本周，數千名黑客匯聚拉斯維加斯，游走于各個講座和討論之間，或者進入某個有趣的主題區。六年來，Defcon黑客大會的社會工程村一直是個有趣的所在。每年該“村”都會舉辦有關“入侵人”的各種討論和互動課程，其中最具吸引力的當數社會工程奪旗賽(SECTF)。

[[144540]]

在SECTF中，參賽者努力收集旗幟。零散的信息片段或許本身沒什么危害，但若綜合起來就有可能給目標機構帶來麻煩。SECTF期間以下幾面旗幟是參賽者通常會下手的目標，盡管比較基礎，但其中每一個都是競賽中極少會錯過的。

一、無線網絡

[[144541]]

旗幟：這兒有沒有WiFi?

危險：無線網和內部網絡間的連接有可能成為惡意攻擊者染指公司資源的路徑。而且，找個配置弱爆的無線網還真不是什么難事，而這又可以轉化為另一種攻擊方式了。(國內超級天河計算機集群被入侵就是一個典型的例子)

解決方案：小心設置合適的網絡，保證公網和內部網絡之間留有隔離帶。如果無線網是內部網絡，務必確保有采用了強身份驗證的安全控制。

二、瞄準服務

[[144542]]

旗幟：誰負責機構的IT支持、餐飲服務、運輸、文檔清理、保安、廢棄物管理?

危險：這些服務為釣魚、電話詐騙和現場誘騙提供了可信的借口。

解決方案：制定嚴格的公司章程，包括：哪些信息是可以向未經證實的來電透露的;來電和訪客的核實程序;以及允許個人進入的程序(訪客胸卡、政府身份標識等等)。

三、你的電腦

[[144543]]

旗幟：你用什么瀏覽器?什么操作系統?電腦什么配置?

危險：任何內部系統信息，比如軟件和操作系統，都能被用于任何已知漏洞的技術性開發。它能告訴攻擊者潛在受害者所采用的技術，并為后續釣魚或電話詐騙攻擊提供有用信息。

解決方案：針對不必要的信息披露部署可靠的補丁和安全管理以及策略并貫徹執行之。

四、VPN

[[144544]]

旗幟：你有VPN嗎?哪種類型?

危險：攻擊者可用此信息對任何已知漏洞進行技術性開發。它能告訴攻擊者潛在受害者所采用的技術，并為后續釣魚或電話詐騙攻擊提供有用信息。

解決方案：如前文提到的，針對不必要的信息披露部署可靠的補丁和安全管理以及策略并貫徹執行之。

五、訪問控制

旗幟：與各層級訪問級別所需胸卡的使用相關的問題，包括進入各種門和系統。

危險：攻擊者有可能事先預知這些信息，且極有可能擁有克隆假冒胸卡進行現場冒充嘗試的能力。

解決方案：制定嚴格的公司章程，包括：哪些信息是可以向未經證實的來電透露的;來電和訪客的核實程序;以及允許個人進入的程序(訪客胸卡、政府身份標識等等)。

六、打開網頁

旗幟：你會點進這個(未知)的網站嗎?

危險：這將檢驗目標受到陌生人請求時打開未知網站的意愿，置公司網絡于下載惡意軟件或泄漏登錄憑證的危險之中。

解決方案：制定嚴格的公司章程，包括：來電核實程序，以及公司網絡行為規范。

SECTF競賽中請目標打開網頁(SEORG.ORG)是最熱門的標旗之一，因為很有效。每年都有幾個目標毫不猶豫地遵從指令用瀏覽器打開一個域名來測試能不能聯網。

原文地址：http://www.aqniu.com/neo-points/9273.html