Вышедший отчет описывает результаты "capture the flag" соревнования,
проведенного среди 14 компаний, занимающихся розничной торговлей,
авиаперевозками, продуктами питания, технологиями и услугами мобильной связи.
Выходит, что работников, занимающихся розничной торговлей, сложнее поймать на
удочку социальной инженерии, чем сотрудников колл-центров или сайтов клиентской
поддержки.
Это лишь один из главных пунктов опубликованного сегодня отчета о втором
ежегодном соревновании Social Engineering Capture The Flag, проведенном в
августе на конференции DefCon. В соревновании участвовало множество компаний,
работающих в пяти разных областях: розничная торговля, авиаперевозки, продукты
питания, технологии и мобильная связь. Соревнование проводилось чтобы выяснить,
насколько эти компании восприимчивы к социальной инженерии, целью которой
является получение от них потенциально чувствительной информации.
Участники этого года на протяжении двух дней старались выпытать специфическую
информацию, или "флаги", у таких компаний, как Apple, AT&T, Conagra Foods, Dell,
Delta Airlines, IBM, McDonalds, Oracle, Symantec, Sysco Foods, Target, United
Airlines, Verizon, и Walmart.
Перед соревнованием участники в течение двух недель собирали информацию о
компаниях с помощью пассивных методов сбора данных. Таких как поиск Google,
социальные сети и web-исследования. Полученная информация позже была ими собрана
в досье и сдана организаторам перед конференцией. Качество этих досье влияло на
очки участников.
До момента конференции участники не могли выходить на прямой контакт со
своими целями. Во время конкурса они звонили им из звуконепроницаемой будки, и
зрители вместе с организаторами Крисом Хэднеги и Джеймсом О’Горманом могли
видеть и слышать эти разговоры. У участников было лишь 25 минут на то, чтобы
захватить столько флагов, сколько возможно. Было более 60 флагов, и они
варьировались от поставщиков продуктов питания в кафетериях компаний, до
антивирусов и версий браузеров, которые ими используются. Все компании (сами
того не зная) сдали информацию и лишь три сотрудника отказались выдать сведения
звонящим.
AT&T повезло больше, чем Verizon, но из этого не следует вывод, что AT&T
лучше защищена. "Когда участники позвонили в AT&T, они попали в розничный
магазин, а не корпоративный. Людей, работающих в этой среде, голыми руками не
возьмешь, и через них оказалось действительно очень сложно что-нибудь получить",
- сказал Крис Хэднеги, разработчик и член сообщества Social-Engineer.org,
который и организовал соревнование. Другой участник, целью которого был Verizon,
дозвонился до колл-центра службы клиентской поддержки, и ему было гораздо проще
очаровать тамошнего сотрудника и вызнать у него требуемую информацию.
Delta Airlines и United Airlines тоже показали плохие результаты. Что, по
словам Хэднеги, удивительно, ведь им все время приходиться иметь дело с
клиентами. "Это можно объяснить текучкой кадров в колл-центрах. Руководители
просто не хотят тратить время и силы на обучение в области безопасности", -
сказал Хэднеги.
Одной из компаний, набравших меньше всего балов (учитывая, что они
складывались из флагов, которые участникам НЕ удалось у них захватить), стала
компания Oracle. Но эта не значит, что у них самая плохая защита, заметил
Хэднеги: "Здесь сошлось много факторов. Дело в звонящем и в человеке на другом
конце провода. Возможно, сработала целая комбинация факторов. Голоса звонящего,
его предлога и того, кто взял трубку, стало достаточно, чтобы компания набрала
низший бал. Другой звонящий, дозвонившийся в другой день до другого сотрудника
Oracle, мог быть далеко не так успешен", - прокомментировал он.
Все работники компаний, которые являлись целью конкурсантов, совершили
потенциально самую опасную ошибку: перешли по ссылкам, которые им под каким-либо
предлогом подсунули участники. По словам Хэднеги, этот флаг захватывался после
того, как звонящий устанавливал некое взаимопонимание с сотрудником компании.
Несколько конкурсантов прикидывались коллегами, которым нужна помощь. "И даже те
работники, которые знали, что политикой компании это запрещено, все равно
старались помочь", - рассказал Хэднеги. Одна женщина сказала звонящему, что ей
не позволено переходить по ссылкам, но все равно попыталась помочь и в
последствии оказалась заблокирована.
Компаниями, чьих сотрудников оказалось сложнее всего раскусить, стали те,
которые показали, как это назвал Хэднеги, "критическое мышление". Одна из
работниц розничной торговли, которой позвонили в ходе соревнования, усомнился в
том, что участник, прикинувшийся его коллегой, действительно является тем, за
кого себя выдает, и повесила трубку. "Она сказала: вы не должны задавать
мне подобные вопросы. Спросите менеджера в своем магазине. Это прекрасный пример
критического мышления. Участнику ничего не удалось получить от этой сотрудницы",
- сказал Хэднеги. "Именно так и должны вести себя все работники".
Потом тот же участник позвонил по тому же номеру, и трубку поднял уже другой
сотрудник. На этот раз участнику удалось получить необходимую информацию.
В следующем году организаторы DefCon надеются включить в конкурс и другие
отрасли. И находятся в поиске компаний, которые станут добровольцами. Они также
надеются на то, что в конкурсе будут участвовать больше женщин. В этом году их
было всего две, и обе они отказались от участия перед началом соревнования.