Una catena è forte quanto il suo anello più debole.

Il 15 febbraio 1995, dopo una fuga durata oltre due anni, venne arrestato Kevin Mitnick, dalla maggior parte degli addetti ai lavori definito come “il più grande hacker della storia”. Kevin, nato nel 1963, era un bambino particolare: a 12 anni viaggiava gratis sugli autobus di Los Angeles usando biglietti contraffatti e, in età adulta, più di una volta, ha avuto accesso (fisicamente) agli uffici di grandi aziende multinazionali.

Nella sua autobiografia racconta come andasse a cercare biglietti usati nei cassonetti nei parcheggi degli autobus, o di come fabbricasse fac-simile dei badge aziendali con Photoshop. In quest’ultimo caso, la tecnica era molto semplice: si appostava fuori gli uffici fin quando non trovava un gruppo di 4 o 5 impiegati che rientravano di ritorno dalla pausa e li seguiva fino all’ingresso; questi aprivano la porta grazie al loro badge e, notando che anche lui ne era in possesso (benché finto), gli lasciavano la porta aperta, scambiandolo per un collega (in un’azienda molto grande era ammissibile che non si conoscessero i volti di ogni singolo impiegato).

Kevin Mitnick è stato una figura fondamentale per il mondo IT; è grazie a lui se, al giorno d’oggi, nell’ambito cybersecurity, queste e altre tecniche hanno un nome, una classificazione e una definizione ben precisa, ad esempio: 

•per tailgating si intende una modalità per infiltrarsi in aree ad accesso limitato di un edificio sfruttando gli impiegati che, invece, possono raggiungere queste aree normalmente.

•con dumpster diving, invece, si intende la ricerca di informazioni sensibili nella spazzatura, sembra assurdo? Eppure, per fare un esempio, quanti post-it contenenti username e password o altri dati personali, dopo un po’ finiscono in un cestino dell’immondizia? Per un malintenzionato che ha un target ben preciso, queste informazioni possono essere oro e questo è un modo concreto per entrarne in possesso.

Sono solo due esempi di quella che oggi è chiamata ingegneria sociale, ossia quella branca che si occupa di studiare il comportamento umano e le tecniche sociali e di manipolazione finalizzate all’ottenimento di informazioni sensibili. Ne siamo vittima, più o meno inconsapevolmente, tutti quanti ogni giorno: un allegato in una mail, un link in un messaggio o in un SMS, o addirittura vere e proprie pagine di login manipolate in modo da permettere a un malintenzionato di memorizzare username e password.

L’anello debole di qualsiasi sistema di sicurezza, infatti, è proprio l’essere umano, ed è proprio da qui che la maggior parte degli attacchi informatici ha inizio: la ricerca di qualsiasi tipologia di informazione sul bersaglio, molto spesso facilmente reperibile online, come email (phonebook.cz), indirizzi, numeri telefonici, dump di password (dehashed.com), siti web e dati sull’infrastruttura (wappalyzer o builtwith.com) e perfino orari di apertura/chiusura e turni di lavoro. Pensate all’impiegato in smart working da cui è partito l’hack alla regione Lazio (credete davvero che un simile attacco possa essere compiuto andando così alla cieca?), oppure allo sciagurato che ha messo in bella mostra le credenziali del centro vaccinale nel servizio del TG3... c’è ancora da meravigliarsi se in Italia in 6 mesi sono raddoppiati gli attacchi informatici?

Niente action in stile Wargames, quindi, né terminali neri con scritte verde fluorescente e banner giganti con scritto ACCESS GRANTED. Per entrare in un sistema informatico, spesso e volentieri, bastano le giuste informazioni, una buona dose di pazienza e un pizzico di fortuna.

In Italia, purtroppo, nonostante le elevatissime competenze a livello tecnico, siamo ancora molto indietro sotto questo aspetto: a causa degli scarsi investimenti sulla sicurezza, la figura del pentester (colui che si occupa di hackerare legalmente un sistema al fine di migliorare i controlli di sicurezza) è ancora poco considerata e, nei rari casi, estremamente vincolata nel loro margine di manovra, portando spesso i test a essere approssimativi o non esaustivi. Ironicamente, all’estero, è invece una delle figure professionali più pagate e ricercate nel settore IT. 

Non resta insomma che sperare in una svolta, alla luce degli ultimi avvenimenti, almeno per quanto riguarda le buone pratiche di prevenzione dei suddetti attacchi, come ad esempio la verifica continua delle fonti da cui arrivano i link e gli allegati che scarichiamo, o la selezione accurata delle password e delle modalità di memorizzazione, con conseguente limitazione dei post-it in giro per l’ufficio con le credenziali.

«Una catena è forte quanto il suo anello più debole.» Christiaan Neethling Barnard