Dove non arriva la sicurezza

Sicurezza

Vi è un punto di debolezza comune in tutte le aziende che difficilmente si riesce ad arginare

Stiamo parlando di quel tassello fondamentale eppure altamente instabile che è l’elemento umano. In ogni attività semplice o complessa l’elemento umano rappresenta il nucleo fondamentale, senza il quale nulla può funzionare. Dalla guida di un aereo alla produzione di una vite, e per quanto massiccia possa essere la presenza di macchinari automatizzati, ci sarà sempre bisogno di un intervento umano che coordini e controlli l’operato delle macchine. Purtroppo l’uomo non è infallibile e in buona o cattiva fede può sempre accadere che sbagli. E’ proprio a questo obiettivo che sempre più frequentemente si rivolgono hacker & C. La tecnica che maggiormente coinvolge l’elemento umano per l’organizzazione di un attacco a un sistema informativo è conosciuta come footprint (letteralmente impronta). In particolare, le tecniche utilizzate durante la fase di footprinting destinate allo sfruttramento delle debolezze intrinsiche all’elemento umano vengono definite con il termine di ‘Ingegneria Sociale’. La fase di footprinting prevede lo studio approfondito dell’obbiettivo con la raccolta del maggior numero di informazioni. Proprio come nel caso della preparazione di una rapina, i ladri non si limitano a entrare in banca e a pretendere i soldi (almeno non i più furbi). Prima di tutto raccolgono informazioni sulla banca: i percorsi e gli orari del furgone blindato, la posizione e il numero di telecamere, il numero di impiegati e così via. Allo stesso modo un qualsiasi hacker cercherà prima dell’attacco di raccogliere il maggior numero possibile di informazioni riguardo tutti gli aspetti della situazione di protezione di una struttura. Il profilo della presenza su Internet, degli accessi remoti, delle Intranet/Extranet attive, del numero e della tipologia dei server. Possibilità infinite Le tecniche di Ingegneria Sociale utilizzate con scopi disonesti sono limitate soltanto dalla fantasia degli aggressori. Il Phishing ad esempio è una chiara applicazione dell’Ingegneria Sociali a scopi fraudolenti. Possiamo metterci alla prova nell’ipotizzare possibili scenari, ma chiunque altro saprà certamente individuare delle modifiche maggiormente proficue. Un possibile approccio alla struttura informatica che si vuole insidiare può essere realizzato spacciandosi come contatto commerciale di qualche società fornitrice di soluzioni hardware, software o di consulenza. Il contatto può interrompersi alla fase preliminare c hiedendo alla segreteria nome e cognome del responsabile dei sistemi informativi, o l’eventuale mail attraverso la quale contattarlo con opportuni messaggi. Oppure, la fase di avvicinamento può culminare con il raggiungimento di un appuntamento in occasione del quale raccogliere, attraverso una semplice e mirata intervista, importanti informazioni relative alla struttura informatica aziendale. In tali casi il malintenzionato può arrivare a farsi stampare biglietti da visita e carta intestata di una qualsiasi nota azienda informatica. Tutto dipende dalla posta in gioco. Nelle situazioni illustrate spesso entra in gioco anche il desiderio da parte dell’intervistato di fornire il maggior numero di dettagli possibili per impressionare l’interlocutore e cercare approvazione, soprattutto se il malintenzionato si è presentato con le credenziali di una società famosa. Un altro scenario ipotizzabile potrebbe addirittura contemplare il tentativo del malintenzionato di entrare nell’organizzazione aziendale attraverso un’assunzione, un periodo di stage o tramite uno degli abituali fornitori di servizi. Sembra che ci si stia addentrando in scenari degni di un film di spionaggio, ma a ben pensarci non sono poi ipotesì così irrealizzabili, soprattutto oggi dove l’utilizzo indiscriminato da parte delle aziende di stagisti e di contratti atipici è all’ordine del giorno. Inoltre, se non è possibile entrare direttamente all’interno dell’azienda bersaglio è possibile (e forse meglio), utilizzare società ‘satellite’ fornitrici di servizi. L’impresa di pulizie potrebbe rappresentare una ghiotta opportunità. Per ovvi motivi i controlli non sono così rigidi come quelli effettuati da un’azienda e in secondo luogo, permettono l’accesso diretto ai locali dell’azienda obiettivo in orari extra lavorativi, nei quali è possibile trovare uffici vuoti e postazioni incustodite. A questo punto, basterebbe una postazione accesa senza il blocco della password, un post-it con login e password, stampe incustodite, la disponibilità di stampanti di rete dalle quali ottenere i fogli di configurazione, badge d’ingresso e qualsiasi altra fonte d’informazione per consentire al malintenzionato di ottenere un profilo completo e preciso della struttura IT aziendale. Ripeto, non stiamo descrivendo situazioni paradossali. Tutto dipende solo ed esclusivamente dalla posta in gioco. Conclusioni Come un buon ladro che si rispetti anche quello informatico prima di agire ‘organizza il colpo’ fin nei minimi dettagli. La fase preparatoria a un attacco informatico è identificata con il termine footprint. In tale fase il malintenzionato cerca in tutti i modi di carpire il maggior numero di informazioni relative all’obbiettivo, come per esempio il nome e i riferimenti dei responsabili della sicurezza, dei responsabili di sistema, il numero e la tipologia dei server, gli indirizzi pubblici e privati, i servizi attivi e l’esistenza di una Intranet. Per raccogliere tutte queste informazioni spesso agiscono sull’elemento debole di ogni azienda, costituito dall’elemento umano, utilizzando tecniche di ingegneria sociale. Ricordiamoci che più alta è la posta in palio più azzardate potranno essere le tecniche di Ingegneria Sociale utilizzate. In alcuni casi è addirittura ipotizzabile il furto del portatile al dipendente che si è fermato al bar per prendere un caffè, fino all’effrazione della vettura all’interno della quale è stata lasciato incautamente il badge aziendale. Non stupiamoci di queste cose, non esistono solo nei film di spionaggio. Tutto dipende dal sottile equilibrio che esiste tra rischio che si corre e dal guadagno possibile. Purtroppo per garantire la sicurezza dell’elemento umano non esistono appositi strumenti come per esempio i firewall o gli antivirus. Certo è che un dipendente informato, soddisfatto, contento e sicuro del proprio posto di lavoro, che si sente parte della struttura per la quale lavora, è anche un dipendente sicuro e fidato per l’azienda.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore