Categoria: Ingegneria sociale

I tre ingegneri sociali più famosi

Nello scorso articolo vi ho parlato dell’ingegneria sociale e dei suoi utilizzi, ora invece ci soffermeremo sui più famosi utilizzatori, nonché in alcuni casi creatori di metodi ora diffusamente usati, dell’ingegneria sociale applicata all’informatica.

  1. Kevin David Mitnick: sin da giovane si interessò di elettronica e informatica abbracciando la filosofia degli hacker.Nel 1980  venne arrestato per furto sia delle password , sia  della documentazioni dell’architetture dei sistemi usati da COSMOS. Seguirono altre incarcerazioni, nel 1983 per aver violato ARPANET , nel 1987 per
    Kevin_Mitnick_w_Polsce_01_(ubt)
    Kevin David Mitnick

    essersi introdotto nei sistemi della Santa Cruz Operation e infine nel 1988, per aver trafugato parti di codice del VMS, (sistema operativo allora molto usato).Kevin Mitnick si fece notare anche per la sua capacità di ottenere informazioni sensibili ingannando  il personale di grandi multinazionali (Apple,Digital Sun, Motorola,ecc) aggirando così i sistemi di sicurezza.Negli anni novanta Mitnick venne nuovamente incriminato, ma rimase latitante fino al 15 febbraio 1995, quando venne arrestato dall’FBI.In questi tre anni di latitanza Mitcnik divenne una leggenda, molti attacchi informatici gli vennero attribuiti pur non essendoci alcuna rivendicazione.Nel 25 Dicembre 1994 Mitnick riuscì in pochi minuti ad infiltrarsi all’interno di un mainframe, gestito da un consulente di sicurezza informatica dell’FBI e della NSATsutomu Shimomura, utilizzando un nuovo metodo per mascherare la sua posizione, l’IP-spoofing. Shimomura utilizzò questo stesso metodo per trovare Mitnick, causandone l’arresto.Attualmente K.D. Mitnick è amministratore delegato dell’azienda di consulenza e sicurezza informatica Mitnick Security Consulting LLC.

  2. Christopher James Hadnagy: Dopo essersi laureato in informatica riuscì a creare uno script (dial wars) che disattivo temporaneamente le linee telefoniche della Florida.Dopo un breve periodo passato a lavorare come tecnico di personal
    SECTF-GenAlexanderandChrisHadnagy
    Christopher James Hadnagy

    computer Hadnagy entrò nel campo della sicurezza e si interesso all’ingegneria sociale.Dopo poco tempo Hadnagy si accorse che l’ingegneria sociale non veniva considerata come una minaccia per la sicurezza dei dati
    sensibili e decise quindi, con l’aiuto di altri ingegneri sociali , di creare un framework che la descrivesse e ne spiegasse i metodi per contrastarla.Grazie a questo framework Hadnagy potè aprire la sua azienda per la prevenzione e l’educazione dell’ingegneria sociale(Social Engineering .inc).

  3. Fratelli Badir:Per quanto la loro storia non sia interessante quanto
    BADIR1
    I fratelli Badir

    quella di Mitnick e non abbiano rivoluzionato la sicurezza informatica come Hadnagy, è obbligatorio citare questi tre fratelli Israeliani essendo esempi calzanti di hacker utilizzatori dell’ ingegneria sociale.Questi tre fratelli infatti hanno compiuto azioni illecite utilizzando
    principalmente l’ingegneria sociale, fingendosi operatori telefonici.I fratelli Badir hanno compiuto così tanti crimini che è impossibile elencarli, ma si stima che i loro i frutti di questi ammontino a 2’000’000$.

Daniele Bertagna

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Introduzione all’ingegneria sociale

Questo post vuole rispondere ad una semplice domanda:come è possibile che a delle multinazionali,dotate di ottime tecnologie di protezione dati e di personale altamente qualificato, vengano
continuamente razziate informazioni sensibili da piccoli gruppi, se non singoli, hacker?

La risposta può venir riassunta con due parole: ingegneria sociale, cioè “lo studio del comportamento individuale di una persona al fine di carpire informazioni utili

Semplificando e approfondendo la definizione proposta da wikipedia: l’ingegneria sociale è una pratica utilizzate dai cracker per appropriarsi di dati normalmente irraggiungibili , sfruttando una serie di metodi, alcuni dei quali si basano su meccanismi ben conosciuti dalla psicologia, che riescono ad ingannare gli utenti dotati di credenziali tali da permettere l’accesso alle informazioni desiderate.

Detto così potrebbe sembrare che l’ingegneria sociale sia una pratica che

SOCIAL-ENGINEERING_allegoria
Immagine allegorica dell’ingegneria sociale

si basa sulla ingenuità di alcuni utenti, ma non è solo così, infatti alla base di questa “scienza” c’è la ricerca di informazioni verso l’individuo che si vuole raggirare, ricerca che può variare da una più classica visita dei profili sui social network fino alla più inconsueta ricerca di dati nella spazzatura prodotta dal bersaglio, così da poter creare un vero proprio dossier su un individuo, che verrà magari contattato dal cracker, il quale si fingerà la sua banca, il suo capo, un suo collega o magari anche la ditta di pulizie che la vittima è solito usare.

L’ingegneria sociale negli ultimi tempi è diventata ancora più infida, a causa della nuova abitudine di salvare e condividere tra i propri dispositivi le proprie password a causa di una questione di comodità, comodità che danneggia la sicurezza rendendo ancora più semplice il lavoro dei ingegneri sociali come ci dice anche la cybertec su un articolo del suo blog:

“By now, we’ve all gotten pretty used to having technology in our daily lives. We can go so far and claim that some of our daily routines are purely dictated by our gadgets and apps – all of us have that favourite chat app, email client, web browser… and it’s just so perfect! Storing your passwords for easy access, bookmarking links for quicker searching and keeping your conversations nice and organised… what else could you wish for? Well, security would probably one thing you should start considering.”

Daniele Bertagna

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.