FBI Halkaları Defcon Contest Üzerindeki Organizatörler

A Defcon Yarışmacıları, ABD şirketlerinde çalışanların hassas olmayan verileri açığa çıkarmalarını kandırmaya davet eden yarışma bazı sinirleri sarstı.

Yarışma organizatörleri ABD Federal Soruşturma Bürosu tarafından çağrıldı ve güvenlik grupları ve Finansal Hizmetler Bilgileri tarafından verilen uyarılar görüldü Paylaşım ve Analiz Merkezi, (FS-ISAC) bankacılık sektörünü etkileyen güvenlik tehditleri hakkında bilgi veren bir endüstri grubu.

"Aldığım hikayeler çok fazla finansal insan olduğumuz için gerçekten endişeliydi. kişisel bilgileri ve bunun gibi şeyleri hedefleyerek, "yarışma düzenleyen Offensive Security ile operasyon yöneticisi Chris Hadnagy dedi. Bu kaygılar temelsizdir, diyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz?]

Katılımcılar önümüzdeki üç gün boyunca, yaklaşık 30 ABD şirketinin açıklanmayan bir listesinden verileri çıkarmak için ellerinden geleni yapacaklardır. Yarışma, Las Vegas'taki Riviera otelindeki ses geçirmez bir kabin ve bir hoparlörle döşenmiş bir odada gerçekleştirilecek. Bu sayede bir seyirci yarışmacıların şirketlerini arayabileceğini duyabiliyor ve hangi çalışanların ne yapabileceklerini öğrenmeye çalışabiliyor.

Bu sosyal mühendislik: insanları bilgi ifşa etmeye kandırmak ve yapmamaları gereken şeyleri yapmak sanatı.

Konferans organizatörleri gerçek dünyadaki hedeflere odaklanan bir yarışma yürütmek için iyi bir çizgide yürümeli. Ancak Electronic Frontier Foundation avukatları ile görüştükten sonra, bir dizi yarışma kuralı ve daha da önemlisi bir yap-yapmama listesi ortaya koydular.

Yarışmacılar hassas veri veya şifreler isteyemezler. Kurbanlarını tehlikede gibi hissettiremezler. Onlar kanun uygulayıcısı gibi davranamazlar ya da genellikle yanlış olan herhangi bir şey yapamazlar. “Eğer bir şey etik görünmüyorsa - bunu yapmayın. Sorularınız varsa, bir yargıça sorun” kurallarını belirtir.

Katılımcıların yapabilecekleri, "çöplüğünüzü kim giderir?" Gibi daha az hassas konularda veri toplamaktır. Kâğıt parçalama ile ilgilenen kişi, "Hadnagy dedi.

Kazanan, yargıçlar tarafından seçilecek, sadece toplanan veri miktarına değil, aynı zamanda sosyal mühendislik çalışmasının genel mükemmelliğine de bağlı. Birincilik ödülü: bir iPad.

Güvenlik şirketleri, gerçek dünyadaki bir olayda neler olabileceğini test etmenin ve zayıflıkların tespit edilmesinin bir yolu olarak, müşterileri karşısında sosyal mühendislik tekniklerini kullanmaya yeşil ışık yakarlar. Bu testlerde güvenlik uzmanları çoğu zaman güvenli alanlara girmeye çalışır ya da çalışanları, bu yarışmada yasak olan e-postalarla şifrelerinizde bırakmaya çalışırlar.

Defcon yarışmacısının birincil aracı telefon olacaktır. Yarışmacıların hedefleri için internet keşifleri yapmasına izin verildi ve hedef kulübeleri aramak ve saldırıya geçmek için telefon kulübesinde 20 dakika alacaklar.

Hadnagy yarışmayı bir tür deney olarak görüyor ve bir araya getirmeyi planlıyor. Ne olduğunu analiz eden bir rapor. “Sosyal mühendislik konusunda farkındalık yaratmak için başlattık ve iyi bir sosyal mühendis yapan şeyin ne olduğunu öğrenmek için bir yer verdik” dedi. "Bir şirkete girmenin en kolay yolu hala insanlar."

Geçen ay FS-ISAC, Hadnagy'nin bloguna gönderdiği yarışma hakkında bir uyarı yayınladı. "Finansal kurumlar bu yaklaşmakta olan yarışmadan haberdar olmalı ve personelini, özellikle de çağrı merkezleri ve bu olayla ilgili yasal departmanları bilgilendirmelidirler." Dedi.

Aynı zamanlarda, Hadnagy FBI'ın Siber Bölümünden bir çağrı aldı. “Niyetimizin gerçekte ne olduğu ve ne yaptığımız ve hedeflerimizin yarışma ile ne gibi soruları vardı” dedi. Yarışma kurallarını FBI'ya iletti. “Bunu bir kez onlardan geçtim… bence bu pek çok hükümet meselesini durdurdu” dedi.

Defcon'un kurucusu Jeff Moss Perşembe günü yaptığı açıklamada, FS-ISAC'ın da aralarında bulunduğu birkaç soruşturmayı da gerçekleştirdiğini söyledi.

Endişelenmeye ihtiyaçları yok. Hedefler şirketler teknoloji sektöründen ve diğer sektörlerden gelecektir, ancak herhangi bir mali, sağlık, eğitim veya hükümet kuruluşu olmayacak, Hadnagy dedi.

Robert McMillan, bilgisayar güvenliği ve için son teknoloji haberlerini kapsar. IDG Haber Servisi. @bobmcmillan'da Robert'ı takip edin. Robert'in e-posta adresi [email protected]