Ingegneria sociale e reazioni a catena: un pericolo reale

di bohboh
Ingegneria sociale e reazioni a catena: un pericolo reale

Una riflessione riguardo la nostra identità virtuale e su come lo sbaglio di uno può essere pagato da molti. Cominciamo subito con il riportare la definizione di ingegneria sociale da wikipedia, per chi non ha idea di che cosa stiamo parlando:

Nel campo della sicurezza delle informazioni, l’ingegneria sociale (dall’inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.

Detto in parole povere: se voglio conoscere dei dati riguardo una persona, per esempio la password, mi studio un po’ cosa piace a questa persona o provo a estorcerla fingendomi qualcun’altro e provando a farmela dare.

Nella rete di oggi, tutto è collegato. Google è cresciuto enormemente e con delle query ben fatte si possono trovare informazioni su moltissime persone.

Ora, avete presente quel forum in cui vi siete iscritti da ragazzini? Magari un bel phpbb2 buggato e pieno di exploit che ancora oggi si trovano su internet, pronti per essere compilati ed eseguiti.

Probabilmente chattavate su MSN. E ancora con alte probabilità avete impostato la domanda segreta. Su quel forum ci avete postato di tutto, ed è pieno di contenuti di utenti, con migliaia di messaggi e una casella di ricerca che altro non aspetta di essere usata.

Competenze informatiche di base

Adesso, mettiamo che Gianni sia un lamerozzo stronzetto da quattro soldi, con competenze informatiche di base. Ha fatto delle lunghe chiaccherate con l’admin di quel forum e anche se non lo conosce di persona, ha abbastanza informazioni su di lui.

Anche se non ne avesse, c’è la mitica casella di ricerca. Quindi Gianni viene in possesso dell’email dell’admin perché ce l’aveva già, perché l’admin l’aveva scritta da qualche parte o perché era visibile pubblicamente sul suo profilo.

Gianni clicca “password dimenticata” sul sito della sua mail e, dopo aver inserito l’username, scopre che tra le modalità di recupero c’è la domanda segreta. Gli viene chiesto il nome del primo animale domestico dell’admin e Gianni lo sa perché l’aveva scritto su Off-topic, parlando del più e del meno.

In 5 minuti, Gianni ha già violato la sua mail ed è dentro.

In 5 minuti, Gianni ha già violato la sua mail ed è dentro. A questo punto, si sfoglia le mail. Oltre ad aver incrementato in maniera mostruosa le informazioni che aveva su quella persona, trova delle mail di conferma registrazione su vari siti.

Perfetto: già da qua sono altre informazioni in più e altri siti sui quali poter mettere mano. Non solo: alcuni di questi siti sono di quelli che ti inviano la tua password una volta registrato (mi sono sempre chiesto se la salvassero in chiaro o se fosse solo un invio temporaneo prima della memorizzazione, ma questa è un’altra storia).

Quindi è già in possesso di alcune sue password, è a conoscenza degli argomenti sui quali concentrarsi quando tira a indovinare una password, e sa anche possibili varianti che può provare a usare.

A questo punto va sul forum e si possono verificare due possibilità:

  • Fa dei tentativi con quelle password, o con varianti delle stesse e ci azzecca.
  • Fa il recupero password. Per sua fortuna (o per capraggine dell’admin) è la mail associata all’account. Reimposta la password ed è dentro.

Adesso è admin e può fare quello che vuole e se già vi sembra che adesso possa fare parecchi danni, lasciamo il suo essere admin da parte, perché non finisce qua.

