1

INGEGNERIA SOCIALE

Seminario 28.11.2012

La tutela dei dati Strategici aziendali

2

Alessandro Petracca

Business Process Analyst

CEREMIT srl

28.11.2012

3

DAVE

Video Introduttivo

4

Ingegneria SocialeKevin Mitnick

Thinking

Si possono investire milioni di dollari per software, per l'hardware e per dispositivi di sicurezza all'avanguardia, ma se c'è anche un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti soldi investiti saranno stati inutili.

Kevin Mitnick

www.CONFIDACE.it

5

Sicurezza ed Organizzazione

I deficit organizzativi sono la base del basso standard di sicurezza aziendale.

●Mancanza di personale qualificato

●Insufficiente e non specifico training per gli amministratori di sistema e di reti

●Inesistenza o insufficienza di istruzioni e responsabilità sulla sicurezza - Security Policy

www.CONFIDACE.it

6

Sicurezza cos'è?

La sicurezza non è un prodotto, ma un processo.

Solo la precisa conoscenza di tutto il processo di generazione dell' informazione rilevante, può garantire una corretta implementazione del processo di sicurezza.

www.CONFIDACE.it

7

Sicurezza come illusione

●Le informazioni rubate restano comunque in possesso di chi le detiene

●Le informazioni sono gestite da operatori umani che spesso ignorano le procedure di sicurezza

●La debolezza del processo di sicurezza è universale e indipendente dalla piattaforma, dal software, dalla rete o dall'età dell'attrezzatura

8

Le Iene

Video

9

E' un metodo per ottenere l'accesso alle reti e ai sistemi protetti attraverso l'inganno del personale o degli amministratori di sistema.

Una manipolazione della naturale tendenza alla fiducia dell'essere umano, architettata con l'obiettivo di ottenere libero accesso a

informazioni di valore.

www.CONFIDACE.it

Ingegneria Socialecos'è?

10

Ingegneria Socialecos'è?

Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel

comportamento, la propria vittima al fine di raggiungerne l'obiettivo prefissato

Capacità di Influenzare una persona con l'obiettivo finale di farle rivelare informazioni confidenziali o di farla agire in modo da consentire l'accesso o l'uso

non autorizzato di sistemi, reti o informazioni

11

Ingegneria SocialePerchè funziona?

●È più facile di un hacking●Non richiede specialisti informatici●Costi e rischi bassi●Funziona con qualsiasi sistema operativo e dotazione software●Non richiede collegamento in rete●Lascia poche tracce●Efficacia legata alle interazioni sociali●Obsolescenza molto lunga●Poco conosciuta

www.CONFIDACE.it

12

Ingegneria SocialeAttacchi

Attacchi fisici (Raccolta informazioni)●Persone●Documenti●Luoghi

Attacchi tecnologici

Attacchi psicologici●Impersonificazione●Persuasione

www.CONFIDACE.it

13

Ingegneria SocialeFootPrint

Raccolta e studio delle informazioni sul sistema da colpire attraverso la conoscenza de:●I sistemi di comunicazione aziendale●La posta interna●l'organigramma aziendale●Giorni e orari di pulizia ●Frequentazione degli uffici (consegna di buste, caffè, acqua, pubblicità, depliant)

14

Ingegneria SocialeFootPrint

●Dialogo con gli addetti della sicurezza, segretarie, webmaster, sistemisti

●Finzione di essere un utente inesperto che ha smarrito una password;

●Invio di un'offerta di un nuovo firewall per aumentare il sistema di sicurezza

www.CONFIDACE.it

15

Ingegneria SocialeAttacco Fisico

Requisiti attitudinali●Buona memoria e conoscenza schemi cognitivi●Cooperazione●Argomenti e ragioni per giustificare l'azione

Requisiti Fisici●Telefono - Fax●Scanner - Stampanti●Server (posta, anonimizzazione)

www.CONFIDACE.it

16

Ingegneria SocialeAttacco Fisico

Obiettivi: Password – Server - Help desk

Le modalità di attacco

●richieste dirette di informazione●truffe telefoniche●rovistare nella carta straccia ●rovistare negli hard disk dismessi ●falsi sondaggi●sbirciare alle spalle

17

Ingegneria SocialeDumpster Diving

Setacciamento dell' immondizia aziendale e privata:

●Bollette telefoniche●Resoconti carte di credito●Flaconi di medicinali●Saldi della banca●Scontrini del Bancomat●Bozze documentali●Copie errate

www.CONFIDACE.it

18

Ingegneria SocialeAttacchi

tecnologici

●Esecuzione di un programma malevolo●Attivazione di un piano di phising●Intercettazione dati digitali●Invio di e-mail contenenti virus o worm●Malware: trojan, spyware, dialer, rootkit●Attivazione controllo microfono e webcam●Controllo digitazione tastiera●Finestra di pop up●Spam●Siti Web●P2P●Attacchi diretti sistema●SCAM (truffa con anticipo della somma)

www.CONFIDACE.it

19

Esplorazione dei dati personali

Log files

L'obiettivo dell' uso di questi automatismi è quello di consentire una facile rivisitazione dei pagine web o la continuazione di un lavoro dopo una pausa.

Il rischio per la sicurezza: se un attaccante accede a questi file può esplorare tutte le informazioni personali e le preferenze dell' utente ( interessi, hobbies, intenzioni di acquisto, cancellazioni di riunioni etc)

www.CONFIDACE.it

20

Esplorazione dei dati personali

History files

Salvano tutti gli indirizzi (url) visitati durante gli ultimi giorni, con durate temporali diverse a seconda dei web browser.

