La prima cosa che cede in un sistema IT è l'uomo. Non serve che l'utente sentendosi vittima di Virus e Malware migra da Windows a Linux perché più sicuro come sistema, perché quindi nonChrome OS visto che ne è reduce vincitore dell'evento organizzato per tentare di "bucare" il sistema. Le tecnologie migliorano sotto ogni aspetto, offrono stabilità e miglior sicurezza con il tempo. Oggi tanti utenti usano Linux per vari motivi, ma nonostante questo è pur sempre l'uomo che fa si che sia più o meno sicuro. Parliamoci chiaro, il sistema sicuro è quello spento, inaccessibile fisicamente e non in rete, per il resto diciamo pure che rendiamo le cose difficili ai ficcanaso in modo di poterli tenere alla larga il più non posso. Certo che che se uno proprio deve e vuole, sarà una dura lotta, ma fatta di vittorie e sconfitte fin quando non si convincerà a tentare altrove.Chi non ha mai allineato un proprio dispositivo ad una rete aperta? Questa non sempre è pubblica, ma ignorata perché magari non abbiamo dispositivi per utilizzarla e ci colleghiamo in Ethernet (spero) visto che in USB sarebbe davvero uno spreco. Ecco, queste reti ignorate sono punti di accesso per chi le conosce bene, addirittura squadre girano tra i quartieri cercando AP liberi o poco protetti. Le protezioni sul wireless sono diverse, qualcuno preferisce rendere invisibile l'ESSID credendo che se il segnale non compare non può venir sfruttato. Altri ancora utilizzano protocolli di protezione semplici, visto che facendo un giro ho notato che su ogni 4 reti Wireless, due sono WPA2 una è WPA ed una è WEP ...e una rete WEP si cracca in un minuto. In tal caso consiglio a tutti di verificare l'età del proprio modem/router, quindi cambiarlo o farlo sostituire se in comodato o aggiornare il firmware se consente di aggiungere protocolli di cifratura più sicuri. Per quanto riguarda la sicurezza vedremo come si comporta un potenziale aggressore, indipendentemente dal tipo di accesso, quindi tutelarsi prendendo ogni eventuale contromisura a questo tipo di attacchi. Non prolunghiamoci in discorsi tecnici se prima non abbiamo ben chiaro dove si trova il punto più debole del Sistema, l'uomo. Infatti è grazie a questo che la maggior parte degli attacchi e intrusioni varie riscuotono successo, l'uomo nella sua buona fede o scarse conoscenze è il primo a cadere nella manipolazione di individui creativi e privi di scrupoli, l'uomo che cade vittima di tecniche, possiamo definirle proprio cosi, veri e propri studi di Ingegneria Sociale di cui solo la fantasia impone dei limiti, e come ben sappiamo, ciò che possiamo immaginare diventa possibile. Adesso però dobbiamo capire come comportarsi di fronte a casi simili, abbiamo la possibilità di conoscere queste tecniche descritte un due suoi libri da Kevin Mitnik "L'Arte dell'inganno" (Felrtinelli 2003) e "L'Arte dell'intrusione" (Feltrinelli 2006), per i cineasti consiglio la visione del Film "Takedown", più noto come Hackers 2. Le tecniche di Ingegneria Sociale sono varie, da una semplice conversazione telefonica al frugare nei cestini delle carta in cerca di informazioni, da un occhiata alle icone del desktop di un impiegato per vedere il software che usa o da una fotografia scattata da un cellulare per catturare una schermata ricca d'informazioni sensibili, queste ed altre ancora, alcune nemmeno immaginabili sono documenti importantissimi per un manipolatore sociale. Anche quando una tecnica di Phishing va a centro è opera di vulnerabilità dell'uomo, questo perché allarmato dalla mail ricevuta in merito al proprio conto o carta di credito, esegue subito l'accesso cliccando nel link associato e quindi inserendo le proprie credenziali di accesso e conto, ricevendo poi un messaggio di conferma che tutto è a posto mentre è proprio in quel momento che dovrebbe allarmarsi. La stessa cosa avviene anche con l'installazione di Trojan e malware in genere, questi nel 99% dei casi sono installati con il consenso dell'utente vittima. Le escamotage sono in agguato ogni giorno, una tecnica di manipolazione frequente ed in uso tutt'oggi è un offerta di lavoro che arriva da aziende straniere che non intendono aprire agenzie in Italia perché costose ma che vogliono espandersi, i settori sono vari e sempre difficili da verificare. Questi offrono un lavoro a dir poco allettante, uno stipendio che parte da 200 euro più incentivi, e già dallo stipendio fisso ci si deve fare qualche domanda, ma qualcuno ci cade sempre, magari spinto dal bisogno di reperire denaro per pagare l'affitto. La legge Italiana è molto chiara su determinati lavori, non è cosa per tutti ma richiede determinati requisiti, in particolare quando si eseguono transazioni (perché è di questo che si