di  -  mercoledì 29 aprile 2009

social engineeringSi è soliti dire che un sistema è sicuro quanto il suo anello più debole, e, spesso, quest’anello è l’uomo.

Nel campo della sicurezza informatica, il social engineering (ingegneria sociale) rappresenta l’atto di ingannare e manipolare gli individui al fine di ottenere informazioni confidenziali o far loro compiere azioni tali da compromettere la sicurezza di un sistema.

Le tecniche utilizzate sono vecchie tecniche di raggiro che, come logica, poco hanno a che fare con il moderno mondo informatizzato, il quale entra piuttosto in gioco nel modus operandi.

Un semplice esempio sono le mail di phishing, dove un utente malevolo si spaccia per una qualche autorevole entità che chiede informazioni confidenziali ad un utente sprovveduto.

Le statistiche affermano che meno dello 0,05% delle mail di phishing vanno a buon fine, considerando però i milioni di mail inviate, a costi pressoché nulli, per le truffe, si capisce perché sia comunque un attività redditizia per i criminali informatici.

L’ingegneria sociale ha però ovviamente una portata molto più ampia dei raggiri per email. Con un’abile parlantina è possibile rendere inutili firewall, IDS e tutti gli altri tradizionali meccanismi di difesa IT, sfruttando semplicemente le falle degli esseri umani, riuscendo magari anche ad entrare nelle zone riservate di un edificio per prelevare informazioni critiche. Il tutto senza bisogno di hackerare un sito web o di tirare fuori il grimaldello per il lock picking.

A questo proposito, vediamo un paio di storie realmente accadute.

La prima è balzata agli onori delle cronache all’inizio di quest’anno ma si riferisce ad eventi occorsi nell’arco di tutto il 2004. Un supervisore della sicurezza per la Sumitomo Mitsui Banking Corporation, infatti, ha permesso l’accesso nelle ore notturne a dei cracker suoi complici spacciandoli, alle altre guardie, per amici venuti a giocare a carte con loro. Nella realtà, in criminali sono riusciti ad installare sistemi di keylogging (di cui abbiamo parlato un mesetto fa) sui computer dei dipendenti atti a catturare passwords, screeshots e altre informazioni confidenziali.

In tutto, da gennaio a ottobre 2004, sono entrati in zone riservate della banca per 21 (ventuno) volte (sic!). Alla fine sono stati beccati, perché, dopo aver raccolto tutte le informazioni necessarie, all’atto finale di trasferire una cifra attorno ai 230 milioni di sterline, hanno fallito non riempiendo correttamente un campo per i trasferimenti interbancari. Il giorno dopo, i dipendenti della banca hanno notato delle manomissioni ed è scattata la denuncia. Tutti catturati i presunti responsabili.

Nel 2007, invece, un truffatore ottenne l’accesso alle cassette di sicurezza in una sede della banca ABN Amro ad Anversa, città storica per il commercio mondiale di diamanti, in quello che potrebbe essere il più grande furto mai commesso da una singola persona. Il ladro, presentatosi come businessman di successo, visitò diverse volte la banca prima di commettere il colpo, in modo da guadagnarsi la fiducia dei dipendenti.

Un dipendente della banca ha raccontato: “Non ha usato violenza. Ha usato una sola arma, il suo charme, per ottenere la fiducia dei dipendenti. Ha comprato loro del cioccolato, era un bell’uomo, li ha incantati, ha preso gli originali delle chiavi per farne una copia e ha ottenuto informazioni su dove i diamanti si trovassero”.

Il piano ha richiesto un anno per essere realizzato. Alla fine, il nuovo Ocean, è riuscito a superare i sofisticati meccanismi di sicurezza (costati un milione di euro), rubando diamanti per un peso di 120.000 carati, dal valore stimato di 21 milioni di euro. Di lui non si saputo più niente.

Questa vicenda c’entra magari poco con l’informatica, ma molto con la persuasione e il raggiro.

Uno degli hacker più noti al mondo, Kevin Mitnick, la cui storia è romanzata dal film Hackers 2 – Operation Takedown, è diventato noto grazie ad attacchi che si basavano soprattutto sul social engineering.

Dopo 5 anni di prigione per crimini informatici, Mitnick è tornato in libertà nel 2000 ed ha scritto due libri che trattano il tema dell’ingegneria sociale, pubblicati anche in Italia: L’arte dell’inganno e L’arte dell’intrusione. Due letture molto gradevoli.

Non ci sono formule magiche per risolvere il problema, l’unica possibile patch per l’uomo è l’istruzione, il training, che costa fatica, tempo e soldi. Esistono molte società di sicurezza che si occupano di formazione del personale aziendale, con risultati più o meno soddisfacenti.

Praticamente i dipendenti di qualsiasi azienda hanno delle policy di sicurezza da seguire, il problema è ovviamente quanto queste policy siano efficaci e quanto i dipendenti siano ligi nel metterle in pratica.

Alla fine, le regole da seguire sono spesso semplici, è la mentalità di fondo che manca, una mentalità che accorda fiducia alle persone in maniera del tutto aleatoria.

Non è ammissibile che in ambienti critici come le banche, o anche l’amministrazione pubblica, il personale non sia adeguatamente addestrato. Peccato, però, che le aziende che investono seriamente su questo punto siano veramente poche.

Altre interessanti e divertenti storie di social engineering, che non ho potuto includere per ragioni di spazio, possono essere trovate a questi indirizzi.

7 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    caffeine
     scrive: 

    mitnick, è sempre stato uno dei miei miti…. geniale….
    l’ingegneria sociale, è uno dei punti CHIAVE di un vero hacker, con un po’ di ingegneria sociale, si riesce a penetrare dovunque (dovunque ci sia anche un solo dipendente “che cade”….), e in italia queste realta’ sono tantissime…

  • # 3
    Raleigh
     scrive: 

    “La tecnologia migliora ogni giorno e va bene, ma spesso basta un pezzo di gomma da masticare un coltellino ed un sorriso”

    La frase dice tutto.

  • # 4
    AlessioF
     scrive: 

    Per caso questo post c’entra con quello di cernobyl?

    A rigor di logica si.

    Basta applicare i protocolli, qualunque essi siano.
    Vado a finire il mio…

  • # 5
    Carlo
     scrive: 

    Oramai è un pezzo che leggo AD quotidianamente ma non avevo ancora trovato una buona scusa per lasciare un commento.
    E forse è con un po di arroganza che il mio primo commento è una correzione ad un post, ma se non ricordo male l’ “Ocean” che ha rubato i diamanti ad Anversa è stato beccato; la storia del furto è raccontata nel secondo numero di Wired sotto il titolo
    “Italian Job, come svaligiare la borsa dei diamanti e farsi beccare per un panino”

    spero di non aver scritto baggianate :P

    Carlo

  • # 6
    Alberto Trivero (Autore del post)
     scrive: 

    Per Carlo:
    E’ possibilissimo che tu abbia ragione, l’articolo a cui ho fatto riferimento era vecchiotto e non ho trovato informazioni altrove. Purtroppo non ho il numero di Wired per controllare che effettivamente sia la stessa persona.
    In ogni caso, grazie.

  • # 7
    Sicurezza incompresa: bucami se ci riesci - Appunti Digitali
     scrive: 

    […] al CEO Darren Berkovitz con un link malevolo e hanno atteso che lui ci cliccasse sopra (un po’ di social engineering serve spesso negli attacchi XSS, soprattutto se reflective e non […]

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.