上周五的Defcon黑客大會(huì)組織了一場(chǎng)比賽，各個(gè)黑客利用社會(huì)工程學(xué)進(jìn)行犯罪。其方法是通過(guò)美國(guó)最大的10個(gè)石油或者高新技術(shù)公司的員工，獲取公司的敏感信息，之后通過(guò)目標(biāo)計(jì)算機(jī)入侵企業(yè)。

Offensive Security是一家進(jìn)行培訓(xùn)和滲透攻擊測(cè)試的公司，它的運(yùn)營(yíng)總監(jiān)Christopher Hadnagy周六在接受記者采訪時(shí)表示，“每一個(gè)獨(dú)立公司，如果現(xiàn)在開始做安全審計(jì)，他們就會(huì)發(fā)現(xiàn)很多漏洞。”包括殼牌、谷歌、寶潔、微軟、蘋果、思科、福特、可口可樂(lè)、百事可樂(lè)公司都是如此。“盡管這些公司依然健在，他們的內(nèi)部員工也已經(jīng)接受了良好的安全培訓(xùn)，但是，只要我們打電話過(guò)去，仍然有一些員工樂(lè)意提供公司敏感數(shù)據(jù)給我們?！?/P>

會(huì)議組織者表示，他們不會(huì)針對(duì)某個(gè)公司發(fā)表一些具體的評(píng)論，或者是透露哪個(gè)公司的經(jīng)驗(yàn)情況要比其他公司好或者差。但是他們表示最近幾周內(nèi)會(huì)發(fā)布一個(gè)匯總的報(bào)告材料。

Offensive Security的首席培訓(xùn)師Mati Aharoni今天表示，“我們的目的并不是要羞辱某家公司或者某個(gè)人，我們是想讓人們認(rèn)識(shí)到這種攻擊的存在并且關(guān)注其危害性。這也許是入侵一家公司最簡(jiǎn)單也是最有效的辦法。我們不希望任何人受到傷害或者遭受到損失?！?/P>

社會(huì)工程學(xué)是一種黑客技術(shù)，它通過(guò)簡(jiǎn)單的辦法入侵到電腦系統(tǒng)中，成功的獲取一些敏感信息，這并不是以計(jì)算機(jī)技術(shù)為手段的獲取數(shù)據(jù)行為。這次比賽的組織者表示，公司都以購(gòu)買安全軟件和設(shè)備以及建設(shè)自己的防數(shù)據(jù)泄漏系統(tǒng)為重點(diǎn)，但是他們忽視了一個(gè)致命的弱點(diǎn)，這就是：企業(yè)總是由人來(lái)為它們工作的。

Aharoni表示，“人力資源是整個(gè)組織中最薄弱也是最易于突破的一個(gè)環(huán)節(jié)。黑客最常用的載體，同時(shí)也是目前最簡(jiǎn)單的途徑，這通常就是人的因素。”

十個(gè)參賽者，每人分配了一個(gè)目標(biāo)公司，他們有一個(gè)星期左右的時(shí)間，允許去做一些“被動(dòng)”網(wǎng)絡(luò)研究，收集目標(biāo)公司的情報(bào)，同時(shí)制定攻擊計(jì)劃。他們不能通過(guò)社會(huì)工程學(xué)、網(wǎng)絡(luò)釣魚或者其他網(wǎng)上方法來(lái)獲取這些信息。

Defcon黑客大會(huì)的參賽者有25分鐘時(shí)間撥打電話，試圖通過(guò)他們預(yù)先確定的名單中獲取目標(biāo)的大量信息。大部分選手都通過(guò)了考驗(yàn)。

比賽組織者表示，參賽者被要求獲得關(guān)于目標(biāo)公司的一些無(wú)關(guān)痛癢的消息，比如“企業(yè)中的垃圾服務(wù)是購(gòu)買的哪家公司的方案”，又比如“公司里面有沒有餐廳”或者是“員工們都使用什么瀏覽器”，諸如此類。

根據(jù)比賽組織者，在比賽中，沒有一家目標(biāo)企業(yè)的雇員被要求提供財(cái)務(wù)信息、信用卡信息或者其他個(gè)人資料等敏感信息，比賽的目的是為了讓人們認(rèn)識(shí)到社會(huì)工程學(xué)的危害。

Hadnagy表示，在超過(guò)50名接電話的雇員中只有3名表示了懷疑、拒絕提供資料或者直接掛斷電話。這3位警惕性很高的雇員都是女性。

Hadnagy說(shuō)，“一位婦女表示，這個(gè)問(wèn)題聽起來(lái)非常可疑，并且在20秒之后就掛斷了電話。之后我們都為她鼓掌?！?/P>

在另一個(gè)比賽中，根據(jù)Hadnagy表示，黑客幾乎得到了一份30到40個(gè)問(wèn)題的列表中的全部答案。

Aharoni表示，“人們會(huì)毫不在意的公布它們電子郵件的客戶端、Adobe Reader以及MS Office的版本號(hào)，甚至還有很多人會(huì)點(diǎn)擊‘幫助—關(guān)于’按鈕確認(rèn)確切的版本號(hào)。如果攻擊者有了用戶使用軟件的一個(gè)確切版本號(hào)，那么，黑客發(fā)起的攻擊就具有更大的成功可能，原因很簡(jiǎn)單，因?yàn)楹诳涂梢院芊奖愕睦眠@個(gè)版本的已知漏洞。”

本次比賽以及掀起了一些波瀾。本次比賽后，F(xiàn)S-ISAC（財(cái)務(wù)服務(wù)—信息服務(wù)分析中心）已經(jīng)公開發(fā)布警報(bào)。本次比賽的組織者也表示，它們?cè)敢馀c該機(jī)構(gòu)合作，對(duì)企業(yè)進(jìn)行社會(huì)工程學(xué)防御的培訓(xùn)。

【編輯推薦】

1. 保護(hù)內(nèi)部數(shù)據(jù)安全--禁用USB端口
2. 商務(wù)樓寬帶用戶網(wǎng)絡(luò)數(shù)據(jù)安全防范方案