Wanafunzi huingia ndani ya kompyuta mwenyeji chini ya macho ya mshauri wakati wa kukamata zoezi la bendera. Richard Matthews, Mwandishi alitoa.
Je! Manowari za nyuklia, besi za juu za kijeshi za siri na biashara za kibinafsi zinafanana?
Wote wako hatarini kwa kipande rahisi cha cheddar.
Hii ilikuwa matokeo ya wazi ya zoezi la "kupima kalamu", inayojulikana kama upimaji wa kupenya, katika Shule ya Majira ya Usalama ya Mtandaoni ya kila mwaka huko Tallinn, Estonia mnamo Julai.
Nilihudhuria, pamoja na kikosi kutoka Australia, kuwasilisha utafiti katika mwaka wa tatu Warsha ya Utafiti wa Mitandaoni ya kati. Tulipata pia nafasi ya kutembelea kampuni kama vile Skype na Mfadhili, Kama vile Kituo cha Ulinzi cha Utandawazi cha Ushirikiano wa NATO.
Mada ya shule ya mwaka huu ilikuwa uhandisi wa kijamii - sanaa ya kudanganya watu kutoa habari muhimu mtandaoni bila kujitambua. Tulizingatia kwa nini uhandisi wa kijamii unafanya kazi, jinsi ya kuzuia mashambulio kama haya na jinsi ya kukusanya ushahidi wa dijiti baada ya tukio.
Kilichoangaziwa katika ziara yetu ilikuwa kushiriki katika zoezi la uporaji wa bendera ya bendera ya moto (CTF), ambapo timu zilifanya mashambulio ya uhandisi wa kijamii ili kujaribu kampuni halisi.
Kupima kalamu na hadaa halisi ya ulimwengu
Upimaji wa kalamu ni shambulio lililoidhinishwa la kuiga juu ya usalama wa mfumo wa mwili au dijiti. Inalenga kupata udhaifu ambao wahalifu wanaweza kutumia.
Vipimo vile vya upimaji kutoka kwa dijiti, ambapo lengo ni kupata faili na data ya kibinafsi, hadi kwa mwili, ambapo watafiti wanajaribu kuingia kwenye majengo au nafasi ndani ya kampuni.
Wanafunzi wa Chuo Kikuu cha Adelaide walihudhuria ziara ya kibinafsi ya ofisi ya Tallinn Skype kwa uwasilishaji juu ya usalama wa mtandao. Richard Matthews, mwandishi zinazotolewa
Wakati wa shule ya majira ya joto, tulisikia kutoka kwa wadukuzi wa kitaalam na wanaojaribu kalamu kutoka kote ulimwenguni. Hadithi ziliambiwa juu ya jinsi kuingia kwa mwili katika maeneo salama kunaweza kupatikana bila kutumia chochote zaidi ya kipande cha jibini kilichoundwa kama kitambulisho na ujasiri.
Kisha tunaweka masomo haya kwa matumizi ya bendera kupitia bendera kadhaa - malengo ambayo timu zinahitaji kufikia. Changamoto yetu ilikuwa kutathmini kampuni iliyo na mkataba ili kuona jinsi inavyoweza kushambuliwa na mashambulio ya uhandisi wa kijamii.
Upimaji wa mwili ulikuwa haswa mbali wakati wa mazoezi yetu. Mipaka ya kimaadili pia iliwekwa na kampuni kuhakikisha tunafanya kama wataalamu wa usalama wa mtandao na sio wahalifu.
OSINT: Upelelezi wa Chanzo wazi
Bendera ya kwanza ilikuwa kutafiti kampuni.
Badala ya kutafakari kama vile ungefanya mahojiano ya kazi, tulienda kutafuta udhaifu katika habari zinazopatikana hadharani. Hii inajulikana kama ujasusi wa chanzo wazi (OSINT). Kama vile:
- bodi ya wakurugenzi ni akina nani?
- wasaidizi wao ni akina nani?
- ni matukio gani yanayotokea katika kampuni hiyo?
