La sicurezza informatica? Sei tu! ….. Riflettiamoci su. di Toselli Pier Luca*

10 dicembre 2015

Sembra il classico proclama pre elettorale, lo so… ma con sta nebbia non mi veniva altro!

Tempo fa ho pubblicato qui alcuni articoli di sicurezza informatica certamente non tecnici, ma che altrettanto certamente, aiutavano a riflettere su alcuni nostri comportamenti nell’utilizzo degli strumenti informatici e più in generale dei dati digitali.

Vi ricordo in particolare, essendo questo prosecuzione di quello, l’articolo dal titolo “Pregi e difetti dell’era moderna: privacy e sicurezza in balia di una password.”, perché oggi voglio parlarvi di ingegneria sociale.  A sentirla così fa già venire il mal di testa ma cercherò come sempre di essere poco tecnico, divertente, ma allo stesso tempo farvi riflettere su alcuni nostri comportamenti.

Cominciamo con una definizione: “Nel campo della sicurezza informatica l’ingegneria sociale (dall’inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili” (fonte Wikipedia).

Non sopite troppo lo 007 James Bond che è in voi e seguitemi.

Trattandosi di “informazioni utili” tralascio di fornire un elenco dettagliato di quali potrebbero essere, essendo non solo infinito ma andando … tanto per capirci … dal numero di cellulare di colei che abbiamo “notato” in ascensore, alla ricetta ancora segreta, della Coca-Cola. Del resto basta considerare che l’ingegneria sociale è attualmente una delle tecniche più utilizzate da cracker, hacker e perché no anche dalle FF.PP per carpire, ottenere, informazioni utili. Dite la verità non ci avevate pensato, ma molti di coloro che leggono queste pagine, quotidianamente fanno social engineering e … attenzione la subiscono! Ecco perché bisogna rifletterci su.

La mia password è forte e sicura a prova di cracking .. Vero, però sei tu che sei debole, perché è storicamente provato che un bravo “social engineering” (nel prosieguo SE) può riuscire ad averla e senza ricorrere a particolari tecniche informatiche.

Ormai chi realizza sistemi operativi e software cerca di evitare al massimo i cosiddetti “bug” ovvero quelle falle del sistema e dei programmi che permettevano ai malintenzionati di impossessarsi, attraverso particolari tecniche informatiche, delle nostre informazioni. Anche il ricorso a sempre più sofisticati sistemi di sicurezza informatica quali firewall, antivirus, antimalware etc. rendono difficili i tentativi di attacco “informatici” ai nostri dati ma non possono nulla contro l’ingegneria sociale che per sintetizzare (mi perdoneranno i “tecnici”) non attacca il sistema informatico ma l’utilizzatore. Già, siamo noi il bersaglio, il “target”, l’anello debole della catena della sicurezza, che deve porre attenzione e deve cambiare i propri atteggiamenti nell’uso degli strumenti informatici se veramente vuole proteggere la propria sicurezza e privacy.

Due esempi … tanto per divertirci.. Non so fino a che punto ….

Mi chiama un bravo SE, si presenta come Tizio della ditta X (da cui mi fornisco di vino – on line) e mi chiede se l’ordine è confermato. Quale ordine? Mi risponde, l’ordine di 36 bottiglie che ha fatto per le festività, rispondo che non ho fatto nessun ordine si è sbagliato. No replica, ho qui il suo indirizzo … è vero corrisponde … allora mi dice guardi succede spesso con i migliori clienti. Facciamo un controllo mi dica : codice fiscale, frase per il recupero password all’atto della registrazione sul sito, la sua mail l’abbiamo già ..  è questa vero… (anziché insospettito … sono quasi confortato che la conosca!) chiedo però perché devo fornire la frase del recupero password.. capisco il codice fiscale, la mail, ma a che serve la frase di recupero?  Mi risponde sa con i malintenzionati che ci sono in giro non ci fidiamo più solo del codice fiscale che è facilmente reperibile e della mail (che lo è altrettanto … aggiungo io) quindi per avere la certezza che è lei la persona con cui devo accertare l’effettività dell’ordine ho bisogno del dato per il controllo … ( è passato un quarto d’ora sono stanco … mi arrendo) il nome da nubile di mia madre è ….. Dall’altra parte del telefono…  Controllo subito! Perfetto corrisponde solo un attimo ..  è vero non c’è alcun ordine è stato un errore del sistema, ci scusi a presto! Solo dopo cena, passata la digestione mi rendo conto che Tizio ha: il mio codice fiscale, la mia mail, e la frase per il recupero della password … mi viene in mente Crozza alla 7, ultimamente fa “InCool8” (da leggere in inglese) … avete capito dai! E’ un esempio banale ed inventato, ma spero abbia reso l’idea! In ogni caso riflettete quante volte vi è capitato in occasione di fantomatiche interviste telefoniche, questionari, etc di fornire nel mucchio di dati che vi vengono richiesti… qualche dato … delicato!

