Re: Possibile attacco quasi sempre di successo basato su social engineer

----- Original Message -----
From: "giovambattista vieri" <g.vieri@fastwebnet.it>
To: <ml@sikurezza.org>
Sent: Friday, May 16, 2003 4:19 PM
Subject: Re: Possibile attacco quasi sempre di successo basato su social
engineering
> Salve, a mio avviso la tua mail e' un capolavoro di social engineering.
> Personalmente ritengo che non vi sia molto da fare contro un simile tipo
di
> attacchi.
> Purtroppo a quanto pare non e' piu' sufficiente proteggere un server con
le
> migliori tecniche di networking.... Bisogna anche preoccuparsi di questo
tipo
> di attacchi che sono tecnicamente nulli ma devastanti ai fini pratici.
>
> Mi piacerebbe conoscere la vostra opinione... La mia purtroppo e' che ci
sia
> poco da fare.
>
> Ciao

Grazie per i complimenti.
Credo anch'io che in realta ci sia ben poco da fare, ma credo che sia cosi
da sempre.
Non e una novita, il fattore umano e quello che gioca il ruolo
fondamentale,
in ogni cosa.
Il mio esempio era ed e mirato a far capire quanto poco possano servire
tutte le tecniche
anti intrusione se questo fattore non viene preso in considerazione.
Tutti noi abbiamo subito dei microfurti da persone che in gergo potremmo
considerare
"trusted", l'accendino, il pacchetto di sigarette, il libro o il cd.
Questi fatti rientrano nell'ottica comune, per noi sono sostanzialmente
trascurabili, in ambito
informatico non dovrebbero.
Un attacco basato sul social engineering ben forgiato puo aggirare tutte o
quasi le infrastrutture
di sicurezza classiche.
Recentemente ho assistito ad un seminario dove si diceva una cosa
verissima,
un sistema antifurto
cerca di prevenire il furto come deterrente e di sventarlo nei limiti del
possibile
ma non impedisce ad un nostro "amico" al quale prestiamo la vettura di
rubarla.
Questo perche l'utente e considerato "trusted".
Allo stesso modo i dati sensibili di una azienda non sono al sicuro in
nessun momento perche comunque
sia qualcuno "trusted" vi puo' accedere. In questo caso non e
necessariamente detto che l'utente
in questione possa rubare i dati ma potrebbe essere la testa di ponte per
una tecnica di social
engineering che possa farvici arrivare.
La sicurezza dei dati quindi non e intrinsecamente legata
all'infrastruttura
di protezione quanto invece
al fattore umano che interagisce con essi.
In sostanza, ogniuno di noi si sentirebbe tranquillo se avesse in casa un
miliardo di euro
posto che non sappia di averlo.
Il bisogno di sicurezza va pari passo con la consapevolezza dell'oggetto o
degli oggetti da proteggere.
E' ovvio pensare che un sistema iperblindato possa contenere dati
sensibili,
proprio per la sua natura.
E' anche ovvio, ingiustamente, credere che un sistema iperblindato possa
essere sicuro e impenetrabile.
I sistemi classici di prevenzione, tutela e le varie contromisure prendono
in considerazione eventi
a se stanti tralasciando quello che purtroppo e incontrollabile.
Parlando in termini matematici potremmo dire che l'entropia che viene
tenuta
in considerazione
all'atto della creazione di un sistema di sicurezza e veramente ridicola
paragonata a quella che
potenzialmente esiste in un attacco "umano".
I classici sistemi di sicurezza sono basati su tipologie tecnofile che
analizzano protocolli, anomalie
e quant'altro e per quello possono anche funzionare ma come per
l'antifurto
impediscono singolarmente
solo certi tipi di attacco.
E' piuttosto borioso e fasullo credere di essere al sicuro per il semplice
motivo che piu chiudiamo
e blindiamo la nostra casetta e piu i ladri saranno incuriositi.
Abbiamo tutti buona esperienza cinematografica di sistemi di sicurezza
ipertecnologici impenetrabili
penetrati invece tramite semplici attacchi ormonali da parte di super
bellone di turno.
Fantasia ? Forse, ma il fattore umano gioca un ruolo troppo fondamentale e
troppo tralasciato.
Sicuramente le politiche di sicurezza colmano le lacune dei protocolli,
dei
sistemi e delle infrastrutture
ma non possono nulla nei confronti di questi semplici quanto letali
approcci.
Non prendetemi come un folle visionario, conosco benissimo la validita e
la
necessita di tutti
i nostri orpelli anti intrusione ma sono quanto mai convinto che il 90 %
dei
nostri sforzi
non sia mirato a potenziali personaggi realmente interessati ad entrare,
quanto invece a una buona
maggioranza di smanettoni poco preparati forniti di tutti i piu nuovi
strumenti automatizzati, ed
e proprio questo che mi fa sentire molto poco tranquillo.
I piu preparati di noi saranno sicuramente in grado di colmare tutte o
quasi
le lacune conosciute
e di prevenire anche alcune delle sconosciute ma possono poco o niente nei
confronti dell'arma
piu potente che un attaccante ha : la naturale predisposizione umana alla
fiducia nei confronti di
una persona conosciuta.
A questo punto il panorama assume un aspetto nuovo e quanto mai
inquietante.
La mia convinzione, giusta o sbagliata che sia, anzi, la mia idea (perche
convinzione e a dir poco
esagerato) e che l'unico modo per proteggere i dati sensibili sia di
rendere
piu persone possibile
partecipi alla loro tutela.
Una "condivisione della sicurezza" porta il piano "umano" dal singolo al
gruppo dove entrano in
gioco fattori e valori ben diversi.
Se ho le 12 chiavi della mia porta blindata posso chiudere tutto la
mattina
e accorgermi dell'intrusione
alla sera, quanto tutto e stato portato via.
Se ho 6 persone con le chiavi che controllano lo stato dell'appartamento
ogni 4 ore riduco il rischio,
ancora di piu se ogni persona fornisce un report a tutte le altre ogni
qualvolta vi accede.
Un attacco come quello proposto potrebbe miseramente fallire per il
semplice
fatto che
la prima delle sei persone che riceverebbe la mail dovrebbe prima
contattare
le altre cinque prima
di fornire dati sensibili, facendolo fallire.
Le sei persone non dovrebbero essere contemporaneamente anche responsabili
della sicurezza
tecnologica ma solo "custodi di segreti", eventualmente anche parziali
dove
solo l'unione delle
sei parti potrebbe dar luogo all'accesso ai dati segretissimi.
Sono un visionario?
Forse...

Ciao
Fabio Macor




---------------------------------------------
Virus Free E-mail
---------------------------------------------


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List