tratta). Infatti la vittima non deve far altro che dare le proprie coordinate bancarie o aprire un conto corrente, quindi nel giro di uno o due giorni dovrà prelevare la somma meno la percentuale dovuta ed eseguire la spedizione del denaro tramite Western Union e simili, in nominativi residenti all'estero, quindi non rintracciabili dalla Polizia Postale Italiana. Nel giro di una settimana verrete denunciati perché l'azienda o nominativo a cui vengono prelevati i soldi inoltra denuncia e sarete quindi i primi ad essere interrogati, potete dire che ignoravate il tutto e che era un lavoro, ma alla fine sarete incriminati per complicità. Se ricevete offerte simili controllate a dovere, non lasciatevi ingannare ne accecare dal bisogno di un lavoro perché le conseguenze non ve le raccomando. Quindi nel caso valutaste un offerta fate attenzione alla mail di riferimento, spesso gmail o di altri provvider, mentre su aziende serie questa è sempre del dominio interessato. Anche la sola mail non basta, cercate ogni informazione possibile, fate il whois dell'indirizzo aziendale, questo deve corrispondere, se localizzato negli USA ed il whois indica un azienda in Russia o altro paese non fidatevi. Ma torniamo al Social-engineering, trovate dettagli e informazioni su Internet, oppure visitate il sito social-engineer, magari trovate anche qualche informazione divertente come un manuale per farsi consegnare la Pizza a casa GRATIS. Per il momento ci salutiamo, spero di aver reso l'idea di quello che significa il titolo di questo post. La parte più debole e vulnerabile di un sistema è l'uomo che si trova tra la sedia e la tastiera, stessa cosa che molti amministratori di sistema dicono degli errori più comuni. La manipolazione è un Arte, ricordatelo sempre.... e non lo dico io ma Arthur Schopenhauer e da altri prima di lui che l'applicavano, Schopenhauer lo ha poi scritto in una sua Opera. Molto utile è saper riconoscere un tentativo di ingegneria sociale, questo PDF descrive vari metodi e relaziona il punto debole della struttura a quanto già detto, ma non solo, conoscere queste e altre tecniche fa si che possiamo prevedere un eventuale tentativo e accorgendosi del fatto possiamo respingerlo, sperando di averlo fatto in tempo.... buona lettura.
Lungo è assai meglio, imposta una password di almeno 16 caratteri
4/01/2013
La prima cosa che cede in un sistema IT è l'uomo
La prima cosa che cede in un sistema IT è l'uomo. Non serve che l'utente sentendosi vittima di Virus e Malware migra da Windows a Linux perché più sicuro come sistema, perché quindi nonChrome OS visto che ne è reduce vincitore dell'evento organizzato per tentare di "bucare" il sistema. Le tecnologie migliorano sotto ogni aspetto, offrono stabilità e miglior sicurezza con il tempo. Oggi tanti utenti usano Linux per vari motivi, ma nonostante questo è pur sempre l'uomo che fa si che sia più o meno sicuro. Parliamoci chiaro, il sistema sicuro è quello spento, inaccessibile fisicamente e non in rete, per il resto diciamo pure che rendiamo le cose difficili ai ficcanaso in modo di poterli tenere alla larga il più non posso. Certo che che se uno proprio deve e vuole, sarà una dura lotta, ma fatta di vittorie e sconfitte fin quando non si convincerà a tentare altrove.Chi non ha mai allineato un proprio dispositivo ad una rete aperta? Questa non sempre è pubblica, ma ignorata perché magari non abbiamo dispositivi per utilizzarla e ci colleghiamo in Ethernet (spero) visto che in USB sarebbe davvero uno spreco. Ecco, queste reti ignorate sono punti di accesso per chi le conosce bene, addirittura squadre girano tra i quartieri cercando AP liberi o poco protetti. Le protezioni sul wireless sono diverse, qualcuno preferisce rendere invisibile l'ESSID credendo che se il segnale non compare non può venir sfruttato. Altri ancora utilizzano protocolli di protezione semplici, visto che facendo un giro ho notato che su ogni 4 reti Wireless, due sono WPA2 una è WPA ed una è WEP ...e una rete WEP si cracca in un minuto. In tal caso consiglio a tutti di verificare l'età del proprio modem/router, quindi cambiarlo o farlo sostituire se in comodato o aggiornare il firmware se consente di aggiungere protocolli di cifratura più sicuri. Per quanto riguarda la sicurezza vedremo come si comporta un potenziale aggressore, indipendentemente dal tipo di accesso, quindi tutelarsi prendendo ogni eventuale contromisura a questo tipo di attacchi. Non prolunghiamoci in discorsi tecnici se prima non abbiamo ben chiaro dove si trova il punto più debole del Sistema, l'uomo. Infatti è grazie a questo che la maggior parte degli attacchi e intrusioni varie riscuotono successo, l'uomo nella sua buona fede o scarse conoscenze è