Chiavette USB e Social Engineering

C

![Chiavette USB e Social Engineering](http://fast.mgpf.it/20060609_Usb.jpg)
La **nuova frontiera del Social Engineering**, dopo la [barretta di cioccolato](http://news.bbc.co.uk/1/hi/technology/3639679.stm) e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la **chiavetta USB**.
Come testare, infatti, la **sicurezza di una nota società di credito**? Beh, gli auditor incaricati da un noto nome americano hanno pensato di utilizzare un trucco semplice ma al tempo stesso **geniale**; durante la notte hanno** disseminato nei dintorni dell’edificio** principale della struttura da sottoporre a auditing una **serie di vecchie chiavette USB** appositamente preparate.
Le chiavette contenevano interessanti documenti, oltre a immagini, testi ed ovviamente **un troyan appositamente preparato** per spedire password ed informazioni riservate agli Auditor stessi.
Il risultato è stato **a dir poco “strepitoso”** se si pensa che delle 20 chiavette disseminate ben 15 sono state utilizzate sui computer aziendali, iniziando pochi minuti dopo l’inizio della giornata lavorativa a spedire agli esterrefatti Auditor (sorpresi soprattutto della immediatezza dell’azione) **dati e informazioni classificate come confidenziali**.
La manovra ha tutte le carte in regola per essere **una ottima strategia di Social Engineering**: ha una pericolosità percepita **molto bassa**, una altissima **attrattiva** percepita e soprattutto stimola la **curiosità insita in qualunque persona** di andare a “rovistare” nelle più private informazioni di un utente, magari sognando dati compromettenti, buffi o scabrosi.
La questione rimane però aperta sia per quanto riguarda le **politiche di sicurezza** delle aziende (mai introdurre media sconosciuti nel sistema) sia soprattutto per quanto riguarda la sempre** maggiore ingerenza di questo tipo di tecnologie** nella vita societaria.
E’ infatti sempre più semplice ottenere **dispositivi che memorizzino informazioni** e che possano sottrarle all’azienda. Si pensino, a titolo di esempio, lettori MP3 di svariati giga, cellulari con memory card spesso **superiori ad un giga** e tutte le amenità tascabili e da polso di periferiche di memorizzazione USB…
Sempre più mi accorgo **quanto siano importanti**, in ambito Corporate, le Policy di Sicurezza e mi ritrovo ad aspettare con impazienza di passare l’esame di aggiornamento ad **Auditor 27001** di metà Luglio…
*via [[DarkReading](http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1)]*

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.