Ecco il testo integrale dell’intervista svoltasi, come già spiegato, al termine della IDC Security Conference 2005.
La mia prima domanda a Kevin è più di tipo “sociale” le successive saranno più tecniche.
Questa domanda è simile a quella effettuata a Parigi nello scorso autunno, ma con l’aiuto di Raoul sarà possibile avere anche una risposta con visione nazionale.
Come il mercato del lavoro modifica la possibilità di subire Social Engineering nelle varie aree del mondo? In particolare qual è la situazione del fenomeno in Giappone, negli Usa ed in Europa e qual è il ruolo emergente dei nuovi paesi del lontano Oriente come la Cina? È interessante avere un’idea di tale situazione anche da Raoul in funzione del rapido cambiamento del mercato italiano specialmente nel settore dei Call Center.
Kevin Mitnick
“Sicuramente per una azienda il rischio di subire Social Engineering aumenta con l’aumentare della dimensione e l’incremento del turn-over. Più alto è il ricambio di personale e maggiore è la semplicità nel poter portare attacchi perché vi è nuovo personale che spesso non è preparato o non conosce la struttura gerarchica aziendale. Nello stesso modo, l’ampia distribuzione geografica di un’azienda può rappresentare un problema in quanto una truffa può essere lanciata da un social engineer che si spaccia per un collega e manager ad esempio della “filiale di Londra” riuscendo ad ottenere informazioni cruciali per la sua attività.
Ma credo che il turn over sia solo uno dei fattori che genera questo fenomeno: il truffatore può ad esempio impersonare un Fornitore che desidera interloquire con il responsabile.
Il tipo di attacco dipende dal bacino culturale in cui ci si trova. Negli Stati Uniti ad esempio uno dei principali metodi per influenzare la possibile vittima è la Reciprocità. Se io faccio qualcosa per te mi aspetto qualcosa in cambio. Ed in certe nazioni viene utilizzata la reciprocità in altre le tecniche legate allo stabilire rapporti personali, il “buddy-buddy”.
In Spagna ad esempio il dipendente spesso rivela informazioni se legato ad un rapporto di amicizia o di simpatia, in Germania paradossalmente il dipendente rivela informazioni quando è convito che chi le sta chiedendo stia correttamente seguendo una procedura o lo stia facendo per rispettare una regola interna, negli Stati Uniti è molto utilizzato il sistema della reciprocità.
In Giappone, dove l’impiegato è spesso dipendente a vita in società estremamente stratificate, sembrerebbe impossibile effettuare tali operazioni, è invece incredibilmente facile perché quella giapponese è una società basata sulla FIDUCIA e il RISPETTO, dove non obbedire immediatamente agli ordini di un “superiore” è considerato un disonore.
Nei paesi dell’ex Blocco Sovietico invece è molto più difficile operare in questo modo perché solitamente i dipendenti, ad esempio di un Call Center polacco, sono “diffidenti” a causa del background di prudenza e paura che ha dominato queste società per decenni.
Coloro che attaccano modificano quindi i loro metodi in funzione del paese in cui intendono operare.
A proposito del Giappone vi racconto un piccolo aneddoto. Quando molti anni fa stavo effettuando hacking nei confronti di un’azienda giapponese, telefonando alla sede della Compagnia in Giappone non solo non si posero la domanda se fossi veramente il manager americano per il quale ero riuscito a spacciarmi ma mi misero immediatamente a disposizione un interprete per soddisfare le richieste tecniche che stavo avanzando. Probabilmente se avessi parlato perfettamente giapponese non sarei riuscito a ottenere tali informazioni”.
Raoul Chiesa
“Oggi in Italia, dal punto di vista di colui che attacca, la situazione è molto più semplice rispetto a qualche anno fa. La tecnologia è cresciuta, così come il numero di utilizzatori di tecnologie. Pensiamo ad esempio alla telefonia cellulare. Quanti utenti vi erano dieci anni fa? Oggi sono milioni. I Call Center dieci anni fa ricevevano un numero limitato di telefonate da parte di pochi clienti importanti, spesso appartenenti alla fascia medio alta.
Pochi clienti privilegiati per pochi impiegati, spesso dedicati ad una elite.
Oggi abbiamo molti operatori sul mercato, molti dipendenti che rispondono nei Call Center dove è presente un rapidissimo turn-over ed infine il sopraggiungere della cultura americana per la quale “il cliente ha sempre ragione.
Se si prova a contattare un Call Center urlando e pretendendo di avere ragione, ancora oggi molto spesso si riesce ad avere l’informazione che si sta cercando di reperire.
Anche l’outsourcing è un fattore che spesso favorisce l’attacco, in quanto l’outsourcer stesso, sovente, teme di ricevere una grave e fondata lamentela da parte di un cliente che minaccia di contattare direttamente la compagnia madre: questo potrebbe rappresentare un problema per la prosecuzione del contratto, in una situazione dove la concorrenza è agguerritissima ed i costi sempre più ridotti.
Visto che la domanda riguardava anche la Cina, voglio fare una riflessione sul modo di operare in questa nazione, non tanto dal punto di vista del Social Engineering quanto dal punto di vista tecnico. Sto lavorando moltissimo sulla “mobile security” e sto osservando con molta attenzione il mercato cinese dal Wireless al GSM al GPRS all’UMTS.
Non avete idea di quello che sta avvenendo in Cina in questo campo. E penso che il mondo scoprirà questo nuovo fenomeno nell’arco di sei mesi – un anno. Vi è un gruppo chiamato X-Focus che ha organizzato una Security Conference a Pechino a cui sono stato invitato, che sta effettuando delle realizzazioni importantissime.