il primo a cadere nella manipolazione di individui creativi e privi di scrupoli, l'uomo che cade vittima di tecniche, possiamo definirle proprio cosi, veri e propri studi di Ingegneria Sociale di cui solo la fantasia impone dei limiti, e come ben sappiamo, ciò che possiamo immaginare diventa possibile. Adesso però dobbiamo capire come comportarsi di fronte a casi simili, abbiamo la possibilità di conoscere queste tecniche descritte un due suoi libri da Kevin Mitnik "L'Arte dell'inganno" (Felrtinelli 2003) e "L'Arte dell'intrusione" (Feltrinelli 2006), per i cineasti consiglio la visione del Film "Takedown", più noto come Hackers 2. Le tecniche di Ingegneria Sociale sono varie, da una semplice conversazione telefonica al frugare nei cestini delle carta in cerca di informazioni, da un occhiata alle icone del desktop di un impiegato per vedere il software che usa o da una fotografia scattata da un cellulare per catturare una schermata ricca d'informazioni sensibili, queste ed altre ancora, alcune nemmeno immaginabili sono documenti importantissimi per un manipolatore sociale. Anche quando una tecnica di Phishing va a centro è opera di vulnerabilità dell'uomo, questo perché allarmato dalla mail ricevuta in merito al proprio conto o carta di credito, esegue subito l'accesso cliccando nel link associato e quindi inserendo le proprie credenziali di accesso e conto, ricevendo poi un messaggio di conferma che tutto è a posto mentre è proprio in quel momento che dovrebbe allarmarsi. La stessa cosa avviene anche con l'installazione di Trojan e malware in genere, questi nel 99% dei casi sono installati con il consenso dell'utente vittima. Le escamotage sono in agguato ogni giorno, una tecnica di manipolazione frequente ed in uso tutt'oggi è un offerta di lavoro che arriva da aziende straniere che non intendono aprire agenzie in Italia perché costose ma che vogliono espandersi, i settori sono vari e sempre difficili da verificare. Questi offrono un lavoro a dir poco allettante, uno stipendio che parte da 200 euro più incentivi, e già dallo stipendio fisso ci si deve fare qualche domanda, ma qualcuno ci cade sempre, magari spinto dal bisogno di reperire denaro per pagare l'affitto. La legge Italiana è molto chiara su determinati lavori, non è cosa per tutti ma richiede determinati requisiti, in particolare quando si eseguono transazioni (perché è di questo che si tratta). Infatti la vittima non deve far altro che dare le proprie coordinate bancarie o aprire un conto corrente, quindi nel giro di uno o due giorni dovrà prelevare la somma meno la percentuale dovuta ed eseguire la spedizione del denaro tramite Western Union e simili, in nominativi residenti all'estero, quindi non rintracciabili dalla Polizia Postale Italiana. Nel giro di una settimana verrete denunciati perché l'azienda o nominativo a cui vengono prelevati i soldi inoltra denuncia e sarete quindi i primi ad essere interrogati, potete dire che ignoravate il tutto e che era un lavoro, ma alla fine sarete incriminati per complicità. Se ricevete offerte simili controllate a dovere, non lasciatevi ingannare ne accecare dal bisogno di un lavoro perché le conseguenze non ve le raccomando. Quindi nel caso valutaste un offerta fate attenzione alla mail di riferimento, spesso gmail o di altri provvider, mentre su aziende serie questa è sempre del dominio interessato. Anche la sola mail non basta, cercate ogni informazione possibile, fate il whois dell'indirizzo aziendale, questo deve corrispondere, se localizzato negli USA ed il whois indica un azienda in Russia o altro paese non fidatevi. Ma torniamo al Social-engineering, trovate dettagli e informazioni su Internet, oppure visitate il sito social-engineer, magari trovate anche qualche informazione divertente come un manuale per farsi consegnare la Pizza a casa GRATIS. Per il momento ci salutiamo, spero di aver reso l'idea di quello che significa il titolo di questo post. La parte più debole e vulnerabile di un sistema è l'uomo che si trova tra la sedia e la tastiera, stessa cosa che molti amministratori di sistema dicono degli errori più comuni. La manipolazione è un Arte, ricordatelo sempre.... e non lo dico io ma Arthur Schopenhauer e da altri prima di lui che l'applicavano, Schopenhauer lo ha poi scritto in una sua Opera. Molto utile è saper riconoscere un tentativo di ingegneria sociale, questo PDF descrive vari metodi e relaziona il punto debole della struttura a quanto già detto, ma non solo, conoscere queste e altre tecniche fa si che possiamo prevedere un eventuale tentativo e accorgendosi del fatto possiamo respingerlo, sperando di averlo fatto in tempo.... buona lettura.
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento