Esame di Stato – I.T.I Negrelli - A.S. 2013-14

L’Ingegneria Sociale:

che cos’è, in cosa consiste e

come affrontarla.

Presentata da:

Tremea Davide

Indice:

Introduzione.

o 0.1 - Definizione di Ingegneria Sociale.

o 0.2 - Chi è l’ingegnere sociale?

Facebook (e i Social Network)

o 1.1 - I Social Network sono nostri amici?

o 1.2 - La “nuova” privacy.

o 1.3 - Le informazioni all’interno dei Social Network.

1.3.1 - La gestione dei Big-Data.

L’ingegnere sociale alla ricerca di informazioni.

o 2.1 - Le tecniche d’attacco.

2.1.1 - Basta chiedere!

2.1.2 - Costruirsi la fiducia.

2.1.3 - Altre tecniche emotive: simpatia, senso

di colpa ed intimidazione.

Ma come ci si può difendere?

o 3.1 - Presa di coscienza.

o 3.2 - Contromisure.

Conclusioni

o 4.1 - L’anello debole della catena.

Bibliografia / Sitografia

Allegato A – Gli utenti nei social network.

Allegato B – Leggi sulla privacy.

Introduzione

0.0 - Definizione di Ingegneria Sociale.

Nel campo della sicurezza informatica l’ingegneria sociale, dall’inglese social

engineering, consiste nello studio del comportamento individuale di un soggetto, con

l’obiettivo di entrare in possesso di informazioni specifiche. Di conseguenza l’ingegnere

sociale può manipolare le persone per estorcere informazioni con, o senza, l’aiuto di

dispositivi tecnologici.

Rappresenta una sorta di manipolazione della naturale tendenza alla fiducia

dell’essere umano, architettata e realizzata dall’ingegnere sociale con l’obiettivo di ottenere

informazioni che permettano il libero accesso ad informazioni di valore nel sistema. Infine,

il termine sta a significare il connubio tra la parola sociale, perché coinvolge la società e

studia il comportamento umano, e la parola ingegneria perché bisogna ingegnerizzare la

“situazione” per raggiungere i propri obiettivi; è un attività quindi che non può essere

improvvisata: richiede pianificazione.

0.1 – Chi è l’ingegnere sociale?

Il soggetto che applica questa forma di manipolazione è definito Ingegnere sociale.

Questa persona prima di compiere il gesto criminale vero e proprio comincia raccogliendo

informazioni sul bersaglio da colpire. Questa fase, chiamata tecnicamente footprinting, può

durare parecchi mesi. Se l’attacco è rivolto a un’azienda o a un’ Istituzione pubblica, o

privata, durante questo periodo l’ingegnere studia:

i sistemi di comunicazione aziendale;

come funziona la posta interna;

l’organigramma aziendale.

Inoltre potrà:

frequentare gli uffici aziendali, magari consegnando buste, caffè, acqua;

conoscere e dialogare con gli addetti alla sicurezza, segretarie, webmaster,

sistemisti;

mandare e-mail, telefonare e informarsi fingendo di essere un utente inesperto

che ha smarrito una password;

mandare un’offerta per un nuovo firewall per aumentare il sistema di

sicurezza.

Un ingegnere sociale per definirsi tale deve saper fingere e ingannare le persone, in

altre parole deve saper mentire. Inoltre, dev’essere come un mimo, capace di mutare la

propria identità. In questo modo potrà ricavare informazioni che, con la propria identità,

non avrebbe potuto ottenere. Egli sfrutta le qualità migliori dell’animo umano: la tendenza

ad aiutare il prossimo e l’essere gentili. Il Dottor Brad Sagarin lo descrive così:

<< L’ingegnere sociale impiega le stesse tecniche di persuasione che tutti noi usiamo ogni

giorno . Cerchiamo di costruirci una credibilità, […], ma l’ingegnere sociale applica queste

tecniche in modo manipolatorio, ingannevole, altamente non etico, spesso con effetti

devastanti. >>

L’ingegnere sociale è maestro nell’esibire le caratteristiche comportamentali di un

ruolo, mettendosi nei panni di chi sta assumendo la maschera. Un classico esempio, quando

vediamo un signore vestito da dirigente o imprenditore e subito diamo per scontato che sia

una persona in gamba, che svolge il suo lavoro al pieno delle proprie capacità. La maschera

più comunemente usata dagli ingegneri sociali è quella di un tecnico informatico, o quello di

un semplice membro di un azienda informatica.

