Chiavette USB e Social Engineering

Chiavette USB e Social Engineering La nuova frontiera del Social Engineering, dopo la barretta di cioccolato e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la chiavetta USB. Come testare, infatti, la sicurezza di una nota società di credito? Beh, gli auditor incaricati da un noto nome americano hanno pensato di utilizzare un trucco semplice ma al tempo stesso geniale; durante la notte hanno** disseminato nei dintorni dell’edificio** principale della struttura da sottoporre a auditing una serie di vecchie chiavette USB appositamente preparate. Le chiavette contenevano interessanti documenti, oltre a immagini, testi ed ovviamente un troyan appositamente preparato per spedire password ed informazioni riservate agli Auditor stessi. Il risultato è stato a dir poco “strepitoso” se si pensa che delle 20 chiavette disseminate ben 15 sono state utilizzate sui computer aziendali, iniziando pochi minuti dopo l’inizio della giornata lavorativa a spedire agli esterrefatti Auditor (sorpresi soprattutto della immediatezza dell’azione) dati e informazioni classificate come confidenziali. La manovra ha tutte le carte in regola per essere una ottima strategia di Social Engineering: ha una pericolosità percepita molto bassa, una altissima attrattiva percepita e soprattutto stimola la curiosità insita in qualunque persona di andare a “rovistare” nelle più private informazioni di un utente, magari sognando dati compromettenti, buffi o scabrosi. La questione rimane però aperta sia per quanto riguarda le politiche di sicurezza delle aziende (mai introdurre media sconosciuti nel sistema) sia soprattutto per quanto riguarda la sempre** maggiore ingerenza di questo tipo di tecnologie** nella vita societaria. E’ infatti sempre più semplice ottenere dispositivi che memorizzino informazioni e che possano sottrarle all’azienda. Si pensino, a titolo di esempio, lettori MP3 di svariati giga, cellulari con memory card spesso superiori ad un giga e tutte le amenità tascabili e da polso di periferiche di memorizzazione USB… Sempre più mi accorgo quanto siano importanti, in ambito Corporate, le Policy di Sicurezza e mi ritrovo ad aspettare con impazienza di passare l’esame di aggiornamento ad Auditor 27001 di metà Luglio… via [DarkReading]

Autore:

No, il terrorismo non c’entra con la sorveglianza di massa

E non lo dico io, lo dice Nils Muižnieks, Commissario ai Diritti Umani del Consiglio Europeo che si pronuncia in modo perentorio affermando che: The “secret, massive and indiscriminate” surveillance conducted by intelligence services and disclosed by the former US intelligence contractor Edward Snowden cannot be justified by the fight against terrorism, the most senior […]