Διοργανωτές Δαχτυλιδιών FBI μέσω διαγωνισμού Defcon

Οι διοργανωτές του διαγωνισμού κλήθηκαν από το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ και είδαν τις προειδοποιήσεις που εξέδωσαν ομάδες ασφαλείας και τις πληροφορίες για τις χρηματοπιστωτικές υπηρεσίες (FS-ISAC) είναι μια βιομηχανική ομάδα που παρέχει πληροφορίες σχετικά με απειλές για την ασφάλεια που επηρεάζουν τον τραπεζικό κλάδο.

"Οι ιστορίες που παίρνω είναι πολλοί οικονομικοί άνθρωποι ανησυχούσαν πραγματικά ότι επρόκειτο να είμαστε στοχεύοντας σε προσωπικές πληροφορίες και σε τέτοια πράγματα », δήλωσε ο Chris Hadnagy, ο διαχειριστής επιχειρήσεων με το Offensive Security, ο οποίος διοργανώνει τον διαγωνισμό.

Κατά τη διάρκεια των επόμενων τριών ημερών, οι συμμετέχοντες θα προσπαθήσουν να αποτυπώσουν τα δεδομένα τους από μια μη ανακοινωμένη λίστα περίπου 30 αμερικανικών εταιρειών. Ο διαγωνισμός θα διεξαχθεί σε ένα δωμάτιο στο ξενοδοχείο Riviera στο Λας Βέγκας, το οποίο θα είναι εξοπλισμένο με ηχομόνωση και ηχείο, έτσι ώστε το ακροατήριο να μπορεί να ακούσει τους διαγωνιζόμενους να καλέσουν εταιρείες και να προσπαθήσουν να εξαπατήσουν τα στοιχεία που μπορούν να πάρουν από τους άδηλους υπαλλήλους.

Αυτή είναι η κοινωνική μηχανική: η τέχνη του να εξαπατάς τους ανθρώπους να αποκαλύπτουν πληροφορίες και να κάνουν πράγματα που δεν πρέπει.

Οι διοργανωτές του συνεδρίου πρέπει να περπατήσουν μια λεπτή γραμμή στη διοργάνωση ενός διαγωνισμού που επικεντρώνεται σε στόχους πραγματικού κόσμου. Αλλά μετά από διαβούλευση με τους δικηγόρους του Electronic Frontier Foundation, έχουν καταλήξει σε ένα σύνολο κανόνων διαγωνισμών και - το πιο σημαντικό - σε μια λίστα που δεν γίνεται.

Οι διαγωνιζόμενοι δεν μπορούν να ζητήσουν ευαίσθητα δεδομένα ή κωδικούς πρόσβασης. Δεν μπορούν να κάνουν τα θύματά τους να αισθάνονται ότι διατρέχουν κίνδυνο. Δεν μπορούν να προσποιούνται ότι είναι επιβολής του νόμου ή γενικά κάνουν οτιδήποτε αισθάνεται λανθασμένο. "Εάν κάτι φαίνεται ανήθικο - μην το κάνετε, εάν έχετε ερωτήσεις, ρωτήστε έναν δικαστή", οι κανόνες δηλώνουν.

Αυτό που οι συμμετέχοντες μπορούν να κάνουν είναι να συλλέγουν δεδομένα για λιγότερο ευαίσθητα θέματα, όπως " ο οποίος φροντίζει για το τεμαχισμό χαρτιού », δήλωσε ο Hadnagy

Ο νικητής θα επιλεγεί από τους δικαστές, βασισμένος όχι μόνο στην ποσότητα των δεδομένων που συλλέχθηκαν αλλά και στη γενική αριστεία του έργου κοινωνικής μηχανικής, ανέφερε. Πρώτο βραβείο: ένα iPad

Οι εταιρείες ασφάλειας συχνά δίνουν το πράσινο φως να χρησιμοποιούν τεχνικές κοινωνικής μηχανικής εναντίον των πελατών τους ως έναν τρόπο να ελέγξουν τι μπορεί να συμβεί σε ένα πραγματικό περιστατικό και να εντοπίσει αδυναμίες. Σε αυτές τις δοκιμές, οι εμπειρογνώμονες ασφαλείας συχνά προσπαθούν να γλιστρήσουν σε ασφαλείς περιοχές ή να εξαπατήσουν τους υπαλλήλους να εγκαταλείψουν τους κωδικούς τους με ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος", πράγματα που απαγορεύονται σε αυτό το διαγωνισμό.

Το βασικό εργαλείο του διαγωνισμού Defcon θα είναι το τηλέφωνο. Οι διαγωνιζόμενοι έχουν τη δυνατότητα να κάνουν αναγνώριση στο διαδίκτυο για τους στόχους τους και θα έχουν 20 λεπτά στο τηλεφωνικό θάλαμο για να καλέσουν τις εταιρείες στόχους και να επιχειρήσουν την επίθεσή τους.

Ο Hadnagy θεωρεί τον διαγωνισμό ως ένα είδος πειράματος και σχεδιάζει να συντάξει μια έκθεση που αναλύει τι συμβαίνει. «Ξεκινήσαμε για να αυξήσουμε την ευαισθητοποίηση για την κοινωνική μηχανική και να δώσουμε ένα χώρο για να μάθουμε τι κάνει έναν καλό κοινωνικό μηχανικό», είπε. "Η πιο εύκολη διαδρομή σε μια εταιρεία είναι ακόμα άνθρωποι."

Τον περασμένο μήνα η FS-ISAC εξέδωσε προειδοποίηση σχετικά με το διαγωνισμό, το οποίο ο Hadnagy δημοσίευσε στο blog του. "Τα χρηματοπιστωτικά ιδρύματα θα πρέπει να γνωρίζουν αυτόν τον επερχόμενο διαγωνισμό και θα πρέπει να ενημερώσουν το προσωπικό τους, ειδικά τα τηλεφωνικά κέντρα και τα νομικά τμήματα σχετικά με την εκδήλωση αυτή", ανέφεραν οι συμβουλευτικοί φορείς.

Την ίδια εποχή, ο Hadnagy έλαβε κλήση από την Cyber ​​Division του FBI. «Είχαν ερωτήσεις σχετικά με το τι ήταν πραγματικά η πρόθεσή μας και τι κάναμε και ποιους ήταν οι στόχοι μας με τον διαγωνισμό», είπε. Έστειλε τους κανόνες του διαγωνισμού στο FBI. "Μόλις το πέρασα σε αυτά … νομίζω ότι σταμάτησε πολύ το ενδιαφέρον της κυβέρνησης», είπε.

Ο ιδρυτής της Defcon, Jeff Moss, δήλωσε την Πέμπτη ότι έχει πραγματοποιήσει και κάποιες έρευνες, συμπεριλαμβανομένου ενός από το FS-ISAC.

Δεν χρειάζεται να ανησυχούν. Οι στόχοι των εταιρειών θα προέλθουν από τον τομέα της τεχνολογίας και άλλων βιομηχανιών, αλλά δεν θα υπάρξουν οικονομικοί, υγειονομικοί, εκπαιδευτικοί ή κυβερνητικοί οργανισμοί, δήλωσε ο Hadnagy.

Ο Robert McMillan καλύπτει την ασφάλεια υπολογιστών και τη γενική τεχνολογία Υπηρεσία ειδήσεων IDG

. Ακολουθήστε τον Robert στο Twitter στο @bobmcmillan. Η διεύθυνση ηλεκτρονικού ταχυδρομείου του Robert είναι [email protected]