Cyber attacco anche per il Fondo Monetario Internazionale

[Redazione di Hardware Upg]

Link alla notizia: http://www.businessmagazine.it/news/...ale_37176.html

Anche il Fondo Monetario Internazionale subisce un cyber attacco, almeno da quanto emerge in questi giorni. Ignota la natura delle informazioni sottratte

Click sul link per visualizzare la notizia.

[Benna80]

possono venir create reti e infrastrutture iper-sicure (ma fino ad un certo punto) ma se per di dietro ci sono degli ignoranti a lavorarci salta tutto.

Questo mostra anche la fragilità del sistema: è bastato clickare su un link sbagliato per compromettere la sicurezza e le informazioni di tutto il mondo. Allucinante.

E' come costruire un imponente muro di cinta che però sta in piedi grazie ad un singolo stuzzicadenti.....

[iorfader]

questo non va bene...attacco dopo attacco...è sempre + palese che c'è qualche organizzazione terroristica che sta cercando di scatenare la 3° guerra mondiale... così non va assolutamente bene...possibile che non si capisca che ormai coi pc si può tutto? possibile che con linux non si riesca a creare un sistema supersicuro?

[Gnaffer]

Quote:

Quello che emerge è che tutto sembra partito da una operazione di phishing, in cui uno o più utenti sono stati ingannati e hanno inconsciamente messo a disposizione dei malintenzionati accessi e password.

Spero che sia uno scherzo! come c o fanno a far lavorare gente così idiota su server così importanti? sono capace io a riconoscere ogni tentativo di phishing che non sono ne un'esperto informatico meno ancora un dipendente in posizioni d'importanza mondiale con preparazioni specifiche in fattore sicurezza come gli utenti in questione

[Benna80]

Quote:

Originariamente inviato da iorfader

ossibile che con linux non si riesca a creare un sistema supersicuro?

Ma vedi, qui il sistema poteva anche essere sicuro, ma credo che in questo caso il problema sia più organizzativo/decisionale.

Siccome è stata usata una mail di phishing, per evitare ciò bisognerebbe inibire l'accesso a internet a tutti gli utenti "umani" lasciando aperte le comunicazioni tra sistemi informatici e quindi i relativi controlli lasciati agli stessi (sistemi informatici)

[iorfader]

comunque è assurdo che sia partito da una phishing mail XD ma chi ci lavora? un barbone la?

[Kars]

se non sbaglio i fw next gen se ben configurati evitano queste cose, ma se clicchi su un link di phishing da casa....

[iorfader]

Quote:

Originariamente inviato da Kars

se non sbaglio i fw next gen se ben configurati evitano queste cose, ma se clicchi su un link di phishing da casa....

ma scusa...chi è quel cretino che ancora casca in phishing -.- io apro mail solo di amici...

[gd350turbo]

Bhè Kevin Mitnick, disse:
Il modo migliore per conoscere una password è chiederla..
Ed aveva ragione !

[Pier2204]

Quote:

Originariamente inviato da gd350turbo

Bhè Kevin Mitnick, disse:
Il modo migliore per conoscere una password è chiederla..
Ed aveva ragione !

Mi chiedo, non è meglio il riconoscimento della retina oculare o l'impronta digitale per ogni singola operazione "sensibile", puoi avere accesso per una singola operazione in caso di phishing, ma non hai il controllo del sistema come con la password che una volta ottenuta hai il controllo per ogni operazione...

a meno che non ti cavano un'occhio o ti tranciano un dito..

[LMCH]

Quote:

Originariamente inviato da iorfader

comunque è assurdo che sia partito da una phishing mail XD ma chi ci lavora? un barbone la?

Ci lavorava Dominique Strauss-Kahn (era il managing director), quello che hanno arrestato a NY con l'accusa di aver violentato una cameriera dell'hotel in cui stava.

Ed in base agli articoli legati alla faccenda che descrivevano l'atmosfera lavorativa all'IMF, mi sa che a qualcuno è venuta qualche idea per del phishing "mirato".

[v1nline]

ben gli sta, a sti str..

