Defcon: Většina zaměstnanců firem bez problémů vyzradí citlivé informace

6. 9. 2010

Sdílet

Jednou z disciplín letošního konference Defcon byl i sociální hacking, kdy se účastníci snažili získat interní informace ze zaměstnanců prestižních firem ze žebříčku Fortune 500.

Výsledek je alarmující, nebož ze 135 oslovených zaměstnanců jich jen pět odmítlo tyto informace hackerům prozradit.

I když asi mediálně největší senzací Defconu, který proběhl letos o prázdninách, byla ukázka nové technologie pro odposlech mobilů (více viz článek Hacker předvedl nový způsob odposlechu mobilů), až tento týden se pořadatelé rozhodli zveřejnit i report, který shrnuje výsledky soutěže hackerů v sociálním hackingu.

Účastníci soutěže nejprve dostali e-mail s webovou adresou vytipované firmy a měli možnost využít nejrůznějších technik k nalezení co nejvíce informací o ní například na webu a udělat si tak o ní co nejbližší představu. V této fázi ovšem bylo zakázáno se s firmou spojit přímo pomocí e-mailu či telefonu. Následně pak měli 20 minut na to, aby zavolali nic netušícím zaměstnancům organizace a vymámili z nich citlivé údaje a detaily o jejich podnikání.

Terčem byly takové významné firmy, jako Google, Wal-Mart, Symantec, Cisco Systems, Microsoft, Pepsi, Ford či Coca-Cola. Jak bylo řečeno na začátku, celkem bylo osloveno 135 zaměstnanců a výsledek byl překvapivě dobrý, neboť z drtivé většiny se hackerům podařilo získat požadované citlivé informace, což znamená značené bezpečnostní selhání zaměstnanců těchto společností. Zjišťovány byly takové informace, jako třeba jaké IT produkty jsou ve firmě používány (operační systémy, prohlížeče, antivity a podobně) a útočníci se svoje oběti také pokoušeli přemluvit k návštěvě neautorizované webové stránky.

Ze získaných údajů mimo jiné také vyplynulo, že zhruba v polovině kontaktovaných firem stále používají zastaralý Internet Explorer 6, který trpí vážnými bezpečnostními problémy. Pokud se oběť měla podívat na neautorizovanou stránku, nikdy jí přístup na ní nebyl systémem zablokován a tento pokus byl ve všech případech úspěšný.

Klání na DefConu tedy znovu potvrdilo, že i vysoce zabezpečené společnosti jsou snadno napadnutelné přes svoje zaměstnance, kteří mohou udělat něco, co by ve skutečnosti neměli.

Chris Hadnagy, jeden z organizátorů akce, pak dodává, že na různé lidi fungují různé triky a zajímavé je, že oněch 5 zaměstnanců, kteří odmítli hackerům sdělit požadované informace, byly ve všech případech ženy, které útočníkům položili telefon s tím, že o těchto informacích nechtějí hovořit. Bohužel jejich kolegové, které zkusili soutěžící oslovit také, byli značně sdílnější. Soutěž měla primárně ukázat slabiny firem, které si tyto organizace často vůbec neuvědomují a na potřebu školit svoje zaměstnance i z hlediska technik sociálního hackingu, protože by podobné útoky mohly být opakovány jinými hackery s nepřátelskými úmysly. To by v důsledku mohlo vést třeba až k poškození jména firmy i její pozice na trhu, kdyby se například některé citlivé informace dostaly ke konkurenci nebo kdyby údaje o softwaru v ní využívaném staly indicií pro perfektně vyladěný útok, který by vyřadil její systémy a znemožnil na určitou dobu její provoz.