PEBKAC


Il titolo si riferisce ad uno dei tanti modi per indicare l’equivalente informatico del fattore umano.

Negli ultimi tempi, infatti, parlare della sicurezza di un sistema operativo senza considerare il suo utente è pura propaganda markettara. Bisogna, invece, considerare l’utente e il computer nel suo insieme: un sistema sarà sicuro quando sia il computer sia l’utente avranno un altro grado di sicurezza.

Uno dei test più semplici per valutare il fattore umano è quello, oramai diventato un classico, di disseminare delle chiavette USB nei pressi (parcheggi) dell’organizzazione da testare o in zone strategiche (aree break). Ovviamente queste chiavette contengono un malware studiato ad hoc per vedere quanti utenti contravvengono alle più banali regole di sicurezza.

Un test simile svolto di recente presso il Department of Homeland Security americano ha rivelato un 60% di persone che hanno infilato la chiavetta nel PC di lavoro; la percentuale sale al 90% se la chiavetta è marchiata con un logo noto, un ottimo elemento di social engineering da tener presente.

Dal momento che più grossa è l’organizzazione e maggiore è la probabilità che i computer non siano aggiornati con le ultime patch, è facile capire come sia relativamente semplice impiantare un malware in uno o più PC, che possono essere utilizzati come teste di ponte per accedere ai dati dell’organizzazione. (via Mikko Hypponen, TNW, Bloomberg)


6 risposte a “PEBKAC”

  1. L’unico modo per rendere i sistemi un po` piu` sicuri e` tornare ai terminali stupidi. Stupido l’utente, stupido il terminale. E` l’unica soluzione.

  2. Durante una tranquilla giornata da cliente in banca ho proposto all’impiegato di scaricare sul suo computer la copia pdf di un documento contenuta nella mia chiavetta usb, mi ha risposto molto cordialmente <>.
    Avrei voluto cambiare banca! 🙁
    Stessa cosa fatta in un ufficio di una compagnia di assicurazioni, con stesso risultato… e questa compagnia usa pure un metodo di autenticazione in chiaro… a dirla con la voce di Franco Lechner, manco l’https…

  3. oops sono stati mangiati i caratteri 😛 , per i curiosi l’impiegato della banca ha risposto “Certamente!”

  4. […] Non basta mettere un firewall con un IDS per sentirsi al sicuro perché bisogna controllare continuamente i log dell’IDS e tenere il firewall aggiornato. Anche queste misure, però, sono inefficaci finché ci sono utenti che inseriscono chiavette USB nei PC senza pensarci due volte. […]

Rispondi a Kurgan Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *