http://www.vegpyramid.info    

lunedì 24 dicembre 2007

Ingegneria sociale e sicurezza informatica

Un interessantissimo articolo di un esperto in materia di ingegneria sociale e sicurezza informatica:
Ivan Scalise è fra i maggiori esperti italiani di ingegneria sociale e protezione di dati sensibili a livello aziendale. Voce autorevole fra le non molte davvero credibili nel panorama nazionale, ha accettato di rilasciare un’approfondita intervista in cui cercheremo di analizzare, con la massima semplicità, particolari situazioni che potrebbero sfiorare, o colpire direttamente, ciascuno di noi. Proveremo inoltre ad offrire un quadro generale di molteplici aspetti del mondo dell’Information Technology, della sicurezza informatica, della protezione della nostra privacy.

Quanto davvero siamo al sicuro mentre navighiamo su internet, quando parliamo al telefono, quando camminiamo per strada? Di cosa ci si dovrebbe realmente preoccupare, e quali aspetti invece sarebbero da considerarsi come decisamente sopravvalutati? Risulterebbe infine più pericolosa una precisa, e magari conosciuta, minaccia informatica, oppure un abile e preparato interlocutore in grado di carpire informazioni anche solamente grazie ad una banale conversazione? Proveremo a fornire una valida risposta a tutte queste domande.

Per conoscere al meglio di cosa si occupi esattamente Ivan Scalise, consigliamo ovviamente un'accurata visita al sito ufficiale: Ivan Scalise - The Unconventional Security Specialist.

Veniamo a noi, Ivan: quindi, ingegneria sociale, in spiccioli l'arte di analizzare e scardinare le debolezze umane prima ancora di quelle tecnologiche. E' incredibilmente facile riuscire a farsi svelare volontariamente i dati personali e sensibili di molti soggetti semplicemente tentando di vendere un'enciclopedia per strada, o tramite un'intervista telefonica. A livello aziendale siamo messi un po' meglio? Vi è consapevolezza degli effettivi rischi?

Nella gente, cosiddetta comune, manca una cultura della privacy, poiché la vocina che si chiede: “ma che fine faranno i miei dati?” c'è, però la domanda, vuoi per la fretta, vuoi per il "tanto non importa", viene accantonata a favore dello zuccherino che ti offre l'interlocutore. Nelle aziende noi troviamo la stessa gente che fa la raccolta punti al supermercato, o che immette i propri dati personali su un sito per avere in cambio un gadget. Abbiamo quindi persone che sono portate a dare qualcosa, che considerano poco importante, in cambio di qualcos'altro, che risulta utile o simpatico. In genere le policy aziendali seguono degli standard che mettono in guardia il dipendente e che gli impongono di non dare per nessuna ragione alcune informazioni. Ma gli standard sono solo un qualcosa di prefissato e lineare che suggerisce, senza però andare a fondo, quali sono i particolari da non rivelare. Una policy potrà dirmi di non rivelare la password, ma non potrà mai elencare tutti i modi che un malintenzionato potrà usare per arrivare a quella password senza che me ne accorga. Quindi possiamo affermare che: sì, siamo messi un po' meglio, manca però la formazione. Dalla receptionist al presidente, in un'azienda, nessuno ha chiaro un concetto molto semplice: non è una questione di intelligenza.

Quando parliamo di attacchi di ingegneria sociale, parliamo di debolezze umane, come hai giustamente detto, e non di lesa maestà all'intelligenza. Tutti siamo più o meno curiosi, sentimentali, cordiali, educati, pigri, avventati ecc... La soluzione sta nel capire come e quando essere tutto ciò e accettare il fatto di essere vulnerabili a priori. Gli esperti di security sono i primi a inserire nel proprio pc oggetti di dubbia provenienza, come una chiavetta usb simpatica/strana o un cd "forse dimenticato da qualche dipendente". Eppure loro conoscono l'ingegneria sociale, ne hanno letto, si sono appassionati, magari hanno seguito anche uno dei tanti corsi che ne parlava... Ma basta un momento, una singola distrazione o un eccesso di superbia ("tanto io e la mia configurazione siamo a prova di bomba”) e puff hai aperto una falla senza accorgertene.
Il fattore umano è come sempre l'anello debole della catena. Non sarebbe preferibile investire prima sulle persone e poi sulle tecnologie?

