Le minacce del social engineering

MalwareSicurezzaSoluzioni per la sicurezza

Il fattore umano è più efficace della tecnologia per attaccare la sicurezza It. Molte le vittime potenziali e temibili i danni per le aziende

Benché relativamente sconosciuto al pubblico più vasto, il termine “social engineering” (ingegneria sociale) è invece largamente diffuso all’interno della comunità di quanti si occupano di sicurezza informatica. Viene utilizzato per descrivere le tecniche che gli hacker o la malavita informatica utilizzano per trarre in inganno un utente di computer che gode della fiducia della sua azienda o della sua organizzazione e indurlo a rivelare informazioni confidenziali e riservate per trasformarlo in uno strumento inconsapevole per realizzare un “buco” nelle barriere di sicurezza delle aziende.

Statistiche su questo tipo di frodi sono difficili da reperire, ma i casi di attacchi che hanno avuto successo sono numerosi e spesso sono conosciuti solo dai consulenti che vengono chiamati a prestare la loro opera a disastro economico già fatto.

Si tratta di tecniche di raggiro che nel corso del tempo hanno ricevuto diverse forme e si sono potute adattare con sorprendente velocità alle nuove tecnologie, dal telefono al computer, mano a mano che queste si sono diffuse nella popolazione. Sono anche tecniche di manipolazione che continuano ad avere un successo sorprendentemente alto con obiettivi umani che spesso si trovano indifesi. Per di più non richiedono all’attaccante di investire in costosa tecnologia e sono utilizzabili con rischi veramente minimi di essere scoperti.

Una tecnica di questo tipo ormai nota a tutti è quella del phishing che ha dimostrato una notevole capacità di adattamento alle diverse situazioni personali o della nazione oggetto degli attacchi. Un solido esperto di queste tecniche può essere considerato Kevin Mitnick la cui carriera si è sviluppata nel corso di oltre quindici anni da adolescente e hacker in erba al liceo ( e punito dalla giustizia) alle prese con i primi furti di traffico telefonico a costo ed applaudito tecnico di sicurezza informatica (security auditing) e conferenziere.

Le sue esperienze variano dunque dagli accessi non autorizzati ai sistemi delle aziende alle chiamate di emergenza per stabilire i buchi e le vulnerabilità di un sistema , spesso a guai avvenuti.Network News ha avuto modo di partecipare a una serie di spiegazioni di Mitnick circa i metodi di attacco informatico con tecniche di ingegneria sociale e di scambiare qualche con lui qualche conversazione più generale sulle minacce del momento.

Gli esempi illustrati da Mitnick mettono in luce un semplice fatto: una fiducia mal riposta che riposa unicamente sulle tecnolgie di sicurezza, firewall, dispositivi di autenticazione, crittografia e sistemi di intrusion detection

è virtualmente inefficace contro una attaccante motivato che usi le tecniche del social engineering. Soprattutto in ambiente aziendale, vittime insospettate neppure comprendono in quale momento cominciano ad essere manipolate. Anticipando le conclusioni possiamo dire che Mitnick suggerisce di affiancare alla tecnologia un programma di coinvolgimento delle persone che prevede consapevolezza e motivazione nel cambiare le loro attitudini adottando un comportamento orientato alla sicurezza. Mitnick parla di chiudere le falle alla sicurezza dei “firewall umani” che ritengono che “seguire i protocolli e le regole di sicurezza, anche le più semplici ,come la gestione delle password, siano una perdita di tempo”.

Spiega Mitnick: “L’ingegneria sociale , come arte dell’inganno , esiste da tempo anche quando non c’erano i computer. E’ una forma di hacking in cui qualcuno utilizza la sua influenza per convincere qualcun altro a soddisfare le sue richieste ricorrendo oltre che all’inganno anche alla manipolazione psicologica. Si possono spendere enormi quantità di denaro in tecnologia, ma spesso questa è inefficace contro queste tecniche”.

Un esempio recente, di particolare attualità dopo la vicenda dei redditi italiani resi consultabili e poi approdati nelle reti peer to peer, riguarda il servizio delle imposte americane (Irs) i cui membri opportunamente contattati hanno divulgato le loro password di accesso ai dati fiscali dei cittadini. Un altro esempio riguarda lo smarrimento e i ricatti riguardanti i dati e le immagini più piccanti del cellulare di Paris Hilton. Un ulteriore caso riguarda la distribuzione mirata di chiavette Usb “smarrite”, che vengono raccolte da persone curiose di conoscerne il contenuto e le inseriscono nel loro personal computer infettandolo e rendendolo un libro aperto per l’hacker.

“Il social engineering –ammette ammiccando Mitnick – non richiede log, lavora con ogni piattaforma software o sistema operativo, usa strumenti a disposizione di chiunque o estremamente economici, supera i sistemi IDS. In azienda manca consapevolezza tra le persone. Spesso è l’help desk , che deve soddisfare le richieste di personale interno e ritenuto sicuro, il primo punto di attacco: si ottiene la password, la si resetta, si crea un nuovo account spesso con privilegi di accesso superiori a quelli della persona oggetto dell’attacco”. Il diffondersi poi dei siti di social networking e delle comunità come Facebook e Myspace si rivela per l’hacker una fonte inesauribile di informazioni personali a disposizione di chiunque sul web per conoscere il suo obiettivo o per prenderne rapidamente l’identità ( pretexting) per dare il via a un attacco:Google è una buona risorsa –confida Mitcnick –Io lo uso sempre”.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore