8 febbraio Social engineering relativo ad intrusioni fisiche nei locali
8 febbraio 2016 © 2007 Hacking Team All Rights Reserved 2 Analisi effettuate Accesso all’edificio Accesso ai locali Accesso alla rete Clean Desk Policy
Accesso all’edificio CodiceDescrizioneImpatto A1Dopo le 17:30 il cancello del parcheggio interno è lasciato aperto. Chiunque passi dalla strada può entrare nel parcheggio senza essere fermato. A2Tutte le porte che danno sulla scala anti incendio possono essere lasciate volutamente aperte (durante le attività sono stati utilizzati i posacenere già disponibili ad ogni uscita). Qualsiasi persona interna (dipendente o esterno con badge) può bloccare le uscite ed entrare (o far entrare) dall’esterno un malintenzionato (attraverso A1). 8 febbraio 2016 © 2005 Hacking Team All Rights Reserved 3
Accesso ai locali (1) CodiceDescrizioneImpatto A3Sale riunioni ad acceso libero Nelle sale riunioni sono presenti fonti preziose di informazioni: Elenco nominativi ed interni Lavagne cartacee con appunti scritti durante le riunioni A4Accesso da scale interne E’ usuale tenere aperte le porte “anti-panico” che danno sulla tromba delle scale interne e sul balcone. Questo consente di potersi spostare liberamente fra i piano anche senza badge autorizzato. A5Accesso ai pianiAnche senza badge si può accedere ai piani semplicemente aspettando che qualcuno entri od esca. Si ottiene l’accesso anche semplicemente suonando il campanello: viene aperto senza chiedere nulla e/o senza avvertire nessuno. 8 febbraio 2016 © 2005 Hacking Team All Rights Reserved 4
Accesso ai locali (2) CodiceDescrizioneImpatto A6Apertura per pulizieDalle 17:00 i piani sono completamente accedibili in quanto il personale delle pulizie lascia aperto le porte mediante gli estintori. A7Archivio dell’amministrazione Durante le attività è stato trovato aperto l’archivio del secondo piano, costituito da faldoni con libri giornali, ispezioni etc etc. A8Archivio cartaceo polizze E’ stato possibile entrare nell’open space del piano -1 con una motivazione qualsiasi e senza dare credenziali (senza badge in mostra). Si gira liberamente tra gli scaffali dei faldoni senza essere accompagnati o in qualche modo controllati. A9Ufficio Posta e Affari generali E’ stato possibile girare liberamente negli uffici del piano terra senza essere fermati e senza badge in mostra. 8 febbraio 2016 © 2005 Hacking Team All Rights Reserved 5
Accesso alla rete (1) CodiceDescrizioneImpatto A10Fax e stampanti di piano Essendo localizzati nell’area delle macchinette del caffè, è accedibile da chiunque. Questo permette di: Causare un disservizio al servizio di stampa Causare un disservizio al servizio fax Venire a conoscenza del contenuto di tutto quello che viene stampato dalla stampante e ricevuto dal fax A11Stampante di rete Dalla stampante di rete è possibile ottenere le infomazioni di configurazione. Questo permette di: sostituirsi alla stampante e catturare tutte le stampe configurare una macchina estranea per poter accedere correttamente alla rete interna 8 febbraio 2016 © 2005 Hacking Team All Rights Reserved 6
Accesso alla rete (2) CodiceDescrizioneImpatto A12Access Point delle sale riunioni E’ presente ed accessibile un access point wireless nelle sale riunioni. Questo potrebbe permettere di: Sostituire l’access point con un apparato analogo ma con finalità fraudolente di reperimento informazioni Inserire un dispositivo che tenga traccia del traffico wireless venendo a conoscenza dei dati trasmessi e ricevuti dalle postazioni client (interne ed esterne) durante la riunione A13Torrette di rete ad accesso libero E’ possibile sostituire una macchina attestata in rete con un access point wireless ed utilizzarlo come testa di ponte per utenti esterni e non autorizzati 8 febbraio 2016 © 2005 Hacking Team All Rights Reserved 7
8 febbraio 2016 © 2007 Hacking Team All Rights Reserved 8 Clean Desk Policy Livello da ritenersi adeguato Pochi documenti in giro, sulle scrivanie, nelle sale riunioni Pochi documenti sensibili negli armadi o nelle aree comuni