Web Log di Raffaele Rialdi

Attacchi informatici alle banche ... io e Max l'avevamo detto!

La cronaca di oggi riporta due attacchi informatici stra-prevedibili, tanto che io e Max ne parliamo ormai da anni.

Il primo, da quanto leggo nell'articolo, sembra essere lo sniffing delle password i cui hash passano nei pacchetti SMB della rete bancaria. http://www.tg5.mediaset.it/cronaca/articoli/2008/03/articolo6353.shtml
Dall'articolo capisco che qualcuno ha installato un piccolo apparato alla rete fisica della banca raggiungibile tramite wifi dall'esterno della banca.

Il secondo è la falsificazione del fingerprint.
http://www.video.mediaset.it/video.html?sito=studioaperto&data=2008/03/14&id=35928&categoria=edizione/servizio&from=studioaperto
Di fantasia ce n'è voluta proprio poca. Il sistema è fin troppo facilmente ingannabile.

Si da il caso che alla scorsa WPC a Milano io e Max abbiamo spiegato e mostrato demo anche su questi attacchi:

1. In una delle tante demo ho usato un minuscolo access point per catturare il traffico di rete. Accedevo da remoto tramite un client SSH prelevando la cattura di rete e decrittando gli hash grazie alle mostruosamente grosse tabelle di rainbow sul computer fisso.
   Max ha più volte insistito sul fatto che la DMZ è morta perché la LAN ormai è troppo facilmente attaccabile.
   Io ho fatto proprio l'esempio di quanto sarebbe facile insinuare in una azienda un piccolo Access Point come quello da usare come ponte per un attacco.
   
   Signori, IPSEC esiste da un pezzo e qui, ancora una volta, sono mancate le giuste precauzioni!
   
2. Nella demo conclusiva alla nostra sessione, con il famigerato guanto da scheletro che ho recentemente rispolverato a Bologna, mi sono loggato a Windows XP con un'impronta digitale falsa che ho riprodotto facilmente con mezzi casalinghi.
   
   Sono ormai tre (3) anni che ripetiamo che il fingerprint NON è un dispositivo di sicurezza e per questo motivo il driver Microsoft non funziona sui sistemi operativi Server.
   Ancora una volta sono mancate le giuste precauzioni, oltre all'invasione della privacy per i 'normali' utenti bancari.

Un ultimo disclaimer per chi non è pratico di sicurezza. "Security through obscurity" NON funziona. Chi teme che, parlando di queste cose, si diano "cattive" idee ai malintenzionati si sbaglia di grosso. La storia della sicurezza dimostra esattamente il contrario. È necessario parlarne fino alla noia per rendere al corrente tutti del potenziale pericolo. Chi se ne capisce e ha cattive intenzioni non ha bisogno di ripetizioni.

Print | posted on venerdì 14 marzo 2008 23:44 |