Attacco letale a base di chiavetta USB

L'ingegneria sociale progredisce, facendo leva sulla morbosa curiosità del genere umano. Si aprono altre voragini di sicurezza.



[ZEUS News - www.zeusnews.it - 11-06-2006]

Una chiavetta USB

Non c'è sistema di sicurezza informatico a prova di intrusione, perché ad amministrare la rete, al di qua del monitor, ci sono persone, con le loro debolezze, meschinità, avidità. Già vi abbiamo detto dell'esperimento di Venezia, dove è bastata una rivista gratis per estorcere ogni tipo di informazione.

Ma l'indagine di Dark Reading, volta a valutare la sicurezza della rete di un istituto di credito, mostra aspetti anche più inquietanti.

Il cliente aveva chiesto un test particolarmente duro, che coinvolgesse anche tecniche di ingegneria sociale. Nel passato, avevano avuto problemi di fuoriuscita di informazioni rilevanti, a causa del comportamento "leggero" degli impiegati.

Anche i media USB, facilmente portabili nel taschino e capaci di sottrarre grandi quantità di dati, preoccupavano la direzione. In genere, nulla si fa per proteggersi da queste semplici macchine e ci si concentra molto sui potenziali pericoli provenienti dalla Rete.

Gli impiegati erano già stati sottoposti a test di social engineering, quindi già si aspettavano tattiche tipo chiacchiere in sala fumatori, adulazione degli addetti al call-center, o occupazione di una sala riunioni (con lo spinotto della rete disponibile) con un finto incontro tra sconosciuti. Il cavallo di troia del test è stato così la chiavetta USB.

Gli incaricati di Secure Network Technologies hanno raccolto una ventina di chiavette USB, di quelle che circolavano in azienda come gadget, e vi hanno installato un software-spia, tecnicamente un trojan horse, per raccogliere login name, password, identificazioni hardware, e qualunque altra informazione sulla macchina in cui sono inserite, e spedirle via mail a un indirizzo predeterminato.

L'ostacolo maggiore era far finire queste chiavette nelle mani degli operatori della banca. Sono state seminate nei luoghi più frequentati, tipo accanto alla macchina del caffè o alla fotocopiatrice. Attraverso le telecamere interne, si sono controllati gli impiegati che raccoglievano l'oggetto, lo lasciavano distrattamente scivolare in tasca, e appena giunti in ufficio, lo inserivano nel PC per cogliere le "preziose informazioni" in esso contenute.

I dati riservati di questo istituto hanno cominciato da subito ad affluire nella mail dell'autore del trojan. Risultati: delle venti chiavette seminate, quindici sono state raccolte, e tutte sono state inserite nei PC aziendali, dei cui dati riservati hanno fatto man bassa.

La parte migliore dell'intero progetto è stata la sua convenienza. Poche righe di codice per fare il trojan, venti chiavette usate, e il gioco è fatto. Raramente un attacco informatico raggiunge questo tipo di successo.

Un passo avanti nel campo dell'ingegneria sociale, perché non si è spinto sui soliti tasti della fresconaggine degli utenti, nè si è cercato di blandirli con omaggi, complimenti, o addirittura denaro.

Qui si è agito sulla curiosità morbosa di ciascuno di noi di farsi gli affaracci di un altro, vedere che tipo di file ha salvato, i suoi appuntamenti, i suoi appunti, le sue letture, i suoi eventuali vizi privati.

Gli autori dei più letali virus spediti via email, o delle tecniche di phishing più sofisticate, utilizzano questa stessa, umana, miserabile vulnerabilità. Tutta la tecnologia di questo mondo, compresi i sistemi del TCG, non riuscirà a raddrizzare la natura umana.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)

{Roberto}
Di chi è la responsabilità Leggi tutto
17-6-2006 10:23

un post-it nella bacheca aziendale Leggi tutto
15-6-2006 16:02

{utente anonimo}
non facciamo si tutta l'erba un fascio Leggi tutto
15-6-2006 13:15

è sufficiente uno script per bucare un intero parco macchine Leggi tutto
13-6-2006 18:07

pochi client Leggi tutto
13-6-2006 09:03

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A quali condizioni lavoreresti da casa anziché in ufficio?
Accetterei uno stipendio inferiore perché risparmierei sui trasporti e in tempo.
Vorrei uno stipendio maggiore perché l'azienda risparmierebbe su locali, strumenti, sicurezza.
Allo stesso stipendio.
Non rinuncerei al lavoro in ufficio per nulla al mondo.

Mostra i risultati (2458 voti)
Luglio 2020
Hai installato Immuni?
Windows 10 rinnova il menu Start
Arriva Edge, e i computer rallentano
Giugno 2020
Favicon sfruttate per rubare i dati delle carte di credito
Windows 10, dov'è finita l'opzione per rimandare gli aggiornamenti?
Windows 10, l'ultimo aggiornamento riavvia i Pc a forza
La Casa Bianca e il video delle cataste di mattoni
Pornografia, il Parlamento prepara un filtro al web
La foto che paralizza alcuni smartphone Android
Il trucco che elimina la pubblicità da YouTube
L'Italia censura il progetto Gutenberg
Immuni, chiedete e vi sarà dato
Altro che Immuni: il Bluetooth va tenuto spento!
Maggio 2020
Windows 10, rilasciato l'update di maggio. Microsoft: ''Non aggiornate''
Immuni, rilasciati i sorgenti
Tutti gli Arretrati


web metrics