Social Engineering | Il blog sull'informatica

Come qualunque argomento relativo all’informatica, anche i meccanismi di sicurezza (così come gli attacchi) possono essere inquadrati in un determinato livello ISO/OSI.

In questo post parlerò di quali attacchi possono essere perpetrati a livello 1 (fisico) e delle relative contromisure.

Furto

Il furto dei dispositivi, soprattutto per ciò che concerne gli smartphone, i laptop ma anche i desktop computer, non è un evento da sottovalutare o da reputare improbabile. I meccanismi di sicurezza volti ad impedire tale pratica illecita sono molteplici:

1) usare i cosiddetti cable lock, ovvero dei veri e propri cavi metallici che fissano il device alla scrivania o ad una base “sicura” (laptop/desktop);

2) usare case dotati di serratura;

3) usare case allarmati, che segnalano l’apertura del pannello laterale. In questo modo sarà possibile agire in tempo nel caso in cui venisse perpetrato un tentativo di furto di una periferica dell’elaboratore, come l’Hard Disk (aka memoria di massa) o la RAM (aka memoria volatile). Si, avete letto bene, anche la RAM può contenere dati sensibili, che possono essere opportunamente ricavati mediante attacchi specifici, ad esempio il cold boot (una descrizione dettagliata di tale attacco lo trovate qui).

Smarrimento

Un altro problema riguarda lo smarrimento di dispositivi elettronici contenenti dati sensibili, come smartphone o laptop (più il device possiede dimensioni ridotte, maggiore è il rischio di perderlo).

In questo caso si può agire in modo preventivo o proattivo, rispettivamente cifrando le informazioni sensibili contenute nel dispositivo oppure effettuando il cosiddetto remote wipe, ovvero la cancellazione da remoto delle suddette informazioni. Come ulteriore misura di sicurezza, è possibile installare sui dispositivi dei meccanismi di tracciatura in grado di rivelarne (con un giusto margine di errore) la posizione.

Ovviamente tutte e tre le procedure da me descritte possono essere usate contemporaneamente e non riguardano il solo smarrimento, ma possono essere applicate anche in caso di furto.

Social engineering

Ho già trattato l’argomento in questo post, ma tra gli attacchi di tipo fisico vi sono certamente quelli realizzati utilizzando tecniche di social engineering (letteralmente ingegneria sociale), ad esempio:

1) impersonation: l’attaccante finge di essere qualcun altro (ad esempio un utente autorizzato) e richiede alla vittima (un impiegato, un semplice tecnico help desk o addirittura un amministratore di sistema) alcune informazioni sensibili (password, numeri di telefono di altri utenti et similia) con lo scopo di realizzare operazioni di furto di dati (spionaggio industriale) o danneggiamento dell’infrastruttura informatica. Vi chiederete: “ma i numeri di telefono rappresentano davvero un’informazione così appetitosa per un attaccante?” La risposta è si, poichè spesso e volentieri viene effettuata una vera escalation di attacchi, le cui vittime sono utenti appartenenti a diversi livelli di competenza. Ad esempio, un tecnico help desk non conoscerà mai la password di amministrazione del database dei progetti tecnici aziendali (almeno così dovrebbe essere a rigor di logica), dunque richiedergli il numero di telefono del DBA rappresenta il primo step dell’attacco, chiamare il DBA ed estorcergli la suddetta password rappresenta il secondo step e così via. Contromisura: identificare in modo univoco il soggetto chiamante (il 99% degli attacchi di questo tipo vengono attuati via telefono) e farsi dare un recapito telefonico dove richiamarlo (in questo modo si è più sicuri che la chiamata provenga da dove ha dichiarato il nostro interlocutore).

2) dumpster diving: pratica molto diffusa (soprattutto negli stati uniti d’America), che consiste nello scavare tra l’immondizia dell’azienda vittima alla ricerca di informazioni sensibili. Le contromisure che possono essere adottate sono diverse, ovvero l’etichettatura dei documenti (marcati, ad esempio, con la dicitura confidential, secret, top-secret a seconda della loro importanza) e l’uso del cosiddetto shredder, il classico “tritacarte” (quello che è solito vedersi nei film US di spionaggio). Ecco un immagine del suddetto dispositivo:

3) tailgating: questa tipologia di attacco consiste nel seguire un utente autorizzato mentre si appresta ad entrare nella sede aziendale, imbucandosi al tornello (magari travestiti da operai o addetti alle pulizie). In questo modo si ottengono due effetti:

a) ottenere l’ingresso non autorizzato;

b) non far sorgere il sospetto nell’utente vittima, che molto probabilmente ha assistito alla scena.

Anche in questo caso le contromisure sono molteplici e la più importante consiste certamente nella sensibilizzazione del personale, oltre all’uso di telecamere a circuito chiuso (per un eventuale identificazione postuma dell’attaccante) e di guardie armate (che possono scoraggiare l’intruso).

Possono essere utilizzate anche le cosiddette mantrap, molto in voga negli aeroporti (di seguito un immagine che le rappresenta):

4) shoulder surfing: questa tecnica è una delle più banali ma comunque non va sottovalutata. Consiste essenzialmente nella lettura del codice PIN o della password digitata dall’utente autorizzato, semplicemente visualizzando e ricordando i tasti che ha premuto. Secondo voi perchè i caratteri della password a video sono mascherati? Proprio per mitigare i possibili effetti di tale tipologia di attacco. Le contromisure possono essere molteplici, ma la più importante è sicuramente la cosiddetta dual-factor authentication. Senza scendere troppo nel dettaglio, essa prevede l’uso di diversi meccanismi di sicurezza per garantire la corretta identificazione e l’accesso all’utente autorizzato: qualcosa che l’utente conosce, qualcosa che l’utente ha oppure qualcosa che l’utente è. Un esempio di dual factor authentication è dato dall’uso di username/password (qualcosa che l’utente conosce) e di un dispositivo biometrico (lettore di impronte digitali o della retina – qualcosa che l’utente è), oppure di un PIN e di una smartcard (qualcosa che l’utente ha).

Attacchi dall’interno

Più di una volta le analisi statistiche hanno rivelato che la stragrande maggioranza degli attacchi all’infrastruttura informatica di una data azienda provengono da utenti autorizzati, soprattutto personale dipendente oppure ex dipendenti. I meccanismi per mitigare tale tipologia di attacchi sono diversi, ovvero:

1) job rotation, che consiste nel costringere i dipendenti ad alternarsi nello svolgere una determinata mansione;

2) mandatory vacations, le cosiddette ferie obbligatorie. Tale pratica è utile soprattutto per scoraggiare eventuali tentativi di frode, soprattutto per ciò che concerne i dipendenti che lavorano in aziende del settore finanziario. Infatti, quei dipendenti che commettono illeciti di questo tipo sono molto restii ad andare in ferie per il timore che possano essere scoperti dal dipendente che li sostituisce temporaneamente nelle loro mansioni lavorative.

3) role separation (seperazione dei ruoli), in questo modo le autorizzazioni vengono ripartite tra i dipendenti in base al loro ruolo (sia gerarchico che in termini di mansioni svolte).

4) disattivazione delle smartcard, dei badge e degli account relativi agli ex dipendenti.

Inoltre, per evitare che determinati dipendenti accedano ad aree non autorizzate, possono essere implementati i meccanismi di sicurezza fisica citati in precedenza, con l’aggiunta di eventuali proximity reader (ad esempio gate RFID), per segnalare presenze anomale.

Mi sembra di aver detto tutto.

Alla prossima.

Da anni si sente parlare dei famigerati hacker (anche se come già accennato in questo post, tale termine è errato, in quanto trattasi di cracker), i quali riescono con le loro scorribande telematiche a seminare il panico su Internet, introducendosi sui sistemi informatici altrui con conseguente danneggiamento degli stessi.

Occorre sfatare un mito però: il cracker non è sempre un ragazzetto sociopatico e genialoide, il cui unico amico è il personal computer e che ha forti difficoltà a sostenere un discorso sensato. Spesso i cracker sono soggetti in grado di ingannare il prossimo, portandolo a commettere errori imperdonabili (e spesso irrimediabilmente dannosi).

