TecaLibri: Johnny Long: L'hacker della porta accanto

| << | < | > | >> |

Pagina ix

Presentazione e ringraziamenti

Dall'autore

Dove finiscono i proventi?

È semplice, veramente! I miei proventi per questo libro vanno ad AOET (www.aoet.org), un'organizzazione che fornisce cibo, istruzione e cure mediche ai bambini vittime dell'HIV in Africa. AOET non si occupa solo di aiuti; cerca di interrompere il circolo vizioso di povertà e disperazione nell'Africa sub-sahariana attraverso vari programmi di arricchimento personale e la creazione di posti di lavoro, per garantire l'autosufficienza a bambini e adulti; quindi non si occupa solo della loro salute, ma del loro orgoglio, donando la speranza di un futuro migliore. L'acquisto di un solo libro effettuato con il mio account Amazon Associates (da uno dei miei siti web o da http://tiniuri.com/f/Xpc) genera proventi tali da consentire ad AOET di nutrire un bambino per un intero mese. Altri acquisti (che però generano metà di quella somma), garantiscono prestazioni mediche, materiali didattici e il finanziamento per un bambino attraverso un accantonamento rivolto a tali finalità. Tutto questo perché sono chiamato a "soccorrere gli orfani e le vedove nelle loro afflizioni" (Giacomo 1:27) e perché so per esperienza quanto possa arricchire sul piano personale il fatto di prendere sul serio questa chiamata. Amleto aveva in mente qualcosa del genere quando si domandava: "Se sia più nobile nell'animo sopportare i sassi e le frecce di un destino atroce o prendere le armi contro un mare di guai e, contrastandoli, por fine ad essi".

Piacere, Johnny. Professione: hacker

Ho molte persone da ringraziare questa volta e temo di trascurare qualcuno. Ma farò del mio meglio. In primo luogo, grazie a Dio, per le molte benedizioni che ha elargito nel corso della mia vita, a Cristo, per l'esempio di vita, e allo Spirito Santo, che mi incoraggia a vivere ogni giorno con uno scopo. Questo libro è più una "cosa di Dio" che una "cosa di Johnny".

Grazie a mia moglie e ai miei quattro meravigliosi figli. Le parole non possono esprimere quanto siete importanti per me. Grazie per aver tirato fuori la parte migliore di me.

| << | < | > | >> |

Pagina xvii

Introduzione

Che cosa si intende con "hacking non tecnologico"?

Quando ho intrapreso questa attività, ero preparato al fatto che la curva di apprendimento sarebbe stata lunga e ripida. Ho trascorso molte notti insonni a elaborare worm nella mia rete domestica, tentando di partire dalle basi. Tutta questa pratica ha ripagato. Dopo anni di duro lavoro e studi intensi, ho fondato un piccolo, ma agguerrito, team di intrusione. Sono stato bravo, il mio spirito è stato forte. Le reti si prostravano davanti a me. I miei collaboratori contavano su di me e mi ero convinto di essere "quello giusto".

Poi ha incontrato Vince.

Con il suo aspetto di quarantenne, con l'occhio vigile e un'aria vagamente europea, Vince si è presentato con un abbigliamento classico: normalmente invece indossava un trench di pelle nera, una bella camicia, pantaloni scuri, scarpe nere e talvolta un cappello nero. Aveva decisamente un look affascinante. I racconti sui risultati che aveva conseguito erano leggendari. Alcuni dicono che sia stato un federale e che si occupasse di progetti segreti per il governo. Altri sostengono che sia stato un mercenario, intento a vendere i propri oscuri segreti al miglior offerente.

Certamente era brillante. Sapeva fare cose straordinarie e apparentemente impossibili. Sapeva aprire serrature, mettere in corto circuito sistemi elettronici, trarre informazioni dall'etere con qualche strano aggeggio elettronico. Un giorno mi ha mostrato un sistema da lui creato chiamato "van Eck" (http://en.wikipedia.org/wiki/Van_Eck_phreaking). Era in grado di assorbire le radiazioni elettromagnetiche prodotte da un monitor a tubo catodico e riassemblarle, consentendogli di leggere il contenuto di un monitor a mezzo chilometro di distanza. Mi ha insegnato che una TV in bianco e nero può essere utilizzata per spiare le conversazioni dei telefoni cellulari sui 900 MHz. Mi ricordo ancora di come, curvo su un tavolo della mia cantina, alimentava il tuner UHF di un vecchio TV in bianco e nero con una coppia di sottili pinze. Quando ho sentito una conversazione telefonica provenire dalle casse del vecchio TV, ho deciso che avrei dovuto apprendere il più possibile da Vince.

Ero incredibilmente intimidito alla nostra prima impresa insieme. Fortunatamente avevamo compiti differenti. Dovevo svolgere una valutazione interna, che simulava un'intrusione. Un dipendente maldestro può causare innumerevoli danni a una rete. Per perfezionare la simulazione, il cliente ci ha fornito uno spazio di lavoro, una connessione di rete e il nome-utente e la password di un utente legittimo, ma non amministrativo. Ero incaricato di sfruttare queste credenziali per ottenere il controllo amministrativo dei sistemi critici della rete. Per esempio, se riuscivo a ottenere l'accesso ai record riservati conservati nel database aziendale, il tentativo poteva ritenersi concluso con successo. Vantavo un record quasi perfetto in tema di valutazione della sicurezza interna ed ero fiducioso delle mie capacità.

Vince doveva svolgere una valutazione fisica che simulava una minaccia esterna. La sede vantava una sicurezza fisica di alto livello. Avevano speso un sacco di soldi in serrature, sensori e apparecchi di sorveglianza. Sapevo che Vince li avrebbe aggirati con i suoi superpoteri ipertecnologici. L'incarico sembrava essere alla nostra portata, con lui che si occupava della sicurezza fisica e io che lavoravo dall'interno. Eravamo un "dream-team" della sicurezza.

Quando Vince ha insistito perché lo aiutassi nella parte fisica di questa valutazione non stavo nella pelle. Mi immaginavo in un film di 007, con Vince nei panni di "Q" e me stesso (naturalmente) in quelli di James Bond in una tuta da assalto ninja. Vince avrebbe fornito tutto il necessario, come il van Eck, e io mi sarei infiltrato nel perimetro e avrei spiato i monitor di sorveglianza o qualcosa del genere. Mi immaginavo le tecniche straordinarie che avremmo impiegato per aggirare i sistemi a tastiera elettronica o le chiusure a prossimità. Mi immaginavo lo sguardo delle guardie, mentre li legavamo con il nastro adesivo alle loro poltroncine, dopo esserci calati silenziosamente dal soffitto della sala di sorveglianza.

Non vedevo l'ora di iniziare. Ho detto a Vince di mostrarmi gli strani gadget che avremmo utilizzato per infrangere la sicurezza. Quando mi ha detto che non aveva alcun gadget con sé, mi sono messo a ridere e non ci credevo. Non sapevo che Vince fosse un burlone. Quando mi ha ripetuto che veramente non aveva portato nulla, per un attimo ho pensato di rompergli il muso, ma avevo sentito dire che era cintura nera in sei diverse arti marziali e quindi gli ho chiesto gentilmente cosa diavolo aveva in mente. Disse che avremmo agito in modo creativo. Un genio mercenario, una leggenda vivente e non aveva portato nulla? Gli ho chiesto come poteva sperare di attaccare un edificio ad alta sicurezza senza nulla in mano tranne la creatività. Mi ha risposto guardandomi con un ghigno, che non ho mai dimenticato.

Abbiamo passato l'intera mattina semplicemente a controllare il sito. Era costituito da svariati edifici di più piani, con alcuni parcheggi per i dipendenti, il tutto racchiuso da una cancellata. Ogni movimento doveva svolgersi dal cancello principale. Fortunatamente il cancello era aperto e senza guardie. Vince guidava e abbiamo girato attorno a un edificio e parcheggiato sul retro, dove si potevano osservare i banchi di carico.

"Là", mi ha detto.

"Dove?", gli ho domandato.

"Là", ha ripetuto.

Vince ha un pessimo senso dell'umorismo. Ho seguito il dito e ho visto il piano di carico. Appena dietro i portoni, c'erano vari operai intenti a maneggiare grossi pacchi.

"Il piano di carico?", ho chiesto.

"Entrerai da lì".

Ho risposto con un "Seee...".

"Esattamente. E facile!", mi ha risposto.

"Non ho detto 'Seee...' per dire che è facile. Intendevo dire: con tutta quella gente, come posso entrare?".

"Ci sono loro e ci sarai anche tu", mi ha risposto. Vince ha proseguito in questo modo.

"Comportati con naturalezza. Saluta gli altri. Sii amichevole. Fai commenti sul tempo".