L'avvento di Internet e della globalizzazione della rete degli ultimi decenni ha fatto si

che parte della nostra vita, delle nostre esperienze e del nostro sapere più intimo diventino

preda del cyberspazio, e quindi di tutto ciò che questo comporta. Viviamo in un mondo in

cui parte della nostra esistenza (circa 8 anni, secondo recenti statistiche) è passato di fronte a

un computer e su Internet, con il quale interagiamo, convinti di essere totalmente padroni

della nostra fetta di mondo virtuale. Ma come vedremo nel prossimo capitolo, non è proprio

così.

Facebook (e i Social Network)

1.1 - I Social Network sono nostri amici?

Un social network (in italiano rete sociale) può essere definito come un qualsiasi

gruppo di persone connesse tra di loro da diversi legami sociali, che vanno dalla conoscenza

casuale, ai rapporti di lavoro, ai vincoli familiari. Il termine social network sta ad indicare

dei grossi portali dove i viaggiatori del Web si incontrano, in vari modi ed in maniera

differente, per i più svariati motivi. Anche ciò che accomuna questi individui può variare:

interessi comuni, o più semplicemente un modello nuovo di comunicazione.

Secondo la definizione data dagli studiosi Boyd-Ellison: << Si possono definire social

network sites quei servizi web che permettono: la creazione di un profilo pubblico o semi-

pubblico all'interno di un sistema vincolato, l’articolazione di una lista di contatti, la

possibilità di scorrere la lista di amici dei propri contatti. Tutti questi servizi permettono di

gestire e rinsaldare amicizie online preesistenti o di estendere la propria rete di contatti. >>

L’evoluzione tecnologica alla base dello sviluppo delle reti sociali permette di

trasporre on line ciò che avviene nella vita reale con la differenza che, in questo caso, le

relazioni sono veloci, senza vincoli spazio-temporali e arricchite dalla differente natura dei

contenuti multimediali che possono essere usati (testi, video, foto, applicazioni). Alla base

di questi dispositivi vi è quindi il concetto di rete e dei vantaggi che questa può offrire ai

suoi membri. I social network sites cominciarono a diffondersi nel 2003, grazie alla

popolarità di siti web come Friendster, abcTribe.com e LinkedIn. In Italia, il primo grande

portale di tipo “social network” è stato superEva.

Ma perché vengono usati questi strumenti di condivisione globale? Ci possono essere

molti motivi: come la facile conservazione delle proprie relazioni sociali – non solo permette

di ritornare, in breve tempo, in contatto con vecchie conoscenze ma anche di ampliarle con

molte nuove persone – oppure la possibilità di costruire il nostro “io” virtuale utilizzando

Facebook come un palcoscenico e dire: “Ecco, questo sono io! Venite a conoscermi!”.

Secondo lo psicologo americano Abraham Maslow i diversi bisogni che ciascuno di

noi sperimenta non sono isolati e a sé stanti, ma tendono a disporsi in una gerarchia di

importanza (vedi Figura 1).

Figura 1

Dall'analisi delle esperienze degli utenti emerge come i social network siano in grado

di soddisfare tutti i bisogni a parte quelli fisiologici (fame, sete, sonno). Tuttavia, facendo

riferimento alle loro esperienze possiamo affermare che i social network possono aiutare i

propri utenti a soddisfare le seguenti categorie di bisogni:

Bisogni di sicurezza: Nel social network le persone con cui comunico sono solo

“amici” e non estranei. Posso scegliere chi è un “amico”, controllare che cosa racconta di sé

e commentarlo.

Bisogni associativi: Con questi “amici” posso comunicare e scambiare opinioni,

risorse applicazioni. Se voglio, posso perfino cercarci l’anima gemella.

Bisogno di stima: Io posso scegliere gli “amici” ma anche gli altri possono farlo. Per

questo, se tanti mi hanno scelto come “amico” allora “valgo”.

Bisogno di autorealizzazione: Posso raccontare me stesso (dove sono e cosa faccio)

come voglio e posso usare le mie competenze anche per aiutare qualcuno dei miei “amici”

che mi ascolta.

Ora è arrivato il momento di porsi delle domande. L’uso che facciamo dei social

network è proprio o improprio? Adeguato o non adeguato? Verrà data una risposta a queste

domande sui social network andando a scoprire, e spiegare, quali ripercussioni possono

avere sulla nostra vita e l’uso che possono farne gli ingegneri sociali per i propri tornaconti e

motivi personali. Ai giorni nostri i social Network, e Facebook in particolar modo,

rappresentano quella che oggi è l’era della condivisione globale (vedi Allegato A). L’era in

cui siamo ossessionati dal voler condividere con gli altri sempre più informazioni e

contenuti; ci sentiamo quasi obbligati a farlo. Ma quando e come questa folle, e

apparentemente innocua, mania di condivisione può diventare pericolosa, e un vantaggio per

un ingegnere sociale?

Facebook è un paradiso per ogni psicologo, curioso ed “impiccione”, ma anche un’

incredibile risorsa per un qualsiasi ingegnere sociale. Inoltre, una delle peculiarità di

Facebook risiede nella possibilità di scegliere chi può far parte, e chi no, della nostra vita

virtuale. Se usato in modo scorretto può diventare il tuo peggior nemico, perché diffonde i

tuoi dati, non mantiene i “segreti” e spiffera sempre tutto.

1.2 – La “nuova” privacy.

Con l’avvento dei social network il concetto di privacy è cambiato drasticamente.

Fino a pochi decenni fa, prima del grande boom dei social network, si faceva molto

attenzione e si prestava molta cura dei propri dati personali; abitudine che col tempo sta

sempre più svanendo. Tutti i giorni su Facebook, in particolar modo ma non solo, ogni

singolo utente condivide con la community il proprio stato d’animo, gli impegni giornalieri –

le attività che sta svolgendo o che svolgerà nell’arco della giornata. Il tutto accompagnato da

foto personali, individuali o che inglobano altre persone, ed altri contenuti multimediali, per

non parlare dei dati anagrafici e quelli del profilo, ritenuti forse i più sensibili.

Privacy (vedi Allegato B) significa proteggere i propri dati personali, sapere che fine

fanno le informazioni su di noi; in altre parole “chi sa che cosa”. È questa la definizione più

corretta, o è meglio dire che lo era? Andremo ora a vedere come tutte le informazioni

all’interno dei social network vengono inizialmente archiviate dal sito ma in un secondo

momento sfruttate dall’ingegnere sociale.

1.3 - Le informazioni all’interno dei Social Network

Per capire quanto sia semplice raccogliere informazioni sensibili da un social

network basta pensare a Facebook come un grande secchio per la pioggia in attesa di

raccogliere l’acqua piovana, ovvero tutto ciò che ogni singolo utente pubblica e condivide

ogni giorno. Va, però, considerato che il servizio non fa nulla d’invasivo, anzi! Rimane

semplicemente in “ascolto” ed in base a varie statistiche risale fino ai dati sensibili. Il perché

è semplice da intuire: si pubblica troppo e in modo scorretto, senza le giuste precauzioni.

Non tutti sanno, anche se dovrebbero, che la maggior parte delle informazioni pubblicate

sono permanenti, che una volta caricate non appartengono più al solo utente ed è molto

difficile cancellarle.

