SlideShare une entreprise Scribd logo

Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012

Ceremit srl
Ceremit srl

Gli attacchi ai dati strategici aziendali sono un problema attuale e di enorme importanza per le organizzazioni aziendali. Gli attacchi avvengono con tecniche che devo essere riconosciute per poter addestrare correttamente tutto il personale. Qui si spiega un attacco tramite ingegneria sociale. Ingegneria sociale: cos\'è, come agisce, gli obiettivi, come riconoscerla, come evitarla.

1  sur  33
Télécharger pour lire hors ligne
INGEGNERIA SOCIALE Seminario 28.11.2012 La tutela dei dati Strategici aziendali 1
Alessandro Petracca Business Process Analyst CEREMIT srl 28.11.2012 2
Video Introduttivo DAVE 3
Ingegneria Sociale Kevin Mitnick Thinking Si possono investire milioni di dollari per software, per l'hardware e per dispositivi di sicurezza all'avanguardia, ma se c'è anche un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti soldi investiti saranno stati inutili. Kevin Mitnick 4 www.CONFIDACE.it
Sicurezza ed Organizzazione I deficit organizzativi sono la base del basso standard di sicurezza aziendale. Mancanza di personale qualificato ● ●Insufficiente e non specifico training per gli amministratori di sistema e di reti ●Inesistenza o insufficienza di istruzioni e responsabilità sulla sicurezza - Security Policy 5 www.CONFIDACE.it
Sicurezza cos'è? La sicurezza non è un prodotto, ma un processo. Solo la precisa conoscenza di tutto il processo di generazione dell' informazione rilevante, può garantire una corretta implementazione del processo di sicurezza. 6 www.CONFIDACE.it
Sicurezza come illusione ●Le informazioni rubate restano comunque in possesso di chi le detiene ●Le informazioni sono gestite da operatori umani che spesso ignorano le procedure di sicurezza ●La debolezza del processo di sicurezza è universale e indipendente dalla piattaforma, dal software, dalla rete o dall'età dell'attrezzatura 7
Video Le Iene 8
Ingegneria Sociale cos'è? E' un metodo per ottenere l'accesso alle reti e ai sistemi protetti attraverso l'inganno del personale o degli amministratori di sistema. Una manipolazione della naturale tendenza alla fiducia dell'essere umano, architettata con l'obiettivo di ottenere libero accesso a informazioni di valore. 9 www.CONFIDACE.it
Ingegneria Sociale cos'è? Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungerne l'obiettivo prefissato Capacità di Influenzare una persona con l'obiettivo finale di farle rivelare informazioni confidenziali o di farla agire in modo da consentire l'accesso o l'uso non autorizzato di sistemi, reti o informazioni 10
Ingegneria Sociale Perchè funziona? ●È più facile di un hacking ●Non richiede specialisti informatici ●Costi e rischi bassi ●Funziona con qualsiasi sistema operativo e dotazione software ●Non richiede collegamento in rete ●Lascia poche tracce ●Efficacia legata alle interazioni sociali ●Obsolescenza molto lunga ●Poco conosciuta 11 www.CONFIDACE.it
Ingegneria Sociale Attacchi Attacchi fisici (Raccolta informazioni) ●Persone ●Documenti ●Luoghi Attacchi tecnologici Attacchi psicologici ●Impersonificazione ●Persuasione 12 www.CONFIDACE.it
Ingegneria Sociale FootPrint Raccolta e studio delle informazioni sul sistema da colpire attraverso la conoscenza de: ●I sistemi di comunicazione aziendale ●La posta interna ●l'organigramma aziendale ●Giorni e orari di pulizia ●Frequentazione degli uffici (consegna di buste, caffè, acqua, pubblicità, depliant) 13
Ingegneria Sociale FootPrint ●Dialogo con gli addetti della sicurezza, segretarie, webmaster, sistemisti ●Finzione di essere un utente inesperto che ha smarrito una password; ●Invio di un'offerta di un nuovo firewall per aumentare il sistema di sicurezza 14 www.CONFIDACE.it
Ingegneria Sociale Attacco Fisico Requisiti attitudinali ●Buona memoria e conoscenza schemi cognitivi ●Cooperazione ●Argomenti e ragioni per giustificare l'azione Requisiti Fisici ●Telefono - Fax ●Scanner - Stampanti ●Server (posta, anonimizzazione) 15 www.CONFIDACE.it
Ingegneria Sociale Attacco Fisico Obiettivi: Password – Server - Help desk Le modalità di attacco ●richieste dirette di informazione ●truffe telefoniche ●rovistare nella carta straccia ●rovistare negli hard disk dismessi ●falsi sondaggi ●sbirciare alle spalle 16
Ingegneria Sociale Dumpster Diving Setacciamento dell' immondizia aziendale e privata: ●Bollette telefoniche ●Resoconti carte di credito ●Flaconi di medicinali ●Saldi della banca ●Scontrini del Bancomat ●Bozze documentali ●Copie errate 17 www.CONFIDACE.it
Ingegneria Sociale Attacchi tecnologici ●Esecuzione di un programma malevolo ●Attivazione di un piano di phising ●Intercettazione dati digitali ●Invio di e-mail contenenti virus o worm ●Malware: trojan, spyware, dialer, rootkit ●Attivazione controllo microfono e webcam ●Controllo digitazione tastiera ●Finestra di pop up ●Spam ●Siti Web ●P2P ●Attacchi diretti sistema ●SCAM (truffa con anticipo della somma) 18 www.CONFIDACE.it
Esplorazione dei dati personali Log files L'obiettivo dell' uso di questi automatismi è quello di consentire una facile rivisitazione dei pagine web o la continuazione di un lavoro dopo una pausa. Il rischio per la sicurezza: se un attaccante accede a questi file può esplorare tutte le informazioni personali e le preferenze dell' utente ( interessi, hobbies, intenzioni di acquisto, cancellazioni di riunioni etc) 19 www.CONFIDACE.it
