Discussione Istruire Personale sulla Sicurezza Informatica

[flo0p]

Ciao a tutti, spero questa sia la sezione giusta^^

Allora, cercavo qualche consiglio da voi

In ditta vogliono istruire il personale sulla sicurezza informatica simulando un paio di "attacchi" se cosi si possono chiamare e sono io che deve preparare questo progetto.
Di mio avevo pensato di preparare und WiFi protetto con una password abbastanza scarsa per Handshakarla e compararla con una Wordlist. (Fatto, aircrack e wireshark)
Poi, prepare una pennetta USB con un Password Grabber, quando la gente si alza dalla postazione di lavoro senza bloccare il computer. (bad usb con LaZagne)
Inoltre sto realizzando una pagina "Fake Login" di Facebook con il classico "eihlà, guarda questo video ma prima devi loggarti"
Un altra cosa da realizzare è con un disturbatore WiFi, mandare giu il segnale e poi fare una telefonata spacciandomi per il Provider dicendo che hanno problemi ed a breve passo, per farmi avere dati, si, proprio un bel social engineering...

Ed ora ho finito le idee, avete qualcosa da consigliarmi?

Naturalmente questo progetto mi è stato dato dal mio datore di lavoro proprio per istruire e mostrare che nella maggior parte dei casi la falla è l'umano stesso che sta dietro al computer.

Ringrazio per ogni inpuit di idee^^

Saluti Flo

StaySafe|[email protected]

 

[0xbro]

Ciao a tutti, spero questa sia la sezione giusta^^

Allora, cercavo qualche consiglio da voi

In ditta vogliono istruire il personale sulla sicurezza informatica simulando un paio di "attacchi" se cosi si possono chiamare e sono io che deve preparare questo progetto.
Di mio avevo pensato di preparare und WiFi protetto con una password abbastanza scarsa per Handshakarla e compararla con una Wordlist. (Fatto, aircrack e wireshark)
Poi, prepare una pennetta USB con un Password Grabber, quando la gente si alza dalla postazione di lavoro senza bloccare il computer. (bad usb con LaZagne)
Inoltre sto realizzando una pagina "Fake Login" di Facebook con il classico "eihlà, guarda questo video ma prima devi loggarti"
Un altra cosa da realizzare è con un disturbatore WiFi, mandare giu il segnale e poi fare una telefonata spacciandomi per il Provider dicendo che hanno problemi ed a breve passo, per farmi avere dati, si, proprio un bel social engineering...

Ed ora ho finito le idee, avete qualcosa da consigliarmi?

Naturalmente questo progetto mi è stato dato dal mio datore di lavoro proprio per istruire e mostrare che nella maggior parte dei casi la falla è l'umano stesso che sta dietro al computer.

Ringrazio per ogni inpuit di idee^^

Saluti Flo

StaySafe|[email protected]

Uno dei classicissimi è il file Excel contenente una macro malevola, prendi in considerazione anche questo scenario (ovviamente non mettere nulla di malevolo, giusto un qualcosa che riesca a indicarti l'IP o la username di chi ha aprto il file).

Non ho capito molto il senso di creare una rete con password debole, se la vostra rete è buona non ha senso crearne una debole apposta per i test.

L'idea delle USB è bella, a lavoro da noi fanno una cosa ancora più malefica: se il computer non è legato con il laccio di sicurezza (lavoriamo in un open space) te lo lega qualcuno e ti mette una password che non sai. In questo modo sei costretto a chiamare HR e beh... ti fai una figuraccia.

Per il resto ricordati però che il target dell'attività sono i processi e non le persone, per cui per il report usa solo numeri e mai identificativi univoci. Le persone sono da proteggere, non da usare come "cavie" Detto questo l'idea ci sta e spero che possa andare in porto con successo!

 

[flo0p]

Ciao @0xbro

Grazie per la dritta del file Excel, alle macro non ci avevo pensato^^ ottima idea

Il fatto della rete debole è giusto per dimostrare che loro, a casa, non devono usare password troppo semplici.

Non usiamo le persone come cavie ma saremo io ed il mio datore di lavoro che faremo una dimostrazione in aula, tipo lo chiamo al telefono, lo faccio allontarare dalla Workstation senza che fa il logout e poi mi avvicino con la BadUsb
Oppure, come detto sopra, lo chiamo spacciandomi per uno del reparto IT che ha bisogno di qualche dato perchè qualcosa non va come dovrebbe

Grazie ancora per il consiglio del Excel<3

 

[Utente cancellato 277320]

Le persone sono da proteggere, non da usare come "cavie"

Sacrosanta frase specie di questi tempi.

A mio avviso, si, e' un discorso educativo, fate bene a fare dimostrazione, spiegare cosa fare cosa non fare, ma spiegandone bene il perche'. Che se uno capisce il perche' piu volentieri applichera' le regole. Mentre se uno crede che le regole siano senza senso, non le seguira'.

Azienda fosse mia, e i dipendenti dovessereo lavorare per lo piu con file excel relativamente semplici, vieterei per policy aziendale qualsiasi prodotto microsoft. Linux / libreoffice su tutti i pc e gia alcuni problemi sono cosi risolti.

