Vai al contenuto
Avanet
Esperimento - Perché avreste fatto meglio a non inserire questa chiavetta USB

Esperimento - Perché avreste fatto meglio a non inserire questa chiavetta USB

31. MARZO 2017

Considerereste oggi la vostra azienda davvero sicura e non attaccabile, alla luce dell’attuale situazione tra ransomware e ATP?

Come la maggior parte dei lettori abituali di questo blog sa, circa l’80% della nostra attività quotidiana ruota intorno alla security. Con Avanet abbiamo puntato sin dall’inizio sulle soluzioni di sicurezza di Sophos e non abbiamo mai rimpianto questa scelta. Ci diverte lavorare con clienti che prendono seriamente la sicurezza della loro azienda e che, a loro volta, sono convinti della qualità dei prodotti Sophos.

Per una campagna marketing nel novembre 2016 abbiamo deciso, per una volta, di rivolgerci all’esatto opposto del nostro cliente tipico. Abbiamo provato a convincere dell’importanza della security quei CEO che non ci avevano mai pensato o che erano convinti che la soluzione esistente fosse “sufficientemente sicura”. Per farlo abbiamo persino messo da parte, temporaneamente, il nostro canale abituale, l’online marketing. Che cosa ne è uscito? Purtroppo nulla di incoraggiante, tanto che abbiamo deciso di condividere con voi le nostre esperienze. Questa azione ci ha mostrato in modo inquietante quanto sia ancora necessario fare sensibilizzazione sul tema “sicurezza in azienda” e quanto sia facile, con mezzi banali, penetrare senza difficoltà nella rete di un’azienda. Ecco l’intera storia.

Contesto

Quando, per curiosità, parliamo con potenziali clienti e chiediamo con discrezione come sono messi in tema di IT security, riceviamo praticamente sempre la stessa risposta:

“Siamo protetti a sufficienza e una cosa del genere a noi non può succedere. La nostra azienda è troppo piccola e troppo poco interessante per un hacker.”

La realtà è che non si tratta più del ragazzino in cantina che prende di mira solo le grandi aziende. Proprio l’ondata di ransomware dimostra chiaramente che chiunque disponga di un computer, di una connessione Internet e di un indirizzo e‑mail è un potenziale bersaglio. Quando poi facciamo presente i rischi legati agli allegati e‑mail, i CEO sono certi che i loro collaboratori siano prudenti e non farebbero mai nulla di avventato. Che cosa si può aggiungere, se non: “Possiamo testarlo una volta?” È evidente che nessuno vuole dare il proprio consenso a un test del genere e così, in vista della nostra nuova campagna marketing, ci siamo posti la domanda seguente:

“Come si convince dell’importanza della IT security un potenziale cliente che non ci ha mai riflettuto o che è convinto di essere già sufficientemente protetto?”

La nostra idea di marketing e come l’abbiamo realizzata

In fase di pianificazione della campagna, per noi c’era un punto irrinunciabile: volevamo restare “i buoni” e fare in modo che la nostra azione contribuisse ad aumentare l’attenzione verso le minacce attuali. Per essere davvero efficaci, però, serviva anche una certa dose di sudore freddo, così da sradicare il pensiero: “Io sono al sicuro e a me non può succedere nulla”.

Ci siamo quindi fatti consegnare 100 chiavette USB, su ognuna delle quali abbiamo copiato un file HTML con il contenuto seguente.

Landing page chiavetta USB

Ci tengo a sottolineare che sulla chiavetta era presente esclusivamente un file HTML innocuo. Come detto, non è mai stata nostra intenzione danneggiare un’azienda. Abbiamo poi inserito la chiavetta USB in una busta, insieme soltanto a un post‑it con la scritta:

“Come concordato, i dati di progetto. Saluti + grazie”

Sulla busta era riportato unicamente l’indirizzo del destinatario. Abbiamo volutamente rinunciato al mittente per alimentare la curiosità e aumentare la probabilità che la chiavetta venisse inserita.

A questo punto ho tre domande per voi:

  1. Cosa avreste fatto se una lettera del genere fosse finita nella vostra cassetta della posta?
  2. Come si sarebbero comportati i vostri collaboratori?
  3. Secondo voi, quante volte è stata inserita la chiavetta USB?

Persone furiose, minacce e polizia

Eravamo perfettamente consapevoli che l’azione fosse piuttosto audace. Le persone avrebbero capito le nostre “buone intenzioni” ed erano grate di essere uscite da questa situazione solo con un grosso spavento?

La risposta è stata un chiaro “NO”. Lo abbiamo scoperto tre giorni dopo, quando abbiamo chiamato i destinatari per chiedere informazioni sulla chiavetta USB. Direi che, sulle 80 persone effettivamente contattate, circa 5 hanno compreso il senso dell’azione e si sono persino complimentate per l’originalità della campagna.

Tutti gli altri erano arrabbiati, ci vedevano come il nemico e minacciavano azioni legali. Due delle nostre chiavette USB sono persino finite in mano alla polizia.

Tasso di inserimento del 65%

Mettiamo da parte per un momento gli aspetti emotivi e concentriamoci sull’impatto della nostra campagna. L’aspetto sconvolgente è che il 65% di tutte le persone raggiunte telefonicamente ha effettivamente inserito la chiavetta USB in azienda! Se consideriamo che non tutti avranno ammesso di averla collegata, la percentuale reale sarebbe probabilmente ancora più alta.

Ciò significa che almeno 52 persone hanno messo a rischio la sicurezza della propria azienda inserendo una chiavetta senza sapere da chi provenisse né quali file contenesse.

Conclusioni

Per quanto possiamo comprendere le reazioni furiose di queste persone, riteniamo che in questo caso l’ego personale non debba entrare in gioco. Bisognerebbe ammettere di essere stati vulnerabili - e “presi” - tramite una banale, stupida chiavetta USB, con un metodo degno degli anni ’90. In un attacco del genere, neppure il miglior firewall del mondo avrebbe potuto fare qualcosa, perché la chiavetta è stata introdotta di fatto aggirando il controllo di sicurezza. Alla fine, l’anello più debole qui è stato l’essere umano: senza di lui, la chiavetta non sarebbe mai entrata nella rete. Formare adeguatamente il personale e sensibilizzarlo su minacce di questo tipo è un elemento essenziale della vostra IT security.

La nostra azione di marketing ha dimostrato che in un’azienda deve essere installata una protezione endpoint su ogni client. Solo una buona protezione endpoint, che si basi sul comportamento e non sulle firme, oggi rappresenta davvero lo stato dell’arte. Chi cerca un prodotto del genere presso Sophos prima o poi finisce su Sophos Central. Come dotazione di base consigliamo sempre la squadra dei sogni Sophos Central Endpoint + Intercept X. Se volete seguire il nostro consiglio, potete acquistare direttamente Sophos Central Intercept X Advanced, che include entrambi i prodotti.

Anche se con questa campagna non abbiamo generato nuovi ordini, dal nostro punto di vista non è stata affatto inutile. Siamo convinti che, grazie a questa iniziativa, alcune persone in futuro si comporteranno con maggiore prudenza ed esiteranno prima di inserire una chiavetta USB nel proprio computer.

David

David

David e responsabile dei contenuti, della struttura e dell'implementazione digitale in Avanet. Il suo obiettivo e rendere chiari, precisi e ottimizzati per i motori di ricerca i temi tecnici complessi.