Esplorazione dei dati personali History files Salvano tutti gli indirizzi (url) visitati durante gli ultimi giorni, con durate temporali diverse a seconda dei web browser. Rischio Sicurezza: l' attaccante conosce esattamente tutto ciò che viene visitato avendo maggiori possibilità di avere informazioni sull' utente. 20 www.CONFIDACE.it
Esplorazione dei dati personali Bookmark files I browser danno agli utenti la possibilità di creare delle tabelle personalizzate di siti internet. Rischio Sicurezza: i bookmark file contengono importanti informazioni personali sull' utente, ad esempio la conoscenza dell' attore preferito o della band musicale potrebbero essere di aiuto per scoprire la password. 21 www.CONFIDACE.it
Esplorazione dei dati personali Cache Contiene pagine complete che sono state visitate nelle ultime ore o giorni. La cache offre vantaggi in termini di performance e di costi se una pagina già visitata viene richiamata dall'utente: la pagina non viene ricaricata dal web ma solamente dalla cache. Rischio Sicurezza: molti dati di interesse per un attaccante possono essere ricostruiti dalla cache: username, password, numeri di carta di credito, dati di accesso. 22 www.CONFIDACE.it
Esplorazione dei dati personali Cookie file I cookie servono a memorizzare informazioni sui webserver visitati. Con i propri cookies i webserver possono identificare l 'utente determinando a cosa gli interessi o quali informazioni hanno già fornito. Rischio Sicurezza: i cookies per le loro attività devono essere leggibili e scrivibili dai webserver; questa caratteristica li rendono estremamente pericolosi perchè possono essere modificati e consultati a piacere da un attaccante. 23 www.CONFIDACE.it
Ingegneria Sociale Attacchi Psicologico La persona viene guidata lungo il percorso scelto dall'attaccante, nella convinzione di avere il controllo totale della situazione e credendo di esercitare il libero arbitrio nella scelta di aiutare qualcuno Motivazioni sottostanti: ●La sicurezza è basata sulla fiducia; e la fiducia è basata sull'autenticità e sui livelli di protezione. ●Osservazione del comportamento delle persone, del loro pensiero e delle loro modalità di espressione. 24 www.CONFIDACE.it
Approcci di Ingegneria Sociale ●Fingersi una persona dotata di autorità ●Fingersi un collega di una sede distaccata ●Fingersi un dipendente di un fornitore, di una ditta consociata o un tutore dell' ordine ●Fingersi un fornitore di sistemi informatici che telefona per un aggiornamento software ●Offrire aiuto in caso di problemi, poi fare in modo che il problema di presenti realmente, convincendo la vittima a chiedere aiuto (reverse engineering) ●Inviare via posta elettronica programmi o aggiornamenti gratis che l'utente deve installare 25 www.CONFIDACE.it
Approcci di Ingegneria Sociale ●Chiedere trasferimento di un file in un altro luogo che sembri interno all'azienda ●Ottenere e impostare una casella vocale per eventuale telefonata di controllo affinché l'attaccante sembri un appartenente all'azienda 26 www.CONFIDACE.it
Approcci di Ingegneria Sociale ●Usare una falsa finestra pop up per chiedere all' utente di connettersi di nuovo o di registrarsi con password ●Lasciare cd o usb contenente software nocivo in giro per uffici ●Usare gergo e terminologia di chi è addentro per non destrare sospetti ●Offrire un premio a chi si registra ad un sito web con username e password ●Fingere di essere un dipendente di un' altra sede dell' azienda e chiedere accesso in loco al servizio di posta elettronica ●Lasciare un documento o un file nella posta interna aziendale ●Modificare l'intestazione fax ●Chiedere al banco accoglienza di ricevere e inoltrare un fax 27 Tratto da psicologia contemporanea maggio giugno 2004
Video SUGO RAI 4 28
Ingegneria Sociale come evitarla? L'accesso all'informazione deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati Educare e rendere consapevole che tratta le informazioni sensibili 29
Ingegneria Sociale come evitarla? Attività di sicurezza: ●Individuazione sconosciuti ●Distruzione materiale cartaceo ●Cancellazione definitiva dei supporti informatici ●Chiusura uffici e cassettiere ●Tenere in ordine la scrivania ●Non inviare password e account via e-mail ●Controllare sempre che il sito che si sta visitando sia originale ●Randomizzazione abitudini 30
Prevenzione Attacchi ●Educazione del personale aziendale ●Cultura della sicurezza e di diffidenza informativa ●Classificazione delle informazioni e della documentazione ●(es. confidenziali – personali – interne -pubbliche) ●Attenzione nell' uso di informazioni interne: nomi dipendenti, organigramma, codici uffici, procedure di accesso remoto; ●Indirizzi web generici: vendite@nomeazienda no paolo.rossi@nomeazienda ●No @ nelle poste elettroniche dei siti ●Controllare e richiamare il numero di utenti non conosciuti ●Badge colorati e con foto sempre in vista ●Nuovi assunti: training sulle procedure di sicurezza prima dell' accesso a strutture informatiche 31 Tratto da psicologia contemporanea maggio giugno 2004
Prevenzione Attacchi Eseguire penetration test da società specializzate ● ●Riportare tutti i casi di intromissione verificata o sospettata 32 www.CONFIDACE.it
Grazie per l'attenzione Alessandro Petracca alessandro@ceremit.it Skype: dott2alessandropetracca Gtalk: Alessandrovi193@gmail.com 33

