Attacco letale a base di chiavetta USB

L'ingegneria sociale progredisce, facendo leva sulla morbosa curiosità del genere umano. Si aprono altre voragini di sicurezza.



[ZEUS News - www.zeusnews.it - 11-06-2006]

Una chiavetta USB

Non c'è sistema di sicurezza informatico a prova di intrusione, perché ad amministrare la rete, al di qua del monitor, ci sono persone, con le loro debolezze, meschinità, avidità. Già vi abbiamo detto dell'esperimento di Venezia, dove è bastata una rivista gratis per estorcere ogni tipo di informazione.

Ma l'indagine di Dark Reading, volta a valutare la sicurezza della rete di un istituto di credito, mostra aspetti anche più inquietanti.

Il cliente aveva chiesto un test particolarmente duro, che coinvolgesse anche tecniche di ingegneria sociale. Nel passato, avevano avuto problemi di fuoriuscita di informazioni rilevanti, a causa del comportamento "leggero" degli impiegati.

Anche i media USB, facilmente portabili nel taschino e capaci di sottrarre grandi quantità di dati, preoccupavano la direzione. In genere, nulla si fa per proteggersi da queste semplici macchine e ci si concentra molto sui potenziali pericoli provenienti dalla Rete.

Gli impiegati erano già stati sottoposti a test di social engineering, quindi già si aspettavano tattiche tipo chiacchiere in sala fumatori, adulazione degli addetti al call-center, o occupazione di una sala riunioni (con lo spinotto della rete disponibile) con un finto incontro tra sconosciuti. Il cavallo di troia del test è stato così la chiavetta USB.

Gli incaricati di Secure Network Technologies hanno raccolto una ventina di chiavette USB, di quelle che circolavano in azienda come gadget, e vi hanno installato un software-spia, tecnicamente un trojan horse, per raccogliere login name, password, identificazioni hardware, e qualunque altra informazione sulla macchina in cui sono inserite, e spedirle via mail a un indirizzo predeterminato.

L'ostacolo maggiore era far finire queste chiavette nelle mani degli operatori della banca. Sono state seminate nei luoghi più frequentati, tipo accanto alla macchina del caffè o alla fotocopiatrice. Attraverso le telecamere interne, si sono controllati gli impiegati che raccoglievano l'oggetto, lo lasciavano distrattamente scivolare in tasca, e appena giunti in ufficio, lo inserivano nel PC per cogliere le "preziose informazioni" in esso contenute.

I dati riservati di questo istituto hanno cominciato da subito ad affluire nella mail dell'autore del trojan. Risultati: delle venti chiavette seminate, quindici sono state raccolte, e tutte sono state inserite nei PC aziendali, dei cui dati riservati hanno fatto man bassa.

La parte migliore dell'intero progetto è stata la sua convenienza. Poche righe di codice per fare il trojan, venti chiavette usate, e il gioco è fatto. Raramente un attacco informatico raggiunge questo tipo di successo.

Un passo avanti nel campo dell'ingegneria sociale, perché non si è spinto sui soliti tasti della fresconaggine degli utenti, nè si è cercato di blandirli con omaggi, complimenti, o addirittura denaro.

Qui si è agito sulla curiosità morbosa di ciascuno di noi di farsi gli affaracci di un altro, vedere che tipo di file ha salvato, i suoi appuntamenti, i suoi appunti, le sue letture, i suoi eventuali vizi privati.

Gli autori dei più letali virus spediti via email, o delle tecniche di phishing più sofisticate, utilizzano questa stessa, umana, miserabile vulnerabilità. Tutta la tecnologia di questo mondo, compresi i sistemi del TCG, non riuscirà a raddrizzare la natura umana.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)

{Roberto}
Di chi è la responsabilità Leggi tutto
17-6-2006 10:23

un post-it nella bacheca aziendale Leggi tutto
15-6-2006 16:02

{utente anonimo}
non facciamo si tutta l'erba un fascio Leggi tutto
15-6-2006 13:15

è sufficiente uno script per bucare un intero parco macchine Leggi tutto
13-6-2006 18:07

pochi client Leggi tutto
13-6-2006 09:03

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Hai una carta fedeltà o di raccolta punti?
Ebbene sì, ne ho diverse. E non ci trovo niente di male.
Mi sono lasciato infinocchiare. Ne ho qualcuna e mi vergogno un po'.
Lungi da me!

Mostra i risultati (2403 voti)
Dicembre 2019
Il preservativo per i dispositivi USB
Il motorino elettrico di Xiaomi che costa come uno smartphone
Il ransomware che riavvia il PC in modalità provvisoria
Il malware fileless che attacca i Mac
Il software per ricevere gli update di Windows 7 senza pagare
Plex sfida Netflix con migliaia di film e serie TV gratis per tutti
Aggiornare gratis a Windows 10 si può ancora, ecco come
Scovare il Product Key di Windows usando solo il sistema operativo
Novembre 2019
WhatsApp, arrivano i messaggi che si autodistruggono
Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito
Il pickup elettrico di Tesla debutta con una figuraccia
Falla nell'app fotocamera di Android, milioni di smartphone a rischio
Windows 10, iniziano gli aggiornamenti forzati
Facebook attiva di nascosto la fotocamera dell'iPhone
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Tutti gli Arretrati


web metrics