Hazugságverseny a hackerkonferencián
Vajon mennyire könnyen adnánk ki cégünk adatait, ha valaki rákérdezne? A hackerverseny alapján úgy tűnik, elég könnyen.
Még el sem kezdődött a Defcon hackerkonferencia, máris kisebb indulatokat keltett, ugyanis sem az FBI, sem bizonyos nagyvállalatok nem nézik jó szemmel, hogy a szervezők által meghirdetett, élőben zajló verseny élesben vesz célba cégeket a social engineering-et alkalmazó hackereken keresztül.
Főként a legendás Kevin Mitnicknek köszönhető, hogy ez a módszer ma már a laikusok körében is közismert: a hacker nem a szoftverek, rendszerek hibáit keresi, hogy kihasználja azokat, hanem az alkalmazottaktól, felhasználóktól igyekszik különféle trükkök segítségével megszerezni a betöréshez szükséges információkat. A Defconon zajló háromnapos versenyen is az a cél, hogy az indulók a Fortune 500-as listáján szereplő vállalatok munkatársait verjék át.
A versenyzőknek nem szabad igazán érzékeny adatokat megszerezniük, de egy hackernek már olyan információ is értékes lehet, hogy a megkérdezett milyen típusú, milyen verziószámú böngészőt, PDF-olvasót használ, az operációs rendszer típusa, milyen levelezőprogramja van, milyen víruskeresője, vagy éppen mi a helyi wifihálózat neve. Az indulók egy hangszigetelt fülkében dolgoznak, de a résztvevők hallják, hogy milyen módszereket alkalmaznak. Egy-egy versenyzőnek 25 perc áll a rendelkezésére.
Már a pénteki első, egy ausztrál hacker is sikerrel járt, aki egy nagyvállalat ügyintézőjének elmondta (az azonosítási kérést figyelmen kívül hagyva), hogy még új, alig egy hónapja dolgozik a cég ausztrál leányvállalatánál, és sürgősen szüksége lenne bizonyos adatokra, mivel a főnöke idő előtt jött vissza, és még nem végzett a munkájával. A beszélgetéssel és egy hamis weboldallal meggyőzte az illetőt, és megkapta a kért információkat. Majd megköszönte a segítséget, és megígérte, hogy meghívja egy sörre a megvezetett partnert. Mint később elmondta, körülbelül 20 órát készült a hívásra, pontosan tudta, kit fog keresni. Nem mindegy ugyanis, hogy az illető mióta dolgozik a kiszemelt cégnél (a legkönnyebb az újakat becsapni), s az sem, hogy a hivatali ranglétrán hol áll, mivel a legtöbb esetben minél magasabban áll a hierarchiában a beszélgetőtárs, annál kisebb az esély a sikerre.
Bár a beszámolók szerint ez volt a nap legjobb produkciója, az összes aznapi induló megszerezte a kívánt adatokat. Chris Hadnagy, a verseny egyik ötletgazdája szerint az áldozatok a legtöbbször valószínűleg érzékeny információkat (azonosítókat, jelszavakat, sőt akár a családi fotóikat) is kiadtak volna, ha azt kérik tőlük. De ilyen nem történik meg, mivel a verseny szabályai tiltják, hogy az indulók ilyesmiket szerezzenek meg, ahogy bizonyos kormányzati, illetve pénzügyi intézmények is tiltólistán vannak.
Az utóbbiak ellenére az FBI-nak komoly aggályai vannak, habár a szervezők egy hónapja már egyeztetésen is jártak a Szövetségi Nyomozóiroda illetékeseinél. Végül is meg tudtak állapodni, s a civil jogvédő szervezet, az Elentronic Frontier Foundation is felajánlotta jogi támogatását Hadnagyéknak.