{"id":628,"date":"2014-02-05T18:53:48","date_gmt":"2014-02-05T17:53:48","guid":{"rendered":"http:\/\/under12oot.noblogs.org\/?p=628"},"modified":"2014-02-05T20:08:45","modified_gmt":"2014-02-05T19:08:45","slug":"ingegneria-sociale-il-fattore-umano","status":"publish","type":"post","link":"https:\/\/under12oot.noblogs.org\/?p=628","title":{"rendered":"Ingegneria sociale: il Fattore Umano!"},"content":{"rendered":"

\"social_engineering\"<\/a>La <\/span><\/span>cyber security<\/span><\/span><\/em> \u00e8 un problema costante per il mondo intero, <\/span><\/span>intruders<\/span><\/span><\/em> attaccano grandi corporazioni e societ\u00e0 con l’intenzione di accedere a risorse private e di dominio non pubblico. Un report della <\/span><\/span>“CSI Computer Crime and Security Survey”<\/span><\/span><\/em> ha dichiarato che nell’anno 2010-2011 almeno la met\u00e0 degli intervistati ha sperimentato un incidente informatico, e il <\/span><\/span>45,6 % di loro<\/span><\/span><\/em> \u00e8 stata vittima di un <\/span><\/span>attacco informatico mirato<\/span><\/span><\/em>.
\nSe si affronta il problema solamente dal punto di vista tecnico, ignorando il livello fisico-sociale degli eventi, non si potr\u00e0 mai risolvere la situazione al 100%.<\/span><\/span><\/p>\n

Scene prese dai film come <\/span><\/span>“hackers”<\/span><\/span><\/em> in cui si vedono i ragazzi in una azione di “<\/span><\/span>dumpster diving”<\/span><\/span><\/em> alla ricerca di informazioni finanziarie stampate e cestinate, oppure in “<\/span><\/span>war game<\/span><\/span><\/em>” dove<\/span><\/span> Matt Broderick<\/span><\/span><\/em> studia attentamente il suo target prima di provare il crack delle password dei sistemi militari, ci mostrano che L’ingegneria<\/span><\/span> sociale<\/span><\/span><\/em> \u00e8 una minaccia <\/span><\/span>sottovalutata<\/span><\/span><\/em> dalla maggior parte delle organizzazioni, ma pu\u00f2 essere facilmente exploitata in quanto entra in gioco la <\/span><\/span>psicologia umana<\/span><\/span><\/em> piuttosto che le <\/span><\/span>barricate tecnologiche<\/span><\/span><\/em> che circondano l’intero sistema.<\/span><\/span><\/p>\n

Qui un esempio “classico”:<\/span><\/span><\/p>\n

“una persona riceve una e-mail nella propria casella di posta dove si dichiara che il proprio computer \u00e8 stato infettato da un virus. Il messaggio fornisce un link da cui scaricare un tool per la rimozione del malware. La persona evidentemente confusa clicca sul link e scarica il tool, inconsapevole del fatto di aver garantito un accesso ad un attaccante.”<\/span><\/span><\/em><\/p>\n

\"security3\"<\/a><\/span><\/span><\/p>\n

Per garantire la sicurezza di una organizzazione dai <\/span><\/span>fattori interni ed esterni<\/span><\/span><\/em>, il consulente della sicurezza deve conoscere completamente il <\/span><\/span>ciclo di un attacco di ingegneria sociale<\/span><\/span><\/em>, come le tecniche comunemente utilizzate da un attaccante e le <\/span><\/span>relative contromisure<\/span><\/span><\/em> da adottare in caso di attacco per ridurne la buona riuscita dello stesso.<\/span><\/span><\/p>\n

 <\/p>\n

 <\/p>\n

Definizione di Ingegneria Sociale:<\/span><\/span><\/strong><\/p>\n

Il significato di ingegneria sociale pu\u00f2 essere definito in vari modi, wikipedia inglese la definisce come <\/span><\/span>“… l’arte di manipolare le persone in modo che compiano azioni oppure che forniscano informazioni confidenziali.”\u00a0 <\/span><\/span><\/em>Mentre la versione italiana<\/a> “…\u00e8 lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.”<\/em>
\n<\/span><\/span><\/p>\n

Altri autori forniscono altre definizioni <\/span><\/span>“un hacker usa trucchi psicologici su utenti legittimi di un sistema, in modo da ottenere informazioni che gli consentano di guadagnare l’accesso a tali sistemi” “La pratica di aggirare qualcuno, sia di persona usando un telefono, o un computer, con l’espressa intenzione di irrompere in qualunque livello di sicurezza sia personale che professionale” “L’ingegneria sociale \u00e8 un tipo di attacco non tecnico, basato particolarmente sull’interazione umana che spesso inganna il bersaglio inducendolo a superare le normali procedure di sicurezza” “un attaccante usa skills sociali e interazione umana per acquisire informazioni su una organizzazione o sui suoi sistemi”. <\/span><\/span><\/em><\/p>\n

In realt\u00e0 l’I.S \u00e8 tutte quante queste definizioni. Noi possiamo definirla come la<\/span><\/span> manipolazione della caratteristica tendenza umana a fidarsi e di rilasciare informazioni sensibili per acquisire l’accesso ad un sistema da parte di un hacker.\u00a0L’ingegneria<\/span><\/span><\/em> sociale non prevede particolari competenze informatiche, chiede per\u00f2 una grande dimestichezza <\/span><\/span>nell’uso del linguaggio<\/span><\/span><\/em> e particolare attenzione all’ <\/span><\/span>interazione umana<\/span><\/span><\/em>. Un hacker che spende moltissime ore nel tentativo di<\/span><\/span> rompere<\/span><\/span><\/em> una password, pu\u00f2 risparmiare un sacco di tempo chiamando l’impiegato di una organizzazione, spacciarsi per un <\/span><\/span>helpdesk<\/span><\/span><\/em> o un <\/span><\/span>impiegato IT<\/span><\/span><\/em>, e <\/span><\/span>chiederla direttamente a lui\/lei<\/span><\/span><\/em>.<\/span><\/span><\/p>\n

<\/h3>\n

<\/h3>\n

<\/h3>\n

\"iStock_000009353255XSmall2-250x165\"<\/a><\/span><\/span><\/h3>\n

Ciclo di vita dell’I.S.<\/span><\/span><\/strong><\/h3>\n

Ogni attacco di I.S \u00e8 unico, ma con una piccola comprensione della situazione incontrata possiamo facilmente definire un ciclo di tutte le attivit\u00e0 che un progetto di I.S attraversa nel corso del suo svolgimento. Possiamo rappresentare un ciclo di vita dell’I.S. in 4 grandi fasi:<\/span><\/span><\/p>\n

FOOTPRINTING<\/span><\/span><\/p>\n

STABILIRE CONTATTO<\/span><\/span><\/p>\n

MANIPOLAZIONE PSICOLOGICA<\/span><\/span><\/p>\n

USCITA<\/span><\/span><\/p>\n

1) Footprinting: <\/span><\/span><\/strong>\u00e8 una tecnica utilizzata per raccogliere informazioni sul target e <\/span><\/span>“l’ambiente”<\/span><\/span><\/em> circostante. Il footprinting pu\u00f2 rivelare <\/span><\/span>gli individui<\/span><\/span><\/em> del target con cui un attaccante dovr\u00e0 cercare di s<\/span><\/span>tabilire un rapporto\/relazione<\/span><\/span><\/em>, in modo da aumentare le possibilit\u00e0 di riuscita dell’attacco. La raccolta di informazioni durante la fase di Footprinting include ma non si limita a:<\/span><\/span><\/p>\n