A quanti utenti di Facebook è capitato almeno una volta di accettare una richiesta

d’amicizia proveniente da un profilo sconosciuto? Più o meno a tutti. E più o meno a tutti è

capitato di accettarla, dal momento che con un rapido controllo della pagina del richiedente

si è in grado di individuare immediatamente se si tratta di un profilo falso oppure no. Ma

non sempre si è così accorti da rendersi conto che in realtà dietro alcuni profili si

nascondono minacce alla nostra sicurezza chiamate socialbot. Il socialbot è un software dai

costi minimi che può essere utilizzato dagli hacker e dai cracker per introdursi nelle falle dei

sistemi di sicurezza dei social network. Grazie a un socialbot è possibile creare profili

Facebook fasulli oppure impadronirsi del controllo di quelli altrui, in modo da avere la

possibilità di accedere ai dati personali o di eseguire le ordinarie attività di utente con quel

profilo. Tutto questo è stato verificato da alcuni ricercatori della “University of British

Columbia” di Vancouver, che hanno condotto un esperimento introducendo alcuni di questi

software all’interno della rete di Facebook. In otto settimane sono riusciti ad inoltrare

migliaia di richieste di amicizia riuscendo a contattare 8.570 utenti e ottenendo 3.055

risposte positive. Da questi profili hanno successivamente sottratto circa 47.000 indirizzi e-

mail e 14.500 indirizzi, dimostrando all’interno del loro report che se un attacco del genere

fosse stato condotto seriamente avrebbe avuto un tasso elevatissimo di successo. Sebbene al

termine della ricerca tutti i dati siano stati cancellati dai server dei due ricercatori, rimane

l’interrogativo legato alla carenza di sicurezza di un social network che attualmente conta

circa 750 milioni di utenti (vedi Allegato A). Nel capitolo successivo verrà illustrato un

approfondimento riguardante questi enormi serbatoi, detti Big-Data.

1.3.1 – La gestione dei Big-Data.

Big-Data è il termine per indicare un insieme di dataset – termine comunemente

usato per indicare un gruppo di dati strutturati in forma relazionale – così grande e

“intrecciato” da richiedere ulteriori, e differenti, strumenti per la loro acquisizione,

manutenzione, condivisione, analisi e visualizzazione. L’uso dei Big-Data è molto frequente

e utilizzato perché si preferisce analizzare l’enorme insieme dei dati, anziché svolgere

multiple mini-analisi per poi riunirle. Spesso, nei Big-Data, non vengono analizzati solo

informazioni provenienti dai dati strutturati, come i database, ma anche da dati non

strutturati – immagini, e-mail, Global Positioning System data (GPS data) e informazioni

ricavate dai social network. Le principali caratteristiche dei Big-Data si possono riassumere

nelle tre ‘V’: volume, velocità e varietà.

Il volume è indicato come la somma delle grandezze dei vari file contenuti nei singoli

dataset – si aggira nell’ordine dei zettabyte, dove un zettabyte equivale ad un milione di

dischi rigidi da un terabyte. La velocità è data dalla loro capacità di fluire nei centri di

elaborazione, nel minor tempo possibile e nella loro velocità d’aggiornamento. Infine, la

varietà è data dalle diverse fonti attraverso le quali vengono raccolti i dati. Capito tutto

questo è necessario pensare a come e dove memorizzare i Big-Data. La gestione dei dati ha

raggiunto, ormai, il suo limite, ma i Big-Data non implicano solo un enorme flusso di dati,

in continuo aumento, ma anche un’ enorme varietà di fonti da Internet che devono essere

memorizzate quasi contemporaneamente alla loro pubblicazione.

L’analisi complessiva di queste quantità spropositate di informazioni permette anche di

svelare delle relazioni altrimenti non rilevabili. Si può arrivare a individuare l’umore del

Mercato aziendale, comprendere e sfruttare il flusso dei dati e delle informazioni che ogni

giorno viaggiano nel web. I Big-Data possono anche essere usati in ambito scientifico,

astronomico o governativo.

L’ingegnere sociale alla ricerca di informazioni.

