FBI Rings Organizzatori Over Defcon Contest

A Defcon Il concorso che invita i partecipanti a ingannare i dipendenti delle società statunitensi in rivelatori di dati non sensibili ha fatto tintinnare alcuni nervi.

Gli organizzatori del concorso sono stati convocati dal Federal Bureau of Investigation e hanno visto gli avvertimenti emessi dai gruppi di sicurezza e le informazioni sui servizi finanziari Centro di condivisione e analisi (FS-ISAC), un gruppo industriale che fornisce informazioni sulle minacce alla sicurezza che interessano il settore bancario.

"Le storie che sto ricevendo sono un sacco di persone finanziarie che erano davvero preoccupate del fatto che stavamo per essere targeting di informazioni personali e cose del genere ", ha detto Chris Hadnagy, il responsabile delle operazioni con Offensive Security, che sta organizzando il concorso. Queste preoccupazioni sono infondate, afferma.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Nei prossimi tre giorni i partecipanti faranno del loro meglio per scoprire i dati di un elenco non divulgato di circa 30 società degli Stati Uniti. Il concorso si svolgerà in una stanza nell'hotel Riviera di Las Vegas, arredato con una cabina insonorizzata e un altoparlante, in modo che il pubblico possa sentire i concorrenti chiamare le aziende e cercare di scoprire quali dati possono ottenere da dipendenti inconsapevoli.

Questo è l'ingegneria sociale: l'arte di indurre le persone a rivelare informazioni e fare cose che non dovrebbero.

Gli organizzatori della conferenza devono camminare su una linea sottile nella gestione di un concorso che si concentra su obiettivi reali. Ma dopo essersi consultati con gli avvocati di Electronic Frontier Foundation, hanno elaborato una serie di regole di concorso e, cosa più importante, una lista di cose da fare.

I concorrenti non possono chiedere dati sensibili o password. Non possono far sentire le loro vittime come se fossero a rischio. Non possono fingere di essere forze dell'ordine o generalmente fanno qualcosa che sembra sbagliato. "Se qualcosa sembra non etico - non farlo. Se hai domande, chiedi a un giudice", lo stato delle regole.

Ciò che i partecipanti possono fare è raccogliere dati su argomenti meno sensibili come "chi fa la rimozione del cassonetto; che si prende cura della tua triturazione della carta ", ha detto Hadnagy.

Il vincitore sarà selezionato dai giudici, basandosi non solo sulla quantità di dati raccolti, ma anche sull'eccellenza generale del lavoro di ingegneria sociale, ha affermato. Primo premio: un iPad.

Le società di sicurezza spesso danno il via libera all'uso di tecniche di ingegneria sociale contro i loro clienti come un modo per testare cosa potrebbe accadere in un incidente reale e identificare le debolezze. In questi test, gli esperti di sicurezza tentano spesso di intrufolarsi in aree protette o indurre i dipendenti a rinunciare a password con e-mail di phishing, cose proibite in questo contesto.

Lo strumento principale del concorrente Defcon sarà il telefono. Ai concorrenti è stato concesso di fare ricognizione su Internet per i loro obiettivi, e riceveranno 20 minuti nella cabina telefonica per chiamare le compagnie target e tentare il loro attacco.

Hadnagy vede il concorso come un esperimento, di sorta, e piani per compilare una relazione che analizza cosa succede. "L'abbiamo avviato per aumentare la consapevolezza dell'ingegneria sociale e offrire uno spazio per imparare cosa rende un buon ingegnere sociale", ha affermato. "La via più facile per entrare in un'azienda è ancora la gente."

Il mese scorso la FS-ISAC ha emesso un avvertimento sul concorso, che Hadnagy ha pubblicato sul suo blog. "Le istituzioni finanziarie dovrebbero essere consapevoli di questo imminente concorso e dovrebbero informare il loro personale, in particolare i call center e gli uffici legali riguardo a questo evento", afferma la consulenza.

Intorno allo stesso tempo, Hadnagy ricevette una chiamata dalla divisione informatica dell'FBI. "Avevano domande su quale fosse il nostro intento e cosa stessimo facendo e quali fossero i nostri obiettivi con il concorso", ha detto. Ha inoltrato le regole del concorso all'FBI. "Una volta che l'ho passato a loro … penso che abbia fermato un sacco di preoccupazioni del governo", ha detto.

Il fondatore di Defcon, Jeff Moss, ha dichiarato giovedì di aver raccolto anche alcune richieste, tra cui quella dell'FS-ISAC.

Non devono preoccuparsi. Obiettivi Le aziende verranno dal settore tecnologico e da altri settori, ma non ci saranno organizzazioni finanziarie, sanitarie, educative o governative, ha detto Hadnagy.

Robert McMillan copre le ultime notizie relative alla sicurezza informatica e alla tecnologia generale per The Servizio notizie IDG. Segui Robert su Twitter all'indirizzo @bobmcmillan. L'indirizzo e-mail di Robert è [email protected]