Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012

500 views

Published on

Gli attacchi ai dati strategici aziendali sono un problema attuale e di enorme importanza per le organizzazioni aziendali. Gli attacchi avvengono con tecniche che devo essere riconosciute per poter addestrare correttamente tutto il personale.
Qui si spiega un attacco tramite ingegneria sociale.
Ingegneria sociale: cos\'è, come agisce, gli obiettivi, come riconoscerla, come evitarla.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
500
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012

  1. 1. INGEGNERIA SOCIALE Seminario 28.11.2012 La tutela dei dati Strategici aziendali 1
  2. 2. Alessandro PetraccaBusiness Process Analyst CEREMIT srl 28.11.2012 2
  3. 3. Video Introduttivo DAVE 3
  4. 4. Ingegneria Sociale Kevin Mitnick ThinkingSi possono investire milioni di dollari persoftware, per lhardware e per dispositivi disicurezza allavanguardia, ma se cè anche ununico dipendente della nostra azienda chepuò essere manipolato con un attacco diingegneria sociale, tutti soldi investiti sarannostati inutili. Kevin Mitnick 4 www.CONFIDACE.it
  5. 5. Sicurezza ed OrganizzazioneI deficit organizzativi sono la base del bassostandard di sicurezza aziendale.Mancanza di personale qualificato●●Insufficiente e non specifico training per gliamministratori di sistema e di reti●Inesistenza o insufficienza di istruzioni eresponsabilità sulla sicurezza - Security Policy 5 www.CONFIDACE.it
  6. 6. Sicurezza cosè?La sicurezza non è un prodotto, ma unprocesso.Solo la precisa conoscenza di tutto il processo digenerazione dell informazione rilevante, puògarantire una corretta implementazione delprocesso di sicurezza. 6 www.CONFIDACE.it
  7. 7. Sicurezza come illusione●Le informazioni rubate restano comunque inpossesso di chi le detiene●Le informazioni sono gestite da operatori umaniche spesso ignorano le procedure di sicurezza●La debolezza del processo di sicurezza èuniversale e indipendente dalla piattaforma, dalsoftware, dalla rete o dalletà dellattrezzatura 7
  8. 8. VideoLe Iene 8
  9. 9. Ingegneria Sociale cosè?E un metodo per ottenere laccesso alle retie ai sistemi protetti attraverso linganno delpersonale o degli amministratori di sistema.Una manipolazione della naturale tendenzaalla fiducia dellessere umano, architettatacon lobiettivo di ottenere libero accesso a informazioni di valore. 9 www.CONFIDACE.it
  10. 10. Ingegneria Sociale cosè? Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungerne lobiettivo prefissatoCapacità di Influenzare una persona con lobiettivofinale di farle rivelare informazioni confidenziali o di farla agire in modo da consentire laccesso o luso non autorizzato di sistemi, reti o informazioni 10
  11. 11. Ingegneria Sociale Perchè funziona?●È più facile di un hacking●Non richiede specialisti informatici●Costi e rischi bassi●Funziona con qualsiasi sistema operativo edotazione software●Non richiede collegamento in rete●Lascia poche tracce●Efficacia legata alle interazioni sociali●Obsolescenza molto lunga●Poco conosciuta 11 www.CONFIDACE.it
  12. 12. Ingegneria Sociale AttacchiAttacchi fisici (Raccolta informazioni)●Persone●Documenti●LuoghiAttacchi tecnologiciAttacchi psicologici●Impersonificazione●Persuasione 12 www.CONFIDACE.it
  13. 13. Ingegneria Sociale FootPrintRaccolta e studio delle informazioni sul sistema dacolpire attraverso la conoscenza de:●I sistemi di comunicazione aziendale●La posta interna●lorganigramma aziendale●Giorni e orari di pulizia●Frequentazione degli uffici (consegna di buste, caffè,acqua, pubblicità, depliant) 13
