FBI-rengasjärjestäjät yli defcon-kilpailussa

Yhdysvaltain liittovaltion tutkintolautakunta on kutsunut kilpailun järjestäjiä ja nähneet turvallisuusryhmiä ja Financial Services Information Jakelu- ja analysointikeskuksessa (FS-ISAC), joka tarjoaa tietoa pankkialaan vaikuttavista tietoturvauhista.

"Tarinoita, jotka saan, ovat paljon taloudellisia ihmisiä, olivat todella huolissamme siitä, että aiomme olla kohdistaminen henkilökohtaisiin tietoihin ja sellaisiin tavaroihin ", sanoi kilpailun järjestäjä Chris Hadnagy, operaatiopäällikkö Offensive Security. Nämä asiat ovat perusteeton, hän sanoo.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Seuraavien kolmen päivän aikana osallistujat pyrkivät parhaansa mukaan julkaisemaan tiedot noin 30: stä Yhdysvalloissa sijaitsevasta julkistamattomasta luettelosta. Kilpailu järjestetään Las Vegas -hotellin huoneessa, joka on varustettu äänieristetyllä telakoilla ja puhujalla, joten yleisö voi kuulla kilpailijat soittavat yrityksiä ja yrittävät selvittää, mitä tietoja he voivat hankkia tahattomilta työntekijöiltä.

Tämä on sosiaalinen tekniikka: ihmisten huijaaminen tiedon luovuttamiseen ja asioiden hoitamiseen, joita heidän ei pitäisi.

Konferenssin järjestäjillä on oltava hieno linja kilpailun järjestämisessä, joka keskittyy todellisiin tavoitteisiin. Mutta elektronisten raja-arvosäätiöiden kanssa neuvoteltuaan he ovat keksineet joukon kilpailusääntöjä ja - mikä vielä tärkeämpää - tekemättä jättävää luetteloa.

Kilpailijat eivät voi pyytää arkaluonteisia tietoja tai salasanoja. He eivät voi uhriensa tuntua olevan vaarassa. He eivät voi teeskennellä lainvalvontaa tai yleensä tehdä mitään, mikä tuntuu väärältä. "Jos jotain vaikuttaa epäeettiseltä - älä tee sitä. Jos sinulla on kysyttävää, pyydä tuomaria," säännöt sanovat.

Mitä osanottajat voivat tehdä, on kerätä tietoja vähemmän arkaluonteisista aiheista, kuten "kuka tekee hylkäämisen; joka huolehtii paperiromuksi ", Hadnagy sanoi.

Tuomarit valitsevat tuomarit, jotka perustuvat paitsi kerättyjen tietojen määrään myös sosiaalisen suunnittelun yleiseen huippuosaamiseen, hän sanoi. Ensisijainen palkinto: iPad.

Tietoturvayritykset antavat usein vihreää valoa sosiaalisten tekniikoiden käyttämiseen asiakkaitaan vastaan ​​tapana testata, mitä tapahtuu reaalimaailmassa ja tunnistaa heikkouksia. Näissä kokeissa tietoturva-asiantuntijat yrittävät usein hiipua turvallisiin alueisiin tai huijata työntekijöitä luopumaan salasanoista phishing-sähköpostilla, mikä on kiellettyä tässä kilpailussa.

Defcon-kilpailijan ensisijainen työkalu on puhelin. Kilpailijat ovat saaneet tehdä Internet-tiedusteluja tavoitteistaan, ja he saavat 20 minuuttia puhelinkodissa soittamaan kohdeyrityksiä ja yrittämään hyökkäyksensä.

Hadnagy näkee kilpailun kokeeksi, lajista ja suunnitelmista kääntää raportti, jossa analysoidaan, mitä tapahtuu. "Aloitimme sen nostamalla tietoisuutta sosiaalisen suunnittelun puolesta ja antamalla paikka oppia, mikä tekee hyvän sosiaalisen insinöörin", hän sanoi. "Helpoin reitti yritykseen on edelleen ihmisiä."

Viime kuussa FS-ISAC antoi varoituksen kilpailusta, jonka Hadnagy lähetti blogiinsa. "Rahoituslaitosten pitäisi olla tietoisia tästä tulevasta kilpailusta, ja heidän tulee kertoa henkilökunnalleen, erityisesti puhelinkeskuksille ja oikeudellisille osastoille," [

]. Samaan aikaan Hadnagy sai puhelun FBI: n Cyber-divisioonaan. "Heillä oli kysymyksiä siitä, mitä tarkoituksemme oli ja mitä olimme tekemässä ja mitä tavoitteemme olivat kilpailun parissa", hän sanoi. Hän välitti kilpailun säännöt FBI: lle. "Kun minä ohitin sen läpi heille … luulen, että se lopetti paljon hallituksen huolenaiheita", hän sanoiDefconin perustaja Jeff Moss totesi torstaina, että hän on lähettänyt muutaman kyselyn, myös yhden FS-ISAC: n.

He eivät tarvitse huolehtia.

Robert McMillan kattaa tietokoneiden tietoturvan ja yleisen teknologian uutiset

The IDG-uutispalvelu

. Seuraa Robertin Twitterissä osoitteessa @bobmcmillan. Robertin sähköpostiosoite on [email protected]