FBI Rings Arrangörer Över Defcon Contest

A Defcon tävling som uppmanar tävlande att lura anställda vid amerikanska företag för att avslöja icke så känsliga data har rasat några nerver.

Tävlingsarrangörer har blivit kallade av US Federal Bureau of Investigation och sett varningar utfärdade av säkerhetsgrupper och Financial Services Information Dela och analyscenter, (FS-ISAC), en industrigrupp som ger information om säkerhetshot som påverkar banksektorn.

"De historier jag får är många finansiella människor var verkligen oroade över att vi skulle vara inriktning på personlig information och saker som det, säger Chris Hadnagy, operationschef med Offensive Security, som organiserar tävlingen. Dessa problem är ogrundade, säger han.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Under de kommande tre dagarna kommer deltagarna att göra sitt bästa för att avlägsna data från en icke-avslöjad lista med cirka 30 amerikanska företag. Tävlingen kommer att äga rum i ett hotell i Riviera-hotellet i Las Vegas, utrustat med en ljudisolerad booth och en högtalare, så att publiken kan höra deltagarna ringer företag och försöker skryta ut vilka data de kan få från oavsiktliga anställda.

Det här är socialteknik: konsten att lura människor för att avslöja information och göra saker som de inte borde.

Konferensarrangörer måste gå en bra linje i en tävling som fokuserar på verkliga mål. Men efter att ha konsulterat med advokaterna Electronic Frontier Foundation har de kommit med en uppsättning tävlingsregler och - ännu viktigare - en gör-gör-lista.

Tävlande kan inte begära känsliga data eller lösenord. De kan inte få sina offer att känna att de är i fara. De kan inte låtsas vara brottsbekämpning eller i allmänhet göra någonting som känns fel. "Om något verkar oetiskt - gör det inte. Om du har frågor, fråga en domare", säger reglerna.

Vad deltagare kan göra är att samla in data om mindre känsliga ämnen som "vem tar bort din dumpster? vem tar hand om din pappersförstöring ", sade Hadnagy.

Vinnaren kommer att väljas av domare, inte bara baserad på den mängd data som samlats in, utan också den allmänna excellensen inom socialteknikarbetet. Första priset: en iPad.

Säkerhetsföretag ger ofta det gröna ljuset att använda teknik för socialteknik mot sina kunder som ett sätt att testa vad som kan hända i en verklig händelse och identifiera svagheter. I dessa tester försöker säkerhetseksperter ofta att smyga in i säkra områden eller lura anställda för att ge upp lösenord med phishing-e-post, saker som är förbjudna i den här tävlingen.

Defcon-tävlarens primära verktyg kommer att vara telefon. Tävlande har tillåtit att göra Internet-rekognoscering på sina mål, och de kommer att få 20 minuter i telefonbåden att ringa målbolagen och försöka attackera dem.

Hadnagy ser tävlingen som ett experiment, av olika slag och planerar att sammanställa en rapport som analyserar vad som händer. "Vi startade det med att öka medvetenheten om socialteknik och ge plats för att lära oss vad som gör en bra socialingenjör", sa han. "Den enklaste vägen till ett företag är fortfarande människor."

Förra månaden utfärdade FS-ISAC en varning om tävlingen, som Hadnagy publicerade på sin blogg. "Finansinstitut bör vara medvetna om den kommande tävlingen och borde korta sin personal, särskilt call centers och juridiska avdelningar angående denna händelse," de rådgivande staterna. "Omkring samma tid fick Hadnagy ett samtal från FBI: s Cyber ​​Division. "De hade frågor om vad vår avsikt verkligen var och vad vi gjorde och vad våra mål var med tävlingen", sa han. Han vidarebefordrade tävlingsreglerna till FBI. "När jag passerade det till dem … tror jag att det slutade mycket av regeringens oro," sa han.

Defcon grundare Jeff Moss sa torsdagen att han även har fältat några förfrågningar, inklusive en från FS-ISAC.

De behöver inte oroa sig. Mål företag kommer kommer från teknologisektorn och andra branscher, men det kommer inte att finnas några finans-, hälsovårds-, utbildnings- eller regeringsorganisationer, sade Hadnagy.

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för

The IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]