Prendo a prestito qualche parola di Raoul Chiesa, dal suo seminario tenuto in occasione di Infosecurity, chiedendovi: "Da dove pensate provenga il maggior pericolo per la sicurezza dei dati riservati della vostra azienda?". La maggior parte delle persone probabilmente risponderà: "Da Internet". Sbagliando.
Il maggior pericolo per la propria azienda, attualmente, proviene dall’interno dell’azienda stessa!
Vi racconterò ora un’esperienza personale per introdurvi a quello che è il tema del post di oggi, ovvero il Social Engineering (in italiano Ingegneria Sociale).
Oltre un anno fa mi trovai nella condizione di dover "rivedere ed uniformare" le caselle di posta elettronica del dominio dell’azienda dove lavoro (gestito in hosting da un provider locale).
Per farlo dovevo accedere alle caselle di posta elettronica, ovviamente. Ma… come fare per le password? La cosa più logica e veloce era chiederle agli utenti (mettendoli in condizione di cambiarsela, successivamente); peccato che gli utenti delle poche (allora) caselle di posta NON conoscessero tali password, perchè gli erano state preimpostate sull’orrido Outlook Express da qualcuno prima di me…
Ok… non mi restava che chiederle direttamente al fornitore del servizio di posta elettronica.
Mi collego al loro sito web, trovo il contatto tecnico, lo chiamo e gli dico (testualmente): "Salve, sono Giovanni Barbieri e sono il nuovo amministratore di sistema di $miaazienda. Avrei bisogno di accedere alle caselle di posta elettronica del dominio @miaazienda.it, e per farlo mi servirebbero le password. Potrebbe gentilmente farmele avere?". Dopo la richiesta ho cominciato a prepararmi psicologicamente ad affrontare tutta la burocrazia che una richiesta del genere dovrebbe comportare. Già… "dovrebbe" comportare… 😛
Il simpatico omino invece mi rispose: "Oh, non c’è pproblema! Se mi dà un indirizzo di posta elettronica, gliele mando subito!".
COSAAAA? Una persona che NON conosco, che NON mi ha mai sentito prima e che NON aveva avuto neanche modo di sentir parlare di me, mi manda le password per accedere a caselle di posta elettronica contenenti dati potenzialmente sensibili senza battere ciglio (e sopratutto via posta elettronica, su una casella @gmail.com e non su una casella @miaazienda.it).
Tempo 5 minuti e mi arriva una mail dal simpatico omino, con in allegato un file di testo contenente tutti gli username e le password delle diverse caselle di posta (permettendomi di scoprire inoltre alcune caselle che non conoscevo).
Fantastico… o terribile?
Chiaramente cose del genere non dovrebbero succedere e quello che ho fatto non era social engineering; lo sarebbe stato se, ad una eventuale risposta negativa, io avesso richiamato dopo poco presentandomi come il direttore generale incazzatissimo perchè il suo amministratore non era riuscito ad ottenere le informazioni che gli servivano da una società che prende dei soldi per tali servizi (quando ci sono di mezzo i soldi ed una persona incazzate, è facile far "ammorbidire" le persone), oppure avrei mandato una mail "ufficiale" dalla casella "ufficiale", semplicemente chiedendo la password alla segretaria (che non avrebbe avuto alcun problema a darmela), oppure avrei potuto mandare un fax "ufficiale" da un qualunque servizio fax della zona, tanto nessuno si sarebbe sicuramente preso la briga di verificare il numero di telefono.
Questo è il "Social Engineering": ottenere accesso ad informazioni (o luoghi) altrimenti precluse utilizzando la psicologia, la persuasione e l’inganno.
Ma… se succedesse qui in azienda? Se una segretaria troppo solerte cominciasse a snocciolare dati riservati ad un pincopallino qualsiasi, solamente perchè questo gliele chiede?
Purtroppo per questo genere di attacchi (di cui Raoul Chiesa ed Andrea Ghirardini sono alcuni dei massimi esperti italiani, così come il "mitico" Kevin Mitnick lo è sul versante americano) non esistono firewall, IDS, IPS e via dicendo; esiste solo la FORMAZIONE del personale, che deve essere preparato e consapevol che la fuoriuscita di informazioni aziendali riservate potrebbe creare un notevole danno economico ad un’azienda, così come diverse implicazioni a livello civile e penale riguardante la diffusione di dati sensibili.
