Defcon: Väčšina zamestnancov firiem bez problémov vyzradí citlivé informácie

Jednou z disciplín tohtoročnej konferencie Defcon bol aj sociálny hacking, keď sa účastníci snažili získať interné informácie od zamestnancov prestížnych firiem z rebríčka Fortune 500.

Výsledok je alarmujúci, lebo zo 135 oslovených zamestnancov len päť odmietlo tieto informácie hackerom prezradiť.

Aj keď asi mediálne najväčšia senzácia Defconu, ktorý sa uskutočnil tento rok cez prázdniny, bola ukážka novej technológie na odpočúvanie mobilov, až tento týždeň sa usporiadatelia rozhodli zverejniť aj report, ktorý sumarizuje výsledky súťaže hackerov v sociálnom hackingu.

Účastníci súťaže najprv dostali e-mail s webovou adresou vytypovanej firmy a mali možnosť využiť najrôznejšie techniky na nájdenie čo najviac informácií o nej napríklad na webe a urobiť si tak o nej čo najbližšiu predstavu. V tejto fáze však bolo zakázané spojiť sa s firmou priamo pomocou e-mailu či telefónu. Následne mali 20 minút na to, aby zavolali nič netušiacim zamestnancom organizácie a vymámili z nich citlivé údaje a detaily o ich podnikaní.

Terčom boli také významné firmy, ako Google, Wal-Mart, Symantec, Cisco Systems, Microsoft, Pepsi, Ford či Coca-Cola. Ako sme uviedli na začiatku, dovedna bolo oslovených 135 zamestnancov a výsledok bol prekvapivo dobrý, pretože z drvivej väčšiny sa hackerom podarilo získať požadované citlivé informácie, čo znamená značné bezpečnostné zlyhanie zamestnancov týchto spoločností. Zisťovali sa také informácie, ako je napríklad používanie IT produktov vo firme (operačné systémy, prehliadače, antivírusy a podobne), a útočníci sa svoje obete pokúšali prehovoriť na návštevu neautorizovanej webovej stránky.

Zo získaných údajov okrem iného vyplynulo, že zhruba polovica kontaktovaných firiem stále používa zastaraný Internet Explorer 6, ktorý trpí vážnymi bezpečnostnými problémami. Ak sa obeť mala pozrieť na neautorizovanú stránku, nikdy jej prístup na ňu nebol systémom zablokovaný a tento pokus bol vo všetkých prípadoch úspešný.

Súťaž na Defcone teda znovu potvrdila, že aj vysoko zabezpečené spoločnosti sú ľahko napadnuteľné cez svojich zamestnancov, ktorí môžu urobiť niečo, čo by v skutočnosti nemali.

Chris Hadnagy, jeden z organizátorov akcie, dodáva, že na rôznych ľudí fungujú rôzne triky a zaujímavé je, že tých 5 zamestnancov, ktorí odmietli hackerom oznámiť požadované informácie, boli vo všetkých prípadoch ženy, ktoré útočníkom položili telefón s tým, že o týchto informáciách nechcú hovoriť. Žiaľ, ich kolegovia, ktorých skúsili súťažiaci takisto osloviť, boli značne zhovorčivejší. Súťaž mala primárne poukázať na slabiny firiem, ktoré si tieto organizácie často vôbec neuvedomujú, a na potrebu školiť pracovníkov aj z hľadiska techník sociálneho hackingu, pretože by podobné útoky mohli opakovať iní hackeri s nepriateľskými úmyslami. To by v konečnom dôsledku mohlo viesť napríklad až k poškodeniu mena firmy a jej pozície na trhu, keby sa napríklad niektoré citlivé informácie dostali ku konkurencii alebo keby sa údaje o softvéri využívanom vo firme stali indíciou na perfektne vyladený útok, ktorý by tieto systémy vyradil a znemožnil na určitú dobu ich prevádzku.

Zdroj: computerworld.cz