- Home
- Cybersecurity
- I mille volti ambigui del social engineering
I mille volti ambigui del social engineering
#CybersecurityCafé
di Silvia Arezzini - INFN
La problematica del social engineering mi ha sempre molto affascinata, proprio perché caratterizzata da un intreccio imprescindibile tra aspetti tecnici e umani.
Il social engineering riunisce una serie di tecniche rivolte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l’accesso a un computer al fine di installare segretamente software dannosi. Uno dei social engineer più conosciuti, l’ex hacker Kevin Mitnick, nel suo libro, The Art of Deception, descrive proprio le innumerevoli modalità con cui poter truffare le persone dal vivo, via telefono o tramite email.
Per l’informatico, il social engineering può essere un cyberattacco difficile da capire perché, occupandosi di proteggere i perimetri e concepire programmi nella maniera più sicura possibile, di fronte ad un’aggressione di tipo sociale è un pò più preparato degli altri e quindi tende, a torto, a sottovalutarla.
Io non ci casco e invece…
Ad ogni sistemista sarà infatti capitato di commentare almeno una volta nella vita, ad esempio di fronte a un caso di phishing andato a segno: “Ma come è potuto succedere, era così evidente!”.
Purtroppo non lo è, anche perché il cosiddetto “ingegnere” sociale è molto abile nel raccogliere informazioni riservate sulla vittima, informazioni che usa per toccare le sue giuste corde e coinvolgerla emotivamente, anche destabilizzandola se necessario (creando panico, stimolando il desiderio di aiutare o il senso di colpa) e, in una brevissima frazione di tempo, ottenere ciò che vuole. Perché alle volte, infatti, è proprio in un attimo che si gioca il tutto. Quello che è chiaro dall’esterno, non lo è affatto quando la potenziale vittima sta vivendo la situazione “a caldo”.
Con un solo gesto un utente può mettere a repentaglio la sicurezza di un’intera organizzazione
L’importanza della collaborazione e della consapevolezza
La mia esperienza nel campo della privacy, che mi ha permesso di lavorare a stretto contatto con i colleghi che si occupano di aspetti legali, mi ha fatto capire chiaramente una cosa: ciò che è evidente per noi informatici, non lo è per i legali e viceversa. Proprio per questo, lavorare a stretto contatto è sempre necessario. Credo che, per affrontare nel migliore dei modi il problema del social engineering, occorra seguire la stessa logica, creando dei gruppi di lavoro misti, dove ci sia una contaminazione continua di professionalità, in particolare tra chi si occupa di informatica e chi si occupa di scienza del comportamento.
La stessa formazione dovrebbe andare in questa direzione. All’interno delle aziende, i corsi di formazione dovrebbero infatti prevedere la stretta collaborazione tra informatici e scienziati del comportamento, in modo da aiutare tutti a raggiungere la consapevolezza che, dietro gli strumenti informatici, si nasconde un grande rischio, oltre che un’opportunità. La consapevolezza aiuta a reagire un po’ meglio a quello che può essere un attacco subdolo, in cui si può cascare con relativa facilità, generando danni anche consistenti. Con un solo gesto infatti un utente può mettere a repentaglio la sicurezza di un’intera organizzazione, seppur dotata di un’infrastruttura sicura e ben studiata, con implicazioni di vario tipo, dato che il phishing spesso finisce con un attacco di spam e si porta dietro conseguenze per tutti nelle settimane successive.
Anche condividere è importante
Nel caso in cui si verifichino degli incidenti in un’organizzazione, credo che sia molto importante condividerli, soprattutto nei corsi di formazione, anonimizzando la vittima e raccontando il caso nel dettaglio per far capire che si tratta di una cosa che è davvero successa, far sentire tutti partecipi al problema e generare un’attenzione più diffusa.
Non solo privacy “by default and design”. Il ruolo del singolo
Dove non c’è security non c’è privacy, ma se manca la privacy la sicurezza è messa in serio pericolo: si tratta di 2 facce della stessa medaglia.
