Chiavette USB e Social Engineering

09 Jun Hacking e Security

Chiavette USB e Social Engineering La nuova frontiera del Social Engineering, dopo la barretta di cioccolato e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la chiavetta USB.

Come testare, infatti, la sicurezza di una nota società di credito? Beh, gli auditor incaricati da un noto nome americano hanno pensato di utilizzare un trucco semplice ma al tempo stesso geniale; durante la notte hanno** disseminato nei dintorni dell’edificio** principale della struttura da sottoporre a auditing una serie di vecchie chiavette USB appositamente preparate.
Le chiavette contenevano interessanti documenti, oltre a immagini, testi ed ovviamente un troyan appositamente preparato per spedire password ed informazioni riservate agli Auditor stessi.

Il risultato è stato a dir poco “strepitoso” se si pensa che delle 20 chiavette disseminate ben 15 sono state utilizzate sui computer aziendali, iniziando pochi minuti dopo l’inizio della giornata lavorativa a spedire agli esterrefatti Auditor (sorpresi soprattutto della immediatezza dell’azione) dati e informazioni classificate come confidenziali.

La manovra ha tutte le carte in regola per essere una ottima strategia di Social Engineering: ha una pericolosità percepita molto bassa, una altissima attrattiva percepita e soprattutto stimola la curiosità insita in qualunque persona di andare a “rovistare” nelle più private informazioni di un utente, magari sognando dati compromettenti, buffi o scabrosi.

La questione rimane però aperta sia per quanto riguarda le politiche di sicurezza delle aziende (mai introdurre media sconosciuti nel sistema) sia soprattutto per quanto riguarda la sempre** maggiore ingerenza di questo tipo di tecnologie** nella vita societaria.
E’ infatti sempre più semplice ottenere dispositivi che memorizzino informazioni e che possano sottrarle all’azienda. Si pensino, a titolo di esempio, lettori MP3 di svariati giga, cellulari con memory card spesso superiori ad un giga e tutte le amenità tascabili e da polso di periferiche di memorizzazione USB

Sempre più mi accorgo quanto siano importanti, in ambito Corporate, le Policy di Sicurezza e mi ritrovo ad aspettare con impazienza di passare l’esame di aggiornamento ad Auditor 27001 di metà Luglio…

via [DarkReading]


Post Simili
post<li>
« Matteo Flora al TG3 (parte seconda)
Disabilitare WGA con le istruzioni di Microsoft »

13 commenti presenti.

  1. antonino
    09 Jun 06
    12:21 pm

    mah … niente di nuovo mi sa. nel nostro paese la gdf fa “social engineering” da quando è stata istituita solo che si chiama in un altro modo. il problema è che la sicurezza viene vista come un “problema informatico” o come un problema di “mera sicurezza”, dimenticando l’approccio globale al sistema impresa. ovviamente è influente sulla cosa la parcella … perchè una volta spese cifre folli per la “mera sicurezza”, non restano risorse per investire nella cultura d’impresa.

    antonino attanasio, avvocato e giurista di impresa

  2. Matteo G.P. Flora
    09 Jun 06
    12:28 pm

    Antonino, hai perfettamente ragione e tu sai quanto sia stato vicino ad alcune di queste tecniche e persone ;P

    Quelle del social engineering è un campo che nell’ambito del mio lavoro sai che è fondamentale… Stavo solamente riflettendo sulla praticità di questa soluzione da affinacare a quelle già utilizzate…

  3. marco
    09 Jun 06
    8:28 pm

    Antonino scusa ma tu che suggerisci, di lasciar perdere la
    sicurezza perche’ nel caso qualcuno rubasse i dati alla tua
    azienda tu li assisterai nel fare denuncia ad ignoti?

