Re: Possibile attacco quasi sempre di successo basato su social engineer

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2003 ml@sikurezza.org
Soggetto: Re: Possibile attacco quasi sempre di successo basato su social engineering
Mittente: Fabio Pietrosanti (naif)
Data: 22 May 2003 00:32:52 -0000

On Fri, May 16, 2003 at 04:19:45PM +0200, giovambattista vieri wrote:
> Purtroppo a quanto pare non e' piu' sufficiente proteggere un server con le 
> migliori tecniche di networking.... Bisogna anche preoccuparsi di questo tipo 
> di attacchi che sono tecnicamente nulli ma devastanti ai fini pratici.
> Mi piacerebbe conoscere la vostra opinione... La mia purtroppo e' che ci sia 
> poco da fare.

Lo sono (devastanti) quando si da' in mano agli utenti troppo potere 
( es: la decisione di scegliersi una password piuttosto che dargli in mano
una workstation su cui puo' installare quel che vuole ) .

Nel momento in cui prevedo metodi di strong authentication [1] e do' all'utente solo
cio' di cui ha bisogno [2] questo sulla mia infrastruttura IT ha ben poco potere e, per
quanto il social enginering sia sempre applicabile, i danni che la sua ingenuita'/stupidita'
puo' arrecare sono molto ridotti.

La questione e' che e' vero che e' molto importante istruire e sopratutto
responsabilizzare [3] gli utenti ma pensiamoci solo quando abbiamo fatto veramente
bene la parte tecnica e il nostro management ci ha dato sufficienti risorse [4].

[1] preferisco password dinamiche con token che certificati digitali difficili da gestire

[2] perche' dare dei pc agli utenti quando le tecnologie di Server Based Computing evolvono
    velocemente, abbattono i costi e consentono un controllo accessi estremamente piu' granulare
    dando agli utenti dei terminali?

[3] Fare capire all'utente che se commette un danno o gli si incarta il
    sistema operativo puo' anche essere colpa sua e non necessariamente
    "affare dell'helpdesk".

[4] Che io abbia visto corsi di security awareness ( e sul rispetto delle
    policy ) per i dipendenti ne fanno solo in realta' grandi e veramente 
    strutturate dove il management dell'azienda ha veramente deciso di
    investire in sicurezza, ma le aziende con questo approccio sono veramente
    poche, per cui imho la soluzione e' praticamente sempre da trovarsi sul
    fronte tecnico ( almeno il tecnico sa' essere paranoico ;> ) .

Saluti

--

Fabio Pietrosanti ( naif )
E-mail: fabio@pietrosanti.it - naif@sikurezza.org
PGP Key available on my homepage: http://fabio.pietrosanti.it/
--
And you will learn to be paranoid and cynical...
--

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Possibile attacco quasi sempre di successo basato su social engineering, fabio macor

In risposta a:
- Possibile attacco quasi sempre di successo basato su social engineering, fabio macor
- Re: Possibile attacco quasi sempre di successo basato su social engineering, giovambattista vieri

Data:
- precedente: Re: accesso ftp degli utenti, soluzione sicura, pbm
- successivo: Re: aspetti legali nella conservazione di dati sensibili, Daniele Minotti
- indice

Argomento:
- precedente: Re: Possibile attacco quasi sempre di successo basato su social engineering, massimo
- successivo: Re: Possibile attacco quasi sempre di successo basato su social engineering, fabio macor
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005