Organizatorzy FBI organizują konkurs Defcon

Defcon konkurs, który zachęca uczestników do oszukiwania pracowników amerykańskich korporacji w celu ujawnienia niezbyt wrażliwych danych, które wstrząsnęły pewnymi nerwami.

Organizatorzy konkursu zostali wezwani przez Federalne Biuro Śledcze USA i widzieli ostrzeżenia wydane przez grupy bezpieczeństwa i informacje o usługach finansowych Sharing and Analysis Center, (FS-ISAC), grupa branżowa, która dostarcza informacji na temat zagrożeń bezpieczeństwa wpływających na sektor bankowy.

"Historie, które dostaję, to wielu finansowych ludzi, którzy naprawdę martwili się, że będziemy targetowanie danych osobowych i podobnych rzeczy "- powiedział Chris Hadnagy, kierownik operacyjny w firmie Offensive Security, który organizuje konkurs. Te obawy są bezpodstawne, mówi.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z Windows]

Przez następne trzy dni uczestnicy spróbują jak najlepiej, aby wydobyć dane z niejawnej listy około 30 firm z USA. Konkurs odbędzie się w pokoju w hotelu Riviera w Las Vegas, wyposażonym w dźwiękoszczelne kabiny i głośnik, dzięki czemu publiczność będzie mogła usłyszeć, jak zawodnicy dzwonią do firm i próbują wyłuskać dane, które mogą uzyskać od nieświadomych pracowników.

To jest inżynieria społeczna: sztuka oszukiwania ludzi w ujawnianiu informacji i robieniu rzeczy, których nie powinni.

Organizatorzy konferencji muszą przejść cienką linię, prowadząc konkurs, który koncentruje się na rzeczywistych celach. Ale po konsultacjach z prawnikami z Electronic Frontier Foundation opracowali zestaw reguł konkursowych i - co ważniejsze - listę nieczynnych zadań.

Uczestnicy nie mogą prosić o poufne dane ani hasła. Nie mogą sprawić, by ofiary czuły się zagrożone. Nie mogą udawać, że są organami ścigania lub ogólnie robią wszystko, co wydaje się niesłuszne. "Jeśli coś wydaje się nieetyczne - nie rób tego. Jeśli masz pytania, zapytaj sędziego", zasady mówią.

Co uczestnicy mogą zrobić, to zebrać dane na mniej wrażliwych tematach, takich jak: "kto usuwa twój śmietnik; który zajmuje się rozdrabnianiem papieru, "powiedział Hadnagy.

Zwycięzca zostanie wybrany przez sędziów, w oparciu nie tylko o ilość zebranych danych, ale także o ogólną doskonałość pracy inżynierii społecznej, powiedział. Pierwsza nagroda: iPad.

Firmy zajmujące się bezpieczeństwem często dają zielone światło do stosowania technik inżynierii społecznej wobec swoich klientów jako sposób na przetestowanie tego, co może się wydarzyć podczas incydentu w świecie rzeczywistym i zidentyfikowanie słabych punktów. W tych testach eksperci ds. Bezpieczeństwa często próbują wkraść się do bezpiecznych obszarów lub nakłonić pracowników do rezygnacji z haseł za pomocą wiadomości e-mail wyłudzających informacje, rzeczy, które są zabronione w tym konkursie.

Głównym narzędziem uczestnika Defcon będzie telefon. Uczestnicy mogli wykonać rozpoznanie internetowe na swoich celach, a oni otrzymają 20 minut w budce telefonicznej, aby zadzwonić do firm docelowych i spróbować ich ataku.

Hadnagy widzi konkurs jako rodzaj eksperymentu i plany kompilacji raport analizujący, co się dzieje. "Rozpoczęliśmy to, aby podnieść świadomość w zakresie inżynierii społecznej i dać miejsce do nauki, co czyni dobrego inżyniera społecznego" - powiedział. "Najłatwiejszą drogą do firmy są nadal ludzie."

W zeszłym miesiącu FS-ISAC wydał ostrzeżenie o konkursie, który Hadnagy zamieścił na swoim blogu. "Instytucje finansowe powinny zdawać sobie sprawę z tego zbliżającego się konkursu i powinny poinformować o tym personel, w szczególności centra telefoniczne i działy prawne dotyczące tego wydarzenia" - mówi doradca.

Mniej więcej w tym samym czasie Hadnagy otrzymała telefon od Wydziału Cyber ​​FBI. "Mieli pytania o to, jaki naprawdę był nasz zamiar i co robiliśmy oraz jakie były nasze cele w związku z konkursem" - powiedział. Przekazał zasady konkursu do FBI. "Kiedy je przekazałem … Myślę, że powstrzymało to wiele obaw rządu", powiedział.

Założyciel Defcon, Jeff Moss, powiedział w czwartek, że zadał kilka pytań, w tym jeden z FS-ISAC.

Nie muszą się martwić. Docelowe firmy będą pochodzić z sektora technologicznego i innych branż, ale nie będzie żadnych organizacji finansowych, opieki zdrowotnej, edukacyjnych ani rządowych, powiedział Hadnagy.

Robert McMillan zajmuje się bezpieczeństwem komputerowym i wiadomościami na temat przełomowych technologii dla IDG News Service. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]