Ho fatto tutto quello che mi ha detto ed effettivamente mi sono trovato all'interno. Ho passeggiato qua e là, ho preso alcuni progetti di veicoli corazzati e altra roba militare, li ho fotocopiati e me ne sono andato. Tutto qui. Evito naturalmente di descrivere il mio cuore che batteva all'impazzata, il pensiero della prigione militare in cui mi avrebbero sbattuto e se era vero tutto quello che si racconta sulle attenzioni dei compagni di cella, ma ce l'ho fatta. Ed è stata un'avventura incredibile. Era la forma più semplice di ingegneria sociale, ma aveva funzionato a meraviglia. Nessuno mi ha mai domandato nulla. Probabilmente era semplicemente fuori dai loro normali schemi mentali. Non riuscivo a celare il mio ghigno mentre tornavo alla macchina. Ma Vince non c'era più. È uscito dall'edificio qualche minuto più tardi, con una piccola pila di fogli.

"Come ci sei riuscito?", gli ho chiesto.

"Come hai fatto tu!".

"Allora perché non hai fatto tutto da solo?", gli ho chiesto.

"Volevo essere sicuro che funzionasse".

Bene, ero stato la cavia da laboratorio di Vince, ma in realtà non mi importava molto. Era stato emozionante ed ero pronto per proseguire.

L'altro edificio che abbiamo preso di mira sembrava una vera e propria fortezza. Non c'erano piani di carico e l'unico ingresso visibile era quello frontale. Il portone era di legno e acciaio (sembrava quasi il portone di un castello) e aveva uno spessore approssimativo di 15 centimetri, con un lettore di tesserini a prossimità. Abbiamo osservato i dipendenti che gli sventolavano davanti il tesserino, al che il portone si apriva e permetteva l'ingresso. Ho suggerito la tecnica del tailgating. Ormai ero lanciato. Ma Vince ha scosso la testa. Ovviamente aveva in mente qualche altra idea. Ha camminato verso l'edificio e poi ha rallentato mentre si avvicinava al portone. A un paio di metri si è fermato. L'ho oltrepassato e mi sono voltato verso di lui; le spalle al portone.

"Bello il tempo", ha detto, osservando il portone dietro le mie spalle.

"Eh già", gli ho risposto.

"Una buona giornata per l'arrampicata".

Mi sono messo a girare attorno all'edificio. Non avevo considerato la possibilità di arrampicarsi.

"No", mi disse "Non andare in giro. Parliamo".

"Parliamo?", gli ho chiesto. "E di che cosa?".

"Hai visto i Bears ieri sera?", mi ha chiesto. Non avevo alcuna idea di cosa stesse dicendo o di cosa fossero i Bears, ma lui ha proseguito. "C'è qualcosa di speciale. Il modo in cui collaborano i giocatori di una squadra è quasi come se...", Vince si è interrotto senza concludere la frase, mentre si apriva il portone; un impiegato l'ha aperto e poi si è diretto verso il parcheggio "... come se tutti formassero un'unica unità", ha proseguito. Non capivo niente. Mi sono voltato. Il portone si era quasi chiuso.

"Accidenti!", ho detto, "Avremmo potuto entrare!".

"Sì, qui ci vuole un appendiabiti".

Vince, a volte, diceva cose strane. Era parte di lui. Ma non era un folle; semplicemente diceva cose che la maggior parte delle persone comuni non era in grado di comprendere. Cominciavo a pensare di aver assistito al suo primo momento di follia vera. "Andiamo", ha detto. "Ho bisogno di uno straccio. Dobbiamo tornare in hotel". Non avevo alcuna idea del motivo per cui avesse bisogno di uno straccio, ma almeno non mi sentivo in pericolo. Avevo sentito parlare di persone fatte a pezzi con un'ascia, ma mai con uno straccio.

Siamo rientrati in hotel in perfetto silenzio; Vince sembrava assorto nei suoi pensieri. Arrivato davanti all'hotel, ha parcheggiato e mi ha chiesto di aspettarlo. È tornato qualche minuto dopo con un appendiabiti in filo di ferro e uno straccio per pavimenti umido. Li ha gettati sui sedili posteriori. "Dovrebbe funzionare", disse, sedendosi e chiudendo la portiera. Avevo paura di porre domande. Mentre lasciavamo l'hotel, mormorava "Con questi dovrei farcela".

