看社会工程专家如何潜入RSA 2012安全大会

安全
当我在RSA2012安全大会验证入场时,我被告知必须随时佩戴我的证件。一个负责注册的官员提醒我:“没有这个证件,你哪里也去不了。”

当我在RSA 2012安全大会验证入场时,我被告知必须随时佩戴我的证件。一个负责注册的官员提醒我:“没有这个证件,你哪里也去不了。”

但真的这样吗?事实显然并非如此,正如我在第一天会议上就遇到的一个老朋友那样——抱歉我无法说出他是谁,事实上,他是我众多安全圈“线人”中的一个。这是个风险管理和社会工程学安全专家,凭着社会工程学做渗透测试生意,也有一些安全事件处理方面的经验。最终他答应给我演示他是如何在没有证件的情况下用几分钟就溜进RSA大会的,然后带着一张用假名字注册的证件回去。

这个专家是从一个靠近B区的安全活动开始的。他有一张B区的工作证件,因为他正在参加那边的一些其他活动。但他没有注册RSA大会,他决定试着逛一下,看看会发生什么。

“我只在那个地方走进走出了几分钟”,他向我解释说,“我看到所有入口都有安保人员在检查。”他在那里站了一会,等待一群人一起进入。当他发现一个新安保人员过来准备和另一个人交班时,他知道机会来了。

“我走进一大群人中间。我举着我的证件,当然用我的拇指压着原有的B区的标志,在安保人员的面前晃了一下,说了一句‘内部员工!’就走了进去,没有停下一步。”

就这样,我的这位线人轻松走进了RSA大会,而且可以自由地参加各项活动。他说随意地转了一会,并且参加了两个发布活动。

展览馆:通过大门

他决定进行下一个挑战,那就是进入RSA展览厅,也就是那个安全供应商们展示自己最新产品的本次活动的最大区域。那个展览厅要到晚上6点才对公众开放,安保人员站在每一个入口前,拒绝每个人入场。

我的线人注意到,每个入口都有好几个安保人员,但在出口却只有一个人值班。“出口很大,我在周围等着。当我发现她在和别人聊天时,我就趁有人往外走的时候走了进去。”

就是这样,他就进入了展览厅,而这时,大多数公司还正在架设他们的显示器和参展的产品演示程序。

“如果那时你想偷一些证件、T恤、帽子之类的,你只需装作你是为这家公司工作的职员就行了。”这位专家解释说,“有些公司甚至还把公司电脑放在外面并且开着,我当时完全可以顺手牵羊。当然,如果我想在上面安装一个偷取密码的USB设,也是易如反掌。

用假名字获得一个证件

在展览厅转了没多一会,这位专家就离开了。不过出来之后,他随即去Google查询到一些已经分发出去的RSA大会客户预留代码,以及一些免费参会的注册信息。用这些网上找来的免费注册信息,他填写了注册页面——当然,没用他的真名。然后,他再次回到会场,就获得了一个RSA大会的证件,期间没有被要求出示任何证明身份的东西,只不过需要打开他的手机并且出示一个确认邮件(当然他是用免费代码得到的)。

我的专家提醒说,作为一个靠嵌入检查一个活动的安全水平的专业人士而言,他认为一般最大的弱点是就是人员培训环节。“他们需要培训那些证件的价值,并且了解那些是被允许的,而那些绝对禁止。”他强调,“社会工程学专家往往善于利用拥挤和混乱,而那恰恰是安保人员要学会应对的。”

责任编辑:于爽 来源: 安库网
相关推荐

2010-03-05 10:23:09

安全专家日记首日记要

2012-08-08 09:53:42

2012-03-01 11:18:02

2014-02-28 13:52:29

RSA2014云安全

2012-08-29 10:53:25

2012-03-01 15:08:29

2019-03-15 09:33:07

RSA信息安全网络安全

2012-03-14 13:06:44

2020-02-26 10:54:04

RSA 2020网络安全病毒

2014-02-21 13:29:50

2012-03-13 14:53:07

2017-02-13 16:52:48

2014-02-13 17:59:52

2018-07-16 08:36:13

2020-04-17 09:29:40

云安全专有云安全腾讯安全

2018-04-15 15:10:23

2014-02-17 09:54:34

2016-02-18 14:05:45

2017-02-15 15:34:42

RSA IBM安全

2015-08-07 14:32:19

点赞
收藏

51CTO技术栈公众号