• Thứ Ba, 03/08/2010 14:54 (GMT+7)

    Bí mật doanh nghiệp: Hỏi là ra, chỉ cần 20 phút

    PHT
    Cuộc thi hacking tại hội nghị Defcon cho thấy, chỉ với kỹ nghệ xã hội học, hacker dễ dàng moi thông tin nhạy cảm của doanh nghiệp trong vòng 20 phút.

    Kỹ nghệ xã hội học (Social engineering) là những mánh, không phải kỹ thuật thuần túy, nhằm lừa nạn nhân tiết lộ thông tin quan trọng, mà không nhất thiết phải gặp họ, để truy cập trái phép vào mạng của doanh nghiệp.

    Hacker tham dự cuộc thi Social Engineering CTF ngày 30/7, trong khuôn khổ hội nghị bảo mật Defcon năm nay, tại Las Vegas (Mỹ), có nhiệm vụ moi từ các nhân viên IT tại các tập đoàn lớn nằm trong danh sách Fortune 500, bao gồm Microsoft, Cisco Systems, Apple và Shell, những thông tin có thể được sử dụng trong một cuộc tấn công máy tính, bao gồm: trình duyệt gì và số phiên bản họ đang sử dụng, phần mềm nào họ sử dụng để mở các tài liệu pdf, hệ điều hành và service pack mấy, phần mềm quản lý hộp thư điện tử trên máy của họ, phần mềm diệt virus họ sử dụng, và thậm chí cả tên của mạng không dây nội bộ của họ.

    Hai thí sinh hàng đầu cho thấy việc thực hiện là dễ dàng.

    Wayne, một nhà tư vấn bảo mật từ Úc (không tiết lộ họ), đã về nhất vào sáng 30/7. Nhiệm vụ của ông: Lấy dữ liệu từ một công ty lớn của Mỹ. (Ở đây, tên công ty không được nêu ra nhằm tránh rủi ro về an ninh có thể xảy ra - PV).

    Ngồi phía sau một bức tường cách âm, ngăn cách với khán giả, cùng một máy điện thoại, ông quay số tổng đài hỗ trợ CNTT và được một nhân viên tiếp chuyện. Giả danh là một nhà tư vấn của Công ty Tư vấn kiểm toán KPMG thực hiện việc kiểm tra sổ sách dưới sức ép thời hạn cuối đã đến, Wayne đã được nhân viên này tiết lộ các chi tiết.

    Wayne phớt lờ yêu cầu cung cấp số hiệu nhân viên và bịa ngay lập tức một câu chuyện về việc đang bị ông chủ đe dọa, và ông thực sự cần công việc kiểm toán này hoàn tất ra sao. Sau vài phút đưa đẩy, nhân viên hỗ trợ đã sẵn sàng cung cấp cho Wayne mọi thông tin mà ông muốn, thậm chí còn truy cập tới một trang web giả mạo KMPG đã được Wayne thiết lập sẵn.

    Trả lời phỏng vấn sau cuộc gọi, Wayne cho biết không thể tin được mình đã may mắn như vậy. "Tôi nghĩ họ là một công ty khá lớn và tôi biết họ đã thực hiện nhiều cuộc kiểm toán an ninh nội bộ".

    Sau đó, các nhà tổ chức cuộc thi cho biết Wayne dành được kết quả tốt nhất trong ngày. Chris Hadnagy, một trong những người sáng lập cuộc thi, tin rằng các nạn nhân có thể cung cấp thông tin nhạy cảm như mật khẩu khi họ được yêu cầu. "Họ sẽ trưng ra hình ảnh của gia đình họ nếu được hỏi", ông nói.

    Cuộc thi quy định cấm hỏi về thông tin nhạy cảm, cũng loại trừ một số hình thức tổ chức như chính phủ hay các định chế tài chính. Mặc dù vậy, cuộc thi đã tạo nên sự lo lắng ngay cả trước khi nó được bắt đầu. Tháng trước, Hadnagy nhận được một cuộc gọi từ FBI hỏi về cuộc thi.

    Wayne là một nhà tư vấn bảo mật, đã có kinh nghiệm 15 năm về kỹ nghệ xã hội học. Ông cho biết đã bỏ ra 20 giờ thăm dò trước cuộc thi. Ông biết làm thế nào để gọi được tới tổng đài hỗ trợ CNTT và nhân danh ai khi thực hiện cuộc gọi.

    Ông thừa nhận rằng ông đã may mắn gặp được một nhân viên chưa có kinh nghiệm. Nhưng các nhân viên mới lại tạo ra các nguồn tin tốt nhất. "Nếu bạn gặp một người lâu năm ở công ty, bạn sẽ không nhận được gì", ông nói. "Họ có nhiều cái để mất".

    Thí sinh dành vị trí thứ hai, Shane MacDougall, đã quyết định bỏ qua tổng đài và liên hệ thẳng với các nhân viên bảo mật tại một công ty nổi tiếng khác. Ông dùng phương pháp cổ điển hơn, tự xưng là đang tiến hành một cuộc khảo sát cho tạp chí CSO (Chief Security Officer – Giám đốc an ninh thông tin).

    Người đầu tiên ông liên lạc hiểu vấn đề, và kiên quyết chấm dứt cuộc gọi một cách lịch sự sau khi từ chối trả lời một số câu hỏi. Anh ta nói: "Đây là những câu hỏi cụ thể mà tôi không cảm thấy thoải mái để trả lời".

    Thí sinh chỉ được phép sử dụng 25 phút cho cuộc thi. Vì vậy MacDougall đã may mắn trong mục tiêu tiếp theo của mình với một nhân viên hợp đồng ở bộ phận kỹ thuật bảo mật, mới làm cho công ty được hai tháng. Sau một vài câu hỏi vòng vo về sự hài lòng trong công việc và chất lượng của thức ăn ở căng tin, ông đã đề cập tới dữ liệu cần quan tâm.

    Thông tin nhận được: hệ điều hành: Windows XP, service pack 3; phần mềm chống virus: McAfee VirusScan 8.7; e-mail: Outlook 2003, service pack 3; trình duyệt: IE 6.

    Sau đó MacDougall chỉ cho nhân viên này ghé thăm một trang web để nhận quà tặng của cuộc khảo sát là một phiếu mua hàng trị giá 25 USD, và anh ta đồng ý làm theo.

    Giải thưởng dành cho người thắng cuộc thi Defcon năm nay là một máy tính bảng iPad.

    Cuộc thi cho thấy ngay cả với các công ty trong danh sách Fortune 500 (500 công ty lớn nhất nước Mỹ), thì việc tổ chức khóa huấn luyện nội bộ về kỹ nghệ xã hội học không phải là một ý tưởng tồi. Và thật ngạc nhiên khi cho đến bây giờ vẫn còn những công ty thuộc hàng đại gia đang sử dụng trình duyệt “cổ lỗ” IE 6.

    Nguồn: IDG News Service, 30/7/2010