Tradizionalmente il mondo della sicurezza dei sistemi insiste molto sulle procedure formali di verifica delle vulnerabilità, anche tramite Vulnerability Assesment (VA). Queste procedure sono principalmente tecnologiche. Un sistema informativo non è tuttavia formato solamente dalla componente tecnologica bensì anche da quella “umana”. La “Social Engineering”, come forma di attacco, sta vivendo una seconda giovinezza a causa della crescente incidenza delle minacce informatiche che vanno a colpire quello che ancora oggi è l’anello più debole di un sistema informativo: i suoi utenti.
Le reti di Social Network e i nuovi media per la comunicazione interpersonale (es. chat, IM sia su PC che su terminali mobili) sono canali nuovi, al fianco di quelli classici (voce, mail e fax), che possono essere usati per sferrare attacchi ai danni del personale aziendale e privato, anche i canali più classici come la mail hanno raggiunto livelli di diffusione e standardizzazione tali da permettere di veicolare messaggi complessi (soprattutto nella formattazione grafica). Questo scenario offre possibilità di applicazione nuove, che modificano quelle già sfruttate negli anni passati dagli esperti di social engineering, ma soprattutto rendono il lavoro del social engineer meno “artistico” e meno legato a peculiari doti personali. Per questi motivi la social engineering è una tecnica non più usata da pochi attaccanti esperti, come accadeva in passato. Oggi la SE può essere automatizzata usando sistemi semantici, crawler di informazioni ecc, ma soprattutto è parte integrante della strategia di attacco delle nuove generazioni di malware: oggigiorno quasi il 90% degli attacchi sferrati include strategie avanzate di social engineering [1]. Recenti statistiche riportano i seguenti dati:
Questi elementi raccontano che qualcosa di importante sta accadendo nel modo in cui gli attaccanti conducono le loro operazioni, contro i cittadini o le ditte. Un tipico attacco moderno è quello raccontato dal paper Operation Pawn Storm, recentemente pubblicato dalla Trend Micro.
Quando si parla di social engineering occorre ricordare che dal punto di vista dell’asset informativo protetto, gli utenti sono un tutt’uno con i sistemi che usano o gestiscono e anzi, ne costituiscono spesso la parte più debole. Per citare un noto esperto di sicurezza “The biggest computer security gap usually lies somewhere between the chair and the keyboard. ” —Curmudgeon[2]. Affrontare i temi legati alle vulnerabilità umane, sfruttati tramite le tecniche di social engineering è oggigiorno una delle parole chiave della sicurezza, in particolare dei sistemi informativi che necessitano di un approccio di tipo “ Security-in-Depth” o multi-layering security.
In sintesi un attacco di SE, sia esso compiuto tramite telefono, via email o di persona, si basa su una sequenza di eventi che può essere sinteticamente riassunta in quattro fasi.
Con riferimento alla Figura, le tipiche fasi di un attacco svolto tramite SE sono le seguenti:
Gli schemi solitamente sfruttati sono i seguenti:
Di fatto la SE rappresenta pertanto una forma particolare di “information leaking” dei sistemi informativi.
I sistemi che necessitano di un approccio di tipo “security-in-depth” devono considerare la SE come una possibile minaccia e devono mettere in campo contromisure idonee.
Le “classiche” tecniche di VA spesso non considerando l’aspetto umano, non lo “testano”. Lo scopo delle tecniche di Social Driven VA (SDVA) è quello di sottoporre a verifica questo elemento della sicurezza informatica, con metodologie adatte ed opportune, che pongano gli “utenti al centro”. Questo oggi è possibile in quanto si stanno sviluppando approcci che abilitano lo svolgimento di tali test salvaguardando la fiducia e il rispetto della legge nella relazione tra dipendente e azienda.
Pertanto, da un lato la Social Engineering non è completamente nuova, perché nell’ambito informatico è stata attivamente usata dagli anni ’80 da pionieri come D. Mitnick, ma oggigiorno cosa permette di cambiare lo scenario e parlare di Social Engineering 2.0 sono alcuni fattori nuovi [3]:
Il CEFRIEL fra i primi in Europa, ha sviluppato un servizio in grado di misurare questo rischio tramite una specifica metodologia di vulnerability assessment, che misuri le vulnerabilità delle cosiddette componenti umane di una enterprise. I cosiddetti Social Driven Vulnerability Assessments sono specificamente pensati per testare, in un contesto etico e legale, la componente umana di una azienda.
Come dimostrano le recenti statistiche[4], le amministrazioni pubbliche non sono immuni a questo tipo di minacce, anzi forse sono maggiormente esposte, proprio a causa del fatto che la loro popolazione aziendale è particolarmente eterogenea in quanto a preparazione informatica e cultura della sicurezza informatica.
Recentemente alla conferenza DeepSec il CEFRIEL ha presentato il risultato di circa 5 anni di attività sugli SDVA [5] su un campione totale di circa 15000 persone appartenenti a vari settori industriali. I risultati sono stati particolarmente interessanti, anche dal semplice punto di vista quantitativo, perché hanno a una parte evidenziato quanto raccontato dai whitepaper internazionali ma anche perché offrono uno spaccato dell’impatto di queste minacce nel contesto nazionale: la SE evidenzia una vulnerabilità importante, che, in media con una incidenza del 40%, colpisce praticamente ogni settore industriale. Per maggiori approfondimenti si rimanda alla presentazione svolta alla conferenza DeepSec del 2014: http://www.slideshare.net/CEFRIEL/deepsec-social-driven-vulnerability-assessment a cura di Frumento Enrico e Roberto Puricelli.
[1] Mann G, “forget the horse, this is the year of the F[ph]ish and the RAT”, The Future of Cybersecurity, London, March 2014
[2] Attack by Deception, http://cybercoyote.org/security/deception.shtml
[3] Kaspersky Labs, “Social Engineering, Hacking The Human OS”,https://blog.kaspersky.com/social-engineering-hack…
[4] Ad esempio per il mondo sanitario: http://www.net-security.org/secworld.php?id=18889
[5] “An innovative and comprehensive framework for Social Driven Vulnerability Assessment ”, E.Frumento, R.Puricelli, DeepSec Conference 2014, 18-21 November 2014, Wien (AU) available online at http://goo.gl/cjMYsW
Fonte: Forum PA (www.forumpa.it)