- wana uwezekano wa kuwa kwenye likizo kwa sasa?
- ni habari gani ya kuwasiliana na mfanyakazi tunaweza kukusanya?
Tuliweza kujibu maswali haya yote kwa uwazi wa ajabu. Timu yetu hata ilipata nambari za simu za moja kwa moja na njia katika kampuni kutoka kwa matukio yaliyoripotiwa kwenye media.
Barua pepe ya hadaa
Habari hii ilitumika kuunda barua pepe mbili za hadaa zilizoelekezwa kwa malengo yaliyotambuliwa kutoka kwa uchunguzi wetu wa OSINT. Hadaa ni wakati mawasiliano mabaya ya mkondoni yanatumiwa kupata habari za kibinafsi.
Lengo la bendera hii lilikuwa kupata kiunga ndani ya barua pepe zetu kubofya. Kwa sababu za kisheria na kimaadili, yaliyomo na mwonekano wa barua pepe hauwezi kufunuliwa.
Kama vile wateja bonyeza sheria na masharti bila kusoma, tulitumia ukweli kwamba malengo yetu yangebofya kiunga cha riba bila kuangalia ni wapi kiunga kilikuwa kinaelekeza.
Maambukizi ya mwanzo ya mfumo yanaweza kupatikana kwa barua pepe rahisi iliyo na kiunga. Freddy Dezeure / C3S, mwandishi zinazotolewa
Katika shambulio la hadaa halisi, mara tu unapobofya kiungo, mfumo wako wa kompyuta umeathirika. Kwa upande wetu, tulipeleka malengo yetu kwenye tovuti nzuri za utengenezaji wetu.
Timu nyingi katika shule ya majira ya joto zilipata mafanikio ya shambulio la barua pepe la hadaa. Wengine hata walifanikiwa kupeleka barua pepe zao kwa kampuni nzima.
Wakati wafanyikazi wanapeleka barua pepe ndani ya kampuni sababu ya uaminifu ya barua pepe inaongezeka na viungo vilivyomo ndani ya barua pepe hiyo vina uwezekano wa kubonyeza. Freddy Dezeure / C3S, mwandishi zinazotolewa
Matokeo yetu yanaimarisha matokeo ya watafiti juu ya kutokuwa na uwezo kwa watu kutofautisha barua pepe iliyoathiriwa na ile ya kuaminika. Utafiti mmoja wa watu 117 uligundua kuwa karibu 42% ya barua pepe ziligawanywa vibaya kama kweli au bandia na mpokeaji.
Hadaa katika siku zijazo
Hadaa inaweza kupata tu kisasa zaidi.
Kwa idadi inayozidi ya vifaa vilivyounganishwa na mtandao kukosa viwango vya msingi vya usalama, watafiti wanapendekeza kuwa washambuliaji wa hadaa watatafuta njia za utekaji nyara wa vifaa hivi. Lakini kampuni zitajibu vipi?
Kulingana na uzoefu wangu huko Tallinn, tutaona kampuni zikiwa wazi zaidi jinsi zinavyoshughulikia mashambulio ya mtandao. Baada ya mkubwa shambulio la mtandao mnamo 2007, kwa mfano, serikali ya Estonia ilijibu kwa njia inayofaa.
Badala ya kutoa huduma kwa umma na kufunika huduma za serikali polepole kwenda nje ya mtandao, walikiri moja kwa moja walikuwa wakishambuliwa na wakala asiyejulikana wa kigeni.
Vivyo hivyo, wafanyabiashara watahitaji kukubali wakati wanashambuliwa. Hii ndiyo njia pekee ya kuanzisha tena uaminifu kati yao na wateja wao, na kuzuia kuenea zaidi kwa shambulio la hadaa.
Hadi wakati huo, naweza kukuvutia programu ya bure ya kupambana na hadaa?
Kuhusu Mwandishi
Richard Matthews, Mtaalam wa PhD, Chuo Kikuu ya Adelaide
Makala hii imechapishwa tena kutoka Mazungumzo chini ya leseni ya Creative Commons. Soma awali ya makala.
