Test di sicurezza richiede federale avviso di frode
Un sanzionata test di sicurezza di una banca di sistemi di computer ha avuto alcune conseguenze inaspettate di questa settimana, portando l'agenzia federale che sovrintende degli stati UNITI, le cooperative di credito per l'emissione di un avviso di frode.
Martedì, la National Credit Union Administration (NCUA) messo in guardia tutti assicurati dal governo federale, le cooperative di credito di una falsa lettera di un anonimo unione di credito aveva ricevuto insieme con due Cd. La falsa lettera sosteneva che il Cd contenuti NCUA anti-frode, materiali di formazione, ma a suo avviso di frode, NCUA avvertito che esegue il Cd "potrebbe comportare una possibile violazione della sicurezza del proprio sistema informatico, o di altre conseguenze negative."
Solo si è scoperto che i Cd non sono stati inviati dai truffatori. Sono stati inviati da parte dei dipendenti della MicroSolved, a Columbus, Ohio, i test di sicurezza dell'azienda. "E' stata una parte di alcuni di ingegneria sociale che stiamo facendo in un completamente sanzionato penetration test", ha detto MicroSolved CEO Brent Huston in un messaggio di posta elettronica.
Aziende come MicroSolved sono regolarmente assunti indipendentemente testare la sicurezza di aziende e agenzie governative.
Penetration tester spesso utilizzare le cosiddette tecniche di ingegneria sociale come parte della loro valutazione della sicurezza del lavoro. Con l'ingegneria sociale, l'attaccante in genere finge di essere un legittimo partner o un collega di lavoro, al fine di indurre i dipendenti compromettere i loro sistemi di computer o divulgare informazioni riservate. "Social engineering esercizi sono una parte della maggior parte delle nostre valutazioni," Huston, ha detto.
NCUA portavoce John McKechnie non ha molto da dire sulla sua organizzazione di allerta. In una breve e-mail di giovedì, ha scritto: "a questo punto, sembra che questo è un caso isolato."
Anche se la minaccia che ha spinto il NCUA avviso non era basato su un vero e proprio attacco, l'avviso contiene le informazioni, secondo Johannes Ullrich, chief research officer presso il SANS institute, un Istituto di formazione per la sicurezza del gruppo. "È una buona lezione," ha detto. Secondo lui, tutte le parti nell'esercizio agito praticamente come dovrebbe avere. La banca "riferito a loro organismo di controllo, che poi mettere questo avviso basati su di esso."
California Credit Union League, Direttore di Ricerca e di Informazione, Rita Fillingane, ha detto che l'avviso è stato comunque utile, anche se non era basato su un vero e proprio atto criminale." In futuro qualcosa di simile potrebbe venire giù il luccio," ha detto.
Ancora, Ullrich ha dichiarato di non essere a conoscenza di casi in cui fasullo Cd sono stati effettivamente utilizzati per danneggiare un computer di rete.
Ha detto che era inizialmente molto interessato quando ha visto l'iniziale NCUA avviso. "Ho pensato, 'Infine, questa è in natura, perché l'ho visto solo una volta in prove di penna prima.'"
Data di pubblicazione: Martedì, la National Credit Union Administration (NCUA) messo in guardia tutti assicurati dal governo federale, le cooperative di credito di una falsa lettera di un anonimo unione di credito aveva ricevuto insieme con due Cd. La falsa lettera sosteneva che il Cd contenuti NCUA anti-frode, materiali di formazione, ma a suo avviso di frode, NCUA avvertito che esegue il Cd "potrebbe comportare una possibile violazione della sicurezza del proprio sistema informatico, o di altre conseguenze negative."
Solo si è scoperto che i Cd non sono stati inviati dai truffatori. Sono stati inviati da parte dei dipendenti della MicroSolved, a Columbus, Ohio, i test di sicurezza dell'azienda. "E' stata una parte di alcuni di ingegneria sociale che stiamo facendo in un completamente sanzionato penetration test", ha detto MicroSolved CEO Brent Huston in un messaggio di posta elettronica.
Aziende come MicroSolved sono regolarmente assunti indipendentemente testare la sicurezza di aziende e agenzie governative.
Penetration tester spesso utilizzare le cosiddette tecniche di ingegneria sociale come parte della loro valutazione della sicurezza del lavoro. Con l'ingegneria sociale, l'attaccante in genere finge di essere un legittimo partner o un collega di lavoro, al fine di indurre i dipendenti compromettere i loro sistemi di computer o divulgare informazioni riservate. "Social engineering esercizi sono una parte della maggior parte delle nostre valutazioni," Huston, ha detto.
NCUA portavoce John McKechnie non ha molto da dire sulla sua organizzazione di allerta. In una breve e-mail di giovedì, ha scritto: "a questo punto, sembra che questo è un caso isolato."
Anche se la minaccia che ha spinto il NCUA avviso non era basato su un vero e proprio attacco, l'avviso contiene le informazioni, secondo Johannes Ullrich, chief research officer presso il SANS institute, un Istituto di formazione per la sicurezza del gruppo. "È una buona lezione," ha detto. Secondo lui, tutte le parti nell'esercizio agito praticamente come dovrebbe avere. La banca "riferito a loro organismo di controllo, che poi mettere questo avviso basati su di esso."
California Credit Union League, Direttore di Ricerca e di Informazione, Rita Fillingane, ha detto che l'avviso è stato comunque utile, anche se non era basato su un vero e proprio atto criminale." In futuro qualcosa di simile potrebbe venire giù il luccio," ha detto.
Ancora, Ullrich ha dichiarato di non essere a conoscenza di casi in cui fasullo Cd sono stati effettivamente utilizzati per danneggiare un computer di rete.
Ha detto che era inizialmente molto interessato quando ha visto l'iniziale NCUA avviso. "Ho pensato, 'Infine, questa è in natura, perché l'ho visto solo una volta in prove di penna prima.'"
Autore: Keylogger.Org Team
