social engineeringTradizionalmente il mondo della sicurezza dei sistemi insiste molto sulle procedure formali di verifica delle vulnerabilità, anche tramite Vulnerability Assesment (VA). Queste procedure sono principalmente tecnologiche. Un sistema informativo non è tuttavia formato solamente dalla componente tecnologica bensì anche da quella “umana”. La “Social Engineering”, come forma di attacco, sta vivendo una seconda giovinezza a causa della crescente incidenza delle minacce informatiche che vanno a colpire quello che ancora oggi è l’anello più debole di un sistema informativo: i suoi utenti.

 

Le reti di Social Network e i nuovi media per la comunicazione interpersonale (es. chat, IM sia su PC che su terminali mobili) sono canali nuovi, al fianco di quelli classici (voce, mail e fax), che possono essere usati per sferrare attacchi ai danni del personale aziendale e privato, anche i canali più classici come la mail hanno raggiunto livelli di diffusione e standardizzazione tali da permettere di veicolare messaggi complessi (soprattutto nella formattazione grafica). Questo scenario offre possibilità di applicazione nuove, che modificano quelle già sfruttate negli anni passati dagli esperti di social engineering, ma soprattutto rendono il lavoro del social engineer meno “artistico” e meno legato a peculiari doti personali. Per questi motivi la social engineering è una tecnica non più usata da pochi attaccanti esperti, come accadeva in passato. Oggi la SE può essere automatizzata usando sistemi semantici, crawler di informazioni ecc, ma soprattutto è parte integrante della strategia di attacco delle nuove generazioni di malware: oggigiorno quasi il 90% degli attacchi sferrati include strategie avanzate di social engineering [1]. Recenti statistiche riportano i seguenti dati:

 

 

  • 1 anno il tempo medio entro il quale viene scoperto un attacco avanzato che fa uso delle moderne tecniche di SE

 

  • 5 il numero medio di mail necessario per ottenere un primo punto di ingresso (macchina o utenza compromessa)

 

  • Gli attacchi vengono in media scoperti da terze parti

 

Questi elementi raccontano che qualcosa di importante sta accadendo nel modo in cui gli attaccanti conducono le loro operazioni, contro i cittadini o le ditte. Un tipico attacco moderno è quello raccontato dal paper Operation Pawn Storm, recentemente pubblicato dalla Trend Micro.

 

 

Quando si parla di social engineering occorre ricordare che dal punto di vista dell’asset informativo protetto, gli utenti sono un tutt’uno con i sistemi che usano o gestiscono e anzi, ne costituiscono spesso la parte più debole. Per citare un noto esperto di sicurezza “The biggest computer security gap usually lies somewhere between the chair and the keyboard. ” —Curmudgeon[2]. Affrontare i temi legati alle vulnerabilità umane, sfruttati tramite le tecniche di social engineering è oggigiorno una delle parole chiave della sicurezza, in particolare dei sistemi informativi che necessitano di un approccio di tipo “ Security-in-Depth” o multi-layering security.

 

In sintesi un attacco di SE, sia esso compiuto tramite telefono, via email o di persona, si basa su una sequenza di eventi che può essere sinteticamente riassunta in quattro fasi.

 

 

Con riferimento alla Figura, le tipiche fasi di un attacco svolto tramite SE sono le seguenti:

 

 

  • Raccolta delle informazioni: per svolgere questo compito possono essere utilizzate moltissime tecniche, il cui unico scopo è quello di acquisire competenza e conoscenza sul target del proprio attacco. Le informazioni raccolte possono essere anche singolarmente poco importanti, ma contribuiscono assieme a completare il quadro della situazione aziendale, dell’organigramma ecc. Tali informazioni vengono quindi utilizzate per creare una relazione con un qualche dipendente e quindi acquisire credibilità. Le informazioni che possono essere raccolte includono, ma non solo:
    • una lista di numeri di telefono, email, ecc.;
    • date di nascita;
    • organigrammi;
    • informazioni su relazioni di amicizia esistenti, composizione dei team, ecc.

 

 

  • Sviluppo delle relazioni: un aggressore può liberamente “sovvertire” la fiducia di una persona con lo scopo di costruire un rapporto, un dialogo e quindi acquisire credito. Nello sviluppo di queste relazioni l’aggressore solitamente deve porsi in una situazione di fiducia dalla quale poter lanciare il proprio exploit.

 

Gli schemi solitamente sfruttati sono i seguenti:

 

 

    • SE tramite le emozioni : sfruttare la componente emotiva delle persone, creare empatia e complicità ad esempio condividendo il problema con il proprio interlocutore o simulando una situazione che la vittima ha sperimentato in passato (es. “il mio capo mi ha chiamato durante il weekend ed ha detto che”, “mi si è rotto il portatile e sono in viaggio”, ecc.)

