mercoledì 4 agosto 2010

Domandare è lecito, rispondere è cortesia

Cosi' mi diceva sempre mia nonna quando ero piccolo. E a questa prescrizione devono essersi attenuti gli impiegati e gli addetti di call center che sono stati contattati dai partecipanti alla gara di "social engineering" inserita all'interno dell'evento Defcon appena svolto negli States.

Ma procediamo con ordine...

I migliori hacker che si dedicano al social engineering si sono dati appuntamento al Defcon di quest'anno per una gara che prevedeva in premio un iPad a chi fosse riuscito a carpire le maggiori informazioni alle aziende Fortune 500 utilizzando solo... le parole!

I limiti che si sono autoimposti per la gara erano: di tempo (30 minuti appena) e di perimetro (niente dati critici e niente societa' finanziarie o enti governativi), per il resto... massima liberta' all'inventiva e alla capacita' di persuasione.

Purtroppo, gli hacker si sono dimostrati bravissimi e, in un mezz'ora scarsa, sono riusciti ad ottenere moltissime informazioni rilevanti ai fini della preparazione di un attacco. Ad esempio, in un caso, hanno ottenuto le configurazioni dei PC aziendali (sistema operativo: Windows XP, Service Pack 3 - antivirus: McAfee VirusScan 8.7 -e-mail: Outlook 2003 Service Pack 3 - browser: IE 6).

Le modalita' di attacco, da Kevin Mitnick in poi, sono abbastanza note. Uno dei partecipanti, ad esempio, un certo Wayne (senza cognome, ovviamente), ad esempio, ha raccontato di essere un consulente della KPMG e di dover svolgere un audit in tempi molto stretti perche' il suo capo gli stava addosso e lui era in grande difficolta'. Neanche a dirlo, in poco tempo, è riuscito a trovare un addetto che, non solo gli ha dato tutte le informazioni che chiedeva, ma che e' andato anche a visitare un falso sito web della KPMG che Wayne aveva predisposto precedentemente (sarebbe stato quindi possibile infettare la macchina del povero addetto senza che lui se ne accorgesse).

E come Wayne anche gli altri hanno avuto modo di ottenere molte informazioni.

Insomma, un mezzo disastro. Alla faccia delle policy aziendali e dei programmi di awareness proprio sulla sicurezza.

Questa gara, alla fine, ha mostrato come, nonostante la tecnologia abbia fatto passi da gigante e ormai ci si trovi di fronte sistemi sempre piu' sofisticati,il fattore umano sia determinante, in un senso e nell'altro.

Inoltre, nel contesto specifico della sicurezza informatica, l'attaccante ha una serie di vantaggi che molto difficilmente possono essere pareggiati da chi difende e fare leva sul fattore umano puo' diventare davvero una mossa che permette di ottenere un immediato successo.

Sarebbe a questo punto veramente interessante vedere cosa succederebbe se la gara venisse svolta in Italia, chissa a quali informazioni si avrebbe accesso...

Gli organizzatori del Security Summit che ne pensano?

Nessun commento:

Posta un commento

http://www.wikio.it