Gli ho lanciato un'occhiata. Non so dire esattamente che tipo di occhiata fosse, ma immagino fosse una via di mezzo fra "Ho avuto uno sgradevole incontro olfattivo" e "C'è qualcosa che non va nella tua testa". In ogni caso, ero abbastanza convinto che avesse perso il senno o che fosse stato rapito dagli alieni. Ho fatto finta di non averlo sentito, ma lui ha proseguito.

"Ogni edificio deve avere delle uscite. Le leggi federali impongono che in caso di emergenza, le porte debbano aprirsi dall'interno senza che l'utente conosca qualcosa del loro funzionamento". Ho gettato uno sguardo al cielo dal parabrezza. Pensavo che gli alieni, la prossima volta, sarebbero venuti per me. "Inoltre, l'uscita non deve prevedere l'impiego di chiavi o altri oggetti particolari. Le porte di uscita devono essere molto facili da utilizzare".

"Questo ha qualcosa a che fare con il portone che abbiamo osservato, giusto?", gli ho chiesto. Le mie parole mi hanno preoccupato. Vince e io eravamo ormai sulla stessa frequenza operativa.

Mi ha guardato e a questo punto ho scoperto quale doveva essere il mio sguardo. Istintivamente ho cercato di cacciar via dalla testa questi folli pensieri. "Questo ha tutto a che fare con quella porta", ha detto, osservando fuori dal parabrezza e svoltando a sinistra. Eravamo arrivati a destinazione. "Il portone di questo edificio", ha proseguito, "è formidabile. Usa un sistema a cilindri magnetici ad alta resistenza. Probabilmente è in grado di resistere all'impatto di un veicolo a 60 km/h. Le porte sono molto spesse, probabilmente corazzate e il sistema a prossimità è costoso".

Non sono riuscito a resistere: "Ma noi abbiamo uno straccio per i pavimenti".

"Esattamente. Hai notato il meccanismo di uscita?".

No, non lo avevo notato e non potevo certo bluffare. "No", ho ammesso.

"Devi sempre notare tutto", mi rispose, fermandosi per fissarmi. Ho annuito e lui ha proseguito. "Il meccanismo di uscita è una barra di metallo più o meno all'altezza della cintola".

Ho detto "Ah, sì, una barra a pressione". Il termine sembrava sufficientemente tecnico. "No, non è una barra a pressione". Ok, ho sbagliato. "La barra di quella porta è sensibile al tocco. Non funziona a pressione: si apre quando viene toccata. Molto comoda in caso di incendi". Siamo entrati dal cancello e abbiamo parcheggiato. Vince è sceso e ha preso l'appendiabiti e lo straccio per i pavimenti dal sedile posteriore. Aveva allungato completamente l'appendiabiti, creando un lungo pezzo di filo di ferro, sottile ma resistente. L'ha piegato a metà, ha disposto lo straccio dei pavimenti a un'estremità e gli ha girato il filo dell'appendiabiti; poi ha piegato il tutto per formare una curiosa bandiera piegata a 90 gradi. Ho pensato di non fare commenti sulla possibilità di arrendersi in questo modo alle guardie.

"Andiamo", ha detto.

Ci siamo diretti al portone. Erano circa le sei del pomeriggio e in giro c'erano ormai pochi dipendenti. Si è diretto verso la porta, ha infilato l'estremità con lo straccio per i pavimenti fra le due porte all'altezza della cintola e ha iniziato ad agitarlo. Sentivo lo straccio che svolazzava dall'altro lato della porta. Pochi secondi dopo, ho sentito un clack, Vince ha aperto la porta ed è entrato. Ho fissato la porta mentre si richiudeva dietro di lui. La porta si riaprì e Vince mi domandò: "Non vieni?".

L'incontro con il cliente è una cosa da raccontare. Dopo aver speso milioni di dollari per rendere sicuro l'edificio, avevano scoperto che l'intero sistema di sicurezza era stato sconfitto da uno straccio e da un appendiabiti, il tutto per una fessura fra le due porte. I dirigenti erano increduli e hanno richiesto una prova, che Vince ha accettato di fornire sotto forma di una visita in loco. Non so cosa sia accaduto dopo questa dimostrazione, ma non dimenticherò mai la lezione che ho appreso: le soluzioni più semplici sono spesso le più pratiche.