2.1 – Le tecniche d’attacco.

L’ingegnere sociale comincia il suo lavoro con la raccolta delle informazioni

riguardanti la vittima, per poi passare al vero attacco. Durante la prima fase – detta anche

footprinting – l’ingegnere cercherà di ottenere la maggio parte delle informazioni di cui avrà

bisogno: indirizzo e-mail, numeri telefonici ed altro. La fase successiva consiste nella

verifica della veridicità delle informazioni ottenute, per esempio eseguendo una telefonata e

chiedendo di parlare con la vittima. Ma la parte più importante è la terza, la fase d’attacco,

che determinerà il suo successo o il suo fallimento. In questa fase l’ingegnere dovrà sempre

avere sotto mano il “foglio degli appunti”, in cui avrà memorizzato tutte le informazioni

raccolte nella prima fase, dimostrandosi, quindi, sicuro nel caso gli venissero poste delle

domande.

2.1.1 – Basta chiedere!

Molti attacchi di ingegneria sociale sono molto complessi e composti di più azioni,

grazie ad una progettazione molto meticolosa, in cui si fonde la manipolazione e la

competenza tecnologica. Stupefacente, invece, è come spesso un ingegnere sociale “furbo”

riesca ad ottenere le informazioni che gli servono con un semplice attacco diretto. Non

bisogna pensare che gli attacchi degli ingegneri sociali debbano sempre essere complessi.

Alcuni sono semplici, una toccata e fuga. Come dice il sottotitolo “basta chiedere”.

2.1.2 – Costruirsi la fiducia.

L’ingegnere sociale deve sempre anticipare sospetti e resistenze, da parte delle sue

vittime, ed essere sempre pronto a capovolgere la sfiducia in fiducia. Dev’essere in grado,

come nel gioco degli scacchi, di anticipare le mosse dell’avversario – le domande che gli

possono essere poste. Inoltre, più egli riuscirà ad apparire normale agli occhi della vittima e

più eviterà i sospetti. Ed una volta che nessuno nutrirà più dei sospetti, nei suoi confronti,

per lui sarà più facile ottenere la loro fiducia. Questa tecnica è quella più usata

nell’ingegneria sociale.

2.1.3 - Altre tecniche emotive: simpatia, senso di colpa ed

intimidazione.

L’ingegnere sociale sfrutta la psicologia per convincere la vittima a cedere alla sue

richieste. I più esperti riescono, persino, ad impostare un raggiro che susciti emozioni forti,

come la simpatia, l’intimidazione o i sensi di colpa. È incredibile come gli ingegneri sociali

riescano a convincere la gente sulla base di come impostano una richiesta, provocando una

reazione automatica dettata dai principi psicologici che scattano quando una persona

percepisce l’interlocutore come un amico, un alleato. Per esempio, la vittima tende ad

obbedire quando una persona avanza una richiesta con caratteristiche simile a quelle della

vittima. Durante una conversazione l’ingegnere riesce ad apprendere passatempi e interessi

della vittima, dichiarando di possedere simili interessi e passioni. Oppure può sostenere di

venire dalla stessa situazione sociale; inoltre, l’ingegnere tenterà di copiare il

comportamento della vittima, cercando di assomigliargli il più possibile.

Ma come ci si può difendere?

3.1 - Presa di coscienza.

L’ultimo capitolo servirà a fornire difese e contromisure per resistere agli attacchi.

Nell’ingegneria sociale, purtroppo, questo non è sempre possibile visto che è il fattore

umano l’anello debole della catena della sicurezza. Visti i ritmi della vita quotidiana spesso

non ci concediamo il tempo di prendere una decisione mirata, persino in questioni da noi

ritenute importanti. La mancanza di tempo, lo stato emotivo o l’affaticamento mentale

possono distrarci molto facilmente. Siamo umani, ed errare lo è. Ma non tutto è perduto,

possono venire in nostro aiuto alcuni consigli semplici ed efficaci. La presa di

coscienza è uno di essi, la miglior difesa è la consapevolezza che nessuno regala nulla per

nulla e quindi diffidare sempre di quello che non si conosce. È, dunque, importante rimanere

sempre informati riguardo quello che ci viene offerto o promesso dall’ingegnere sociale –

abilmente mascherato – e pensare bene prima di dare qualsiasi risposta, abituandosi così a

riconoscere gli inganni.

