本周,数千名黑客汇聚拉斯维加斯,游走于各个讲座和讨论之间,或者进入某个有趣的主题区。六年来,Defcon黑客大会的社会工程村一直是个有趣的所在。每年该“村”都会举办有关“入侵人”的各种讨论和互动课程,其中最具吸引力的当数社会工程夺旗赛(SECTF)。
[[144540]]
在SECTF中,参赛者努力收集旗帜。零散的信息片段或许本身没什么危害,但若综合起来就有可能给目标机构带来麻烦。SECTF期间以下几面旗帜是参赛者通常会下手的目标,尽管比较基础,但其中每一个都是竞赛中极少会错过的。
一、无线网络
[[144541]]
旗帜:这儿有没有WiFi?
危险:无线网和内部网络间的连接有可能成为恶意攻击者染指公司资源的路径。而且,找个配置弱爆的无线网还真不是什么难事,而这又可以转化为另一种攻击方式了。(国内超级天河计算机集群被入侵就是一个典型的例子)
解决方案:小心设置合适的网络,保证公网和内部网络之间留有隔离带。如果无线网是内部网络,务必确保有采用了强身份验证的安全控制。
二、瞄准服务
[[144542]]
旗帜:谁负责机构的IT支持、餐饮服务、运输、文档清理、保安、废弃物管理?
危险:这些服务为钓鱼、电话诈骗和现场诱骗提供了可信的借口。
解决方案:制定严格的公司章程,包括:哪些信息是可以向未经证实的来电透露的;来电和访客的核实程序;以及允许个人进入的程序(访客胸卡、政府身份标识等等)。
三、你的电脑
[[144543]]
旗帜:你用什么浏览器?什么操作系统?电脑什么配置?
危险:任何内部系统信息,比如软件和操作系统,都能被用于任何已知漏洞的技术性开发。它能告诉攻击者潜在受害者所采用的技术,并为后续钓鱼或电话诈骗攻击提供有用信息。
解决方案:针对不必要的信息披露部署可靠的补丁和安全管理以及策略并贯彻执行之。
四、科学
[[144544]]
旗帜:你有科学吗?哪种类型?
危险:攻击者可用此信息对任何已知漏洞进行技术性开发。它能告诉攻击者潜在受害者所采用的技术,并为后续钓鱼或电话诈骗攻击提供有用信息。
解决方案:如前文提到的,针对不必要的信息披露部署可靠的补丁和安全管理以及策略并贯彻执行之。
五、访问控制
旗帜:与各层级访问级别所需胸卡的使用相关的问题,包括进入各种门和系统。
危险:攻击者有可能事先预知这些信息,且极有可能拥有克隆假冒胸卡进行现场冒充尝试的能力。
解决方案:制定严格的公司章程,包括:哪些信息是可以向未经证实的来电透露的;来电和访客的核实程序;以及允许个人进入的程序(访客胸卡、政府身份标识等等)。
六、打开网页
旗帜:你会点进这个(未知)的网站吗?
危险:这将检验目标受到陌生人请求时打开未知网站的意愿,置公司网络于下载恶意软件或泄漏登录凭证的危险之中。
解决方案:制定严格的公司章程,包括:来电核实程序,以及公司网络行为规范。
SECTF竞赛中请目标打开网页(SEORG.ORG)是最热门的标旗之一,因为很有效。每年都有几个目标毫不犹豫地遵从指令用浏览器打开一个域名来测试能不能联网。
原文地址:http://www.aqniu.com/neo-points/9273.html
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/132442.html<