Certamente avremmo potuto lavorare sul sistema a prossimità, scoprire le tolleranze magnetiche della serratura o scalare le pareti e utilizzare la fiamma ossidrica, come nei film, per forare il soffitto, ma tutto ciò non è stato necessario. Questa è l'essenza dell'hacking non tecnologico. Sono necessarie conoscenze tecniche per ideare un attacco non tecnologico; tuttavia, queste conoscenze tecniche non sono necessarie per compierlo. Ancora peggio: nonostante la sua semplicità, un attacco non tecnologico è forse il più pericoloso e sottovalutato.

Nel corso degli anni, ho imparato a seguire i consigli di Vince. Ora noto tutto e tento di evitare i metodi troppo complessi. Non sono quasi mai fuori servizio. Sono costantemente impegnato a trovare nuovi vettori d'attacco, i più pericolosi dei quali possono essere svolti da chiunque.

La chiave dell'hacking non tecnologico

L'elemento chiave dell'hacking non tecnologico consiste nel pensare in modo semplice, essere vigili e viaggiare con gli occhi aperti e lo sguardo indagatore.

Per esempio, quando vado al supermercato o in qualche altra situazione socialmente ricca, osservo le persone. Per me gli estranei sono una sfida e cerco di scoprire di loro più che posso.

Quando incontro un uomo d'affari in aeroporto, la mia mente ingrana la quinta e cerca di scoprire il suo sedile e il suo status sociale; di dedurre i suoi problemi medici; di immaginare la sua situazione familiare (o di scoprire il suo orientamento sessuale); di valutare la sua situazione finanziaria, di stimare il suo reddito, di indovinare le sue abitudini alimentari e perfino il suo indirizzo.

Quando vado a un ristorante, ascolto le conversazioni che si svolgono attorno a me, traendo piccoli frammenti di informazioni. La mia attenzione vaga mentre analizzo i dintorni, tentando di scoprire quanto più possibile.

Quando attraverso il parcheggio di un edificio, controllo i veicoli per determinare cosa si svolge negli edifici e chi vi abita.

Faccio tutte queste cose non perché soffra di disturbi dell'attenzione, ma perché è ormai diventata una deformazione professionale. Ho assistito personalmente al potere della percezione.

Quando devo affrontare grosse sfide relative alla sicurezza, non parto mai alla carica. Mi siedo e osservo. Il semplice addestramento della percezione è in grado di risolvere i problemi più difficili.

| << | < | > | >> |

Pagina 103

Capitolo 5

Ingegneria sociale: come entrare nei loro palazzi

L'ingegneria sociale è l'arma più essenziale a disposizione di un hacker non tecnologico, ma la società ha una relazione di amore/odio con coloro che eccellono in quest'arte. Ci piacciono i "buoni" dell'ingegneria sociale come Zorro, Clark Kent e la Primula Rossa; odiamo invece gli altri come Robert Hanssen (il protagonista del film "L'infiltrato"), Aldrich Ames (ex agente CIA) e molti altri.

Qualunque cosa pensiate sugli esperti di ingegneria sociale, dovreste quanto meno conoscere il loro comportamento, per imparare a proteggere voi e coloro che vi circondano, poiché gli ingegneri sociali hanno un grosso vantaggio: giocano con voi ancora prima che abbiate modo di rendervi conto che siete i protagonisti di questo gioco.

Introduzione

A questo punto del libro, dovreste essere giunti alla conclusione che un hacker non tecnologico è un po' un opportunista, un po' un attore e un po' un artista della truffa. Gli esperti di sicurezza chiamano questo tipo di comportamento con il termine social engineering, che possiamo tradurre come ingegneria sociale. Un hacker sperimenta su un sistema tecnologico per vedere se può trarne risultati utili, diversi da quelli previsti dal suo creatore. Un "ingegnere sociale" svolge la stessa operazione, ma sulle relazioni umane.

La prima parte di questo capitolo è stata scritta da Jack Wiles. Jack è un professionista della sicurezza, con oltre 30 anni di esperienza nel campo della sicurezza dei computer, della prevenzione dei crimini informatici, del Disaster Recovery e della sicurezza fisica. Ha addestrato centinaia di agenti federali, avvocati, amministratori delegati e auditor interni sui temi dei crimini informatici e di altri argomenti legati alla sicurezza. Le sue indimenticabili presentazioni si basano su decenni di "battaglie" personali dalle trincee della sicurezza delle informazioni e fisica. Poiché l'ingegneria sociale è l'anima dell'hacker non tecnologico e Jack è un grande esperto d'ingegneria sociale, vi metto in buone mani. A te, Jack!