3.2 - Contromisure.

L’uso sempre più diffuso delle reti sociali ha portato a una forte crescita delle

opportunità e della quantità di informazioni. Il rapido sviluppo, però, non ha ancora

permesso un’esatta e profonda conoscenza da parte di molte persone dei meccanismi e della

gestione della presenza nei social network. L’uso degli strumenti tradizionali della sicurezza

informatica può fronteggiare solo in parte i nuovi pericoli e bisogna perfezionare tali

strumenti per adattarli a una piattaforma di comunicazione in grado di far interagire persone

con esigenze molto diverse. Per limitare gli attacchi degli ingegneri sociali è necessario

rispettare, quanto più possibile, una serie di precauzioni.

Le cautele da rispettare nel caso di un’azienda consistono in questi punti

fondamentali:

a) Sviluppare dei protocolli di sicurezza chiari e precisi;

b) Fornire, agli impiegati, dei corsi di formazione per far aumentare la

consapevolezza della sicurezza;

c) Stabilire, tramite regole, quali sono le informazioni sensibili;

d) Stabilire, inoltre, un’altra regola fondamentale: ogni volta che qualcuno

richiede di accedere in area ristretta e/o riservata l’identità del richiedente

dev’essere verificata.

L’aspetto più importante richiede, però, l’istituzione di norme di sicurezza

appropriate e quindi la capacità di motivare i dipendenti ad aderire a tali regole. Il primo

accorgimento è quello di preparare adeguatamente, attraverso una capillare e aggiornata

formazione, il personale addetto al servizio di Help Desk o, comunque, al personale che

nell'esercizio delle sue mansioni ha rapporti con l'esterno: un'informazione da noi reputata di

primo acchito banale potrebbe essere, invece, molto preziosa per il nostro interlocutore.

Per quanto riguarda invece utenti privati iscritti a social network le regole basilari

sono:

a) Assumere sempre un atteggiamento diffidente verso tutti i messaggi che

provengono da persone non conosciute;

b) Non alimentare le catene di Sant’Antonio che invitano a rispedire il messaggio ad

altre persone;

c) Banche, Assicurazioni e altri istituti di credito non mandano mai comunicazioni

via e-mail che riguardano codici di accesso personale, quindi è bene non aprire

ogni messaggio di questo tipo;

d) Diffidate di soluzioni antivirus che provengono via e-mail.

Un’ altra raccomandazione è quella di effettuate acquisti con carta di credito solo

presso società conosciute e controllate dove il processo di pagamento avviene in una pagina

che inizia con https://. Inoltre, si deve vedere sulla barra di stato, in basso a destra, un

lucchetto giallo chiuso, e un doppio clic del mouse dovrà mostrare tutte le caratteristiche di

sicurezza della pagina e del certificato digitale in essa installato.

Un’altra soluzione molto efficace sarebbe quella di non usare i social network, ma il

grande potenziale che essi offrono spinge a cercare una soluzione alternativa, cercando di

limitare i danni. Uno dei consigli più semplice ed efficaci è quello di pubblicare il meno

possibile, limitare al minimo il numero di foto, mai pubblicare i proprio indirizzi personali:

numero di telefono, e-mail, abitazione ecc. Se si pensa che queste informazioni,

estremamente dettagliate e gratuite, siano inutili è sufficiente considerare la semplice

possibilità di recuperare una password di una e-mail, tramite un qualunque ISP – Internet

Service Provider. La maggior parte dei servizi e-mail sono forniti di un servizio per il

recupero delle password, nel caso in cui l’abbiate dimenticata, che può sfruttare diverse

vostre conoscenze, oppure una domanda di sicurezza.

