וִידֵאוֹ: XXI Congresso do PCP - 1.ª Sessão (אוֹקְטוֹבֶּר 2024)
בחמש השנים האחרונות כריס הדנגי, האקר האנושי הראשי בחברת מהנדס חברתי, אינק, מנהל תחרות לא שגרתית ב- Def Con. המכונה הנדסה חברתית לכידת הדגל, והיא מאתגרת את המתמודדים לאסוף מידע על חברות שונות (דגלים, אם תרצו). זו הנדסה חברתית: אומנות איסוף המידע מיעדים מבלי שתצטרך לפרוץ לבניין או לפרוץ רשת.
בשלב הראשון 20 מתמודדים עובדים על מנת לקבל מידע על חברות יעד ממקורות זמינים לציבור. השלב האחרון הוא מרתון של 25 דקות של שיחות טלפון בהן מתמודדים המתמודדים עם קורבנות למידע. זה נע בין היומיומי ("האם יש לך קפיטריה?") לקריטי ("האם אתה משתמש בהצפנת דיסק?") לפוטנציאל הרה אסון: להערים קורבנות לבקר בכתובות URL מזויפות. התחרות השנה כללה עשר חברות, ביניהן אפל, בואינג וג'נרל דינמיקס.
קרב המינים
"מההתחלה תמיד קראנו לנשים להצטרף", אמרה הדנגי. אימוץ פורמט "גברים לעומת נשים" וקידום אקטיבי של תפקידה של נשים בתחרות עזרו להביא לשוויון טוב יותר בשנתיים האחרונות. הדנגי אמרה כי מתן נראות רבה יותר לנשים בפרויקט היה קריטי, ועודד אחרים להצטרף. "היו לנו יותר נשים ממה שיכולנו לקחת השנה", אמר.
איך נשים נהגו כנגד עמיתיהן הגברים? "השנה הנשים לא סתם ניצחו", אמרה הדנגי. "הם מחקו גברים." שלוש מתוך חמש המשבצות המובילות הלכו לנשים, והמהנדס החברתי המבקש ביותר הציג מעל 200 נקודות יותר מהמשתתף הבא בעל הציון הגבוה ביותר.
קל להסיק הרבה מסקנות מהנתונים האלה, אבל בכל הנוגע להצלחה של נשים בהנדסה חברתית, הדנגי אמרה כי אין די מידע. "אני לא חושב שזה מוכיח שאנשים סומכים על נשים באופן טבעי, " אמר. "הנשים המנצחות מראה משהו, אבל אין לנו נתונים שמראים שהן היו נשים שמדברות עם גברים."
עם זאת, לנשים היה מגוון רחב של ציונים בהשוואה לגברים, דבר שצוין בדו"ח הסופי של התחרות. נכתב: "ניתן להעלות השערה על היותם קבוצה מגוונת ביותר, שמגיעה מרקע שונה מאוד ומרמות ניסיון שונות." גברים, לעומת זאת, נטו להסתובב באותו טווח של עשרות עם פחות מחיצות. "למרות שהבטחנו את הגיוון כקבוצה, הגברים נטו להיות הומוגניים יותר ברמת הרקע והניסיון ואולי זה בא לידי ביטוי בטווח הקטן יותר של הניקוד."
אין לי את המידע לגבות אותו, אבל אני חושב שהנתונים האלה מראים את החשיבות של הכללת אנשים מרקע שונה לצוות כלשהו. אבל זו רק אני.
המידע כבר קיים
הדו"ח הסופי של התחרות עשוי להיות חד משמעי לגבי תפקיד המגדר, אך ברור שמחקר קפדני היה קריטי עבור הזוכים. המתמודדים מצאו כמות מזעזעת של מידע זמין באופן מקוון באופן חופשי, ואלה עם ציונים גבוהים יותר בשלבי המחקר נטו להשתפר הרבה יותר במהלך השיחות בפועל.
