Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
OUTLINE
Concetto di ingegneria sociale Fasi dellattacco
INGEGNERIA SOCIALE
Ing. Ambra Molesini
DEIS 051.20.93541
fisica psicologica
ambra.molesini@unibo.it
DIVERSI ATTORI
Il tema dellhacking oggi molto diffuso e ci fa riflettere sul fatto che i nostri dati non sono poi tanto al sicuro come comunemente pensiamo Spesso per confondiamo la figura dellhacker con quella del cracker, attribuendo ad entrambi il ruolo di pirata informatico un delinquente tecnologicamente evoluto che si arricchisce rubando numeri di carta di credito, codici di accesso per conti correnti online, eludendo o forzando i sistemi di sicurezza La differenza invece rilevante
HACKER
una persona con spiccate capacit tecnico-informatiche, molto intelligente, curiosa, che ama esplorare in profondit e che di solito ama mettere a disposizione di tutti le sue scoperte Un hacker non si accontenta dellutilizzo di un software, ma vuole capirne le logiche di fondo, lo disassembla, evidenzia lacune e difetti, immagina una soluzione migliore e pi efficiente E una persona alla ricerca del software perfetto Spesso lhacker per mettere alla prova le sue capacit e per testare il sistema che ha di fronte ne forza divieti e password, ma non lo fa con lo scopo di delinquere, anzi spesso segnala le lacune proprio al creatore del software, offrendo aiuto nella sistemazione del problema
CRACKER
Cerca di eludere i sistemi di protezione a scopo di lucro, rubare segreti aziendali, carte di credito e quanto altro gli capiti a tiro Sembra paradossale ma quasi sempre gli hackers sono dotati di competenze informatiche superiori ai crackers, che a prima vista pare ne avrebbero pi bisogno Il motivo semplice: i crackers portano a termine le loro azioni criminose utilizzando tecniche molto pi efficaci della pura abilit informatica: la pi importante lingegneria sociale
INGEGNERIA SOCIALE
Si possono investire milioni di dollari per i propri software, per lhardware delle proprie macchine e per dispositivi di sicurezza all'avanguardia, ma se c' anche solo un unico dipendente della nostra azienda che pu essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili Kevin Mitnick
INGEGNERE SOCIALE
Stabilisce unidentit ed un suo ruolo Sviluppa una scusa plausibile per ottenere unimmediata confidenza Stabilisce un obiettivo minimo di risultato tramite le conoscenze acquisite o le sue deduzioni Costruisce il suo rapporto tramite simpatia o altre tattiche per influenzare la vittima Sviluppa possibili risposte per poter superare qualsiasi obiezione Prevede una possibile via duscita per non bruciare lorigine del suo contatto
Come nellhacking, la maggior parte del lavoro nella preparazione, piuttosto che nel tentativo stesso Lingegnere sociale programma lattacco come se fosse una partita a scacchi, anticipando le domande che il bersaglio pu porgli in modo da avere sempre la risposta pronta
STORIA
I primi utilizzatori dellIngegneria sociale furono i phreaker per riuscire a carpire informazioni vitali dalle compagnie telefoniche Phreaking
forma di pirateria che permette di utilizzare la rete telefonica sfruttando i sistemi e i dipendenti dellazienda erogatrice del servizio
LE INFORMAZIONI
Le informazioni memorizzate nei computer sono gestite da operatori umani che molto spesso ignorano le procedure di sicurezza
la priorit di chiunque completare il lavoro in tempo le persone non sono consapevoli fino in fondo del reale valore delle informazioni che circolano in una struttura
ESEMPIO: AEREOPORTO
La sicurezza diventata onnipresente Eppure si rimane sconcertati dai servizi televisivi che mostrano viaggiatori che sono riusciti a superare i controlli con armi potenziali Com possibile? I metal detector non funzionano? No, il problema non sono le macchine Il problema il fattore umano, le persone che gestiscono le macchine
La sicurezza non quindi un problema di tecnologia, bens di persone e gestione che rappresentano lanello debole di questo processo Questa debolezza del processo di sicurezza universale, indipendente dalla piattaforma, dal software, dalla rete o dallet dellattrezzatura
PERCHE LA SE FUNZIONA?
