Sicurezza

Ingegneria Sociale - (Prima Parte)

Per ingegneria sociale (dall'inglese Social Engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni molto preziose. Un ingegnere sociale (Social Engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire (“la sottile arte dell’inganno”).

Questo argomento scaturisce da una riflessione sulla comunicazione e sulle tecnologie ad essa collegate, soffermando l’attenzione soprattutto su un’attenta analisi del ruolo svolto dai nuovi strumenti di comunicazione di massa (Internet: siti web, forum, blog, etc., etc.), se non altro per l’ampiezza del pubblico che raggiungono.

In particolare viene presa in considerazione una tecnica particolare, il Social Engineering cioè l’insieme di tecniche psicologiche (non informatiche) usate per ottenere accesso ad informazioni altrimenti precluse utilizzando la psicologia, la persuasione e l’inganno. Queste tecniche esulano da competenze informatiche specifiche, in quanto basta conoscere la psicologia di base delle persone (reagiamo tutti allo stesso modo ad alcuni stimoli di base).

Sfruttano la propensione delle persone a rispondere a domande dirette e impreviste o ad aiutare qualcuno che sembra in difficoltà. Prima di tutto è fondamentale capire l’importanza delle parole e le differenze tra gli Hacker, i Cracker e le decine di altre sottocategorie (1). Dall’immaginario comune discende la seguente definizione di hacker (black, gray o withe che sia): [...] un ragazzo, al lavoro, al buio, chino sul computer, circondato da apparecchi tecnologici, da scarti di pizza, da tazze sporche di caffè, mozziconi di sigaretta e con ogni superficie piana occupata da manuali, documentazione o print-out (2) di vario genere, intento a digitare comandi e a lanciare attacchi verso un bersaglio posto all’altro capo del mondo...”[…] definizione, tra l’altro, non corrispondente a verità, in quanto gli hacker sono quelli che si divertono ad esplorare i dettagli dei sistemi di programmazione in una sfida spesso solitaria contro gli stessi.

L’hacker è curioso, ama scoprire e conoscere, non sempre cosciente delle conseguenze penali cui potrebbe andare incontro. I Cracker, invece, posso essere definiti come coloro che oltre che infrangere la sicurezza informatica di un sistema, si comportano da veri e propri vandali. Tutto questo scenario porta a ingannarsi in un falso senso di sicurezza, che portano ad adottare elementari precauzioni quali antivirus, firewall e buon senso. Per scavalcare queste precauzioni c’è un modo molto “più” semplice: indurre la vittima, tramite espedienti psicologici (non informatici), a fidarsi, in barba al buon senso e fornire tutto “volontariamente”.

Quindi essere vittima del Social Engineering non è una questione di quoziente intellettivo (ci sono parecchi casi spettacolari perpetrati ai danni di illustri professionisti!), quindi dire “io sono troppo intelligente per abboccare” non serve a granché se non si conoscono le tecniche usate.


1) Ad esempio gli Script kiddies, i Phreak, i Withe Hat e i Black Hat, i Lamer, i (Web) Defacer, i Newbie, i Geek, i Nerd e molti altri ancora.

2) Una versione stampata di testo o di dati.