Ingegneria sociale e "Human Factor"

Per proteggere il nostro sistema informatico dobbiamo sempre considerare tre fattori fondamentali che devono essere trattati con la medesima cura e attenzione: software, hardware e wetware. I primi due termini ovviamente già li conoscete mentre il terzo forse non l' avete mai sentito. La parola wetware ha vari significati ma quando si parla di ingegneria sociale ne ha solo uno: l' essere umano. Il fattore umano (Human Factor) è un elemento molto sottovalutato ma importantissimo per raggiungere determinati livelli di sicurezza. Durante un suo convegno Kevin Mitnick disse che si possono investire milioni di dollari per i propri software, per l' hardware delle proprie macchine e per dispositivi di sicurezza all' avanguardia ma se c' è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili.

Cos'è l' ingegneria sociale? L' arte e la scienza di spingere una persona a conformarsi ai nostri desideri (definizione originale di Harl in "People Hacking"). Oppure la tecnica che ci permette di ottenere informazioni confidenziali manipolando altre persone. Spero che abbiate capito che l' ingegneria sociale cerca di sfruttare le debolezze dell' essere umano e non prende assolutamente in considerazione software e hardware. L' ingegnere sociale non utilizza come arma principale il computer per attaccare un sistema informatico.

Il "modus operandi" dell' ingegnere sociale segue sempre lo stesso pattern:
1) ottenere il maggior numero di informazioni sulla vittima (footprinting)
2) sviluppare un rapporto di fiducia con la vittima
3) sfruttare la vittima ormai manipolata
4) utilizzare le informazioni ottenute dalla vittima

Ottenere informazioni sulla vittima non è difficile ma sicuramente è la parte che richiede più tempo per l' ingegnere sociale. Le informazioni che maggiormente possono interessare sono nome, cognome, numeri di telefono, data di nascita, hobby, lavoro, ecc... Ovviamente queste informazioni variano da vittima a vittima e quindi non è possibile stilare un elenco completo. Come si trovano queste informazioni? Le tecniche utilizzate dagli ingegneri sociali sono svariate: vecchi computer che possono contenere informazioni personali, trashing (rovistare nella spazzatura), analisi di supporti di memorizzazione (floppy, CD, pendrive), falsi sondaggi mirati proprio alla raccolta di informazioni sulla vittima.

Dopo aver ottenuto un sufficiente quantitativo di informazioni, si passa al punto due: creare un rapporto confidenziale con la vittima. Questo punto è molto importante perchè permette all' ingegnere sociale di avere un primo contatto diretto con la vittima ma soprattutto gli permette di abbassare il livello di attenzione e diffidenza che la vittima ha nei suoi confronti. Spieghiamo il perchè facendo un semplice esempio: se uno sconosciuto si avvicina a noi, in maniera istintiva (a volte neanche ce ne accorgiamo) noi facciamo una veloce scansione dell' abbigliamento, del modo di parlare, dell' aspetto fisico di questo individuo... praticamente effettuiamo una veloce analisi che ci serve a capire se questo sconosciuto può essere un pericolo o no. Il nostro livello di attenzione mentale è molto elevato. Se però questo individuo inizia ad instaurare un rapporto confidenziale con noi oppure se indossa una divisa (tecnico, poliziotto, ecc...) e mostra un tesserino (ovviamente falso), le nostre barriere difensive inizieranno a calare bruscamente perchè quello sconosciuto non sarà più considerato come possibile minaccia. Un altro punto fondamentale per portare un attacco di ingegneria sociale è questo: quando entra in contatto con una vittima, l' ingegnere sociale solitamente utilizza modi garbati, voce dolce e gentile, parlerà in maniera chiara e lenta. Ma ciò non è sempre vero infatti può anche accadere che l' ingegnere sociale telefoni alla sua vittima (es. segretaria d' ufficio che lavora presso un' azienda) spacciandosi per addetto alla sicurezza e con tono teso dica alla vittima che c'è stato un problema nella rete e per non aggravare la situazione ha bisogno immediatamente di una password di un utente dell' azienda. La povera segretaria in pochi secondi deve prendere una decisione: dare la password a questo tecnico oppure non darla rischiando però di aggravare la situazione descritta dal tecnico? Molto spesso accade che un po' per paura un po' per fretta la vittima dia la password al presunto tecnico.
Il tono della voce ed il modo di porgersi, quindi, sono fattori variabili che devono essere adattati in base alla situazione specifica.
Giusto per essere chiari, il creare un rapporto di fiducia non prevede obbligatoriamente un contatto "faccia a faccia" con la vittima. Tutto il punto due può anche avvenire per esempio telefonicamente.

Dopo aver instaurato un rapporto di fiducia con la vittima, quest' ultima sarà più facilmente manipolabile (le sue barriere difensive saranno minime). L' ingegnere sociale quindi potrà estrapolare le informazioni cercate utilizzando alcune tecniche come: spacciarsi per tecnico (come abbiamo visto prima nell' esempio della segretaria), spacciarsi per un collega che riveste un ruolo più importante della vittima, spacciarsi per utente inesperto che richiede aiuto. Per ottenere le informazioni desiderate, l' ingegnere sociale può anche portare attacchi di phishing tramite mail oppure creare un sito che invogli gli utenti ad accedere con le loro password. Le soluzioni sono praticamente infinite e molto risiede nella creatività dell' aggressore.
Una volta ottenute le informazioni dalla vittima, l' ingegnere sociale potrà utilizzarle a suo piacimento.

Ma perchè l' essere umano è così vulnerabile ad attacchi di ingegneria sociale? Ci sono alcune spiegazioni che ci permettono di capire perchè la vittima dia così facilmente dati importanti come password a dei perfetti sconosciuti: la vittima crede di fare una cosa giusta e crede di dare aiuto a qualcuno mentre invece sta aiutando il suo aggressore, la vittima ha paura delle possibili conseguenze che il suo rifiuto nel dare informazioni potrebbe portare, la vittima crede che dare quelle informazioni non sia pericoloso e sicuramente è un qualcosa che non richiede tempo e quindi è accettabile.

Concludo l' articolo consigliandovi sempre di stare molto attenti e di tenere gli occhi ben aperti. Non fidatevi delle persone che dicono di essere tecnici, addetti alla sicurezza, amministratori di sistema e vi chiedono password o altre informazioni importanti senza aver dimostrato la loro posizione. Se avete dubbio e non sapete cosa fare, prendetevi il vostro tempo e contattate immediatamente un vostro superiore. A volte essere "cattivi" con il prossimo è un bene e non dobbiamo sentirci male se abbiamo deciso di rifiutare le richieste di uno sconosciuto che ci aveva pregato di aiutarlo dandogli l' account di un' altra persona. Molto probabilmente abbiamo evitato che un attacco di ingegneria sociale potesse avere successo...

2 commenti:

    Mooolto interessante! ;)

    On 22 novembre 2007 19:41 no1globe ha detto...

    Uao!!!! Complimenti veramente (interessantissimo!) ;) e chi le sapeva ste cose =D (ora le so...)

    Byez!