Come usare Google per trovare i file contenenti password.
[ZEUS News - www.zeusnews.it - 28-10-2014]
In gergo si chiama security through obscurity, ossia "sicurezza tramite la segretezza", ed è uno degli errori più frequenti nel mondo della sicurezza informatica.
Tantissimi utenti, e purtroppo anche tante aziende, pensano ancora che per ottenere la sicurezza basti non divulgare i dettagli del funzionamento di un software o di un prodotto invece di farlo funzionare davvero in modo sicuro.
Un esempio classico di questo modo di pensare è dato dai tantissimi amministratori di sistemi informatici che usano software di controllo remoto, come VNC o TeamViewer, senza attivare la cifratura o la protezione tramite password.
Tanto, secondo loro, basta che nessuno sappia qual è l'indirizzo IP del computer da comandare a distanza e la sicurezza è garantita. È l'equivalente informatico di mettere le chiavi di casa sotto lo zerbino.
Un altro esempio è dato dai responsabili della sicurezza che mettono sui computer aziendali un file Excel contenente le password degli utenti senza proteggerlo con una password, perché tanto basta che nessuno sappia dov'è e come si chiama il file.
Questo approccio poteva avere senso, forse, prima dei motori di ricerca. Ma oggi Google, Bing e gli altri motori scandagliano ogni anfratto della Rete e trovano qualunque cosa sia esposta.
Per esempio, ecco come usare Google per trovare i file Excel contenenti password:
https://www.google.ch/search?q=filetype:xls+password
Davvero: basta così poco e viene fuori di tutto.
Sul versante del controllo remoto, invece, l'informatico Dan Tentler (@viss su Twitter), ha scritto un software che scandaglia tutta Internet in meno di un'ora, trova le sessioni di VNC e TeamViewer non protette da password e ne cattura le schermate.
Tentler pubblica le migliori qui, e c'è da sbellicarsi e rabbrividire, perché ci si trova di tutto: sistemi di controllo e sorveglianza di abitazioni, telecamere del CERN, impianti di condizionamento industriali, a schermate di monitoraggio di centrali idroelettriche italiane.
Non è un difetto del software: è colpa degli utenti che intenzionalmente non si proteggono pensando "tanto chi vuoi che scopra questa sessione", e questa è un'abitudine che va assolutamente abbandonata, perché oggi basta poco per scoprire questo e altro.
Lo scopo di Tentler è proprio questo: sensibilizzare mostrando cosa c'è la fuori. Così, magari, i responsabili di queste falle smetteranno di comportarsi in modo così imprudente.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
|
||
|
Gladiator