Altro mito da sfatare: la vostra rete non è tanto sicura quanto più risultano all’avanguardia le tecnologie anti intrusione che state utilizzando. In altri termini il “fattore umano” rappresenta spesso e volentieri il vero punto debole nella politica di sicurezza aziendale. Per dimostrare la mia tesi faccio un aneddoto: supponiamo che il vostro network aziendale sia dotato di firewall di ultima generazione, IDS, IPS, NPS e chi più ne ha più ne metta… c’è un problema però, il numero del centralino è stato pubblicato sul sito Web dell’azienda e quindi è consultabile da tutti. Un bel giorno, il centralino riceve una chiamata da un tizio che si spaccia per un dipendente e che in tal modo riesce ad ottenere informazioni cruciali quali un hostname, un indirizzo IP o addirittura una password specifica. Il giorno dopo, come per magia, documenti classificati come “confidenziali” vengono sottratti dal server di storage, semplicemente utilizzando le informazioni ottenute dal centralinista di turno. Vi sembra esagerato? No, è la pura e semplice realtà dei fatti.

Ma chi potrebbe avere interesse a rubare delle informazioni vitali per l’azienda? Gli ingegneri sociali sono sempre degli individui il cui unico scopo è quello di arrecare danno all’azienda vittima solo per il semplice gusto di farlo?

Diciamo che nella stragrande maggioranza dei casi l’ingegnere sociale è un ex dipendente che cerca vendetta, spesso a causa di un licenziamento che ritiene ingiusto. In altri casi trattasi di spie industriali, il cui scopo è quello di sottrarre informazioni vitali su brevetti hardware o software. Infine vi sono “i curiosi”, che giudicano estremamente stimolante la sfida rappresentata dalla possibilità di entrare in possesso di informazioni nascoste al pubblico, quali codici sorgenti, progetti, manuali, e chi più ne ha più ne metta.

Ma quali sono gli approcci utilizzati dagli ingegneri sociali affichè la vittima possa essere tratta in inganno con successo? Facciamo un piccolo elenco:

1) Effettuare diverse telefonate spacciandosi di volta in volta per una persona diversa. In questo modo riesce ad ottenere un duplice risultato: confondere le acque ed ottenere informazioni man mano sempre più utili per giustificare agli occhi della vittima le proprie richieste;

2) Effettuare una serie di domande totalmente inutili in cui camuffare quella veramente importante, in modo da far credere alla vittima che tutte le informazioni che sta fornendo sono completamente prive di importanza;

3) Simulare un guasto e successivamente telefonare alla vittima aiutandola a uscire fuori da tale condizione di disservizio. In questo modo si sviluppa un sentimento di gratitudine che induce a rilevare all’attaccante informazioni aziendali estremamente riservate;

4) Fare in modo che la vittima installi sul proprio PC o su un host sensibile (ad esempio un server), un qualche tipo di software malevolo (trojan, worm, virus, ecc.);

5) Indurre la vittima a faxare su un numero non verificato (ad esempio quello di una copisteria) elenchi di dipendenti o altre informazioni utili per eventuali attacchi successivi più sofisticati;

6) Spacciarsi per un tecnico autorizzato in modo da ottenere password di vitale importanza relative ad apparati di rete o centralini telefonici;

Ora, occorre precisare che gli ingegneri sociali preferiscono sempre interagire con la vittima mediante un apparecchio telefonico, un fax oppure una casella email, tutti strumenti in grado di celarne la vera identità, riducendo notevolmente i rischi di essere riconosciuto ed eventualmente denunciato alle forze dell’ordine. Però, tale approccio non rappresenta sicuramente la regola, infatti, pur di ottenere le informazioni che cerca, l’ingegnere sociale può benissimo presentarsi nella sede dell’azienda (oppure in una delle sedi, nel caso in cui ne abbia più di una) e spacciarsi per questo o quel dirigente, dipendente o fornitore. Ma come fa l’ingegnere sociale ad accedere fisicamente all’interno dei locali dell’azienda senza farsi riconoscere? Esistono diversi metodi:

