Secondo me è una minaccia indiretta che si ottiene durante il primo passo in un attacco, la raccolta di informazioni.
Sapere con cosa hai a che fare, dal punto di vista di un attaccante, ti aiuta a preparare un attacco riuscito. Più informazioni vengono ottenute durante il processo di raccolta delle informazioni, più è probabile che un attacco abbia successo.
È molto difficile, soprattutto per le organizzazioni più grandi, evitare di divulgare questo tipo di informazioni. Un esempio è il dipartimento delle risorse umane incaricato di assumere personale tecnico. La ricerca di opportunità di lavoro presso la società target rivela in genere dettagli specifici sull'infrastruttura o sui sistemi operativi utilizzati.
Detto questo, è importante importare correttamente la rete (segregazione di rete), rafforzare i sistemi operativi e disporre di politiche e procedure adeguate. Quando ciò viene considerato sufficientemente eseguito, un utente malintenzionato che conosce solo il sistema operativo non dovrebbe essere un grosso problema.
In definitiva, l'attaccante determinerà comunque quali sistemi operativi sono utilizzati, ma non nel processo di raccolta delle informazioni.