האקרים לא התקשו לקבל מעובדי אורקל מידע שיכול לשמש לביצוע מתקפות
המידע המדובר נחשף במסגרת תחרות שנערכה בוועידת ההאקרים השנתית Defcon 2011 שהתקיימה בלאס ווגאס בסוף השבוע, ומטרתה לעורר מודעות רבה יותר בקרב חברות לנושא של פרצות האבטחה ● באחד המקרים התחזה משתתף בתחרות לעובד במחלקת המיחשוב של אורקל ושכנע עובדת למסור לו פרטים על תצורת המחשב שלה ● "בידיים הלא נכונות, עלולות שיטות כאלה להוביל למתקפות שיגרמו נזק רב", אמר כריס הדנגי, אחד ממארגני התחרות
בתחרות שנערכה בסוף השבוע בוועידת 2011 Defcon בלאס ווגאס – ועידת ההאקרים הגדולה בעולם – הומחשה אחת מנקודות התורפה הכואבות ביותר במערך האבטחה של כל חברה: חוסר המודעות של העובדים לסיכוני האבטחה ונכונות היתר שלהם למסור מידע לגורמים שאינם מוסמכים.
נוכח הגל של המתקפות המתוקשרות על גופים רבים, מחברת סוני (Sony) ועד קרן המטבע הבינלאומית, אפשר היה לצפות שעובדים בארגונים גדולים יגלו כיום מודעות רבה יותר לנושא האבטחה. אולם, ההאקרים שלקחו חלק בתחרות, שנערכה בסוף השבוע, לא התקשו כלל, לפחות בחלק מהמקרים, לקבל מהעובדים של כמה מהחברות הגדולות בעולם מידע שיכול לסייע בתכנון של מתקפות מקוונות נגד חברות אלה.
המשתתפים בתחרות הצליחו לשכנע עובדים באורקל (Oracle) ובחברות נוספות להיכנס לאתרים מסוימים באמצעות מחשבים שמחוברים לרשת הארגונית, ואילו היה מדובר בפורצים בעלי כוונות זדוניות ולא במשתתפים בתחרות לגיטימית – לא מן הנמנע שהעובדים היו נכנסים ממחשבי החברה לאתרים שתוכננו לשתול קוד זדוני במחשבים שלה.
באחד המקרים התחזה משתתף בתחרות לעובד במחלקת המיחשוב של אורקל ושכנע עובדת למסור לו פרטים על תצורת המחשב שלה. נתונים אלה היו יכולים לסייע לתוקף להחליט באיזה מזיק להשתמש כדי לבצע מתקפה בצורה המוצלחת ביותר. "הנכונות הרבה שלה לעזור מדאיגה אותי מאוד, בידיים הלא נכונות עלולות שיטות כאלה להוביל למתקפות שיגרמו נזק רב", אמר כריס הדנגי, אחד ממארגני התחרות.
הדנגי ציין, כי את המידע הרב ביותר הצליחו משתתפי התחרות לקבל מעובדי אורקל. עובדה זו עשויה לעורר דאגה רבה, משום שאורקל מוכרת, בין השאר, מסדי נתונים מאובטחים ל-CIA. חברות נוספות ששימשו יעד בתחרות היו AT&T, אפל (Apple), דלתא איירליינס (Delta Airlines), סימנטק (Symantec), סיסקו (Cisco), יונייטד איירליינס (United Airlines) ו-וריזון (Verizon).
דבורה הלינגר, דוברת אורקל, סירבה למסור תגובה.
הייתה זו השנה השנייה שבה נערכת תחרות של "הנדסה חברתית" במסגרת ועידת Defcon. התחרות נערכה בחסות ארגונים של "האקרים טובים", ואחת ממטרותיה היא לעורר מודעות רבה יותר בקרב חברות לנושא של פרצות האבטחה ולעודד אותן לתקן פרצות אלה. במסגרת התחרות נדרשו המשתתפים להשיג מידע ספציפי על היעדים, ובכלל זה פרטים על גיבוי הנתונים ואבטחתם, שימוש ברשתות אלחוטיות ושמות החברות שמספקות שירותי אבטחה, טונר למדפסות וניירות להדפסה.
תגובות
(0)