[filippo1980]

Certo che alcuni commenti mi fanno proprio ridere:
Ma chi ci casca ancora nel phising?
Ma chi hanno assunto per quel ruolo?
Ecco, non è che stiamo parlando di una società mirata alla sicurezza su internet e con servizi esterni per gestire tutto quello che non rientra nel loro ramo lavorativo!
Ora non so quanti sono i collaboratori presenti al FMI ma supereranno sicuramente il migliaio, altra cosa, non possono mica mettere un ingegnere informatico a rispondere al telefono/amministrazione/area non strettamente informatica!
Quì si parla di "utenti" in maniera generica e non di amministratori di sistema!
Conclusa questa critica sono, però, d'accordo nel dire che almeno un corso breve per evitare le minacce più "semplici" lo potrebbero organizzare, ma non lavorando per l'FNI magari non so che già lo fanno!

[utente_medio_]

Quote:

Originariamente inviato da filippo1980

Certo che alcuni commenti mi fanno proprio ridere:
Ma chi ci casca ancora nel phising?
Ma chi hanno assunto per quel ruolo?
Ecco, non è che stiamo parlando di una società mirata alla sicurezza su internet e con servizi esterni per gestire tutto quello che non rientra nel loro ramo lavorativo!
Ora non so quanti sono i collaboratori presenti al FMI ma supereranno sicuramente il migliaio, altra cosa, non possono mica mettere un ingegnere informatico a rispondere al telefono/amministrazione/area non strettamente informatica!
Quì si parla di "utenti" in maniera generica e non di amministratori di sistema!
Conclusa questa critica sono, però, d'accordo nel dire che almeno un corso breve per evitare le minacce più "semplici" lo potrebbero organizzare, ma non lavorando per l'FNI magari non so che già lo fanno!

si ma il concetto è più i dati sono importanti e meno la gente "estranea" ne deve sapere.......non è che le segretarie devono sapere la password di admin....

[Baboo85]

Quote:

Originariamente inviato da iorfader

questo non va bene...attacco dopo attacco...è sempre + palese che c'è qualche organizzazione terroristica che sta cercando di scatenare la 3° guerra mondiale... così non va assolutamente bene...possibile che non si capisca che ormai coi pc si può tutto? possibile che con linux non si riesca a creare un sistema supersicuro?

Come dice il "proverbio"? L'unico vero virus informatico e' quello che sta tra la sedia e la tastiera?

Se ci sono i lesi nei punti chiave, e' facile far cadere questi sistemi.

Puoi rendere sicuro un server finche' vuoi, ma per accedere ci deve sempre essere un sistema (che sia una password o un lettore biometrico) e se quello che ci accede e' un leso incapace e praticamente ti da' le password...

Password come "milan" o come "inter" ne e' pieno il web, la gente lesa e' ovunque forse peggio degli anonymus...

Non sono i terroristi che provocheranno la 3° guerra mondiale come dici tu, saranno questi stessi lesi a provocarla.

Quote:

Originariamente inviato da Benna80

possono venir create reti e infrastrutture iper-sicure (ma fino ad un certo punto) ma se per di dietro ci sono degli ignoranti a lavorarci salta tutto.

Questo mostra anche la fragilità del sistema: è bastato clickare su un link sbagliato per compromettere la sicurezza e le informazioni di tutto il mondo. Allucinante.

E' come costruire un imponente muro di cinta che però sta in piedi grazie ad un singolo stuzzicadenti.....

Non e' allucinante. E' normale in questo mondo.

[Unbreakable]

Non è detto che chi ci sia cascato sia poi cosi colpevole: in tutte le email di phishing che richiedono password/numeri di carta/ ecc. prima o poi c'è un pulsante o un link che bisogna premere no?
La prima regola è guardare la barra di stato per vedere l'url, ma supponiamo che ad esempio qualcuno sia riuscito a piazzare un qualche processo server corredato da pagina/servizio web ALL'INTERNO della rete,
a quel punto se uno si scorda della REGOLA FONDAMENTALE che non si dovrebbero mai fornire certi dati quando chiesti via email, è fregato!

