Az FBI gyűrűk szervezői a Defcon versenyén

A versenyszervezőket az Egyesült Államok Szövetségi Nyomozóhivatalának hívták, és a biztonsági csoportok és a Pénzügyi Szolgáltatások Információi (FS-ISAC) egy olyan iparági csoportot, amely információt nyújt a bankszektort érintő biztonsági fenyegetésekről.

"A történetek, amelyekről beszámolok, sok pénzügyi ember volt, nagyon aggasztotta, hogy mi leszünk személyes információkkal és hasonló dolgokkal foglalkozik "- mondta Chris Hadnagy, az Offensive Security ügyvezetője, aki szervezi a versenyt.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A következő három nap során a résztvevők mindent megtesznek, hogy felfedjék az adatokból mintegy 30 amerikai vállalat nyilvánosságra nem hozott listáját. A verseny a Las Vegas Riviera szállodában, egy hangszigetelt fülkével és egy hangszóróval felszerelt szobában található, így a közönség hallgatja a versenyzőket, hogy hívják a vállalatokat, és megpróbálják felmérni, hogy milyen adatokat kaphatnak a tudatlan munkavállalók.

Ez a társadalomtudomány: a művészet, hogy az embereket bocsássák az információk nyilvánosságra hozatalára és olyan dolgokra, amiket nem kellene.

A konferencia szervezőinek egy finom vonalat kell futni egy olyan versenyen, amely a valós célokra összpontosít. De az Electronic Frontier Foundation ügyvédjeivel folytatott konzultációt követően egy sor versenyszabályt és - ami még fontosabb - egy do-not-do listát találtak.

A versenyzők nem kérhetnek érzékeny adatokat vagy jelszavakat. Nem tehetik áldozataikat úgy, mintha veszélyben lennének. Nem tehetnek úgy, mintha törvénysértőek lennének, vagy általában valami rosszat érintenek. "Ha valami nem etikusnak tűnik, ne csináld, ha kérdéseid vannak, kérd meg a bíróat," a szabályok állapítják meg.

Mit tehetnek a résztvevők, hogy adatokat gyűjtenek a kevésbé érzékeny témákról, mint például: "ki a dumpster eltávolítása? aki gondoskodik a papírdarabolásról "- mondta Hadnagy.

A győztest a bírák választják ki, nemcsak az összegyűjtött adatok mennyiségéről, hanem a szociális mérnöki tevékenység általános kiválóságáról is. Az első díj: az iPad.

A biztonsági cégek gyakran adják a zöld lámpát a szociális mérnöki technikáknak az ügyfeleikkel szembeni tesztelésének módjával, hogy megvizsgálhassák, mi történhet a való világban bekövetkező események során és azonosítani tudja a gyengeségeket. Ezekben a tesztekben a biztonsági szakértők gyakran megpróbálnak behatolni biztonságos területekre, vagy becsapni az alkalmazottakat a jelszavak feladásával az adathalász e-mailekkel, a tiltott dolgokkal.

A Defcon versenyző elsődleges eszköze lesz a telefon. A versenyzőknek engedélyezniük kell az internetes felderítést a céljukon, és 20 percet kapnak a telefonfülkében, hogy felhívják a céltársaságokat, és megkísérlik a támadást.

Hadnagy a versenyt kísérletnek, fajtanak és összeállítást tervezi egy jelentés, amely elemzi, mi történik. "Elindítottuk, hogy felhívjuk a figyelmet a szociális tervezésre, és megtudjuk, mi a jó szociális mérnök." "A legegyszerűbb út a társaságba még mindig emberek."

A múlt hónapban az FS-ISAC figyelmeztetést adott a versenyre, amelyet Hadnagy blogjára küldött. "A pénzintézeteknek tisztában kell lenniük ezzel a közelgő versennyel, és tájékoztatniuk kell a személyzetüket, különösen a call centereket és a jogi osztályokat az eseményről" - mondta a tanácsadó államok.

Ugyanabban az időben Hadnagy hívott az FBI Cyber ​​Divíziójától. "Kérdésük volt arról, mi volt valójában a szándékaink, és mit csináltunk, és mi a célunk a versenyen" - mondta. A verseny szabályait továbbította az FBI-nak. "Miután átmentem rájuk, azt hiszem, ez sok kormányzati aggodalomtól megállt" - mondtaDefcon alapítója, Jeff Moss azt mondta csütörtökön, hogy néhány kérdést is küldött neki, köztük egy az FS-ISAC-t.

Nem kell aggódniuk. A célok a vállalatok a technológiai szektorból és más iparágakból származnak, de nem lesznek pénzügyi, egészségügyi, oktatási vagy kormányzati szervezetek, mondta Hadnagy.

Robert McMillan a számítógépes biztonságra és az általános technológiai hírekre összpontosít

The IDG News Service

. Kövesse Robert a Twitteren @ bobmcmillan. Robert e-mail címe [email protected]