FBI Rings Arrangørene Over Defcon Contest

A Defcon konkurranse som inviterer deltakerne til å lure ansatte hos amerikanske selskaper til å avsløre ikke-så-sensitive data har rattlet noen nerver.

Konkurransearrangørene er blitt kalt av US Federal Bureau of Investigation og sett advarsler utstedt av sikkerhetsgrupper og Financial Services Information Deling og analyse senter, (FS-ISAC) en industrigruppe som gir informasjon om sikkerhetstrusler som påvirker bankindustrien.

"Historiene jeg får er mange økonomiske mennesker, var veldig opptatt av at vi skulle være målrettet mot personlig informasjon og ting som det, sier Chris Hadnagy, driftsleder med Offensive Security, som organiserer konkurransen. Disse bekymringene er ubegrunnet, sier han.

[Ytterligere lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

I løpet av de neste tre dagene vil deltakerne gjøre sitt beste for å avdekke data fra en ikke-avslørt liste med rundt 30 amerikanske selskaper. Konkurransen vil finne sted i et rom på Riviera-hotellet i Las Vegas, innredet med en lydisolert booth og en høyttaler, slik at et publikum kan høre deltagerne ringe til selskaper og forsøke å skille ut hvilke data de kan få fra ufrivillige medarbeidere.

Dette er sosialteknikk: kunsten å lure folk til å avsløre informasjon og gjøre ting som de ikke bør.

Konferansearrangører må gå en fin linje i å drive en konkurranse som fokuserer på virkelige mål. Men etter å ha konsultert med Electronic Frontier Foundation-advokater, har de kommet opp med et sett med konkurransebestemmelser og - enda viktigere - en gjør-ikke-liste.

Deltakerne kan ikke be om sensitive data eller passord. De kan ikke få sine ofre til å føle at de er i fare. De kan ikke late som å være rettshåndhevelse eller generelt gjøre noe som føles feil. "Hvis noe virker uetisk - ikke gjør det. Hvis du har spørsmål, spør en dommer," sier reglene.

Hvilke deltakere kan gjøre er å samle inn data om mindre følsomme emner som "hvem tar bort dumperen din; hvem tar vare på papirklippingen din, "sa Hadnagy.

Vinneren vil bli valgt av dommere, ikke bare basert på mengden data samlet, men også den generelle ekspertisen til det sosiale ingeniørarbeidet, sa han. Første pris: en iPad.

Sikkerhetsselskaper gir ofte det grønne lyset å bruke sosialteknikkteknikker mot sine kunder som en måte å teste på hva som kan skje i en virkelighetshendelse og identifisere svakheter. I disse testene vil sikkerhetseksperter ofte prøve å snike seg inn i sikre områder eller lure ansatte til å gi opp passord med phishing-e-post, ting som er forbudt i denne konkurransen.

Defcon-konkurrentens primære verktøy vil være telefonen. Deltakerne har fått lov til å gjøre internasjonal rekognosering på sine mål, og de vil få 20 minutter i telefonboks til å ringe målfirmaene og forsøke deres angrep. Hadnagy ser konkurransen som et eksperiment av forskjellige slag og planlegger å kompilere en rapport som analyserer hva som skjer. "Vi startet opp med å øke bevisstheten for sosialteknikk og gi et sted å lære hva som gjør en god sosialingeniør," sa han. "Den enkleste ruten til et selskap er fortsatt folk."

I fjor ga FS-ISAC en advarsel om konkurransen, som Hadnagy postet på bloggen sin. "Finansinstitusjoner bør være oppmerksomme på denne kommende konkurransen, og bør kortlegge sitt personell, spesielt call centers og juridiske avdelinger om denne hendelsen," de rådgivende stater. "Omkring samme tid, Hadnagy ringte fra FBIs Cyber ​​Division. "De hadde spørsmål om hva vår hensikt virkelig var og hva vi gjorde og hva våre mål var i konkurransen," sa han. Han videresendte konkurransens regler til FBI. "Når jeg passerte det gjennom til dem … tror jeg det stoppet mye av regjeringens bekymring," sa han.

Defcon grunnlegger Jeff Moss sa torsdag at han også har gitt noen få henvendelser, inkludert en fra FS-ISAC.

De trenger ikke bekymre seg. Mål selskaper vil komme fra teknologisektoren og andre næringer, men det vil ikke være noen finans-, helsevesen, utdannings- eller regjeringsorganisasjoner, sa Hadnagy.

Robert McMillan dekker datasikkerhet og generell teknologi som bryter nyheter for

The IDG News Service

. Følg Robert på Twitter på @bobmcmillan. Roberts e-postadresse er [email protected]