Da quando lavoro in Atik mi capita , ormai quotidianamente , di recarmi spesso da clienti diversi che spaziano da locali ” aperti al pubblico ” dell’ambiente della ristorazione e non ad aziende con comparti informatici strutturati a dovere.
Mi succede anche di collegarmi da remoto su pc di clienti e Server aziendali per svolgere varie mansioni di tipo tecnico e ho contatti quindi con moltissime persone , da responsabili It
a impiegati con cui mi interfaccio per la risoluzione dei problemi. Vedendo molte realtà di lavoro ultimamente mi sono soffermato a pensare di come è facile a volte recepire informazioni di livello informatico che nel mio caso servono per analizzare il problema e risolverlo ma che potrebbero essere utilizzate da altri in modo illecito.
Spesso infatti mi viene richiesto di recarmi da un cliente ” on site ” per eseguire un’attività e mi rendo conto che clienti che magari non mi conoscono ( ma solo come nome della società per cui lavoro ) mi permettono accessi ai Ced e ambienti It in genere senza accertarsi dell’intervento schedulato e della mia identità , con il gestore del locale o dell’azienda per cui devo svolgere il lavoro.
Mi basta presentarmi come “Sono Simone della società che vi segue nell’ambito informatico ” e ho il benestare per accedere all’area informatica.
Noto questo aspetto in ambienti piu che altro di “accesso pubblico ” la quale rete informatica è gestita da più operatori, dove l’affluenza di tecnici è più frequente.
Dove operiamo noi infatti “collaboriamo” con società che si occupano di videosorveglianza, gestori pos , operatori di cassa e altri fornitori che in qualche modo interagiscono con noi per la messa a punto della struttura di rete del cliente.
Io stesso a volte , quando siamo nella fase iniziale di analisi della struttura di rete di un nuovo cliente , mi collego con il mio portatile , eseguo il fantastico software di scansione della rete Advanced Ip Scanner e studio gli apparati collegati , gli Ip assegnati etc..recependo non poche informazioni.
Mi basterebbe volendo capire gli accessi ai servers, le cartelle condivise e non , se sono protette da password o no e mi è anche capitato di collegarmi al router presente e accedere all’apparato con username e password di default !!
Come prima operazione che eseguo infatti quando installo apparati informatici ( router,switch,antenne Hotspot ) è di modificare la password del sistema, prima di dimenticarmi …
Preso dalla curiosità sono andato a cercare se esistesse una parola che spiegasse questo “fenomeno” e infatti ho trovato che questa situazione viene definita :
Il social engineering – Ingeneria Sociale
Questo termine descrive un non tecnico tipo di intrusione che si basa molto sulla interazione umana e spesso tramite l’ inganno , coinvolge altre persone a rompere le normali procedure di sicurezza.
Il modo più semplice per entrare in un sistema informatico è quello di chiedere semplicemente il permesso.
Riporto questa spiegazione a mio parere molto esaustiva sul concetto di social engineering , presa da Nume.it:
***
Il social engineer prima di compiere il gesto criminoso vero e proprio comincia con il raccogliere informazioni sul sistema da colpire. Questa fase, chiamata tecnicamente footprinting può durare parecchi mesi.
Durante questo periodo il cracker studia e impara i sistemi di comunicazione aziendali, come funziona la posta interna, l’organigramma aziendale, giorni e orari di pulizia. Frequenta gli uffici aziendali, magari consegna buste, caffé, acqua. Conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti. Manda e-mail, telefona, si informa, magari finge di essere un utente inesperto che ha smarrito una password, o manda un’offerta di un nuovo firewall per aumentare il sistema di sicurezza, conoscendo nel frattempo il funzionamento dell’attuale. L’ingegneria sociale ci insegna vari sistemi per ottenere una password di si di solito basta chiederla nei modi e nelle procedure aziendali corrette alla persona giusta, altre volte basta sapere dov’è tenuta nascosta, altre ancora possiamo provare con tentativi mirati. Il primo problema per un possessore di password è ricordarsela, per cui nella stragrande maggioranza dei casi le password create sono legate alla vita personale: date di nascita, nome dei figli o del partner, il numero telefonico di casa, la squadra del cuore, il film preferito ecc. Tutte informazioni accessibili al social engineer.
********
Posso confermare per quanto riguarda la mia vita informatica di quanto riportato soprattuto sulla conoscenza delle password comunicate senza controlli sulla mia identità e vi assicuro che mi è successo di venire a conoscenza di password scritte su fogli appesi ai monitor in bella vista per tutti.., ad esempio !
Il fatto è che quello che ho descritto , riconducibile sicuramente ripeto in ambienti più aperti e frequentati dove non esiste un comparto IT e dove non ci sono stati investimenti sulla sicurezza , mi è capitato anche di notarlo in Aziende più strutturate nelle quali comunque ho avuto facile e rapido accesso agli apparati e alla loro gestione.
Non importa quanto crittografia e tecnologia di sicurezza si è implementato, una rete non è mai completamente sicura.
Non si può mai eliminare l’anello più debole: Il Fattore umano.
Non importa quanti firewall, reti private virtuali (VPN), o dispositivi encryptiong hai se i dipendenti sono disposti a dare accesso ai sistemi a chiunque ne faccia richiesta.
