Attacco letale a base di chiavetta USB

L'ingegneria sociale progredisce, facendo leva sulla morbosa curiosità del genere umano. Si aprono altre voragini di sicurezza.



[ZEUS News - www.zeusnews.it - 11-06-2006]

Una chiavetta USB

Non c'è sistema di sicurezza informatico a prova di intrusione, perché ad amministrare la rete, al di qua del monitor, ci sono persone, con le loro debolezze, meschinità, avidità. Già vi abbiamo detto dell'esperimento di Venezia, dove è bastata una rivista gratis per estorcere ogni tipo di informazione.

Ma l'indagine di Dark Reading, volta a valutare la sicurezza della rete di un istituto di credito, mostra aspetti anche più inquietanti.

Il cliente aveva chiesto un test particolarmente duro, che coinvolgesse anche tecniche di ingegneria sociale. Nel passato, avevano avuto problemi di fuoriuscita di informazioni rilevanti, a causa del comportamento "leggero" degli impiegati.

Anche i media USB, facilmente portabili nel taschino e capaci di sottrarre grandi quantità di dati, preoccupavano la direzione. In genere, nulla si fa per proteggersi da queste semplici macchine e ci si concentra molto sui potenziali pericoli provenienti dalla Rete.

Gli impiegati erano già stati sottoposti a test di social engineering, quindi già si aspettavano tattiche tipo chiacchiere in sala fumatori, adulazione degli addetti al call-center, o occupazione di una sala riunioni (con lo spinotto della rete disponibile) con un finto incontro tra sconosciuti. Il cavallo di troia del test è stato così la chiavetta USB.

Gli incaricati di Secure Network Technologies hanno raccolto una ventina di chiavette USB, di quelle che circolavano in azienda come gadget, e vi hanno installato un software-spia, tecnicamente un trojan horse, per raccogliere login name, password, identificazioni hardware, e qualunque altra informazione sulla macchina in cui sono inserite, e spedirle via mail a un indirizzo predeterminato.

L'ostacolo maggiore era far finire queste chiavette nelle mani degli operatori della banca. Sono state seminate nei luoghi più frequentati, tipo accanto alla macchina del caffè o alla fotocopiatrice. Attraverso le telecamere interne, si sono controllati gli impiegati che raccoglievano l'oggetto, lo lasciavano distrattamente scivolare in tasca, e appena giunti in ufficio, lo inserivano nel PC per cogliere le "preziose informazioni" in esso contenute.

I dati riservati di questo istituto hanno cominciato da subito ad affluire nella mail dell'autore del trojan. Risultati: delle venti chiavette seminate, quindici sono state raccolte, e tutte sono state inserite nei PC aziendali, dei cui dati riservati hanno fatto man bassa.

La parte migliore dell'intero progetto è stata la sua convenienza. Poche righe di codice per fare il trojan, venti chiavette usate, e il gioco è fatto. Raramente un attacco informatico raggiunge questo tipo di successo.

Un passo avanti nel campo dell'ingegneria sociale, perché non si è spinto sui soliti tasti della fresconaggine degli utenti, nè si è cercato di blandirli con omaggi, complimenti, o addirittura denaro.

Qui si è agito sulla curiosità morbosa di ciascuno di noi di farsi gli affaracci di un altro, vedere che tipo di file ha salvato, i suoi appuntamenti, i suoi appunti, le sue letture, i suoi eventuali vizi privati.

Gli autori dei più letali virus spediti via email, o delle tecniche di phishing più sofisticate, utilizzano questa stessa, umana, miserabile vulnerabilità. Tutta la tecnologia di questo mondo, compresi i sistemi del TCG, non riuscirà a raddrizzare la natura umana.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)

{Roberto}
Di chi è la responsabilità Leggi tutto
17-6-2006 10:23

un post-it nella bacheca aziendale Leggi tutto
15-6-2006 16:02

{utente anonimo}
non facciamo si tutta l'erba un fascio Leggi tutto
15-6-2006 13:15

è sufficiente uno script per bucare un intero parco macchine Leggi tutto
13-6-2006 18:07

pochi client Leggi tutto
13-6-2006 09:03

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Vuoi scaricare la canzone 'Yesterday' dei Beatles; esistono varie opzioni su Internet. Quale file scarichi tra i seguenti?
Yesterday-Beatles-Song.scr
Beatles_All_songs.zip
Beatles_Yesterday.mp3.exe
Betles-Yesturday.wma

Mostra i risultati (1647 voti)
Luglio 2025
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
Il pericolo delle eSIM
SPID, l'addio è ufficiale: il governo punta su CIE e IT Wallet
Bollette gonfiate, le strategie illecite. Scandalo energetico in Italia
Eliza colpisce ancora
Fuga da Windows: in tre anni ha perso 400 milioni di utenti. Preferiti Android, Mac e Linux
Giugno 2025
Windows 10, aggiornamenti gratuiti per tutti. Ma ci sono requisiti da rispettare
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE entro agosto 2026
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook, Google e Apple
Tracciamento delle notifiche: ultima frontiera
Amazon stringe sui resi: la finestra scende da 30 a 14 giorni
Passare a Windows 11 è più semplice con Windows Migration. La fine di Windows 10 è già arrivata
WhatsApp, ecco perché stai ricevendo un messaggio che ti chiede di aggiungere l'indirizzo email
Richiamati oltre un milione di power bank: potrebbero surriscaldarsi fino a prendere fuoco
La Danimarca lascerà Windows e Microsoft Office, passando a Linux e LibreOffice
Tutti gli Arretrati
Accadde oggi - 11 luglio


web metrics