sabato 6 dicembre 2014

Kevin Mitnick e L'Ingegneria Sociale

A volte non c'è bisogno di chissà quale tecnica sofisticata per introfularsi in un sistema informatico: la storia insegna che, spesso, basta l'Ingegneria Sociale. Ma cos'è l'Ingegneria Sociale?
L'Ingegneria Sociale è una modalità che i criminali usano per accedere al tuo PC. L'obiettivo è solitamente quello di installare segretamente uno spyware o altri software dannosi, oppure spingerti a inserire le tue password o altre informazioni personali (tipo carte di credito).
Alcuni cybercriminali pensano sia più facile tentare di sfruttare l'ingenuità degli uomini, piuttosto che sfruttare i bachi presenti nel tuo software.

Secondo Kevin Mitnick (detto "Il Condor"):
“Ingegneria Sociale significa l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è, oppure manovrandoli. 
Di conseguenza l’ingegnere sociale può usare la gente per strapparle informazioni con o senza l’ausilio di strumenti tecnologici”

Molte aziende, ma anche enti privati, non badano a spese per quanto concerne la sicurezza informatica ma sottovalutano l’ingegneria sociale. Spesso, il vero bug è proprio la mente umana!
Un’azienda potrebbe anche essersi dotata delle migliori tecnologie di sorveglianza, avere addestrato i dipendenti a mettere sotto chiave tutti i segreti prima di smontare la sera e assunto guardie giurate della migliore agenzia del settore. I singoli individui possono seguire le migliori tattiche consigliate dagli esperti, installare tutti i prodotti raccomandati, essere assolutamente rigorosi sull’adatta configurazione di sistema e tempestivi nell’apportare le correzioni del caso. Ed essere ancora vulnerabile.


CHI è KEVIN MITNICK?
Kevin Mitnick è l'Hacker che inventò queste tecniche. A 13 anni viene cacciato dalla scuola dal preside, perché entrava negli archivi degli altri istituti.
Trasferisce la bolletta telefonica di un ospedale(30.000$) sul conto di uno che detestava.
A 17 anni viene arrestato per la prima volta: furto di manuali informatici.
Seguono altri problemi con la legge: nel 1983, nel 1987 e nel 1988 (sempre per reati informatici).
È un fantasma, non esiste. Vive dirottando i propri conti su altre utenze.
Gira gli States, notebook e cellulari modificati. Pone molta attenzione durante le connessioni, cambia spesso numeri telefonici, appartamenti. Si sposta di continuo.
Esplode, probabilmente, il suo odio verso le “Big Companies”: IBM, Digital, Jujitsu. Tutte hanno dei segreti da custodire. Utilizza Social Engineering, per carpire telefonicamente informazioni spacciandosi per un’altra persona. Ottiene tutto quello che vuole. È stato tra i creatori del VMS, il sistema operativo proprietario dei VAX Digital. Apprende i segreti più segreti della Digital, il suo intento era quello: se non posso ottenere le informazioni in un modo, le ottengo in un altro.
L’ FBI è su i suoi passi. :lui lo sa. Spia le comunicazioni tra la sede centrale dell’ FBI e gli agenti dislocati, i quali lo stanno cercando per mezza America. Non appena l’ FBI dà l’ordine “Andate a prenderlo”, lui sparisce e si prende gioco di loro. Falsifica le comunicazioni. È un’ombra sulla Rete, nessuno sa dove sia fisicamente. Kevin nel frattempo è entrato ovunque: multinazionali, società di informatica, agenzie governative. Entra e copia: progetti, piani, budget, business plan, contatti, consulenze esterne. Capisce che il business si sta evolvendo: telecomunicazioni, satellitare, Pay-TV.
I bit avanzano, l’analogico scompare. Kevin ha accesso ad informazioni riservatissime, e questo dà molto fastidio alle multinazionali. L’FBI lo inserisce ufficialmente tra i “Top Wanted”, come per i peggiori criminali. Nel Dicembre del 1994, appare un messaggio sul computer di Tsutomu Shimomura, nippo-americano, superesperto di sicurezza, consulente del governo USA. Trovami, sono sulla rete, gli dice Kevin. La sfida ha inizio. Le maggiori compagnie di telecomunicazione americane collaborano con l’ FBI. Il Condor è braccato. Da questo momento in poi perde la sua freddezza, la sua lucidità. Discute con un Hacker giornalista chiamato Jonathan Littman. Arriva a chiamarlo 3 volte al giorno, si confida con lui. Littman sbaglia, parla con Markoff: gli rivela dove si trova Kevin. Markoff informa immediatamente Shimomura. Il cerchio si stringe. Kevin crede di essere tranquillo, ha fiducia nel suo confidente. John Markoff o Shimomura, ma è indifferente, informano l’ FBI. Kevin viene arrestato.
Iniziata nel 1981 con l’attacco da parte di Kevin ai sistemi Cosmos della Pacific Bell, la “caccia all’uomo” dell’ FBI si conclude nel 1995 dopo 14 anni. Il 14 Febbraio si arriva alla conclusione di una lunga corsa, un inseguimento interminabile attraverso le reti di mezzo mondo. Uscirà dal carcere nel 2001.