באחד המקרים, המתמודד מצא פורטל אינטרנט הפונה לעובדים. אף שהוא מאובטח באמצעות כניסה לסיסמא, המתמודד גילה שמסמך עזרה זמין לציבור שסופק על ידי חברת היעד מכיל שם משתמש וסיסמא עובדים כדוגמה. "זה 2013 ואנחנו עדיין רואים דברים כאלה", אמרה הדנגי.
אך לא נדרשו הפרות משמעותיות בביטחון כדי למצוא את רוב המידע שהמתמודדים חיפשו. חלק גדול ממנו היה זמין דרך מדיה חברתית, לעתים פורסם על ידי אנשים שקשרו את הדוא"ל הארגוני שלהם לשירות ציבורי. מקור מידע אחד הפתיע את הדנגי: "Myspace, תאמין או לא."
טוב יותר ויותר מסווה
הדנגי גם ציין כי בנוסף לאיסוף מידע על קוד פתוח, המתמודדים גם השתמשו בתואנות מורכבות בהרבה כאשר התקשרו לחברות בשלב הסופי של התחרות. בשנים קודמות ראו מתמודדים רבים שהתחזו למקבלי הסקרים או כתלמידים כותבים דוחות. הדנגי התייאש מהגישה הזו באופן אקטיבי השנה, והזכיר למתמודדים שהם בטח יתלו על השיחות הללו בעצמם. "מדוע מישהו בסביבה ארגונית יענה על שאלות אלה?" הוא שאל.
תואנות אלה אטרקטיביות מכיוון שהן אנונימיות פחות או יותר ובעלות סיכון נמוך עבור המתקשר. השנה, לעומת זאת, ראו מתמודדים רבים יותר מתחזים לעובדים או כמוכרים העובדים עם חברות היעד. בעוד שהיא נושאת בסיכון מובנה יותר, הדנגי אמרה שיש אמון מובנה יותר. "באופן אוטומטי, על המתמודדים היו אמינים ונתנו להם מידע מחוץ למחבט, " אמר.
תואנותיהם של המתמודדים הראו התבדלות מעניינת בקווי מגדר. מתוך עשר הנשים, תשע הציגו את עצמן כמי שאינן בקיאות טכנית וחיפשו עזרה מעובדים "עמיתים". כל הגברים בתחרות התחזו למומחי טק, ובמקרים מסוימים כמנכ"לים.
מכיר את האיום
אמנם מעניין להרהר באיזה אופן התחרות, אך העובדה שאין עליה עוררין היא שעשר חברות ויתרו על כמות עצומה של מידע - בין אם בטלפון או פורסמו באופן מקוון. למרות שהמידע שהמתמודדים עברו לא תמיד היה מסוכן מטבעו, הם אכן נקראו כצעד ראשון מוצק בהתקפה רב שכבתית. יום אחד אתה שואל על המזנון, ולמחרת אתה מבקש כניסה.
הדנגי ממצה את הבעיה על חוסר מודעות בקרב עובדים, הנובעת בדרך כלל מהשכלה לקויה על ידי הגברים הגבוהים. הדרכת עובדים לחשוב באופן ביקורתי על מה שהם מפרסמים ברשת ומה שהם אומרים בטלפון, אמרה הדנגי, יכולה להשתלם עם פחות התקפות מוצלחות.
אחת ההצעות המסקרנות ביותר שלו הייתה שחברות לא יענישו אנשים הנופלים בגין הונאות, ומעודדות דיווח חופשי על הפרות אפשריות. הדנגי אמרה ל- SecurityWatch כי חברות העוקבות אחר נהלים אלה בדרך כלל יותר טובות להתמודד עם האיומים הללו.
לא משנה אם אתה חלק מחברה או סתם אינדיבידואל בבית, לדעת על הסכנות של הנדסה חברתית זה קריטי. אז בפעם הבאה שמישהו מתקשר או שולח אליך בדוא"ל מבקש עזרה, שאל כמה שאלות לפני שתמסור את תכשיטים בכתר.
תמונה באמצעות משתמש Flickr CGP גריי
