Chiavette USB e Social Engineering

Chiavette USB e Social Engineering La nuova frontiera del Social Engineering, dopo la barretta di cioccolato e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la chiavetta USB. Come testare, infatti, la sicurezza di una nota società di credito? Beh, gli auditor incaricati da un noto nome americano hanno pensato di utilizzare un trucco semplice ma al tempo stesso geniale; durante la notte hanno** disseminato nei dintorni dell’edificio** principale della struttura da sottoporre a auditing una serie di vecchie chiavette USB appositamente preparate. Le chiavette contenevano interessanti documenti, oltre a immagini, testi ed ovviamente un troyan appositamente preparato per spedire password ed informazioni riservate agli Auditor stessi. Il risultato è stato a dir poco “strepitoso” se si pensa che delle 20 chiavette disseminate ben 15 sono state utilizzate sui computer aziendali, iniziando pochi minuti dopo l’inizio della giornata lavorativa a spedire agli esterrefatti Auditor (sorpresi soprattutto della immediatezza dell’azione) dati e informazioni classificate come confidenziali. La manovra ha tutte le carte in regola per essere una ottima strategia di Social Engineering: ha una pericolosità percepita molto bassa, una altissima attrattiva percepita e soprattutto stimola la curiosità insita in qualunque persona di andare a “rovistare” nelle più private informazioni di un utente, magari sognando dati compromettenti, buffi o scabrosi. La questione rimane però aperta sia per quanto riguarda le politiche di sicurezza delle aziende (mai introdurre media sconosciuti nel sistema) sia soprattutto per quanto riguarda la sempre** maggiore ingerenza di questo tipo di tecnologie** nella vita societaria. E’ infatti sempre più semplice ottenere dispositivi che memorizzino informazioni e che possano sottrarle all’azienda. Si pensino, a titolo di esempio, lettori MP3 di svariati giga, cellulari con memory card spesso superiori ad un giga e tutte le amenità tascabili e da polso di periferiche di memorizzazione USB… Sempre più mi accorgo quanto siano importanti, in ambito Corporate, le Policy di Sicurezza e mi ritrovo ad aspettare con impazienza di passare l’esame di aggiornamento ad Auditor 27001 di metà Luglio… via [DarkReading]

Autore:

Il nuovo sito di Confindustria è un colabrodo

Uno pensa che dopo anni di sicurezza informatica, dopo minchiate galattiche sparse per il mondo che dovrebbero aver insegnato qualcosa di Web Application Security, una PRIMARIA SOCIETA’ INTERNAZIONALE di sviluppo impari ad andare in bicicletta senza le rotelle. E invece no. Andate al nuovo sfavillante Sito di Confindustria… Ci siete? perfetto! La vedete la bella […]