FBI-ringen organisatoren tijdens Defcon-wedstrijd

Een Defcon een wedstrijd die deelnemers uitnodigt om werknemers bij Amerikaanse bedrijven te misleiden tot het onthullen van niet-zo gevoelige gegevens heeft wat zenuwen geknokt.

De organisatoren van de prijsvragen zijn door het Amerikaanse federale onderzoeksbureau geroepen en hebben waarschuwingen gezien van beveiligingsgroepen en de Financial Services Information Sharing and Analysis Center, (FS-ISAC), een industriegroep die informatie biedt over beveiligingsrisico's voor het bankwezen.

"De verhalen die ik krijg, zijn veel financiële mensen waren erg bezorgd dat we zouden worden gericht op persoonlijke informatie en dat soort dingen ", zegt Chris Hadnagy, de operations manager van Offensive Security, die de wedstrijd organiseert. Deze zorgen zijn ongegrond, zegt hij.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Tijdens de volgende drie dagen zullen deelnemers hun best doen gegevens op te halen uit een niet-openbaar gemaakte lijst van ongeveer 30 Amerikaanse bedrijven. De wedstrijd vindt plaats in een kamer in het Riviera-hotel in Las Vegas, voorzien van een geluiddichte cabine en een luidspreker, zodat een publiek de deelnemers kan horen bedrijven horen en proberen uit te vinden welke gegevens ze kunnen krijgen van onwetende werknemers.

Dit is social engineering: de kunst om mensen te misleiden om informatie te onthullen en dingen te doen die ze niet zouden moeten doen.

Conferentieorganisatoren moeten een fijne lijn volgen bij het houden van een wedstrijd die zich richt op echte doelen. Maar na overleg met advocaten van de Electronic Frontier Foundation hebben ze een aantal wedstrijdregels bedacht en - nog belangrijker - een doe-het-niet-lijst.

Deelnemers kunnen niet om gevoelige gegevens of wachtwoorden vragen. Ze kunnen hun slachtoffers niet het gevoel geven dat ze gevaar lopen. Ze kunnen niet doen alsof ze wetshandhaving zijn of doen in het algemeen alles wat fout aanvoelt. "Als iets onethisch lijkt - doe het niet.Als u vragen hebt, vraag dan een rechter," de regels stellen.

Wat deelnemers kunnen doen is het verzamelen van gegevens over minder gevoelige onderwerpen zoals "wie doet uw dumpster verwijdering; wie zorgt voor uw papiervernietiging, "zei Hadnagy.

De winnaar wordt gekozen door rechters, niet alleen gebaseerd op de hoeveelheid verzamelde gegevens, maar ook op de algemene uitmuntendheid van het sociale engineeringwerk, zei hij. Eerste prijs: een iPad.

Beveiligingsbedrijven geven vaak het groene licht om social engineering-technieken tegen hun klanten te gebruiken als een manier om te testen wat er in een reëel incident kan gebeuren en zwakke punten te identificeren. In deze tests proberen beveiligingsdeskundigen vaak stiekem beveiligde gebieden binnen te dringen of laten werknemers weten dat ze wachtwoorden moeten opgeven met phishing-e-mails, dingen die in deze wedstrijd verboden zijn.

De primaire tool van de Defcon-deelnemer is de telefoon. Deelnemers mogen internetverkenningen uitvoeren op hun doelen en krijgen 20 minuten in de telefooncel om de doelondernemingen te bellen en hun aanval uit te voeren.

Hadnagy ziet de wedstrijd als een soort experiment en is van plan om te compileren een rapport dat analyseert wat er gebeurt. "We zijn ermee begonnen om het bewustzijn voor social engineering te vergroten en een locatie te bieden om te leren wat een goede social engineer maakt," zei hij. "De gemakkelijkste route naar een bedrijf is nog steeds mensen."

Vorige maand waarschuwde de FS-ISAC voor de wedstrijd, die Hadnagy op zijn blog had geplaatst. "Financiële instellingen moeten op de hoogte zijn van deze aanstaande wedstrijd en moeten hun personeel, in het bijzonder callcenters en juridische afdelingen informeren over dit evenement," de adviesstaten.

Defcon's oprichter Jeff Moss zei donderdag dat hij ook een paar vragen heeft gesteld, waaronder een van de FS-ISAC.

Ze hoeven zich geen zorgen te maken. Doelstellingen bedrijven zullen afkomstig zijn uit de technologiesector en andere industrieën, maar er zullen geen financiële, gezondheidszorg, educatieve of overheidsorganisaties zijn, zei Hadnagy. Robert McMillan heeft betrekking op computerbeveiliging en algemeen nieuws dat de technologie verbreekt voor

IDG -nieuwsservice

. Volg Robert op Twitter op @bobmcmillan. Het e-mailadres van Robert is [email protected]