Rischio Sicurezza: l' attaccante conosce esattamente tutto ciò che viene visitato avendo maggiori possibilità di avere informazioni sull' utente.

www.CONFIDACE.it

21

Esplorazione dei dati personali

Bookmark files

I browser danno agli utenti la possibilità di creare delle tabelle personalizzate di siti internet.

Rischio Sicurezza: i bookmark file contengono importanti informazioni personali sull' utente, ad esempio la conoscenza dell' attore preferito o della band musicale potrebbero essere di aiuto per scoprire la password.

www.CONFIDACE.it

22

Esplorazione dei dati personali

Cache

Contiene pagine complete che sono state visitate nelle ultime ore o giorni.La cache offre vantaggi in termini di performance e di costi se una pagina già visitata viene richiamata dall'utente: la pagina non viene ricaricata dal web ma solamente dalla cache.

Rischio Sicurezza: molti dati di interesse per un attaccante possono essere ricostruiti dalla cache: username, password, numeri di carta di credito, dati di accesso.

www.CONFIDACE.it

23

Esplorazione dei dati personali

Cookie file

I cookie servono a memorizzare informazioni sui webserver visitati. Con i propri cookies i webserver possono identificare l 'utente determinando a cosa gli interessi o quali informazioni hanno già fornito.

Rischio Sicurezza: i cookies per le loro attività devono essere leggibili e scrivibili dai webserver; questa caratteristica li rendono estremamente pericolosi perchè possono essere modificati e consultati a piacere da un attaccante.

www.CONFIDACE.it

24

Ingegneria SocialeAttacchi

Psicologico

La persona viene guidata lungo il percorso scelto dall'attaccante, nella convinzione di avere il controllo totale della situazione e credendo di esercitare il libero arbitrio nella scelta di aiutare qualcuno

Motivazioni sottostanti:

●La sicurezza è basata sulla fiducia; e la fiducia è basata sull'autenticità e sui livelli di protezione.

●Osservazione del comportamento delle persone, del loro pensiero e delle loro modalità di espressione.

www.CONFIDACE.it

25

Approcci diIngegneria Sociale

●Fingersi una persona dotata di autorità●Fingersi un collega di una sede distaccata●Fingersi un dipendente di un fornitore, di una ditta consociata o un tutore dell' ordine●Fingersi un fornitore di sistemi informatici che telefona per un aggiornamento software●Offrire aiuto in caso di problemi, poi fare in modo che il problema di presenti realmente, convincendo la vittima a chiedere aiuto (reverse engineering)●Inviare via posta elettronica programmi o aggiornamenti gratis che l'utente deve installare

www.CONFIDACE.it

26

Approcci diIngegneria Sociale

www.CONFIDACE.it

●Chiedere trasferimento di un file in un altro luogo che sembri interno all'azienda●Ottenere e impostare una casella vocale per eventuale telefonata di controllo affinché l'attaccante sembri un appartenente all'azienda

27

Approcci diIngegneria Sociale

●Usare una falsa finestra pop up per chiedere all' utente di connettersi di nuovo o di registrarsi con password●Lasciare cd o usb contenente software nocivo in giro per uffici●Usare gergo e terminologia di chi è addentro per non destrare sospetti●Offrire un premio a chi si registra ad un sito web con username e password●Fingere di essere un dipendente di un' altra sede dell' azienda e chiedere accesso in loco al servizio di posta elettronica●Lasciare un documento o un file nella posta interna aziendale●Modificare l'intestazione fax ●Chiedere al banco accoglienza di ricevere e inoltrare un fax

Tratto da psicologia contemporanea maggio giugno 2004

28

SUGO RAI 4

Video

29

Ingegneria Socialecome evitarla?

L'accesso all'informazione deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati

Educare e rendere consapevole che tratta le informazioni sensibili

30

Ingegneria Socialecome evitarla?

Attività di sicurezza:

●Individuazione sconosciuti●Distruzione materiale cartaceo●Cancellazione definitiva dei supporti informatici●Chiusura uffici e cassettiere●Tenere in ordine la scrivania●Non inviare password e account via e-mail●Controllare sempre che il sito che si sta visitando sia originale●Randomizzazione abitudini

31

Prevenzione Attacchi

●Educazione del personale aziendale●Cultura della sicurezza e di diffidenza informativa●Classificazione delle informazioni e della documentazione●(es. confidenziali – personali – interne -pubbliche)●Attenzione nell' uso di informazioni interne: nomi dipendenti, organigramma, codici uffici, procedure di accesso remoto;●Indirizzi web generici: vendite@nomeazienda no paolo.rossi@nomeazienda●No @ nelle poste elettroniche dei siti●Controllare e richiamare il numero di utenti non conosciuti●Badge colorati e con foto sempre in vista●Nuovi assunti: training sulle procedure di sicurezza prima dell' accesso a strutture informatiche

Tratto da psicologia contemporanea maggio giugno 2004

32

Prevenzione Attacchi

●Eseguire penetration test da società specializzate

●Riportare tutti i casi di intromissione verificata o sospettata

www.CONFIDACE.it

33

Grazie per l'attenzione

Alessandro Petraccaalessandro@ceremit.it

Skype: dott2alessandropetraccaGtalk: Alessandrovi193@gmail.com