Organizátoři FBI kroužků nad soutěží Defcon

Organizátoři soutěží byli povoláni Federálním úřadem pro vyšetřování a viděli varování vydaná bezpečnostními skupinami a informacemi o finančních službách Sdílení a analytické centrum (FS-ISAC), která poskytuje informace o bezpečnostních hrozbách, které ovlivňují bankovní průmysl.

"Příběhy, které dostávám, jsou spousta finančních lidí, kteří se skutečně obávali, že se chystáme být zaměřením na osobní informace a podobně, "řekl Chris Hadnagy, provozní manažer s ofenzivní bezpečností, který organizuje soutěž.

Během příštích tří dnů se účastníci pokusí vyřešit data z nezveřejněného seznamu přibližně 30 společností ve Spojených státech. Soutěž se bude konat v místnosti hotelu Riviera v Las Vegas vybavené zvukotěsnou kabinou a reproduktorem, takže publikum může slyšet, že soutěžící volají společnosti a snaží se vyvádět, jaké údaje mohou získat od neznalých zaměstnanců.

Toto je sociální inženýrství: umění podvádět lidi k tomu, aby odhalili informace a činili věci, které by neměly.

Organizátoři konference musí chodit po dobré linii v soutěži, která se zaměřuje na cíle v reálném světě. Po konzultaci s advokáty Electronic Frontier Foundation však přijali sadu pravidel soutěží a - což je důležitější - seznam nevyhovujících.

Soutěžící nemohou žádat o citlivé údaje nebo hesla. Nemohou své oběti připadat, že jsou ohroženy. Nemohou předstírat, že jsou orgány činnými v trestním řízení nebo obecně dělají něco, co je špatné. "Pokud se něco zdá neetické - nedělejte to. Pokud máte nějaké dotazy, zeptat se soudce," říká pravidla.

Co mohou účastníci udělat, je shromažďovat údaje o méně citlivých tématech, jako "kdo dělá odstranění dumpsteru? který se postará o vaše skartace papíru, "řekl Hadnagy.

Vítěz bude vybrán soudci, založený nejen na množství shromážděných údajů, ale také na všeobecné dokonalosti práce sociálního inženýrství. První věc: iPad.

Bezpečnostní společnosti často dávají zelenou, aby používaly techniky sociálního inženýrství proti svým klientům jako způsob, jak otestovat, co se může stát v incidentu v reálném světě, a určit slabiny. V těchto testech se bezpečnostní experti často pokoušejí proniknout do bezpečných oblastí nebo se pokusit, aby se zaměstnanci vzdali hesel s phishingovými e-maily, což je zakázáno v této soutěži.

Primárním nástrojem soutěže Defcon bude telefon. Soutěžící mají povoleno provádět internetové průzkumy o svých cílech a dostanou za 20 minut telefonní budovu, aby zavolali cílové společnosti a pokusili se o útok.

Hadnagy vidí soutěž jako experiment, nejrůznější a plánuje sestavit zpráva analyzující, co se stane. "Začali jsme to zvýšit povědomí o sociálním inženýrství a dát místo, kde se dozvíme, co dělá dobrého sociálního inženýra," řekl. "Nejjednodušší cesta do společnosti je stále lidé."

Minulý měsíc FS-ISAC vydal varování o soutěži, kterou Hadnagy zveřejnil na svém blogu. "Finanční instituce by si měly být vědomy této nadcházející soutěže a měly by informovat své zaměstnance, zejména telefonní centra a právní oddělení týkající se této události."

V témže okamžiku dostal Hadnagy telefonní divizi FBI. "Měli otázky o tom, jaký je náš záměr opravdu a co děláme a jaké byly naše cíle s touto soutěží," řekl. Předal pravidla soutěže FBI. "Jakmile jsem jim to prošel kolem … Myslím, že to zastavilo hodně zájmů vlády," řekl.

Defconův zakladatel Jeff Moss ve čtvrtek uvedl, že má několik dotazů, včetně jednoho z FS-ISAC.

Nemusí se bát. Cíle společnosti budou pocházet z technologického sektoru a dalších průmyslových odvětví, ale nebude tam žádná finanční, zdravotní péče, vzdělávací nebo vládní organizace, řekl Hadnagy. Robert McMillan pokrývá počítačové bezpečnosti a obecné technologie nejnovější zprávy pro IDG News Service