I problemi e le falle non vengono individuati da chi protegge e amministra la rete
Una scarsa preparazione impedisce una corretta difesa, così come non tenersi costantemente informati; infatti non installando rapidamente gli aggiornamenti (specie bug fix e patches) si lascerebbe via libera a chi volesse (e sapesse) sfruttarli malignamente.
L’uomo tende a commettere errori
Nessuno è perfetto, pur essendo un motto molto vecchio, riassume pienamente il concetto; l’errore umano, specie nelle configurazioni di hardware o software, e nella scritta del software, è possibile, anzi molto probabile. Testare la propria rete via via o farla analizzare da un esperto può ridurre al minimo le possibilità di errore.
Si usano interfacce e architetture complesse che aumentano la possibilità di un errore umano
La semplicità nel configurare hardware e software destinato a mantenere inviolata la propria rete non è di questo mondo: sono necessarie una buona preparazione, esperienza, e molta attenzione. Spesso ci si trova ad avere a che fare con configurazioni complicate senza un’interfaccia grafica (che sarebbe di troppo), specie nelle configurazioni di apparati di rete (si veda sotto la CLI, Command Line Interface, della Cisco), ma anche con applicativi importanti, come Sendmail, server di posta per ambiente *nix molto quotato ma ritenuto molto difficile da configurare (anche attraverso la GUI offerta dal tool di configurazione webmin), tanto che è stato creato un software, M4, per semplificarne la configurazione che, con l’uso di macro, crea il file sendmail.cf, il quale va poi inserito nell’apposita direttrice (solitamente etc/sendmail).
Social Engineering
L’ingegneria sociale si può definire come l'uso di trucchi psicologici per ottenere l'accesso a un sistema, la capacità di raccogliere da una persona le informazioni necessarie ad un attacco. Oltre a commettere errori, l’uomo è a volte un grave punto debole della rete a causa della sua naturale predisposizione alla fiducia, che lo porta, specialmente se sotto stress o oberato di lavoro, a rivelare ad altre persone, magari via telefono, senza alcuna certezza dell’identità dell’interlocutore (che sfrutta questa debolezza), codici di accesso o password riservati. Una tecnica molto usata è la persuasione attraverso lo sfruttamento della paura: minacciando guasti tecnici imputabili alla persona che non ha fornito i codici di accesso, un malfattore potrebbe circuire un semplice impiegato e costringerlo, facendo leva sulla paura di essere licenziato, o comunque di creare un problema all’azienda, a farsi rivelare dati riservati con cui poi potrebbe sferrare un attacco alla rete.