Pi facile di un metodo hacking Non richiede specialisti ICT Ha un costo molto basso Comporta basso rischio Funziona con qualsiasi OS Non richiede collegamento in rete Lascia poche tracce efficace circa al 100% Non diventa obsoleta con il passare del tempo poco conosciuto dalle vittime
ULTERIORE MOTIVO
Gli attacchi degli ingegneri sociali possono avere successo perch tipicamente le persone sono ignare delle buone pratiche di sicurezza Albert Einstein disse: soltanto due cose sono infinite, luniverso e la stupidit umana, e non sono tanto sicuro della prima :)
FASI DELLATTACCO
Fase Fisica
raccolta di informazioni attraverso persone (shoulder surfing) documenti (supporti digitali distrutti, stampe di dati sensibili) luoghi (dumpster diving)
Fase Psicologica
impersonificazione carpire le informazioni utili attraverso la persuasione
STRUMENTI ESSENZIALI
Buona memoria per raccogliere le informazioni Telefoni (fisso, cellulare, pubblico) Fax
Fase Fisica
Scanner Stampanti Server di posta Cooperazione Argomenti e ragioni per giustificare lazione
pi la persona target vicina alle informazioni di cui abbiamo bisogno e pi forti devono essere le argomentazioni
DUMPSTER DIVING
Termine che descrive il setacciamento dellimmondizia del bersaglio in cerca di informazioni di valore Nonostante il mito dellufficio senza carta, si continuano a stampare valanghe di fogli ogni giorno Non solo gli uffici bollette del telefono, resoconti della carta di credito, flaconi di medicinali, saldi della banca, scontrini del bancomat
Esecuzione di un programma malicious (trojan) Attivazione di un piano di phishing Intercettazione (cellulari) Invio di mail contenenti virus e worm Malware: trojan, spyware, dialer, rootkit, Microfono, webcam, tastiere
KEYGHOST
Una societ neozelandese ha creato un dispositivo chiamato KeyGhost che cattura qualsiasi cosa venga digitata sulla tastiera Supporta la cifratura dei dati memorizzati Quello di base che contiene dati non cifrati pu durare 10 giorni (fino circa 97000 tasti premuti) prima che la sua capacit venga riempita
Siti web
uno strategemma comune offrire qualcosa gratis oppure la possibilit di vincere una lotteria
SCAM
tentativo di truffa effettuato in genere inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare si comunica una vincita alla lotteria ma per ritirare il premio si dovr versare una tassa
TRUCCHI FONDAMENTALI
Uso della domanda mina antiuomo
si pone la domanda mina se il bersaglio risponde senza che il tono di voce cambi, significa che questo non scettico possibile quindi porre tranquillamente la domanda cruciale senza insospettirlo e probabilmente questo dar la risposta cercata
INGEGNERIZZARE SE STESSI
Diventare qualcun altro
meglio al telefono
Vestirsi a seconda delloccasione Imparare a parlare in base al proprio ruolo Dire ci che essi vogliono sentirsi dire
imparare il pi possibile sulla persona target
Fase psicologica
Saper mentire
SICUREZZA E FIDUCIA
A prescindere dal metodo adottato il primo obiettivo della SE quello di creare fiducia nella vittima La fiducia nel prossimo fa parte della natura umana, soprattutto quando la richiesta sembra ragionevole A quel punto pu scattare la trappola che pu sfruttare le conoscenze informatiche pi o meno sofisticate dell'aggressore
la sicurezza tutta basata sulla fiducia la fiducia basata sullautenticit e sui livelli di protezione
PEOPLEWARE
Fattore umano dellInformation Technology Lanello debole non la persona in s
la naturale tendenza dellindividuo a credere alla parola dellaltro, presentandosi cos debole e vulnerabile agli attacchi
Comportamenti (naturali, elicitati, forzati) che tutti mettiamo in atto e sui quali lingegnere sociale pu fare leva
SU COSA AGIRE
Lingegnere sociale fa leva sui bisogni primari delluomo per far s che la propria richiesta venga accettata Manipola le persone affinch lattacco abbia successo
BISOGNI PRIMARI
Fisiologici
funzionali al mantenimento psicofisico delluomo: fame, sete, sonno,..