Gianni infatti sfoglia la mail e si rende conto che l’admin ha collegato un altro account. Può switchare tra i due quando vuole. Poi si reca sul sito che gli hosta il forum (l’username è indovinabile: solitamente il nome del sito, il suo nick o direttamente la mail) e anche qua ha le due possibilità di prima per entrare, solo che adesso ha una chance in più per il recupero della password a causa della mail aggiuntiva.

arriviamo alla parte pericolosa: riesce a entrare nel database

Ora arriviamo alla parte pericolosa: riesce a entrare nel database. Ha accesso a un’altra gigantesca mole di informazioni e può leggere tutto di tutti, ma lasciamo stare. Si reca nella tabella phpbb_users. Voi direte: “e sti cazzi?” No, perché il forum è vecchio e per ogni utente la password è salvata in md5. Se pensate che Gianni si stia per dedicare a un Brute Force, non avete capito una fava: come ho già detto è un lamerozzo da quattro soldi. Prende gli md5 e fa copia e incolla su Google: bingo! Certo, non riesce per tutti gli hash, ma adesso ha altre mail, altre password, altri account da sputtanare.

 

 

Il succo del discorso?

Si tratta di fatti realmente accaduti.

Tutto quello che ho scritto, non l’ho scritto per sport: si tratta di fatti realmente accaduti. E’ una problematica reale ed ancora recente.

A quello che ho riportato poi, ci dovete aggiungere che è pieno di gente che usa la stessa password ovunque o quasi, ci dovete aggiungere che basta cercare su Google per scoprire che le password più utilizzate al mondo sono quelle più banali, ci dovete aggiungere che le ragazze spesso sono più ingenue su queste cose e più facilmente attaccabili, ci dovete aggiungere che sono operazioni fattibili in anonimato con Tor o con altre tecniche migliori che voi probabilmente saprete meglio di me, senza contare che ho qualche dubbio sulle reali capacità delle forze dell’ordine italiane in quest’ambito.

Se siete ancora iscritti a siti,blog o forum vecchi (o magari recenti ma fatti col culo), il mio consiglio è di fare in modo di cancellare tutti i vostri dati o chiederne la cancellazione.

Sembrerò vostra mamma che vi ripete sempre le stesse cose probabilmente ma non mettete per nessun motivo password banali/corte e non mettete la stessa su ogni sito. Fate attenzione alla domanda segreta e soprattutto fate attenzione alle informazioni che immettete nella rete.

Lo stesso vale se siete admin di qualche sito, ma qui le probabilità che qualcuno “indaghi” su di voi sono più alte. Magari qualcuno ha già scoperto la password di Itomi :troll:

 E se una persona sta tentando di rubarvi la password oppure no, voi non lo sapete.

Io non sono andato avanti, ma Gianni poteva benissimo entrare sugli account Facebook, Google o PayPal della gente. Poteva anche fingersi il fidanzato/a e fare altri danni. Insomma: le reazioni a catena che possono verificarsi sono le più disparate. E se una persona sta tentando di rubarvi la password oppure no, voi non lo sapete.

Probabilmente noi nerd siamo più preparati per queste cose ma mi sembrava giusto avvertirvi comunque. Sono sicuro che se vi metteste davvero a provare queste tecniche, rimmarrete quasi scandalizzati da quanto facile sia intrufolarsi negli account dei vostri amici. Tornerò a essere banale ma la sicurezza su Internet non è mai troppa e per una negligenza possono venire fuori danni immensi.

TAG
Google Translate chiude definitivamente in Cina
Google Translate chiude definitivamente in Cina
La Corea del Sud apre le indagini su Google e Apple per i metodi di pagamento alternativi
La Corea del Sud apre le indagini su Google e Apple per i metodi di pagamento alternativi
Google invita Apple ad utilizzare la tecnologia RCS per i messaggi
Google invita Apple ad utilizzare la tecnologia RCS per i messaggi
Google pagherà Wikimedia per ottenere informazioni più efficientemente
Google pagherà Wikimedia per ottenere informazioni più efficientemente
Google, Microsoft e Apple collaborano per un futuro senza password
Google, Microsoft e Apple collaborano per un futuro senza password
Google e Meta sotto indagine dell'UE per degli accordi pubblicitari
Google e Meta sotto indagine dell'UE per degli accordi pubblicitari
Google e Facebook avevano un piano per "dominare in segreto il mercato"?
Google e Facebook avevano un piano per "dominare in segreto il mercato"?