Da anni si sente parlare dei famigerati hacker (anche se come già accennato in questo post, tale termine è errato, in quanto trattasi di cracker), i quali riescono con le loro scorribande telematiche a seminare il panico su Internet, introducendosi sui sistemi informatici altrui con conseguente danneggiamento degli stessi.
Occorre sfatare un mito però: il cracker non è sempre un ragazzetto sociopatico e genialoide, il cui unico amico è il personal computer e che ha forti difficoltà a sostenere un discorso sensato. Spesso i cracker sono soggetti in grado di ingannare il prossimo, portandolo a commettere errori imperdonabili (e spesso irrimediabilmente dannosi).
Altro mito da sfatare: la vostra rete non è tanto sicura quanto più risultano all'avanguardia le tecnologie anti intrusione che state utilizzando. In altri termini il "fattore umano" rappresenta spesso e volentieri il vero punto debole nella politica di sicurezza aziendale. Per dimostrare la mia tesi faccio un aneddoto: supponiamo che il vostro network aziendale sia dotato di firewall di ultima generazione, IDS, IPS, NPS e chi più ne ha più ne metta... c'è un problema però, il numero del centralino è stato pubblicato sul sito Web dell'azienda e quindi è consultabile da tutti. Un bel giorno, il centralino riceve una chiamata da un tizio che si spaccia per un dipendente e che in tal modo riesce ad ottenere informazioni cruciali quali un hostname, un indirizzo IP o addirittura una password specifica. Il giorno dopo, come per magia, documenti classificati come "confidenziali" vengono sottratti dal server di storage, semplicemente utilizzando le informazioni ottenute dal centralinista di turno. Vi sembra esagerato? No, è la pura e semplice realtà dei fatti.
Ma chi potrebbe avere interesse a rubare delle informazioni vitali per l'azienda? Gli ingegneri sociali sono sempre degli individui il cui unico scopo è quello di arrecare danno all'azienda vittima solo per il semplice gusto di farlo?
Diciamo che nella stragrande maggioranza dei casi l'ingegnere sociale è un ex dipendente che cerca vendetta, spesso a causa di un licenziamento che ritiene ingiusto. In altri casi trattasi di spie industriali, il cui scopo è quello di sottrarre informazioni vitali su brevetti hardware o software. Infine vi sono "i curiosi", che giudicano estremamente stimolante la sfida rappresentata dalla possibilità di entrare in possesso di informazioni nascoste al pubblico, quali codici sorgenti, progetti, manuali, e chi più ne ha più ne metta.
Ma quali sono gli approcci utilizzati dagli ingegneri sociali affichè la vittima possa essere tratta in inganno con successo? Facciamo un piccolo elenco:
1) Effettuare diverse telefonate spacciandosi di volta in volta per una persona diversa. In questo modo riesce ad ottenere un duplice risultato: confondere le acque ed ottenere informazioni man mano sempre più utili per giustificare agli occhi della vittima le proprie richieste;
2) Effettuare una serie di domande totalmente inutili in cui camuffare quella veramente importante, in modo da far credere alla vittima che tutte le informazioni che sta fornendo sono completamente prive di importanza;
3) Simulare un guasto e successivamente telefonare alla vittima aiutandola a uscire fuori da tale condizione di disservizio. In questo modo si sviluppa un sentimento di gratitudine che induce a rilevare all'attaccante informazioni aziendali estremamente riservate;
4) Fare in modo che la vittima installi sul proprio PC o su un host sensibile (ad esempio un server), un qualche tipo di software malevolo (trojan, worm, virus, ecc.);
5) Indurre la vittima a faxare su un numero non verificato (ad esempio quello di una copisteria) elenchi di dipendenti o altre informazioni utili per eventuali attacchi successivi più sofisticati;
6) Spacciarsi per un tecnico autorizzato in modo da ottenere password di vitale importanza relative ad apparati di rete o centralini telefonici;
Ora, occorre precisare che gli ingegneri sociali preferiscono sempre interagire con la vittima mediante un apparecchio telefonico, un fax oppure una casella email, tutti strumenti in grado di celarne la vera identità, riducendo notevolmente i rischi di essere riconosciuto ed eventualmente denunciato alle forze dell'ordine. Però, tale approccio non rappresenta sicuramente la regola, infatti, pur di ottenere le informazioni che cerca, l'ingegnere sociale può benissimo presentarsi nella sede dell'azienda (oppure in una delle sedi, nel caso in cui ne abbia più di una) e spacciarsi per questo o quel dirigente, dipendente o fornitore. Ma come fa l'ingegnere sociale ad accedere fisicamente all'interno dei locali dell'azienda senza farsi riconoscere? Esistono diversi metodi:
1) Usare la tecnica del "traino", ovvero seguire dei dipendenti che accedono dai tornelli con il loro badge sfruttando la loro scia;
2) Spacciarsi per un addetto alle pulizie;
3) Spacciarsi per un dipendete che ha dimenticato qualcosa nel suo ufficio, presentandosi in sede oltre l'orario di lavoro e convincendo gli addetti alle pulizie presenti ad aprirgli la porta;
4) Spacciarsi per un uomo d'affari che ha un appuntamento con uno dei dirigenti dell'azienda.