FRANK ABAGNALE
Frank Abagnale è stato un artista della contraffazione, si è nascosto dietro molteplici identità, ha falsificato assegni e con le sue doti di persuasione è riuscito ad ottenere tutte le informazioni che desiderava per portare avanti le sue truffe. Ricordate, però, che un ingegnere sociale non si affida soltanto alle nuove tecnologie o alle truffe via computer per carpire informazioni, per cui è necessario che stiate sempre in guardia durante la vostra vita quotidiana alla ricerca di qualsiasi attività che possa sembrare sospetta. Ad esempio, potreste rivelare la vostra password tramite telefono.
La maggior parte dei cybercriminali non passa il tempo a provare tecnologie complicate perché sa che è molto più facile sfruttare l’ingegneria sociale per i loro scopi. Tra l’altro, esistono persino siti Internet dove ricavare preziose informazioni sulle varie tecniche d’ingegneria sociale e sulle reazioni che provocano sulle persone. Sebbene il collegamento tra psicologia e hackeraggio sembri fantascienza, purtroppo costituisce la dura realtà: gli attacchi online hanno la stessa metodologia delle truffe della vita reale. Il desiderio di contraccambiare (se una persona ci fa un favore, è molto probabile che poi noi faremo lo stesso), la pressione sociale (teniamo molto in considerazione il giudizio degli altri), il rispetto per l’autorità (avere fiducia totale nelle forze dell’ordine, nei medici, in una persona che ci offre assistenza tecnica o qualsiasi persona in una posizione superiore alla nostra), sono tutti sentimenti alla base dei rapporti interpersonali e che soddisfano alcune nostre necessità di comunicazione umana.
Un ingegnere sociale sa dove puntare per ottenere da noi una determinata reazione: crea un contesto, ovvero una storia inventata, che ci possa sembrare credibile e che ci spinga a fare una determinata cosa. Negli ultimi tempi, uno dei metodi più utilizzati per ottenere informazioni riservate prende il nome di Phishing (per esteso sarebbe “password harvesting phishing”, che potrebbe essere tradotto più o meno in “raccolta e cattura di password”). Il Phishing può essere definito come una frode informatica che si adotta alcune tecniche dell’ingegneria sociale per ottenere informazioni private dalle vittime. Il cybercriminale si avvale normalmente di email, messaggi istantanei o SMS per convincere la potenziale vittima a rivelare le informazioni che gli interessano o direttamente o a effettuare alcune operazioni (come entrare in un determinato sito Internet). In passato, l’utente si rendeva conto subito se il proprio computer era stato infettato, in quanto chi aveva creato il virus si manifestava apertamente sullo schermo con messaggi, icone, immagini o qualsiasi altro tipo di stratagemma. Ora accade abbastanza di frequente che i malware riescano ad accedere al computer della vittima attraverso tecniche d’ingegneria sociale e poi rimangono quieti fino a quando poi arriva il momento di eseguire il payload maligno. Molti malware interessanti si affidano all’ingegneria sociale per introdurre il payload nei dispositivi delle vittime. I casi più famosi riguardano i falsi aggiornamenti di Flash Player, i file eseguibili contenuti in documenti Word, le copie di bassa qualità di browser come Internet Explorer e molto altro. Esiste anche il cosiddetto “sequestro virtuale” dove la vittima riceve una chiamata in cui viene informato che un proprio familiare è stato rapito e per riportarlo in libertà deve essere pagato un riscatto. In realtà non c’è stato nessun sequestro ma si fa leva sui sentimenti di paura e preoccupazione affinché la vittima paghi senza batter ciglio. Inoltre, va ricordato che qualsiasi informazione che pubblichiamo online (Facebook, Foursquare, etc) può dare ai cybercriminali degli indizi su dove ci troviamo in un determinato momento, oltre ad alcune dati importanti sulla nostra identità.
Un attacco mirato di spear phishing non è molto comune, tuttavia se comunichiamo informazioni personali senza pensarci possiamo rendere la vita dei cybercriminali molto più facile.


GLI INGEGNERI SOCIALI
Un ingegnere sociale è un personaggio cordiale, loquace e servizievole che siete contenti di aver incontrato, con una mano vi regge il gioco e con l’altra vi ruba i pantaloni. Sapendo che questi astuti ladri di informazioni non hanno remore a telefonare a funzionari statali, federali o locali per aggiornarsi sulle procedure usate dai tutori dell’ordine, da utilizzare poi per bypassare i vostri controlli standard di sicurezza, bisogna quindi allargare a tutti i dipendenti non solo a quelli che hanno accesso elettronico o fisico alla IT aziendale una sicurezza centrata rispetto alla politica aziendale, anche i nuovi assunti devono essere preparati a seguire le corrette procedure di sicurezza prima che possano accedere ai sistemi informatici dell’azienda.


COME NON FARSI INGANNARE
Bisogna stare attenti intanto alla grammatica delle mail che vi arrivano (spesso sono stranieri), in secondo luogo considerare che nessuno di Paypal, Bancoposta, etc vi chiederà mai la vostra password.
Altra cosa importantissima è considerare che nessuno e sottolineo nessuno...vi regalerà mai niente.
La password non va mai aggiornata tramite mail seguendo link(creati ad hoc), a meno che non siate stati voi stessi a farne richiesta. Infine mai usare la stessa password su più siti.


Nessun commento:

Posta un commento