A T T E N Z I O N E !
Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.
A proposito del lavoro che sto facendo, mi stupisco sempre di come si possa entrare in uffici e magazzini rigorosamente vietati al pubblico semplicemente agendo con disinvoltura. Sono autorizzato ad entrare ma non porto alcun badge, ed anche chi non mi ha mai visto prima non mi chiede nulla. Certo che entrare in un magazzino, prendere un carrello, caricare due computer, due monitor LCD ed uscire senza che nessuno dica nulla…. Oppure entrare in un ufficio e: “Buongiorno, devo cambiare il suo computer, mi dà per favore le sue password?”
Ormai, probabilmente, tutti sanno chi sono, grazie a “radio ufficio”, ma i primi giorni non credo che tutti lo sapessero.
Tra l’altro non è la prima volta che mi capita in lavori di questo tipo.
La magia del social engineering 😉
Social Engineering? LOL! Ora vi racconto: a seguito della migrazione alla nuova struttura (come ho scritto nello stesso blog linkato da Andrea prima), è stato necessario modificare alcune impostazioni per alcuni account di posta elettronica esterni. Ovviamente gli utenti non ricordavano nel modo più assoluto la password, e quindi:
– (me alza il telefono e chiama il provider) Driiin… Io: “Salve, sono XY di $Ente,mi passa un tecnico?”
Segretaria: “Certo”
Tecnico: “Salve, sono $TecnicoDiProvider, posso aiutarla?”
Io: “Salve, sono l’amministratore di sistema di $Ente. Mi serve una lista di tutti gli utenti che hanno una casella di posta sul dominio $DominioEsterno, con relative password, per reimpostarle”.
Tecnico: “Certo, gliele mando per EMAIL?”
Io (pensando): “Per email? Mah… anzi, ora gli dico di si, vediamo se me le manda davvero”
Io: “Si, per email va benissimo, il mio indirizzo è $IndirizzoSconosciutoSuDominioFarlocco.it, grazie”.
Tempo 2 minuti, ed un TECNICO che MAI e POI MAI mi ha parlato prima di allora, nè tantomeno conosco di persona, mi ha mandato in EMAIL una lista di utenti su un dominio di posta elettronica, completa di password, come attachment in plain text.
Nessuna verifica, nessun fax, nessuna conferma, niente di niente!
Altro che social engineering, basta chiedere… 😀 LOL!
è vero, però al Tambu tecnico dei tempi che furono dava più fastidio il contrario, ovvero dover svolgere lavori su macchine di cui:
– non si sapeva la password
– non si poteva rintracciare il padrone
– l’animale aveva impostato una password sul BIOS in modo che neanche Tambu con la password più potente della sua potesse bypassarlo senza fare operazioni complicate. ðŸ™
Beh, Tambu… per la pass del bios è semplice: o il jumper o, nei casi difficili, via la batteria dalla motherboard… 😉