Defcon黑客大會:社會工程六大下手點
本周,數(shù)千名黑客匯聚拉斯維加斯,游走于各個講座和討論之間,或者進入某個有趣的主題區(qū)。六年來,Defcon黑客大會的社會工程村一直是個有趣的所在。每年該“村”都會舉辦有關(guān)“入侵人”的各種討論和互動課程,其中最具吸引力的當數(shù)社會工程奪旗賽(SECTF)。
在SECTF中,參賽者努力收集旗幟。零散的信息片段或許本身沒什么危害,但若綜合起來就有可能給目標機構(gòu)帶來麻煩。SECTF期間以下幾面旗幟是參賽者通常會下手的目標,盡管比較基礎(chǔ),但其中每一個都是競賽中極少會錯過的。
一、無線網(wǎng)絡(luò)
旗幟:這兒有沒有WiFi?
危險:無線網(wǎng)和內(nèi)部網(wǎng)絡(luò)間的連接有可能成為惡意攻擊者染指公司資源的路徑。而且,找個配置弱爆的無線網(wǎng)還真不是什么難事,而這又可以轉(zhuǎn)化為另一種攻擊方式了。(國內(nèi)超級天河計算機集群被入侵就是一個典型的例子)
解決方案:小心設(shè)置合適的網(wǎng)絡(luò),保證公網(wǎng)和內(nèi)部網(wǎng)絡(luò)之間留有隔離帶。如果無線網(wǎng)是內(nèi)部網(wǎng)絡(luò),務(wù)必確保有采用了強身份驗證的安全控制。
二、瞄準服務(wù)
旗幟:誰負責機構(gòu)的IT支持、餐飲服務(wù)、運輸、文檔清理、保安、廢棄物管理?
危險:這些服務(wù)為釣魚、電話詐騙和現(xiàn)場誘騙提供了可信的借口。
解決方案:制定嚴格的公司章程,包括:哪些信息是可以向未經(jīng)證實的來電透露的;來電和訪客的核實程序;以及允許個人進入的程序(訪客胸卡、政府身份標識等等)。
三、你的電腦
旗幟:你用什么瀏覽器?什么操作系統(tǒng)?電腦什么配置?
危險:任何內(nèi)部系統(tǒng)信息,比如軟件和操作系統(tǒng),都能被用于任何已知漏洞的技術(shù)性開發(fā)。它能告訴攻擊者潛在受害者所采用的技術(shù),并為后續(xù)釣魚或電話詐騙攻擊提供有用信息。
解決方案:針對不必要的信息披露部署可靠的補丁和安全管理以及策略并貫徹執(zhí)行之。
四、VPN
旗幟:你有VPN嗎?哪種類型?
危險:攻擊者可用此信息對任何已知漏洞進行技術(shù)性開發(fā)。它能告訴攻擊者潛在受害者所采用的技術(shù),并為后續(xù)釣魚或電話詐騙攻擊提供有用信息。
解決方案:如前文提到的,針對不必要的信息披露部署可靠的補丁和安全管理以及策略并貫徹執(zhí)行之。
五、訪問控制
旗幟:與各層級訪問級別所需胸卡的使用相關(guān)的問題,包括進入各種門和系統(tǒng)。
危險:攻擊者有可能事先預知這些信息,且極有可能擁有克隆假冒胸卡進行現(xiàn)場冒充嘗試的能力。
解決方案:制定嚴格的公司章程,包括:哪些信息是可以向未經(jīng)證實的來電透露的;來電和訪客的核實程序;以及允許個人進入的程序(訪客胸卡、政府身份標識等等)。
六、打開網(wǎng)頁
旗幟:你會點進這個(未知)的網(wǎng)站嗎?
危險:這將檢驗?zāi)繕耸艿侥吧苏埱髸r打開未知網(wǎng)站的意愿,置公司網(wǎng)絡(luò)于下載惡意軟件或泄漏登錄憑證的危險之中。
解決方案:制定嚴格的公司章程,包括:來電核實程序,以及公司網(wǎng)絡(luò)行為規(guī)范。
SECTF競賽中請目標打開網(wǎng)頁(SEORG.ORG)是最熱門的標旗之一,因為很有效。每年都有幾個目標毫不猶豫地遵從指令用瀏覽器打開一個域名來測試能不能聯(lián)網(wǎng)。
原文地址:http://www.aqniu.com/neo-points/9273.html