In effetti, fino alla contemporanea era dell'informazione e dell'informatizzazione, chi conduceva un'impresa si curava più della preparazione e delle capacità dei suoi dipendenti piuttosto che degli strumenti tecnologici che usava. Poi sono arrivate le prime epidemie di virus, il pericolo hacker, la caduta ingloriosa di tanti colossi come Yahoo o eBay, e le aziende sono corse subito ai ripari, affidando in toto la loro sicurezza ai Golia dell'informatica. Questi, ovviamente, guadagnano vendendo il proprio hardware e le proprie soluzioni software, quindi la cultura della sicurezza si è basata sui prodotti da acquistare e sulla conoscenza che i dipendenti avevano dei prodotti commercializzati. Non avrebbero mai potuto dirti che gran parte della security dipende da chi gestisce i sistemi (aldilà di quello utilizzato) perché altrimenti la corsa ai continui aggiornamenti si sarebbe fermata in fretta e non avrebbero più avuto senso frasi come: "il nostro è il software più sicuro al mondo" o "progettiamo soluzioni tecnologiche per la tua sicurezza". Purtroppo, da allora, le cose non sono cambiate granché. I Golia hanno comprato/corrotto i Davide con le partnership, le certificazioni, i premi, mentre, allo stesso tempo, distribuivano e facevano approvare best practice ad hoc o influivano sui media in modo da imbavagliare chi facesse notare le enormi idiozie che andavano predicando.

Ora capirai che se una certa cultura mi fa intendere che i sistemi sono unici e si proteggono da sé, io non mi curo molto del dipendente che piazzo su quel sistema o attorno ad esso. Da qui sorge la pessima abitudine di non ricercare continuamente figure eccelse e di non valorizzare il proprio personale.
Molti dirigenti preferiscono chi sa fare un po' di tutto, piuttosto che un team di specialisti. Preferiscono i dipendenti che costano poco, magari anche riciclabili tramite contratti a progetto astratti o in outsourcing, piuttosto che dipendenti di qualità con cui instaurare un forte legame d'appartenenza. L'ambiente, l'aria che si respira in un'azienda è una questione che andrebbe trattata seriamente, mentre molti ci giocano o ci speculano sopra in maniera superficiale. Sono tanti i dipendenti ed i dirigenti che si sentono minacciati a causa di un clima d'odio e/o d'invidia che si crea attorno a loro. La sicurezza e il destino stesso di un'impresa, dipendono dalla validità dei dipendenti e da quanto questi vogliono bene a quell'impresa, da quanto si sentono confortati e a loro agio. Alcune multinazionali straniere curano questi aspetti, mentre noi ce ne infischiamo parecchio. Il bello è che sono aspetti che, le ditte straniere, curano anche nelle filiali italiane e spesso gente come me viene chiamata proprio a verificare questo aspetto. In pratica è come se mi dicessero: "passa qualche giorno nella filiale X e guarda se stanno amministrando bene" ... "guarda se il nostro incaricato italiano cura i rapporti in modo adeguato" e in genere dopo la mia visita gli affiancano qualcuno proveniente dalla sede centrale. Oggi sembra che manager ed imprenditori abbiano dimenticato l'importanza dei rapporti interpersonali e continuano a gettar soldi sull'ultima placebo security (come le chiamo io) che gli propone il vendor o trasformano la sede in una centrale biometrica. Così, mentre si sentiranno al sicuro, protetti dalle macchine, continuerà ad esserci un piccolo dipendente, con un piccolo contratto, con una grande voglia di fargliela pagare favorendo una concorrente.
Il panorama aziendale italiano, con particolare riferimento a Società che interagiscono direttamente con il pubblico, quindi istituti bancari, assicurazioni, semplici uffici comunali, potrebbe essere considerato mediamente sicuro ed organizzato, o sono ancora troppe le cose che non vanno al meglio?