    La sicurezza “informatica” mica e’ una materia umanistica,
    che si possa rigirare con le parole, o c’e’ oppure non c’e'…

  4. antonino
    09 Jun 06
    10:52 pm

    caro marco, non mi sono spiegato. il concetto di “sicurezza” è concepito SOLO come protezione contro attacchi dall’esterno e/o dall’interno e gli attachi sono intesi solo nel senso classico come strumento per impadronirsi di qualcosa in maniera illecita. io ho ho un approccio più complesso e “umanista” come dici tu. perchè a differenza di chi ha una visione settoriale dell’impresa, io ho una visione “organica”, un po’ come fa il medico esperto di “medicina generale”. la visione settoriale non si interessa del futuro dell’azienda che pure dice di proteggere. bada solo al contingente. la visione organica, quel aquella del giurista di impresa, inquadra correttamente il problema “sicurezza” nel più ampio contesto dell’impresa come “corpo sociale” e, in quanto tale, complesso nelle sue articolazioni. solo così il problema “sicurezza” è finalizzato a ciò a cui serve l’impresa e cioé produrre profitti. altrimenti è solo “parassitismo” nella sua parte peggiore o “visione limitata” nella sua parte migliore. da questo punto di vista gli “esperti della sicurezza” non sono affatto diversi dagli “avvocati da tribunale” visto che i primi mettono la pezza prima e i secondi dopo. ma appunto sono solo pezze-

  5. Alessandro Recchia
    10 Jun 06
    8:09 am

    Il problema, in questo caso, secondo il mio punto di vista non sono le chiavette introdotte in azienda. Il problema è alla fonte. Nell’azienda, presa come test, probabilmente non venivano rispettate le più semplici e basilari regole di sicurezza informatica. Se ci fossero stati sistemi di sicurezza: antivirus, firewall e policy aziendali, non penso proprio che 15 su 20 chiavette avrebbero comunicato così allegramente con la rete esterna. In questo caso, lo stesso risultato si sarebbe ottenuto se il trojan l’avessero spedito via mial anzichè all’interno di un dispositivo USB, viste le misere difese.
    Quindi ribadisco che il problema non è il Social Engineering messo in atto con l’uso delle chiavette, ma bensì una scarsa ,se non nulla, conoscenza delle più semplici regole di sopravvivenza.

  6. marco
    10 Jun 06
    2:03 pm

    @ antonino :
    Si , ma “riassunto”, cosa proponi per le imprese? Perche’
    ammetto di concordare abbastanza con Alessandro Recchia,
    e la situazione in se’ non e’ che denoti delle grandi spese
    sostenute dalle aziende per la sicurezza (il “training” degli
    impiegati e l’adozione di software di protezione sarebbe la
    prima cosa da farsi, con dei costi tutt’altro che
    insostenibili rispetto ad esempio al costo delle singole
    postazioni PC)…

  7. paggetto
    10 Jun 06
    7:11 pm

    Beh Alessandro, per quanto guardi positivamente alla tua risposta, le soluzioni non sono mai unilaterali come vuoi farci intendere.
    Penultima riga: “ma bensì” non e’ italiano :-)
    (perdonate l’apostriofo sulla ‘e’, non ho i caratteri accentati…)

  8. marco
    11 Jun 06
    1:45 pm

    paggetto per favore specifica meglio, dici che “le soluzioni
    non sono mai unilaterali”, ma a parte che non specifichi da
    che altro lato dovremmo guardare per cercare la soluzione,
    (scusa se non vediamo nessun altro lato, forse potresti
    illuminarci…..) , a me sembra che “guardare da altri lati”
    non voglia dire altro che permettere ai “parassiti” di
    “mangiarsi” i fondi delle imprese:
    Che servono esperti di marketing o gruppi di analisti per
    ovviare a quelli che sono evidenti e non trascurabili
    problemi informatici?????
    Non me ne abbia chi ha una laurea in materie umanistiche o
    finanziarie, ma a ciascuno spetta il suo campo….
    (tu prenderesti come amministratore delegato un laureato
    in informatica?)

