Siete sicuri che la vostra sicurezza in rete sia solida e inattaccabile? Vi sbagliate di grosso. Ma non lasciatevi convincere dal sensazionalismo di questa frase, non siamo qui per vendervi un antivirus perfetto, bensì per responsabilizzarvi. Per fare questo ci serviremo di un saggio del 2002 nato dalla penna di uno degli hacker più famosi del mondo, Kevin Mitnick. “L’arte dell’inganno” è un vero e proprio vademecum sulla sicurezza informatica che mette in luce il problema principale dei vari sistemi di sicurezza, il fattore umano. Le persone sono l’anello debole della apparentemente solida catena che mettiamo a custodire informazioni e dati preziosi.
In questo libro vengono analizzati gli strumenti utilizzati per eludere anche i più grandi sistemi di sicurezza governativi o di colossi industriali. Se state pensando ad oscure linee di codice o a futuristici apparecchi siete proprio fuori strada. Lo strumento chiave è la parola.
Come affermava il sofista Gorgia nel V secolo a.C.
la parola è un grande e potente signore che con piccolissimo e invisibilissimo corpo porta a compimento le opere più divine: può, infatti, far cessare il terrore, alleviare il dolore, infondere godimento e accrescere la pietà
E di questo ne sono ben consapevoli coloro che vogliono venire a conoscenza delle vostre informazioni. Stiamo parlando di veri e propri ingegneri sociali.
Cos’è l’ingegneria sociale?
L’autore de l’Arte dell’Inganno propone questa definizione: “Ingegneria sociale significa l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli. Di conseguenza l’ingegnere sociale può usare la gente per strapparle informazioni con o senza l’ausilio di strumenti tecnologici”.
Nel libro si parla delle metodologie utilizzate per arginare “l’anello più debole della sicurezza” e della vera e propria arte sviluppata dagli attaccanti di sistemi informatici. Gli autori, Mitnick e William L. Simon, ci forniscono una serie di esempi, reali e non, per dimostrare quanto sia semplice e particolarmente efficace saper convincere gli altri.
Ma come funziona un attacco aziendale secondo Kevin Mitnick
L’ingegnere sociale innanzitutto effettua delle ricerche tra le informazioni pubbliche, come relazioni annuali, commissioni di borsa, opuscoli di marketing, articoli su riviste e giornali, contenuti del sito web e così via.
Una volta ottenute anche delle informazioni interne inizia a sviluppare un rapporto di fiducia con bersagli predefiniti come personale ignaro del valore delle informazioni, ad esempio centralinisti, segretari, custodi, addetti all’accoglienza, oppure servizi di assistenza tecnica generica o informatica, amministratori di sistema, operatori ai computer, amministratori del sistema telefonico e via discorrendo.
Per fare ciò utilizza informazioni interne, si finge un’altra persona, ad esempio un collega o un fornitore, cita delle persone note alla vittima. Per incutere timore si finge una persona dotata di autorità o per suscitare tenerezza si finge un neoassunto alla ricerca di aiuto.
A questo punto strutta la fiducia che ha ottenuto per chiedere informazioni o far compiere azioni alla vittima. In quello che Kevin Mitnick, in L’arte dell’Inganno, definisce “stangata inversa”, l’attaccante convince la vittima a chiedere aiuto allo stesso per problemi molto spesso creati ad hoc.
L’informazione a questo punto è nelle sue mani e se è solo un passo verso la meta finale l’attaccante ricomincia il ciclo appena descritto.
Come proteggersi da L’Arte dell’Inganno?
Il metodo più efficace per proteggersi è dunque una presa di coscienza dei rischi in cui ci si può imbattere e un vero e proprio training sulla sicurezza delle informazioni. Nelle ultime sezioni del libro viene redatto un vademecum per la sicurezza, una base per un corso di formazione aziendale che racchiude tutti i consigli che scaturiscono dalle esperienze dell’autore.
Alla base di tutto vi sono le varie procedure per verificare l’identità delle persone che richiedono informazioni; che sia attraverso una chiamata, contattando un superiore, richiedendo una email con firma digitale oppure domandando al richiedente di presentarsi di persona con tesserino o altro documento d’identità; per poi verificarne il diritto alle informazioni richieste.
La parola chiave della sicurezza, in ambito aziendale e non, è sospetto. Certo, non dovremmo diventare paranoici, ma creare delle password sicure, cambiarle spesso e non rivelarle a nessuno può essere utile. Così come non si darebbero le proprie chiavi di casa ad uno sconosciuto lo stesso dovrebbe avvenire in rete. E per questa consapevolezza può aiutare L’arte dell’Inganno, un libro fortemente consigliato.[vc_message icon_fontawesome=”fa fa-comment” css_animation=”bounceIn”]Ti è piaciuto questo articolo? Facci sapere cosa ne pensi! Lascia un commento qui sotto o scopri ulteriori contenuti cliccando o navigando il nostro Menù. E se ciò non dovesse bastare, considera la possibilità di scrivere un articolo di risposta! Invialo a [email protected] seguendo le istruzioni riportate nella pagina Collabora.[/vc_message]
Ti è piaciuto questo articolo? Dicci cosa ne pensi nei commenti qui sotto o esplora altri contenuti dal nostro menù!
Hai una storia da raccontare o un'opinione da condividere? Mandaci il tuo articolo scrivendoci a [email protected].
Vuoi unirti al nostro team e collaborare con noi? Scopri come candidarti alla pagina dedicata: collabora.
