FBI Rings Organizers Over Defcon Contest

A Defcon المسابقة التي تدعو المتسابقين لخداع الموظفين في الشركات الأمريكية للكشف عن البيانات غير الحساسة قد هزت بعض الأعصاب.

تم استدعاء منظمي المسابقة من قبل مكتب التحقيقات الفيدرالي الأمريكي وشاهدوا تحذيرات صدرت عن مجموعات أمنية ومعلومات الخدمات المالية مركز المشاركة والتحليل ، (FS-ISAC) مجموعة صناعية تقدم معلومات حول التهديدات الأمنية التي تؤثر على الصناعة المصرفية.

"القصص التي أحصل عليها هي الكثير من الأشخاص الماليين كانوا قلقين حقا من أننا سنكون وقال كريس هيدناجي ، مدير العمليات في Offensive Security ، الذي ينظم المسابقة: "استهدف المعلومات الشخصية والأشياء المماثلة". ويقول إن هذه المخاوف لا أساس لها من الصحة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

خلال الأيام الثلاثة القادمة ، سيحاول المشاركون بذل قصارى جهدهم لكشف البيانات من قائمة لم يكشف عنها تضم ​​حوالي 30 شركة في الولايات المتحدة. ستقام المسابقة في غرفة في فندق ريفييرا في لاس فيجاس ، مزودة بكشك عازل للصوت ومكبر صوت ، حتى يتمكن الجمهور من سماع المتسابقين الذين يتصلون بالشركات ويحاولوا معرفة ما يمكن أن يحصلوا عليه من البيانات عن الموظفين غير المرتبكين.

هذه هي الهندسة الاجتماعية: فن خداع الناس في الكشف عن المعلومات والقيام بأشياء لا يجب عليهم القيام بها.

على منظمي المؤتمر السير بخط رفيع في إدارة مسابقة تركز على أهداف واقعية. ولكن بعد التشاور مع محامي مؤسسة Electronic Frontier Foundation ، توصلوا إلى مجموعة من قواعد المسابقة - والأهم من ذلك - قائمة لا يجب القيام بها.

لا يمكن للمتسابقين طلب بيانات أو كلمات مرور حساسة. لا يمكنهم جعل ضحاياهم يشعرون أنهم في خطر. لا يستطيعون التظاهر بأنهم إنفاذ القانون أو يفعلون أي شيء بشكل خاطئ. "إذا كان هناك شيء يبدو غير أخلاقي - لا تفعل ذلك. إذا كان لديك أسئلة ، اسأل القاضي" ، تقول القواعد.

ما يمكن للمشاركين فعله هو جمع البيانات حول مواضيع أقل حساسية مثل "من يقوم بإزالة القمامة الخاصة بك ؛ وقال هادناجي: "من يعتني بك تمزيق الورق.

سوف يتم اختيار الفائز من قبل القضاة ، ليس فقط بناءً على كمية البيانات التي تم جمعها ، ولكن أيضًا على التفوق العام لأعمال الهندسة الاجتماعية. الجائزة الأولى: جهاز iPad.

غالباً ما تعطي الشركات الأمنية الضوء الأخضر لاستخدام تقنيات الهندسة الاجتماعية ضد عملائها كطريقة لاختبار ما قد يحدث في حادثة واقعية وتحديد نقاط الضعف. في هذه الاختبارات ، سيحاول خبراء الأمن غالبًا التسلل إلى مناطق آمنة أو خداع الموظفين للتخلي عن كلمات المرور مع رسائل البريد الإلكتروني الخادعة ، وهي أشياء محظورة في هذه المسابقة.

ستكون الأداة الرئيسية للمتسابق في ديفكون هي الهاتف. سمح للمتسابقين بإجراء استطلاع على الإنترنت عن أهدافهم ، وسيحصلون على 20 دقيقة في كشك الهاتف للاتصال بالشركات المستهدفة ومحاولة الهجوم.

ترى Hadnagy المسابقة كتجربة ، وأنواع ، وخطط لتجميع تقرير يحلل ما يحدث. وقال: "لقد بدأنا العمل على رفع الوعي بالهندسة الاجتماعية وإعطاء مكان لمعرفة ما الذي يجعل المهندس الاجتماعي جيدًا". "الطريق الأسهل إلى شركة ما زال الناس."

الشهر الماضي أصدر FS-ISAC تحذيراً حول المسابقة ، التي نشرها Hadnagy في مدونته. "يجب أن تكون المؤسسات المالية على دراية بهذه المسابقة القادمة ، وينبغي أن تطلع موظفيها ، وخاصة مراكز الاتصال والدوائر القانونية فيما يتعلق بهذا الحدث" ، على الدول الاستشارية.

وفي نفس الوقت ، تلقى Hadnagy مكالمة من قسم سايبر في مكتب التحقيقات الفيدرالي. وقال "كان لديهم تساؤلات حول ماهية نيتنا بالفعل وماذا كنا نفعل وما هي أهدافنا في المسابقة." أحال قواعد المسابقة إلى مكتب التحقيقات الفيدرالي. وقال "بمجرد أن مررت بها … أعتقد أن ذلك أوقف الكثير من مخاوف الحكومة"وقال مؤسس ديفكون جيف موس يوم الخميس انه قدم بعض الاستفسارات أيضا ، بما في ذلك واحدة من FS-ISAC.

انهم لا داعي للقلق. ستأتي شركات الأهداف من قطاع التكنولوجيا وغيرها من الصناعات ، ولكن لن يكون هناك أي مؤسسات مالية أو صحية أو تعليمية أو حكومية. آي دي جي خدمة الأخبار

. اتبع روبرت على تويتر علىbobmcmillan. عنوان البريد الإلكتروني الخاص بـ Robert هو [email protected]