La scorsa settimana, Jacques Erasmus, direttore del centro ricerche Prevx, insieme a Microsoft e Get Safe Online, ha effettuato una dimostrazione live su come sia semplice penetrare all’interno delle connessioni wireless malconfigurate e nei pc degli utenti.

Durante la dimostrazione sono state simulate due situazioni di vita reale: nella prima, un qualsiasi direttore di una società durante una sosta per il caffé al bar vede che vengono distribuite in omaggio delle flash memory stick U3 4GB SanDisk e ne prende una. La seconda situazione vede invece una connessione Wi-Fi malconfigurata, o meglio configurata con sistema di codifica WEP.

Nella prima situazione, non appena il direttore inserisce nel pc la nuova e fiammante flash memory stick il pc cade vittima di un trojan che ruba informazioni riservate. Nel giro di pochi secondi Jacques ha iniziato infatti a ricevere email da un server remoto che reindirizzava tutti i tasti premuti da questo presunto direttore e catturati dal trojan.

In aggiunta, l’attacker ha la possibilità di vedere ogni file all’interno del PC e può rubare qualunque file egli voglia. Come sottolineato anche da Microsoft, se il laptop fosse stato utilizzato per lavoro, l’intera società sarebbe stata compromessa. E tutto a causa di un laptop non adeguatamente protetto.

Nella seconda dimostrazione, Jacques ha mostrato come sia possibile sfruttare una connessione Wi-Fi protetta con WEP per i propri fini. Dopo essere riuscito ad entrare nella rete, Erasmus ha cambiato le impostazioni dei DNS all’interno del router (come è solito di molte aziende, username e password del pannello di amministrazione vengono lasciati di default) in modo tale che la vittima venisse reinderizzata verso siti web ospitanti malware. Una volta che il trojan è stato iniettato nel pc, nuovamente l’attacker ha il controllo completo del computer.

Secondo una stima effettuata da Get Safe Online, a causa delle frodi online in media ogni persona perde ogni anno circa 875£ – circa 1220€.

L’articolo completo, redatto da PC Advisor, è disponibile a questo link.

Live Presentation