Si è soliti dire che un sistema è sicuro quanto il suo anello più debole, e, spesso, quest’anello è l’uomo.
Nel campo della sicurezza informatica, il social engineering (ingegneria sociale) rappresenta l’atto di ingannare e manipolare gli individui al fine di ottenere informazioni confidenziali o far loro compiere azioni tali da compromettere la sicurezza di un sistema.
Le tecniche utilizzate sono vecchie tecniche di raggiro che, come logica, poco hanno a che fare con il moderno mondo informatizzato, il quale entra piuttosto in gioco nel modus operandi.
Un semplice esempio sono le mail di phishing, dove un utente malevolo si spaccia per una qualche autorevole entità che chiede informazioni confidenziali ad un utente sprovveduto.
Le statistiche affermano che meno dello 0,05% delle mail di phishing vanno a buon fine, considerando però i milioni di mail inviate, a costi pressoché nulli, per le truffe, si capisce perché sia comunque un attività redditizia per i criminali informatici.
L’ingegneria sociale ha però ovviamente una portata molto più ampia dei raggiri per email. Con un’abile parlantina è possibile rendere inutili firewall, IDS e tutti gli altri tradizionali meccanismi di difesa IT, sfruttando semplicemente le falle degli esseri umani, riuscendo magari anche ad entrare nelle zone riservate di un edificio per prelevare informazioni critiche. Il tutto senza bisogno di hackerare un sito web o di tirare fuori il grimaldello per il lock picking.
A questo proposito, vediamo un paio di storie realmente accadute.
La prima è balzata agli onori delle cronache all’inizio di quest’anno ma si riferisce ad eventi occorsi nell’arco di tutto il 2004. Un supervisore della sicurezza per la Sumitomo Mitsui Banking Corporation, infatti, ha permesso l’accesso nelle ore notturne a dei cracker suoi complici spacciandoli, alle altre guardie, per amici venuti a giocare a carte con loro. Nella realtà, in criminali sono riusciti ad installare sistemi di keylogging (di cui abbiamo parlato un mesetto fa) sui computer dei dipendenti atti a catturare passwords, screeshots e altre informazioni confidenziali.
In tutto, da gennaio a ottobre 2004, sono entrati in zone riservate della banca per 21 (ventuno) volte (sic!). Alla fine sono stati beccati, perché, dopo aver raccolto tutte le informazioni necessarie, all’atto finale di trasferire una cifra attorno ai 230 milioni di sterline, hanno fallito non riempiendo correttamente un campo per i trasferimenti interbancari. Il giorno dopo, i dipendenti della banca hanno notato delle manomissioni ed è scattata la denuncia. Tutti catturati i presunti responsabili.
Nel 2007, invece, un truffatore ottenne l’accesso alle cassette di sicurezza in una sede della banca ABN Amro ad Anversa, città storica per il commercio mondiale di diamanti, in quello che potrebbe essere il più grande furto mai commesso da una singola persona. Il ladro, presentatosi come businessman di successo, visitò diverse volte la banca prima di commettere il colpo, in modo da guadagnarsi la fiducia dei dipendenti.
Un dipendente della banca ha raccontato: “Non ha usato violenza. Ha usato una sola arma, il suo charme, per ottenere la fiducia dei dipendenti. Ha comprato loro del cioccolato, era un bell’uomo, li ha incantati, ha preso gli originali delle chiavi per farne una copia e ha ottenuto informazioni su dove i diamanti si trovassero”.
Il piano ha richiesto un anno per essere realizzato. Alla fine, il nuovo Ocean, è riuscito a superare i sofisticati meccanismi di sicurezza (costati un milione di euro), rubando diamanti per un peso di 120.000 carati, dal valore stimato di 21 milioni di euro. Di lui non si saputo più niente.
Questa vicenda c’entra magari poco con l’informatica, ma molto con la persuasione e il raggiro.
Uno degli hacker più noti al mondo, Kevin Mitnick, la cui storia è romanzata dal film Hackers 2 – Operation Takedown, è diventato noto grazie ad attacchi che si basavano soprattutto sul social engineering.
Dopo 5 anni di prigione per crimini informatici, Mitnick è tornato in libertà nel 2000 ed ha scritto due libri che trattano il tema dell’ingegneria sociale, pubblicati anche in Italia: L’arte dell’inganno e L’arte dell’intrusione. Due letture molto gradevoli.
Non ci sono formule magiche per risolvere il problema, l’unica possibile patch per l’uomo è l’istruzione, il training, che costa fatica, tempo e soldi. Esistono molte società di sicurezza che si occupano di formazione del personale aziendale, con risultati più o meno soddisfacenti.
Praticamente i dipendenti di qualsiasi azienda hanno delle policy di sicurezza da seguire, il problema è ovviamente quanto queste policy siano efficaci e quanto i dipendenti siano ligi nel metterle in pratica.
Alla fine, le regole da seguire sono spesso semplici, è la mentalità di fondo che manca, una mentalità che accorda fiducia alle persone in maniera del tutto aleatoria.
Non è ammissibile che in ambienti critici come le banche, o anche l’amministrazione pubblica, il personale non sia adeguatamente addestrato. Peccato, però, che le aziende che investono seriamente su questo punto siano veramente poche.
Altre interessanti e divertenti storie di social engineering, che non ho potuto includere per ragioni di spazio, possono essere trovate a questi indirizzi.