Social Engineering

Il Social Engineering viene anche definito arte dell’inganno (“The Art of Deception”, Kevin Mitnick), è oggi la tecnica più usata per violare la sicurezza informatica.

L’avvento e la fenomenale evoluzione di firewall, IDS ed una miriade di altri software e appliance di sicurezza ha reso ormai molto difficili da sfruttare anche quei pochi exploit che di tanto in tanto i tecnici scoprono. Controllare il lato umano della sicurezza è diventato il metodo più usato per violare tutti gli strumenti e le politiche di sicurezza adottate.

Un esempio tipico di Social Engineering è il virus Xombe (febbraio 2004) che si auto-inviava agli utenti all’interno di una e-mail che sembrava provenire dal customer-care di Microsoft. Nella mail si raccomandava all’utente di installare un update di sicurezza che era stato rilasciato da Microsoft successivamente al service pack 1 di windows XP. Si raccomandava persino di installare il service pack 1 nel caso non fosse stato installato prima e poi eseguire l’update. Il tutto previa disattivazione del proprio antivirus. All’avvio dell’installazione il virus esponeva all’utente un messaggio abbastanza tipico:

Please close these running programs before performing this update:

      • Internet Explorer
      • Microsoft Word
      • Antivirus

L’utente ubbidiente chiudeva tutte le finestre di IE, di Word e disabilitava l’antivirus per poter installare questa “patch di sicurezza” nel suo sistema. Risultato: 55 milioni di PC infetti in meno di 8 ore.

Così come i social engineers tentano di ingannare il proprio bersaglio usando il telefono, o incontrandolo di persona, anche tramite e-mail la loro azione si fa pesante sfruttando la facilità con cui è possibile inviare un messaggio di posta elettronica fingendosi qualcun altro.

Infatti un altro esempio generico e su larga scala (quindi immediatamente identificato) è quello del virus Swen: una e-mail che sembrava provenire dall’assistenza tecnica di Microsoft e che invitava ad installare immediatamente un supposto “security update”. L’installazione di questo “security update” ovviamente dava il via all’infezione del PC.

Una e-mail del genere non avrebbe mai ingannato un serio e preparato amministratore di sistema e questo è stato un altro disastro perché ha portato i sysadmin a sottovalutare la minaccia pensando ad un "tentativo" che non avrebbe mai ingannato nessuno.

Il punto è proprio questo: non avrebbe forse mai ingannato loro stessi, ma la mail, che arrivò anche a persone "comuni" (cioè non preparate tecnicamente a scorgere queste situazioni), raggiunse il suo scopo. Il risultato è sotto gli occhi di tutti: i danni provocati da Swen sono stati ingentissimi.

La natura ci insegna a stare vigili: i carnivori quanto cacciano attaccano il più forte oppure vanno a cercare ed attaccare proprio gli esemplari più deboli, i cuccioli, i vecchi, i malati? Il social engineer starà più lontano possibile dai soggetti pericolosi, quelli che potrebbero riconoscere la sua azione.

Identificano ed usano come bersaglio delle loro azioni coloro che non lavorano in ambito di informatica, coloro che, ad esempio, sono subito pronti a credere che una e-mail che vedono arrivare dall’amministratore delegato sia veramente stata scritta dall’amministratore delegato.

Fonte: Appunti del corso universitario: "Sistemi Operativi Sicuri", Paolo Bettini