Svelando non troppo, posso dire che le tecniche più utilizzate sono le telefonate ed il phishing ma a certi “livelli” ci sono quelle tecniche anche “piccanti” che vediamo in 007, insomma pur di ottenere l’informazione tutto va bene, sesso compreso.

Già, si va da cose grezze e rudimentali, ma che evidentemente funzionano, come la classica mail che chiede i nostri dati di accesso bancari o da ultimo, l’ho ricevuta or ora,  una mail da un fantomatico “Apple.it” (primo sospetto… al più sarebbe Apple.com\it “ che mi chiede di logarmi ed inserire in apposito link, le credenziali “apple_ID” si “Lallero” aspetta!  Stavolta Crozza mi è venuto in mente prima! E’ una giungla, attenzione!

Per un approfondimento sulle tecniche di SE, qualora la cosa vi interessi, segnalo il libro di Kevin Mitnick “L’arte dell’inganno”, che, tra l’altro, ha il pregio di aprirci gli occhi sull’ingegneria sociale e sui pericoli dei nostri comportamenti spesso sottovalutati o peggio ignorati. Insomma in base a come lo si legge può essere un libro per l’attacco o la difesa, fate voi.

Quanto alle tecniche di difesa, per chi non ha tempo e voglia di leggere Mitnick, ribadisco che l’efficienza dei sistemi di protezione a tutela dei nostri dati personali non può prescindere dalla nostra attenzione nella divulgazione degli stessi. Inutile avvalersi di elevati standard di sicurezza informatica hardware e software a protezione dei dati, password “forti” etc. se poi alla banale richiesta di conoscere uno di quei dati lo riveliamo, spesso nell’inconsapevolezza di ciò che stiamo facendo.

Voglio ricordare la violazione di efficienti sistemi informatici dal punto di vista hardware e software di un azienda, attraverso la SE, laddove, soggetti presentandosi ad elementi di vertice della stessa quali manutentori dei sistemi informativi in sostituzione degli abituali, richiedevano la password di amministratore del sistema ed accedevano “beatamente”, dopo averla avuta in pochi istanti allo stesso.

In conclusione, come nella vita di tutti i giorni, dobbiamo imparare a dare la giusta “riservatezza” ai nostri dati ed imparare a sondare le singole richieste degli stessi. A volte è meglio sembrare scortesi, troncare una telefonata … ma non riferire dati riservati o che vorremo rimanessero tali.

Non a caso, ultimamente, si parla di sicurezza o verifica in due passaggi, ovvero di quelle modalità di accesso ad esempio alle nostre mail o ai social network che non richiedono più solo userid e password ma un ulteriore codice che di volta in volta viene inviato ad un numero di cellulare fornito dall’utente in fase di registrazione (es. Google, Facebook etc) . E’ segno che ormai userid e password hanno chinato il capo alla SE e ad altre tecniche di attacco.

Spero di non avervi annoiato ed esservi stato utile se non altro nel riflettere sui nostri comportamenti,  in conclusione vi esorto però, a non riattaccare subito da oggi, ad ogni telefonata che riceverete da operatori telefonici, del gas, dell’acqua, venditori di vino, olio etc. fanno il loro lavoro vanno rispettati ed ascoltati .. ovvio fino ad un certo punto, in ogni caso siate “riservati”, se vogliono la frase di recupero, dite che non la ricordate più … succede… .

A presto!

* delegato COBAR Emilia Romagna XI mandato