Sicurezza

Ingegneria Sociale - (Prima Parte)

Per ingegneria sociale (dall'inglese Social Engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni molto preziose. Un ingegnere sociale (Social Engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire (“la sottile arte dell’inganno”).

Questo argomento scaturisce da una riflessione sulla comunicazione e sulle tecnologie ad essa collegate, soffermando l’attenzione soprattutto su un’attenta analisi del ruolo svolto dai nuovi strumenti di comunicazione di massa (Internet: siti web, forum, blog, etc., etc.), se non altro per l’ampiezza del pubblico che raggiungono.

In particolare viene presa in considerazione una tecnica particolare, il Social Engineering cioè l’insieme di tecniche psicologiche (non informatiche) usate per ottenere accesso ad informazioni altrimenti precluse utilizzando la psicologia, la persuasione e l’inganno. Queste tecniche esulano da competenze informatiche specifiche, in quanto basta conoscere la psicologia di base delle persone (reagiamo tutti allo stesso modo ad alcuni stimoli di base).

Sfruttano la propensione delle persone a rispondere a domande dirette e impreviste o ad aiutare qualcuno che sembra in difficoltà. Prima di tutto è fondamentale capire l’importanza delle parole e le differenze tra gli Hacker, i Cracker e le decine di altre sottocategorie (1). Dall’immaginario comune discende la seguente definizione di hacker (black, gray o withe che sia): [...] un ragazzo, al lavoro, al buio, chino sul computer, circondato da apparecchi tecnologici, da scarti di pizza, da tazze sporche di caffè, mozziconi di sigaretta e con ogni superficie piana occupata da manuali, documentazione o print-out (2) di vario genere, intento a digitare comandi e a lanciare attacchi verso un bersaglio posto all’altro capo del mondo...”[…] definizione, tra l’altro, non corrispondente a verità, in quanto gli hacker sono quelli che si divertono ad esplorare i dettagli dei sistemi di programmazione in una sfida spesso solitaria contro gli stessi.

L’hacker è curioso, ama scoprire e conoscere, non sempre cosciente delle conseguenze penali cui potrebbe andare incontro. I Cracker, invece, posso essere definiti come coloro che oltre che infrangere la sicurezza informatica di un sistema, si comportano da veri e propri vandali. Tutto questo scenario porta a ingannarsi in un falso senso di sicurezza, che portano ad adottare elementari precauzioni quali antivirus, firewall e buon senso. Per scavalcare queste precauzioni c’è un modo molto “più” semplice: indurre la vittima, tramite espedienti psicologici (non informatici), a fidarsi, in barba al buon senso e fornire tutto “volontariamente”.

Quindi essere vittima del Social Engineering non è una questione di quoziente intellettivo (ci sono parecchi casi spettacolari perpetrati ai danni di illustri professionisti!), quindi dire “io sono troppo intelligente per abboccare” non serve a granché se non si conoscono le tecniche usate.


1) Ad esempio gli Script kiddies, i Phreak, i Withe Hat e i Black Hat, i Lamer, i (Web) Defacer, i Newbie, i Geek, i Nerd e molti altri ancora.

2) Una versione stampata di testo o di dati.

Comments   

EgoandAlter
0 #4 EgoandAlter 2011-12-19 20:58
Salve ,
ho letto i suoi commenti e mi fa piacere che le piaccia l'articolo (che è solo una piccolissima parte di un "discorso" molto più ampio). Per quanto riguarda le sue contestazioni, mi preme ricordarle, per esperienza personale che:
Quote:
Gli script kiddie sono così chiamati perché usano prodotti "preconfezionati", spesso sotto forma di script Perl o di shell, invece di scrivere del loro codice. In molti casi, i kiddie non sono pienamente consapevoli dell'utilizzo dei loro strumenti (per non parlare delle conseguenze).
Contrariamente a ciò che si potrebbe pensare, gli script kiddie rappresentano una grande minaccia per i sistemi collegati a Internet. Le loro motivazioni indefinibili li rendono imprevedibili; le loro capacità limitate aumentano le probabilità che causino involontariamente al sistema compromesso danni più gravi di quanto, potrebbe far un esperto. (Un danno equivale a una potenziale prova di carico, cosa che i professionisti preferiscono non fornire inutilmente).
L'immaturità aumenta le probabilità di causare danni: gli sfiguramenti dei siti web e gli attacchi DoS, come graffiti e vandalismo, sono soprattutto prerogativa dei giovani. Inoltre, gli script kiddie sono spesso minorenni, quindi di solito le probabilità che vengono arrestati e subiscano segnalazioni sulla fedina penale sono minime.
... ne consegue che il termine esiste e viene di solito utilizzato per identificare una particolare tipologia di "utenti" che ignari delle proprie azioni (spesso, molto spesso!), si "fidano" dell'amico smanettone di turno per lanciare una serie di istruzioni (appunto script) per aggirare un blocco o per evitare limitazioni inserite dai programmatori.
Come vede le caratteristiche si avvicinano molto a una tipologia di utenti molto vicina a chi confuta tesi senza dati di fatto, senza citarne le fonti, senza citarne gli studi che dimostrino il contrario. Spero di averla aiutata a inquadrare meglio il discorso e di averle "solleticato" la curiosità. Per ogni ulteriore ed eventuale chiarimento e/o informazioni, non esiti a contattarmi, il mio indirizzo di posta elettronica è: .

Giorgio Caraibi
bini smaghi
0 #3 bini smaghi 2011-11-26 08:25
oh genio guarda che l'articolo è firmato :D
Luke Wilson
0 #2 Luke Wilson 2011-11-23 15:46
La mia domanda è : PERCHE ROVINARE UN ARTICOLO SCRITTO DA DIO CON TERMINI E ESPRESSIONI CONIATA E ISTITUITE DA HANDICAPPATI O LIMITATI DI MENTE?

NON HO OFFESO TE E NE NESSUNO , MA SOLO CHI HA CREATO QUESTI TERMINI!
Luke Wilson
0 #1 Luke Wilson 2011-11-23 15:45
L'articolo è ottimo e mi complimento con chi l'abbia scritto. Però la lacuna gravissima sono i neologismi inesistenti (alcuni) utilizzati a causa della disinformazione dei media.
Ho letto vari libri e mi sono documentato. Gli hacker non sono criminali ma sono esperti di sicurezza che entrano nei sistemi per conoscere e per sete di conoscenza mentre i Cracker sono i cyber-criminali che vogliono ottenere informazioni sul sistema a scopo di lucro o danno.
NON ESISTONO I LAMER, SCRIPT KIDDIES O WANNABE O KIDDIOT. NON ESISTONO QUESTI NEOLOGISMI! E NON DIRMI CHE MI SBAGLIO E NON MI CITARE NEANCHE "WIKIPEDIA" CHE E LA FONTE PIU IN BASSA IN ASSOLUTO! LA STESSA CYBER-UTENZA IN AMBITO DELL'UNDERGROUN D OMETTE LE VOCI.
I TERMINI FANNO RIFERIMENTO A PERSONE FANTOMATICHE CHE NON ESISTONO SUL PIANO REALE O FISICO. IN SOSTANZA SUL PIANO FILOLOGICO E LINGUISTICO TALI ESPRESSIONI IDIOMATICHE NON HANNO ALCUN VALORE.