Diciamo che sei stato invitato ad una conferenza sulla sicurezza, organizzata dall’Auscert – il team australiano di intervento in casi di sicurezza informatica nazionale, che assisti a un po’ di talk, qualche roadshow, presentazioni e prendi contatti per il business della tua azienda, ti regalano una penna USB e quando torni in ufficio hai infettato tutta la rete aziendale.
Alle rimostranze del tuo capo non puoi mica dire “eh, ma c’era un virus nella chiavetta”, chi ci crederebbe? beh, da qualche giorno hai qualche chance in più di cavartela con una scusa del genere.
Durante l’ultima conferenza dell’Auscert, infatti, l’azienda Telstra ha distribuito ai partecipanti a un loro tutorial delle chiavette USB con un virus di tipo autorun che McAfee ha comunque classificato come “a basso rischio”. Dopo aver capito che il danno era fatto, Telstra ha provveduto a richiamare indietro la maggior parte delle chiavette, senza però poter evitare la brutta figura. Nessun manager della società si è prestato per un commento alla vicenda, ma importa poco; resta da capire se sia stato un errore o un sabotaggio.
Nel primo caso significa che il malware era già presente in azienda e che è stato trasferito sulle periferiche senza essere notato, ed è di una gravità sconcertante, soprattutto sapendo dove ti stai apprestando ad andare; nel caso di un sabotaggio è bene per Telstra capire subito chi e perché l’ha fatto, perché evidentemente è bravo e con questa azione ha messo alla berlina l’intera azienda.
Io sono un po’ spaventato: so bene che il fatto di essere a una conferenza sulla sicurezza non significa affatto essere protetti – e anzi è un buon luogo ove fare azioni dimostrative per chi vuole farsi notare in questo campo – ma è possibile davvero essere così sprovveduti da non controllare? Il pericolo è sempre dietro l’angolo, ma allora finiremo per non fare più nulla, nemmeno controllare la posta quando siamo sulla rete di qualcun altro, nemmeno con le dovute precauzioni…