Upload
alessandro-petracca
View
457
Download
2
Embed Size (px)
DESCRIPTION
Gli attacchi ai dati strategici aziendali sono un problema attuale e di enorme importanza per le organizzazioni aziendali. Gli attacchi avvengono con tecniche che devo essere riconosciute per poter addestrare correttamente tutto il personale.Qui si spiega un attacco tramite ingegneria sociale.Ingegneria sociale: cos\'è, come agisce, gli obiettivi, come riconoscerla, come evitarla.
Citation preview
1
INGEGNERIA SOCIALE
Seminario 28.11.2012
La tutela dei dati Strategici aziendali
2
Alessandro Petracca
Business Process Analyst
CEREMIT srl
28.11.2012
4
Ingegneria SocialeKevin Mitnick
Thinking
Si possono investire milioni di dollari per software, per l'hardware e per dispositivi di sicurezza all'avanguardia, ma se c'è anche un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti soldi investiti saranno stati inutili.
Kevin Mitnick
www.CONFIDACE.it
5
Sicurezza ed Organizzazione
I deficit organizzativi sono la base del basso standard di sicurezza aziendale.
●Mancanza di personale qualificato
●Insufficiente e non specifico training per gli amministratori di sistema e di reti
●Inesistenza o insufficienza di istruzioni e responsabilità sulla sicurezza - Security Policy
www.CONFIDACE.it
6
Sicurezza cos'è?
La sicurezza non è un prodotto, ma un processo.
Solo la precisa conoscenza di tutto il processo di generazione dell' informazione rilevante, può garantire una corretta implementazione del processo di sicurezza.
www.CONFIDACE.it
7
Sicurezza come illusione
●Le informazioni rubate restano comunque in possesso di chi le detiene
●Le informazioni sono gestite da operatori umani che spesso ignorano le procedure di sicurezza
●La debolezza del processo di sicurezza è universale e indipendente dalla piattaforma, dal software, dalla rete o dall'età dell'attrezzatura
9
E' un metodo per ottenere l'accesso alle reti e ai sistemi protetti attraverso l'inganno del personale o degli amministratori di sistema.
Una manipolazione della naturale tendenza alla fiducia dell'essere umano, architettata con l'obiettivo di ottenere libero accesso a
informazioni di valore.
www.CONFIDACE.it
Ingegneria Socialecos'è?
10
Ingegneria Socialecos'è?
Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel
comportamento, la propria vittima al fine di raggiungerne l'obiettivo prefissato
Capacità di Influenzare una persona con l'obiettivo finale di farle rivelare informazioni confidenziali o di farla agire in modo da consentire l'accesso o l'uso
non autorizzato di sistemi, reti o informazioni
11
Ingegneria SocialePerchè funziona?
●È più facile di un hacking●Non richiede specialisti informatici●Costi e rischi bassi●Funziona con qualsiasi sistema operativo e dotazione software●Non richiede collegamento in rete●Lascia poche tracce●Efficacia legata alle interazioni sociali●Obsolescenza molto lunga●Poco conosciuta
www.CONFIDACE.it
12
Ingegneria SocialeAttacchi
Attacchi fisici (Raccolta informazioni)●Persone●Documenti●Luoghi
Attacchi tecnologici
Attacchi psicologici●Impersonificazione●Persuasione
www.CONFIDACE.it
13
Ingegneria SocialeFootPrint
Raccolta e studio delle informazioni sul sistema da colpire attraverso la conoscenza de:●I sistemi di comunicazione aziendale●La posta interna●l'organigramma aziendale●Giorni e orari di pulizia ●Frequentazione degli uffici (consegna di buste, caffè, acqua, pubblicità, depliant)
14
Ingegneria SocialeFootPrint
●Dialogo con gli addetti della sicurezza, segretarie, webmaster, sistemisti
●Finzione di essere un utente inesperto che ha smarrito una password;
●Invio di un'offerta di un nuovo firewall per aumentare il sistema di sicurezza
www.CONFIDACE.it
15
Ingegneria SocialeAttacco Fisico
Requisiti attitudinali●Buona memoria e conoscenza schemi cognitivi●Cooperazione●Argomenti e ragioni per giustificare l'azione
Requisiti Fisici●Telefono - Fax●Scanner - Stampanti●Server (posta, anonimizzazione)
www.CONFIDACE.it
16
Ingegneria SocialeAttacco Fisico
Obiettivi: Password – Server - Help desk
Le modalità di attacco
●richieste dirette di informazione●truffe telefoniche●rovistare nella carta straccia ●rovistare negli hard disk dismessi ●falsi sondaggi●sbirciare alle spalle
17
Ingegneria SocialeDumpster Diving
Setacciamento dell' immondizia aziendale e privata:
●Bollette telefoniche●Resoconti carte di credito●Flaconi di medicinali●Saldi della banca●Scontrini del Bancomat●Bozze documentali●Copie errate
www.CONFIDACE.it
18
Ingegneria SocialeAttacchi
tecnologici
●Esecuzione di un programma malevolo●Attivazione di un piano di phising●Intercettazione dati digitali●Invio di e-mail contenenti virus o worm●Malware: trojan, spyware, dialer, rootkit●Attivazione controllo microfono e webcam●Controllo digitazione tastiera●Finestra di pop up●Spam●Siti Web●P2P●Attacchi diretti sistema●SCAM (truffa con anticipo della somma)
www.CONFIDACE.it
19
Esplorazione dei dati personali
Log files
L'obiettivo dell' uso di questi automatismi è quello di consentire una facile rivisitazione dei pagine web o la continuazione di un lavoro dopo una pausa.