Come dice il GDPR, è fondamentale che ci sia privacy “by default e by design”, ovvero già nell’infrastruttura ci deve essere il seme della sicurezza, che può arginare di molto il pericolo dell’attacco. Una buona infrastruttura che protegge gli utenti usa ad esempio doppi sistemi di autenticazione, che è un po’ quello che fanno le banche, ovvero una one time password combinata con la password standard, come anche sistemi di autorizzazioni e privilegi in base al proprio ruolo, in modo che i dipendenti lavorino in ambienti circoscritti e la possibilità che le problematiche possano scalare si abbassi considerevolmente. Tuttavia, una buona infrastruttura di autenticazione e autorizzazione non basta.
Occhi indiscreti sulla nostra identità digitale
Una delle cose tipiche che fa l’ingegnere sociale è infatti quella di raccogliere le informazioni e di collegarle tra di loro, ma spesso siamo noi che diamo le informazioni, direttamente o indirettamente, anche a casa, sui social, non prestando attenzione alla protezione della nostra identità digitale. Se le informazioni sono raccolte e correttamente correlate, assumono dei significati importanti e possono rivelare concetti chiave per un accesso fraudolento. Condividere le proprie informazioni può essere pericoloso e causare danni a tutto l’ecosistema in cui lavoriamo. D’altra parte, se il proprio ente rimane vittima di una frode di tipo informatico, è possibile che si verifichi undata breach e molti dei dati personali fuoriescano, con ripercussioni anche gravi sui singoli. Ecco che emerge chiaramente come sicurezza e privacy siano legate a doppio filo. Ci troviamo, dunque, dinanzi ad una questione molto complessa che può avere conseguenze importanti nella vita di tutti noi.
Mi piacerebbe a questo proposito concludere con una riflessione che è anche un pò un monito. Il social engineering ha davvero mille sfaccettature, alcune delle quali molto ambigue, quindi credo che l’arma più potente che abbiamo per non dargli vita facile è partire dalla consapevolezza che il problema non riguarda solo e sempre “l’altro” ma che, in qualunque momento della nostra vita, potremmo trovarci inaspettatamente, senza davvero alcun preavviso, a doverci fare i conti. Quindi la mia raccomandazione per tutti è : “Stay alert, stay safe!”.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - inverno 2020Editoriale
-
Deep learning nella cura dei tumori: l’algoritmo che impara a farci star megliocaffè scientifico
-
Malattie cardiovascolari: controllare i fattori di rischio da oggi si puòcaffè scientifico
-
ICDI per la gestione dei dati clinicicaffè scientifico
-
Accesso aperto per far crescere la ricerca sanitariacaffè scientifico
-
Identità digitale: avanti tuttaservizi alla comunità
-
Trent’anni da nocchieriservizi alla comunità
-
Sinergia nelle scelte strategiche per una scuola al top!la voce della comunità
-
Dove poggiano le nuvolela voce della comunità
-
Terabit Network: in arrivo la nuova generazione di reteosservatorio della rete
-
LHC: risorse di calcolo miste per le sfide del futuroosservatorio della rete
-
Nella tana del Bianconiglio con le lambda alieneosservatorio della rete
-
In zero we trust!cybersecurity
-
Come verificare la sicurezza di una connessione HTTPScybersecurity
-
I mille volti ambigui del social engineeringcybersecurity
-
Ultra affidabilità con la GARR Kubernetes cluster federationla nuvola della ricerca e istruzione
-
Dentro KubeFedla nuvola della ricerca e istruzione
-
Il modello di servizi cloud all’Università di Milano-Bicoccala nuvola della ricerca e istruzione
-
Dalle stelle alle profondità marine con l’Open Sciencela nuvola della ricerca e istruzione
-
L’Europa punta sul cloud della ricercainternazionale
-
Horizon 2020: ultimo migliointernazionale
-
Verso le città del futuro, tra tecnologie smart e caos creativoieri, oggi, domani
-
Monitoring della rete: nuova versione per la suite GARRpillole di rete
-
Un’italiana in prima linea per l’open science in Europapillole di rete
-
EERAdata, punto di ingresso ai dati nel settore energia per la ricerca in Europala voce della comunità
-
Almanacco, dieci e vent’anni…la voce della comunità
-
L’INGV inaugura il Portale Dati Apertila voce della comunità
-
Caccia al tesoro astronomicala voce della comunità
Articoli nella rubrica
-
di Michele Petito
-
di Silvia Arezzini
-
di Simona Venuti
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009