Re: Possibile attacco quasi sempre di successo basato su social engineer

Io sono ,entro certi limiti, della tua stessa opinione.....
purtroppo il lato umano č un tasto abbastanza dolente....

io sto in un'azienda da circa 2000 utenti e relativi Pc tutti in una unica
grande LAN e spesso vedo e mi chiedo come mai questo aspetto venga
trascurato dall' IT interno all'azienda (io ne sono un consulente
esterno)....
per il tipo di servizio che faccio vengo a conoscenza , con una facilitā
estrema,di user name/psw di un sacco di gente...
Ok capisco che molti si fidano di me (io li ricambio quanto a fiducia) e mi
rivelano i loro dati sensibili (psw) ma,dopo aver finito di fare quello che
mi compete, credo che automaticamente loro dovrebbero quanto meno cambiare
le pwd di accesso ed invece noto che anche settimane dopo sono sempre le
stesse finchč non sono io a dirgli di cambiarle...
questo č davvero allarmante....

concludo dicendo che blindare HW/SW un'azienda dā un ottimo margine di
sicurezza e su questo non ci piove ma come dicono nelle campagne di
sensibilizzazione estive "basta una disattenzione,un fiammifero/mozzicone di
sigaretta ( = UTENTI POCO CONSAPEVOLI  DEI RISCHI CHE SI CORRONO) per far
scoppiare un incendio"....

Deca



ps:una ML "amarissima"(= complessa per chi come me mastica pochissimo la
materia,afferro il 3% di quello che si scrive) ma davvero sensazionele per i
contenuti....
oggi ho potuto scrivere qualcosina anch'io...




----- Original Message ----- 
From: "fabio macor" <f.macor@blicomm.net>
To: <ml@sikurezza.org>
Sent: Monday, May 19, 2003 2:53 PM
Subject: Re: Possibile attacco quasi sempre di successo basato su social
engineering


