美国联邦调查局已经召集比赛组织者,并看到了安全组织和金融服务信息部门发布的警告共享与分析中心(FS-ISAC)是一个提供有关影响银行业安全威胁的信息的行业组织
“我得到的故事是很多金融人士真的担心我们将会成为针对个人信息和类似的东西,“负责组织比赛的Offensive Security运营经理Chris Hadnagy说。他表示,
[进一步阅读:如何从Windows PC删除恶意软件]
在接下来的三天内,参与者将尽力从未公开的约30家美国公司的名单中挖掘数据。比赛将在拉斯维加斯里维埃拉酒店的一个房间内布置,并配备一个隔音室和一个扬声器,这样观众可以听到参赛者呼叫公司并尝试清除他们从不知情员工处获得的数据。这就是社会工程学:欺骗人们披露信息和做他们不应该做的事情的艺术。
会议组织者必须走好一条路线,开展关注现实世界目标的比赛。但在与Electronic Frontier Foundation律师协商后,他们提出了一套比赛规则,更重要的是 - 一份不要做的事情。
参赛者不能要求提供敏感数据或密码。他们不能让受害者觉得自己处于危险之中。他们不能假装执法或通常做任何感觉不对的事情。 “如果有什么不道德的行为 - 不要这样做,如果有问题,向法官询问,”规则规定。“
参与者可以做的是收集不太敏感主题的数据,例如”谁去除垃圾箱; “Hadnagy说,”获胜者将由评委们选中,不仅要收集数据的数量,还要评估社会工程工作的一般优点,“他说。一等奖:一台iPad。
安全公司通常会对其客户使用社交工程技术开展绿灯,以此来测试现实世界事件中可能发生的情况并找出其缺点。在这些测试中,安全专家通常会尝试潜入安全区域或诱骗员工放弃使用钓鱼电子邮件的密码,这是本次比赛禁止的内容。
Defcon参赛者的主要工具是电话。参赛者被允许在他们的目标上进行互联网侦察,他们将在电话亭拿20分钟时间打电话给目标公司并试图进行攻击。
Hadnagy将比赛视为一种实验,并且计划编译分析会发生什么的报告。 “我们着手提高对社会工程的认识,并给出一个地点来了解什么是一位优秀的社会工程师,”他说。 “进入公司的最简单途径仍然是人。”
上个月,FS-ISAC发布了关于比赛的警告,Hadnagy在他的博客上发布了这个比赛。 “金融机构应该意识到即将到来的比赛,并且应该向他们的人员,特别是呼叫中心和法律部门介绍此事件,”咨询机构称。“
大约在同一时间,哈德纳吉接到了联邦调查局网络部门的电话。 “他们对我们的意图是什么以及我们在做什么以及我们的目标与比赛有什么问题,”他说。他将比赛规则提交给FBI。 “一旦我把它传递给他们……我认为这阻止了很多政府的关注,”他说,“
。”Defcon的创始人Jeff Moss周四表示,他也进行了一些调查,其中包括FS-ISAC的调查。
他们不用担心。 “目标公司将来自技术部门和其他行业,但不会有任何金融,医疗保健,教育或政府组织。”Hadnagy说。
Robert McMillan涵盖计算机安全和通用技术突发新闻
IDG新闻服务
。在@bobmcmillan的Twitter上关注Robert。罗伯特的电子邮件地址是[email protected]