Gli attacchi ai dati strategici aziendali sono un problema attuale e di enorme importanza per le organizzazioni aziendali. Gli attacchi avvengono con tecniche che devo essere riconosciute per poter addestrare correttamente tutto il personale.
Qui si spiega un attacco tramite ingegneria sociale.
Ingegneria sociale: cos\'è, come agisce, gli obiettivi, come riconoscerla, come evitarla.
4. Ingegneria Sociale
Kevin Mitnick
Thinking
Si possono investire milioni di dollari per
software, per l'hardware e per dispositivi di
sicurezza all'avanguardia, ma se c'è anche un
unico dipendente della nostra azienda che
può essere manipolato con un attacco di
ingegneria sociale, tutti soldi investiti saranno
stati inutili.
Kevin Mitnick
4
www.CONFIDACE.it
5. Sicurezza ed
Organizzazione
I deficit organizzativi sono la base del basso
standard di sicurezza aziendale.
Mancanza di personale qualificato
●
●Insufficiente e non specifico training per gli
amministratori di sistema e di reti
●Inesistenza o insufficienza di istruzioni e
responsabilità sulla sicurezza - Security Policy
5
www.CONFIDACE.it
6. Sicurezza
cos'è?
La sicurezza non è un prodotto, ma un
processo.
Solo la precisa conoscenza di tutto il processo di
generazione dell' informazione rilevante, può
garantire una corretta implementazione del
processo di sicurezza.
6
www.CONFIDACE.it
7. Sicurezza come
illusione
●Le informazioni rubate restano comunque in
possesso di chi le detiene
●Le informazioni sono gestite da operatori umani
che spesso ignorano le procedure di sicurezza
●La debolezza del processo di sicurezza è
universale e indipendente dalla piattaforma, dal
software, dalla rete o dall'età dell'attrezzatura 7
9. Ingegneria Sociale
cos'è?
E' un metodo per ottenere l'accesso alle reti
e ai sistemi protetti attraverso l'inganno del
personale o degli amministratori di sistema.
Una manipolazione della naturale tendenza
alla fiducia dell'essere umano, architettata
con l'obiettivo di ottenere libero accesso a
informazioni di valore.
9
www.CONFIDACE.it
10. Ingegneria Sociale
cos'è?
Arte che consente di distrarre, manipolare,
ingannare, influenzare, nei pensieri e nel
comportamento, la propria vittima al fine di
raggiungerne l'obiettivo prefissato
Capacità di Influenzare una persona con l'obiettivo
finale di farle rivelare informazioni confidenziali o di
farla agire in modo da consentire l'accesso o l'uso
non autorizzato di sistemi, reti o informazioni
10
11. Ingegneria Sociale
Perchè funziona?
●È più facile di un hacking
●Non richiede specialisti informatici
●Costi e rischi bassi
●Funziona con qualsiasi sistema operativo e
dotazione software
●Non richiede collegamento in rete
●Lascia poche tracce
●Efficacia legata alle interazioni sociali
●Obsolescenza molto lunga
●Poco conosciuta
11
www.CONFIDACE.it
13. Ingegneria Sociale
FootPrint
Raccolta e studio delle informazioni sul sistema da
colpire attraverso la conoscenza de:
●I sistemi di comunicazione aziendale
●La posta interna
●l'organigramma aziendale
●Giorni e orari di pulizia
●Frequentazione degli uffici (consegna di buste, caffè,
acqua, pubblicità, depliant)
13
14. Ingegneria Sociale
FootPrint
●Dialogo con gli addetti della sicurezza,
segretarie, webmaster, sistemisti
●Finzione di essere un utente inesperto che ha
smarrito una password;
●Invio di un'offerta di un nuovo firewall per
aumentare il sistema di sicurezza
14
www.CONFIDACE.it
16. Ingegneria Sociale
Attacco Fisico
Obiettivi: Password – Server - Help desk
Le modalità di attacco
●richieste dirette di informazione
●truffe telefoniche
●rovistare nella carta straccia
●rovistare negli hard disk dismessi
●falsi sondaggi
●sbirciare alle spalle
16
17. Ingegneria Sociale
Dumpster Diving
Setacciamento dell' immondizia aziendale e privata:
●Bollette telefoniche
●Resoconti carte di credito
●Flaconi di medicinali
●Saldi della banca
●Scontrini del Bancomat
●Bozze documentali
●Copie errate
17
www.CONFIDACE.it
18. Ingegneria Sociale
Attacchi
tecnologici
●Esecuzione di un programma malevolo
●Attivazione di un piano di phising
●Intercettazione dati digitali
●Invio di e-mail contenenti virus o worm
●Malware: trojan, spyware, dialer, rootkit
●Attivazione controllo microfono e webcam
●Controllo digitazione tastiera
●Finestra di pop up
●Spam
●Siti Web
●P2P
●Attacchi diretti sistema
●SCAM (truffa con anticipo della somma)
18
www.CONFIDACE.it
19. Esplorazione dei
dati personali
Log files
L'obiettivo dell' uso di questi automatismi è quello di
consentire una facile rivisitazione dei pagine web o la
continuazione di un lavoro dopo una pausa.
Il rischio per la sicurezza: se un attaccante accede a questi
file può esplorare tutte le informazioni personali e le
preferenze dell' utente ( interessi, hobbies, intenzioni di
acquisto, cancellazioni di riunioni etc)
19
www.CONFIDACE.it
20. Esplorazione dei
dati personali
History files
Salvano tutti gli indirizzi (url) visitati durante gli ultimi giorni,
con durate temporali diverse a seconda dei web browser.
