Rumah Jam keamanan Wanita benar-benar menghancurkan pria dalam kompetisi rekayasa sosial

Wanita benar-benar menghancurkan pria dalam kompetisi rekayasa sosial

Video: Cara Mendeteksi Wanita Menyukai Kita Atau Tidak | Nomor 5 dan 7 Pasti Dia Suka Kamu (Desember 2024)

Video: Cara Mendeteksi Wanita Menyukai Kita Atau Tidak | Nomor 5 dan 7 Pasti Dia Suka Kamu (Desember 2024)
Anonim

Selama lima tahun terakhir, Chris Hadnagy, Kepala Peretas Manusia di Social-Engineer, Inc, telah menjalankan kompetisi yang tidak biasa di Def Con. Disebut Rekayasa Sosial Menangkap Bendera, itu menantang kontestan untuk mengumpulkan informasi tentang berbagai perusahaan (bendera, jika Anda mau). Ini adalah rekayasa sosial: seni mengumpulkan informasi dari target tanpa harus membobol gedung atau meretas jaringan.

Pada fase pertama, 20 kontestan bekerja untuk mendapatkan informasi tentang perusahaan target dari sumber yang tersedia untuk umum. Fase terakhir adalah maraton panggilan telepon selama 25 menit di mana para kontestan memompa korban untuk mendapatkan informasi. Ini berkisar dari hal biasa ("Apakah Anda memiliki kafetaria?") Hingga kritis ("Apakah Anda menggunakan enkripsi disk?") Hingga yang berpotensi menjadi bencana: menipu korban untuk mengunjungi URL palsu. Kompetisi tahun ini mencakup sepuluh perusahaan, termasuk Apple, Boeing, dan General Dynamics.

Pertempuran Jenis Kelamin

"Dari awal kita selalu membuat panggilan untuk perempuan untuk bergabung, " kata Hadnagy. Mengadopsi format "pria vs wanita" dan secara aktif mempromosikan peran wanita dalam kompetisi membantu membawa kesetaraan yang lebih baik dalam dua tahun terakhir. Hadnagy mengatakan bahwa memberi perempuan lebih banyak visibilitas dalam proyek itu penting, dan mendorong orang lain untuk bergabung. "Kami memiliki lebih banyak wanita daripada yang bisa kami ambil tahun ini, " katanya.

Bagaimana yang wanita lakukan terhadap rekan pria mereka? "Tahun ini, para wanita tidak hanya menang, " kata Hadnagy. "Mereka melenyapkan laki-laki." Tiga dari lima slot teratas diberikan kepada wanita, dan insinyur sosial dengan skor tertinggi memiliki lebih dari 200 poin lebih banyak daripada peserta dengan skor tertinggi berikutnya.

Sangat mudah untuk menarik banyak kesimpulan dari data ini, tetapi sejauh menyangkut keberhasilan perempuan dalam rekayasa sosial, Hadnagy mengatakan tidak ada informasi yang cukup. "Saya tidak berpikir itu membuktikan bahwa orang mempercayai wanita secara inheren, " katanya. "Para wanita yang menang menunjukkan sesuatu, tetapi kami tidak memiliki data yang menunjukkan bahwa mereka adalah wanita yang berbicara dengan pria."

Yang mengatakan, para wanita memiliki berbagai skor dibandingkan dengan laki-laki, yang dicatat dalam laporan akhir kontes. Dikatakan: "variabilitas dalam dapat dihipotesiskan dari kenyataan bahwa mereka adalah kelompok yang sangat beragam, berasal dari latar belakang yang sangat berbeda dan tingkat pengalaman yang berbeda." Laki-laki di sisi lain cenderung berkeliaran di kisaran skor yang sama dengan outlier yang lebih sedikit. "Meskipun kami memastikan keragaman sebagai sebuah kelompok, para lelaki cenderung lebih homogen dalam latar belakang dan tingkat pengalaman dan mungkin ini tercermin dalam kisaran skor yang lebih kecil."

Saya tidak memiliki informasi untuk mendukungnya, tetapi saya pikir data ini menunjukkan pentingnya menyertakan individu dari berbagai latar belakang ke dalam tim mana pun. Tapi itu hanya aku.