Queste domande sono molto banali e, spesso, personali; per esempio ci verrà chiesto

di scrivere il nome di un parente – o la sua professione o il suo luogo di nascita –, oppure il

proprio film, libro, programma preferito. Tutte queste informazioni, anche se strettamente

personali, nei singoli profili sono facilmente ottenibili.

Un’ ultima attenzione, inoltre, va dedicata alla tutela dei minori: ormai le giovani

generazioni si avvicinano ai computer sin dalla più tenera età. Ben presto Internet si

trasforma in un prezioso strumento conoscitivo attraverso il quale possono entrare in

contatto con il meraviglioso mondo del virtuale e in casi sempre più frequenti iniziare ad

intrattenere le prime relazioni sociali. Ma parallelamente crescono anche le esperienze

negative dei minori online. Sono tanti, forse troppi, i rischi nei quali incorre, ad esempio, un

frequentatore di chat o un neofita di Facebook, quali: le molestie e i maltrattamenti da parte

dei cosiddetti bulli informatici, la frequentazione di siti ambigui, oppure l’essere adescati da

un pedofilo.

Come proteggere, quindi, i più piccoli da questi rischi? Ecco alcuni suggerimenti.

Innanzitutto tempo e luogo, ovvero non lasciare troppo tempo i bambini a navigare da soli in

rete e soprattutto collocare il computer in un’area della casa facilmente controllabile anche

quando si è di passaggio. Ma determinante è l’utilizzo di tecniche pedagogiche,

dall’insegnamento a non rivelare mai l’identità reale a quello di non accettare mai gli inviti

provenienti da sconosciuti, conosciuti in rete. Fargli capire soprattutto che non divulgare dati

personali è importante per la sicurezza dell’intera famiglia. E anche che dietro delle identità

a volte persuasive possono nascondersi malintenzionati.

Importanti poi sono gli accorgimenti di carattere tecnico. Aggiornare costantemente

antivirus e firewall, controllare periodicamente il contenuto dell’hard disk, impostare la

cronologia in modo da tenere traccia dei siti visitati ed utilizzare software o filtri con

l’elenco dei siti da evitare. Probabilmente però l’aspetto più importante è il controllo

personale e diretto necessario nei confronti dei minori: accompagnarli cercando di stare loro

vicini, senza essere troppo invasivi, e non utilizzare il pc come alibi per abbandonarli a loro

stessi quando non si riesce, o non si vuole, coinvolgerli nelle proprie faccende di adulti.

Conclusioni

4.1 - L’anello debole della catena.

Troppo spesso la sicurezza è solo un’illusione, troppo spesso accompagnata dall’

ingenuità e dall’ignoranza. Se installate una serratura blindata sulla vostra porta di casa vi

sentirete più che al sicuro, ma se il ladro dovesse entrare sfondando la finestra? Allora il

vostro senso di sicurezza crollerebbe immediatamente. Questo perché la sicurezza non è mai

troppa, e mai lo sarà. Il fattore umano è l’anello debole della catena della sicurezza. La

particolarità dell'ingegnere sociale sta nel sapere controllare tale fattore, quello più

vulnerabile, e non è particolarmente sensibile a delle corrette politiche di prevenzione di

attacchi. Per quanto si possa educare, organizzare, classificare i dati della propria azienda,

l'animo umano è portato per sua stessa natura a curiosare e approfondire; ma soprattutto è

influenzato da tutte le emozioni che continuamente ci condizionano. E le emozioni sono

fattori che annebbiano il buon senso e la razionalità; portandoci a fare cose che altrimenti

non si dovrebbero compiere.

L'ingegneria sociale dimostra quanto si è vulnerabili tutti, governo, imprese e

ciascuno di noi individualmente, alle intrusioni degli ingegneri sociali. In questa epoca

attenta alla sicurezza saremo sempre più costretti ad investire enormi somme in strumenti

pensati per proteggere le reti informatiche e i nostri dati.