Rischio Sicurezza: l' attaccante conosce esattamente tutto
ciò che viene visitato avendo maggiori possibilità di avere
informazioni sull' utente.
20
www.CONFIDACE.it
21. Esplorazione dei
dati personali
Bookmark files
I browser danno agli utenti la possibilità di creare delle
tabelle personalizzate di siti internet.
Rischio Sicurezza: i bookmark file contengono importanti
informazioni personali sull' utente, ad esempio la
conoscenza dell' attore preferito o della band musicale
potrebbero essere di aiuto per scoprire la password.
21
www.CONFIDACE.it
22. Esplorazione dei
dati personali
Cache
Contiene pagine complete che sono state visitate nelle
ultime ore o giorni.
La cache offre vantaggi in termini di performance e di costi
se una pagina già visitata viene richiamata dall'utente: la
pagina non viene ricaricata dal web ma solamente dalla
cache.
Rischio Sicurezza: molti dati di interesse per un attaccante
possono essere ricostruiti dalla cache: username,
password, numeri di carta di credito, dati di accesso.
22
www.CONFIDACE.it
23. Esplorazione dei
dati personali
Cookie file
I cookie servono a memorizzare informazioni sui webserver
visitati. Con i propri cookies i webserver possono
identificare l 'utente determinando a cosa gli interessi o
quali informazioni hanno già fornito.
Rischio Sicurezza: i cookies per le loro attività devono
essere leggibili e scrivibili dai webserver; questa
caratteristica li rendono estremamente pericolosi perchè
possono essere modificati e consultati a piacere da un
attaccante. 23
www.CONFIDACE.it
24. Ingegneria Sociale
Attacchi
Psicologico
La persona viene guidata lungo il percorso scelto
dall'attaccante, nella convinzione di avere il controllo totale della
situazione e credendo di esercitare il libero arbitrio nella scelta
di aiutare qualcuno
Motivazioni sottostanti:
●La sicurezza è basata sulla fiducia; e la fiducia è basata
sull'autenticità e sui livelli di protezione.
●Osservazione del comportamento delle persone, del loro
pensiero e delle loro modalità di espressione.
24
www.CONFIDACE.it
25. Approcci di
Ingegneria Sociale
●Fingersi una persona dotata di autorità
●Fingersi un collega di una sede distaccata
●Fingersi un dipendente di un fornitore, di una ditta consociata o
un tutore dell' ordine
●Fingersi un fornitore di sistemi informatici che telefona per un
aggiornamento software
●Offrire aiuto in caso di problemi, poi fare in modo che il
problema di presenti realmente, convincendo la vittima a
chiedere aiuto (reverse engineering)
●Inviare via posta elettronica programmi o aggiornamenti gratis
che l'utente deve installare
25
www.CONFIDACE.it
26. Approcci di
Ingegneria Sociale
●Chiedere trasferimento di un file in un altro luogo che
sembri interno all'azienda
●Ottenere e impostare una casella vocale per eventuale
telefonata di controllo affinché l'attaccante sembri un
appartenente all'azienda
26
www.CONFIDACE.it
27. Approcci di
Ingegneria Sociale
●Usare una falsa finestra pop up per chiedere all' utente di
connettersi di nuovo o di registrarsi con password
●Lasciare cd o usb contenente software nocivo in giro per uffici
●Usare gergo e terminologia di chi è addentro per non destrare
sospetti
●Offrire un premio a chi si registra ad un sito web con username
e password
●Fingere di essere un dipendente di un' altra sede dell' azienda
e chiedere accesso in loco al servizio di posta elettronica
●Lasciare un documento o un file nella posta interna aziendale
●Modificare l'intestazione fax
●Chiedere al banco accoglienza di ricevere e inoltrare un fax
27
Tratto da psicologia contemporanea maggio giugno 2004
29. Ingegneria Sociale
come evitarla?
L'accesso all'informazione deve essere fornito solo
limitatamente a quelle informazioni di cui si ha
assolutamente bisogno per portare a termine i
compiti di lavoro assegnati
Educare e rendere consapevole che tratta le
informazioni sensibili
29
30. Ingegneria Sociale
come evitarla?
Attività di sicurezza:
●Individuazione sconosciuti
●Distruzione materiale cartaceo
●Cancellazione definitiva dei supporti informatici
●Chiusura uffici e cassettiere
●Tenere in ordine la scrivania
●Non inviare password e account via e-mail
●Controllare sempre che il sito che si sta visitando sia
originale
●Randomizzazione abitudini
30
31. Prevenzione
Attacchi
●Educazione del personale aziendale
●Cultura della sicurezza e di diffidenza informativa
●Classificazione delle informazioni e della documentazione
●(es. confidenziali – personali – interne -pubbliche)
●Attenzione nell' uso di informazioni interne: nomi dipendenti,
organigramma, codici uffici, procedure di accesso remoto;
●Indirizzi web generici: vendite@nomeazienda no
paolo.rossi@nomeazienda
●No @ nelle poste elettroniche dei siti
●Controllare e richiamare il numero di utenti non conosciuti
●Badge colorati e con foto sempre in vista
●Nuovi assunti: training sulle procedure di sicurezza prima dell'
accesso a strutture informatiche
31
Tratto da psicologia contemporanea maggio giugno 2004
32. Prevenzione
Attacchi
Eseguire penetration test da società specializzate
●
●Riportare tutti i casi di intromissione verificata o
sospettata
32
www.CONFIDACE.it
33. Grazie per l'attenzione
Alessandro Petracca
alessandro@ceremit.it
Skype: dott2alessandropetracca
Gtalk: Alessandrovi193@gmail.com
33