レッドチームがGoogle Glassをハッキング
これは同僚グーグラーたちをターゲットにして、レッドチームが彼らの仕事用パソコンに侵入できるどうかか試すものだった。多くの成功したソーシャルエンジニアリング手法と同様、手口は単純だった。勤続表彰の記念品を贈る。実際、これは多くの組織が実際にやっていることだろう。記念品は小さなプラズマボール、より正確には、グーグルブランドのUSBプラズマボールにバックドアをインストールするマルウェアを仕込んだものだ。思い出して欲しい。10年ほど前、オフィスはUSBメモリーの全盛期で、社員は何でもどんなものでもデスクトップパソコンやノートパソコンに差し込んでいた。
レッドチームは感染したUSBプラズマボールを使って同僚をハックした(スクリーンショット、Google)
プラズマボールでGoogle Glassを追いかける
どうやら、ほとんどのグーグル社員はセキュリティ意識が高く、職場のパソコンに挿し込んだりしなかったようだが「2~3人」はやってしまった。そして、一度始まってしまえば、より大きなものが手に入る。ラテラル・ムーブメント(同僚同士の横方向の伝染)や侵入を通じて。実際、そのときにレッドチームはGoogle Glassチームが所有するパソコンのアクセスに成功した。
プラズマボールを挿し込んだ社員は誰もGoogle Glassの仕事をしていなかった。しかし、それは、長いキルチェーンの成功した第一歩だった。最初の侵入後、レッドチームは特権ユーザーとしてのアクセスに成功すると、その権限で可能なあらゆるものをアクセス、社員のメールアカウントもその1つだった。侵入された社員からと称するメールがGoogle Glassチームの真のターゲットたちに送られた。
十分な数のターゲットがメールを開き、ハッカーチームはGoogle Glassの技術資料にアクセスできる誰かのアカウントにアクセスすることに成功した。レッドチームはGoogle Glassの技術資料を利用できるようになり、それをダウンロードすることで任務は完了した。
そして、その過程で警備員は誰も傷つかなかった。
ハッカーのように考え、CTFチャレンジのクイズを解こう
機会があれば、第3回だけでなく6回全部見ることをおすすめする。私のようなセキュリティマニアでなく、おそらくあなたはグーグルのユーザーだろう。そうであれば、自分のグーグルのアカウントやグーグルのデータがどれほど安全であるかに関心があるのではないだろうか? グーグルセキュリティチームの全身全霊を垣間見ることで、自分のデータが安全である確信が深まるに違いない。
Hacking Google CTFにチャレンジしよう!(スクリーンショット、Google)
そして、動画を6本全部見終わったら「Hacking Google ’capture the flag’ (CTF) challenge」に参加してはいかがだろうか。そこには24個のパズルがあり、ハッカーのように考え、動画全体にちりばめられたヒントを(もし見つけられるなら)使って解いてみよう。幸運を祈る。
(forbes.com 原文)