FBI Rings Organizers Over Defcon Contest

A Defcon kontes yang mengundang kontestan untuk mengelabui karyawan di perusahaan AS untuk mengungkapkan data yang tidak terlalu sensitif telah mengguncang beberapa saraf.

Penyelenggara kontes telah dipanggil oleh Biro Investigasi Federal AS dan melihat peringatan yang dikeluarkan oleh kelompok keamanan dan Informasi Layanan Keuangan Pusat Berbagi dan Analisis, (FS-ISAC) kelompok industri yang memberikan informasi tentang ancaman keamanan yang mempengaruhi industri perbankan.

"Kisah-kisah yang saya dapatkan banyak orang keuangan benar-benar khawatir bahwa kami akan menjadi menargetkan informasi pribadi dan hal-hal seperti itu, "kata Chris Hadnagy, manajer operasi dengan Ofensif Security, yang mengatur kontes. Kekhawatiran ini tidak berdasar, katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Selama tiga hari ke depan, para peserta akan mencoba sebaik mungkin untuk menggali data dari daftar yang tidak diungkapkan dari sekitar 30 perusahaan AS. Kontes akan berlangsung di sebuah kamar di hotel Riviera di Las Vegas dilengkapi dengan kedap suara dan pembicara, sehingga penonton dapat mendengar para kontestan menelepon perusahaan dan mencoba untuk mencabut data apa yang bisa mereka dapatkan dari karyawan tanpa disadari.

Ini adalah rekayasa sosial: seni mengelabui orang untuk mengungkapkan informasi dan melakukan hal-hal yang seharusnya tidak mereka lakukan.

Penyelenggara konferensi harus berjalan dalam garis halus dalam menjalankan kontes yang berfokus pada target dunia nyata. Tetapi setelah berkonsultasi dengan pengacara Electronic Frontier Foundation, mereka telah membuat serangkaian aturan kontes dan - yang lebih penting - daftar yang tidak boleh dilakukan.

Kontestan tidak dapat meminta data atau kata sandi yang sensitif. Mereka tidak bisa membuat korban merasa mereka berisiko. Mereka tidak bisa berpura-pura menjadi penegak hukum atau umumnya melakukan apa pun yang terasa salah. "Jika sesuatu tampak tidak etis - jangan lakukan. Jika Anda memiliki pertanyaan, tanyakan kepada hakim," peraturan menyatakan.

Apa yang dapat dilakukan peserta adalah mengumpulkan data tentang subjek yang kurang sensitif seperti, "siapa yang membuang sampah Anda; siapa yang merawat kertas Anda, "kata Hadnagy.

Pemenang akan dipilih oleh hakim, berdasarkan tidak hanya pada kuantitas data yang dikumpulkan, tetapi juga keunggulan umum dari pekerjaan rekayasa sosial, katanya. Hadiah pertama: iPad.

Perusahaan keamanan sering memberikan lampu hijau untuk menggunakan teknik rekayasa sosial terhadap klien mereka sebagai cara untuk menguji apa yang mungkin terjadi dalam insiden dunia nyata dan mengidentifikasi kelemahan. Dalam tes ini, pakar keamanan akan sering mencoba menyelinap ke area aman atau menipu karyawan agar menyerahkan kata sandi dengan email phising, hal-hal yang dilarang dalam kontes ini.

Alat utama kontestan Defcon adalah telepon. Kontestan telah diizinkan untuk melakukan pengintaian internet pada target mereka, dan mereka akan mendapatkan 20 menit di bilik telepon untuk menghubungi perusahaan target dan mencoba serangan mereka.

Hadnagy melihat kontes sebagai eksperimen, semacam, dan berencana untuk mengkompilasi laporan yang menganalisis apa yang terjadi. "Kami memulai untuk meningkatkan kesadaran untuk rekayasa sosial dan memberikan tempat untuk mempelajari apa yang membuat seorang insinyur sosial yang baik," katanya. "Rute termudah menjadi perusahaan adalah orang-orang."

Bulan lalu FS-ISAC mengeluarkan peringatan tentang kontes, yang diposting Hadnagy ke blognya. "Lembaga keuangan harus mewaspadai kontes yang akan datang ini, dan harus memberi penjelasan singkat kepada personel mereka, khususnya call center dan departemen hukum mengenai acara ini," negara penasehat.

Sekitar waktu yang sama, Hadnagy mendapat telepon dari Divisi Cyber ​​FBI. "Mereka memiliki pertanyaan tentang apa tujuan kami sebenarnya dan apa yang kami lakukan dan apa tujuan kami dengan kontes," katanya. Dia meneruskan aturan kontes ke FBI. "Begitu saya melewati itu kepada mereka … Saya pikir itu menghentikan banyak perhatian pemerintah," katanya.

Pendiri Defcon Jeff Moss mengatakan pada hari Kamis bahwa dia telah mengajukan beberapa pertanyaan juga, termasuk satu dari FS-ISAC.

Mereka tidak perlu khawatir. Target perusahaan akan datang dari sektor teknologi dan industri lainnya, tetapi tidak akan ada organisasi keuangan, perawatan kesehatan, pendidikan, atau pemerintahan, kata Hadnagy.

Robert McMillan mencakup keamanan komputer dan teknologi umum untuk berita Layanan Berita IDG. Ikuti Robert di Twitter di @bobmcmillan. Alamat e-mail Robert adalah [email protected]