当我在RSA 2012安全大会验证入场时,我被告知必须随时佩戴我的证件。一个负责注册的官员提醒我:“没有这个证件,你哪里也去不了。”
但真的这样吗?事实显然并非如此,正如我在第一天会议上就遇到的一个老朋友那样——抱歉我无法说出他是谁,事实上,他是我众多安全圈“线人”中的一个。这是个风险管理和社会工程学安全专家,凭着社会工程学做渗透测试生意,也有一些安全事件处理方面的经验。最终他答应给我演示他是如何在没有证件的情况下用几分钟就溜进RSA大会的,然后带着一张用假名字注册的证件回去。
这个专家是从一个靠近B区的安全活动开始的。他有一张B区的工作证件,因为他正在参加那边的一些其他活动。但他没有注册RSA大会,他决定试着逛一下,看看会发生什么。
“我只在那个地方走进走出了几分钟”,他向我解释说,“我看到所有入口都有安保人员在检查。”他在那里站了一会,等待一群人一起进入。当他发现一个新安保人员过来准备和另一个人交班时,他知道机会来了。
“我走进一大群人中间。我举着我的证件,当然用我的拇指压着原有的B区的标志,在安保人员的面前晃了一下,说了一句‘内部员工!’就走了进去,没有停下一步。”
就这样,我的这位线人轻松走进了RSA大会,而且可以自由地参加各项活动。他说随意地转了一会,并且参加了两个发布活动。
展览馆:通过大门
他决定进行下一个挑战,那就是进入RSA展览厅,也就是那个安全供应商们展示自己最新产品的本次活动的最大区域。那个展览厅要到晚上6点才对公众开放,安保人员站在每一个入口前,拒绝每个人入场。
我的线人注意到,每个入口都有好几个安保人员,但在出口却只有一个人值班。“出口很大,我在周围等着。当我发现她在和别人聊天时,我就趁有人往外走的时候走了进去。”
就是这样,他就进入了展览厅,而这时,大多数公司还正在架设他们的显示器和参展的产品演示程序。
“如果那时你想偷一些证件、T恤、帽子之类的,你只需装作你是为这家公司工作的职员就行了。”这位专家解释说,“有些公司甚至还把公司电脑放在外面并且开着,我当时完全可以顺手牵羊。当然,如果我想在上面安装一个偷取密码的USB设,也是易如反掌。
用假名字获得一个证件
在展览厅转了没多一会,这位专家就离开了。不过出来之后,他随即去Google查询到一些已经分发出去的RSA大会客户预留代码,以及一些免费参会的注册信息。用这些网上找来的免费注册信息,他填写了注册页面——当然,没用他的真名。然后,他再次回到会场,就获得了一个RSA大会的证件,期间没有被要求出示任何证明身份的东西,只不过需要打开他的手机并且出示一个确认邮件(当然他是用免费代码得到的)。
我的专家提醒说,作为一个靠嵌入检查一个活动的安全水平的专业人士而言,他认为一般最大的弱点是就是人员培训环节。“他们需要培训那些证件的价值,并且了解那些是被允许的,而那些绝对禁止。”他强调,“社会工程学专家往往善于利用拥挤和混乱,而那恰恰是安保人员要学会应对的。”
