תוצאות תחרות הנדסה חברתית ב-DEFCON

בכנס DEFCON השנתי מתקיימות תחרויות שונות ומשונות בכל הקשור לעולם ההאקינג ואבטחת המידע.

השנה (2010) הוחלט לפתוח במירוץ מעניין על רקע הנדסה חברתית (Social Engineering).

הרעיון פשוט : כמה מידע פנימי ניתן לסחוט מעובדים של אחת החברות הגדולות בשיחת טלפון קצרה ?

התוצאות מפחידות …

יעד התקיפה :

מטרות התוקפים היו עובדים של אחת מ-500 החברות הגדולות בארה"ב ("Fortune 500").

מארגני התחרות איפשרו למתחרים לשבת מול הקהל, מאוחרי זכוכית ולבצע את השיחות בצורה חופשית.

מגבלות :

הנחיות התחרות היו די ברורות : אסור לבקש מידע עסקי או לא חוקי (סיסמאות, מספרי אשראי, בעצם שום מידע שיכול לשמש כראיה משפטית).

אסור להפעיל יכולות מבוססות על תוכנות צד שלישית (וירוסים, סוסים טרויאנים …).

מותר לקבל כל מידע אחר בעזרת יכולות הנדסה חברתית (מידע על מערכות הפעלה, אנטי וירוס …).

מותר לבקש מהמותקף לגלוש לאתר ברשת.

במידה והתוקף עובר על ההנחיה, הוא פשוט נפסל.

הערה קטנה : גם מידע פורנוגרפי נחשב כלא תקין 🙂

פרסים :

הפרס הראשון היה מוצר IPAD ובמה ב-PODCAST של אתר social-engineer.org.

תוצאות ומספרים :

הותקפו 135 אנשים מתוך 17 מהחברות הגדולות בארה"ב (כולל CISCO, MICROSOFT, COCA COLA, PEPSI, FORD …)

96% מהמותקפים "נפלו" ומסרו מידע פנימי

כמחצית מהחברות עדיין עובדות עם INTERNET EXPLORER 6 הלא מאובטח

100% מהמותקפים שהתבקשו לגלוש לאתר חיצוני … הסכימו וגלשו

רק 5 מותפקים סרבו למסור פרטים והם כולם … מותקפות (נשים)

סיכום ומסקנות :

1 ) הצלחה כמעט מוחלטת של התוקפים : שוב הוכחה שיש בעיה רצינית בהגנה מפני הנדסה חברתית. מודעות העובדים הינה הנקודה המרכזית בנוסחה.

חברות חייבות להשקיע משאבים בהדרכה. כמו כן, מדובר בתהליך ולא רק בהדרכה חד פעמית בכניסה לחברה : חייבת להיות תוכנית מודעות לכל אורך תקופת ההעסקה של העובד.

2 ) איך יתכן שרוב החברות עדיין עובדות עם IE6 ? ככל הנראה בשל העלויות הגדולות והמשמעויות של שדרוג הדפדפן. זהו הסבר אך לא תירוץ לעובדה שאותן חברות מטרות פוטציאליות להרבה פגיועיות על בסיס דפדפן.

3 ) 100% מהאנשים שסירבו למסור פרטים הינן נשים : האם יש קשר עם מודעות ? התוצאות מכוונות לתשובה חיובית למרות ש-135 ניסיונות לא מוגדרים כמייצגים. בכל זאת, יש כאן מקום לביצוע בדיקה רצינית של התופעה כדי לנסות להוציא תובנה מהתוצאה הלא צפויה של התחרות.

קישורים :

הנחיות התחרות

מקור הכתבה

תגובה אחת ל “תוצאות תחרות הנדסה חברתית ב-DEFCON”

  1. Wire כותב:

    פששש..אני חייב להגיד שאני מורשם!
    אשמח לדעת באיזו דרכים הם הצליחו לגרום לאנשים בחברה לבצע את מה שהם אומרים להם