FBI Rings Organizers Over Contcon Defcon

Penyelenggara peraduan telah dipanggil oleh Biro Penyiasatan Persekutuan AS dan melihat peringatan yang dikeluarkan oleh kumpulan keselamatan dan Maklumat Perkhidmatan Kewangan Pusat Perkongsian dan Analisis, (FS-ISAC) sebuah kumpulan industri yang menyediakan maklumat mengenai ancaman keselamatan yang mempengaruhi industri perbankan.

"Cerita-cerita yang saya peroleh adalah banyak orang kewangan yang benar-benar prihatin bahawa kita akan menjadi mensasarkan maklumat peribadi dan perkara-perkara seperti itu, "kata Chris Opernant, pengurus operasi dengan Serangan Keamanan, yang menganjurkan pertandingan itu. Kebimbangan ini tidak berasas, katanya.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Sepanjang tiga hari akan datang peserta akan mencuba yang terbaik untuk memvisualisasikan data daripada senarai yang tidak didedahkan sekitar 30 syarikat A.S.. Peraduan ini akan diadakan di sebuah bilik di hotel Riviera di Las Vegas yang dilengkapi dengan sebuah bilik kalis bunyi dan pembesar suara, jadi penonton boleh mendengar peserta menelefon syarikat-syarikat dan cuba untuk menguraikan apa data yang boleh diperolehi daripada pekerja yang tidak disengajakan.

Ini adalah kejuruteraan sosial: seni menipu orang untuk mendedahkan maklumat dan melakukan perkara-perkara yang mereka tidak patut.

Penganjur persidangan perlu berjalan dengan baik dalam menjalankan pertandingan yang menumpukan pada sasaran dunia sebenar. Tetapi selepas berunding dengan peguam-peguam Foundation Frontier Elektronik, mereka telah membuat satu set peraturan peraduan dan - lebih penting lagi - senarai do-not-do.

Peserta tidak boleh meminta data sensitif atau kata laluan. Mereka tidak boleh membuat mangsa mereka berasa seperti mereka berisiko. Mereka tidak boleh berpura-pura menjadi penguatkuasa undang-undang atau secara umumnya melakukan apa-apa yang merasakan yang salah. "Jika ada sesuatu yang tidak beretika - jangan lakukannya. Jika anda mempunyai soalan, tanya hakim," kata peraturan.

Apa yang peserta boleh lakukan ialah mengumpul data mengenai subjek yang kurang sensitif seperti, "siapa penghapus sampah; yang mengurus perengkingan kertas anda, "kata Hadnagy.

Pemenang akan dipilih oleh hakim, berdasarkan bukan hanya pada kuantitas data yang dikumpulkan, tetapi juga kecemerlangan umum kerja kejuruteraan sosial, katanya. Hadiah pertama: iPad.

Syarikat-syarikat keselamatan sering memberi lampu hijau untuk menggunakan teknik kejuruteraan sosial terhadap pelanggan mereka sebagai satu cara untuk menguji apa yang mungkin berlaku dalam insiden dunia sebenar dan mengenal pasti kelemahan. Dalam ujian ini, pakar keselamatan akan sering cuba menyelinap masuk ke dalam kawasan selamat atau menipu pekerja untuk memberikan kata laluan dengan e-mel phishing, perkara yang dilarang dalam peraduan ini.

Alat utama peserta Defcon adalah telefon. Peserta telah dibenarkan melakukan peninjauan Internet pada sasaran mereka, dan mereka akan mendapat 20 minit di gerai telefon untuk memanggil syarikat sasaran dan cuba serangan mereka.

Hadnagy melihat peraduan ini sebagai percubaan, macam-macam, dan merancang untuk menyusun laporan yang menganalisis apa yang berlaku. "Kami memulakannya untuk meningkatkan kesedaran untuk kejuruteraan sosial dan memberi tempat untuk mempelajari apa yang menjadikan seorang jurutera sosial yang baik," katanya. "Laluan paling mudah ke dalam sebuah syarikat masih ramai."

Bulan lepas FS-ISAC mengeluarkan peringatan mengenai peraduan, yang Hadnagy diposkan ke blognya. "Institusi kewangan harus menyadari pertandingan yang akan datang ini, dan harus memberi penjelasan kepada personilnya, terutama pusat panggilan dan jabatan hukum mengenai acara ini," kata penasihat.

Sekitar waktu yang sama, Hadnagy mendapat panggilan dari Divisi Siber FBI. "Mereka mempunyai persoalan mengenai apa yang sebenarnya maksud kami dan apa yang kami lakukan dan matlamat kami dengan peraduan ini," katanya. Dia mengemukakan peraturan peraduan kepada FBI. "Sebaik sahaja saya lulus melalui mereka … saya fikir ia berhenti banyak kebimbangan kerajaan," katanya.

Pengasas Defcon, Jeff Moss berkata Khamis bahawa beliau telah menimbulkan beberapa pertanyaan, termasuk salah satu dari FS-ISAC.

Mereka tidak perlu risau. Syarikat-syarikat sasaran akan datang dari sektor teknologi dan industri lain, tetapi tidak akan ada apa-apa pertubuhan kewangan, kesihatan, pendidikan atau kerajaan, kata Hadnagy.

Robert McMillan meliputi berita keselamatan komputer dan berita teknologi umum untuk

The Perkhidmatan Berita IDG. Ikut Robert di Twitter di @bobmcmillan. Alamat e-mel Robert [email protected]