INFORMATICA - SICUREZZA - SOCIAL ENGINEERING

... the art of getting people to do things they wouldn't ordinarily do for a stranger ... (K.D.Mitnick)

Gennaio 2007

La spiegazione della frase di Mitnick è secondo me più che esaustiva del cosa sia un attacco al sistema basato su ingegneria sociale. Basta miscelare una grande capacità comunicativa interpersonale con un'ottima conoscenza dei sistemi informatici di protezione per ottenere un elegante e potente strumento di attacco che usa ma non si limita all'informatica per penetrare il target.

In questa pagina allora dei consigli contro tali attacchi per far capire di cosa si tratti:

1) Non bisogna mai dare informazioni interne al sistema protetto a prescindere da chi chieda il favore. Anche informazioni irrilevanti singolarmente potrebbero essere determinanti se raggruppate con altre. Un classico esempio è quello del trashing cartaceo ossia della ricerca di dati dai cestini della spazzatura dell'azienza target.

2) Procedure e politiche di sicurezza sono determinanti, ancora di più dei tool di protezione per cui vanno applicati e rispettati senza eccezioni. Spesso proprio i dirigenti che impongono certe regole sono i primi a richiedere la gestione di eccezioni ad uso personale aprendo brecce paurose nel sistema di protezione.

3) Bisogna essere sospettosi nei confronti di sconosciuti che sembrano simpatici.

4) I controlli di sicurezza del sistema di protezione sono un ottimo momento per un attacco per cui vanno formalmente previsti, approvati e controllati.

5) Non ha senso indottrinare sulla sicurezza informatica un solo specialista dell'azienda lasciando gli altri al loro mondo. Spesso questo viene fatto perchè l'addestramento richiede tempo e denaro, spesso perchè le persone rifiutano l'informatica quando non la comprendono. In ogni caso la politica di sicurezza si fa efficace solo quando la conoscono ed applicano in molti nel sistema.

6) La maggioranza degli attacchi è poco elaborata perchè gli intrusi hanno poco tempo per cui è inutile idolatrarli.

7) E' nella nostra natura umana pensare che non possiamo essere raggirati in un rapporto con un'altra persona ma normalmente ciò accade per cui dobbiamo esserne coscienti ed umili.

8) Nell'attacco ad ingegneria sociale l'attore cerca di guadagnare giorno per giorno sempre più informazioni sul sistema target al fine spesso solo di ottenere la fiducia dei suoi gestori e poter quindi colpire senza lasciare sbavature ed impiegando i più semplici e veloci tool informatici a disposizione.

9) I nuovi impiegati di un'azienda sono un target fondamentale per un attacco per cui vanno indottrinati prima che si rendano operativi.

10) Quando si lavora sotto pressione il primo obiettivo è terminare il lavoro e questo spesso va a scapito dell'osservanza delle regole di sicurezza. Tali regole vanno applicate sempre.

11) La maggiore vulnerabilità di un sistema informatico non è nei firewall o negli antivirus ma negli operatori umani. Per questo motivo i firewall e gli antivirus devono essere ben programmati e selezionati.

12) Se vi è un computer vi è almeno un essere umano che lo usa per cui questa diviene la sua prima debolezza, da tale punto di vista l'identificazione degli operatori è essenziale.

13) I regali che vengono da fonti sconosciute o da enti benefici che non hanno pregressi rapporti con l'azienda devono essere chiusi in luogo sicuro.

14) La criptazione dei dati in arrivo non è sufficiente a determinarne il mittente quindi dato criptato non necessariamente equivale a dato genuino. Da qui la necessità sia dell'autenticazione che della criptazione.

15) Evitare assolutamente il clicking a ripetizione sulle dialog-box che compaiono a schermo!

16) Bisogna ricordare che la maggioranza delle minacce alle risorse interne dell'azienda viene proprio dall'interno di essa e non dall'esterno.

17) Quando ci sono ospiti è normale che qualcuno richieda di controllare la propria posta elettronica magari su web. Bisogna predisporre un hardware apposito, protetto ed isolato dal resto della rete, connesso solo per i servizi richiesti, con il minimo indispensabile di privilegi.

18) Attenzione a worm e virus perchè si potrebbe divenire un proxy per l'intruso e quindi inconsapevolmente un suo operatore.

19) Azioni da svolgere con la massima ATTENZIONE e per le quali devono essere stabilite REGOLE CHIARE:

- Modifica delle procedure di autenticazione;
- Rilascio di informazioni all'esterno;
- Discutere di informazioni riservate al telefono;
- Rilascio della procedura di autenticazione per un nuovo dipendente;
- Acquisto, istallazione e rimozione di software;
- Trasferimento di file di discrete dimensioni;
- Accesso all'area centrale elaborazioni dati;
- Connessione a Provider esterni alla rete aziendale;
- Cambio delle password;
- Test di penetrazione;
- Cambio dei privilegi degli utenti (ad esempio nei cambi di mansione);
- Operazioni in remoto (es. riparazioni);
- Disabilitazione o abilitazione di account;
- Gestione della email aziendale principale aperta al pubblico generico;
- Istallazione degli aggiornamenti software;
- Istallazione di strumenti di cracking (spesso utili per gli amministratori di sistema);
- Apertura delle email di spamming;
- Scrittura delle password su pezzi di carta "volanti";
- ...tante altre...