비디오: Whitney Houston - I Will Always Love You (Official 4K Video) (십월 2024)
지난 5 년 동안 Social-Engineer, Inc의 최고 인간 해커 인 Chris Hadnagy는 Def Con에서 특별한 경쟁을 벌였습니다. 사회 공학 캡처 캡처 깃발 (Social Engineering Capture The Flag)이라고 불리는이 행사는 참가자들이 다양한 회사 (플래그, 원하는 경우)에 대한 정보를 수집하도록 요구합니다. 이것은 사회 공학입니다. 건물에 침입하거나 네트워크를 해치지 않고도 대상에서 정보를 수집하는 기술입니다.
첫 번째 단계에서 20 명의 참가자는 공개 소스를 통해 대상 회사에 대한 정보를 얻습니다. 마지막 단계는 참가자가 정보를 얻기 위해 피해자를 펌핑하는 25 분의 전화 통화입니다. 이것은 평범한 ("식당 식당이 있습니까?")에서 중요 ("디스크 암호화를 사용합니까?")에서 잠재적으로 비참한 것 (피해자가 가짜 URL을 방문하도록 속이는)에 이르기까지 다양합니다. 올해의 경쟁에는 Apple, Boeing 및 General Dynamics를 포함한 10 개의 회사가 포함되었습니다.
남녀의 전투
Hadnagy는“처음부터 우리는 항상 여성들이 참여할 것을 요구했다. "남성 대 여성"형식을 채택하고 경쟁에서 여성의 역할을 적극적으로 홍보하면 지난 2 년 동안 더 나은 패리티를 얻을 수있었습니다. Hadnagy는 프로젝트에 여성에게 더 많은 가시성을 제공하는 것이 중요하며 다른 사람들의 참여를 독려했다고 말했다. "우리는 올해 들어올 수있는 것보다 더 많은 여성을 가졌다"고 말했다.
여자들은 남자들에 대해 어떻게 했습니까? Hadnagy는 "올해 여성들은 이기지 못했다"고 말했다. "그들은 남자를 말살했다." 상위 5 개 슬롯 중 3 개 슬롯이 여성들에게 갔고, 최고 점수를받은 사회 엔지니어는 다음 최고 점수 참가자보다 200 점 이상 더 높았습니다.
Hadnagy는이 데이터에서 많은 결론을 도출하기는 쉽지만 사회 공학에서 여성의 성공에 관한 한 정보가 충분하지 않다고 말했다. "나는 사람들이 본질적으로 여성을 신뢰한다는 것을 증명하지는 않는다"고 말했다. "승리 된 여성들은 무언가를 보여 주지만, 여성들이 남성들과 대화하고 있다는 것을 보여주는 데이터는 없습니다."
즉, 여성은 남성과 비교하여 광범위한 점수를 받았으며 이는 대회의 최종 보고서에 기록되어 있습니다. "다양한 배경과 경험 수준에서 비롯된 매우 다양한 그룹이라는 사실로 인해 변동성이 가정 될 수 있습니다." 반면에 남성은 특이 치가 적을수록 같은 범위의 점수를 유지하는 경향이있었습니다. "우리는 그룹으로서의 다양성을 보장했지만, 남자들은 배경과 경험 수준에서 더 균질 한 경향이 있었고 아마도 이것은 작은 범위의 점수에 반영되었을 것입니다."
백업 할 정보가 없지만이 데이터는 다양한 배경을 가진 개인을 모든 팀에 포함시키는 것이 중요하다고 생각합니다. 그러나 그것은 단지 나입니다.
정보가 이미 있습니다
경쟁의 최종 보고서는 성별의 역할에 대해 결정적이지 않을 수 있지만, 수상자에게는 신중한 연구가 중요하다는 것이 분명합니다. 참가자들은 온라인에서 자유롭게 이용할 수있는 충격적인 양의 정보를 발견했으며 연구 단계에서 더 높은 점수를받은 사람들은 실제 통화 중에 훨씬 더 나은 경향이있었습니다.
