A nyáron megrendezett DEFCON konferencia keretében az etikus hekkerek több "versenyszámban" is megmutathatták tudásuk legjavát. Az egyik legérdekesebb megmérettetéssel a szervezők a social engineering veszélyeit igyekeztek demonstrálni, miközben keresték azt a legtalpraesettebb személyt, aki a legtrükkösebb, legmegtévesztőbb módszerekkel tud bizalmas adatokhoz hozzáférni.

Nem garázscégeket támadtak | A verseny iránti érdeklődést az is jelentősen fokozta, hogy a résztvevők a Fortune 500 soraiban helyet foglaló vállalatok közül válogathattak maguknak célpontot. Kikötés volt, hogy pénzintézeteket nem szabadott támadni, és személyes vagy üzleti adatokat sem lehetett zsákmányolni. A cél leginkább az volt, hogy a versenyzők a kiszemelt cégek munkatársaitól informatikai rendszerekre vonatkozó információkat tudjanak meg. A megmérettetés az FBI figyelmét is felkeltette, amely - nem túl meglepő módon - igencsak nehezményezte a DEFCON szervezőinek kezdeményezését.

A hekkerversennyel kapcsolatban - elsősorban az érzékeny adatok miatt - csak meglehetősen nehézkesen szivárogtak ki információk, de a szervezők egyike a napokban megszólalt, és mesélt. Chris Hadnagy rendező elárulta, hogy a versenyzők összesen tizenhét jelentős vállalatot helyeztek célkeresztbe. Ezek között volt például a Google, a Wal-Mart, a Symantec, a Cisco Systems, a Microsoft, a Pepsi, a Ford és a Coca-Cola is. A hekkerek megmérettetése megdöbbentő eredménnyel zárult, ugyanis a tizenhét nagyvállalat közül mindössze egy állta a sarat, azaz mindössze egy cégtől nem sikerült bizalmas információkat szerezniük a versenyzőknek.

A hekkerverseny résztvevői előre meghatározhatták, hogy mely vállalatot fogják felkeresni. Több versenyző napokig készült a DEFCON előtt, hogy aztán a rendelkezésükre álló 20 perces telefonhívások során olyan személyekkel tudjanak beszélni, akiket csőbe húzhatnak. A Cisco elleni támadás során például az egyik hekker úgy igyekezett eredményt elérni, hogy eljátszotta, hogy a cégénél leállt a rendszer, sürgős segítségre van szüksége, és ezért különféle információkat kell megtudnia.

A legfontosabb tanulságok ■ A social engineering alapú, azaz az emberek manipulációjára építő támadások során kiderült, hogy a neves vállalatok jelentős részénél még mindig gyakran használják az Internet Explorer 6-os verzióját, ami számos biztonsági kockázatot rejt.  Ugyancsak sok tanulsággal szolgál az a tény, hogy a versenyzőknek szinte kivétel nélkül sikerült rávenniük a telefon másik végén ülő alkalmazottakat, hogy látogassanak meg egy külső weboldalt ilyen vagy olyan okok miatt.

Christopher Burgess, a Cisco biztonsági tanácsadója elmondta, hogy a cégénél a munkavállalókat oktatják arra, hogy a különböző, social engineering alapú támadásokat miként ismerjék fel, és hogyan előzzék meg a károkat. Azonban a DEFCON jó példát szolgáltatott arra, hogy ezeket az oktatásokat rendszeressé kell tenni, mert az nem elégséges, ha egy alkalmazott egyszer részt vesz egy képzésen, majd később az ismereteit nem frissíti, és így nem tud lépést tartani a folyamatosan megújuló támadási módszerekkel.


A nők megbízhatóbbak ■ A DEFCON social engineering versenye egy másik érdekességgel is szolgált. Kiderült ugyanis, hogy amikor a hekkerek hölgyekkel beszélgettek adatok után fürkészve, akkor sokkal nehezebb dolguk volt. A legtöbb nő ugyanis nem fecsegett ki bizalmas információkat. Ennek kapcsán Jonathan Ham, a Lake Missoula Group elnöke is megszólalt, aki maga is szokott pénzintézeteknél etikus hekkeléseket végezni és social engineering teszteket végrehajtani. "A nők kevésbé bíznak meg az emberben, és sokkal gyanakvóbbak. Én a vizsgálatok során kerülöm a nőket, és amennyiben lehetséges, akkor férfiakkal igyekszem beszélni" - mondta a szakember arra reagálva, hogy a social engineering a hölgyek esetében valamivel ritkábban válik be.