Prendo a prestito qualche parola di Raoul Chiesa, dal suo seminario tenuto in occasione di Infosecurity, chiedendovi: "Da dove pensate provenga il maggior pericolo per la sicurezza dei dati riservati della vostra azienda?". La maggior parte delle persone probabilmente risponderà: "Da Internet". Sbagliando.
Il maggior pericolo per la propria azienda, attualmente, proviene dall’interno dell’azienda stessa!
Vi racconterò ora un’esperienza personale per introdurvi a quello che è il tema del post di oggi, ovvero il Social Engineering (in italiano Ingegneria Sociale).
Oltre un anno fa mi trovai nella condizione di dover "rivedere ed uniformare" le caselle di posta elettronica del dominio dell’azienda dove lavoro (gestito in hosting da un provider locale).
Per farlo dovevo accedere alle caselle di posta elettronica, ovviamente. Ma… come fare per le password? La cosa più logica e veloce era chiederle agli utenti (mettendoli in condizione di cambiarsela, successivamente); peccato che gli utenti delle poche (allora) caselle di posta NON conoscessero tali password, perchè gli erano state preimpostate sull’orrido Outlook Express da qualcuno prima di me…
Ok… non mi restava che chiederle direttamente al fornitore del servizio di posta elettronica.
Mi collego al loro sito web, trovo il contatto tecnico, lo chiamo e gli dico (testualmente): "Salve, sono Giovanni Barbieri e sono il nuovo amministratore di sistema di $miaazienda. Avrei bisogno di accedere alle caselle di posta elettronica del dominio @miaazienda.it, e per farlo mi servirebbero le password. Potrebbe gentilmente farmele avere?". Dopo la richiesta ho cominciato a prepararmi psicologicamente ad affrontare tutta la burocrazia che una richiesta del genere dovrebbe comportare. Già… "dovrebbe" comportare… 😛
Il simpatico omino invece mi rispose: "Oh, non c’è pproblema! Se mi dà un indirizzo di posta elettronica, gliele mando subito!".
COSAAAA? Una persona che NON conosco, che NON mi ha mai sentito prima e che NON aveva avuto neanche modo di sentir parlare di me, mi manda le password per accedere a caselle di posta elettronica contenenti dati potenzialmente sensibili senza battere ciglio (e sopratutto via posta elettronica, su una casella @gmail.com e non su una casella @miaazienda.it).
Tempo 5 minuti e mi arriva una mail dal simpatico omino, con in allegato un file di testo contenente tutti gli username e le password delle diverse caselle di posta (permettendomi di scoprire inoltre alcune caselle che non conoscevo).
Fantastico… o terribile?
Chiaramente cose del genere non dovrebbero succedere e quello che ho fatto non era social engineering; lo sarebbe stato se, ad una eventuale risposta negativa, io avesso richiamato dopo poco presentandomi come il direttore generale incazzatissimo perchè il suo amministratore non era riuscito ad ottenere le informazioni che gli servivano da una società che prende dei soldi per tali servizi (quando ci sono di mezzo i soldi ed una persona incazzate, è facile far "ammorbidire" le persone), oppure avrei mandato una mail "ufficiale" dalla casella "ufficiale", semplicemente chiedendo la password alla segretaria (che non avrebbe avuto alcun problema a darmela), oppure avrei potuto mandare un fax "ufficiale" da un qualunque servizio fax della zona, tanto nessuno si sarebbe sicuramente preso la briga di verificare il numero di telefono.
Questo è il "Social Engineering": ottenere accesso ad informazioni (o luoghi) altrimenti precluse utilizzando la psicologia, la persuasione e l’inganno.
Ma… se succedesse qui in azienda? Se una segretaria troppo solerte cominciasse a snocciolare dati riservati ad un pincopallino qualsiasi, solamente perchè questo gliele chiede?
Purtroppo per questo genere di attacchi (di cui Raoul Chiesa ed Andrea Ghirardini sono alcuni dei massimi esperti italiani, così come il "mitico" Kevin Mitnick lo è sul versante americano) non esistono firewall, IDS, IPS e via dicendo; esiste solo la FORMAZIONE del personale, che deve essere preparato e consapevol che la fuoriuscita di informazioni aziendali riservate potrebbe creare un notevole danno economico ad un’azienda, così come diverse implicazioni a livello civile e penale riguardante la diffusione di dati sensibili.
Se vi interessa l’argomento, potete trovare una vera miniera di informazioni in:
- questa guida introduttiva a cura di Andrea "Pila" Ghirardini (in italiano)
- questo articolo su Security Focus (in inglese)
- questi splendidi papers sul Social Engineering pubblicati dal SANS (in inglese)
E voi? Vi siete mai trovati "faccia a faccia" con problematiche del genere? C’avete mai pensato? Vi hanno mai "fregato"?