Tra la tastiera e la sedia

Le tecniche descritte in questo articolo sono dei REATI. Lo scopo di quello che segue non è l’istigazione a compiere degli illeciti, ma serve ad aumentare la consapevolezza di come sia facile cadere vittima di questi tipi di attacco.

È innegabile che l’anello debole della catena della sicurezza informatica sia l’utente, nella più ampia accezione del termine (utilizzatore, manutentore, pianificatore, decisore…).

Come Kevin Mitnick ha dimostrato in The Art of Intrusion, l’utilizzo di tecniche di social engineering può consentire di commettere crimini molto efferati oltre che scherzi ben riusciti.

Uno degli esempi più comuni dell’utilizzo criminale del social engineering è questo. Pensate ad un’organizzazione che conoscete bene (potrebbe essere anche la vostra) che abbia più di una sede o che abbia tanti collaboratori che lavorano spesso in remoto o con un turnover molto fitto. Immaginate cosa potrebbe succedere se uno chiamasse al telefono una delle sedi e dicesse qualcosa tipo: «Salve sono Xxxxx Xxxxxx. Senti, sono un nuovo collega e mi hanno messo subito a lavorare sul cliente Yyyyyyy, ma non mi hanno ancora dato una mail. Siccome Zzzzzz vuole una risposta in tempi brevi, non è che potresti inviarmi in allegato i file su cui state lavorando sul mio account di Gmail?». Naturalmente non si può telefonare a caso alla prima organizzazione e fare una domanda del genere, chi attacca deve sapere che Yyyyyyy è effettivamente un cliente e Zzzzzz un responsabile che lavora su quel cliente. Queste notizie si ottengono di solito chiacchierando con chi lavora in quell’organizzazione e/o facendo telefonate civetta per sondare l’organizzazione e/o visitando il sito dell’organizzazione e/o con metodi di trashing o similari. Loose lips sink ships.

Sul lato più strettamente informatico, il social engineering è utilizzatissimo, dalle chiavette USB infette disperse ad arte vicino ad un’azienda da attaccare alle finte finestre di avviso che il vostro PC è infetto.

A tutto quanto si unisce SET, un kit di programmi con un’interfaccia di gestione che permette di avere a disposizione un vero arsenale per portare attacchi di social engineering.

Tutto quanto non significa che da oggi ciascuno deve sparare a vista, negare ogni tipo di aiuto ai colleghi o chiamare il supporto IT ad ogni finestra che compare a video. L’importante è essere consapevoli che certi attacchi possono esistere.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Tra la tastiera e la sedia”

  1. In effetti, il problema e` educare le persone. Io ci ho anche provato, nell’unica azienda dove mi hanno detto “certo, fai pure un corso minimo di sicurezza” (nelle altre mi dicono che non hanno i soldi). Dopo aver spiegato quali sono i rischi piu` comuni, fatto esempi pratici di immediato utilizzo (il phishing che gira in questo momento, le pagine di facebook taroccate, eccetera) ho potuto verificare che tutto il mio insegnamento non e` servito a una cippa.

  2. Non credo che un corso possa far diventare scaltro un utente, come non lo fa diventare un genio di Excel, Word o altro.
    Con i miei clienti ogni tanto butto li’ dei suggerimenti o faccio vedere esempi pratici come la creazione di una mail con il comando telnet sulla porta 25. Roba leggea e limitata, comunque, altrimenti te li perdi per strada.

  3. L’unico modo per far diventare scaltro un utente e` fargli pagare di tasca sua le ore spese per rimettere a posto il casino che ha fatto.

  4. insomma dai… a volte anche l’hardware fallisce, e non sempre per colpa dei costruttori 🙂 troppa fiducia nella tecnica secondo me porta anche un po’ sfiga

Spazio per un commento