Attacco letale a base di chiavetta USB.

Di Michele Bottari.

L'ingegneria sociale progredisce, facendo leva sulla morbosa curiosit del genere umano. Si aprono altre voragini di sicurezza.

ZEUS News.

www.zeusnews.it.

11-06-2006.

Il pericolo non  in una memoria USB.  nella nostra testa.

Non c' sistema di sicurezza informatico a prova di intrusione, perch ad amministrare la rete, al di qua del monitor, ci sono persone, con le loro debolezze, meschinit, avidit. Gi vi abbiamo detto dell' esperimento di Venezia, dove  bastata una rivista gratis per estorcere ogni tipo di informazione.

Ma l'indagine di Dark Reading, volta a valutare la sicurezza della rete di un istituto di credito, mostra aspetti anche pi inquietanti.

Il cliente aveva chiesto un test particolarmente duro, che coinvolgesse anche tecniche di ingegneria sociale.

Nel passato, avevano avuto problemi di fuoriuscita di informazioni rilevanti, a causa del comportamento "leggero" degli impiegati.

Anche i media USB, facilmente portabili nel taschino e capaci di sottrarre grandi quantit di dati, preoccupavano la direzione. In genere, nulla si fa per proteggersi da queste semplici macchine e ci si concentra molto sui potenziali pericoli provenienti dalla Rete.

Gli impiegati erano gi stati sottoposti a test di social engineering, quindi gi si aspettavano tattiche tipo chiacchiere in sala fumatori, adulazione degli addetti al call-center, o occupazione di una sala riunioni (con lo spinotto della rete disponibile) con un finto incontro tra sconosciuti. Il cavallo di troia del test  stato cos la chiavetta USB.

Gli incaricati di Secure Network Technologies hanno raccolto una ventina di chiavette USB, di quelle che circolavano in azienda come gadget, e vi hanno installato un software-spia, tecnicamente un trojan horse, per raccogliere login name, password, identificazioni hardware, e qualunque altra informazione sulla macchina in cui sono inserite, e spedirle via mail a un indirizzo predeterminato.

L'ostacolo maggiore era far finire queste chiavette nelle mani degli operatori della banca. Sono state seminate nei luoghi pi frequentati, tipo accanto alla macchina del caff o alla fotocopiatrice. Attraverso le telecamere interne, si sono controllati gli impiegati che raccoglievano l'oggetto, lo lasciavano distrattamente scivolare in tasca, e appena giunti in ufficio, lo inserivano nel PC per cogliere le "preziose informazioni" in esso contenute.

I dati riservati di questo istituto hanno cominciato da subito ad affluire nella mail dell'autore del trojan. Risultati: delle venti chiavette seminate, quindici sono state raccolte, e tutte sono state inserite nei PC aziendali, dei cui dati riservati hanno fatto man bassa.

La parte migliore dell'intero progetto  stata la sua convenienza. Poche righe di codice per fare il trojan, venti chiavette usate, e il gioco  fatto.

Raramente un attacco informatico raggiunge questo tipo di successo.

Un passo avanti nel campo dell'ingegneria sociale, perch non si  spinto sui soliti tasti della fresconaggine degli utenti, n si  cercato di blandirli con omaggi, complimenti, o addirittura denaro.

Qui si  agito sulla curiosit morbosa di ciascuno di noi di farsi gli affaracci di un altro, vedere che tipo di file ha salvato, i suoi appuntamenti, i suoi appunti, le sue letture, i suoi eventuali vizi privati.

Gli autori dei pi letali virus spediti via email, o delle tecniche di phishing pi sofisticate, utilizzano questa stessa, umana, miserabile vulnerabilit.

Tutta la tecnologia di questo mondo, compresi i sistemi del TCG, non riuscir a raddrizzare la natura umana.

Michele Bottari.

