Ingegneri sociali e agenti di polizia

Naviga le tue risposte
12

La storia:

Ieri alle 12 un mio vicino di casa stava entrando nel suo vialetto e ha visto che il finestrino del suo furgone era stato distrutto. Bene, questo vicino di casa e io abbiamo avuto qualche problema l'uno con l'altro in passato (solo lamentele sul rumore) perché lui è in una band e suona nel suo garage; tuttavia, non ero io a rompere il vetro sul furgone. Appena tornato a casa, ha immediatamente marciato verso di me mentre mi stavo esercitando nel mio garage. All'arrivo, alza la voce e minaccia presuntuosamente di chiamare la polizia, anche se non ha idea di chi lo abbia fatto in primo luogo. Io, essendo responsabile, gli ho detto che non l'ho fatto, e gli mostrerò le prove video (ho una telecamera montata sopra il mio garage). Poiché la mia macchina fotografica copre quasi cinque case, può chiaramente vedere la sua casa. Quindi mentre sto tornando da casa con l'USB a portata di mano, un poliziotto sta camminando verso di me da casa sua, e il mio vicino mi sta indicando. Senza alcuna esitazione ho detto al poliziotto che potrei avere delle prove video di chi l'ha fatto. Era interessato al filmato, quindi senza pensarci due volte lo collegò direttamente al suo laptop (con Windows XP), e non c'era nulla di utile (la luce si trovava proprio nel momento giusto e al momento giusto) . Quindi ha semplicemente restituito il flash drive a me, e ha detto al mio vicino che non poteva fare niente riguardo alle prove. La giornata è finita lì.

Conclusione:

Tuttavia la scorsa notte mi sono seduto a pensare a quello che era successo, e al fatto che mi odia. Comunque, non ha attirato la mia attenzione sul fatto che il poliziotto ha collegato il dispositivo al suo portatile nella sua macchina della polizia, quella che usa in servizio. Ho solo pensato a me stesso ... potrebbe essere stato tutto un setup, e i dati sensibili potrebbero essere stati compromessi?

Domande:

  1. Un ufficiale dovrebbe collegare direttamente un dispositivo USB "esterno" direttamente ai laptop in uso?

  2. Se si tratta di un problema, quali problemi di sicurezza vengono generati e quali danni potrebbero aver causato?

  3. La maggior parte dei poliziotti riceve una formazione per prevenire l'ingegneria sociale?

Inoltre, mi dispiace per la storia prolissa, ma aiuta a capire meglio cosa sta succedendo. Sono uno studente in Informatica, ma conosco solo le basi della sicurezza (per la programmazione). Essendo questa una vera storia di vita accaduta ieri, mi piacerebbe davvero capire il rischio che questo potrebbe aver prodotto per gli altri.

    
posta Jake 14.07.2014 - 09:41
fonte

1 risposta

11

Mentre è nel regno delle possibilità che si tratta di una sorta di installazione è estremamente improbabile, è molto più probabile che sia esattamente come sembra. Ti sei offerto di mostrare all'ufficiale qualcosa che potrebbe aiutarti in un'indagine, e ti ha preso in considerazione. Il tuo vicino avrebbe poco da guadagnare dal cercare di far giocare l'ufficiale. In base alle tue domande:

  • Un ufficiale dovrebbe collegare direttamente un dispositivo USB esterno? NO! Non si sa cosa sia il malware su una penna USB con la possibilità di esporre informazioni riservate. Avrebbe dovuto prenderlo e dato a un tecnico di aprirsi in una sorta di ambiente sandbox
  • Ci sono 2 problemi di sicurezza qui. Uno è che il computer dell'ufficiale avrebbe potuto essere compromesso, dando accesso a record della polizia e database. L'altra preoccupazione è che potresti aver rilevato malware che si trovava sulla macchina dell'agente. Ciò consentirebbe ai criminali di accedere ai tuoi dati.
  • Gli agenti di polizia ricevono una formazione per prevenire l'ingegneria sociale? Sì, esteso. Pensa al loro lavoro: un agente di polizia avrà contatti quotidiani con molte persone che hanno un interesse nell'ingegneria della polizia. I disperati cercano disperatamente di convincere la polizia a pensare che non fossero loro, e alcune persone cercano di usare la polizia come strumento accusando altri di crimini che potrebbero non aver commesso. La maggior parte dei poliziotti sviluppa rapidamente una sensibilità alla manipolazione e impara a non fidarsi delle motivazioni delle persone. Per quanto riguarda se hanno una formazione specifica sull'IT, dipende da dove si trova, alcuni PD hanno una formazione e altri no

Per quanto riguarda il rischio effettivo, probabilmente è molto basso. Non sembra che qualcuno abbia molto da guadagnare in questa situazione.

Per inciso, potrebbe essere meglio controllare le leggi locali per la videosorveglianza, in molte parti del mondo è illegale avere una telecamera senza un permesso o qualche tipo di avviso pubblicato. Non vuoi esporsi, anche se sembra innocuo, o addirittura utile.

    
risposta data 14.07.2014 - 14:33
fonte

Leggi altre domande sui tag

Lavoro su un progetto open source. Esiste uno "standard" per segnalare vulnerabilità di sicurezza che possiamo usare? I numeri mobili acquisiscono e trasmettono dati