Recommandé

Secret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskySecret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskyCODE BLUE
 
IP Spoofing
IP SpoofingIP Spoofing
IP SpoofingAkmal Hussain
 
Deepfake.pptx
Deepfake.pptxDeepfake.pptx
Deepfake.pptxNandeeshNandhu2
 
Network security
Network securityNetwork security
Network securityAli Kamil
 
ip spoofing
ip spoofingip spoofing
ip spoofingvipin soni
 
Data security in local network using distributed firewall ppt
Data security in local network using distributed firewall ppt Data security in local network using distributed firewall ppt
Data security in local network using distributed firewall ppt Sabreen Irfana
 
Vpn
VpnVpn
VpnAnkit Anand
 
Password Policy and Account Lockout Policies
Password Policy and Account Lockout PoliciesPassword Policy and Account Lockout Policies
Password Policy and Account Lockout Policiesanilinvns
 

Recommandé

Secret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskySecret of Intel Management Engine by Igor Skochinsky
Secret of Intel Management Engine by Igor SkochinskyCODE BLUE
 
IP Spoofing
IP SpoofingIP Spoofing
IP SpoofingAkmal Hussain
 
Deepfake.pptx
Deepfake.pptxDeepfake.pptx
Deepfake.pptxNandeeshNandhu2
 
Network security
Network securityNetwork security
Network securityAli Kamil
 
ip spoofing
ip spoofingip spoofing
ip spoofingvipin soni
 
Data security in local network using distributed firewall ppt
Data security in local network using distributed firewall ppt Data security in local network using distributed firewall ppt
Data security in local network using distributed firewall ppt Sabreen Irfana
 
Vpn
VpnVpn
VpnAnkit Anand
 
Password Policy and Account Lockout Policies
Password Policy and Account Lockout PoliciesPassword Policy and Account Lockout Policies
Password Policy and Account Lockout Policiesanilinvns
 
Cybersecurity in an IoT and Mobile World
Cybersecurity in an IoT and Mobile WorldCybersecurity in an IoT and Mobile World
Cybersecurity in an IoT and Mobile WorldAhmed Abu Eldahab
 
Digital Watermarking
Digital WatermarkingDigital Watermarking
Digital WatermarkingAgrani Rastogi
 
Cyber crime and Security
Cyber crime and SecurityCyber crime and Security
Cyber crime and SecurityHussain777
 
Uso consapevole della rete internet
Uso consapevole della rete internetUso consapevole della rete internet
Uso consapevole della rete internetISEA ODV
 
I P S P O O F I N G
I P S P O O F I N GI P S P O O F I N G
I P S P O O F I N Gavinashkanchan
 
Wireless Attacks
Wireless AttacksWireless Attacks
Wireless Attacksprimeteacher32
 
Public private key
Public private keyPublic private key
Public private keyStudsPlanet.com
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle AttackDeepak Upadhyay
 
Rischi e pericoli del Web
Rischi e pericoli del Web Rischi e pericoli del Web
Rischi e pericoli del Web claudiopasqua
 
Ettercap
EttercapEttercap
EttercapPrem Thakkar
 
Cyber crime & security final tapan
Cyber crime & security final tapanCyber crime & security final tapan
Cyber crime & security final tapanTapan Khilar
 
