Pravděpodobně jste již někdy četli nějakou knihu o sociálním inženýrství (Social Engineering), které využívá slabiny v lidském chování. Pokud Vás toto téma úplně minulo a máte rádi odlehčené filmy o hackingu, zkoukněte nejdříve snímek Podfukáři (Sneakers).
Pomocí sociálního inženýrství lze získat přístup k informacím nebo k systémům bez nutnosti útočit na technické prostředky a mít expertní znalosti. Tuto hrozbu si řada společností uvědomuje a proto se tyto útoky řízeně testují a vyhodnocují.
Před nějakou dobou jsem se zabýval otázkou, jak se připravit na penetrační test využívající pouze sociální inženýrství a začal jsem sbírat informace o této problematice v její čisté podobě, tj. bez technických prostředků. Následující zdroje mi přišli nejzajímavější a chtěl bych se s Vámi o ně podělit.
Aplikované sociální inženýrství
První prezentace je od Keitha Pachulského na Hack3rconu, který se podělil o své zkušenosti sociálního inženýrství tváří v tvář. Představte si, že jdete do budovy, jste nervózní a někdo se Vás dříve nebo později zeptá, co tady děláte. V prezentaci se dozvíte, co je to profilování cíle, jak si připravit svoji roli a na co byste neměli zapomenout.
Příklady špatného sociálního inženýrství
Noah Beddome přednesl na Derbyconu příklady špatného provedení sociálního inženýrství. Přednášející rozvádí samotný proces sociálního inženýrství ve špatné a správné formě. Dozvíte se, co je to OODA, jak kontrolovat interakce při konverzaci, jaká je její anatomie a jaké triky pomáhají.
Rámec sociálního inženýrství
Pokud Vás sociální inženýrství zaujalo a rádi byste se na něj podívali více strukturovaně, můžete si prostudovat www.social-engineer.org (SE Framework).