Gigi75
16-06-2004, 15.28.07
Pointsec, specializzata negli strumenti di crittografia, ha dimostrato come sia facile entrare in possesso di dati riservati senza essere un hacker
Sofisticate strategie di sicurezza e i relativi investimenti spesso risultano vanificati da comportamenti superficiali che espongono dati sensibili al rischio di finire nelle mani sbagliate. La società americana Pointsec, specializzata negli strumenti di crittografia, ha voluto dimostrare come sia facile entrare in possesso di dati sensibili appartenuti a un'organizzazione commerciale, in modo del tutto legale e senza vestire i panni di un hacker.
Investendo una cifra minuscola, pochi dollari, Pointsec ha acquistato dischi fissi e notebook alle aste online e ad altre aste pubbliche. Nella maggior parte dei casi, le informazioni contenute nell'hardware sono risultate tranquillamente accessibili, o comunque protette da sistemi password facilmente superabili con l'ausilio di comuni software. Anche nelle situazioni in cui prima della vendita si era provveduto a formattare l'hard disk, l'operazione e stata condotta superficialmente, senza rendere davvero irrecuperabili le informazioni archiviate nel supporto.
Una prima parte dell'esperimento è stata condotta sulle aste online presenti sul sito di eBay. Tra i casi più clamorosi rilevati nei 7 hard disk su 10 che sono risultati leggibili, gli addetti di Pointsec hanno recuperato i dati di una importante società di servizi finanziari. Piani pensionistici, database, informazioni finanziarie personali, situazioni dei pagamenti, codici PIN, anagrafe personale, login e password di amministratori di sistema sono solamente alcune delle informazioni ricavate. Sono inoltre emersi numerosi elenchi di clienti completi di ogni informazione personale, fogli Excel e altre informazioni che, se rese pubbliche, avrebbero messo in seria difficoltà l'azienda in questione.
Anche nelle situazioni teoricamente più soggette a controlli non è andata molto meglio. Nelle aste organizzate presso gli aeroporti londinesi per assegnare gli oggetti smarriti e non reclamati (ma l'esperimento è stato condotto anche in Svezia, Germania e Stati Uniti), è possibile visionare i dispositivi prima di fare delle offerte d'acquisto. Anche in questo caso è stato facile trovare sui notebook ispezionati ogni tipo di informazione sulle aziende per le quali lavoravano le persone che li avevano smarriti.
Rendendo pubblico il risultato del suo studio, Pointsec ovviamente non intende incentivare i furti di strumenti informatici, bensì sensibilizzare gli utenti, soprattutto in campo aziendale, a imparare a usare gli strumenti di crittografia dei dischi fissi e di autenticazione forte per accedere ai propri notebook. Pointsec tiene a precisare che al termine dell'esperimento tutti i portatili e gli hard disk acquistati sono stati fisicamente distrutti.
Sofisticate strategie di sicurezza e i relativi investimenti spesso risultano vanificati da comportamenti superficiali che espongono dati sensibili al rischio di finire nelle mani sbagliate. La società americana Pointsec, specializzata negli strumenti di crittografia, ha voluto dimostrare come sia facile entrare in possesso di dati sensibili appartenuti a un'organizzazione commerciale, in modo del tutto legale e senza vestire i panni di un hacker.
Investendo una cifra minuscola, pochi dollari, Pointsec ha acquistato dischi fissi e notebook alle aste online e ad altre aste pubbliche. Nella maggior parte dei casi, le informazioni contenute nell'hardware sono risultate tranquillamente accessibili, o comunque protette da sistemi password facilmente superabili con l'ausilio di comuni software. Anche nelle situazioni in cui prima della vendita si era provveduto a formattare l'hard disk, l'operazione e stata condotta superficialmente, senza rendere davvero irrecuperabili le informazioni archiviate nel supporto.
Una prima parte dell'esperimento è stata condotta sulle aste online presenti sul sito di eBay. Tra i casi più clamorosi rilevati nei 7 hard disk su 10 che sono risultati leggibili, gli addetti di Pointsec hanno recuperato i dati di una importante società di servizi finanziari. Piani pensionistici, database, informazioni finanziarie personali, situazioni dei pagamenti, codici PIN, anagrafe personale, login e password di amministratori di sistema sono solamente alcune delle informazioni ricavate. Sono inoltre emersi numerosi elenchi di clienti completi di ogni informazione personale, fogli Excel e altre informazioni che, se rese pubbliche, avrebbero messo in seria difficoltà l'azienda in questione.
Anche nelle situazioni teoricamente più soggette a controlli non è andata molto meglio. Nelle aste organizzate presso gli aeroporti londinesi per assegnare gli oggetti smarriti e non reclamati (ma l'esperimento è stato condotto anche in Svezia, Germania e Stati Uniti), è possibile visionare i dispositivi prima di fare delle offerte d'acquisto. Anche in questo caso è stato facile trovare sui notebook ispezionati ogni tipo di informazione sulle aziende per le quali lavoravano le persone che li avevano smarriti.
Rendendo pubblico il risultato del suo studio, Pointsec ovviamente non intende incentivare i furti di strumenti informatici, bensì sensibilizzare gli utenti, soprattutto in campo aziendale, a imparare a usare gli strumenti di crittografia dei dischi fissi e di autenticazione forte per accedere ai propri notebook. Pointsec tiene a precisare che al termine dell'esperimento tutti i portatili e gli hard disk acquistati sono stati fisicamente distrutti.