BISOGNI SECONDARI
Cognitivi
conoscere, comprendere, esplorare
Estetici
simmetria, ordine, bellezza
Sicurezza
essere fuori pericolo: stabilit, protezione, dipendenza
Auto-realizzazione
trasformare in realt il potenziale inespresso
Appartenenza
essere affiliati ad altri, accettati
Trascendenza
aiutare gli altri a realizzare il loro potenziale
Stima
ottenere approvazione e riconoscimento
PERSUASIONE
La finalit della persuasione personale non quella di forzare un individuo a fare qualcosa ma quella di aumentare la sua volontaria condiscendenza alle richieste altrui La persona oggetto dellattacco viene semplicemente guidata sul percorso scelto dallattaccante, senza fargli perdere la convinzione di avere il controllo totale della situazione, anzi lasciandogli credere di esercitare il suo libero arbitrio nella scelta di aiutare qualcuno
STRUMENTI DI PERSUASIONE
Gli strumenti principali della persuasione includono
impersonificazione: identificazione del soggetto con il persuasore conformit: conformarsi al giudizio degli altri diffusione di responsabilit: ritengono che lazione riduca le loro responsabilit accattivarsi la fiducia altrui e usare la cortesia
RIASSUMENDO
Gli attacchi di social engineering sfruttano la disponibilit, la buona fede e linsicurezza delle persone per accedere per esempio a dati confidenziali o per indurre le vittime a effettuare determinate operazioni Quando crediamo una cosa perch di solito qualcuno ce lha detta, cio siamo stati influenzati
RIASSUMENDO
Non fidatevi delle persone che dicono di essere tecnici, addetti alla sicurezza, amministratori di sistema e vi chiedono password o altre informazioni importanti senza aver dimostrato la loro posizione Se avete dubbio e non sapete cosa fare, prendetevi il vostro tempo e contattate immediatamente un superiore A volte essere "cattivi" con il prossimo un bene Non dobbiamo sentirci male se abbiamo deciso di rifiutare le richieste di uno sconosciuto che ci aveva pregato di aiutarlo dandogli l'account di un'altra persona Molto probabilmente abbiamo evitato che un attacco di ingegneria sociale potesse avere successo...
PHISHING
Tecnica di ingegneria sociale basata sul principio della supposta autorit che utilizza un messaggio di posta elettronica per acquisire informazioni personali riservate (password, dati finanziari, numero di carta di credito) con la finalit del furto di identit Il sistema si basa sul concetto di mail spoofing:
invio di posta elettronica a nome di terzi ogni volta che spediamo un messaggio di posta elettronica il mittente non viene autenticato dal server di posta elettronica questo si giustifica per lorigine sociale ed accademica della posta elettronica
PHISHING
PHISHING ESEMPIO
PHISHING ESEMPIO
PHISHING: TECNICHE
Mascherare il sito di destinazione (url spoofing) Registrare nomi di dominio di fantasia ma molto simili a quelli originali Utilizzo di finestre di pop-up in cui richiedere i dati personali sul sito originale Sovrapporre una immagine alla barra degli indirizzi del browser Sostituire la barra originale degli indirizzi con una creata ad hoc dallattaccante Offuscare lindirizzo di destinazione con codici esadecimali Scaricare e installate spyware allinsaputa dellutente attaccato
ULR SPOOFING
Internet Explorer 6: Meccanismo con il quale si viene rediretti ad un sito illegittimo mostrando per al visitatore lindirizzo reale Utilizzano il sistema semplice ed efficace di intervallare lindirizzo web con un carattere @ Esempio http://www.microsoft.com@www.sitopirata.it Il risultato che ottengo che il sito appaia quello di Microsoft, in realt esso sia quello che segue il carattere @
RISULTATI
se inserito nel browser direttamente da errore di sintassi non valida se inserito in un file html va tranquillamente al sito che compare dopo la chiocciola senza nessuna indicazione
Firefox 2:
COME DIFENDERSI
Assumere sempre un atteggiamento diffidente su tutti i messaggi che provengono da persone non conosciute Non alimentare le catene che invitano a rispedire il messaggio ad altre persone Banche, Assicurazioni e altri istituti di credito non mandano mai comunicazioni via email che riguardano codici di accesso personale, quindi bene cancellare ogni messaggio di questo tipo Diffidate di soluzioni antivirus che provengono via email
ci ritroveremo con un programma installato nel nostro computer che consente al cracker di controllare tutto il contenuto della nostra macchina da remoto senza che ce ne accorgiamo
COME DIFENDERSI
Effettuate acquisti con carta di credito solo presso societ conosciute e controllate che
il processo di pagamento avvenga in una pagina che inizia con https:// protetta da protocollo a 128 bit: si deve vedere sulla barra di stato in basso un lucchetto giallo chiuso, un doppio clic del mouse dovr mostrare tutte le caratteristiche di sicurezza della pagina e del certificato digitale installato la presenza su questa pagina del logo Verisign, un clic sopra dovr riportare al sito di Verisign Inc. con le informazioni relative al Fully Qualified Domain Name
Utilizzare programmi specifici che consentono di avvisare l'utente quando visita un sito probabilmente non autentico
barra anti-phishing di Netcraft blacklist
Reato continuato: pena non inferiore ai 9 anni se il reato viene perpetuato pi volte (condanna normale X 3)
CONCLUSIONI
LIngegnere sociale riesce nella maggior parte dei casi a far
rivelare informazioni confidenziali propagare malware
Le tecnologie per la sicurezza diventano sempre pi raffinate e hanno sempre meno punti deboli tecnici Gli attaccanti saranno sempre pi propensi a sfruttare lanello debole del processo della sicurezza Lunica soluzione quella di cercare di evitare lingegneria sociale