Ipspoofing
IpspoofingIpspoofing
IpspoofingAkhil Kumar
 
Cyber Security Update: How to Train Your Employees to Prevent Data Breaches
Cyber Security Update: How to Train Your Employees to Prevent Data BreachesCyber Security Update: How to Train Your Employees to Prevent Data Breaches
Cyber Security Update: How to Train Your Employees to Prevent Data BreachesParsons Behle & Latimer
 
Digital watermarking
Digital watermarkingDigital watermarking
Digital watermarkingAnkush Kr
 
penetration test using Kali linux ppt
penetration test using Kali linux pptpenetration test using Kali linux ppt
penetration test using Kali linux pptAbhayNaik8
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
History and future cybercrime
History and future cybercrimeHistory and future cybercrime
History and future cybercrimeOnline
 
Dipendenze tecnologiche
Dipendenze tecnologicheDipendenze tecnologiche
Dipendenze tecnologicheGianni Locatelli
 
Cryptography by Durlab Kumbhakar
Cryptography by Durlab KumbhakarCryptography by Durlab Kumbhakar
Cryptography by Durlab KumbhakarDurlove Kumbhakar
 
Il comunicare dei giovani
Il comunicare dei giovaniIl comunicare dei giovani
Il comunicare dei giovanilorenzotomada
 
Introduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmIntroduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmSimone Onofri
 

Contenu connexe

Tendances

Cybersecurity in an IoT and Mobile World
Cybersecurity in an IoT and Mobile WorldCybersecurity in an IoT and Mobile World
Cybersecurity in an IoT and Mobile WorldAhmed Abu Eldahab
 
Cyber crime and Security
Cyber crime and SecurityCyber crime and Security
Cyber crime and SecurityHussain777
 
Uso consapevole della rete internet
Uso consapevole della rete internetUso consapevole della rete internet
Uso consapevole della rete internetISEA ODV
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle AttackDeepak Upadhyay
 
Rischi e pericoli del Web
Rischi e pericoli del Web Rischi e pericoli del Web
Rischi e pericoli del Web claudiopasqua
 
Cyber crime & security final tapan
Cyber crime & security final tapanCyber crime & security final tapan
Cyber crime & security final tapanTapan Khilar
 
Cyber Security Update: How to Train Your Employees to Prevent Data Breaches
Cyber Security Update: How to Train Your Employees to Prevent Data BreachesCyber Security Update: How to Train Your Employees to Prevent Data Breaches
Cyber Security Update: How to Train Your Employees to Prevent Data BreachesParsons Behle & Latimer
 
Digital watermarking
Digital watermarkingDigital watermarking
Digital watermarkingAnkush Kr
 
penetration test using Kali linux ppt
penetration test using Kali linux pptpenetration test using Kali linux ppt
penetration test using Kali linux pptAbhayNaik8
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
History and future cybercrime
History and future cybercrimeHistory and future cybercrime
History and future cybercrimeOnline
 
Cryptography by Durlab Kumbhakar
Cryptography by Durlab KumbhakarCryptography by Durlab Kumbhakar
Cryptography by Durlab KumbhakarDurlove Kumbhakar
 

Tendances (20)

Cybersecurity in an IoT and Mobile World
Cybersecurity in an IoT and Mobile WorldCybersecurity in an IoT and Mobile World
Cybersecurity in an IoT and Mobile World
 
Digital Watermarking
Digital WatermarkingDigital Watermarking
Digital Watermarking
 
Cyber crime and Security
Cyber crime and SecurityCyber crime and Security
Cyber crime and Security
 
Uso consapevole della rete internet
Uso consapevole della rete internetUso consapevole della rete internet
Uso consapevole della rete internet
 
I P S P O O F I N G
I P S P O O F I N GI P S P O O F I N G
I P S P O O F I N G
 
Wireless Attacks
Wireless AttacksWireless Attacks
Wireless Attacks
 
Public private key
Public private keyPublic private key
Public private key
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
Man in The Middle Attack
Man in The Middle AttackMan in The Middle Attack
Man in The Middle Attack
 
Rischi e pericoli del Web
Rischi e pericoli del Web Rischi e pericoli del Web
Rischi e pericoli del Web
 
Ettercap
EttercapEttercap
Ettercap
 
Cyber crime & security final tapan
Cyber crime & security final tapanCyber crime & security final tapan
Cyber crime & security final tapan
 
Ipspoofing
IpspoofingIpspoofing
Ipspoofing
 
Cyber Security Update: How to Train Your Employees to Prevent Data Breaches
Cyber Security Update: How to Train Your Employees to Prevent Data BreachesCyber Security Update: How to Train Your Employees to Prevent Data Breaches
Cyber Security Update: How to Train Your Employees to Prevent Data Breaches
 
Digital watermarking
Digital watermarkingDigital watermarking
Digital watermarking
 
penetration test using Kali linux ppt
penetration test using Kali linux pptpenetration test using Kali linux ppt
penetration test using Kali linux ppt
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
 
