• User

    Social Engineering - La vera e unica minaccia del 2010

    Salve a tutti, da diciamo "esperto della sicurezza", tanto per non sollevare polveroni vorrei porvi questo problema:

    Avete acquistato lo script più sicuro del mondo, programmato alla perfezione.

    Avete assunto il miglior contractor Information Security.

    Avete adottato i migliori programmi antispam e antispyware ma...

    il vostro sito, blog, computer, eccetera.... **non è ancora sicuro al 100%

    **Si potrebbe parlare di phishing, ma ormai è troppo comune ed è entrato nell'ottica comune: nessuno accetta più allegati provenienti da mail di dubbia provenienza.

    Si potrebbe parlare di fake login, ma ormai anche questi sono superati, è difficile trovare tante vittime di questa tecnica a parte utenti meno esperti.

    Io vi parlo del **Social Engineering:

    **"Ingegneria sociale
    Da Wikipedia, l'enciclopedia libera.

    Nel campo della sicurezza delle informazioni per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni.

    Questa tecnica è anche un metodo (improprio) di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema. Similmente al metodo del tubo di gomma può essere un modo sorprendentemente efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici.

    Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per un cracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò accade l'unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale.

    Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
    Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara."

    Prima di parlare di altro e magari svelare qualche tecnica, o parlare di soluzioni, vorrei sapere che ne pensate?

    Saluti da

    .nakkyhack


  • ModSenior

    Ciao nakkyhack,
    l'argomento è troppo vasto e può assumere aspetti e connotati diversi in base al contesto, al cliente, al tempo, ecc. ecc.

    Io non sono un esperto di sicurezza informatica, diciamo che me ne occupo ad un livello un po' più astratto visto che mi occupo anche di business continuity.

    Ho opinioni e conclusioni diverse in base al cliente a cui penso.

    L' Ingegneria sociale non è altro che il raggiro, truffa, imbroglio; è sempre esistita e penso che esisterà sempre perché fa parte della natura umana.

    Fino a pochi anni fa vedevo che motli clienti grandi o quelli istituzionali organizzavano massicce campagne di informazione e formazione per sensibilizzare i dipendenti sui rischi in oggetto, messaggi per lo più volti a terrorizzare e drammatizzare.

    Oggi vedo un approccio totalmente diverso, secondo me migliore e più rispettoso, dove si continua a informare, ma si mettono i dipendenti (e chiunque sia autorizzato a operare sui sistemi informatici) in una condizione di sicurezza e confort per cui eventuali furti di dati non possa nuocere all'azienda (e mandare il dipendente truffato in terapia pagata dall'azienda):

    • separe i ruoli
      ad esempio per una ditta faccio il database administrator, il dba, ma il mio ruolo (utente e password) non mi consente di leggere i dati, posso creare tabelle, eliminare colonne, scrivere trigger ecc. ecc.
    • regolamentare gli accessi in base a fasce orarie
    • restringere gli accessi con autenticazione per mac address, porta switch, token
      e tanti altri accorgimenti.

    Comunque non sono convinto che i programmi abbiano pochi bug, in qualunque contest ci si mette qualche minuto a bucare qualunque sistema operativo, figuriamoci un sistema aziendale, quindi i vari *ker hanno ampi spazi di manovra e miglioramento ancora.

    Valerio Notarfrancesco


  • User

    Ciao Valerio e intanto grazie per la risposta,

    credo che tu, da solo in un piccolo post hai elencato almeno l'80% delle procedure per neutralizzare questo tipo di attacco.

    Io personalmente aggiungerei qualche piccola e stupida procedura, anche se non sono davvero tutte:

    • Verificare l'identità di eventuali "Voci al telefono", anonime persone, eccetera
    • Verificare gli ordini (e.g "Davvero il Sig. Pinco ti ha mandato a fare una cosa per me...)

    Però come dici tu, c'è ancora molto spazio di manovra 🙂

    Grazie ancora

    .nakkyhack