Esteu aquí

Enginyeria Social. La via del USB

M'ha fet gràcia la historia que vaig llegir a DarkReading i de la que en faig un petit resum.

Durant una auditoria de seguretat informàtica a un empresa que es dedica a concedir crèdits i en la que els responsables d'aquesta es van mostrar molt preocupats especialment per el factor humà i lo fàcilment que en el passat els seus treballadors havien revelat les seves claus o compartit informació, així com el risc que suposen les memòries USB, la gent de Dark Reading (empresa que va dur a termini l'auditoria), va aconseguir entrar als sistemes i esbrinar tota mena d'informació utilitzant un truc ben senzill.

Per fer-ho, van agafar 20 memòries USB de propaganda, les van omplir d'arxius de diferents tipus, incloent-hi un troià que un cop executat a l'ordinador començaria a trametre informació als ordinadors de Dark Reading, i els van anar deixant "oblidats" a l'aparcament de l'empresa, les zones de fumadors i d'altres llocs d'aquesta empresa sota l'auditoria.
De les 20 memòries, 15 van ser trobades per empleats de l'empresa en qüestió i les 15 van acabar per ser endollades a la xarxa de l'empresa, ordinadors de la qual ràpidament van començar a trametre dades a Dark Reading. Cosa que els hi va permetre entrar als seus sistemes sense cap problema.

El més fotut, és que els empleats d'aquesta creditora estaven sota avís de que s'estava duent a terme l'auditoria de seguretat. Sembla clar que els responsables feien bé en estar preocupats per el risc que suposen les memòries USB.

El mes xocant del mètode utilitzat és el baixíssim risc que suposa per el qui ho vulgui utilitzar, ja que n'hi ha prou en deixar algunes memòries d'aquestes per allí escampades, i sense haver d'acostar-se tan sols a un ordinador i més encara sense haver d'entrar a les instal•lacions de l'empresa. Només cal confiar en la curiositat de la gent que acabi per fer la resta.

Fa ja uns anys en Kevin Mitnick ja havia fet servir un truc semblant a aquest per infiltrar-se als sistemes d'una empresa, en aquest cas deixant un diskette amb el software maliciós a un dels banys dels executius. Ara com que ja ningú fa servir diskettes ...