History and future cybercrime
History and future cybercrimeHistory and future cybercrime
History and future cybercrime
 
Dipendenze tecnologiche
Dipendenze tecnologicheDipendenze tecnologiche
Dipendenze tecnologiche
 
Cryptography by Durlab Kumbhakar
Cryptography by Durlab KumbhakarCryptography by Durlab Kumbhakar
Cryptography by Durlab Kumbhakar
 

En vedette

Il comunicare dei giovani
Il comunicare dei giovaniIl comunicare dei giovani
Il comunicare dei giovanilorenzotomada
 
Introduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmIntroduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmSimone Onofri
 
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...tagore
 
TorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) Chiesa
TorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) ChiesaTorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) Chiesa
TorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) ChiesaFulvio Solinas ✔
 
Smau padova 2016 - Paolo Schianchi
Smau padova 2016 - Paolo SchianchiSmau padova 2016 - Paolo Schianchi
Smau padova 2016 - Paolo SchianchiSMAU
 
Progetto "Sicurezza e prevenzione a Scuola"
Progetto "Sicurezza e prevenzione a Scuola"Progetto "Sicurezza e prevenzione a Scuola"
Progetto "Sicurezza e prevenzione a Scuola"Patrizia Brion
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...SMAU
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersiDIALOGHI
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economymadero
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...
Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...
Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...Stefano Dindo
 
Security Technology Vision 2016 - Accenture Italia
Security Technology Vision 2016 - Accenture ItaliaSecurity Technology Vision 2016 - Accenture Italia
Security Technology Vision 2016 - Accenture ItaliaAccenture Italia
 
Looking Forward - La Rivoluzione dell'Internet of Things
Looking Forward - La Rivoluzione dell'Internet of ThingsLooking Forward - La Rivoluzione dell'Internet of Things
Looking Forward - La Rivoluzione dell'Internet of ThingsAccenture Italia
 

En vedette (16)

Il comunicare dei giovani
Il comunicare dei giovaniIl comunicare dei giovani
Il comunicare dei giovani
 
Introduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmIntroduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmm
 
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
 
TorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) Chiesa
TorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) ChiesaTorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) Chiesa
TorinoIn 16 febbraio 2016 presentazione Raoul (Nobody) Chiesa
 
Smau padova 2016 - Paolo Schianchi
Smau padova 2016 - Paolo SchianchiSmau padova 2016 - Paolo Schianchi
Smau padova 2016 - Paolo Schianchi
 
Progetto "Sicurezza e prevenzione a Scuola"
Progetto "Sicurezza e prevenzione a Scuola"Progetto "Sicurezza e prevenzione a Scuola"
Progetto "Sicurezza e prevenzione a Scuola"
 
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte... La responsabilità dell’azienda per i reati informatici commessi al suo inte...
La responsabilità dell’azienda per i reati informatici commessi al suo inte...
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economy
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
ECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness SecurityECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness Security
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...
Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...
Internet of Things e manutenzione a distanza: 
disponibilità di nuove tecnolo...
 
Security Technology Vision 2016 - Accenture Italia
Security Technology Vision 2016 - Accenture ItaliaSecurity Technology Vision 2016 - Accenture Italia
Security Technology Vision 2016 - Accenture Italia
 
Looking Forward - La Rivoluzione dell'Internet of Things
Looking Forward - La Rivoluzione dell'Internet of ThingsLooking Forward - La Rivoluzione dell'Internet of Things
Looking Forward - La Rivoluzione dell'Internet of Things
 

Similaire à Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012

Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityProf Web
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSMAU
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativiMarco Liverani
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiMarinuzzi & Associates
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Par-Tec S.p.A.
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupDedagroup
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 

Similaire à Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012 (20)

Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it security
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativi
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di dati
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity IT
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it security
 

Plus de Ceremit srl

5 punti per capire il social adatto al Business B2B
5 punti per capire il social adatto al Business B2B5 punti per capire il social adatto al Business B2B
5 punti per capire il social adatto al Business B2BCeremit srl
 
Slide convegno Social Media per Aziende B2B
Slide convegno Social Media per Aziende B2BSlide convegno Social Media per Aziende B2B
Slide convegno Social Media per Aziende B2BCeremit srl
 
Marketing Automation Guide
Marketing Automation GuideMarketing Automation Guide
Marketing Automation GuideCeremit srl
 
Marketing Automation 4.0 - come far parte della rivoluzione in 12 slide
Marketing Automation 4.0 - come far parte della rivoluzione in 12 slideMarketing Automation 4.0 - come far parte della rivoluzione in 12 slide
Marketing Automation 4.0 - come far parte della rivoluzione in 12 slideCeremit srl
 
Alessandro Petracca Digital Marketing Expert
Alessandro Petracca Digital Marketing ExpertAlessandro Petracca Digital Marketing Expert
Alessandro Petracca Digital Marketing ExpertCeremit srl
 
