石油或者高新技术公司的员工,获取公司的敏感信息,之后通过目标计算机入侵企业。
Offensive Security是一家进行培训和渗透攻击测试的公司,它的运营总监Christopher Hadnagy周六在接受记者采访时表示,“每一个独立公司,如果现在开始做安全审计,他们就会发现很多漏洞。”包括壳牌、谷歌、宝洁、微软、苹果、思科、福特、可口可乐与百事可乐公司都是如此。“尽管这些公司依然健在,他们的内部员工也已经接受了良好的安全培训,但是,只要我们打电话过去,仍然有一些员工乐意提供公司敏感数据给我们。”
会议组织者表示,他们不会针对某个公司发表一些具体的评论,或者是透露哪个公司的经验情况要比其他公司好或者差。但是他们表示最近几周内会发布一个汇总的报告材料。
Offensive Security的首席培训师Mati Aharoni今天表示,“我们的目的并不是要羞辱某家公司或者某个人,我们是想让人们认识到这种攻击的存在并且关注其危害性。这也许是入侵一家公司最简单也是最有效的办法。我们真心的不希望任何人受到伤害或者遭受到损失。”
社会工程学是一种黑客技术,它通过简单的办法入侵到电脑系统中,成功的获取一些敏感信息,这并不是以计算机技术为手段的获取数据行为。这次比赛的组织者表示,公司都将购买安全软件和设备以及建设自己的防数据泄漏系统为重点,但是他们忽视了一个致命的弱点,这就是:企业总是由人来为它们工作。
Aharoni表示,“人力资源是整个组织中最薄弱也是最易于突破的一个环节。黑客最常用的载体,同时也是目前最简单的途径,这通常就是人的因素。”
十个参赛者,每人分配了一个目标公司,他们有一个星期左右的时间,允许去做一些“被动”网络研究,收集目标公司的情报,同时制定攻击计划。他们不能通过社会工程学、网络钓鱼或者其他网上方法来获取这些信息。
Defcon黑客大会选择了10个具有代表性的大型公司作为目标来进行社会工程学比赛,我们可以看到获取一个陌生人的信息并且轻松逃脱是一件多么简单的事情。
Defcon黑客大会的参赛者有25分钟时间拨打电话,试图通过他们预先确定的名单中获取目标的大量信息。大部分选手都通过的考验。
比赛组织者表示,参赛者被要求获得关于目标公司的一些无关痛痒的消息,比如“企业中的垃圾服务是购买的哪家公司的方案”,又比如“公司里面有没有餐厅”或者是“员工们都使用什么浏览器”,诸如此类。
根据比赛组织者,在比赛中,没有一家目标企业的雇员被要求提供财务信息、信用卡信息或者其他个人资料等敏感信息,比赛的目的是为了让人们认识到社会工程学的危害。
Hadnagy表示,在超过50名接电话的雇员中只有3名表示了怀疑、拒绝提供资料或者直接挂断电话。这3位警惕性很高的雇员都是女性。
Hadnagy说,“一位妇女表示,这个问题听起来非常可疑,并且在20秒之后就挂断了电话。之后我们都为她鼓掌。”
在另一个比赛中,根据Hadnagy表示,黑客几乎得到了一份30到40个问题的列表中的全部答案。
Aharoni表示,“人们会毫不在意的公布它们电子邮件的客户端、Adobe Reader以及MS Office的版本号,甚至还有很多人会点击‘帮助-关于’按钮确认确切的版本号。如果攻击者有了用户使用软件的一个确切版本号,那么,黑客发起的攻击就具有更大的成功可能,原因很简单,因为黑客可以很方便的利用这个版本的已知漏洞。”
本次比赛以及掀起了一些波澜。本次比赛后,FS-ISAC(财务服务-信息服务分析中心)已经公开发布警报。本次比赛的组织者也表示,它们愿意与该机构合作,对企业进行社会工程学防御的培训。
Aharoni表示,“我们将于执法部门共享信息,因为他们已经在咨询我们了。”
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。