Quanto sono (in)sicuri le nostre biblioteche e i nostri uffici?

Il numero di telefono della prima vittima

– Pronto, Segreteria Studenti, sono Maria desidera?
– Sì buongiorno, sono il professore Luigi Faviolo [nome reale di un professore di quell’università] abbiamo un grave problema nel registrare un esame di Marco Reti, numero di matricola 303618/14. Per caso può fornirmi un contatto telefonico per raggiungere immediatamente lo studente?

Maria è felice di aiutare un professore universitario e, inoltre, è allarmata dall’urgenza della richiesta. Fornisce rapidamente i dati richiesti. Il professore sembra grato e dopo un caloroso commiato conclude la chiamata

Seconda chiamata

– Sì, pronto?
– Buongiorno, Marco Reti?
– Sì chi parla?
– Sono il direttore dello SBA Luca Lorenzi [nome reale del direttore del Sistema Bibliotecario d’Ateneo] ci risulta che lei ha dal 7 settembre 2006 ancora in prestito 3 libri della biblioteca [nome della biblioteca reale della facoltà di marco].
Lorenzi snocciola i nomi dei libri e, eventualmente a seconda se lo ritiene necessario o meno tal tono di Marco Reti, anche la loro collocazione.
Ovviamente Marco Reti ha restituito tutti i libri anche quelli citati (facenti parte della bibliografia del corso che aveva superato a pieni voti a novembre) ed è piuttosto irritato dalle minacce del direttore Lorenzi di dover sospendere il suo servizio di prestito.
Ma il direttore finalmente decide di dare credito al giovane e avvia una serie di controlli che si concludono con:
– il suo identificativo fluxus è 3295837?
[Marco non ne ha la minima idea, ma, alla successiva domanda, pur di risolvere la situazione, fornisce il nome utente]

A quel punto, dopo un breve controllo e un’imprecazione soffocata, il direttore si prostra in scuse, adducendo come motivo dell’errore un’omonimia e assicura a Marco che segnalarà immediatamente l’errore.

Marco riattacca sbuffando, ma, allo stesso tempo sollevato di non dover risolvere anche questo problema.

L’ultima asperità: la password

Certo, qualora all’attaccante Marco Reti fosse sembrato totalmente malleabile e ormai senza difese, la password poteva essere chiesta direttamente a lui (e non sorprendetevi se in diversi casi questa venisse rivelata!)

Ma proseguiamo con il nostro esempio: terza chiamata, la più difficile… Il cuore della sicurezza del sistema…
Già nei primi passi ci sono stati diversi errori:
1) l’attaccante sapeva il numero di matricola di Marco, come mai? Spesso viene segnato accanto alla registrazione per gli appelli o accanto ai voti degli esami scritti. Se il numero di matricola, associato al nome, viene ritenuto un dato importante ciò non dovrebbe accadere. In ogni caso il finto professore avrebbe potuto, con un passaggio precedente, chiamare in segreteria e chiedere il numero di matricola di Marco Reti motivando la richiesta, ad esempio, con una cattiva grafia su un appunto preso.
2) Maria non avrebbe dovuto fornire alcun dato al professore, ma, eventualmente, richiamarlo lei nel suo studio.
3) Marco per nessun motivo avrebbe dovuto rivelare la sua user name (o peggio la password)

La terza chiamata è più delicata, una voce femminile (preferibilmente non gracchiante ;)), può sembrare strano, ma aiuterà ad abbassare le difese della vittima, se uomo, desideroso di essere d’aiuto a una fanciulla.

– Sì pronto, centro di calcolo, sono Luca
– Salve Luca sono Maria [ricordate?] della segreteria studenti. Abbiamo un problema con un nostro studente, Marco Reti, che non riesce a completare il piano di studi online perché dice che la password non va bene.
[notate come Maria usi termini da analfabeta informatico in modo da solleticare il desiderio di aiutare di Luca]
– nome utente?
Maria risponde con il nome utente ricavato in precedenza
– Ma che password usate?
– Lo studente mi dice che è MR796574 [palesemente una possibile password di default]
– Ma no! L’ha cambiata! La password è…

Prima ipotesi: Luca è così contento di aiutare Maria che le rivela direttamente la password.
Seconda ipotesi: questa non è la prima telefonata di Maria, nell’arco di un mese, l’inesperta (e presunta) Maria ha parlato 4 o 5 volte con Luca che brillantemente le ha risolto sempre i suoi piccoli problemi. Ormai è diventato un piacevole diversivo nella routine e all’ennesima richiesta di aiuto non esita a fornirle la password corretta.

Alternativamente invece di Maria potrebbe essere un finto collega di Luca, assunto da poco [nome reale], che si trova a risolvere il problema in segreteria e chiede a Luca, in termini prettamente informatici suggerendo la query da fare, di fornirgli la password.

Generalmente le password, per fortuna, non sono in chiaro ma criptate. Quindi lo stesso Luca non avrebbe potuto leggerle. In tal caso si sarebbe chiesto alla vittima di reimpostarne una e comunicarla o spedirla via mail (farlocca ) o ancora spedendo a Luca una mail (“sai non so come si chiamano quei caratteri strani”) con l’indirizzo di posta di Maria del tipo maria_segretaria_furba@lombardia.it (con reply to a maria_segretaria_furba@iombardia.it ;)).

Ed ecco che l’attaccante, con username e password può accedere ai servizi di Marco Reti fra cui la possibilità di collegarsi alla wireless di ateneo in barba a tutti i decreti Pisanu.

Sembra una storia incredibile?
Gli impiegati vi sembrano particolarmente poco svegli?
Mettereste la mano sul fuoco su tutti i vostri colleghi?
E se un tecnico del centro di calcolo [con nome di persona effettivamente assunta] chiamasse un vostro collega con bassa informatizzazione con la scusa di aiutarlo a risolvere un problema di rete e, tra una procedura e l’altra, lo spingesse ad installare un keylogger?
Sicuri che il vostro collega non abboccherebbe? Anche se il tecnico avesse chiamato già in precedenza aiutandolo agevolmente più e più volte (magari fornendogli anche un numero di cellulare per problemi urgenti)?

Se non siete convinti provate a vedere questo video, in inglese, recensito sul blog “Exploit”.

La capacità di manipolare le persone degli ingegneri sociali, quale ahimé non sono, è straordinaria e affascinante. E le nostre strutture sono particolarmente indifese ai loro attacchi.

Una semplice lettura di MITNICK, KEVIN. L’arte dell’inganno : i consigli dell’hacker più famoso del mondo. Milano : Feltrinelli, 2003 potrebbe essere un aiuto iniziale.

Kevin Mitnick, oltre che abile informatico, è stato soprattutto un ingegnere sociale e il libro, aldilà del titolo, è incentrato proprio sulle tecniche di persuasione e su come difendersi da esse.

One thought on “Quanto sono (in)sicuri le nostre biblioteche e i nostri uffici?

  1. Quindi anche i più “acculturati” tra noi sono a rischio di manipolazione. Di queste cose si parla poco a scuola e nella società in generale. persino quelli che si battono (o credono di battersi) contro le ingiustizie e le sperequazioni, utilizzando l’ottocentesca-novecentesca formula della diseguaglianza tra le classi sociali, non si rendono ancora conto che sul terreno dell’informatica è già realtà una nuova divisione tra “chi sa e può” e “chi non sa e non può”.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s