[AlexSwitch]

Quote:

Originariamente inviato da Unbreakable

Non è detto che chi ci sia cascato sia poi cosi colpevole: in tutte le email di phishing che richiedono password/numeri di carta/ ecc. prima o poi c'è un pulsante o un link che bisogna premere no?
La prima regola è guardare la barra di stato per vedere l'url, ma supponiamo che ad esempio qualcuno sia riuscito a piazzare un qualche processo server corredato da pagina/servizio web ALL'INTERNO della rete,
a quel punto se uno si scorda della REGOLA FONDAMENTALE che non si dovrebbero mai fornire certi dati quando chiesti via email, è fregato!

In realtà qualsiasi dato sensibile come numero di carta, nome account e password, NON VIENE MAI richiesto!!! Questa è la regola!! Non esiste proprio che la tua banca, le poste, il tuo gestore elettrico o di carte di credito richieda all'utente le sue credenziali con una mail. Idem per le grandi aziende e organizzazioni.

[theJanitor]

Quote:

Originariamente inviato da AlexSwitch

In realtà qualsiasi dato sensibile come numero di carta, nome account e password, NON VIENE MAI richiesto!!! Questa è la regola!! Non esiste proprio che la tua banca, le poste, il tuo gestore elettrico o di carte di credito richieda all'utente le sue credenziali con una mail. Idem per le grandi aziende e organizzazioni.

ed aggiungo.... bisogna essere proprio co....ni per credere che una banca chieda all'utente il numero della carta che lei stessa ha emesso.

il problema maggiore nel campo della sicurezza è la stupidità umana che viene sfruttata ancor di più dei bug

[Pier2204]

Quote:

Originariamente inviato da theJanitor

ed aggiungo.... bisogna essere proprio co....ni per credere che una banca chieda all'utente il numero della carta che lei stessa ha emesso.

il problema maggiore nel campo della sicurezza è la stupidità umana che viene sfruttata ancor di più dei bug

Più che stupidità io parlerei di scarsa informazione.

sono molte le persone che ignorano anche i concetti più semplici, non certo per colpa loro, ma perche nonostante l'informatica ha invaso ogni settore non c'è alcuna informazione al riguardo, ne scolastica ne aziendale.

Siamo tutti autodidatti, tranne chi studia per questa materia.

Posso giustificare però la casalinga che ha appena comprato il portatile e a malapena riesce a far partire il pc..se gli arriva una mail della banca la prende come oro colato, non ha l'informazione di sapere che ci sono sistemi di truffa in questo senso...
ma chi lavora al fondo monetario internazionale si presume debba avere un minimo di conoscenza, o che abbiano avuto un corso per l'utilizzo delle macchine interne..mah!

[LMCH]

Quote:

Originariamente inviato da Pier2204

ma chi lavora al fondo monetario internazionale si presume debba avere un minimo di conoscenza

In campo finanziario, mica in campo informatico, inoltre in molti casi basta usare del social engineering ad hoc ed è fatta.

A Guam in un penetration testing avevavo fregato parecchi militari con delle email che parlavano di un concorso relativo alle riprese di Transformers 3 che avrebbero fatto li.
Se gli fosse arrivata la classica email SCAM tipo "Sono il ministro delle finanze di Ladronia" non ci sarebbero cascati ma il tono vagamente verosimile (anche nei precedenti film i militari USA avevano collaborato in parte alle riprese) ed il pensiero di aver qualcosina a che fare con con il film li ha fregati.

E' come quando c'è stata l'ultima bolla speculativa, gente che faceva mutui a tasso variabile perchè erano stati intortati che le cose potevano solo migliorare, altri che investivano in "prodotti finanziari" di cui non capivano niente solo perchè in tanti dicevano che c'era da guadagnarci, ecc. ecc.

Il trucco è sempre promettere al bersaglio qualcosa che probabilmente vuole e proporlo in modo da non fare scattare troppi dubbi.
Insomma, come succede con la pubblicità che promette cose "gratis" (in cambio del pagamento di un abbonamento mensile) oppure "tre al prezzo di due", ecc.