Organizatorii Fingului FBI peste Concursul Defcon

Organizatorii concursurilor au fost chemați de către Biroul Federal de Investigații al Statelor Unite și au văzut avertismentele emise de grupurile de securitate și informațiile despre serviciile financiare Centrul de distribuire și analiză (FS-ISAC), un grup din industrie care oferă informații despre amenințările la adresa securității care afectează industria bancară.

"Poveștile pe care le primesc sunt o mulțime de oameni financiari care erau cu adevărat îngrijorați de faptul că urma să fim care vizează informații personale și așa ceva ", a declarat Chris Hadnagy, managerul de operațiuni cu ofensiva de securitate, care organizează concursul. Aceste întrebări sunt nefondate

În următoarele trei zile, participanții vor încerca să distrugă datele dintr-o listă nedeclarată de aproximativ 30 de companii din S.U.A. Concursul va avea loc într-o cameră din hotelul Riviera din Las Vegas, prevăzut cu o cabină izolată fonic și un difuzor, astfel încât audiența să poată auzi concurenții să cheme companii și să încerce să distrugă ce date pot obține de la angajații care nu-și dau seama.

Aceasta este ingineria socială: arta de a păcăli oamenii în a dezvălui informații și de a face lucruri pe care nu ar trebui să le facă.

Organizatorii conferinței trebuie să meargă pe o linie fină în desfășurarea unui concurs care se concentrează asupra obiectivelor lumii reale. Dar, după consultarea avocaților Fundației Electronic Frontier Foundation, au venit cu un set de reguli de concurs și, mai important, cu o listă "do-not-do".

Concurenții nu pot cere date sau parole sensibile. Nu-și pot face victimele să se simtă ca și cum ar fi în pericol. Nu pot pretinde că sunt organe de drept sau, în general, fac ceva care se simte greșit. "Dacă ceva pare neetic, nu o faceți. Dacă aveți întrebări, adresați-vă unui judecător", afirmă regulile.

Ceea ce participanții pot face sunt să colecteze date despre subiecți mai puțin sensibili, cum ar fi: "cine elimină cuțitul; care are grijă de distrugerea hârtiei ", a spus Hadnagy.

Câștigătorul va fi selectat de judecători, bazat nu numai pe cantitatea de date colectate, ci și pe excelența generală a lucrărilor de inginerie socială, a spus el. Premiul I: un iPad

Companiile de securitate dau adesea lumina verde pentru a folosi tehnici de inginerie sociala impotriva clientilor lor ca o modalitate de a testa ce s-ar putea intampla intr-un incident din lumea reala si de a identifica punctele slabe. În aceste teste, experții în securitate vor încerca adesea să se strecoare în zone sigure sau să-i înșele pe angajați să renunțe la parole cu e-mailuri de phishing, lucruri care sunt interzise în acest concurs.

Instrumentul principal al concurentului Defcon va fi telefonul. Concurentului li sa permis să facă recunoaștere pe Internet a obiectivelor sale și va primi 20 de minute în cabina telefonică pentru a apela companiile țintă și pentru a încerca atacul lor.

Hadnagy vede concursul ca un experiment, de felul lui, și intenționează să compileze un raport care analizează ce se întâmplă. "Am început să creștem gradul de conștientizare pentru ingineria socială și să oferim un loc pentru a afla ce face un bun inginer social", a spus el. "Cea mai ușoară rută într-o companie este încă oameni."

Luna trecută, FS-ISAC a emis un avertisment despre concurs, pe care Hadnagy la postat pe blogul său. "Instituțiile financiare ar trebui să fie conștiente de acest viitor concurs și ar trebui să-și informeze personalul, în special despre centrele de apel și departamentele juridice cu privire la acest eveniment", au spus consultanții.

În același timp, Hadnagy a primit un apel de la Divizia Cyber ​​a FBI. "Au avut întrebări cu privire la intenția noastră și la ceea ce făceam și ce scopuri aveam cu concursul", a spus el. El a transmis regulile concursului la FBI. "Odată ce mi-am trecut prin asta … cred că a oprit multă preocupare guvernamentală", a spus elFondatorul companiei Defcon, Jeff Moss, a declarat joi că a lansat și câteva întrebări, inclusiv unul din FS-ISAC.

Nu trebuie să vă faceți griji. Companiile vizate vor veni din sectorul tehnologic și din alte industrii, dar nu vor exista organizații financiare, de sănătate, educaționale sau guvernamentale, a spus Hadnagy.

Robert McMillan acoperă securitatea informatică și știrile generale de ultimă oră pentru

Serviciul de știri IDG

. Urmați pe Robert pe Twitter la @ bobmcmillan. Adresa de e-mail a lui Robert este [email protected]