Informasi Sudah Ada Di Sana

Laporan akhir kompetisi mungkin tidak meyakinkan tentang peran gender, tetapi jelas bahwa penelitian yang cermat sangat penting bagi para pemenang. Para kontestan menemukan sejumlah informasi mengejutkan yang tersedia secara online secara gratis, dan mereka yang memiliki skor lebih tinggi dalam fase penelitian cenderung melakukan jauh lebih baik selama pemanggilan yang sebenarnya.

Dalam satu kasus, seorang kontestan menemukan portal web yang menghadap publik untuk karyawan. Meskipun diamankan dengan login kata sandi, kontestan menemukan bahwa dokumen bantuan yang tersedia untuk umum yang disediakan oleh perusahaan target berisi nama pengguna dan kata sandi yang berfungsi sebagai contoh. "Ini 2013 dan kami masih melihat hal-hal seperti ini, " kata Hadnagy.

Tetapi tidak butuh pelanggaran besar dalam keamanan untuk menemukan sebagian besar informasi yang dicari para kontestan. Banyak dari itu tersedia melalui media sosial, kadang-kadang diposting oleh individu yang menautkan email perusahaan mereka ke layanan publik. Satu sumber informasi mengejutkan Hadnagy: "Myspace, percaya atau tidak."

Penyamaran Lebih Baik dan Lebih Baik

Hadnagy juga mencatat bahwa selain pengumpulan informasi sumber terbuka, para kontestan juga menggunakan dalih yang jauh lebih kompleks ketika memanggil perusahaan-perusahaan di tahap akhir kompetisi. Tahun-tahun sebelumnya melihat banyak kontestan menyamar sebagai pengambil survei atau siswa menulis laporan. Hadnagy secara aktif mengecilkan pendekatan itu tahun ini, mengingatkan para kontestan bahwa mereka mungkin akan menutup panggilan itu sendiri. "Mengapa ada orang di lingkungan perusahaan yang menjawab pertanyaan ini?" Dia bertanya.

Alasan ini menarik karena mereka kurang lebih anonim dan memiliki risiko rendah untuk penelepon. Tahun ini, bagaimanapun, melihat lebih banyak kontestan menyamar sebagai sesama karyawan atau vendor yang bekerja dengan perusahaan target. Sementara itu membawa risiko yang lebih melekat, Hadnagy mengatakan bahwa ada kepercayaan yang lebih melekat. "Secara otomatis, kontestan dipercaya dan diberikan informasi langsung, " katanya.

Dalih kontestan menunjukkan perbedaan yang menarik di sepanjang garis gender. Dari sepuluh wanita itu, sembilan menggambarkan diri mereka sendiri tidak mengerti secara teknis dan sedang mencari bantuan dari karyawan "sesama". Semua laki-laki dalam kompetisi berperan sebagai pakar teknologi, dan dalam beberapa kasus CEO.

Ketahui Ancamannya

Walaupun menarik untuk merenungkan bagaimana dan mengapa kompetisi, faktanya yang tak terbantahkan adalah bahwa sepuluh perusahaan memberikan sejumlah besar informasi - baik melalui telepon atau diposting secara online ke publik. Sementara informasi yang diikuti para kontestan tidak selalu berbahaya, mereka membaca seperti langkah awal yang solid dalam serangan multi-level. Suatu hari Anda bertanya tentang kafetaria, dan hari berikutnya Anda meminta login.

Hadnagy menyematkan masalah pada kurangnya kesadaran di antara karyawan, biasanya berasal dari pendidikan yang buruk oleh atasan. Melatih karyawan untuk berpikir kritis tentang apa yang mereka poskan secara online dan apa yang mereka katakan melalui telepon, kata Hadnagy, dapat terbayar dengan lebih sedikit serangan yang berhasil.

Salah satu sarannya yang paling menarik adalah bahwa perusahaan tidak menghukum orang yang jatuh dalam penipuan, dan mendorong konsekuensi pelaporan bebas dari kemungkinan pelanggaran. Hadnagy mengatakan kepada SecurityWatch bahwa perusahaan yang mengikuti praktik ini umumnya lebih baik dalam menangani ancaman ini.

Terlepas dari apakah Anda bagian dari perusahaan atau hanya individu di rumah, mengetahui tentang bahaya rekayasa sosial sangat penting. Jadi pada saat seseorang menelepon atau mengirim email Anda meminta bantuan, ajukan beberapa pertanyaan sebelum Anda menyerahkan perhiasan mahkota.

Gambar melalui pengguna Flickr CGP Grey

Wanita benar-benar menghancurkan pria dalam kompetisi rekayasa sosial