Организаторы FBI по конкурсу Defcon

Defcon конкурс, который приглашает конкурсантов обмануть сотрудников американских корпораций в выявление не очень чувствительных данных, вызвал некоторые нервы.

Организаторы конкурса были вызваны Федеральным бюро расследований США и увидели предупреждения, выпущенные группами безопасности и информацией о финансовых услугах Центр обмена и анализа (FS-ISAC) - отраслевая группа, предоставляющая информацию об угрозах безопасности, влияющих на банковскую отрасль.

«Истории, которые я получаю, - это много финансовых людей, которые действительно были обеспокоены тем, что мы собираемся нацеливаясь на личную информацию и тому подобное », - сказал Крис Хаднаги, менеджер по операциям с наступательной безопасностью, который организует конкурс.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

В течение следующих трех дней участники будут стараться изо всех сил извлечь данные из нераскрытого списка примерно из 30 компаний США. Конкурс пройдет в комнате в отеле Riviera в Лас-Вегасе, оборудованной звуконепроницаемой кабиной и динамиком, поэтому аудитория может услышать, как конкурсанты звонят в компании и пытаются подсказать, какие данные они могут получить от невольных сотрудников.

Это социальная инженерия: искусство обманывать людей в раскрытии информации и делать то, чего они не должны.

Организаторы конференции должны пройти тонкую грань в проведении конкурса, ориентированного на реальные цели. Но после консультаций с юристами Electronic Frontier Foundation они разработали ряд правил конкурса и, что еще важнее, список дел.

Участники не могут запрашивать конфиденциальные данные или пароли. Они не могут заставить своих жертв чувствовать себя в опасности. Они не могут претендовать на правоприменение или вообще делают что-либо, что кажется неправильным. «Если что-то кажется неэтичным - не делайте этого, если у вас есть вопросы, спросите судью», - говорится в правилах.

Участники могут собирать данные по менее чувствительным темам, таким как «кто удаляет вашу мусорную корзину; который заботится о вашем измельчении бумаги », - сказал Хаднаги.

Победитель будет выбран судьями, основываясь не только на количестве собранных данных, но и на общем превосходстве работы в области социальной инженерии, сказал он. Первый приз: iPad.

Компании безопасности часто дают зеленый свет использовать методы социальной инженерии для своих клиентов, чтобы проверить, что может произойти в реальном мире и выявить недостатки. В этих тестах эксперты по безопасности часто пытаются проникнуть в безопасные зоны или заставить сотрудников отказаться от паролей с фишинговыми электронными письмами, которые запрещены в этом конкурсе.

Основным инструментом конкурса Defcon будет телефон. Участникам было разрешено проводить рекогносцировку в Интернете по их целям, и они получат 20 минут в телефонной будке, чтобы вызвать целевые компании и попытаться атаковать.

Хаднаги рассматривает конкурс как своего рода эксперимент и планирует скомпилировать отчет о том, что происходит. «Мы начали работу над повышением осведомленности о социальной инженерии и предоставили возможность узнать, что делает хорошим социальным инженером», - сказал он. «Самый простой путь в компанию - это люди».

В прошлом месяце FS-ISAC опубликовал предупреждение о конкурсе, который Хаднаги опубликовал в своем блоге. «Финансовые учреждения должны знать об этом предстоящем конкурсе и должны сообщать своим сотрудникам, особенно колл-центрам и юридическим отделам, относительно этого события», - говорится в рекомендациях.

Примерно в то же время Хаднаги получил звонок от Кибер-отдела ФБР. «У них были вопросы о том, каковы наши намерения и что мы делаем, и каковы наши цели в этом конкурсе», - сказал он. Он направил правила конкурса в ФБР. «Как только я передал это через них … Я думаю, что это остановило много беспокойства со стороны правительства», - сказал он.

Основатель Defcon Джефф Мосс в четверг заявил, что он также опубликовал несколько запросов, в том числе один из FS-ISAC.

Им не нужно беспокоиться. Цели компаний будут поступать из сектора технологий и других отраслей, но не будет никаких финансовых, медицинских, образовательных или правительственных организаций, сказал Хаднаги.

Роберт Макмиллан покрывает компьютерную безопасность и общие технологии, новости для Служба новостей IDG. Следуйте за Робертом в Твиттере в @bobmcmillan. Адрес электронной почты Роберта: [email protected]