¿Cuáles son las buenas implementaciones de prueba de concepto para la capacitación de concientización general sobre seguridad?

Navega tus respuestas
5

Daré una presentación sobre "seguridad cibernética" a una clase escolar de jóvenes de 16 años y les mostraré cómo funciona la seguridad de la red, cuán importante es la privacidad (y por qué es importante) y cómo protegerse en línea.

Aparte de las diapositivas generales (estáticas) sobre el tema, quiero mostrarlas de una manera visualmente atractiva y comprensible sobre cómo funciona el "pirateo", el seguimiento de la publicidad y el phishing.

Hasta ahora he preparado:

  • Un punto de acceso WiFi con mitmproxy en ejecución para interceptar un mensaje de WhatsApp enviado desde un teléfono preparado
  • Wireshark se ejecuta en el mismo punto de acceso para mostrarles lo fácil que es inspeccionar su tráfico web
  • Complemento de Firefox Lightbeam para mostrarles cómo las redes publicitarias los rastrean

Ahora estoy buscando más ideas / pruebas de los conceptos de hacks que son fáciles de implementar / ejecutar y muestran cómo (in) seguro está algo.

¿Qué son las buenas implementaciones de prueba de concepto para la capacitación de concienciación general sobre seguridad?

    
pregunta John D 13.02.2015 - 11:11
fuente

3 respuestas

5

Suena como si realmente pensaras en esa lección, suena realmente divertido. Solía dirigir una empresa de juegos y nuestros jugadores tenían más o menos esa edad. Esto es lo que más tratamos:

Tal vez podría dar un ejemplo de contraseñas inseguras de forzado brutal y lo sencillo que es hackear sus cuentas con contraseñas inseguras.

Tal vez podría dar un ejemplo de un keylogger que se instala a través de un archivo adjunto de correo electrónico o un applet web de Java. La mayoría de los ejemplos de esto que vi usando un "trucos" de publicidad de video de YouTube para un juego si instalaban algo, pero en realidad era solo un registrador de teclas o un RAT.

Tal vez podría dar un ejemplo de secuestro de sesión (por ejemplo, su sesión de Facebook).

Tal vez podría mostrar lo fácil que es hacer una copia de un sitio web y enviar a alguien para robar su contraseña. Por ejemplo, lo que vimos mucho son los videos de YouTube que afirman que puedes obtener contenido gratuito en un sitio web solo si ingresaste tu contraseña. Obviamente, se lo robaron :-) puedes hacerlo publicando en un foro que acepte HTML entrada en las publicaciones y agregar algo como 

<a href="http://facebook.login.example.com">Log In To Facebook</a>

Por último, quizás puedas poner algo sobre la exposición de ti mismo cuando agregues a alguien a Skype (dirección IP, quizás ubicación, etc.).

Espero que ayude!

    
respondido por el Pim de Witte 13.02.2015 - 15:00
fuente
3

Pim dio una gran respuesta sobre los aspectos de seguridad. También mencionó la privacidad, así que agregaría en una charla sobre las políticas de privacidad que tienen varias compañías y la importancia de ESO. La seguridad se trata de en quién confías con tus datos, y tampoco deberías confiar necesariamente en el proveedor.

El ejemplo perfecto es, por supuesto, estudio de manipulación del estado de ánimo de Facebook . Eso fue perfectamente legal debido a los términos y condiciones establecidos por Facebook. Estoy seguro de que algunos de ellos habían oído hablar de eso, pero no son conscientes de que aceptaron de forma inherente que Facebook haga lo que les plazca cuando se registran en Facebook.

Post Snowden, realmente no se puede hablar de privacidad sin mencionar el elefante en la sala de la NSA. No estoy seguro de cómo abordar el tema, ya que es político, pero tal vez una discusión abierta sobre lo que saben sobre la vigilancia de la NSA y cuáles son los hechos.

    
respondido por el Steve Sether 13.02.2015 - 15:36
fuente
1

Yo añadiría la seguridad del navegador. Tome una versión antigua de IE y muestre un exploit del navegador para ella en acción. Algunas personas simplemente no pueden entender que usted necesita obtener un navegador seguro o tener mucho cuidado con lo que navega, incluso si no está descargando nada.

Además, algo a destacar es el peligro de la reutilización de la contraseña. No creo que haya una buena manera de demostrarlo, pero es un tema importante.

Podría instruirles sobre los peligros de los sitios web "falsos". Por ejemplo, haga una diapositiva con las capturas de pantalla de un sitio web realmente popular como FB y un "falso" (real) de alta calidad de este, y vea cuántos de ellos pueden decir cuál es el verdadero. También puede hacer dos diapositivas con diferentes sitios web, uno "fácil" con la barra de direcciones mostrada y uno "duro" con la barra de direcciones oculta, para que sea más un desafío.

Actualizaré mi publicación si pienso en otra cosa.

    
respondido por el Mints97 20.02.2015 - 13:57
fuente

Lea otras preguntas en las etiquetas

¿Requerir múltiples contraseñas mejoraría la seguridad? Además de MBR y BIOS, ¿es posible que un rootkit permanezca persistente después de un formato del disco duro?