In Cina si sta lavorando soprattutto sulla convergenza dei vari standard di telecomunicazione utilizzabili su un singolo device.
Vi siete accorti che il primo cellulare UMTS basato su Linux viene dalla Cina e non dalla Finlandia? Credo molto nell’evoluzione/rivoluzione tecnologica della Cina.
La Cina mi spaventa dal punto di vista della sicurezza, e sono 1,3 miliardi di abitanti!
Potete immaginare la rabbia e la motivazione con cui un hacker cinese può operare provenendo da un paese che ha tenuto per anni l’intera popolazione sotto un giogo in cui non era permesso nemmeno esprimere la propria opinione?”.
La seconda domanda è di tipo più tecnico: ho in mano l’edizione di gennaio 2005 di Scientific American, che in Italia viene pubblicata sotto il titolo “Le Scienze” (gli articoli americani solitamente escono due mesi dopo). La copertina di questo mese è totalmente dedicata alla sicurezza informatica “Unbreakable Quantum Encryption has arrived” è arrivata la crittografia quantistica inattaccabile. Nella penultima di copertina si legge: come fanno gli hacker ad entrare nel mio computer? Sono argomenti che fino a qualche anni fa non risaltavano così ampiamente su importanti riviste di questo tipo.
Pensate che la tecnologia RSA sia al tramonto con l’arrivo della crittografia quantistica e che tale tecnologia possa avere successo anche nei paesi quali la Cina?
E infine credete che quando tale metodo di crittografia avrà preso completamente piede la possibilità di operare da parte di un hacker sarà pressoché totalmente annullata?
Kevin Mitnick
“No, posso citare un ricercatore inglese molto conosciuto e stimato che ha lavorato per tutta la vita presso la NSA americana e ha scritto molti libri in merito alla sicurezza informatica. La sua convinzione è stata per anni relativa al fatto che la crittografia avrebbe risolto tutti i problemi di sicurezza, ed oggi è giunto alla conclusione che in realtà la crittografia rappresenti solamente una componente della sicurezza informatica.
Vi sono altre componenti altrettanto importanti quale ad esempio la scorretta implementazione delle tecniche di encrypting che portano alla creazione di falle, l’utilizzo di strumenti per aggirare tale tecniche, l’utilizzo di una bellissima donna che ti convince a rivelare la tua password, o il professionista che memorizza sul suo palmare le password senza proteggerle”.
Raoul Chiesa
“Infatti le componenti sono veramente molte: non so se ricordate le slides del Cert Coordination Center relative alla storia dell’evoluzione dell’hacking dagli anni ottanta ad oggi. Era tecnicamente difficile negli anni Ottanta effettuare un attacco con il proprio computer? Assolutamente no, ma proprio perché erano pochi i computers in circolazione e pochissimi coloro in grado di possedere un computer, un modem e saperli usare con competenza. Io comprai il mio primo modem a 11 anni nel 1984 per 800mila lire!
Oggi nel 2005 abbiamo l’encryption, abbiamo le tecniche di protezione biometrica, ma se ci pensate le tecniche di hacking sono sempre le stesse. Ed oggi dall’altra parte abbiamo il war-driving, Brutus.pl by Raptor eccetera…”.
La mia domanda finale è relativa alle tecniche biometriche di protezione.
Sono stato negli Stati Uniti due mesi fa e sono rimasto molto colpito dai sistemi utilizzati per il controllo dell’immigrazione. Infatti da ottobre 2004 alla persona che si presenta all’immigrazione USA vengono rilevati i dati biometrici (impronte digitali e immagine del candidato) e registrati nel database nazionale. Nei prossimi anni sarà obbligatorio in tutto il mondo il Passaporto Biometrico contenente tali dati.
Pensate che questa sia la vera soluzione per impedire il movimento di terroristi e relativi attacchi?
Raoul Chiesa
“Se l’obiettivo è veramente quello di impedire che terroristi entrino dall’immigrazione, pensiamo solo al fatto che un terrorista in realtà potrebbe attaccare il database nazionale e creare un suo profilo, potendo accedere tranquillamente nella nazione in cui vuole portare un attacco.
Le legislazioni americane ed europee contro il terrorismo, a mio avviso, stanno creando nuove porte per i terroristi e rallentando contemporaneamente l’attività delle persone normali.
La Comunità Europea sta facendo scelte sbagliate, negli Stati Uniti il punto di partenza è giusto visto l’attacco subito, ma l’implementazione della soluzione non è corretta. Non è concepibile che una persona onesta senza passaporto biometrico debba attendere “6 ore” all’immigrazione per depositare le proprie impronte digitali quando un hacker potrebbe benissimo falsificare un passaporto biometrico e passare senza nemmeno fare la coda”.
Kevin Mitnick
“Molte nazioni stanno infatti implementando l’utilizzo del Passaporto Biometrico per la cui applicazione esistono però ancora molti dubbi.
Il problema è che il sistema di scanning biometrico può essere rubato o alterato, i dati che viaggiano per il trasferimento al database centrale intercettati, i database possono essere modificati ed i chip presenti nei passaporti falsificati.
Il problema si pone ulteriormente con l’utilizzo dei validatori automatici che stanno per essere installati negli Stati Uniti per ridurre le code all’immigrazione: infatti se l’impronta digitale e la foto vengono prese da parte di un ufficiale addetto al controllo il tutto ha un’alta garanzia di sicurezza, anche perché è ben difficile manipolare il meccanismo di input di fronte all’addetto, se questo viene fatto da una macchina i rischi di alterazione sono sicuramente superiori”.
Un grazie Kevin e Raoul per la disponibilità e a IDC per l’opportunità concessa.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