  14. 14. Ingegneria Sociale FootPrint●Dialogo con gli addetti della sicurezza,segretarie, webmaster, sistemisti●Finzione di essere un utente inesperto che hasmarrito una password;●Invio di unofferta di un nuovo firewall peraumentare il sistema di sicurezza 14 www.CONFIDACE.it
  15. 15. Ingegneria Sociale Attacco FisicoRequisiti attitudinali●Buona memoria e conoscenza schemi cognitivi●Cooperazione●Argomenti e ragioni per giustificare lazione Requisiti Fisici●Telefono - Fax●Scanner - Stampanti●Server (posta, anonimizzazione) 15 www.CONFIDACE.it
  16. 16. Ingegneria Sociale Attacco FisicoObiettivi: Password – Server - Help deskLe modalità di attacco●richieste dirette di informazione●truffe telefoniche●rovistare nella carta straccia●rovistare negli hard disk dismessi●falsi sondaggi●sbirciare alle spalle 16
  17. 17. Ingegneria Sociale Dumpster DivingSetacciamento dell immondizia aziendale e privata:●Bollette telefoniche●Resoconti carte di credito●Flaconi di medicinali●Saldi della banca●Scontrini del Bancomat●Bozze documentali●Copie errate 17 www.CONFIDACE.it
  18. 18. Ingegneria Sociale Attacchi tecnologici●Esecuzione di un programma malevolo●Attivazione di un piano di phising●Intercettazione dati digitali●Invio di e-mail contenenti virus o worm●Malware: trojan, spyware, dialer, rootkit●Attivazione controllo microfono e webcam●Controllo digitazione tastiera●Finestra di pop up●Spam●Siti Web●P2P●Attacchi diretti sistema●SCAM (truffa con anticipo della somma) 18 www.CONFIDACE.it
  19. 19. Esplorazione dei dati personaliLog filesLobiettivo dell uso di questi automatismi è quello diconsentire una facile rivisitazione dei pagine web o lacontinuazione di un lavoro dopo una pausa.Il rischio per la sicurezza: se un attaccante accede a questifile può esplorare tutte le informazioni personali e lepreferenze dell utente ( interessi, hobbies, intenzioni diacquisto, cancellazioni di riunioni etc) 19 www.CONFIDACE.it
  20. 20. Esplorazione dei dati personaliHistory filesSalvano tutti gli indirizzi (url) visitati durante gli ultimi giorni,con durate temporali diverse a seconda dei web browser.Rischio Sicurezza: l attaccante conosce esattamente tuttociò che viene visitato avendo maggiori possibilità di avereinformazioni sull utente. 20 www.CONFIDACE.it
  21. 21. Esplorazione dei dati personaliBookmark filesI browser danno agli utenti la possibilità di creare delletabelle personalizzate di siti internet.Rischio Sicurezza: i bookmark file contengono importantiinformazioni personali sull utente, ad esempio laconoscenza dell attore preferito o della band musicalepotrebbero essere di aiuto per scoprire la password. 21 www.CONFIDACE.it
  22. 22. Esplorazione dei dati personaliCacheContiene pagine complete che sono state visitate nelleultime ore o giorni.La cache offre vantaggi in termini di performance e di costise una pagina già visitata viene richiamata dallutente: lapagina non viene ricaricata dal web ma solamente dallacache.Rischio Sicurezza: molti dati di interesse per un attaccantepossono essere ricostruiti dalla cache: username,password, numeri di carta di credito, dati di accesso. 22 www.CONFIDACE.it
  23. 23. Esplorazione dei dati personaliCookie fileI cookie servono a memorizzare informazioni sui webservervisitati. Con i propri cookies i webserver possonoidentificare l utente determinando a cosa gli interessi oquali informazioni hanno già fornito.Rischio Sicurezza: i cookies per le loro attività devonoessere leggibili e scrivibili dai webserver; questacaratteristica li rendono estremamente pericolosi perchèpossono essere modificati e consultati a piacere da unattaccante. 23 www.CONFIDACE.it
