Obsah:
Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2025
V tomto případovém studiu Ira Winkler, profesionální sociální inženýr, milostivě sdílel zajímavou studii o tom, jak se házet se sociálním inženýrstvím. Jedná se o vynikající příklad toho, jak nevěnovat pozornost, může vám být napaden!
Situace
Pan. Winklerův klient chtěl obecný rozbor úrovně povědomí o bezpečnosti organizace. Ira a jeho spolupracovník šli do zlatého hrnce a zkoušeli vnímavost organizace k sociálnímu inženýrství.
Začneme se rozšiřovat hlavním vchodem do budovy a zjišťujeme, že recepce a bezpečnostní stůl byly uprostřed velké haly a byli obsazeni recepčním. Druhý den se dva muži večer ráno dostali do budovy a předstírali, že mluví o mobilních telefonech. Zůstali alespoň 15 stop od obsluhy a ignorovali ji, když kráčeli kolem.
Poté, co byli uvnitř zařízení, našli konferenční místnost, kde mohli začít nakupovat. Posadili se, aby plánovali zbytek dne a rozhodli se, že odznak zařízení bude skvělý začátek. Pan Winkler zavolal hlavní informační číslo a požádal o úřad, který dělá odznaky.
Byl předán recepci / bezpečnostnímu stolu. Ira se předstíral, že je CIO, a řekl osobě na druhém konci linky, že chce odznaky pro několik subdodavatelů. Osoba odpověděla: "Pošlete subdodavatele do hlavní haly. "
Když přišel pan Winkler a jeho komplic, uniformovaný strážník se zeptal, na čem pracují, a oni se zmínili o počítačích. Strážce se je pak zeptal, jestli potřebují přístup do počítačové místnosti! Samozřejmě řekli: "To by pomohlo. "
Během několika minut oba měli odznaky s přístupem ke všem kancelářským prostorům a počítačovému operačnímu středisku. Šli do suterénu a použili své odznaky, aby otevřeli hlavní dveře počítačové místnosti. Vstoupili a měli přístup k serveru Windows, načtení nástroje pro správu uživatelů, přidání nového uživatele do domény a učinění uživatele členem skupiny administrátorů. Pak rychle odešli.
Dva muži měli přístup do celé firemní sítě s administrativními právy do dvou hodin. Také používali odznaky k provádění náhodných prohlídek budovy. Zatímco tak učinili, našli klíč k kanceláři generálního ředitele a zasadili tam chybu.
Výsledek
Nikdo mimo tým nevěděl, co dva muži udělali, dokud jim to nebylo řečeno. Poté, co byli zaměstnanci informováni, dozorčí nadřízený volal panWinkler a chtěl vědět, kdo vydal odznaky. Pan Winkler ho informoval, že skutečnost, že bezpečnostní úřad nevěděl, kdo vydal odznaky, byl samo o sobě problémem a že tyto informace nezveřejňuje.
Jak by to mohlo být zabráněno
Podle pana Winklera by měl být bezpečnostní stůl umístěn blíže k vchodu a společnost by měla mít formální proces vydávání odznaků. Přístup do speciálních prostor, jako je počítačová místnost, by měl vyžadovat schválení také od známého subjektu.
Po udělení přístupu musí být schvalovateli zasláno potvrzení. Také by měl být obrazovka serveru uzamčena a účet systému Windows by neměl být přihlášen bez dozoru. Každé přidání účtu na úrovni správce by mělo být auditováno a příslušné strany by měly být upozorněny.
