Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

"L’anello debole è il fattore umano". Il Sole 24 Ore 24/11/2005. Se vi indispongono le persone scorbutiche al telefono, dopo aver ascoltato un intervento di Kevin Mitnick comincerete a diffidare di quelle troppo amichevoli. Kevin, l’hacker più famoso d’america, è un maestro del social engineering, ed è con questa tecnica che ha violato alcuni dei sistemi più ostici in Rete. Da ragazzino girava gratis sui bus di Los Angeles, da adolescente telefonava a spese delle "Bell sisters", poi è stato descritto come l’uomo più ricercato d’America da un giornalista ostile del "NY Times". Oggi ha una società di consulenza sulla security "Mitnick security consulting" (www.kevinmitnick.com) e si diverte come prima a violare sistemi: "Solo, oggi mi pagano le aziende per verificare l’affidabilità delle loro protezioni e, nonostante le evoluzioni delle tecnologie, la difficoltà non è aumentata". Mitnick ha spiegato all’attentissimo pubblico del European It banking forum di Idc a Milano, che ieri come oggi il maggior elemento di debolezza è il fattore umano: "La gente è ingenua, e a volte dimostra grande dabbenaggine. Bill Gates non vi può aiutare perché non si può creare una patch contro la stupidità". Il social engineering usa manipolazione, influenza e inganno per ottenere informazioni riservate, anche quelle più trascurabili, per ottenere chiavi d’accesso. E il social engineer è abilissimo a sfruttare la natura umana: de visu, per telefono o via mail crea una relazione con la vittima, la manipola e la induce a rivelare password, procedure, Id. Leggere per credere L’arte dell’inganno (Feltrinelli), in cui Kevin illustra con aneddoti le varie tecniche del social engineer per indurre gli interlocutori a infrangere le procedure di sicurezza più severe. Oggi Mitnick fa il 65% del fatturato partecipando a conferenze in giro per il mondo o facendo corsi di formazione: "Le aziende spendono gran parte del fatturato in sistemi, e poco per insegnare al personale a tutelare dati sensibili. A una conferenza sulla security in Gran Bretagna ho promesso una penna a chi mi avesse rivelato la sua password: 9 su 10 me l’hanno comunicata; l’anno dopo l’hanno fatto 7 su 10 in cambio di un uovo di Pasqua". E questo succede anche in istituzioni sofisticate: in un test svolto nell’Ufficio federale delle imposte (Irs), 35 tecnici dell’It su 100 hanno dato la loro password per telefono. Per questo la cosa più importante per Kevin è insistere nel creare consapevolezza tra tutti i dipendenti sul fatto che la policy sulla sicurezza non è una inutile perdita di tempo: tutti sono a rischio, dalla receptionist al manager. Il social engineer approfitta di ogni elemento: simpatia, incapacità dell’interlocutore di dire no, presunzione di invulnerabilità, credulità. Chi controlla l’identità del chiamante su una richiesta fatta per telefono? Pochissimi. Se poi una richiesta arriva da un collega dell’azienda (e un phracker, un hacker telefonico è in grado di fare apparire che la chiamata proviene dall’interno) come rifiutarla? Oggi, rispetto a quando Kevin faceva disperare i sysop di grandi aziende prendendo il controllo dei loro server, l’unica cosa cambiata è la complessità degli aspetti tecnici. Ma Internet e la banda larga hanno moltiplicato le opportunità di effettuare intrusioni. "Negli Usa abbiamo grandi problemi con i furti di Id, questo avviene entrando in banche dati dedicate, ma anche chiedendo direttamente ai proprietari o tramite phishing (con l’invio di e-mail fasulle). Il settore bancario è il secondo più a rischio dopo quello delle telecomunicazioni; la maggior parte delle banche sono a rischio "cattivi"" dice Mitnick. Il suo grande amico e omologo Raoul Chiesa, nella stessa sessione del Forum, avverte i bancari presenti che le maggiori intrusioni passano attraverso l’http delle loro applicazioni web, ancora troppo poco curate dal punto di vista della sicurezza.

IL SOLE 24 ORE 24/11/2005