La **nuova frontiera del Social Engineering**, dopo la [barretta di cioccolato](http://news.bbc.co.uk/1/hi/technology/3639679.stm) e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la **chiavetta USB**.
Come testare, infatti, la **sicurezza di una nota società di credito**? Beh, gli auditor incaricati da un noto nome americano hanno pensato di utilizzare un trucco semplice ma al tempo stesso **geniale**; durante la notte hanno** disseminato nei dintorni dell’edificio** principale della struttura da sottoporre a auditing una **serie di vecchie chiavette USB** appositamente preparate.
Le chiavette contenevano interessanti documenti, oltre a immagini, testi ed ovviamente **un troyan appositamente preparato** per spedire password ed informazioni riservate agli Auditor stessi.
Il risultato è stato **a dir poco “strepitoso”** se si pensa che delle 20 chiavette disseminate ben 15 sono state utilizzate sui computer aziendali, iniziando pochi minuti dopo l’inizio della giornata lavorativa a spedire agli esterrefatti Auditor (sorpresi soprattutto della immediatezza dell’azione) **dati e informazioni classificate come confidenziali**.
La manovra ha tutte le carte in regola per essere **una ottima strategia di Social Engineering**: ha una pericolosità percepita **molto bassa**, una altissima **attrattiva** percepita e soprattutto stimola la **curiosità insita in qualunque persona** di andare a “rovistare” nelle più private informazioni di un utente, magari sognando dati compromettenti, buffi o scabrosi.
La questione rimane però aperta sia per quanto riguarda le **politiche di sicurezza** delle aziende (mai introdurre media sconosciuti nel sistema) sia soprattutto per quanto riguarda la sempre** maggiore ingerenza di questo tipo di tecnologie** nella vita societaria.
E’ infatti sempre più semplice ottenere **dispositivi che memorizzino informazioni** e che possano sottrarle all’azienda. Si pensino, a titolo di esempio, lettori MP3 di svariati giga, cellulari con memory card spesso **superiori ad un giga** e tutte le amenità tascabili e da polso di periferiche di memorizzazione USB…
Sempre più mi accorgo **quanto siano importanti**, in ambito Corporate, le Policy di Sicurezza e mi ritrovo ad aspettare con impazienza di passare l’esame di aggiornamento ad **Auditor 27001** di metà Luglio…
*via [[DarkReading](http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1)]*
Chiavette USB e Social Engineering
C
