Quali sono le buone implementazioni proof-of-concept per la formazione sulla sensibilizzazione alla sicurezza generale?

Naviga le tue risposte
5

Presenterò una presentazione su "cyber security" a una classe scolastica di 16enni e voglio mostrare loro come funziona la sicurezza di rete, quanto è importante la privacy (e perché è importante) e come proteggersi online.

A parte le diapositive (statiche) generali sull'argomento, voglio mostrarle in modo visivamente accattivante e comprensibile su come "hacking", tracciamento per pubblicità e phishing.

Finora ho preparato:

  • Un hotspot WiFi con mitmproxy in esecuzione per intercettare un messaggio WhatsApp inviato da un telefono preparato
  • Wireshark in esecuzione sullo stesso hotspot per mostrare loro quanto sia facile ispezionare il loro traffico web
  • Componente di Firefox Lightbeam per mostrare loro come le reti pubblicitarie le rintracciano

Ora sto cercando altre idee / prove di concetti di hack che siano facili da implementare / eseguire e mostrare come sia (in) sicuro.

Quali sono le migliori implementazioni proof-of-concept per la formazione sulla sensibilizzazione alla sicurezza generale?

    
posta John D 13.02.2015 - 11:11
fonte

3 risposte

5

Sembra che tu abbia davvero pensato a quella lezione, sembra davvero divertente. Dirigevo una società di gioco e i nostri giocatori avevano circa quell'età. Ecco di cosa ci siamo occupati di più:

Forse potresti dare un esempio di forzatura bruta delle password non sicure e quanto sia semplice hackerare i tuoi account con password non sicure.

Forse potresti dare un esempio di un Registratore di tasti che viene installato tramite un allegato di posta elettronica o un'applet web java. La maggior parte degli esempi di questo ho visto usando un video pubblicitario di YouTube "cheat" per un gioco se installano qualcosa ma in realtà era solo un keylogger o un RAT.

Forse potresti dare un esempio di dirottamento di sessione (ad esempio la loro sessione di Facebook.

Forse potresti dimostrare quanto sia facile creare una copia di un sito web e mandare qualcuno a rubare la password. Ad esempio, quello che abbiamo visto molto è il video di YouTube che afferma che puoi ottenere materiale gratuito su un sito web solo se hai inserito la tua password .. ovviamente hanno rubato il materiale :-) puoi farlo creando un post su un forum che accetta HTML inserisci i post e aggiungi qualcosa come 

<a href="http://facebook.login.example.com">Log In To Facebook</a>

Infine, forse puoi mettere qualcosa sull'esposizione di te stesso quando aggiungi qualcuno su Skype (indirizzo IP, forse posizione, ecc.)

Spero che ti aiuti!

    
risposta data 13.02.2015 - 15:00
fonte
3

Pim ha dato una grande risposta sugli aspetti di sicurezza. Hai menzionato anche la privacy, quindi aggiungerei un discorso sulle politiche sulla privacy che hanno varie aziende e sull'importanza di QUESTO. La sicurezza riguarda chi ti fidi dei tuoi dati e non devi necessariamente fidarti del fornitore.

L'esempio perfetto è naturalmente Studio di manipolazione dell'umore di Facebook . Questo era perfettamente legale a causa dei termini e delle condizioni stabilite da Facebook. Sono sicuro che alcuni di loro ne avessero sentito parlare, ma non sono consapevoli del fatto che sono stati concordi nell'accettare a Facebook di fare quello che preferiscono quando si iscrivono a Facebook.

Post Snowden, non si può davvero parlare di privacy senza menzionare l'elefante nella stanza della NSA. Non sono sicuro di come affrontare al meglio quell'argomento, in quanto è politico, ma forse una discussione aperta su ciò che sanno della sorveglianza della NSA e quali sono i fatti.

    
risposta data 13.02.2015 - 15:36
fonte
1

Aggiungerei la sicurezza del browser. Prendi una vecchia versione di IE e mostra un exploit del browser in azione. Alcune persone non riescono a capire che devi avere un browser sicuro o essere molto attento a ciò che sfogli, anche se non stai scaricando nulla.

Inoltre, qualcosa da sottolineare è il pericolo del riutilizzo della password. Non penso che ci sia un buon modo per dimostrarlo, ma è un argomento importante.

Potresti istruirli sui pericoli dei siti web "finti". Ad esempio, crea una diapositiva con gli screenshot di un vero sito web popolare come FB e un "vero" falso (di alta qualità) di alta qualità, e vedi quanti di loro sono in grado di capire qual è il vero. Puoi anche creare due diapositive con diversi siti web, una "facile" con la barra degli indirizzi visualizzata e una "difficile" con la barra degli indirizzi nascosta, per renderla più difficile.

Aggiornerò il mio post se penso a qualsiasi altra cosa.

    
risposta data 20.02.2015 - 13:57
fonte

Leggi altre domande sui tag

Quanto costa l'entropia di una password generata a caso ridotta se mi rigenero fino a quando non ottengo una password che mi piace? [duplicare] Qualsiasi motivo per non crittografare un valore di 32 byte eseguendo XOR con un hash PBKDF2?