Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 2 Settembre 2021 11:30
Il grande Kevin Mitnick disse “There is no patch for human stupidity” e oggi ne parleremo con dei fatti conosciuti accaduti nei comparti che dovrebbero essere più all’avanguardia sulla sicurezza informatica.
Le misure tecniche di sicurezza non riducono tutti i rischi di attacco informatico attraverso metodi di Social Engineering, in quanto non esiste un dispositivo che possa far comportare le persone in un modo consono.
Due anni prima del Datagate, il Dipartimento della sicurezza interna degli Stati Uniti (DHS) ha effettuato un test sul suo personale e riportò che molti addetti ai lavori si sono comportati in modo non adeguato.
Infatti, la sicurezza interna ha sparso diversi CD nel parcheggio vicino al palazzo del governo. Alcuni di loro non erano contrassegnati, mentre altri portavano il logo del DHS.
Seduti dietro i monitor delle telecamere di sorveglianza, gli agenti hanno iniziato a osservare il comportamento delle persone.
Il 60% dei dischi senza etichetta è stato prelevato e inserito nelle unità dei PC di lavoro dei dipendenti dei vari reparti.
Mentre invece il gruppo dei dischi con il logo del ministero, è stato inserito nei PC per il 90% dei casi. Psicologicamente e probabilmente, tutti pensavano di aver trovato una perdita di informazioni preziosa e volevano sentirsi all’interno di una spy story.
Una storia simile è successa nella primavera del 2018 con il Ministero della Difesa israeliano.
Le reti di computer collegate all’IDF sono state infettate per la prima volta dal primitivo worm ILOVEYOU nel 2000.
Per aggirare gli antivirus, gli autori hanno utilizzato il metodo dell’offuscamento, ma l’obiettivo principale era il metodo di distribuzione manuale.
Sono state inviate e-mail a tutti gli indirizzi pubblici del Ministero della Difesa israeliano e delle sue controparti con l’oggetto “Ragazze delle forze di difesa israeliane” e variazioni di significato simile.
I dipendenti curiosi hanno eseguito l’allegato nonostante gli avvisi dei sistemi di sicurezza integrati su un allegato sospetto.
Questa è quella che si chiama “stupidità umana”, e non esistono firewall, end point protection, intelligenze artificiali (almeno per oggi), che possono arginare un errato comportamento umano, se non una corretta educazione al digitale e la consapevolezza al rischio.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
