Op de gratis toegankelijke Haxpo (de beurs bij Hack in the Box) houdt Sogeti de Social Engineering Challenge om de aandacht te vestigen op een van de zwakste schakels in de beveiliging: de menselijke factor. Social engineering heeft weinig meer met techniek te maken, maar het gaat er meer om jezelf ergens binnen te praten. Een van de deelnemers vertelt hoe hij de social engineering-wedstrijd zelf social engineert.

Overtuig een stripclub

"We hebben een beetje valsgespeeld", vertelt Carlo De Micheli, een van de deelnemers. Een van de uitdagingen was bijvoorbeeld door iemand van een stripclub tegenover de Beurs van Berlage contact op te laten nemen met Sogeti. "We vroegen een man in de ruimte verderop om op te nemen en uit te leggen dat hij daar werkte. De organisatoren konden zelfs de man in de ruimte de telefoon zien opnemen."

Een andere opdracht was het achterhalen van informatie over een Sogeti-server. "Dat ging prima, maar het bleek knap lastig om het versienummer van de Barracuda-firewall te achterhalen. Dus we hebben Barracuda gebeld en gevraagd wat hun laatste versie was. We gingen er vanuit dat een beveiligingsbedrijf wel de laatste versie heeft draaien, dus dat schreven we op." Dat klopte, dus de punten waren binnen.

Webwereld manipuleren

Is de social engineer niet bang dat hij wordt gediskwalificeerd als de organisatoren dit straks lezen? "Natuurlijk niet, kom op, het is juist een social engineering-uitdaging!" Manipulatie ligt ten grondslag aan het kernconcept. Voor de huidige uitdaging 'media marionet' moet De Micheli een Nederlandse journalist zover krijgen om enkele woorden op nemen in een Nederlandstalige publicatie.

Social engineering onder de aandacht brengen doet deze journalist graag, dus voor dat karretje wil ik me best laten spannen. De enige ├ęchte uitdaging is misschien dat ook het woord "knuppelstrop" in de tekst moet verschijnen. Daar denken we nog even over na.

Dit roept trouwens de vraag op of dit allemaal een sluw plan van Sogeti om ons de aandacht te doen vestigen op de challenge. In welk geval deze manipulatie zeer succesvol was, want: interessant verhaal. Social engineering hoeft dus niet moeilijk te zijn, je hoeft alleen maar met een goed verhaal te komen. Lees binnenkort meer over deze wedstrijd op Computerworld.

Update 15.41 uur: Deze challenge heet Media Marionet. Titel toegevoegd.