Per fortuna non ho questa indole di sfruttare questo “Bug fisico” ma immagino che una persona che usa l’inganno, la persuasione, e il modo di influenzare qualcuno potrebbe avere facilmente accesso a ambienti non autorizzati, o peggio può “sabotare” l’infrastruttura o “rubare” informazioni quali documenti e files in genere a proprio vantaggio.
Un hacker è un esperto di tecnica informatica che cerca punti deboli nei software mentre un ingegnere sociale va ad usare soprattutto tecniche psicologiche per costringere la vittima a dare il suo consenso nel condividere informazioni private.
Ad esempio gli autori di virus utilizzano tattiche di social engineering per convincere la gente a eseguire malware carichi di allegati e-mail, i phisher utilizzano tecniche di ingegneria sociale per convincere le persone a divulgare informazioni riservate;
Utilizzando l’invio di Email, si cerca di convincere la vittima a condividere una password mettendogli paura (ad esempio: il tuo conto online sarà disattivato se non inserirai la password in questa pagina) oppure con false promesse (complimenti, hai vinto…) .
Ad un mio conoscente questo scherzo gli è costato 8000 Euro!
Una variante del phishing è quella via telefono che si basa sullo stesso principio anche se molto più rara (in Italia) e difficile da attuare. Tramite Email si chiede alla persona di chiamare un numero e, a voce, comunicare dati come il numero di carta di credito o le password di accesso al conto bancario. Interessante è il Baiting che basa il suo successo nella più grande debolezza o forza della natura umana, la curiosità.
Ad esempio, si potrebbe trovare una penna USB per terra oppure un CD con una bella targhetta invitante, in cui si nasconde un virus che potrà essere utilizzato dal truffatore per accedere e spiare, di nascosto, al computer della vittima.
A mio parere tutto si basa sul fatto che le persone non sono consapevoli del valore delle informazioni di cui dispongono e sono incurante di proteggerle,e quindi incosapevolmente viene facile comunicare una password di accesso , permettere a chiunque lo chieda di gestire un problema o un finto problema spacciato per tale.
Nel mio caso , sempre per fini lavorativi , succede che mi devo collegare da remoto ad un pc di una rete , chiamo la determinata persona , mi presento con la mia qualifica e sempre senza controllo , mi viene permesso di accedere al pc di quel utente. Ma se non fossi io ?
Non voglio dire che sono tutti cosi nel mondo lavorativo ma tanti non si curano di verificare veramente chi sono e soprattutto se sono autorizzato dalla loro società; nel caso di un nostro cliente , infatti è stato giustamente comunicato a tutti i dipendenti che qualsiasi intervento sia fisico “on site” che da remoto deve essere sempre autorizzato dalla responsabile dell’azienda altrimenti piuttosto non viene accettata l’attività.
A mio giudizio questo è un modo corretto e abbastanza sicuro di “controllare” accessi da parte di sconosciuti alla struttura di rete aziendale.
Ma non basta questo…
Riporto un esempio di un ristorante che comunicava la propria password Wireless per venire incontro alle esigenze di alcuni clienti che avevano necessità di navigare, ma dopo qualche tempo la comunicazione era ormai assodata per qualsiasi cliente che si collegava appunto alla rete del locale , permettendo l’accesso anche alle cartelle condivise in quanto non erano protette da permessi!
Per fortuna lo stesso ristorante capendo il rischio di esposizione dei propri documenti , oltre a non concedere più l’accesso alle cartelle ha optato per l’installazioni di Hotspot per i propri clienti
svincolando quindi l’utente dalla propria rete , evitando qualsiasi intrusione sui sistemi informatici.
I rischi per la sicurezza di ingegneria sociale sono significativi, e le aziende devono essere sempre consapevoli sui metodi e minacce di essa magari seguendo queste regole :
– La classificazione delle Informazioni : prendere consapevolezza di quali siano le informazioni considerate sensibili.
– Gestione dei documenti e Distruzione: I documenti sensibili e multimediali devono essere smaltiti in modo sicuro
– Sicurezza fisica: Le realtà che ospitano una gestione informatica devono disporre di effettivi controlli di sicurezza fisica, come i registri dei visitatori ad esempio , filtrare sempre le richieste sugli interventi , comunicarlo sempre ai responsabili che gestisticono i contatti con i fornitori. – Controlli sugli interventi : Le attività dovrebbero essere pianificate e autorizzate dal personale di supporto , il personale It ( o chi per esso ) deve sempre informato su ogni intervento , possibilmente utilizzando un foglio firme riguardo all’intervento svolto da chi e in che fascia oraria
Si possono elencare molte di strategie a riguardo ma parlando in generale ritengo che che il modo migliore per ridurre il rischio è attraverso un impegno organizzativo per una sicurezza consapevole di ognuno fornendo da una parte l’adeguata misura e formazione ai dipendenti per riconoscere e rispondere alle minacce di ingegneria sociale e dall’altra strutturando un controllo più determinato perlomeno sugli accessi fisici e virtuali di chi chiede di intervenire all’interno della rete.
E quindi occhio a chi vi chiede informazioni … e diffidate , chiedendo riscontro ai responsabili , quando non siete sicuri sulle richieste avanzate!
A presto
Simone
