看社会工程专家如何潜入RSA XX平安大会 电脑资料 当我在RSA xx平安大会验证入场时,我被告知必须随时佩戴我的证件, 但真的这样吗?事实显然并非如此,正如我在第一天会议上就遇到的一个老朋友那样——抱歉我无法说出他是谁,事实上,他是我众多平安圈“线人”中的一个这是个风险和社会工程学平安专家,凭着社会工程学做浸透测试生意,也有一些平安事件处理方面的经历最终他容许给我演示他是如何在没有证件的情况下用几分钟就溜进RSA大会的,然后带着一张用假名字的证件回去 这个专家是从一个靠近B区的平安活动开场的他有一张B区的工作证件,因为他正在参加那边的一些其他活动但他没有RSA大会,他决定试着逛一下,看看会发生什么 “我只在那个地方走进走出了几分钟”,他向我解释说,“我看到所有入口都有安保人员在检查他在那里站了一会,等待一群人一起进入当他发现一个新安保人员过来准备和另一个人交班时,他知道时机来了 “我走进一大群人中间我举着我的证件,当然用我的拇指压着原有的B区的标志,在安保人员的面前晃了一下,说了一句‘内部员工!’就走了进去,没有停下一步 就这样,我的这位线人轻松走进了RSA大会,而且可以自由地参加各项活动。
他说随意地转了一会,并且参加了两个活动 展览馆:通过大门 他决定进展下一个挑战,那就是进入RSA展览厅,也就是那个平安供给商们展示自己最新产品的本次活动的最大区域, 我的线人注意到,每个入口都有好几个安保人员,但在出口却只有一个人值班出口很大,我在周围等着当我发现她在和别人聊天时,我就趁有人往外走的时候走了进去 就是这样,他就进入了展览厅,而这时,大多数公司还正在架设他们的显示器和参展的产品演示程序 “假如那时你想偷一些证件、T恤、帽子之类的,你只需装作你是为这家公司工作的职员就行了这位专家解释说,“有些公司甚至还把公司电脑放在外面并且开着,我当时完全可以顺手牵羊当然,假如我想在上面安装一个偷取密码的USB设,也是易如反掌 用假名字获得一个证件 在展览厅转了没多一会,这位专家就分开了不过出来之后,他随即去Google查询到一些已经分发出去的RSA大会客户预留代码,以及一些参会的信息用这些网上找来的信息,他填写了页面——当然,没用他的真名然后,他再次回到会场,就获得了一个RSA大会的证件,期间没有被要求出示任何身份的东西,只不过需要翻开他的并且出示一个确认邮件(当然他是用代码得到的) 我的专家提醒说,作为一个靠嵌入检查一个活动的平安程度的专业人士而言,他认为一般最大的弱点是就是人员培训环节。
他们需要培训那些证件的价值,并且理解那些是被允许的,而那些绝对制止他强调,“社会工程学专家往往擅长利用拥挤和,而那恰恰是安保人员要学会应对的 【本文原文CSO网站,原文标题How to sneak into a security conference,作者Joan Goodchild老杨编译 模板,内容仅供参考 。