Bibliografia

Kevin Mitnick, L’arte dell’inganno.

Kevin Mitnick , L’arte dell’hacking.

Giuseppe Dezzani, Mario Leone Piccinini , Social Generation:

Riconoscere e difendersi dalle minacce che popolano i social

network.

Ivan Scalisa, Breve introduzione all’ingegneria sociale.

Sitografia

http://amslaurea.unibo.it/2701/1/melis_andrea_tesi.pdf

http://www.ecos2k.it/allegati/BigData.pdf

http://www.privacy.it/legge1996675.html

Maurizio Carrer, Hackers, Ingegneria sociale e crimini informatici,

disponibile al sito www.nume.it.

http://www.opencrmitalia.com/blog/social-network-tutti-i-dati-del-

2013-iscritti-utenti-attivi-fascia-d-eta-paesi.html

Allegato A – Gli utenti nei social network

Ecco alcuni grafici, realizzati dalla società GlobalWebIndex, sull’utilizzo dei social

network, risalenti alla fine del 2013. Il primo dato – vedi Figura 1a – riguarda la

percentuale di utenti che hanno un account sui social network, in nero, e quanti di questi

sono realmente attivi, in azzurro.

Figura 1a

Nel secondo grafico – vedi Figura 2a – invece possiamo verificare l'aumento di

utenti attivi per ogni singolo social: la crescita maggiore l'ha avuta Instagram, mentre

Facebook ha avuto un calo del 3%.

Figura 2a

Andiamo infine a vedere un dato molto importante, l’ età di utilizzo per ogni singolo

social network – vedi Figura 3a. Come si può notare per tutti i social la fascia d'età 16-34 è

maggioritaria, come prevedibile. Le propensione giovanile è meno accentuata per Linkedin,

proprio per la sua natura di social network professionale.

Figura 3a

Allegato B – Leggi sulla privacy

Tutela delle persone rispetto al trattamento dei dati personali

Art. 1

Finalità e definizioni

La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti,

delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento

alla riservatezza e all'identità personale. Ai fini della presente legge si intende:

a) per -banca di dati- qualsiasi complesso di dati personali, ripartito in una o più unità

dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da

facilitarne il trattamento;

b) per -trattamento- qualunque operazione o complesso di operazioni, svolti con o senza

l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la

registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la

selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione,

la diffusione, la cancellazione e la distruzione di dati;

c) per -dato personale- qualunque informazione relativa a persona fisica, persona giuridica,

ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento

a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

d) per -titolare- la persona fisica, la persona giuridica, la pubblica amministrazione e

qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle

finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della

sicurezza;

e) per -responsabile- la persona fisica, la persona giuridica, la pubblica amministrazione e

qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati

personali;

f) per -interessato- la persona fisica, la persona giuridica, l'ente o l'associazione cui si

riferiscono i dati personali;

g) per -comunicazione- il dare conoscenza dei dati personali a uno o più soggetti determinati

diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o

consultazione;

h) per -diffusione- il dare conoscenza dei dati personali a soggetti indeterminati, in

qualunque forma, anche mediante la loro messa a disposizione o consultazione;

i) per -dato anonimo- il dato che in origine, o a seguito di trattamento, non può essere

associato ad un interessato identificato o identificabile;

l) per -blocco- la conservazione di dati personali con sospensione temporanea di ogni altra

operazione del trattamento.

Art. 2

Ambito di applicazione

La presente legge si applica al trattamento di dati personali da chiunque effettuato nel

territorio dello Stato.

Art. 5

Trattamento di dati svolto senza l’ausilio di mezzi elettronici

Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque

automatizzati è soggetto alla medesima disciplina prevista per il trattamento effettuato con

l'ausilio di tali mezzi.

Art. 11

Consenso

Il trattamento di dati personali da parte di privati o di enti pubblici economici è

ammesso solo con il consenso espresso dell'interessato. Il consenso può riguardare l'intero

trattamento ovvero una o più operazioni dello stesso.