FBI Ringe Veranstalter über Defcon Contest

A Defcon Der Wettbewerb, der die Teilnehmer dazu verleitet, Mitarbeiter von US-Unternehmen zu überlisten, um nicht so sensible Daten zu enthüllen, hat einiges an Nerven gekostet.

Die Organisatoren des Wettbewerbs wurden vom US-amerikanischen FBI aufgefordert, Warnungen der Sicherheitsgruppen und der Financial Services Information zu lesen Sharing and Analysis Center (FS-ISAC), eine Branchengruppe, die Informationen über Sicherheitsbedrohungen für die Bankindustrie bereitstellt.

"Die Geschichten, die ich bekomme, sind eine Menge Finanzleute, die wirklich besorgt waren, dass wir es sein würden auf persönliche Informationen und solche Dinge abzielen ", sagte Chris Hadnagy, Operations Manager bei Offensive Security, der den Wettbewerb organisiert. Diese Bedenken sind unbegründet, sagt er.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

In den nächsten drei Tagen werden die Teilnehmer versuchen, Daten aus einer nicht veröffentlichten Liste von etwa 30 US-Unternehmen zu finden. Der Wettbewerb wird in einem Raum im Hotel Riviera in Las Vegas stattfinden, der mit einer schalldichten Kabine und einem Lautsprecher ausgestattet ist, so dass die Teilnehmer die Teilnehmer hören und versuchen können, herauszufinden, welche Daten sie von unwissenden Mitarbeitern erhalten können.

Das ist Social Engineering: die Kunst, Menschen dazu zu verleiten, Informationen zu enthüllen und Dinge zu tun, die sie nicht tun sollten.

Die Organisatoren der Konferenz müssen bei einem Wettbewerb, der sich auf reale Ziele konzentriert, einen schmalen Grat halten. Aber nachdem sie sich mit Anwälten der Electronic Frontier Foundation beraten haben, haben sie eine Reihe von Wettbewerbsregeln und - was noch wichtiger ist - eine Do-not-Do-Liste erstellt.

Die Teilnehmer können keine sensiblen Daten oder Passwörter anfordern. Sie können ihren Opfern nicht das Gefühl geben, gefährdet zu sein. Sie können nicht vorgeben, Strafverfolgung zu sein oder generell etwas tun, was sich falsch anfühlt. "Wenn etwas unethisch erscheint, tun Sie es nicht. Wenn Sie Fragen haben, fragen Sie einen Richter", heißt es in den Regeln.

Die Teilnehmer können Daten zu weniger sensiblen Themen wie "Wer macht Ihre Müllcontainerentfernung? "Hadnagy sagte:

Der Gewinner wird von den Juroren ausgewählt, basierend nicht nur auf der Menge der gesammelten Daten, sondern auch auf der allgemeinen Exzellenz der Social-Engineering-Arbeit, sagte er. Erster Preis: ein iPad.

Sicherheitsunternehmen geben oft grünes Licht, Social-Engineering-Techniken gegen ihre Kunden einzusetzen, um zu testen, was bei einem realen Vorfall passieren könnte, und Schwachstellen zu identifizieren. Bei diesen Tests versuchen Sicherheitsexperten oft, sich in sichere Bereiche zu schleichen oder Mitarbeiter dazu zu bringen, Passwörter mit Phishing-E-Mails aufzugeben, die in diesem Wettbewerb verboten sind.

Das Hauptwerkzeug des Defcon-Teilnehmers ist das Telefon. Die Teilnehmer dürfen die Internetaufklärung ihrer Ziele durchführen, und sie erhalten 20 Minuten Telefonzelle, um die Zielunternehmen anzurufen und ihren Angriff zu versuchen.

Hadnagy sieht den Wettbewerb als ein Experiment und plant, ihn zu kompilieren Ein Bericht analysiert, was passiert. "Wir haben damit begonnen, das Bewusstsein für Social Engineering zu schärfen und einen Ort zu schaffen, an dem wir lernen können, was einen guten Social Engineer ausmacht", sagte er. "Der einfachste Weg in ein Unternehmen sind immer noch Leute."

Letzten Monat gab der FS-ISAC eine Warnung über den Wettbewerb heraus, den Hadnagy in seinem Blog veröffentlicht hat. "Finanzinstitute sollten sich über diesen bevorstehenden Wettbewerb im Klaren sein und ihre Mitarbeiter, insbesondere Call-Center und Rechtsabteilungen, über diese Veranstaltung informieren", so die Beratungsstaaten.

Etwa zur gleichen Zeit erhielt Hadnagy einen Anruf von der Cyber-Abteilung des FBI. "Sie hatten Fragen darüber, was unsere Absicht wirklich war und was wir taten und was unsere Ziele mit dem Wettbewerb waren", sagte er. Er leitete die Regeln des Wettbewerbs an das FBI weiter. "Sobald ich das an sie weitergegeben habe … Ich denke, das hat eine Menge von der Regierung Sorge gehalten", sagte er.

Defcons Gründer Jeff Moss sagte am Donnerstag, dass er auch ein paar Anfragen eingereicht habe, darunter eine vom FS-ISAC.

Sie brauchen sich keine Sorgen zu machen. Targets Unternehmen kommen aus dem Technologiesektor und anderen Branchen, aber es wird keine Finanz -, Gesundheits -, Bildungs ​​- oder Regierungsorganisationen geben, sagte Hadnagy.

Robert McMillan deckt Computersicherheit und allgemeine Technologie Brechennachrichten für IDG Nachrichtenservice. Folge Robert auf Twitter unter @bobmcmillan. Roberts E-Mail-Adresse lautet [email protected]