Az emberi tényezőket, főként a hiszékenységet kihasználó social engineering alapú támadásokat sokszor nem egyszerű megakadályozni. A kockázatok mérséklésének egyik legjobb eszköze a biztonságtudatosság növelése.

A social engineering támadások veszélyessége miatt érdemes még egy pillantást vetni a DEF CON 18 konferenciára, amelyen az egyik verseny különösen tanulságosra sikerült. A rendezvény szervezői ugyanis úgy határoztak, hogy mindenki számára nyilvánvalóvá teszik, hogy a social engineering, mint az egyik előszeretettel alkalmazott támadási módszer, milyen veszélyeket rejt. Egyúttal azt is igazolni szerették volna, hogy e technika ellen még azok a jelentős szervezetek is kiszolgáltatottak, amelyek a Fortune 500 soraiba tartoznak. Ezért egy versenyt hirdettek, amelynek célja az volt, hogy a résztvevők valamely Fortune 500 vállalattól telefonon keresztül szerezzenek olyan adatokat, melyek egy későbbi hekkerkedést segíthetnek. Így a versenyzőknek meg kellett tudniuk, hogy az általuk kiszemelt szervezetnél milyen operációs rendszert, böngészőt, PDF-kezelő alkalmazást, levelezőklienst, antivírus szoftvert, stb. használnak. A szabályok ugyanakkor kimondták, hogy kormányzati vagy pénzügyi intézményt nem lehet "támadni", és egyéb, bizalmas adatokat sem lehet kifürkészni.

A Defcon konferencia első napján az összes versenyző sikerrel járt, és a rendelkezésre álló 25 perces időkeretben mindenkinek sikerült hozzájutnia az előbbiekben említett adatokhoz. Mindez azt jelenti, hogy a komoly védelmi arzenállal rendelkező vállalatoktól is viszonylag könnyedén tudnak adatok kiszivárogni, ami mindenképpen elgondolkodtató.

Sikerrel járt az ál-auditor

Az iPad főnyereménnyel kecsegtető verseny egyik legérdekesebb "produkcióját" egy Wayne nevű ausztrál biztonsági tanácsadó mutatta be. Ő a megmérettetés előtt 20 órát töltött azzal, hogy a kiszemelt cégről információkat szerezzen. Így már pontosan tudta, hogy milyen telefonszámot kell tárcsáznia, amikor elkezdődik a verseny. A szakember felhívta az általa választott cég IT call centerét, és egy auditornak adta ki magát. Az éppen horogra akadt call center munkatárs először nem akarta kiadni az azonosítószámát, azonban ekkor Wayne előadta, hogy ő egy új alkalmazott a KPMG cégnél, és ha nem segítenek rajta, akkor nagy bajba kerül, ugyanis határidős munkája van, és a főnöke a nyakán lóg. Wayne egy általa korábban készített, hamis KPMG weboldalra is rávezette az alkalmazottat, akinek végül megesett a szíve az ál-auditoron, és minden információt megadott számára. Majd Wayne-nek még arra is maradt ideje, hogy egy sörre meghívja cég munkatársát.

Később Wayne elmondta, hogy nem hitte azt, hogy szerencsével jár. "Tudtam, hogy ez egy nagyméretű vállalat, ahol sok belső auditot végeznek." - tette hozzá a versenyző.

Veszélyes felmérés

A Wayne által sikeresen végrehajtott social engineering után folytatódott a küzdelem. A következő versenyző Shane MacDougall volt, aki egy kevésbé fantáziadús módszerrel próbálkozott. Eljátszotta, hogy a CSO Magazine számára készít egy felmérést. Ő azonban nem sokat kertelt, hiszen az általa kiválasztott vállalatnál mindjárt a biztonsági csoportot kereste fel. Az első próbálkozása kudarcba fulladt, ugyanis cég biztonsági munkatársa határozottan, de udvariasan visszautasította a válaszadást. A versenyző azonban nem adta fel, és újra próbálkozott. Szintén egy biztonsággal foglalkozó alkalmazottal kezdett beszélgetni, és a kezdeti, könnyed kérdések  (pl.: Mennyire van megelégedve a munkahelyével? Milyen az ebéd? stb.) után végül megtudta, hogy a telefon másik végén ülő személy számítógépe a következőképpen fest: operációs rendszer: Windows XP SP3, antivírus: McAfee VirusScan 8.7, e-mail kliens: Outlook 2003, böngésző: Internet Explorer 6.

MacDougall a 25 perc letelte után elmondta, hogy szerencséje volt, hogy másodjára egy olyan alkalmazottat fogott ki, aki mindössze két hónapja dolgozott a vállalatnál. "Az új munkavállalók jelentik a legjobb forrást. Ha egy olyan valaki akad a horgunkra, aki már régebb óta van a cégnél, akkor nem tudunk meg semmit tőle. Neki ugyanis több a veszteni valója." - vélekedett MacDougall.

Növelni kell a biztonságtudatosságot

A Defcon verseny is jól szemléltette azt, hogy egy szervezetnél a legkorszerűbb biztonsági technológiák sem képesek hatékony védelmet nyújtani, ha az emberi tényezőket nem sikerül megfelelően kezelni. Ezért a rendszeres oktatások, képzések rendkívül fontosak. Ugyanakkor azt is érdemes megjegyezni, hogy a fenti két versenyző által felkeresett vállalatoknál az Internet Explorernek még mindig a 6-os verziója futott a számítógépeken, ami szintén nem igazán tesz jót a védelem színvonalának.

A Defcon szervezői a social engineering verseny hivatalos eredményeit tegnap tették közzé a weboldalukon. Az első helyezet egy Scott nevű versenyző lett, míg a második helyet Wayne szerezte meg.

Ha tetszett a cikk, oszd meg ismerőseiddel is a legnépszerűbb közösségi oldalakon (klikk a gombra):

A hír megjelenését a Biztonságportál támogatta.