La sicurezza di un impero parte dal basso e, nelle aziende di qualsiasi tipo e grandezza, il basso è sempre il luogo più scoperto e vulnerabile. Come spiegato poc'anzi, c'è una scarsa attenzione verso il personale, e gli stessi metodi di assunzione paiono indisciplinati. In tutti i settori si sono diffusi maree di lavoratori temporanei e centinaia di piccole s.r.l. che, se interpellate, propongono stock di lavoratori subito pronti ad un nuovo impiego e selezionati direttamente dalle stesse s.r.l. Quindi abbiamo figure come il sistemista-programmatore-webmaster o la maestra-centralinista-designer che lavorano a progetti a cui non dovrebbero nemmeno avvicinarsi o che un mese lavorano all'impresa X e il mese dopo lavorano per la diretta concorrente. Come se non bastasse, c'è anche chi si serve di apprendisti prestati dalla Vattelapesca s.r.l. Cioè gente che segue dei corsi di Office, di Linux, di Quelchevuoitu e fa apprendistato in grandi aziende o in amministrazioni pubbliche.
Ritroviamo apprendisti e lavoratori temporanei persino nelle sale di monitoraggio delle sedi bancarie. Eh si, hai capito bene, la sicurezza del tuo conto in banca e delle tue transazioni non dipendono da un super esperto col mantello rosso, ma da un ragazzo un po' arruffato che, sbattuto qua e là da anni, ora si ritrova in quella posizione per qualche mese. E non parliamo poi di appalti, subappalti e raccomandazioni (referenze, pardon) varie presenti nel settore pubblico. O, ancora, dei messi che portano qua e là documenti riservatissimi, magari delle procure, come ad esempio i fax che comunicano trasmissioni di tabulati telefonici o informazioni sulle indagini in corso. O ancora dei call-center in affitto, che oltre a rappresentare una facile via, agli occhi di un esterno, per guadagnarsi l'accesso diretto a database riservati, sono una miniera di informazioni a disposizione di ragazzi che guadagnano meno di 600 euro al mese. Se tu avessi un accesso privilegiato ad un database e se qualcuno ti sganciasse 50 euro ad informazione, tenendo conto che sei un precario che fa i salti mortali tra affitto e bollette, non li accetteresti?

Qualcuno sa spiegarmi dove sta la sicurezza quando si adottano questi metodi? Come può una persona insoddisfatta, o assunta temporaneamente, o prestata, soddisfare quei requisiti che servono a non turbare i fragili equilibri della sicurezza interna all'azienda? Allo stato attuale, è possibile violare una qualsiasi azienda, pubblica o privata, italiana, in maniera più o meno semplice, ma pur sempre semplice. Questo vuol dire che nessuno dei dati dei lettori è potenzialmente al sicuro. Il mio non è sterile allarmismo, anche perché alla fine si campa lo stesso, ma un invito a richiedere una maggiore sicurezza alle vostre banche, ai vostri comuni, ai vostri ospedali ecc... Bisognerebbe interessarsi ed essere informati, perché i servizi vengono pagati da tutti noi, quindi il minimo che ci si aspetta è che siano efficienti, sicuri e gestiti da personale all'altezza del proprio compito.
Il cyber crime, in tutti i suoi molteplici aspetti, può essere ritenuto il business criminale più in ascesa del momento e con i più elevati margini di futura diffusione?

La diffusione dei crimini perpetuati attraverso la rete si basa su una serie di fattori:

1. Il numero sempre crescente di navigatori novizi, quindi l'aumento delle potenziali vittime o vettori.
2. Il crescente bisogno di far soldi in qualche modo e subito.
3. La diffusione del know-how tecnico, anche di livello medio-alto, preconfezionato.
4. L'estrema facilità con cui è possibile formare gruppi e reclutare nuovi adepti da plasmare secondo le proprie esigenze.
5. La radicata illusione di non poter essere scoperti.
6. L'assenza di atti violenti.