1) Usare la tecnica del “traino”, ovvero seguire dei dipendenti che accedono dai tornelli con il loro badge sfruttando la loro scia;

2) Spacciarsi per un addetto alle pulizie;

3) Spacciarsi per un dipendete che ha dimenticato qualcosa nel suo ufficio, presentandosi in sede oltre l’orario di lavoro e convincendo gli addetti alle pulizie presenti ad aprirgli la porta;

4) Spacciarsi per un uomo d’affari che ha un appuntamento con uno dei dirigenti dell’azienda.

Infine, esiste un altro metodo poco ortodosso per reperire informazioni riservate: rovistare nei bidoni della spazzatura. Tale tecnica prende il nome di trashing e si basa semplicemente sulla cattiva abitudine di gettare nella spazzatura documenti considerati poco importanti, ma che invece rappresentano una preziosissima fonte di informazioni per l’ingegnere sociale. Inutile dire che per evitare situazioni del genere è necessario utilizzare dei tritadocumenti che non si limitino esclusivamente a “tagliuzzare” i fogli, ma che li sminuzzino completamente, riducendoli in una poltiglia inservibile.

Altro concetto da temere sempre in considerazione: l’abito non fa il monaco. Vi sembrerà scontato, eppure richiedere l’identificativo al personale che vedete aggirarsi presso i locali dell’azienda per la prima volta, oppure che non tiene in bella mostra il proprio tesserino di riconoscimento, può ridurre di oltre il 50% il rischio di intrusione. Badate bene però, tale controllo non deve essere delegato solo ed esclusivamente al personale di sorveglianza, ma andrebbe effettuato anche da un qualunque dipendente dell’azienda che si accorge di un’anomalia di questo tipo.

Altri metodi per limitare gli attacchi degli ingegneri sociali sono i seguenti:

1) Nel caso di attacco sferrato mediante telefono, richiedere sempre e comunque il codice identificativo del dipendente. Eventualmente, nel caso in cui la versione del nostro interlocutore non ci sembri trasparente al 100%, riattaccare e chiedere un recapito telefonico su cui richiamarlo (in tal modo si dovrebbe riuscire a capire se chi ci sta chiamando è davvero chi dice di essere);

2) Non identificare il chiamante solo in base al numero visualizzato sul display nel nostro apparecchio telefonico, in quanto tale informazione potrebbe essere facilmente alterata.

3) Non mandare mai dei fax contenenti informazioni più o meno importanti a numeri non verificati. Inoltre, sarebbe opportuno utilizzare un three-way handshake, basato sull’inoltro di un’opportuna copertina “preliminare”, prima dell’invio del fax stesso, anche nel caso in cui il numero di destinazione sia verificato;

4) Smistare informazioni sensibili quali password, username et similia soltanto mediante posta interna (e non mezzi insicuri quali posta elettronica non certificata o quant’altro);

5) Catalogare le informazioni in base al loro livello di criticità e quindi di segretezza;

6) Limitare il numero e la qualità delle informazioni sull’azienda pubblicate sul sito Web istituzionale;

7) Non utilizzare password scontate, troppo corte, o per un periodo di tempo troppo lungo. Cambiare sempre e comunque le password di default dei vari dispositivi ed eliminare gli account degli ex dipendenti (oltre a quelli di default);

8) Cifrare sempre il contenuto dei nastri di backup;

9) Utilizzare hostname poco descrittivi e password differenti per ciascun device;

10) Non lasciare mai in bella vista (o in prossimità della postazione di lavoro) le credenziali di accesso al sistema;

11) Nel caso in cui utilizziate una casella vocale, evitate di inserire informazioni sensibili nell’ambito della risposta della segreteria (ad esempio numero di interno, mansione ricoperta, ecc.).

12) distruggere opportunamente tutte le periferiche di archiviazione di massa prima di gettarle via (cancellare un file non vuol dire renderlo per sempre irrecuperabile).

Infine, non vi resta che seguire semplicemente il vostro buon senso.

A presto.