>

Quando ve ne siete accorti era gia' troppo tardi....
Non illudetevi che queste semplici regole vi rendano assolutamente invulnerabili: tanto per cominciare, coprono principalmente la navigazione in Internet, che oggigiorno è la fonte principale di attacchi informatici. Inoltre la sicurezza assoluta è una chimera. Un aggressore deciso ed esperto, che prenda di mira specificamente voi, è in grado di aggirare queste precauzioni basilari e probabilmente è in grado di aggirare qualsiasi precauzione, ricorrendo anche a tecniche non strettamente informatiche (corruzione, pedinamento, infiltrazione nell'organizzazione, furto materiale del computer, eccetera).
 
In ambito informatico si definisce phishing una tecnica di cracking, ed in particolare di ingegneria sociale, utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità mediante l'utilizzo di messaggi di posta elettronica fasulli, oppurtunamente creati per apparire autentici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc.

Metodologia di attacco

Il processo standard di queste metodologie di attacco può riassumersi nei seguenti passi:

  1. l'utente malintenzionato (cracker) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simuli nella grafica e nel contenuto quella di una istituzione nota al destinatario (ad es. la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. la e-mail contiene avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad es. un addebito enorme, la scadenza dell'account ecc.).
  3. nella mail il destinatario è invitato a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
  4. il collegamento al sito web della banca fornito NON porta in realtà al sito web ufficiale, ma a pagine appositamente create per emulare il "Look and feel" del sito in oggetto e richiedere al destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server e quindi finiscono nelle mani del cracker.
  5. il cracker utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

 

Ingegneria Sociale

 

Il fattore umano: l’anello più debole La convincente disciplina del "social engineering" “Social engineering” o ingegneria sociale è un termine poco conosciuto al di fuori della comunità informatica. Il termine definisce un vero e proprio modo di intrusione di tipo non tecnico, finalizzato ad imbrogliare le persone, per carpire le informazioni necessarie a superare le barriere di sicurezza. Un esempio classico a livello di azienda è la persona che spacciandosi per un tecnico informatico telefona ad un impiegato, e dopo aver descritto una situazione di pericolo sul suo computer, propone una soluzione urgente in cui l’impiegato deve fornire una serie di informazioni che possono arrivare fino alla password. A questo punto, indipendentemente da quanto l’azienda abbia investito nella sua infrastruttura di sicurezza, con questo semplice stratagemma l’hacker può ottenere tutte le informazioni desiderate e il gioco è fatto! Attacchi ti questo tipo, caratteristici dell’ambito aziendale, si stanno diffondendo con modalità leggermente differenti anche nell’ambito domestico, come si inizia a vedere oggi con gli attacchi di Phishing È importante rendersi conto che il fattore umano è l’anello più debole della catena della sicurezza perché le persone non sono sempre informate sui rischi e perché sono in genere disponibili a fornire informazioni ad altri nella convinzione di essere d’aiuto. Bibliografia Per rendersi conto della genialità dei metodi e dell’efficacia dei risultati a cui si può arrivare con l’ingegneria sociale basta leggere il libro di Kevin D. Mitnik, considerato il più abile hacker del mondo, che descrive i mezzi da lui usati per ingannare le persone, inducendole a rivelare informazioni sensibili che gli permettevano poi di scavalcare i sistemi di sicurezza Kevin D. Mitnik L’arte dell’inganno Feltrinelli, 2003 .

 

Nel campo della sicurezza informatica per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni.

Questa tecnica è anche un metodo (improprio) di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema. Similmente al metodo del tubo di gomma può essere un modo sorprendentemente efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici.

Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per un hacker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò accade l'unico modo che l'hacker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale.

Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un hacker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.

Le fasi dell'attacco

Il social engineer comincia con il raccogliere informazioni sulla vittima, per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.

Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo l'obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.

In ambito informatico il termine inglese cracker indica colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete.

I cracker possono essere spinti da varie motivazioni, dal guadagno economico (tipicamente coinvolti in operazioni di spionaggio industriale o in frodi) all'approvazione all'interno di un gruppo di cracker (come tipicamente avviene agli script kiddie, che praticano le operazioni di cui sopra senza una piena consapevolezza né delle tecniche né delle conseguenze).

I media hanno l'abitudine di definire hacker i cracker, mentre, sebbene alcune tecniche siano simili, i primi hanno scopi più costruttivi che distruttivi, come accade invece ai secondi.

Tecniche alternative

Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche. Su questo tema Mitnick ha scritto un libro, L'arte dell'inganno. Altre tecniche descritte in questo libro sono:

  • rovistare nella spazzatura in cerca di foglietti con appuntate delle password, o comunque in cerca di recapiti telefonici indirizzi, ecc.
  • fare conoscenza con la vittima, fingendo di essere un incompetente informatico e chiedendo lumi all'esperto;
  • spacciarsi per un addetto della compagnia che vende i programmi utilizzati, dicendo che è necessario installare una patch al sistema.

In alcuni dei casi descritti, Mitnick afferma di aver avuto accesso diretto alle macchine tramite l'amministratore, utilizzando una connessione ritenuta normalmente sicura come quella SSH (Secure Shell).

 

 

social engineering info:

 

 

Page rank


Affiliazioni

T-Shirt per Webmaster

Link

Portfolio WEb

Il tuo Hosting

Contatti

Link Popularity

Ingegneria Sociale

Dance tool

Doorpage

Tools Gratuiti

Videochat per tutti

Accquistare Online

Trucchi Office 

::SITI ::


Fotofonino.com
Prestiti e finanziamenti
Cellulari superumts
Lucania
Matera
Pianoro
Basilicata
vacanze
vacanze
Programmi winx
ricette lucane


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2005/20010© Copyright by Benni Paolo
 [Pianoro] [Cirigliano] [Lucani] [impiegati] [Fotofonino] [Tassofisso] [Matera] [Ricette basilicata] [viaggi] [winx] [hspda] [doremi] [forum] [Mappa][vacanze]

 

 

[X]