  24. 24. Ingegneria Sociale Attacchi PsicologicoLa persona viene guidata lungo il percorso sceltodallattaccante, nella convinzione di avere il controllo totale dellasituazione e credendo di esercitare il libero arbitrio nella sceltadi aiutare qualcunoMotivazioni sottostanti:●La sicurezza è basata sulla fiducia; e la fiducia è basatasullautenticità e sui livelli di protezione.●Osservazione del comportamento delle persone, del loropensiero e delle loro modalità di espressione. 24 www.CONFIDACE.it
  25. 25. Approcci di Ingegneria Sociale●Fingersi una persona dotata di autorità●Fingersi un collega di una sede distaccata●Fingersi un dipendente di un fornitore, di una ditta consociata oun tutore dell ordine●Fingersi un fornitore di sistemi informatici che telefona per unaggiornamento software●Offrire aiuto in caso di problemi, poi fare in modo che ilproblema di presenti realmente, convincendo la vittima achiedere aiuto (reverse engineering)●Inviare via posta elettronica programmi o aggiornamenti gratische lutente deve installare 25 www.CONFIDACE.it
  26. 26. Approcci diIngegneria Sociale ●Chiedere trasferimento di un file in un altro luogo che sembri interno allazienda ●Ottenere e impostare una casella vocale per eventuale telefonata di controllo affinché lattaccante sembri un appartenente allazienda 26 www.CONFIDACE.it
  27. 27. Approcci di Ingegneria Sociale●Usare una falsa finestra pop up per chiedere all utente diconnettersi di nuovo o di registrarsi con password●Lasciare cd o usb contenente software nocivo in giro per uffici●Usare gergo e terminologia di chi è addentro per non destraresospetti●Offrire un premio a chi si registra ad un sito web con usernamee password●Fingere di essere un dipendente di un altra sede dell aziendae chiedere accesso in loco al servizio di posta elettronica●Lasciare un documento o un file nella posta interna aziendale●Modificare lintestazione fax●Chiedere al banco accoglienza di ricevere e inoltrare un fax 27Tratto da psicologia contemporanea maggio giugno 2004
  28. 28. VideoSUGO RAI 4 28
  29. 29. Ingegneria Sociale come evitarla?Laccesso allinformazione deve essere fornito sololimitatamente a quelle informazioni di cui si haassolutamente bisogno per portare a termine icompiti di lavoro assegnatiEducare e rendere consapevole che tratta leinformazioni sensibili 29
  30. 30. Ingegneria Sociale come evitarla?Attività di sicurezza:●Individuazione sconosciuti●Distruzione materiale cartaceo●Cancellazione definitiva dei supporti informatici●Chiusura uffici e cassettiere●Tenere in ordine la scrivania●Non inviare password e account via e-mail●Controllare sempre che il sito che si sta visitando siaoriginale●Randomizzazione abitudini 30
  31. 31. Prevenzione Attacchi●Educazione del personale aziendale●Cultura della sicurezza e di diffidenza informativa●Classificazione delle informazioni e della documentazione●(es. confidenziali – personali – interne -pubbliche)●Attenzione nell uso di informazioni interne: nomi dipendenti,organigramma, codici uffici, procedure di accesso remoto;●Indirizzi web generici: vendite@nomeazienda nopaolo.rossi@nomeazienda●No @ nelle poste elettroniche dei siti●Controllare e richiamare il numero di utenti non conosciuti●Badge colorati e con foto sempre in vista●Nuovi assunti: training sulle procedure di sicurezza prima dellaccesso a strutture informatiche 31Tratto da psicologia contemporanea maggio giugno 2004
  32. 32. Prevenzione AttacchiEseguire penetration test da società specializzate●●Riportare tutti i casi di intromissione verificata osospettata 32 www.CONFIDACE.it
  33. 33. Grazie per lattenzione Alessandro Petracca alessandro@ceremit.it Skype: dott2alessandropetraccaGtalk: Alessandrovi193@gmail.com 33

×