Vidéo: Le genre de femmes que les hommes RICHES n'aiment PAS!!!!! (Novembre 2024)
Au cours des cinq dernières années, Chris Hadnagy, chef des activités humaines chez Social-Engineer, Inc., a organisé un concours inhabituel à Def Con. Appelé Social Engineering Capture The Flag, il met au défi les candidats de rassembler des informations sur diverses entreprises (drapeaux, si vous voulez). C'est de l'ingénierie sociale: l'art de collecter des informations sur des cibles sans avoir à pénétrer dans un bâtiment ou à pirater un réseau.
Au cours de la première phase, 20 candidats s’efforcent d’obtenir des informations sur les entreprises cibles à partir de sources accessibles au public. La dernière phase est un marathon de 25 minutes d'appels téléphoniques au cours duquel les candidats pompent les victimes à la recherche d'informations. Cela va du banal ("Avez-vous une cafétéria?") Au critique ("Utilisez-vous un cryptage de disque?") Au potentiellement désastreux: inciter les victimes à visiter de fausses URL. Cette année, le concours comprenait dix entreprises, dont Apple, Boeing et General Dynamics, entre autres.
Bataille des sexes
"Depuis le début, nous avons toujours appelé les femmes à devenir membres", a déclaré Hadnagy. L'adoption d'un format «hommes contre femmes» et la promotion active du rôle des femmes dans la compétition ont permis d'améliorer la parité au cours des deux dernières années. Hadnagy a déclaré qu'il était essentiel de donner aux femmes plus de visibilité dans le projet et a encouragé les autres à y adhérer. "Nous avons eu plus de femmes que nous pourrions prendre cette année", a-t-il déclaré.
Comment les femmes ont-elles réussi face à leurs homologues masculins? "Cette année, les femmes n'ont pas seulement gagné", a déclaré Hadnagy. "Ils ont effacé les hommes." Trois des cinq premières places ont été attribuées à des femmes et l'ingénieur social qui a obtenu le score le plus élevé compte plus de 200 points de plus que le participant ayant obtenu le score le plus élevé.
Il est facile de tirer beaucoup de conclusions de ces données, mais en ce qui concerne le succès des femmes dans l'ingénierie sociale, Hadnagy a déclaré qu'il n'y avait tout simplement pas assez d'informations. "Je ne pense pas que cela prouve que les gens ont intrinsèquement confiance en la femme", a-t-il déclaré. "Les femmes gagnantes montrent quelque chose, mais nous ne disposons d'aucune donnée montrant qu'elles étaient des femmes qui discutaient avec des hommes."
Cela dit, les femmes avaient un large éventail de scores par rapport aux hommes, ce qui a été noté dans le rapport final du concours. "On peut émettre une hypothèse de variabilité du fait qu’il s’agissait d’un groupe extrêmement diversifié, issu de milieux très différents et de niveaux d’expérience différents". Les hommes d’autre part avaient tendance à traîner dans la même gamme de scores avec moins de valeurs aberrantes. "Bien que nous ayons veillé à la diversité en tant que groupe, les hommes avaient tendance à être plus homogènes quant à leurs antécédents et à leur niveau d'expérience, ce qui a peut-être été reflété dans la fourchette plus petite des scores."
Je n'ai pas les informations pour le sauvegarder, mais je pense que ces données montrent l'importance d'inclure des personnes de divers horizons dans n'importe quelle équipe. Mais c'est juste moi.
L'information est déjà disponible
Le rapport final du concours pourrait ne pas être concluant sur le rôle du genre, mais il est clair qu'une recherche minutieuse était essentielle pour les gagnants. Les candidats ont trouvé une quantité choquante d’informations librement disponibles en ligne, et ceux qui ont obtenu des scores plus élevés dans les phases de recherche ont eu tendance à faire beaucoup mieux lors de l’appel.
Dans un cas, un concurrent a trouvé un portail Web destiné aux employés. Bien qu'il soit sécurisé avec un identifiant de mot de passe, le candidat a découvert qu'un document d'aide accessible au public fourni par la société cible contenait un nom d'utilisateur et un mot de passe de travail, à titre d'exemple. "Nous sommes en 2013 et nous voyons encore des choses comme celle-ci", a déclaré Hadnagy.
Mais il n'a pas fallu de graves brèches dans la sécurité pour trouver la plupart des informations recherchées par les candidats. Une grande partie était disponible sur les médias sociaux, parfois postés par des personnes qui avaient lié leur courrier électronique d'entreprise à un service public. Hadnagy a été surpris par l'une des sources d'information: "Myspace, crois-le ou non."
De meilleurs et meilleurs déguisements
Hadnagy a également noté qu’en plus de la collecte d’informations à source ouverte, les candidats utilisaient également des prétextes bien plus complexes pour appeler les entreprises en phase finale de la compétition. Les années précédentes, de nombreux candidats se faisaient passer pour des personnes interrogées ou des étudiants rédigeant des rapports. Hadnagy a activement découragé cette approche cette année, rappelant aux candidats qu'ils raccrocheraient probablement eux-mêmes à ces appels. "Pourquoi quelqu'un dans un environnement d'entreprise répondrait-il à ces questions?" Il a demandé.
Ces prétextes sont attrayants car ils sont plus ou moins anonymes et présentent un risque faible pour l'appelant. Cette année, cependant, plus de candidats se sont présentés en tant que collègues ou fournisseurs travaillant avec les entreprises cibles. Hadnagy a déclaré qu'il y avait plus de confiance inhérente, bien que cela comporte davantage de risques inhérents. "Automatiquement, on a fait confiance aux candidats et on leur a donné des informations dès le départ", a-t-il déclaré.
Les prétextes des concurrents ont révélé une divergence intéressante entre les sexes. Sur les dix femmes, neuf se sont présentées comme n'étant pas techniquement avisées et cherchaient l'aide de "collègues" employés. Tous les hommes de la compétition se sont présentés comme des experts techniques et, dans certains cas, des PDG.
Connaître la menace
Bien qu'il soit intéressant de réfléchir aux tenants et aux aboutissants de la concurrence, il est incontestable que dix entreprises ont renoncé à une énorme quantité d'informations, par téléphone ou publiquement en ligne. Bien que les informations recherchées par les concurrents ne soient pas toujours intrinsèquement dangereuses, ils se présentent comme une première étape solide dans une attaque à plusieurs niveaux. Un jour, vous parlez de la cafétéria et le lendemain, vous demandez des identifiants.
Hadnagy attribue le problème à un manque de sensibilisation des employés, généralement dû à une mauvaise éducation des supérieurs. Selon M. Hadnagy, former les employés à réfléchir de manière critique à ce qu'ils affichent en ligne et à ce qu'ils disent au téléphone peut rapporter moins, avec moins d'attaques réussies.
Une de ses suggestions les plus intrigantes était que les entreprises ne punissent pas les individus qui se font escroquer, et encouragent le signalement libre de toute conséquence d'infractions possibles. Hadnagy a déclaré à SecurityWatch que les entreprises qui appliquent ces pratiques sont généralement mieux à même de gérer ces menaces.
Que vous apparteniez à une entreprise ou à une personne à la maison, il est essentiel de connaître les dangers de l'ingénierie sociale. Ainsi, la prochaine fois que quelqu'un vous appellera ou vous enverra un courriel pour demander de l'aide, posez quelques questions avant de remettre les joyaux de la couronne.
Image via l'utilisateur Flickr CGP Gray
