Come misurare la vulnerabilità del fattore umano (e salvare la PA): il social engineering penetration test

Partiamo da un presupposto semplice: l’uomo a differenza della macchina è un essere fallibile. Proprio le caratteristiche che ci rendono umani, come la disponibilità, la fiducia, la curiosità, ci trasformano nell’anello debole della sicurezza informatica. Il social engineering penetration test serve a questo: misurare la vulnerabilità del fattore umano all’interno di una realtà pubblica o privata attraverso i metodi che di solito vengono usati per attaccarla.

Nel campo della sicurezza informatica, il social engineering è lo studio del comportamento di una persona al fine di carpire informazioni utili. Nel caso in cui risulti difficile attaccare direttamente un determinato sistema informatico, il social engineering può rappresentare una valida alternativa per entrare all’interno del sistema. A questo scopo si utilizza l’interazione con l’essere umano al fine di raggirarlo, carpirne la fiducia e indurlo a violare le normali procedure di sicurezza.

Trovandosi di fronte alla realtà che qualsiasi sistema di sicurezza, anche il più avanzato, può essere facilmente neutralizzato se qualcuno all’interno dell’azienda è spinto a comprometterlo con l’inganno, molte società specializzate in sicurezza informatica hanno sviluppato una serie di test incentrati sul fattore umano: gli human penetration test.

Tali interventi possono essere utili al fine di potenziare la sicurezza e la protezione di tutti i dati aziendali: scoperti i punti di vulnerabilità è infatti possibile identificare le best practices, riorganizzare le competenze, introdurre corsi o seminari al fine di sensibilizzare il personale dell’azienda. Il penetration test dovrebbe essere indirizzato a tutte quelle società che hanno dati sensibili da proteggere, quelle che sviluppano alta tecnologia, le aziende strategiche di un Paese che detengono alti valori del PIL o particolari know how, la Pubblica Amministrazione che si ritroverebbe nell’impossibilità di offrire servizi essenziali ai cittadini o le Istituzioni in cui un’ingerenza esterna comporterebbe un danno all’intero Paese.

Lo human penetration test è un “hacking controllato” attraverso cui si cerca di accedere ad infrastrutture, data center, informazioni e identità dell’organizzazione utilizzando gli stessi metodi attraverso cui solitamente vengono svolti gli attacchi di social engineering:

• Per telefono: (vishing) fingendosi un superiore o un collega in difficoltà;
• Fisicamente: fingendosi per esempio un elemento del supporto tecnico (help desk) per accedere ai computer dell’azienda;
• Attraverso i sistemi informatici: (phishing) utilizzando mail o siti web fraudolenti.

Il phishing può essere strutturato in più fasi: la fase preliminare, definita footprinting, nella quale il social engineer si occupa della raccolta delle informazioni sulla vittima; la fase intermedia dove l’attaccante si occupa di verificare che le informazioni in suo possesso siano attendibili; la fase finale che coincide con l’attacco vero e proprio, in cui si contatta la vittima attraverso l’invio di una mail contenente o un allegato infetto o un link che conduce ad un sito progettato per infettare il computer.

Le società di sicurezza attraverso gli human penetration test verificano il livello di vulnerabilità umana generalmente in maniera automatica ed in tre fasi: per prima cosa, attraverso i social media e le informazioni reperibili in rete, si analizza la struttura dell’azienda e si studia come le persone interagiscono fra di loro e con l’esterno. Nella seconda fase viene attuata sul personale una campagna di phishing personalizzato attraverso l’invio di mail o messaggi sui più importanti social network come Twitter, Facebook o Linkedin. Infine si aiutano le organizzazioni a monitorare il risultato dei test, identificare i modelli di comportamento ed a comprendere quali possono essere gli effetti di un attacco reale.

Secondo il rapporto 2015 sulla sicurezza ICT in Italia redatto dal CLUSIT la crescita esponenziale del cybercrime porterà nel prossimo futuro alla diffusione nel Paese di attacchi cyber che colpiranno non solo gli utenti finali e le aziende, ma anche la Pubblica Amministrazione ed i sistemi industriali, incluse le Infrastrutture Critiche. Nonostante vi sia un incremento della conoscenza riguardo i rischi legati alla sicurezza informatica la maggior parte delle aziende ancora sottovaluta i rischi in questo ambito, causando una ridotta capacità nel pianificare un’adeguata strategia mirata ad affrontare il problema. Una nota società specializzata in sistemi di sicurezza informatici, nel 2014 ha svolto una serie attività di human penetration test commissionate da diverse aziende (manifatturiere, chimico-farmaceutiche, fashion, finanziarie, oltre a settori come istruzione, sanità, trasporti) finalizzate ad indurre gli utenti a rilasciare informazioni che per le politiche aziendali sarebbero dovute rimanere confidenziali. Il 74% degli attacchi condotti ha avuto esito positivo, mettendo in evidenza un attuale livello di consapevolezza molto basso.

Per quanto riguarda la Pubblica Amministrazione, la diffusione di Internet nel settore, se da una parte ha facilitato il rapporto con i cittadini, allo stesso tempo ha creato un fattore di vulnerabilità; lo dimostrano gli attacchi perpetrati nel 2014 ai danni dei siti web di numerosi enti locali. Le PA per la loro complessità organizzativa, per la numerosa popolazione aziendale con eterogena preparazione sulla sicurezza informatica, per la visibilità e il grave danno che un attacco potrebbe causare sono, di fatto, un bersaglio ideale.

Diventa perciò di estrema importanza prevenire nei modi opportuni queste minacce. Lasciare le aziende pubbliche o private esposte ad attacchi informatici è semplicemente un rischio troppo grande per essere ignorato. La migliore strategia difensiva è la creazione di una cultura della sicurezza informatica nei luoghi di lavoro; i dipendenti fanno spesso errori critici di sicurezza perché non hanno la conoscenza e la formazione per riconoscere i segnali di pericolo o per evitare comportamenti impropri mentre sono on-line. A questo proposito il social engineering penetration test potrebbe essere un ottimo strumento di difesa sia attraverso l’analisi delle vulnerabilità del sistema sia aumentando il livello di consapevolezza in maniera uniforme all’interno dell’azienda.