FBI Rings Arrangører Over Defcon Contest

A Defcon konkurrence, der inviterer deltagere til at narre ansatte hos amerikanske virksomheder til at afsløre ikke-så-følsomme data har rattlet nogle nerver.

Konkurrenceorganisatører er blevet kaldt af US Federal Bureau of Investigation og set advarsler udstedt af sikkerhedsgrupper og Financial Services Information Deling og analysecenter, (FS-ISAC), en industrigruppe, der giver information om sikkerhedstrusler, der påvirker banksektoren.

"De historier, jeg får, er mange økonomiske folk, var virkelig bekymret over, at vi skulle være målrettet mod personlige oplysninger og ting som det, "sagde Chris Hadnagy, operationschef med Offensive Security, som organiserer konkurrencen. Disse bekymringer er ubegrundede, siger han.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

I løbet af de næste tre dage vil deltagerne gøre deres bedste for at fjerne data fra en ikke-offentliggjort liste over ca. 30 amerikanske virksomheder. Konkurrencen finder sted i et værelse på Riviera-hotellet i Las Vegas, der er indrettet med en lydisoleret kabine og en højttaler, så et publikum kan høre deltagerne ringe til virksomheder og forsøge at skelne ud, hvilke data de kan få fra uvidende medarbejdere.

Dette er social engineering: kunsten at narre folk til at udbrede information og gøre ting, som de ikke bør.

Konferencearrangører skal gå en fin linje i at køre en konkurrence, der fokuserer på mål i virkeligheden. Men efter at have konsulteret med Electronic Frontier Foundation-advokater, har de fået et sæt konkurrenceregler og - endnu vigtigere - en gør-ikke-liste.

Deltagerne kan ikke bede om følsomme data eller adgangskoder. De kan ikke få deres ofre til at føle, at de er i fare. De kan ikke lade lide at være retshåndhævelse eller generelt gøre noget, der føles forkert. "Hvis noget synes uetisk - gør det ikke. Hvis du har spørgsmål, spørg en dommer", siger reglerne.

Hvilke deltagere kan gøre er at indsamle data om mindre følsomme emner som "hvem fjerner din dumpster hvem tager sig af din papirstrimning, "sagde Hadnagy.

Vinderen udvælges af dommere, der ikke kun er baseret på mængden af ​​indsamlede data, men også den generelle ekspertise inden for social ingeniørarbejde. Første pris: en iPad.

Sikkerhedsfirmaer giver ofte det grønne lys til at bruge sociale ingeniørteknikker mod deres kunder som en måde at teste på, hvad der kan ske i en virkelighedshændelse og identificere svagheder. I disse test forsøger sikkerhedseksperter ofte at snige sig ind i sikre områder eller lure medarbejdere til at give op adgangskoder med phishing-emails, ting der er forbudt i denne konkurrence.

Defcon-deltagerens primære værktøj vil være telefonen. Deltagerne har fået lov til at foretage internetrekognoscering på deres mål, og de vil få 20 minutter i telefonboks til at ringe målvirksomhederne og forsøge deres angreb. Hadnagy ser konkurrencen som et eksperiment af slags og planlægger at kompilere en rapport, der analyserer hvad der sker "Vi startede det med at øge bevidstheden om social teknik og give et sted at lære, hvad der gør en god social ingeniør," sagde han. "Den nemmeste rute til et firma er stadig folk."

I sidste måned udstedte FS-ISAC en advarsel om konkurrencen, som Hadnagy skrev på sin blog. "Finansielle institutioner bør være opmærksomme på denne kommende konkurrence og bør kortlægge deres personale, især call centre og juridiske afdelinger vedrørende denne begivenhed," de rådgivende stater.

Omkring samme tid fik Hadnagy et opkald fra FBIs Cyber ​​Division. "De havde spørgsmål om, hvad vores hensigt virkelig var, og hvad vi gjorde og hvad vores mål var med konkurrencen," sagde han. Han videresendte konkurrencereglerne til FBI. "Når jeg passerede det igennem til dem … tror jeg, at det stoppede en masse regeringens bekymring," sagde han.

Defcons grundlægger Jeff Moss sagde torsdag, at han også har udfyldt nogle få henvendelser, herunder en fra FS-ISAC.

De behøver ikke bekymre sig. Mål virksomheder vil komme fra teknologisektoren og andre industrier, men der vil ikke være nogen økonomiske, sundhedsmæssige, uddannelsesmæssige eller statslige organisationer, sagde Hadnagy.

Robert McMillan dækker computersikkerhed og generel teknologi breaking news for

The IDG News Service. Følg Robert på Twitter på @bobmcmillan. Roberts e-mail-adresse er [email protected]