Re: Possibile attacco quasi sempre di successo basato su socialengineeri

On Fri, 16 May 2003, giovambattista vieri wrote:

[Cut...]
> Mi piacerebbe conoscere la vostra opinione... La mia purtroppo e' che ci sia 
> poco da fare.

No la penso in modo diverso.
Ti faccio un esempio.

I sistemi aziendali utilizzano per garantire l'accesso ai servizi
in modo sicuro, certificando sia a livello client e server, un sistema basato 
sul certificato digitale, authority, CA ,etc etc...

Ovvio devi crearti una authority interna per i rilasci del certificato e alcune
semplici procedure interne e semplici regole da dire agli UTONTI.

Quindi, devi accedere al sistema di gestione presenze, ore lavorate,
Trouble Tiketing, Rubrica Aziendale, Reclami Interni e chi piu' ne ha piu'
ne metta.... 

Il Tuo browser utilizza il certificato che ti e' stato fornito, il primo
giorno che hai messo piede in azienda, con una password che hai digitato
TU personalmente.

Ti e' anche stato detto che e' l'unico modo per accedere ai servizi aziendali
e nel caso in cui ti si presenti davanti via web una richiesta di user e 
password, l'unica cosa che devi fare e' chiamare i servizi informativi
per segnalare il problema.

Lato server, ti viene detto che ogni server interno utilizza un sistema sicuro
che viene certificato internamente, quindi se digitando una url e ti appare
un problema sul certificato, l'unica cosa che devi fare e' alzare il telefono
e chiamare i servizi interni o mandare una mail ai servizi interni.

L'unica password che devi inserire e' quella della gestione del TUO certificato,
che ti viene richiesta dal TUO BROWSER, non da una pagina html...

Poi, tale certificato(o un secondo certificato) e' utilizzato per segnare le 
email, i documenti. Nel caso in cui ricevi una mail di un collega senza 
signature digitale tale mail deve essere considerata PROBABILEMENTE 
contraffatta e devi chiamare il mittente per chiedere conferma di tale email.

In Ogni caso nessuno deve richiederti alcuna password. NESSUNO.

Come per il PIN del bancomat ... tutti ci hanno insegnato che nessuno lo deve 
sapere oltre noi...e nessuno ha l'autorita' o motivi di richiedercelo se non il
bancomat stesso quando siamo noi a prelevare soldi.

In questo modo sposti la sicurezza non sull'utente ma sul sistema...chi forza
la tua authority, ha scardinato il tuo castello di difesa, se sei bravo e
PARANOICO, la possibilita' che questo avvenga puo' tendere a zero.

che ne pensi di questo punto di vista?


-
-- 
Lt.Cmd. Geordi LaForge Uss Enterprise - Ncc 1701E - U.F.P. -
http://www.ncc1701e.net - Living beyond...to make the Difference -
-------------------------------------------------------------------------------
Echelon Key: hacking war kill bomb atomic terrorist anarchy usa bush
crackdown g8 alien nuclear TS/SCI TALENT KEYHOLE KH-11 SILVER RUFF TEAPOT
UMBRA ZARF NOFORN SAC Hezbollah Red Brigade Shining Path Tamil Tigers IRA ETA
FLNC PKK UCK CIA NSA DIA NRO KGB FAPSI FSB GRU M15 M16 GCHQ DGSE BND MOSSAD CSE
-------------------------------------------------------------------------------
PGP Key Fingerprint = C30E 821C 39FC 2C4E 1A04 42FE 9352 351C 463B 4317D


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List