原文標題how to sneak into a security conference 老楊編譯
但真的這樣嗎?事實顯然並非如此,正如我在第一天會議上就遇到的乙個老朋友那樣——抱歉我無法說出他是誰,事實上,他是我眾多安全圈「線人」中的乙個。這是個風險管理和社會工程學安全專家,憑著社會工程學做滲透測試生意,也有一些安全事件處理方面的經驗。最終他答應給我演示他是如何在沒有證件的情況下用幾分鐘就溜進rsa大會的,然後帶著一張用假名字註冊的證件回去。
這個專家是從乙個靠近b區的安全活動開始的。他有一張b區的工作證件,因為他正在參加那邊的一些其他活動。但他沒有註冊rsa大會,他決定試著逛一下,看看會發生什麼。
「我只在那個地方走進走出了幾分鐘」,他向我解釋說,「我看到所有入口都有安保人員在檢查。」他在那裡站了一會,等待一群人一起進入。當他發現乙個新安保人員過來準備和另乙個人**時,他知道機會來了。
「我走進一大群人中間。我舉著我的證件,當然用我的拇指壓著原有的b區的標誌,在安保人員的面前晃了一下,說了一句『內部員工!』就走了進去,沒有停下一步。」
就這樣,我的這位線人輕鬆走進了rsa大會,而且可以自由地參加各項活動。他說隨意地轉了一會,並且參加了兩個發布活動。
展覽館:通過大門
他決定進行下乙個挑戰,那就是進入rsa展覽廳,也就是那個安全**商們展示自己最新產品的本次活動的最大區域。那個展覽廳要到晚上6點才對公眾開放,安保人員站在每乙個入口前,拒絕每個人入場。
我的線人注意到,每個入口都有好幾個安保人員,但在出口卻只有乙個人值班。「出口很大,我在周圍等著。當我發現她在和別人聊天時,我就趁有人往外走的時候走了進去。」
就是這樣,他就進入了展覽廳,而這時,大多數公司還正在架設他們的顯示器和參展的產品演示程式。
「如果那時你想偷一些證件、t恤、帽子之類的,你只需裝作你是為這家公司工作的職員就行了。」這位專家解釋說,「有些公司甚至還把公司電腦放在外面並且開著,我當時完全可以順手牽羊。當然,如果我想在上面安裝乙個偷取密碼的usb設,也是易如反掌。
用假名字獲得乙個證件
在展覽廳轉了沒多一會,這位專家就離開了。不過出來之後,他隨即去google查詢到一些已經分發出去的rsa大會客戶預留**,以及一些免費參會的註冊資訊。用這些網上找來的免費註冊資訊,他填寫了註冊頁面——當然,沒用他的真名。然後,他再次回到會場,就獲得了乙個rsa大會的證件,期間沒有被要求出示任何證明身份的東西,只不過需要開啟他的手機並且出示乙個確認郵件(當然他是用免費**得到的)。
我的專家提醒說,作為乙個靠嵌入檢查乙個活動的安全水平的專業人士而言,他認為一般最大的弱點是就是人員培訓環節。「他們需要培訓那些證件的價值,並且了解那些是被允許的,而那些絕對禁止。」他強調,「社會工程學專家往往善於利用擁擠和混亂,而那恰恰是安保人員要學會應對的。」
社會工程學
方法介紹 社工之木馬的利用 2 木馬的名字 這個重要。你可以取乙個windows補丁的名字,word,pdf等字尾。自由發揮吧!3 把木馬壓縮成rar,zip的時候,加個超強的密碼保護。說是你的東西不容易的得到。給對方的 感覺是你的東西很重要。讓他 她放鬆警惕!4 了解對方特點 比如對方好色,這個你...
社會工程管理 股權分配
技術交流 qq群599020441 紀年科技aming 社會網路應用的構想公司 joel spolsky 股權分配 原則 公平 joel的適用於任何創業公司創始人完全公平劃分股權 不打算拿風險投資,而且你們將不會有外來的投資人 目前我們暫時假設沒有投資人 臨時假設所有創始人都辭掉了他們的全職工作,而...
社會工程學概況
社會工程學 social engineering 一種通過對受害者心理弱點 本能反應 好奇心 信任 貪婪等心理陷阱進行諸如欺騙 傷害等危害手段。取得自身利益的手法,近年來已成迅速上公升甚至濫用的趨勢。那麼,什麼算是社會工程學呢?它並不能等同於一般的欺騙手法,社會工程學尤其複雜,即使自認為最警惕最小心...