Se vi interessa l’argomento, potete trovare una vera miniera di informazioni in:
- questa guida introduttiva a cura di Andrea "Pila" Ghirardini (in italiano)
- questo articolo su Security Focus (in inglese)
- questi splendidi papers sul Social Engineering pubblicati dal SANS (in inglese)
E voi? Vi siete mai trovati "faccia a faccia" con problematiche del genere? C’avete mai pensato? Vi hanno mai "fregato"?
Successe ad un mio cliente, che si presentasse un poliziotto in divisa e che chiedesse alla segreteria (ottenendolo) un elenco dei loro fornitori lasciando, sotto richiesta alcune generalità per essere rintracciato.
Si scoprì in seguito che tale poliziotto fosse inesistente.
L’elenco dei fornitori era di fondamentale importanza in una azienda che ha come core business il mettere in contatto tutti i prestatori d’opera con i clienti.
Ci “vivo” ogni giorno, tanto facciamo parte dello stesso campo lavorativo. Resta il fatto che non si tratta di novità. Il maggiore pericolo è sempre stato l’utilizzatore finale e la sua fiducia verso chiunque lo interpelli.
Pochissime sono le persone che, ancora oggi, ti chiedono maggiori informazioni quando li chiami chiedendo di darti l’indirizzo IP del proprio PC in Lan (rete alla quale sanno bene che possiamo accedere solo noi addetti ai lavori, ma non mi lamento se fanno qualche domanda in più…).
Se ci sono tanti PC zombie in giro per il mondo, parte della colpa è anche di quelle persone poco restie alla protezione su web.
Era tempo che non entravo in questo blog, seguendolo solo con i feed rss e nn mi ero fermato a vedere il nuovo template.. Veramente bello, ti faccio i miei complimenti! Forse, se nn ricordo male, è aumentata la pubblicità ma ci può stare :D. Complimenti ancora!
The Art of Deception, di Kevin Mitnick è a dir poco deludente. L’ho letto perchè il nome in copertina era rilevante e dava buone speranze.
In realtà è un’accozzaglia di aneddoti sempre uguali.
Uno telefona, chiede una password, l’altro gliela da.
D’accordo che su banalità del genere sono stati molti film e racconti, ma Kevin, questa volta ha fatto cassetta e poco più, togliendo molto alla regina delle attività di Hacking umano.
Un libro molto bello sul social Engeneering che mi sento di segnalare è “Blu Profondo” di Jeffrey Deaver.
E poi segnalo quella che è la perla del social engineering. Una testimoninanza risalente al 1962:
http://www.youtube.com/watch?v=ghu-E6PUUDk
🙂 🙂 🙂
Ho fatto un trackback perché ne ho parlato qualche tempo fa.
Sul fatto che solo dopo la forzatura di un direttore tu lo ritenga ingegneria sociale, non lo ritengo esatto.
Il tuo era un atto di ingegneria sociale involontario, ma il risultato è esattamente lo stesso.
Non sonon d’accordo con keper.
La sua non è ingegneria sociale. La sua è una richiesta e basta.
Per ingegneria sociale si intende forzare le normali barriere sociali per raggiungere uno scopo deliberato. Si sa di non poter ottenere qualcosa, ma la si ottiene agendo volontariamente fuori dagli schemi per otenerla. In genere si deve anche dichiarare una falsa identità. Se avessere telefonato il Megadirettore Barambani con tanto di urla, strepiti e minacce, non lo sarebbe stato comunque. Se invece avesse telefonato un estraneo, fingendosi qualcun altro allora si.
ho avuto diverse esperienze in merito, normalmente con provider.
nell’80% delle volte ho ottenuto quanto mi servisse senza dare credenziali.
in pochi casi alcuni provider hanno fatto un buon lavoro di sicurezza.
Con gli utenti è veramente facile farsi dare le password! il modo piu semplice? da un cliente, chiedetegli insistentemente di inserire la password perché dovete riavviare spesso, alla terza volta che gliela chiederete ve la dirà senza problemi 😀
@luca sartoni: assolutamente d’accordo con te sia per “the art of deception” che mi è sembrato un mero modo per fare soldi, e idem per la recensione di “profondo Blu” , veramente bel libro, consigliato anche a chi non mastica nulla di informatica.
