#CybersecurityCafé

di Silvia Arezzini - INFN

La problematica del social engineering mi ha sempre molto affascinata, proprio perché caratterizzata da un intreccio imprescindibile tra aspetti tecnici e umani.

Silvia Arezzini lavora come sistemista e project manager presso il Centro di Calcolo dell'INFN.

Il social engineering riunisce una serie di tecniche rivolte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l’accesso a un computer al fine di installare segretamente software dannosi. Uno dei social engineer più conosciuti, l’ex hacker Kevin Mitnick, nel suo libro, The Art of Deception, descrive proprio le innumerevoli modalità con cui poter truffare le persone dal vivo, via telefono o tramite email.

Per l’informatico, il social engineering può essere un cyberattacco difficile da capire perché, occupandosi di proteggere i perimetri e concepire programmi nella maniera più sicura possibile, di fronte ad un’aggressione di tipo sociale è un pò più preparato degli altri e quindi tende, a torto, a sottovalutarla.

Io non ci casco e invece…

Ad ogni sistemista sarà infatti capitato di commentare almeno una volta nella vita, ad esempio di fronte a un caso di phishing andato a segno: “Ma come è potuto succedere, era così evidente!”.

Purtroppo non lo è, anche perché il cosiddetto “ingegnere” sociale è molto abile nel raccogliere informazioni riservate sulla vittima, informazioni che usa per toccare le sue giuste corde e coinvolgerla emotivamente, anche destabilizzandola se necessario (creando panico, stimolando il desiderio di aiutare o il senso di colpa) e, in una brevissima frazione di tempo, ottenere ciò che vuole. Perché alle volte, infatti, è proprio in un attimo che si gioca il tutto. Quello che è chiaro dall’esterno, non lo è affatto quando la potenziale vittima sta vivendo la situazione “a caldo”.

L’importanza della collaborazione e della consapevolezza

La mia esperienza nel campo della privacy, che mi ha permesso di lavorare a stretto contatto con i colleghi che si occupano di aspetti legali, mi ha fatto capire chiaramente una cosa: ciò che è evidente per noi informatici, non lo è per i legali e viceversa. Proprio per questo, lavorare a stretto contatto è sempre necessario. Credo che, per affrontare nel migliore dei modi il problema del social engineering, occorra seguire la stessa logica, creando dei gruppi di lavoro misti, dove ci sia una contaminazione continua di professionalità, in particolare tra chi si occupa di informatica e chi si occupa di scienza del comportamento.

La stessa formazione dovrebbe andare in questa direzione. All’interno delle aziende, i corsi di formazione dovrebbero infatti prevedere la stretta collaborazione tra informatici e scienziati del comportamento, in modo da aiutare tutti a raggiungere la consapevolezza che, dietro gli strumenti informatici, si nasconde un grande rischio, oltre che un’opportunità. La consapevolezza aiuta a reagire un po’ meglio a quello che può essere un attacco subdolo, in cui si può cascare con relativa facilità, generando danni anche consistenti. Con un solo gesto infatti un utente può mettere a repentaglio la sicurezza di un’intera organizzazione, seppur dotata di un’infrastruttura sicura e ben studiata, con implicazioni di vario tipo, dato che il phishing spesso finisce con un attacco di spam e si porta dietro conseguenze per tutti nelle settimane successive.

Anche condividere è importante

Nel caso in cui si verifichino degli incidenti in un’organizzazione, credo che sia molto importante condividerli, soprattutto nei corsi di formazione, anonimizzando la vittima e raccontando il caso nel dettaglio per far capire che si tratta di una cosa che è davvero successa, far sentire tutti partecipi al problema e generare un’attenzione più diffusa.

Non solo privacy “by default and design”. Il ruolo del singolo

Dove non c’è security non c’è privacy, ma se manca la privacy la sicurezza è messa in serio pericolo: si tratta di 2 facce della stessa medaglia.

Come dice il GDPR, è fondamentale che ci sia privacy “by default e by design”, ovvero già nell’infrastruttura ci deve essere il seme della sicurezza, che può arginare di molto il pericolo dell’attacco. Una buona infrastruttura che protegge gli utenti usa ad esempio doppi sistemi di autenticazione, che è un po’ quello che fanno le banche, ovvero una one time password combinata con la password standard, come anche sistemi di autorizzazioni e privilegi in base al proprio ruolo, in modo che i dipendenti lavorino in ambienti circoscritti e la possibilità che le problematiche possano scalare si abbassi considerevolmente. Tuttavia, una buona infrastruttura di autenticazione e autorizzazione non basta.

Occhi indiscreti sulla nostra identità digitale

Una delle cose tipiche che fa l’ingegnere sociale è infatti quella di raccogliere le informazioni e di collegarle tra di loro, ma spesso siamo noi che diamo le informazioni, direttamente o indirettamente, anche a casa, sui social, non prestando attenzione alla protezione della nostra identità digitale. Se le informazioni sono raccolte e correttamente correlate, assumono dei significati importanti e possono rivelare concetti chiave per un accesso fraudolento. Condividere le proprie informazioni può essere pericoloso e causare danni a tutto l’ecosistema in cui lavoriamo. D’altra parte, se il proprio ente rimane vittima di una frode di tipo informatico, è possibile che si verifichi undata breach e molti dei dati personali fuoriescano, con ripercussioni anche gravi sui singoli. Ecco che emerge chiaramente come sicurezza e privacy siano legate a doppio filo. Ci troviamo, dunque, dinanzi ad una questione molto complessa che può avere conseguenze importanti nella vita di tutti noi.

Mi piacerebbe a questo proposito concludere con una riflessione che è anche un pò un monito. Il social engineering ha davvero mille sfaccettature, alcune delle quali molto ambigue, quindi credo che l’arma più potente che abbiamo per non dargli vita facile è partire dalla consapevolezza che il problema non riguarda solo e sempre “l’altro” ma che, in qualunque momento della nostra vita, potremmo trovarci inaspettatamente, senza davvero alcun preavviso, a doverci fare i conti. Quindi la mia raccomandazione per tutti è : “Stay alert, stay safe!”.