Quindi diciamo che i fattori sono gli stessi che accomunano tante altre tipologie di crimini, con la differenza che un cyber criminale può riuscire a colpire centinaia di migliaia di sistemi grazie ad un unico fendente, oppure rubare qualche migliaio di numeri e codici di carte di credito in meno di un'ora. In più ha uno scudo psicologico, quella barriera che si chiama monitor, barriera che gli fa credere di non essere rintracciabile (ovviamente anche grazie ad altre precauzioni) e che quindi lo sprona a continuare fino a quando egli non viene beccato (se operano nello stesso Stato, vengono beccati sempre).
Poi c'è il mercato nero del malware, che penso debba essere distinto tra quello che appare sui giornali, in parte alimentato da alcuni programmatori di antivirus (non ho detto aziende), con prezzi per tutte le tasche, e quello più nascosto che alimenta il sottobosco dello spionaggio industriale, governativo e terroristico. Ed è proprio quest'ultimo che meriterebbe una maggiore attenzione, visto che non è solo mercato nero ma sconfina in una vera e propria criminalità organizzata, diffusa tramite celle operanti in Paesi diversi, con tanto di ricatti, estorsioni, riciclaggio, spionaggio, traffici illegali e via dicendo. Entrambi i business crescono e continueranno a crescere in maniera esponenziale, non c'è un unico farmaco per bloccare tutti i mali, poiché tra le motivazioni c'è anche quel senso di malessere diffuso che coinvolge chi criminale non è o chi non si sente tale. Può sembrare una visione pessimistica, lo so, ma ho semplicemente detto che il cyber crime non può cessare di esistere, cosa diversa dal dire che non ci si possa proteggere adeguatamente. Perché proteggersi adeguatamente è possibile, l'importante è capire da chi.

Il criminale informatico è in certi casi più preparato di chi sarebbe preposto a dargli la caccia, o si tratta semplicemente di una forma di sottovalutazione del problema da parte di chi dovrebbe vigilare?
Né l'uno, né l'altro. La preparazione della maggior parte dei criminali informatici oggi è abbastanza carente, perché la voglia di apprendere, presente fino ad un decennio fa, ha lasciato il posto alla voglia di strafare, la voglia di agire subito. Quindi in questi anni, per la prima volta, gli informatici col distintivo e gli informatici al soldo delle corporate sono in grado di contrastare agevolmente quelli con la bandana. Per esempio, conosco forenser ed ethical (ma sarebbe meglio dire legal, poiché di ethical non c'è nulla... uhmm spesso c'è anche poco di legal, ad essere pignoli), mediocri, che riescono agevolmente a rintracciare quei pirati che si rendono protagonisti di atti vandalici, di truffe online o di piccole azioni di spionaggio.

Le difficoltà delle Forze dell'Ordine sono fondamentalmente due: essere in minoranza ed avere dei limiti investigativi. Difatti i casi di crimini informatici sono sempre di più, mentre i membri dei nuclei destinati a combatterli sono un numero molto ridotto. Inoltre l'organizzarsi attraverso cellule presenti in più nazioni consente di disseminare le prove. Per cui il cyber poliziotto non si trova più di fronte al pirata di Milano che attacca i server di un'azienda di Palermo, ma ha a che fare con una figura che dall'Italia invia l'ordine alla cellula in Estonia di attaccare un sito americano i cui server si trovano in Tunisia. Capirai che tra rogatorie internazionali e mancanze di permessi in quei Paesi che non vedono la pirateria informatica come un crimine, passano mesi e le tracce cominciano inesorabilmente a dissolversi. Le Forze dell'Ordine dovrebbero essere messe in condizione di poter fare degli interventi lampo in modo che queste tracce non facciano in tempo a dissolversi. Allo stesso tempo però non si può proteggere la privacy facendola violare da uno stato di polizia.

E' troppo semplice poter accedere a qualsiasi dato e poter controllare tutto di tutti a priori o per ogni singolo sospetto. La vita privata dei cittadini si chiama così proprio perché privata e dei cittadini. Quindi penso che ogni singolo provvedimento intrapreso per proteggerla, debba essere vagliato e approvato dal cittadino stesso. Anche perché il criminale sa perfettamente come raggirare questo tipo di controlli e si finisce per spiare solo persone (e aziende) oneste. Per tornare alla domanda, le nostre autorità necessitano di attrezzature costantemente aggiornate, un miglior addestramento ed una parziale riorganizzazione interna. Poi, certo, se iniziassero a chiudere un occhio sulle ragazzate per concentrarsi meglio sui criminali veri, sarebbe già un bel passo in avanti, per non dire balzo.

Nessun commento:

Posta un commento