 

    • SE tramite trasferimento a caldo : nel mondo dell’industria questo comportamento è noto come warm-transfer e consiste nell’essere introdotti ad un secondo utente tramite uno di cui si è già ottenuta la fiducia. Il trucco consiste nell’essere introdotti da un collega della vittima: in molti casi se un proprio collega afferma che un interlocutore ha una specifica richiesta, si assume che la sua identità sia già stata verificata dal collega e si risponde alla richiesta senza ulteriori verifiche.

 

  • Exploitation: il target può essere “manipolato” dall’aggressore “fidato” in modo da indurlo a rivelare informazioni (es. login e password) o compiere un’azione (es. creare un account temporaneo) che normalmente non dovrebbero essere fatte. Queste azioni possono essere sia l’obiettivo dell’attacco che una delle sue fasi.

 

  • Esecuzione: una volta che il target ha compiuto una delle azioni desiderate dall’aggressore, il ciclo o la fase dell’attacco è completo.

 

 

Di fatto la SE rappresenta pertanto una forma particolare di “information leaking” dei sistemi informativi.

 

I sistemi che necessitano di un approccio di tipo “security-in-depth” devono considerare la SE come una possibile minaccia e devono mettere in campo contromisure idonee.

 

Le “classiche” tecniche di VA spesso non considerando l’aspetto umano, non lo “testano”. Lo scopo delle tecniche di Social Driven VA (SDVA) è quello di sottoporre a verifica questo elemento della sicurezza informatica, con metodologie adatte ed opportune, che pongano gli “utenti al centro”. Questo oggi è possibile in quanto si stanno sviluppando approcci che abilitano lo svolgimento di tali test salvaguardando la fiducia e il rispetto della legge nella relazione tra dipendente e azienda.

 

Pertanto, da un lato la Social Engineering non è completamente nuova, perché nell’ambito informatico è stata attivamente usata dagli anni ’80 da pionieri come D. Mitnick, ma oggigiorno cosa permette di cambiare lo scenario e parlare di Social Engineering 2.0 sono alcuni fattori nuovi [3]:

 

 

  • Elevato grado di complessità degli attacchi

 

  • Coordinato e complesso riuso delle informazioni pubblicamente disponibili in rete (OSINT avanzato, Social Network scanning/analysis)

 

  • Numero di attacchi esteso e su larga scala, non concentrato su target di “alto livello”

 

  • Automazione praticamente completa delle tecniche di conduzione degli attacchi di SE

 

  • Focus sulla creazione di profitto per il mercato criminale

 

 

Il CEFRIEL fra i primi in Europa, ha sviluppato un servizio in grado di misurare questo rischio tramite una specifica metodologia di vulnerability assessment, che misuri le vulnerabilità delle cosiddette componenti umane di una enterprise. I cosiddetti Social Driven Vulnerability Assessments sono specificamente pensati per testare, in un contesto etico e legale, la componente umana di una azienda.

 

Come dimostrano le recenti statistiche[4], le amministrazioni pubbliche non sono immuni a questo tipo di minacce, anzi forse sono maggiormente esposte, proprio a causa del fatto che la loro popolazione aziendale è particolarmente eterogenea in quanto a preparazione informatica e cultura della sicurezza informatica.

 

Recentemente alla conferenza DeepSec il CEFRIEL ha presentato il risultato di circa 5 anni di attività sugli SDVA [5] su un campione totale di circa 15000 persone appartenenti a vari settori industriali. I risultati sono stati particolarmente interessanti, anche dal semplice punto di vista quantitativo, perché hanno a una parte evidenziato quanto raccontato dai whitepaper internazionali ma anche perché offrono uno spaccato dell’impatto di queste minacce nel contesto nazionale: la SE evidenzia una vulnerabilità importante, che, in media con una incidenza del 40%, colpisce praticamente ogni settore industriale. Per maggiori approfondimenti si rimanda alla presentazione svolta alla conferenza DeepSec del 2014: http://www.slideshare.net/CEFRIEL/deepsec-social-driven-vulnerability-assessment a cura di Frumento Enrico e Roberto Puricelli.

 

 

[1] Mann G, “forget the horse, this is the year of the F[ph]ish and the RAT”, The Future of Cybersecurity, London, March 2014

 

 

[2] Attack by Deception, http://cybercoyote.org/security/deception.shtml

 

 

[3] Kaspersky Labs, “Social Engineering, Hacking The Human OS”,https://blog.kaspersky.com/social-engineering-hack…

 

 

[4] Ad esempio per il mondo sanitario: http://www.net-security.org/secworld.php?id=18889

 

 

[5]An innovative and comprehensive framework for Social Driven Vulnerability Assessment ”, E.Frumento, R.Puricelli, DeepSec Conference 2014, 18-21 November 2014, Wien (AU) available online at http://goo.gl/cjMYsW