Una password difficile non e' necessariamente 5xf4rd8734zx come tanti sistemi automatici creano. Puo anche essere trullallerolerolerolerolerolerolero tutto minuscolo. Ti ricordi trullallero + 10 volte lero, e sei apposto.

 

[St3ve]

Visto che l'idea è quella di istruire il personale, oltre a come attaccare io mi concentrerei anche su come difendersi: come si usa un firewall, un password manager, have I been pwned, password leak check, two factor authentication, riconoscere tentativi di phishing, etc...

Una password difficile non e' necessariamente 5xf4rd8734zx come tanti sistemi automatici creano. Puo anche essere trullallerolerolerolerolerolerolero tutto minuscolo. Ti ricordi trullallero + 10 volte lero, e sei apposto.

Non credo che quella password sia sicura, è solo abbastanza lunga da non essere suscettibile ad un particolare attacco bruteforce. Invece di lanciare un bruteforce esaustivo che prova tutte le possibili password generabili da ogni carattere ammissibile, aspettando indefinitamente, è meglio partire da alcune restrizioni per assicurarsi che non sia una password semplice: prima provo un attacco al dizionario, poi bruteforce di solo lettere minuscole e massimo 10 caratteri, etc... eventualmente proverò anche un attacco pensato per passphrases, con parole in minuscolo, in lingua italiana e parole ripetute e la tua password salterà fuori nel giro di minuti. A tal proposito ti rimando a questa discussione.

L'idea è che un password cracker sufficientemente sofisticato può essere in grado di intuire i metodi stupidi di generare password che soddisfano alcuni canoni di sicurezza. L'utente è consapevole che le password lunghe sono sicure? L'utente potrebbe aver generato una password lunga ripetendo più volte la stessa parola... e l'apparente sicurezza di una password di 34 caratteri svanisce.

Penso che il modo meno controverso di generare una password (o una passphrase) sicura si quello di generarne una random automaticamente, perché gli esseri umani sono molto bravi a generare pattern accidentali... e usare password diverse per ogni sito, perché persino Facebook era stata beccata a memorizzare le password in chiaro. Poi vabbé, anche a me capita di usare password banali e riusare la stessa password su diversi siti, per questioni di convenienza, ma sono consapevole della non-sicurezza di alcune mie credenziali.

 

[haxo]

Riguardante la pennetta potresti semplicemente lasciarla vicino a qualche computer e aspettare che qualcuno la inserisca nel proprio computer.

Potresti una tecnica chiamata "trashing", spesso nei cestini dell'immondizia vengono lasciate molte informazioni sopratutto nelle grandi aziende, magari troverai qualcosa.

Potresti fingerti un assistente tecnico per risolvere un determinato problema, ovviamente devi creare prima questo problema e dopo procedi con il "risolverlo" riscattando anche informazioni sensibili.
Collegandomi a questo, potresti far reimpostare le varie password (come 1234, o la accordate) per poi accedere ai vari sistemi.

Se vuoi entrare fisicamente, potresti usare una tecnica chiamata "tailgating", devi fingere di essere qualcuno di importante o non, come un addetto alle consegne o qualcosa del genere, e seguendo una persona autorizzata, avrai accesso ai vari sistemi-

 

[flo0p]

@haxo bella idea anche quella del trashing^^

cmq riguardo alla pennetta, purtroppo devo avviare lo script a mano dato che win10 mi blocca l'autorun.... o almeno, non sono riuscito ad automatizzarlo

 

[☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣]

Riguardante la pennetta potresti semplicemente lasciarla vicino a qualche computer e aspettare che qualcuno la inserisca nel proprio computer.

Potresti una tecnica chiamata "trashing", spesso nei cestini dell'immondizia vengono lasciate molte informazioni sopratutto nelle grandi aziende, magari troverai qualcosa.

Potresti fingerti un assistente tecnico per risolvere un determinato problema, ovviamente devi creare prima questo problema e dopo procedi con il "risolverlo" riscattando anche informazioni sensibili.
Collegandomi a questo, potresti far reimpostare le varie password (come 1234, o la accordate) per poi accedere ai vari sistemi.

Se vuoi entrare fisicamente, potresti usare una tecnica chiamata "tailgating", devi fingere di essere qualcuno di importante o non, come un addetto alle consegne o qualcosa del genere, e seguendo una persona autorizzata, avrai accesso ai vari sistemi-

Quoto per la tecnica del tailgating.

Un altro aspetto importante da chiarire, se è ben gestito o meno, è l'autenticazione efficace (o quantomeno implementata, poiché non di rado trovo su Shodan sistemi ICS/SCADA con controllo remoto via VNC con autenticazione disabilitata del tutto e chiunque può connettersi alla 5900 o 5901 e comandare tutto l'impianto d'automazione industriale con un banale client VNC) e se la gestione delle autorizzazioni/credenziali è in mano a persone competenti, se viene rispettata una gerarchia.

La sfida da lanciare nel dettaglio dovrei studiarla, ma già l'osservazione può portare a buone idee a riguardo.