Mappa Competitiva dei Brand Fashion - Gennaio 2016
Mappa Competitiva dei Brand Fashion - Gennaio 2016Mappa Competitiva dei Brand Fashion - Gennaio 2016
Mappa Competitiva dei Brand Fashion - Gennaio 2016Ceremit srl
 
Studio sull'esperienza del cliente nel commercio elettronico
Studio sull'esperienza del cliente nel commercio elettronicoStudio sull'esperienza del cliente nel commercio elettronico
Studio sull'esperienza del cliente nel commercio elettronicoCeremit srl
 
Digital mobile 2016
Digital mobile 2016Digital mobile 2016
Digital mobile 2016Ceremit srl
 
Shopping cart abandonment 2015 (SCA)
Shopping cart abandonment 2015 (SCA)Shopping cart abandonment 2015 (SCA)
Shopping cart abandonment 2015 (SCA)Ceremit srl
 
Business Model Canvas -
Business Model Canvas - Business Model Canvas -
Business Model Canvas - Ceremit srl
 
Marketing laterale - Il processo di innovazione dei prodotti esistenti
Marketing laterale - Il processo di innovazione dei prodotti esistentiMarketing laterale - Il processo di innovazione dei prodotti esistenti
Marketing laterale - Il processo di innovazione dei prodotti esistentiCeremit srl
 

Plus de Ceremit srl (11)

5 punti per capire il social adatto al Business B2B
5 punti per capire il social adatto al Business B2B5 punti per capire il social adatto al Business B2B
5 punti per capire il social adatto al Business B2B
 
Slide convegno Social Media per Aziende B2B
Slide convegno Social Media per Aziende B2BSlide convegno Social Media per Aziende B2B
Slide convegno Social Media per Aziende B2B
 
Marketing Automation Guide
Marketing Automation GuideMarketing Automation Guide
Marketing Automation Guide
 
Marketing Automation 4.0 - come far parte della rivoluzione in 12 slide
Marketing Automation 4.0 - come far parte della rivoluzione in 12 slideMarketing Automation 4.0 - come far parte della rivoluzione in 12 slide
Marketing Automation 4.0 - come far parte della rivoluzione in 12 slide
 
Alessandro Petracca Digital Marketing Expert
Alessandro Petracca Digital Marketing ExpertAlessandro Petracca Digital Marketing Expert
Alessandro Petracca Digital Marketing Expert
 
Mappa Competitiva dei Brand Fashion - Gennaio 2016
Mappa Competitiva dei Brand Fashion - Gennaio 2016Mappa Competitiva dei Brand Fashion - Gennaio 2016
Mappa Competitiva dei Brand Fashion - Gennaio 2016
 
Studio sull'esperienza del cliente nel commercio elettronico
Studio sull'esperienza del cliente nel commercio elettronicoStudio sull'esperienza del cliente nel commercio elettronico
Studio sull'esperienza del cliente nel commercio elettronico
 
Digital mobile 2016
Digital mobile 2016Digital mobile 2016
Digital mobile 2016
 
Shopping cart abandonment 2015 (SCA)
Shopping cart abandonment 2015 (SCA)Shopping cart abandonment 2015 (SCA)
Shopping cart abandonment 2015 (SCA)
 
Business Model Canvas -
Business Model Canvas - Business Model Canvas -
Business Model Canvas -
 
Marketing laterale - Il processo di innovazione dei prodotti esistenti
Marketing laterale - Il processo di innovazione dei prodotti esistentiMarketing laterale - Il processo di innovazione dei prodotti esistenti
Marketing laterale - Il processo di innovazione dei prodotti esistenti
 

Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012

  • 1. INGEGNERIA SOCIALE Seminario 28.11.2012 La tutela dei dati Strategici aziendali 1
  • 2. Alessandro Petracca Business Process Analyst CEREMIT srl 28.11.2012 2
  • 4. Ingegneria Sociale Kevin Mitnick Thinking Si possono investire milioni di dollari per software, per l'hardware e per dispositivi di sicurezza all'avanguardia, ma se c'è anche un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti soldi investiti saranno stati inutili. Kevin Mitnick 4 www.CONFIDACE.it
  • 5. Sicurezza ed Organizzazione I deficit organizzativi sono la base del basso standard di sicurezza aziendale. Mancanza di personale qualificato ● ●Insufficiente e non specifico training per gli amministratori di sistema e di reti ●Inesistenza o insufficienza di istruzioni e responsabilità sulla sicurezza - Security Policy 5 www.CONFIDACE.it
  • 6. Sicurezza cos'è? La sicurezza non è un prodotto, ma un processo. Solo la precisa conoscenza di tutto il processo di generazione dell' informazione rilevante, può garantire una corretta implementazione del processo di sicurezza. 6 www.CONFIDACE.it
  • 7. Sicurezza come illusione ●Le informazioni rubate restano comunque in possesso di chi le detiene ●Le informazioni sono gestite da operatori umani che spesso ignorano le procedure di sicurezza ●La debolezza del processo di sicurezza è universale e indipendente dalla piattaforma, dal software, dalla rete o dall'età dell'attrezzatura 7
  • 9. Ingegneria Sociale cos'è? E' un metodo per ottenere l'accesso alle reti e ai sistemi protetti attraverso l'inganno del personale o degli amministratori di sistema. Una manipolazione della naturale tendenza alla fiducia dell'essere umano, architettata con l'obiettivo di ottenere libero accesso a informazioni di valore. 9 www.CONFIDACE.it
  • 10. Ingegneria Sociale cos'è? Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungerne l'obiettivo prefissato Capacità di Influenzare una persona con l'obiettivo finale di farle rivelare informazioni confidenziali o di farla agire in modo da consentire l'accesso o l'uso non autorizzato di sistemi, reti o informazioni 10
  • 11. Ingegneria Sociale Perchè funziona? ●È più facile di un hacking ●Non richiede specialisti informatici ●Costi e rischi bassi ●Funziona con qualsiasi sistema operativo e dotazione software ●Non richiede collegamento in rete ●Lascia poche tracce ●Efficacia legata alle interazioni sociali ●Obsolescenza molto lunga ●Poco conosciuta 11 www.CONFIDACE.it
  • 12. Ingegneria Sociale Attacchi Attacchi fisici (Raccolta informazioni) ●Persone ●Documenti ●Luoghi Attacchi tecnologici Attacchi psicologici ●Impersonificazione ●Persuasione 12 www.CONFIDACE.it
  • 13. Ingegneria Sociale FootPrint Raccolta e studio delle informazioni sul sistema da colpire attraverso la conoscenza de: ●I sistemi di comunicazione aziendale ●La posta interna ●l'organigramma aziendale ●Giorni e orari di pulizia ●Frequentazione degli uffici (consegna di buste, caffè, acqua, pubblicità, depliant) 13
  • 14. Ingegneria Sociale FootPrint ●Dialogo con gli addetti della sicurezza, segretarie, webmaster, sistemisti ●Finzione di essere un utente inesperto che ha smarrito una password; ●Invio di un'offerta di un nuovo firewall per aumentare il sistema di sicurezza 14 www.CONFIDACE.it
  • 15. Ingegneria Sociale Attacco Fisico Requisiti attitudinali ●Buona memoria e conoscenza schemi cognitivi ●Cooperazione ●Argomenti e ragioni per giustificare l'azione Requisiti Fisici ●Telefono - Fax ●Scanner - Stampanti ●Server (posta, anonimizzazione) 15 www.CONFIDACE.it
  • 16. Ingegneria Sociale Attacco Fisico Obiettivi: Password – Server - Help desk Le modalità di attacco ●richieste dirette di informazione ●truffe telefoniche ●rovistare nella carta straccia ●rovistare negli hard disk dismessi ●falsi sondaggi ●sbirciare alle spalle 16
  • 17. Ingegneria Sociale Dumpster Diving Setacciamento dell' immondizia aziendale e privata: ●Bollette telefoniche ●Resoconti carte di credito ●Flaconi di medicinali ●Saldi della banca ●Scontrini del Bancomat ●Bozze documentali ●Copie errate 17 www.CONFIDACE.it
  • 18. Ingegneria Sociale Attacchi tecnologici ●Esecuzione di un programma malevolo ●Attivazione di un piano di phising ●Intercettazione dati digitali ●Invio di e-mail contenenti virus o worm ●Malware: trojan, spyware, dialer, rootkit ●Attivazione controllo microfono e webcam ●Controllo digitazione tastiera ●Finestra di pop up ●Spam ●Siti Web ●P2P ●Attacchi diretti sistema ●SCAM (truffa con anticipo della somma) 18 www.CONFIDACE.it
  • 19. Esplorazione dei dati personali Log files L'obiettivo dell' uso di questi automatismi è quello di consentire una facile rivisitazione dei pagine web o la continuazione di un lavoro dopo una pausa. Il rischio per la sicurezza: se un attaccante accede a questi file può esplorare tutte le informazioni personali e le preferenze dell' utente ( interessi, hobbies, intenzioni di acquisto, cancellazioni di riunioni etc) 19 www.CONFIDACE.it
  • 20. Esplorazione dei dati personali History files Salvano tutti gli indirizzi (url) visitati durante gli ultimi giorni, con durate temporali diverse a seconda dei web browser. Rischio Sicurezza: l' attaccante conosce esattamente tutto ciò che viene visitato avendo maggiori possibilità di avere informazioni sull' utente. 20 www.CONFIDACE.it
