GARR News - n.20 - estate 2019
GARR News è il magazine semestrale che racconta le novità sulla rete dell'istruzione e della ricerca
GARR News è il magazine semestrale che racconta le novità sulla rete dell'istruzione e della ricerca
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
CYBERSECURITY<br />
Come<br />
divento<br />
te<br />
di Simona Venuti<br />
Fingersi qualcun altro, nella rete, è più<br />
facile di quello che ci piace pensare: e<br />
l’umana tendenza alla fiducia diventa l’arma<br />
peggiore nelle mani dei malintenzionati<br />
È stato ampiamente dimostrato che l’anello debole di qualsiasi sistema<br />
di sicurezza è rappresentato dagli esseri umani. Il social engineering,<br />
che cerca di sfruttare queste debolezze, viene definito come l’atto di<br />
manipolare le persone affinché compiano specifiche azioni a vantaggio<br />
di un attaccante.<br />
I metodi dell’ingegneria sociale sono stati i migliori<br />
per ottenere vantaggi fin dall’antichità: il più antico e famoso<br />
tentativo di social engineering riuscito della storia è stato sicuramente il<br />
cavallo di Troia: con una bella confezione regalo, completamente gratis,<br />
viene abbandonato vicino alle porte della città un bel cavallo di legno. È<br />
bello, è gratis, lo prendiamo! E, come avviene oggi, dentro al cavallo era<br />
installato un malware, in questo caso composto da esseri umani, che appena<br />
possibile hanno iniziato a compiere operazioni malevole. Talmente<br />
famoso che i virus di questo tipo si chiamano proprio “trojan”. Un altro<br />
breach antico e famoso, poiché era ritenuto impossibile da realizzare, è<br />
stato quello della Grande Muraglia Cinese, la quale era rimasta inespugnabile<br />
per circa 2000 anni, dal VII secolo AC fino ai primi anni del 1200.<br />
Gengis Khan il Conquistatore sapeva perfettamente che nessun attacco<br />
diretto avrebbe potuto portare alla vittoria. Adottò la tecnica del phishing:<br />
fece uscire i difensori cinesi all’esterno con un “link appetitoso”, un piccolo<br />
manipolo di giovani guerrieri falsamente inesperti che tentavano di<br />
forzare un ponticello, e poté entrare dai cancelli che erano rimasti aperti.<br />
Scrivere questo articolo per me è difficile, perché mi vengono in mente<br />
moltissimi esempi eclatanti di grandi breach (di dati e<br />
di denaro) dovuti a piccoli errori di social engineering,<br />
per non contare i casi quotidiani di phishing generico, a cui ormai siamo<br />
abituati e che cancelliamo subito, a parte qualcuno ancora sprovveduto. Ci<br />
sarebbe da scrivere un’enciclopedia!<br />
Qualcuno però lo voglio elencare, a partire dalla mia esperienza personale:<br />
quando studiavo per preparare il concorso di assunzione a <strong>GARR</strong>, ormai 14<br />
anni fa, sono stata 4 giorni a studiare a Pescara, da un mio amico che aveva<br />
un’azienda di sicurezza. Durante l’ultimo giorno della mia permanenza<br />
aveva pianificato di fare un pen-test reale verso un cliente e mi ha portato<br />
con sé per farmi imparare. Il pen-test è riuscito:<br />
è entrato nei server semplicemente<br />
telefonando alla segretaria del CEO e facendosi<br />
dare tutte le informazioni necessarie<br />
e le password!<br />
Venendo ad eventi più recenti, conosciamo<br />
tutti la storia delle PEC compromesse,<br />
argomento di un articolo sul precedente<br />
numero di questa rivista. Spesso<br />
le credenziali vengono indovinate, perché<br />
troppo facili, ma ancora più spesso si mandano<br />
mail di phishing dove si induce l’utente<br />
della PEC a inserire la propria mail<br />
e password in siti controllati da altri. Esistono<br />
elenchi di coppie utenti/password di<br />
PEC pubblicati su “notepad pubblici”, tipo<br />
pastebin, dove vengono periodicamente<br />
immessi e scambiati o venduti.<br />
Tuttavia il nuovo trend del social<br />
engineering non è più l’invio automatico<br />
di mail “urbi et orbi” sperando<br />
che qualcuno ci caschi, ma si<br />
è fatto molto più sofisticato, si è<br />
specializzato in particolari tipi di utenti<br />
di aziende o enti pubblici, che garantisce ai<br />
malviventi maggior sicurezza di una risposta<br />
(positiva), quindi maggiori guadagni. Si<br />
parla in questo caso di “spare phishing”,<br />
cioè phishing indirizzato ad uno specifico<br />
target, e di BEC (Business Email Compromise),<br />
che ne è uno dei maggiori vettori.<br />
Per esempio il grande breach in Confindustria<br />
alla fine del 2017: il Direttore della delegazione<br />
di Confindustria presso l’Unione<br />
Europea riceve una mail (contraffatta) dal<br />
Direttore Generale Panucci in cui gli viene<br />
chiesto di effettuare prima possibile un<br />
bonifico di circa 500.000 euro su un certo<br />
conto. Lui legge la mail dal telefonino e fa il<br />
bonifico. Pwned.<br />
In questo caso, come succede sempre<br />
26<br />
<strong>GARR</strong><br />
NEWS