어떤 경우에는 참가자가 직원을위한 공개 웹 포털을 발견했습니다. 비밀번호 로그인으로 보안이 설정되었지만 참가자는 대상 회사에서 제공하는 공개적으로 사용 가능한 도움말 문서에 작동중인 사용자 이름과 비밀번호가 포함되어 있음을 발견했습니다. Hadnagy는 "2013 년에도 여전히 이런 것들을보고있다"고 말했다.
그러나 참가자가 찾고 있던 대부분의 정보를 찾기 위해 보안을 크게 위반하지는 않았습니다. 소셜 미디어를 통해 제공되는 경우가 많았으며 때로는 회사 이메일을 공공 서비스에 연결 한 개인이 게시했습니다. 정보의 한 출처는 Hadnagy를 놀라게했다. "Myspace, 믿거 나 말거나."
더 나은 더 나은 변장
Hadnagy는 또한 오픈 소스 정보 수집 외에도 경쟁사의 최종 단계에서 회사에 전화 할 때 훨씬 더 복잡한 구실을 사용했다고 언급했습니다. 지난 몇 년 동안 많은 참가자들이 설문 조사 참가자 또는 보고서 작성 학생으로 포즈를 취했습니다. Hadnagy는 올해 그 접근 방식을 적극적으로 권장하지 않았으며 참가자들에게 그 전화에 매달릴 수 있음을 상기 시켰습니다. "왜 회사 환경에있는 사람이이 질문에 대답합니까?" 그는 물었다.
이 구실은 다소 익명이고 발신자의 위험이 낮기 때문에 매력적입니다. 그러나 올해에는 대상 회사와 함께 일하는 동료 직원이나 벤더로 참여하는 참가자가 더 많았습니다. Hadnagy는 더 내재 된 위험이 있지만 더 내재 된 신뢰가 있다고 말했다. "자동으로 참가자들은 신뢰를 얻어 정보를 바로 얻을 수있었습니다."라고 그는 말했다.
참가자들의 구실은 성별에 따른 흥미로운 차이를 보여 주었다. 10 명의 여성 중 9 명은 기술에 정통하지 않은 것으로 묘사했으며 "중요한"직원의 도움을 찾고있었습니다. 경쟁에 종사하는 모든 사람들은 기술 전문가, 경우에 따라 CEO로 제기되었습니다.
위협을 알고
경쟁의 방법과 이유에 대해 숙고하는 것이 흥미롭지 만 논쟁의 여지가없는 사실은 10 개의 회사가 전화를 통해 또는 공개적으로 온라인에 게시 된 방대한 양의 정보를 포기했다는 것입니다. 참가자의 정보가 항상 본질적으로 위험한 것은 아니지만, 다 계층 공격의 확실한 첫 단계처럼 읽습니다. 어느 날 카페테리아에 대해 묻고 다음 날에는 로그인에 대해 묻습니다.
Hadnagy는 일반적으로 고등 교육 기관의 빈약 한 교육에서 비롯된 직원들의 인식 부족으로 문제를 해결합니다. Hadnagy는 직원들이 온라인으로 게시 한 내용과 전화를 통해 말하는 내용에 대해 비판적으로 생각하도록 교육함으로써 성공적인 공격을 줄일 수 있다고 말합니다.
그의 가장 흥미로운 제안 중 하나는 회사가 사기에 빠지는 개인을 처벌하지 않으며 결과적으로 위반 가능성에 대해 자유롭게보고하도록 권장한다는 것이 었습니다. Hadnagy는 이러한 관행을 따르는 회사가 일반적으로 이러한 위협을보다 잘 처리한다고 SecurityWatch에 말했습니다.
당신이 회사에 속해 있는지 아니면 집에있는 개인에 관계없이 사회 공학의 위험에 대해 아는 것이 중요합니다. 다음에 누군가 도움을 요청하거나 전화를 걸 때 크라운 보석을 넘기기 전에 몇 가지 질문을하십시오.
Flickr 사용자 CGP Gray를 통한 이미지