Quanto è facile?

Quando ero leader del team di infiltrazione, ho imparato ogni trucco possibile per condurre con successo un test. In tali anni ho acquisito la maggior parte delle tecniche di ingegneria sociale. Questa abilità mi ha aiutato ad abbandonare l'abbigliamento da dumpster diving e a ritirarmi dal TigerTeam senza sconfitte. Anche se ho avuto parecchi incontri ravvicinati, non sono mai stato fermato o condotto dagli uomini della sicurezza come possibile ladro o agente di spionaggio industriale, anche se questo è proprio il ruolo che ricoprivo, in pratica è quello che sono.

Nel 1988, facevo parte di un team di verifica della sicurezza interna di grandi aziende. In varie occasioni ho avuto l'opportunità di udire conversazioni in cui un gruppo "black hat" (i "cattivi") prendeva di mira una vittima chiamandola al telefono. I black hat usavano tecniche di ingegneria sociale per ottenere l'accesso a informazioni interne, tra cui le password. Quello che un vecchio black hat diceva a un giovane praticante rimane vero anche oggi: "L'ingegneria sociale è il modo più facile per violare un sistema".

Perché chi attacca preferisce l'ingegneria sociale come metodo d'attacco? Supponiamo che siate un hacker black hat di alto livello e che una multinazionale vi abbia offerto una montagna di denaro in cambio di credenziali valide per accedere alla rete del principale concorrente. In breve, cercano una o più coppie nome-utente/password.

L'ipotetica azienda bersaglio di queste attenzioni si chiamerà Internatíonal Acronym. Un black hat esperto non avrà alcun problema a individuare un nome-utente per la rete di International Acronym. Molte grandi aziende assegnano il nome-utente sistematicamente sulla base del nome e cognome del dipendente. Se Joe Doaks lavora per International Acronym, il suo nome utente sarà probabilmente una delle seguenti varianti: joedoaks, jdoaks, JDoaks@Acronym e così via. Se riuscite a conoscere il nome dei dipendenti, potete anche immaginare il loro nome-utente. Un modo ovvio per fare ciò è quello di sottrarre un elenco telefonico interno (ne parleremo più avanti). Ma poiché siete scaltri, competenti e maestri di alte tecnologie, iniziate collegandovi al sito web di International Acronym per scoprire alcuni nomi. Ne avete parecchi fra cui scegliere: dirigenti, incaricati delle pubbliche relazioni, un manager del supporto tecnico, un dirigente del marketing, citato in un'intervista. Un indirizzo email qua e là dichiara la struttura del nome-utente. Ottimo! Non rimane che trovare le password.

Il mio scopo è quello di paragonare le attività di un hacker ad alta tecnologia per ottenere una password valida del bersaglio con ciò che un hacker non tecnologico può fare per ottenere questa stessa informazione. Pronti? Ecco le operazioni ad alta tecnologia.

• Scansione della rete di International Acronym per scoprire se vi sono porte aperte a Internet. Potreste eseguire la scansione dell'intera gamma di 65.000 porte in pochi secondi, ma il sistema di rilevamento delle intrusioni di International Acronym si accenderà come un albero di Natale e suonerà le sirene d'allarme. Siete troppo intelligenti per farvi scoprire così banalmente e dunque eseguite la scansione in modalità stealth. Dovete procedere con cautela e lentamente, analizzando una porta ogni 8 secondi, preferibilmente dai tanti indirizzi IP che appartengono all'immensa rete di computer botnet che controllate.

• Installazione di malware sulla macchina di una vittima. Supponendo che la scansione delle porte riveli la presenza di una porta aperta, il passo successivo è quello di infilare un rootkit nella rete di International Acronym. Programmate un piccolo script che sfrutta una decina di punti deboli corretti recentemente, nella speranza che International Acronym non si sia ancora preoccupata di aggiornare ogni applicazione della rete. Preparate e crittografate un frammento di codice che sfrutta i difetti di Internet Explorer, di Quicktime, della barra degli strumenti di Yahoo, di WinAnip e di altre note applicazioni e poi la inviate. È un po' come fare il primo milione di dollari: la prima vittima è la più difficile. Ma poiché siete così "avanti" supporremo che riusciate a inoculare con successo il codice in uno dei computer della rete di International Acronym.

