L'anello debole della sicurezza nell'era delle cyber guerre è l'uomo
Gli antivirus possono poco quando gli utenti aprono la porta alle intrusioni informatiche.
L’INCHIESTA - Il Washington Post, sempre preoccupato per la Sicurezza Nazionale, indaga sulla recente diffusione d’intrusione nei sistemi di aziende e uffici pubblici americani e scopre che quello che fanno “i cinesi” è una pratica conosciuta e utilizzata da anni anche dalle agenzie e da società americane.
IL SOCIAL ENGINEERING – Si chiama “social engineering” ed è una tattica che consiste nello sfruttare l’anello debole dei sistemi di sicurezza informatica: l’uomo. Sono infatti gli utenti a vanificare con i loro comportamenti anche i sistemi di protezione più sofisticati e chi vuole penetrare i loro sistemi informatici oggi ha a disposizione molti dati utili a carpire la loro fiducia e, grazie a quella, ad aggirare le protezioni elettroniche.
FUNZIONA SEMPRE - David Kennedy, un ex analista della National Security Agency ha riferito di aver compiuto centinaia di attacchi del genere e di non aver mai avuto insuccessi, funziona sempre. E ha funzionato anche nei casi di aziende petrolifere e uffici governativi che negli ultimi anni hanno visto i loro sistemi violati da un gruppo di hacker cinesi, che a Shangai fanno orari d’ufficio, operando solo tra le 9 e le 5 locali.
GLI STRUMENTI - Si tratta solo di avere pazienza, di radunare informazioni sul bersaglio e quindi di inviargli file che gli risultino familiari (aggiornamenti di programmi che usa, inviti a manifestazioni interessanti) e che questi apra quindi senza sospettare che siano veicoli d’infezione. A facilitare il compito oggi poi ci sono strumenti come Maltego, un programma che cerca e raduna in automatico le tracce lasciate in rete, rendendo facile a chiunque ricostruire la catena di relazioni e gli interessi del bersaglio. E quindi carpirne la fiducia. Un’attività che praticano con successo anche al Pentagono, da anni. Un’attività che secondo Symantec è terribilmente efficace proprio per la difficoltà degli utenti nell’identificare i messaggi “travestiti” da comunicazioni familiari o allettanti.
[IMG]http://i47.tinypic.com/ou19mt.jpg[/IMG]
LA DIFESA - Per difendersi da attacchi del genere esistono alcuni programmi, come ad esempio il Social Engineering Toolkit, un programma molto versatile, che però può essere utilizzato anche dagli hacker come strumento d’attacco e che richiede un minimo di cultura informatica prima di essere approcciato. Quella in corso non è quindi che il seguito dell’antica battaglia per la sicurezza informatica che ora si è spostata sul versante umano del binomio uomo-macchina. Una battaglia che oggi è accompagnata da una vera e propria corsa agli armamenti perché, come dice Chris Hadnagy, dondatore di Social-Engineer.org e autore di Social Engineering: The Art of Human Hacking ”Quello che stiamo facendo è il cercare di armare le persone perché possano difendersi da questa minaccia”.
www.giornalettismo.com/archives/515721/il-punto-debole-del-tuo-pc...