Il rischio per la sicurezza: se un attaccante accede a questi file può esplorare tutte le informazioni personali e le preferenze dell' utente ( interessi, hobbies, intenzioni di acquisto, cancellazioni di riunioni etc)
www.CONFIDACE.it
20
Esplorazione dei dati personali
History files
Salvano tutti gli indirizzi (url) visitati durante gli ultimi giorni, con durate temporali diverse a seconda dei web browser.
Rischio Sicurezza: l' attaccante conosce esattamente tutto ciò che viene visitato avendo maggiori possibilità di avere informazioni sull' utente.
www.CONFIDACE.it
21
Esplorazione dei dati personali
Bookmark files
I browser danno agli utenti la possibilità di creare delle tabelle personalizzate di siti internet.
Rischio Sicurezza: i bookmark file contengono importanti informazioni personali sull' utente, ad esempio la conoscenza dell' attore preferito o della band musicale potrebbero essere di aiuto per scoprire la password.
www.CONFIDACE.it
22
Esplorazione dei dati personali
Cache
Contiene pagine complete che sono state visitate nelle ultime ore o giorni.La cache offre vantaggi in termini di performance e di costi se una pagina già visitata viene richiamata dall'utente: la pagina non viene ricaricata dal web ma solamente dalla cache.
Rischio Sicurezza: molti dati di interesse per un attaccante possono essere ricostruiti dalla cache: username, password, numeri di carta di credito, dati di accesso.
www.CONFIDACE.it
23
Esplorazione dei dati personali
Cookie file
I cookie servono a memorizzare informazioni sui webserver visitati. Con i propri cookies i webserver possono identificare l 'utente determinando a cosa gli interessi o quali informazioni hanno già fornito.
Rischio Sicurezza: i cookies per le loro attività devono essere leggibili e scrivibili dai webserver; questa caratteristica li rendono estremamente pericolosi perchè possono essere modificati e consultati a piacere da un attaccante.
www.CONFIDACE.it
24
Ingegneria SocialeAttacchi
Psicologico
La persona viene guidata lungo il percorso scelto dall'attaccante, nella convinzione di avere il controllo totale della situazione e credendo di esercitare il libero arbitrio nella scelta di aiutare qualcuno
Motivazioni sottostanti:
●La sicurezza è basata sulla fiducia; e la fiducia è basata sull'autenticità e sui livelli di protezione.
●Osservazione del comportamento delle persone, del loro pensiero e delle loro modalità di espressione.
www.CONFIDACE.it
25
Approcci diIngegneria Sociale
●Fingersi una persona dotata di autorità●Fingersi un collega di una sede distaccata●Fingersi un dipendente di un fornitore, di una ditta consociata o un tutore dell' ordine●Fingersi un fornitore di sistemi informatici che telefona per un aggiornamento software●Offrire aiuto in caso di problemi, poi fare in modo che il problema di presenti realmente, convincendo la vittima a chiedere aiuto (reverse engineering)●Inviare via posta elettronica programmi o aggiornamenti gratis che l'utente deve installare
www.CONFIDACE.it
26
Approcci diIngegneria Sociale
www.CONFIDACE.it
●Chiedere trasferimento di un file in un altro luogo che sembri interno all'azienda●Ottenere e impostare una casella vocale per eventuale telefonata di controllo affinché l'attaccante sembri un appartenente all'azienda
27
Approcci diIngegneria Sociale
●Usare una falsa finestra pop up per chiedere all' utente di connettersi di nuovo o di registrarsi con password●Lasciare cd o usb contenente software nocivo in giro per uffici●Usare gergo e terminologia di chi è addentro per non destrare sospetti●Offrire un premio a chi si registra ad un sito web con username e password●Fingere di essere un dipendente di un' altra sede dell' azienda e chiedere accesso in loco al servizio di posta elettronica●Lasciare un documento o un file nella posta interna aziendale●Modificare l'intestazione fax ●Chiedere al banco accoglienza di ricevere e inoltrare un fax
Tratto da psicologia contemporanea maggio giugno 2004
29
Ingegneria Socialecome evitarla?
L'accesso all'informazione deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati
Educare e rendere consapevole che tratta le informazioni sensibili
30
Ingegneria Socialecome evitarla?
Attività di sicurezza:
●Individuazione sconosciuti●Distruzione materiale cartaceo●Cancellazione definitiva dei supporti informatici●Chiusura uffici e cassettiere●Tenere in ordine la scrivania●Non inviare password e account via e-mail●Controllare sempre che il sito che si sta visitando sia originale●Randomizzazione abitudini
31
Prevenzione Attacchi
●Educazione del personale aziendale●Cultura della sicurezza e di diffidenza informativa●Classificazione delle informazioni e della documentazione●(es. confidenziali – personali – interne -pubbliche)●Attenzione nell' uso di informazioni interne: nomi dipendenti, organigramma, codici uffici, procedure di accesso remoto;●Indirizzi web generici: vendite@nomeazienda no paolo.rossi@nomeazienda●No @ nelle poste elettroniche dei siti●Controllare e richiamare il numero di utenti non conosciuti●Badge colorati e con foto sempre in vista●Nuovi assunti: training sulle procedure di sicurezza prima dell' accesso a strutture informatiche
Tratto da psicologia contemporanea maggio giugno 2004
32
Prevenzione Attacchi
●Eseguire penetration test da società specializzate
●Riportare tutti i casi di intromissione verificata o sospettata
www.CONFIDACE.it
33
Grazie per l'attenzione
Alessandro [email protected]
Skype: dott2alessandropetraccaGtalk: [email protected]