. Elo mais fraco da segurança: A tecnologia não é páreo para a engenharia social - Tudo Sobre Tecnologia

além-virtualização vantagens-de-automation.jpgUm pesquisador de segurança diz que há uma taxa de sucesso de 100 por cento qualquer momento pen-teste usa engenharia social para as vítimas-alvo. Aqui estão algumas das técnicas utilizadas. 
Muitos de nós na indústria de segurança sinto que nos últimos dois meses têm sido um tempo muito ocupado, centrada principalmente em torno dos meios tecnológicos que a NSA, juntamente com outras agências governamentais, estão usando para quebrar a segurança, entrar em nossas redes privadas, e leia os nossos dados.Nós também cobrimos como criminosos e outros bandidos podem aproveitar essa mesma tecnologia para fazer basicamente a mesma coisa, mas com um objetivo muito mais mundano normalmente para ganhar dinheiro nas costas dos nossos usuários. No entanto, é importante lembrar que a maioria dos arrombamentos historicamente, e muitos ainda até hoje, não tem nada a ver com tecnologia. Na verdade, eles são realizados por pessoas que dependem principalmente do fator humano, não o código desonesto ou criação de malware. Isto é o que o engenheiro social Capture the Flag concurso é tudo, e agora o relatório  sobre a versão mais recente, que foi realizada na DEF CON 21, acaba de ser lançado.
A competição em si é organizado pela social-Engenheiro Inc, uma equipe patrocinada por vários grupos de segurança, e que abriga o evento na conferência de segurança a cada ano.Este ano, 198 pessoas e grupos de hackers sociais participaram do concurso, ea equipe de seleção escolheu 10 homens e 10 mulheres para testar suas habilidades contra as empresas da Fortune 500 reais, incluindo marcas populares como a Apple, Boeing, a Exxon, a Walt Disney, e muito mais, para ver se eles podiam entrar usando engenharia social. O objetivo desses eventos é conscientizar sobre a ameaça da engenharia social contra a nossa segurança, a ameaça de que muitas organizações têm dificuldade em entender. Fornecer um orçamento para um novo firewall ou IDS é algo que pode ser facilmente quantificado, mas colocar números concretos sobre as ameaças sociais é muito mais difícil.

Técnicas de engenharia social

O objetivo das pessoas que entram na competição é para ganhar acesso a bandeiras, ou partes específicas de informação, dentro dessas empresas particulares. Os 20 participantes foram aleatoriamente designados empresas, com um macho e uma fêmea engenheiro social por alvo. O FEP forneceu uma assessoria jurídica para o quão longe o concurso poderia ser empurrado. Cada concorrente tinha duas semanas para ganhar inteligência sobre a sua empresa-alvo, e só poderia usar Informações Open Source (OSI) através de fontes populares, como Google, Facebook, Twitter, LinkedIn, etc Durante a DEF CON 21 em Las Vegas, os competidores, em seguida, teve uma curto período de tempo para fazer chamadas ao vivo para a empresa-alvo.
Várias técnicas podem ser usadas, incluindo Caller ID Spoofing, e um painel de juízes decidiu o placar. Pontos foram dadas a concorrentes que poderia ganhar uma variedade de informações, como se ele está sendo originada em casa ou em outro lugar, se a empresa usa redes sem fio, o navegador e outros programas de software estão sendo usados, tentando obter um de seus funcionários para ir para um URL de destino, e assim por diante. Alguns dos resultados foram o esperado, e outros deram uma visão sobre o que os engenheiros sociais usaria para ganhar o que eles estão atrás. Aqui está uma tabela de locais utilizados pelos competidores durante a fase de coleta de informações de acordo com o relatório:
socengchart.png
 
Pretexting é outra tática comum que foi muito utilizada, onde os concorrentes se passar por um funcionário da empresa para obter informações adicionais. Em 65% dos casos, o pretexto utilizado foi um funcionário, em 10% dos casos, um dos alunos, 10% de uma pesquisa, 10% de um fornecedor, e 5% de um candidato a emprego. Enquanto homens e mulheres participantes marcou bem de perto durante a fase de coleta de informações, o relatório mostra que as mulheres tiveram um tempo muito mais fácil ganhar a vantagem durante as chamadas ao vivo.

Operação "Facebook hottie"

Para ilustrar ainda mais a validade destes resultados, a equipe de pesquisa da RSA Europa acaba de apresentar sua própria doozy de um experimento de teste de penetração  que com sucesso socialmente projetada uma agência sem nome do governo dos EUA para entregar as "jóias da coroa" da sua rede. Blue Violet da ZDNet descreve o caminho que os pesquisadores levaram: usando falsas contas de mídias sociais e e-mails a partir de uma jovem atraente posando como um novo funcionário, os membros da agência foram enganados em todos os tipos de falhas, incluindo:
  • Abrir um link malicioso feriado cartão que ajudou os pen-testers "ganhar direitos administrativos, obter senhas, instalar aplicativos e [roubar] documentos com informações sigilosas - alguns dos quais, de acordo com os hackers, incluiu informações sobre os ataques patrocinados pelo Estado e país líderes "
  • Ignorando os controles habituais para a emissão de um laptop da empresa e acesso à rede
Pesquisador Aamir Lakhani teve a citação de refrigeração para resumir tudo: "Toda vez que incluem a engenharia social em nossos testes de penetração, temos uma taxa de sucesso de cem por cento."

O elo mais fraco

No final, o que essas experiências demonstram é que a engenharia social ainda é uma grande ameaça hoje. Mesmo no ambiente controlado de acordos de pen-teste, os competidores DEF CON e membros da equipe de pesquisa da RSA conseguiu ter acesso à maioria das informações que eles precisavam. Isto inclui a enorme quantidade de informações privadas que podem ser obtidas a partir de consultas web simples. O vencedor do concurso DEF CON não era mesmo um engenheiro social profissional e marcou a maioria de seus pontos por meio de extensa coleta de informações.
O relatório continua a falar sobre alguns dos passos organizações podem tomar para mitigar este problema. Em primeiro lugar, tratamento de informações é crítica. Muitas vezes, a informação privada acaba em servidores disponíveis publicamente, até mesmo redes sociais.Consistente, a educação no mundo real é um fator importante de mitigação, assim como testes de penetração regular.
Será que seus usuários e funcionários serão enganados por essas façanhas? Existe um equilíbrio a ser encontrado entre incutir a quantidade certa de paranóia em usuários e não ter rotinas diárias moer a um impasse?

Sobre Patrick Lambert

Patrick Lambert tem vindo a trabalhar na indústria de tecnologia para mais de 15 anos, tanto como freelancer on-line e em empresas nos arredores de Montreal, no Canadá. Um fã de Star Wars, jogos, tecnologia e arte, ele escreve para diversos sites, incluindo a arte notícia commun ...

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo