信息竞赛如何处理社会工程？

Question

每当我读到关于网络安全竞赛的文章时，我总是在想，因为几乎每个人都是安全专家，这样的练习会不会是现实的呢？在任何信息系统中，最薄弱的环节之一是用户；竞争如何模拟社会工程的效果？他们有没有找到一群随机的人来充当网络用户？他们是否加入了有意点击所有东西的联盟成员？

Answer 1

我不确定你是否理解安全竞赛的常见类型。大多数都是专门为安全专业人士而设的，与一个没有安全意识的用户的行为无关。

一些例子:如何利用罕见的或难以发现的漏洞，将不同的漏洞连接在一起，编写零日文件，从有限的信息中识别系统等等。

模拟用户随机点击事物的效果与这些比赛无关，而且我也不认为是社会工程。

尽管如此，有些比赛允许将社会工程作为一种技术，通过非技术手段(即撒谎、欺骗、身体获取等)获得信息/奖杯的积分。

Answer 2

这些比赛的重点不是执行攻击，如果它是真实的，在那里你可以欺骗用户提供数据，而是一个竞争，显示谁是最快的团队寻找特定的数据(标志)使用技术手段。

举个例子，把它看作是一个在线战争游戏(hackthis，hackthis.)但作为一支球队。

Answer 3

我参加的一个特别的CTF，由ThinkSECURE组织的空袭，以两种方式授予“社会工程”。

第一种方法是给出分数，以获得其他队伍的参与者标签。在比赛开始时，每个队员都会得到一个标签。当从游戏主人那里获取积分以完成某些任务时，标签是必需的。使用任何手段获得其他球队的标签(当然除了身体上的)，会给你的球队带来可观的分数。

第二种方法是为打破比赛规则的其他球队得分。这需要一些相当有力的证据，但如果您成功地报告了另一个团队，那么它就值相当多的分数。