• Enumerare la rete bersaglio. Congratulazioni! Ora siete nella rete di International Acronym. Ma quali sono le sue dimensioni? Da quante sottoreti è composta? Usa router o switch? Come sono fatte le connessioni? Riuscite a trovare i server che contengono i file di password? Dovete mappare attentamente la rete, nascondendo le vostre attività ogni volta. E nell'ambiente di rete odierno, dove "cane mangia cane", potreste anche imbattervi in altri hacker o quanto meno dovrete chiudere la breccia nella sicurezza che avete aperto, in modo che non possa essere sfruttata da un altro hacker meno esperto che finirebbe per smascherare anche la vostra attività.

• Individuare e copiare il file delle password crittografate. Supponiamo che International Acronym utilizzi una rete Windows. Probabilmente utilizzerete uno strumento come pwdump per sottrarre una copia utilizzabile delle loro hash di password, che trasferirete sulla vostra rete per tentare di decodificare tutte quelle preziose password. Dovete spostarvi da un computer all'altro della rete di International Acronym, come in una serie di passi, avvicinandovi sempre di più al server principale delle password. E naturalmente, dovete fare tutto questo celando la vostra attività, modificando i log e alterando le chiavi del registro di sistema, in modo da non cambiare la data di accesso a determinati file.

• Eseguire strumenti automatici di cracking sul file crittografato delle password. Ora che avete i codici delle password e che le vostre attività nella rete di International Acronym sono attentamente nascoste, potete risvegliare John the Ripper, nutrito con i vostri dizionari preferiti e una grossa tabella rainbow. Probabilmente sfornerà qualche password in meno di un'ora (se volete vederne il funzionamento in condizioni di laboratorio, vi segnalo il video di SecurityWise How Password Crackers Work all'indirizzo http://video.google.com/videoplay?docid=4683570944129697667).

Wow! È stata dura, ma ce l'avete fatta. Il tutto ha richiesto circa una settimana di lavoro. Ora ecco come raggiungere lo stesso obiettivo (una password valida della rete di International Acronym) in modo non tecnologico. Pronti? Contate i passi.

• Telefonare.

• Telefonare una seconda volta. Mentre state chiacchierando, domandate e prendete nota delle credenziali di login valide.

Ecco fatto. Ora vi mostrerò come tutto questo sia possibile. Per il momento, provate a paragonare queste due procedure e scoprirete perché gli hacker trovano che gli attacchi a ingegneria sociale sono più facili di quelli ad alta tecnologia.

E la versione a due passi è quella difficile. I veri assi dell'ingegneria sociale possono farvi dire di tutto anche alla prima conversazione. Un giorno, ero in attesa dell'autobus a Seattle e ascoltavo due persone che parlavano della loro rete aziendale. Uno diceva all'altro che aveva scelto una password bellissima, pronunciandola senza problemi. Probabilmente si sentiva sicuro, protetto dall'anonimato. Ma quando ho lanciato uno sguardo incredulo per vedere che razza di folle avesse avuto la bella idea di pronunciare la propria password per strada, ho visto, appesa a una tasca dei pantaloni, il suo tesserino, dove era scritto chiaramente il suo nome. Proprio sotto il logo di Amazon.com, il cui quartier generale era due palazzi più in là. Incredibile.

L'ingegneria sociale può essere anche così facile.

Ancora meglio: l'ingegneria sociale non conta su un difetto di un complesso sistema per preparare l'attacco. Sferra un abile attacco direttamente sulla psiche dell'avversario. Nella maggior parte dei casi, tutto ciò che serve è una cartelletta e un biglietto da visita. Quindi, oltre a essere facile, l'ingegneria sociale è estremamente economica (anche gli hacker si preoccupano dei tagli nei loro margini di profitto).

Negli ultimi quindici anni, ho appreso di persona quanto sia facile essere un ottimo truffatore e ho comandato parecchi team di intrusione nei palazzi dei clienti che ci avevano assunto per collaudare i loro punti deboli. Neppure una volta abbiamo fallito o siamo stati fermati mentre vagavamo per il palazzo fingendo di essere dipendenti. Tutti coloro che ci incontravamo mentre svolgevamo la nostra attività pensavano che fossimo li legittimamente.

Come è possibile tutto questo? Semplice, perché è la natura umana.

I punti deboli della natura umana

Questo certamente non è il primo testo scritto sull'ingegneria sociale. Più leggete articoli e libri sull'argomento e più chiaramente inizieranno a emergere tratti comuni. Un esperto di ingegneria sociale rivolta contro di noi la nostra natura altruistica.

