Come si indirizza un'ingegneria sociale o una debolezza / preoccupazione software in un'azienda o in un'organizzazione?

13

Dì che chiami la tua banca e sei in grado di iniziare a parlare delle tue finanze personali, senza aver dato loro alcuna prova della tua identità. Beh, la prima cosa che penserei sarebbe cambiare la tua banca. Ma potrebbe non essere pratico se la società X è la tua università / scuola / scuola o governo.

Diciamo che non sei disposto / in grado di passare a un altro fornitore di servizi e non vuoi che condividano le tue informazioni con il resto del mondo. cosa fai? È difficile chiamare l'azienda e dirgli che è necessario eseguire un test completo. Hanno la tendenza a mettersi sulla difensiva in una situazione come questa.

Quindi la mia domanda è: come si fa a dimostrare / a un'azienda che la sua sicurezza è debole e devono fare qualcosa per rimanere entro i limiti della legge? (Penso che questo si applichi principalmente alle grandi aziende / organizzazioni, quindi concentrati sulle risposte a loro.)

Dopo la furto d'identità e la maggior parte dei test di sicurezza online è illegale. Dopotutto se il tuo nome è robert ') DROP TABLE studenti; - allora è solo una questione di tempo finché non trovi casualmente qualcosa. :)

In che modo affronti l'ingegneria sociale e / o le debolezze / i problemi del software in un'azienda o un'organizzazione?

    
posta KilledKenny 28.04.2011 - 18:20
fonte

2 risposte

8

Sono d'accordo sul fatto che irrompere sia una cattiva idea.

Inoltre, potresti considerare che mentre sei un cliente dell'organizzazione, anche la pubblicazione pubblica ha un valore limitato, dal momento che eventuali effrazioni che si verificano potrebbero danneggiare anche te.

Sono d'accordo che la tua migliore scommessa immediata è quella di ritirare la tua affiliazione e trovare un'azienda con migliori pratiche di sicurezza ... ma rimango nei limiti della domanda e presumo che questa non sia un'opzione.

Una buona pratica è dare la caccia alla persona giusta e dirgli della tua preoccupazione. La persona giusta in una grande organizzazione può essere molto difficile da trovare, poiché è molto probabile che NON sia il tipo che risponde al telefono con l'assistenza clienti. Le opzioni includono:

  • tracciare le catene di gestione dell'assistenza clienti finché non trovi qualcuno con un titolo abbastanza serio da poterti prendere sul serio
  • ricercare la direzione aziendale della società - in un'azienda abbastanza grande, dovrebbe esserci un responsabile della sicurezza o un titolo simile che abbia pari potere per la persona responsabile dell'IT. Spesso queste persone non hanno facile trovare le informazioni di contatto pubblicate pubblicamente, ma si potrebbe provare una lettera formale come un cliente interessato. Fai attenzione alla tua formulazione che si tratta di una richiesta di assistenza, non di una minaccia.
  • se tu onestamente non riesci a raggiungere l'azienda, ci sono spesso agenzie governative che coprono specifici settori del diritto - varia dall'industria all'industria. E cose come il Better Business Bureau.
  • se il problema è davvero eclatante (e illegale) e la società è abbastanza grande, potresti mantenere un avvocato e presentare un'azione legale collettiva.

La maggior parte di questi prenderà molto tempo. Probabilmente fallirai nei primi tentativi di ottenere aiuto. Questa può essere una lotta importante. Ma se sono i tuoi dati e non hai un'altra opzione per trovare una risorsa migliore, questo tipo di battaglia potrebbe essere l'opzione giusta.

YMMV - la mia esperienza è centrata negli Stati Uniti. Non posso dire che altri governi offrano lo stesso insieme di protezioni.

    
risposta data 28.04.2011 - 20:27
fonte
3

Per l'ingegneria sociale, è piuttosto difficile, ma comunque puoi chiedere che qualsiasi comunicazione con te debba essere (per esempio) via email dovrebbe usare PGP o usare un codice di accesso specifico per le telefonate.

Ora per quanto riguarda gli aspetti tecnici, è abbastanza facile dove sei effettivamente un cliente e hai il prodotto sul tuo sito. In tal caso, sì, chiedi di valutare il tuo prodotto tramite un consulente di sicurezza. I problemi che trovi li riportano dicendo che hai bisogno che vengano sistemati così come sono stati identificati.

Per quanto riguarda le soluzioni cloud, come gli account universitari, l'online banking, ... è necessario contattare il secure@bank/univ.com e chiedere loro di risolverlo entro un certo tempo. Informali gentilmente, che in caso di mancata risposta, sarai obbligato a contattare la stampa (non devi farlo, solo minacciare). Sicuramente riceverete una risposta, ma ciò non significa risposta positiva, ma una valutazione sulla possibilità o meno di correggerla. Dopo di che è un caso per caso.

    
risposta data 28.04.2011 - 21:34
fonte

Leggi altre domande sui tag