एफबीआई रिंग्स ऑर्गनाइज़र डेफॉन प्रतियोगिता पर

एक Defcon प्रतियोगिता जो अमेरिकी निगमों में कर्मचारियों को चालित करने के लिए प्रतिभागियों को आमंत्रित करती है, न कि संवेदनशील डेटा को प्रकट करने के लिए कुछ तंत्रिकाओं को झुका हुआ है।

अमेरिकी संघीय ब्यूरो ऑफ इन्वेस्टिगेशन द्वारा प्रतियोगिता आयोजकों को बुलाया गया है और सुरक्षा समूहों और वित्तीय सेवाओं की जानकारी द्वारा जारी चेतावनियां देखी गई हैं शेयरिंग एंड एनालिसिस सेंटर, (एफएस-आईएसएसी) एक उद्योग समूह है जो बैंकिंग उद्योग को प्रभावित करने वाले सुरक्षा खतरों पर जानकारी प्रदान करता है।

"जो कहानियां मुझे मिल रही हैं, वे बहुत से वित्तीय लोग वास्तव में चिंतित थे कि हम होने जा रहे थे व्यक्तिगत जानकारी और उस तरह की चीजों को लक्षित करना, "क्रिस हडनागी ने कहा कि आपत्तिजनक सुरक्षा के संचालन प्रबंधक, जो प्रतियोगिता आयोजित कर रहे हैं। वे कहते हैं, ये चिंताएं निराधार हैं।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

अगले तीन दिनों में प्रतिभागी 30 अमेरिकी कंपनियों की एक अनजान सूची से डेटा का पता लगाने के लिए अपनी पूरी कोशिश करेंगे। प्रतियोगिता लास वेगास के रिवेरा होटल के एक कमरे में एक ध्वनिरोधी बूथ और एक स्पीकर के साथ सुसज्जित होगी, इसलिए एक दर्शक प्रतियोगी कॉल कंपनियों को सुन सकते हैं और अवांछित कर्मचारियों से उन्हें कौन सा डेटा प्राप्त कर सकते हैं, यह जानने की कोशिश कर सकते हैं।

यह सोशल इंजीनियरिंग है: लोगों को जानकारी प्रकट करने और उन चीजों को करने में छेड़छाड़ की कला जो उन्हें नहीं करना चाहिए।

सम्मेलन आयोजकों को एक प्रतियोगिता चलाने में एक अच्छी लाइन चलनी है जो असली दुनिया के लक्ष्यों पर केंद्रित है। लेकिन इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन के वकील से परामर्श करने के बाद, वे प्रतियोगिता नियमों के एक सेट के साथ आए हैं - और अधिक महत्वपूर्ण बात - एक काम नहीं करते सूची।

प्रतियोगी संवेदनशील डेटा या पासवर्ड मांग नहीं सकते हैं। वे अपने पीड़ितों को ऐसा महसूस नहीं कर सकते कि वे जोखिम में हैं। वे कानून प्रवर्तन होने का नाटक नहीं कर सकते हैं या आम तौर पर गलत कुछ भी करते हैं। "अगर कुछ अनैतिक लगता है - ऐसा मत करो। यदि आपके कोई प्रश्न हैं, तो न्यायाधीश से पूछें," नियम बताते हैं।

कौन से प्रतिभागी कम संवेदनशील विषयों पर डेटा एकत्र कर सकते हैं जैसे कि "आपका डंपस्टर हटाने कौन करता है; जो आपके पेपर श्रेडरिंग का ख्याल रखता है, "हडनागी ने कहा।

विजेता का चयन न्यायाधीशों द्वारा किया जाएगा, न केवल एकत्रित आंकड़ों की मात्रा पर, बल्कि सोशल इंजीनियरिंग के काम की सामान्य उत्कृष्टता के आधार पर भी किया जाएगा। पहला पुरस्कार: एक आईपैड।

सुरक्षा कंपनियां अक्सर अपने ग्राहकों के खिलाफ सोशल इंजीनियरिंग तकनीकों का उपयोग करने के लिए हरे रंग की रोशनी देती हैं ताकि वास्तविक दुनिया की घटना में क्या हो सकता है और कमजोरियों की पहचान हो सके। इन परीक्षणों में, सुरक्षा विशेषज्ञ अक्सर सुरक्षित क्षेत्रों में घुसने की कोशिश करेंगे या कर्मचारियों को फ़िशिंग ई-मेल, जो इस प्रतियोगिता में निषिद्ध हैं, के साथ पासवर्ड छोड़ने की कोशिश करेंगे।

डेफकॉन प्रतियोगी का प्राथमिक उपकरण टेलीफोन होगा। प्रतियोगी को अपने लक्ष्यों पर इंटरनेट पुनर्जागरण करने की इजाजत दी गई है, और उन्हें लक्ष्य बूंदों को कॉल करने और उनके हमले का प्रयास करने के लिए फोन बूथ में 20 मिनट मिलेगा।

हडनागी प्रतियोगिता को एक प्रयोग के रूप में देखती है, और संकलन करने की योजना बना रही है एक रिपोर्ट का विश्लेषण करता है कि क्या होता है। उन्होंने कहा, "हमने इसे सोशल इंजीनियरिंग के लिए जागरूकता बढ़ाने और एक अच्छा सामाजिक अभियंता बनाने के लिए एक जगह देने के लिए शुरू किया।" "कंपनी में सबसे आसान मार्ग अभी भी लोग हैं।"

पिछले महीने एफएस-आईएसएसी ने प्रतियोगिता के बारे में एक चेतावनी जारी की, जिसे हडनाजी ने अपने ब्लॉग पर पोस्ट किया था। सलाहकार राज्यों ने कहा, "वित्तीय संस्थानों को इस आगामी प्रतियोगिता के बारे में पता होना चाहिए, और इस घटना के बारे में अपने कर्मियों, विशेष रूप से कॉल सेंटर और कानूनी विभागों को बताना चाहिए।"

लगभग उसी समय, हडनागी को एफबीआई के साइबर डिवीजन से कॉल आया। उन्होंने कहा, "उनके पास वास्तव में क्या इरादा था और हम क्या कर रहे थे और प्रतियोगिता के साथ हमारे लक्ष्य क्या थे, इस पर उनके पास सवाल थे।" उन्होंने प्रतियोगिता के नियमों को एफबीआई को अग्रेषित किया। उन्होंने कहा, "एक बार मैंने उनसे गुजरने के बाद … मुझे लगता है कि सरकार की बहुत सारी चिंताएं रोक दी गईं।"

डेफकॉन के संस्थापक जेफ मॉस ने गुरुवार को कहा कि उन्होंने एफएस-आईएसएसी से भी कुछ पूछताछ की है।

उन्हें चिंता करने की ज़रूरत नहीं है। लक्ष्य कंपनियां प्रौद्योगिकी क्षेत्र और अन्य उद्योगों से आएंगी, लेकिन कोई वित्तीय, स्वास्थ्य देखभाल, शैक्षिक या सरकारी संगठन नहीं होंगे, हडनागी ने कहा।

रॉबर्ट मैकमिलन में कंप्यूटर सुरक्षा और सामान्य तकनीक को तोड़ने के लिए आईडीजी समाचार सेवा । @bobmcmillan पर ट्विटर पर रॉबर्ट का पालन करें। रॉबर्ट का ई-मेल पता [email protected]