Uno dei migliori libri su questo argomento è stato scritto da Kevin Mitnick, ampiamente riconosciuto come il re dell'ingegneria sociale. Il suo testo The Art of Deception: Controllíng the Human Element of Security dimostra, racconto dopo racconto, quanto sia facile sfruttare la gentilezza umana.

Mitnick spesso si è finto una persona in difficoltà o che aveva un problema che non poteva essere risolto se non con una semplice informazione in possesso della persona con cui stava parlando. Normalmente le informazioni richieste erano apparentemente innocue. Per esempio, se lavorate nella filiale di una grande banca e qualcuno vi chiama chiedendo l'indirizzo di un'altra filiale della stessa banca, questa non sembra un'informazione troppo riservata. Così la persona contattata risponde alla domanda. Nella conversazione, però, fornisce involontariamente molte più formazioni: termini gergali utilizzati solo dai dipendenti. Il nome ufficiale di un modulo. Il numero di cifre presenti in un numero di conto corrente.

Mitnick era maestro nell'assemblare questi frammenti di dati e sfruttarli per ottenere ulteriori dati. Se qualcuno vi chiama, utilizza il gergo tipico utilizzato in azienda, sembra conoscere i sistemi di numerazione tipici della vostra attività e sembra anche pensarla come voi a proposito dei dirigenti e dei clienti, vi convincete immediatamente che quella persona sia dei "nostri" e non dei "loro". E siamo sempre pronti ad aiutare i "nostri".

Non sono certo contrario alla gentilezza. Ma deve andare di pari passo con la diffidenza. In questa discussione, consideriamo minacce provenienti da persone che non sono mai state dipendenti e che non hanno niente a che vedere con il luogo in cui si trovano. Questi estranei dovrebbero essere facili da individuare e da fermare, giusto? Davvero?

Salve? Tutto bene?

Quella degli "estranei che non hanno niente a che vedere con il luogo in cui si trovano" è la categoria in cui rientra il mio team di intrusione. Quando vaghiamo nei palazzi senza ostacoli, decisamente non apparteniamo a questo luogo; effettivamente siamo stati assunti proprio per provarci, ma all'insaputa di tutti i dipendenti. Chiunque voglia svolgere la stessa attività nello stesso palazzo per attività di spionaggio o per pianificare un atto terroristico, probabilmente rientrerebbe in questa stessa categoria. In teoria, qualche dipendente all'interno del palazzo dovrebbe riuscire a smascherare questo vero e proprio cavallo di Troia.

Ho dedicato anni a svolgere questa attività e siamo stati assunti aspettandoci di essere catturati. I nostri attacchi erano progettati per diventare sempre più audaci a mano a mano che il team permaneva nel palazzo. Verso la fine di quasi ogni lavoro, camminavamo tranquillamente nei corridoi come se lavorassimo lì, sperando che, prima o poi, qualcuno ci bloccasse. Non è mai accaduto! I dipendenti, si comportano costantemente con beata tranquillità.

La gentilezza e l'altruismo sono una cosa, ma questa è proprio un'altra cosa. Per ormai più di tre decenni, ho potuto osservare una mancanza di consapevolezza di questo problema. Nel corso degli anni, ho trovato troppo pochi articoli su questa silenziosa e formidabile minaccia.

Certamente siamo stati bravi, ma sospetto che in giro ci siano anche molti "cattivi" molto migliori di noi, ma che non cercano in tutti i modi di farsi prendere come facevamo noi. Inoltre operavamo sulla base di precise regole, di cui i "cattivi" certamente non si preoccupano. Forzare un ingresso oppure rompere il vetro di una porta o di una finestra non è certo nel nostro stile. I nostri principali strumenti erano una mente fredda e le nostre conoscenze di ingegneria sociale. Dunque se non siamo mai stati presi nonostante il fatto che lavorassimo sotto questi vincoli, immaginatevi che bersaglio goloso siate per un intruso molto scaltro e che punta in alto: ricchezza o prigione.

La vostra azienda deve alzare la guardia. In conclusione, permettetemi di descrivervi un esempio di come ho ingannato i dipendenti chiedendo loro di fornirmi informazioni riservate. Questo vi aiuterà a rafforzare il vostro assetto difensivo.

| << | < | > | >> |

Indice

| << | < | > | >> |

Pagina ix

| << | < | > | >> |

Pagina xvii

| << | < | > | >> |

Pagina 103

| << | < |