Kvinnor förstör helt män i tävlingen om social teknik

Under de senaste fem åren har Chris Hadnagy, Chief Human Hacker på Social-Engineer, Inc, kört en ovanlig tävling på Def Con. Kallas Social Engineering Capture The Flag och utmanar tävlande att samla information om olika företag (flaggor, om du vill). Detta är socialteknik: konsten att samla information från mål utan att behöva bryta in i en byggnad eller hacka ett nätverk.

I den första fasen arbetar 20 tävlande för att få information om målföretag från allmänt tillgängliga källor. Den sista fasen är ett 25 minuters maraton av telefonsamtal där tävlande pumpar offer för information. Detta sträcker sig från det vardagliga ("Har du en cafeteria?") Till det kritiska ("Använder du diskkryptering?") Till det potentiellt katastrofala: lura offren att besöka falska webbadresser. Årets tävling inkluderade tio företag, bland annat Apple, Boeing och General Dynamics.

Battle of the Sexes

"Från början har vi alltid ringt kvinnor att gå med, " sade Hadnagy. Att anta ett "män mot kvinnor" -format och aktivt främja kvinnornas roll i tävlingen bidrog till att skapa bättre paritet under de senaste två åren. Hadnagy sa att det var kritiskt att ge kvinnor mer synlighet i projektet och uppmuntrade andra att gå med. "Vi hade fler kvinnor än vi kunde ta i år, " sade han.

Hur gjorde kvinnor det mot sina manliga motsvarigheter? "I år vann kvinnorna inte bara", sade Hadnagy. "De utplånade män." Tre av de fem bästa platserna gick till kvinnor, och den toppscorerande socialingenjören hade över 200 poäng mer än den näst högsta poängdeltagaren.

Det är lätt att dra många slutsatser från dessa uppgifter, men vad gäller kvinnors framgång inom socialteknik sa Hadnagy att det bara inte finns tillräckligt med information. "Jag tror inte att det bevisar att folk litar på kvinnor i sig, " sade han. "Vinnande kvinnor visar något, men vi har inga uppgifter som visar att de var kvinnor som pratar med män."

Som sagt, kvinnorna hade ett brett utbud av poäng jämfört med männen, vilket noterades i tävlingens slutrapport. Den sade: "Variabilitet i kan antas av det faktum att de var en extremt mångfaldig grupp som kommer från mycket olika bakgrunder och olika erfarenhetsnivåer." Män å andra sidan tenderade att hänga runt samma antal poäng med färre utslagare. "Även om vi garanterade mångfald som grupp, tenderade männa att vara mer homogena i bakgrund och erfarenhetsnivå och kanske det återspeglades i det mindre poängen."

Jag har inte informationen för att säkerhetskopiera den, men jag tror att dessa data visar vikten av att inkludera individer med olika bakgrund i något lag. Men det är bara jag.

Informationen är redan ute

Tävlingens slutrapport kan vara otydlig om rollen som kön, men det är uppenbart att noggrann forskning var avgörande för vinnarna. Tävlande fann en chockerande mängd information fritt tillgänglig online, och de med högre poäng i forskningsfaserna tenderade att göra mycket bättre under själva samtalet.

I ett fall hittade en tävlande en offentligt webbportal för anställda. Även om det var säkrat med en lösenordinloggning, upptäckte deltagaren att ett allmänt tillgängligt hjälpdokument tillhandahållet av målföretaget innehöll ett fungerande användarnamn och lösenord som exempel. "Det är 2013 och vi ser fortfarande saker som det här, " sade Hadnagy.

Men det krävde inte större säkerhetsöverträdelser för att hitta de flesta av de uppgifter som deltagarna sökte. Mycket av det var tillgängligt via sociala medier, ibland postat av individer som länkade deras företags e-post till en offentlig tjänst. En informationskälla förvånade Hadnagy: "Myspace, tro det eller inte."

Bättre och bättre döljer

Hadnagy noterade också att utöver information om öppen källkod, tävlande använde också mycket mer komplexa påskott när de kallade företag i slutfasen av tävlingen. Tidigare år såg många tävlande ut sig som enkätundersökare eller studenter som skrev rapporter. Hadnagy avskräckte aktivt detta tillvägagångssätt i år och påminde tävlande att de antagligen skulle hängas upp på dessa samtal själva. "Varför skulle någon i en företagsmiljö svara på dessa frågor?" Han frågade.

Dessa påskott är attraktiva eftersom de är mer eller mindre anonyma och har låg risk för den som ringer. I år såg dock fler deltagare att posera som medarbetare eller leverantörer som arbetar med målföretagen. Även om det innebär mer inneboende risk, sa Hadnagy att det fanns ett mer inneboende förtroende. "Deltagarna blev automatiskt litade på och fick information direkt utanför fladdermallen, " sade han.

Tävlande påskott visade en intressant avvikelse längs könsgränserna. Av de tio kvinnorna framställde nio sig som inte var tekniskt kunniga och letade efter hjälp av "medarbetare". Alla män i tävlingen poserade som tekniska experter och i vissa fall VD.

Know The Threat

Det är intressant att fundera över hur konkurrensen är och hur, men det obestridliga faktum är att tio företag gav upp en enorm mängd information - antingen via telefon eller publicerat offentligt online. Medan informationen som tävlande var efter inte alltid var farligt i sig, läser de som ett solid första steg i en flerskiktsattack. En dag frågar du om cafeterian och nästa dag ber du om inloggningar.

Hadnagy stifter problemet på bristande medvetenhet bland anställda, oftast härrörande från dålig utbildning av de högre. Att utbilda anställda att tänka kritiskt på vad de publicerar online och vad de säger via telefon, sa Hadnagy, kan betala sig med färre framgångsrika attacker.

Ett av hans mest spännande förslag var att företag inte straffar individer som faller för bedrägerier och uppmuntrar till konsekvensrapportering av eventuella överträdelser. Hadnagy berättade för SecurityWatch att företag som följer denna praxis i allmänhet är bättre på att hantera dessa hot.

Oavsett om du är en del av ett företag eller bara en person hemma, är det viktigt att veta om farorna med social teknik. Så nästa gång någon ringer eller e-postmeddelanden som du ber om hjälp, ställa några frågor innan du överlämnar kronjuvelerna.

Bild via Flickr-användare CGP Grey