Infine, esiste un altro metodo poco ortodosso per reperire informazioni riservate: rovistare nei bidoni della spazzatura. Tale tecnica prende il nome di trashing e si basa semplicemente sulla cattiva abitudine di gettare nella spazzatura documenti considerati poco importanti, ma che invece rappresentano una preziosissima fonte di informazioni per l'ingegnere sociale. Inutile dire che per evitare situazioni del genere è necessario utilizzare dei tritadocumenti che non si limitino esclusivamente a "tagliuzzare" i fogli, ma che li sminuzzino completamente, riducendoli in una poltiglia inservibile.
Altro concetto da temere sempre in considerazione: l'abito non fa il monaco. Vi sembrerà scontato, eppure richiedere l'identificativo al personale che vedete aggirarsi presso i locali dell'azienda per la prima volta, oppure che non tiene in bella mostra il proprio tesserino di riconoscimento, può ridurre di oltre il 50% il rischio di intrusione. Badate bene però, tale controllo non deve essere delegato solo ed esclusivamente al personale di sorveglianza, ma andrebbe effettuato anche da un qualunque dipendente dell'azienda che si accorge di un'anomalia di questo tipo.
Altri metodi per limitare gli attacchi degli ingegneri sociali sono i seguenti:
1) Nel caso di attacco sferrato mediante telefono, richiedere sempre e comunque il codice identificativo del dipendente. Eventualmente, nel caso in cui la versione del nostro interlocutore non ci sembri trasparente al 100%, riattaccare e chiedere un recapito telefonico su cui richiamarlo (in tal modo si dovrebbe riuscire a capire se chi ci sta chiamando è davvero chi dice di essere);
2) Non identificare il chiamante solo in base al numero visualizzato sul display nel nostro apparecchio telefonico, in quanto tale informazione potrebbe essere facilmente alterata.
3) Non mandare mai dei fax contenenti informazioni più o meno importanti a numeri non verificati. Inoltre, sarebbe opportuno utilizzare un three-way handshake, basato sull'inoltro di un'opportuna copertina "preliminare", prima dell'invio del fax stesso, anche nel caso in cui il numero di destinazione sia verificato;
4) Smistare informazioni sensibili quali password, username et similia soltanto mediante posta interna (e non mezzi insicuri quali posta elettronica non certificata o quant'altro);
5) Catalogare le informazioni in base al loro livello di criticità e quindi di segretezza;
6) Limitare il numero e la qualità delle informazioni sull'azienda pubblicate sul sito Web istituzionale;
7) Non utilizzare password scontate, troppo corte, o per un periodo di tempo troppo lungo. Cambiare sempre e comunque le password di default dei vari dispositivi ed eliminare gli account degli ex dipendenti (oltre a quelli di default);
8) Cifrare sempre il contenuto dei nastri di backup;
9) Utilizzare hostname poco descrittivi e password differenti per ciascun device;
10) Non lasciare mai in bella vista (o in prossimità della postazione di lavoro) le credenziali di accesso al sistema;
11) Nel caso in cui utilizziate una casella vocale, evitate di inserire informazioni sensibili nell'ambito della risposta della segreteria (ad esempio numero di interno, mansione ricoperta, ecc.).
12) distruggere opportunamente tutte le periferiche di archiviazione di massa prima di gettarle via (cancellare un file non vuol dire renderlo per sempre irrecuperabile).
Infine, non vi resta che seguire semplicemente il vostro buon senso.
A presto.