Attacco letale a base di chiavetta USB

L'ingegneria sociale progredisce, facendo leva sulla morbosa curiosità del genere umano. Si aprono altre voragini di sicurezza.



[ZEUS News - www.zeusnews.it - 11-06-2006]

Una chiavetta USB

Non c'è sistema di sicurezza informatico a prova di intrusione, perché ad amministrare la rete, al di qua del monitor, ci sono persone, con le loro debolezze, meschinità, avidità. Già vi abbiamo detto dell'esperimento di Venezia, dove è bastata una rivista gratis per estorcere ogni tipo di informazione.

Ma l'indagine di Dark Reading, volta a valutare la sicurezza della rete di un istituto di credito, mostra aspetti anche più inquietanti.

Il cliente aveva chiesto un test particolarmente duro, che coinvolgesse anche tecniche di ingegneria sociale. Nel passato, avevano avuto problemi di fuoriuscita di informazioni rilevanti, a causa del comportamento "leggero" degli impiegati.

Anche i media USB, facilmente portabili nel taschino e capaci di sottrarre grandi quantità di dati, preoccupavano la direzione. In genere, nulla si fa per proteggersi da queste semplici macchine e ci si concentra molto sui potenziali pericoli provenienti dalla Rete.

Gli impiegati erano già stati sottoposti a test di social engineering, quindi già si aspettavano tattiche tipo chiacchiere in sala fumatori, adulazione degli addetti al call-center, o occupazione di una sala riunioni (con lo spinotto della rete disponibile) con un finto incontro tra sconosciuti. Il cavallo di troia del test è stato così la chiavetta USB.

Gli incaricati di Secure Network Technologies hanno raccolto una ventina di chiavette USB, di quelle che circolavano in azienda come gadget, e vi hanno installato un software-spia, tecnicamente un trojan horse, per raccogliere login name, password, identificazioni hardware, e qualunque altra informazione sulla macchina in cui sono inserite, e spedirle via mail a un indirizzo predeterminato.

L'ostacolo maggiore era far finire queste chiavette nelle mani degli operatori della banca. Sono state seminate nei luoghi più frequentati, tipo accanto alla macchina del caffè o alla fotocopiatrice. Attraverso le telecamere interne, si sono controllati gli impiegati che raccoglievano l'oggetto, lo lasciavano distrattamente scivolare in tasca, e appena giunti in ufficio, lo inserivano nel PC per cogliere le "preziose informazioni" in esso contenute.

I dati riservati di questo istituto hanno cominciato da subito ad affluire nella mail dell'autore del trojan. Risultati: delle venti chiavette seminate, quindici sono state raccolte, e tutte sono state inserite nei PC aziendali, dei cui dati riservati hanno fatto man bassa.

La parte migliore dell'intero progetto è stata la sua convenienza. Poche righe di codice per fare il trojan, venti chiavette usate, e il gioco è fatto. Raramente un attacco informatico raggiunge questo tipo di successo.

Un passo avanti nel campo dell'ingegneria sociale, perché non si è spinto sui soliti tasti della fresconaggine degli utenti, nè si è cercato di blandirli con omaggi, complimenti, o addirittura denaro.

Qui si è agito sulla curiosità morbosa di ciascuno di noi di farsi gli affaracci di un altro, vedere che tipo di file ha salvato, i suoi appuntamenti, i suoi appunti, le sue letture, i suoi eventuali vizi privati.

Gli autori dei più letali virus spediti via email, o delle tecniche di phishing più sofisticate, utilizzano questa stessa, umana, miserabile vulnerabilità. Tutta la tecnologia di questo mondo, compresi i sistemi del TCG, non riuscirà a raddrizzare la natura umana.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 11)

{Roberto}
Di chi è la responsabilità Leggi tutto
17-6-2006 10:23

un post-it nella bacheca aziendale Leggi tutto
15-6-2006 16:02

{utente anonimo}
non facciamo si tutta l'erba un fascio Leggi tutto
15-6-2006 13:15

sufficiente uno script per bucare un intero parco macchine Leggi tutto
13-6-2006 18:07

pochi client Leggi tutto
13-6-2006 09:03

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual il tuo principale strumento di gioco?
Il Pc
Il notebook
Il tablet
Il telefonino
La console di casa
La console portatile
Giochi tradizionali (da tavolo, di ruolo, di carte ecc.)
Giochi sul web

Mostra i risultati (2118 voti)
Ottobre 2019
Windows 7 a fine vita, Microsoft importuna coi pop-up
Linux, seria falla nel comando sudo
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Windows, l'aggiornamento impedisce di stampare
Antibufala: la Tesla della polizia rimasta a secco durante un inseguimento
Esplode lo smartphone in carica, muore ragazzina
Settembre 2019
Windows, l'aggiornamento di ottobre mette il turbo al Pc
Tutta la verità sul caso del dominio Italia Viva
Ecco perché gli aggiornamenti Windows hanno così tanti bug
A che età dare lo smartphone ai propri figli?
Usa NULL come targa pensando di beffare il sistema informatico delle multe
Gli USA scaricano Huawei e sui portatili arriva Linux Deepin
Tutti gli Arretrati


web metrics