Voor de tweede keer organiseert ict-dienstverlener Sogeti de Social Engineering Challenge. Hierin worden deelnemers uitgedaagd om met hun social engineering-vaardigheden feiten te achterhalen in telefoongesprekken met grote Nederlandse organisaties. De challenge vindt plaats tijdens de jaarlijkse internationale securityconferentie Hack-In-The-Box die op 10 en 11 april 2013 gehouden wordt in Amsterdam.
Afgelopen jaar was Sogeti volgens eigen zeggen de eerste in Europa die via een social engineering organisaties bewuster maakte van de kwetsbaarheden op het gebied van informatiebeveiliging. Ook dit jaar geeft de ict-dienstverlener de meest ervaren Europese hackers de gelegenheid deel te nemen aan deze Social Engineering Challenge. Deze wedstrijd start tijdens de Hack-In-The-Box-conferentie en sluit 1 mei 2013. De resultaten geven inzicht in de informatiebeveiliging van grote organisaties in Nederland. Naar verwachting is dit rapport half juni 2013 beschikbaar.
Overnemen bedrijfsnetwerk
De menselijke factor is volgens Sogeti veelal de zwakste schakel in het proces om de informatieveiligheid van organisaties te optimaliseren. Uit de resultaten van afgelopen jaar is gebleken dat het relatief eenvoudig is gegevens boven water te krijgen bij grote Nederlandse organisaties. De verkregen informatie was onder andere welke type software wordt gebruikt, of it al dan niet wordt uitbesteed en zo ja, aan welk bedrijf, welke browsers worden gebruikt, de naam van het draadloos netwerk en de bedrijven die verantwoordelijk zijn voor catering of archiefvernietiging. Deze op zichzelf onschuldige informatie stelt hackers met wat vernuft in staat om bijvoorbeeld de volledige regie van het bedrijfsnetwerk over te nemen.
‘Afgelopen jaar waren Nederlandse organisaties huiverig voor deze actie’, zegt Marinus Kuivenhoven, senior security expert bij Sogeti. ‘Dit jaar melden organisaties zich spontaan aan om doorgelicht te worden. Voor veel organisaties is het een manier om bij hun directie aandacht te vragen voor de rol van de mens als integraal onderdeel van hun informatiebeveiligingsbeleid.’
Aanpak
Voordat de wedstrijd begint op 10 april krijgen deelnemers een willekeurig geselecteerd bedrijf uit Nederland toegewezen. Tijdens de challenge hebben de deelnemers vervolgens een half uur de tijd om via een telefoongesprek benodigde informatie te verzamelen. Punten worden gescoord door de gesprekspartner aan de telefoon over te halen de naam van het cateringbedrijf van desbetreffende organisatie te noemen of te laten browsen naar een website waarvan de content alleen door Sogeti aangepast kan worden.
De voortgang van de wedstrijd wordt nauwgezet gevolgd om te voorkomen dat deelnemers dreigementen gebruiken of proberen gevoelige of illegale informatie te verkrijgen. Iedereen kan de voortgang van de wedstrijd live volgen via een webcamfeed. Ook voorziet Sogeti ter plekke in het beluisteren van de challenge via een vertraagde audiostream.