Organizadores do FBI Over Defcon

A Defcon Um concurso que convida os concorrentes a induzir os funcionários das corporações americanas a revelar dados não tão sensíveis causou alguns nervos.

Os organizadores do concurso foram chamados pelo Federal Bureau of Investigation dos EUA e viram advertências emitidas por grupos de segurança e pela Financial Services Information. Centro de Compartilhamento e Análise, (FS-ISAC), um grupo da indústria que fornece informações sobre ameaças de segurança que afetam o setor bancário.

"As histórias que estou recebendo são um monte de pessoas financeiras estavam realmente preocupadas que nós estaríamos direcionar informações pessoais e coisas assim ", disse Chris Hadnagy, gerente de operações da Offensive Security, que está organizando o concurso. Essas preocupações são infundadas, diz ele.

[Leia mais: Como remover malware do seu PC com Windows]

Nos próximos três dias, os participantes farão o possível para desenterrar dados de uma lista não divulgada de cerca de 30 empresas dos EUA. O concurso será realizado em uma sala no hotel Riviera, em Las Vegas, equipada com um estande à prova de som e um alto-falante, para que o público ouça os participantes contatarem empresas e tentem descobrir quais dados podem ser obtidos de funcionários desavisados.

Isso é engenharia social: a arte de enganar as pessoas para que divulguem informações e façam coisas que não deveriam.

Os organizadores da conferência têm que seguir uma linha tênue na realização de um concurso focado em alvos do mundo real. Mas depois de consultar os advogados da Electronic Frontier Foundation, eles criaram um conjunto de regras de concurso e - mais importante - uma lista de coisas que não fazem.

Os participantes não podem pedir dados ou senhas confidenciais. Eles não podem fazer suas vítimas se sentirem em risco. Eles não podem fingir ser policiais ou, em geral, fazer qualquer coisa que pareça errada. "Se algo parecer antiético - não o faça. Se tiver dúvidas, pergunte a um juiz", as regras indicam. O que os participantes podem fazer é coletar dados sobre assuntos menos sensíveis, como "quem faz a remoção do lixo"; "O vencedor será escolhido pelos juízes, com base não apenas na quantidade de dados coletados, mas também na excelência geral do trabalho de engenharia social", disse ele. Primeiro prêmio: um iPad.

As empresas de segurança costumam dar luz verde para usar técnicas de engenharia social contra seus clientes como uma forma de testar o que pode acontecer em um incidente real e identificar pontos fracos. Nesses testes, os especialistas em segurança costumam tentar se infiltrar em áreas seguras ou convencer os funcionários a desistir de senhas com e-mails de phishing, coisas que são proibidas neste concurso.

A principal ferramenta do concorrente Defcon será o telefone. Concorrentes foram autorizados a fazer reconhecimento da Internet em seus alvos, e eles terão 20 minutos na cabine telefônica para ligar para as empresas-alvo e tentar seu ataque.

Hadnagy vê o concurso como uma experiência, de certa forma, e planeja compilar. um relatório analisando o que acontece. "Nós começamos a conscientizar para a engenharia social e dar um lugar para aprender o que faz um bom engenheiro social", disse ele. "O caminho mais fácil para uma empresa ainda é gente."

No mês passado, o FS-ISAC emitiu um alerta sobre o concurso, que Hadnagy postou em seu blog. "As instituições financeiras devem estar cientes do próximo concurso e devem informar seu pessoal, especialmente os call centers e departamentos jurídicos sobre este evento", afirma o comunicado.

Na mesma época, Hadnagy recebeu uma ligação da Divisão de Cyber ​​do FBI. "Eles tinham perguntas sobre qual era realmente a nossa intenção e o que estávamos fazendo e quais eram nossos objetivos com o concurso", disse ele. Ele encaminhou as regras do concurso para o FBI. "Depois que passei para eles … acho que isso impediu bastante a preocupação do governo", disse ele.O fundador da Defcon, Jeff Moss, disse na quinta-feira que ele também realizou algumas investigações, incluindo uma do FS-ISAC.

Eles não precisam se preocupar. As empresas de alvos virão do setor de tecnologia e outras indústrias, mas não haverá organizações financeiras, de saúde, educacionais ou governamentais, disse Hadnagy.

Robert McMillan cobre segurança de computadores e tecnologia geral para as últimas notícias da

Serviço de Notícias IDG

. Siga Robert no Twitter em @bobmcmillan. O endereço de e-mail de Robert é [email protected]