> ----- Original Message -----
> From: "giovambattista vieri" <g.vieri@fastwebnet.it>
> To: <ml@sikurezza.org>
> Sent: Friday, May 16, 2003 4:19 PM
> Subject: Re: Possibile attacco quasi sempre di successo basato su social
> engineering
> > Salve, a mio avviso la tua mail e' un capolavoro di social engineering.
> > Personalmente ritengo che non vi sia molto da fare contro un simile tipo
> di
> > attacchi.
> > Purtroppo a quanto pare non e' piu' sufficiente proteggere un server con
> le
> > migliori tecniche di networking.... Bisogna anche preoccuparsi di questo
> tipo
> > di attacchi che sono tecnicamente nulli ma devastanti ai fini pratici.
> >
> > Mi piacerebbe conoscere la vostra opinione... La mia purtroppo e' che ci
> sia
> > poco da fare.
> >
> > Ciao
>
> Grazie per i complimenti.
> Credo anch'io che in realta ci sia ben poco da fare, ma credo che sia cosi
> da sempre.
> Non e una novita, il fattore umano e quello che gioca il ruolo
> fondamentale,
> in ogni cosa.
> Il mio esempio era ed e mirato a far capire quanto poco possano servire
> tutte le tecniche
> anti intrusione se questo fattore non viene preso in considerazione.
> Tutti noi abbiamo subito dei microfurti da persone che in gergo potremmo
> considerare
> "trusted", l'accendino, il pacchetto di sigarette, il libro o il cd.
> Questi fatti rientrano nell'ottica comune, per noi sono sostanzialmente
> trascurabili, in ambito
> informatico non dovrebbero.
> Un attacco basato sul social engineering ben forgiato puo aggirare tutte o
> quasi le infrastrutture
> di sicurezza classiche.
> Recentemente ho assistito ad un seminario dove si diceva una cosa
> verissima,
> un sistema antifurto
> cerca di prevenire il furto come deterrente e di sventarlo nei limiti del
> possibile
> ma non impedisce ad un nostro "amico" al quale prestiamo la vettura di
> rubarla.
> Questo perche l'utente e considerato "trusted".
> Allo stesso modo i dati sensibili di una azienda non sono al sicuro in
> nessun momento perche comunque
> sia qualcuno "trusted" vi puo' accedere. In questo caso non e
> necessariamente detto che l'utente
> in questione possa rubare i dati ma potrebbe essere la testa di ponte per
> una tecnica di social
> engineering che possa farvici arrivare.
> La sicurezza dei dati quindi non e intrinsecamente legata
> all'infrastruttura
> di protezione quanto invece
> al fattore umano che interagisce con essi.
> In sostanza, ogniuno di noi si sentirebbe tranquillo se avesse in casa un
> miliardo di euro
> posto che non sappia di averlo.
> Il bisogno di sicurezza va pari passo con la consapevolezza dell'oggetto o
> degli oggetti da proteggere.
> E' ovvio pensare che un sistema iperblindato possa contenere dati
> sensibili,
> proprio per la sua natura.
> E' anche ovvio, ingiustamente, credere che un sistema iperblindato possa
> essere sicuro e impenetrabile.
> I sistemi classici di prevenzione, tutela e le varie contromisure prendono
> in considerazione eventi
> a se stanti tralasciando quello che purtroppo e incontrollabile.
> Parlando in termini matematici potremmo dire che l'entropia che viene
> tenuta
> in considerazione
> all'atto della creazione di un sistema di sicurezza e veramente ridicola
> paragonata a quella che
> potenzialmente esiste in un attacco "umano".
> I classici sistemi di sicurezza sono basati su tipologie tecnofile che
> analizzano protocolli, anomalie
> e quant'altro e per quello possono anche funzionare ma come per
> l'antifurto
> impediscono singolarmente
> solo certi tipi di attacco.
> E' piuttosto borioso e fasullo credere di essere al sicuro per il semplice
> motivo che piu chiudiamo
> e blindiamo la nostra casetta e piu i ladri saranno incuriositi.
> Abbiamo tutti buona esperienza cinematografica di sistemi di sicurezza
> ipertecnologici impenetrabili
> penetrati invece tramite semplici attacchi ormonali da parte di super
> bellone di turno.
> Fantasia ? Forse, ma il fattore umano gioca un ruolo troppo fondamentale e
> troppo tralasciato.
> Sicuramente le politiche di sicurezza colmano le lacune dei protocolli,
> dei
> sistemi e delle infrastrutture
> ma non possono nulla nei confronti di questi semplici quanto letali
> approcci.
> Non prendetemi come un folle visionario, conosco benissimo la validita e
> la
> necessita di tutti
> i nostri orpelli anti intrusione ma sono quanto mai convinto che il 90 %
> dei
> nostri sforzi
> non sia mirato a potenziali personaggi realmente interessati ad entrare,
> quanto invece a una buona
> maggioranza di smanettoni poco preparati forniti di tutti i piu nuovi
> strumenti automatizzati, ed
> e proprio questo che mi fa sentire molto poco tranquillo.
> I piu preparati di noi saranno sicuramente in grado di colmare tutte o
> quasi
> le lacune conosciute
> e di prevenire anche alcune delle sconosciute ma possono poco o niente nei
> confronti dell'arma
> piu potente che un attaccante ha : la naturale predisposizione umana alla
> fiducia nei confronti di
> una persona conosciuta.
> A questo punto il panorama assume un aspetto nuovo e quanto mai
> inquietante.
> La mia convinzione, giusta o sbagliata che sia, anzi, la mia idea (perche
> convinzione e a dir poco
> esagerato) e che l'unico modo per proteggere i dati sensibili sia di
> rendere
> piu persone possibile
> partecipi alla loro tutela.
> Una "condivisione della sicurezza" porta il piano "umano" dal singolo al
> gruppo dove entrano in
> gioco fattori e valori ben diversi.
> Se ho le 12 chiavi della mia porta blindata posso chiudere tutto la
> mattina
> e accorgermi dell'intrusione
> alla sera, quanto tutto e stato portato via.
> Se ho 6 persone con le chiavi che controllano lo stato dell'appartamento
> ogni 4 ore riduco il rischio,
> ancora di piu se ogni persona fornisce un report a tutte le altre ogni
> qualvolta vi accede.
> Un attacco come quello proposto potrebbe miseramente fallire per il
> semplice
> fatto che
> la prima delle sei persone che riceverebbe la mail dovrebbe prima
> contattare
> le altre cinque prima
> di fornire dati sensibili, facendolo fallire.
> Le sei persone non dovrebbero essere contemporaneamente anche responsabili
> della sicurezza
> tecnologica ma solo "custodi di segreti", eventualmente anche parziali
> dove
> solo l'unione delle
> sei parti potrebbe dar luogo all'accesso ai dati segretissimi.
> Sono un visionario?
> Forse...
>
> Ciao
> Fabio Macor
>
>
>
>
> ---------------------------------------------
> Virus Free E-mail
> ---------------------------------------------
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List