Sensetive it sikkerhetsopplysinger i jobb utlysninger

Legg igjen en kommentar / Annet, Svindel, Windows Defender / Av

Jeg var så heldig og få snakke med Kevin Mitnick ved at par anledninger tilbake i 2009-2010. Vi satt vel i rundt 1 time og diskuterte social engineering. Noe Kevin i sine yngre dager var veldig god på.

Han og jeg var helt enig i det jeg skal ta opp nå. Vi må slutte å legge ut opplysninger som uvedkommende kan bruke imot oss åpenlyst på nett. Her da i jobb utlysinger.

Du som leser dette kan så klart være helt uenig med meg.

En av Norges største kommuner ser etter IT-Sikkerhetsrådgiver (jeg skjønner jo hvorfor de trenger det).

I utlysningen skriver de:

Du har kompetanse på drift fra flere av følgende områder

    • Microsoft sikkerhetsportefølje

    • Fortinet brannmur

    • Switching og rutingprotokoller

    • Aruba switcher og trådløse produkter

    • Citrix Netscaler

Se skjermdump av fra stillingsutlysningen her:

Som angriper vet jeg nå alt hvordan jeg skal angripe denne kommunen for å skade de mest mulig. Da jeg som hacker vet svakhetene til Windows sin sikkerhetsportefølje, vet de bruker Fortinet brannmur osv. De gir meg de fleste opplysningene jeg trenger for et angrep uten jeg trenger å gjøre noe Research selv. Jeg skal ikke skrive her åpenlyst hva svakhetene til Microsoft og Fortinet er, men de finnes. Og finnes de ikke kan jeg vente til at de eksempel kommer en sårbarhet. Deretter angripe.

I deres DNS txt record kan man også tydelig se flere IP adresser som går til deres lokasjon. Her gjetter jeg de bruker en Fortinet brannmur.

Nå sier ikke jeg at det er en enkel oppgave å hacke en kommune på denne størrelsen. Som Kevin sa til meg i sin tid som jeg husker veldig godt. Det å samle opplysninger og vite alt om målet ditt er halve jobben.

Eksempler på type «angrep» jeg kan utføre med opplysninger ovenfor:

  1. E-poster som ser ut er ifra Fortinet med oppgraderinger osv.

  2. E-poster som ser ut de er ifra Microsoft

  3. E-poster fra Aruba

  4. Ringe og utgi seg fra og være fra Fortinet eller Microsoft.

  5. Fysisk oppmøte med noe så enkelt som en Fortinet t-skjorte og vil se server rommet. PGA feil.

Disse angrepene vil ikke lykkes håper jeg. Men hva om de lykkes? Hva da?

Ikke gi angriperen nøkkel den trenger. Til å angripe deg. Formuler deg annerledes når du ser etter folk med kompetanse.

Social engineering er fantastisk gøy og det er dette jeg lever for. Dette jeg puster og brenner for, jeg vet jeg er mer ekstrem rundt it sikkerhet enn så mange andre. Spesielt dere som har det som en 8-4 jobb. Jeg har dette som liv.

Dette er min personlige mening 

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Jeg bruker cookies på denne nettsiden til å spore antall besøkende og spore hvor disse besøkende kommer ifra, eksempel mobil, pc eller nettbrett. View more
Cookies settings
Godkjenn
Privacy & Cookie policy
Privacy & Cookies policy
Cookies list
Cookie name Active
Om Cookies på våre nettsider Dette er regulert i ekomlovens bestemmelse om vilkår knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie-paragrafen», jf. ekomloven § 2-7b. Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene. Nedenfor finner du lenke til informasjon om hvilke cookies vi bruker. Ved å hente informasjon og/eller benytte tjenester på våre nettsider, samtykker du i at det settes informasjonskapsler i din nettleser, i og med at de fleste nettlesere er innstilt slik at de automatisk aksepterer cookies. Dersom du ikke vil akseptere vår bruk av cookies, kan du trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren. Vi gjør imidlertid oppmerksom på at dette kan medføre redusert brukeropplevelse.
Save settings
Cookies settings