  • 21. Esplorazione dei dati personali Bookmark files I browser danno agli utenti la possibilità di creare delle tabelle personalizzate di siti internet. Rischio Sicurezza: i bookmark file contengono importanti informazioni personali sull' utente, ad esempio la conoscenza dell' attore preferito o della band musicale potrebbero essere di aiuto per scoprire la password. 21 www.CONFIDACE.it
  • 22. Esplorazione dei dati personali Cache Contiene pagine complete che sono state visitate nelle ultime ore o giorni. La cache offre vantaggi in termini di performance e di costi se una pagina già visitata viene richiamata dall'utente: la pagina non viene ricaricata dal web ma solamente dalla cache. Rischio Sicurezza: molti dati di interesse per un attaccante possono essere ricostruiti dalla cache: username, password, numeri di carta di credito, dati di accesso. 22 www.CONFIDACE.it
  • 23. Esplorazione dei dati personali Cookie file I cookie servono a memorizzare informazioni sui webserver visitati. Con i propri cookies i webserver possono identificare l 'utente determinando a cosa gli interessi o quali informazioni hanno già fornito. Rischio Sicurezza: i cookies per le loro attività devono essere leggibili e scrivibili dai webserver; questa caratteristica li rendono estremamente pericolosi perchè possono essere modificati e consultati a piacere da un attaccante. 23 www.CONFIDACE.it
  • 24. Ingegneria Sociale Attacchi Psicologico La persona viene guidata lungo il percorso scelto dall'attaccante, nella convinzione di avere il controllo totale della situazione e credendo di esercitare il libero arbitrio nella scelta di aiutare qualcuno Motivazioni sottostanti: ●La sicurezza è basata sulla fiducia; e la fiducia è basata sull'autenticità e sui livelli di protezione. ●Osservazione del comportamento delle persone, del loro pensiero e delle loro modalità di espressione. 24 www.CONFIDACE.it
  • 25. Approcci di Ingegneria Sociale ●Fingersi una persona dotata di autorità ●Fingersi un collega di una sede distaccata ●Fingersi un dipendente di un fornitore, di una ditta consociata o un tutore dell' ordine ●Fingersi un fornitore di sistemi informatici che telefona per un aggiornamento software ●Offrire aiuto in caso di problemi, poi fare in modo che il problema di presenti realmente, convincendo la vittima a chiedere aiuto (reverse engineering) ●Inviare via posta elettronica programmi o aggiornamenti gratis che l'utente deve installare 25 www.CONFIDACE.it
  • 26. Approcci di Ingegneria Sociale ●Chiedere trasferimento di un file in un altro luogo che sembri interno all'azienda ●Ottenere e impostare una casella vocale per eventuale telefonata di controllo affinché l'attaccante sembri un appartenente all'azienda 26 www.CONFIDACE.it
  • 27. Approcci di Ingegneria Sociale ●Usare una falsa finestra pop up per chiedere all' utente di connettersi di nuovo o di registrarsi con password ●Lasciare cd o usb contenente software nocivo in giro per uffici ●Usare gergo e terminologia di chi è addentro per non destrare sospetti ●Offrire un premio a chi si registra ad un sito web con username e password ●Fingere di essere un dipendente di un' altra sede dell' azienda e chiedere accesso in loco al servizio di posta elettronica ●Lasciare un documento o un file nella posta interna aziendale ●Modificare l'intestazione fax ●Chiedere al banco accoglienza di ricevere e inoltrare un fax 27 Tratto da psicologia contemporanea maggio giugno 2004
  • 29. Ingegneria Sociale come evitarla? L'accesso all'informazione deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati Educare e rendere consapevole che tratta le informazioni sensibili 29
  • 30. Ingegneria Sociale come evitarla? Attività di sicurezza: ●Individuazione sconosciuti ●Distruzione materiale cartaceo ●Cancellazione definitiva dei supporti informatici ●Chiusura uffici e cassettiere ●Tenere in ordine la scrivania ●Non inviare password e account via e-mail ●Controllare sempre che il sito che si sta visitando sia originale ●Randomizzazione abitudini 30
  • 31. Prevenzione Attacchi ●Educazione del personale aziendale ●Cultura della sicurezza e di diffidenza informativa ●Classificazione delle informazioni e della documentazione ●(es. confidenziali – personali – interne -pubbliche) ●Attenzione nell' uso di informazioni interne: nomi dipendenti, organigramma, codici uffici, procedure di accesso remoto; ●Indirizzi web generici: vendite@nomeazienda no paolo.rossi@nomeazienda ●No @ nelle poste elettroniche dei siti ●Controllare e richiamare il numero di utenti non conosciuti ●Badge colorati e con foto sempre in vista ●Nuovi assunti: training sulle procedure di sicurezza prima dell' accesso a strutture informatiche 31 Tratto da psicologia contemporanea maggio giugno 2004
  • 32. Prevenzione Attacchi Eseguire penetration test da società specializzate ● ●Riportare tutti i casi di intromissione verificata o sospettata 32 www.CONFIDACE.it
  • 33. Grazie per l'attenzione Alessandro Petracca alessandro@ceremit.it Skype: dott2alessandropetracca Gtalk: Alessandrovi193@gmail.com 33