Ho avuto un’esperienza abbastanza divertente con Chiesa, qualche anno fa. La sua conoscenza non mi ha lasciato una grande stima del personaggio.
Sul tuo caso particolare: partendo dal presupposto che non ho mai visto un server smtp/pop3 che ti permette di conoscere le password degli account, vuol dire che il tuo fornitore (ex?) si era segnato le password al momento di creare gli account e nessuno si è mai sognato di cambiarle… ma che razza di fornitore è (era)? [in alternativa, nel caso mi sbagliassi, ma che razza di server usa(va)te?] 🙄
@Luca: non è ingegneria sociale in termini stretti, perché le informazioni non sono carpite con l’inganno e perché non sono comunicate a persone improprie. Ma è un cavillo, diciamo che il risultato dell’azione di Giovy, come la mia, è esattamente il risultato che avrebbe ottenuto applicando ingegneria sociale.
O no?
@Keper, si ok il risultato è il medesimo ma stiamo parlando del mezzo, non del fine.
@luca: non mi sembra, a me sembra che si stia parlando delle conseguenze e di come evitarle.
Giusto per non rendere sterile il commento, l’unica maniera per ottenere risultati contro la diffusione di informazioni sensibili è cultura e sensibilità da parte di chi dirige, altrimenti non se ne esce (incredibilmente l’ultima è spesso difficilmente presente).
su questo concordo appieno
@ Thisend: grazie per i complimenti e… NO, non è aumentata la pubblicità, gli AdSense che avevo prima ho tuttora… 🙂
@ Gioxx: è proprio così… ed immaginati in un’azienda grande, dove non tutti gli impiegati possono conoscere i sysadmin, che succederebbe se qualcuno si spacciasse per te/me… 😀
@ Keper e Luca: ehm… ragazzi, io ho scritto che la mia NON è stata opera di ingegneria sociale
, ma se avessi telefonato spacciandomi per qualcun’altro (il direttore, l’amministratore delegato, il presidente… fate voi) facendomi sentire irritato e mettendo quindi l’omino in uno stato psicologico di disagio, CERTO che sarebbe stata ingegneria sociale!!! 🙂
@ Bistecca: io non lo conosco personalmente, ma sentendolo parlare ho avuto l’impressione di trovarmi di fronte una persona molto competente in quello che fa.
Certo… è un po’ “sborone”, ma fa anche parte del personaggio, no? 😉
Per le password: suppongo che se le sia segnate, altrimenti come avrebbe fatto a comunicarle agli utenti (ed a me)?
Ehehe mi trovo quotidianamente di fronte a questo problemi, l’ultimo giusto giusto cinque minuti fa per telefono. 😛
Purtroppo è difficile far digerire questa cosa all’azienda media Italiana, non hai idea di quante volte mi sono incazzato come una iena per queste questioni. Però dopo un po’ uno non ci fa tanto caso, avverte e, per esperienza personale vedo tutti si informano, tutti rinunciano in principio per poi, a disastro (grande o piccolo a piacere) avvenuto, tornare con il più classico del: “eh ma io non pensavo che..”
Nel nostro paese è incredibile quello che si riesce a fare con l’ingegneria sociale + una manciata di skills generici, quando vi capita di andare da qualche cliente, provate ad osservare con attenzione la situazione…
Ah dimenticavo, per chi fosse interessato, ecco un paio di letture interessanti inerenti all’argomento:
– Sulle tracce di Kevin Mitnick di Tsutomu Shimomura
– L’arte dell’inganno di Kevin David Mitnick
– Security Jungle di Kevin Day
Il primo racconta di come è nata l’ultima caccia a Mitnick da parte di Shimomura… 😉
Aggiungo l’ultima considerazione, malauguratamente ho l’impressione che le “vecchie” generazioni non abbiano una sensibilità sufficiente e che rimangano attaccatte all’immaginario costituito dalla figura dell’informatico quale smanettone che ama giocare con il suo Vic20. E per una certa parte l’informatica “trasparente” e user friendly non aiuti l’evoluzione in questo senso.
Ah, il social engineering 😉 Il libro di Mitnick non è malaccio, ma è scritto per incuriosire, non per spiegare…
In una buona percentuale di casi, come da te dimostrato, non è necessario arrivare ad utilizzare tecniche di Social Engineering. Basta chiedere… 😉
[…] Il Social Engineering […]