本周，數(shù)千名黑客匯聚拉斯維加斯，游走于各個(gè)講座和討論之間，或者進(jìn)入某個(gè)有趣的主題區(qū)。六年來(lái)，Defcon黑客大會(huì)的社會(huì)工程村一直是個(gè)有趣的所在。每年該“村”都會(huì)舉辦有關(guān)“入侵人”的各種討論和互動(dòng)課程，其中最具吸引力的當(dāng)數(shù)社會(huì)工程奪旗賽(SECTF)。

[[144540]]

在SECTF中，參賽者努力收集旗幟。零散的信息片段或許本身沒(méi)什么危害，但若綜合起來(lái)就有可能給目標(biāo)機(jī)構(gòu)帶來(lái)麻煩。SECTF期間以下幾面旗幟是參賽者通常會(huì)下手的目標(biāo)，盡管比較基礎(chǔ)，但其中每一個(gè)都是競(jìng)賽中極少會(huì)錯(cuò)過(guò)的。

一、無(wú)線網(wǎng)絡(luò)

[[144541]]

旗幟：這兒有沒(méi)有WiFi?

危險(xiǎn)：無(wú)線網(wǎng)和內(nèi)部網(wǎng)絡(luò)間的連接有可能成為惡意攻擊者染指公司資源的路徑。而且，找個(gè)配置弱爆的無(wú)線網(wǎng)還真不是什么難事，而這又可以轉(zhuǎn)化為另一種攻擊方式了。(國(guó)內(nèi)超級(jí)天河計(jì)算機(jī)集群被入侵就是一個(gè)典型的例子)

解決方案：小心設(shè)置合適的網(wǎng)絡(luò)，保證公網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間留有隔離帶。如果無(wú)線網(wǎng)是內(nèi)部網(wǎng)絡(luò)，務(wù)必確保有采用了強(qiáng)身份驗(yàn)證的安全控制。

二、瞄準(zhǔn)服務(wù)

[[144542]]

旗幟：誰(shuí)負(fù)責(zé)機(jī)構(gòu)的IT支持、餐飲服務(wù)、運(yùn)輸、文檔清理、保安、廢棄物管理?

危險(xiǎn)：這些服務(wù)為釣魚(yú)、電話詐騙和現(xiàn)場(chǎng)誘騙提供了可信的借口。

解決方案：制定嚴(yán)格的公司章程，包括：哪些信息是可以向未經(jīng)證實(shí)的來(lái)電透露的;來(lái)電和訪客的核實(shí)程序;以及允許個(gè)人進(jìn)入的程序(訪客胸卡、政府身份標(biāo)識(shí)等等)。

三、你的電腦

[[144543]]

旗幟：你用什么瀏覽器?什么操作系統(tǒng)?電腦什么配置?

危險(xiǎn)：任何內(nèi)部系統(tǒng)信息，比如軟件和操作系統(tǒng)，都能被用于任何已知漏洞的技術(shù)性開(kāi)發(fā)。它能告訴攻擊者潛在受害者所采用的技術(shù)，并為后續(xù)釣魚(yú)或電話詐騙攻擊提供有用信息。

解決方案：針對(duì)不必要的信息披露部署可靠的補(bǔ)丁和安全管理以及策略并貫徹執(zhí)行之。

四、VPN

[[144544]]

旗幟：你有VPN嗎?哪種類型?

危險(xiǎn)：攻擊者可用此信息對(duì)任何已知漏洞進(jìn)行技術(shù)性開(kāi)發(fā)。它能告訴攻擊者潛在受害者所采用的技術(shù)，并為后續(xù)釣魚(yú)或電話詐騙攻擊提供有用信息。

解決方案：如前文提到的，針對(duì)不必要的信息披露部署可靠的補(bǔ)丁和安全管理以及策略并貫徹執(zhí)行之。

五、訪問(wèn)控制

旗幟：與各層級(jí)訪問(wèn)級(jí)別所需胸卡的使用相關(guān)的問(wèn)題，包括進(jìn)入各種門和系統(tǒng)。

危險(xiǎn)：攻擊者有可能事先預(yù)知這些信息，且極有可能擁有克隆假冒胸卡進(jìn)行現(xiàn)場(chǎng)冒充嘗試的能力。

解決方案：制定嚴(yán)格的公司章程，包括：哪些信息是可以向未經(jīng)證實(shí)的來(lái)電透露的;來(lái)電和訪客的核實(shí)程序;以及允許個(gè)人進(jìn)入的程序(訪客胸卡、政府身份標(biāo)識(shí)等等)。

六、打開(kāi)網(wǎng)頁(yè)

旗幟：你會(huì)點(diǎn)進(jìn)這個(gè)(未知)的網(wǎng)站嗎?

危險(xiǎn)：這將檢驗(yàn)?zāi)繕?biāo)受到陌生人請(qǐng)求時(shí)打開(kāi)未知網(wǎng)站的意愿，置公司網(wǎng)絡(luò)于下載惡意軟件或泄漏登錄憑證的危險(xiǎn)之中。

解決方案：制定嚴(yán)格的公司章程，包括：來(lái)電核實(shí)程序，以及公司網(wǎng)絡(luò)行為規(guī)范。

SECTF競(jìng)賽中請(qǐng)目標(biāo)打開(kāi)網(wǎng)頁(yè)(SEORG.ORG)是最熱門的標(biāo)旗之一，因?yàn)楹苡行?。每年都有幾個(gè)目標(biāo)毫不猶豫地遵從指令用瀏覽器打開(kāi)一個(gè)域名來(lái)測(cè)試能不能聯(lián)網(wǎng)。

原文地址：http://www.aqniu.com/neo-points/9273.html