  9. antonino
    12 Jun 06
    1:52 am

    io a suo tempo ho lavorato all’ENEA e il direttore generale era un fisico. un amministratore delegato può essere chiunque abbia una professionalità tale da consentirgli di svolgere al meglio i suoi compiti. seconeo me qua si fa una trmenda confusione tra compiti manageriali e compiti “tecnici”. ci sono tecnicismi giuridici informatici contabili di marketing etc. insomma per ogni aspetto dell’attività d’impresa troviamo professionalità specifiche le quali devono risolvere determinati problemi o prevenire diseconomie o patologie particolari di sistema. l’errore è appunto nella visione parcellizzata dell’impresa. qua interviene l’umanista. non per superiorità intellettuale ma perchè proprio il corso di studi lo addestra ad una visione di insieme che altri non hanno. e non hanno NON perchè meno intelligenti o perchè di serie B, ma semplicemente perchè il lavoro da svolgere è strutturato in un certo modo. volendo poi banalizzare spiegatemi come faccio a fare il giurista d’ìmpresa quando l’informatico con la parcella s’è succhiata sutta la risorsa disponibile. ovviamente vale anche il contrario e cioè che magari l’avvocato piazza parcella megatonica e non resta nulla da destinare alle altre esigenze d’impresa. da qua una visione “collaborativa” che improntata al sacro principio dell’”unicuiqua suum” riesca a realizzare una autentica visione globale dell’impresa come organismo complesso. e quindi NON una mera sommatoria di problemi.

  10. Maurizio
    12 Jun 06
    4:56 pm

    Il problema in realtà e triplice… da una parte vi è senz’altro la leggerezza dei sistemisti o chi per essi che non hanno adottato i sufficenti mezzi per impedire la fuga di notizie.. perche vista cosi ci sta che un qualsiasi trojan inserito nel sistema permetta la comunicazione con l’esterno.. Lavorando nel campo della sicurezza mi sono imbattotto piu e piu volte in queste “leggerezze”, ma ci sono delle regole base, soprattuto quando si ha ha che fare con dati bancari, che non possono e non vanno trascurate, ma ahimè implementare livelli di sicurezza a i suoi costi e qui si subentra nel secondo problema, ovvero che le aziende quando si vedono davanti i conti per la sicurezza pensano subito ai tagli di fondi…vero e che ci sono molteplici soluzioni anche open source che possono ridurre al minimo le spese e alzare le prestazioni, ma qui si ritorna al primo problema.. ovvero sistemisti che si trovano tanto bene a fare install–>next–>next–>next–>fine.
    Infine l’ultimo anello della catena, nonchè il terzo problema, sono e rimarrano sempre gli “utonti” che aprono l’allegato che gli ha mandato l’amico/fratello/zioo con troppa legerezza.. o addirittura come in questo caso, la prima USB che gli capita per le mani..
    Come vedete dire sicurezza e dire tutto e niente…

    My2Cent

  11. » links for 2006-06-17   @   .:: Maurizio Pelizzone ::.
    17 Jun 06
    5:17 am

    [...] Chiavette USB e Social Engineering La nuova frontiera del Social Engineering, dopo la barretta di cioccolato e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la chiavetta USB. (tags: italian article geek) Bookmarks veloci per …                                         [...]

  12. Stefano
    05 Jul 06
    1:00 pm

    Problema sentitissimo da tutti, professionalmente suggerisco soluzioni tipo http://www.controlguard.com/index.asp mentre personalmente consiglio formazione del personale anche se poi sarei uno dei primi sprovveduti che andrebbe a vedere il contenuto di una chiavetta USB trovata per strada.

  13. Nuovo
    11 Oct 06
    5:25 pm

    Cavolo sono mesi che pensavo a questa tecnica e ora scopro che l hanno già resa operativa.
    Che sfiga quando lavori per persone che non ti ascoltano e peggio non ascoltano le tue idee

Scritto da Matteo G.P. Flora.
09 June 2006 alle 12:14 pm
13 commenti
Hacking e Security
comments feed.

Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete curiosi...