che cos’è, in cosa consiste e come affrontarla. · l’ingegnere sociale alla ricerca di...
TRANSCRIPT
Esame di Stato – I.T.I Negrelli - A.S. 2013-14
L’Ingegneria Sociale:
che cos’è, in cosa consiste e
come affrontarla.
Presentata da:
Tremea Davide
Indice:
Introduzione.
o 0.1 - Definizione di Ingegneria Sociale.
o 0.2 - Chi è l’ingegnere sociale?
Facebook (e i Social Network)
o 1.1 - I Social Network sono nostri amici?
o 1.2 - La “nuova” privacy.
o 1.3 - Le informazioni all’interno dei Social Network.
1.3.1 - La gestione dei Big-Data.
L’ingegnere sociale alla ricerca di informazioni.
o 2.1 - Le tecniche d’attacco.
2.1.1 - Basta chiedere!
2.1.2 - Costruirsi la fiducia.
2.1.3 - Altre tecniche emotive: simpatia, senso
di colpa ed intimidazione.
Ma come ci si può difendere?
o 3.1 - Presa di coscienza.
o 3.2 - Contromisure.
Conclusioni
o 4.1 - L’anello debole della catena.
Bibliografia / Sitografia
Allegato A – Gli utenti nei social network.
Allegato B – Leggi sulla privacy.
Introduzione
0.0 - Definizione di Ingegneria Sociale.
Nel campo della sicurezza informatica l’ingegneria sociale, dall’inglese social
engineering, consiste nello studio del comportamento individuale di un soggetto, con
l’obiettivo di entrare in possesso di informazioni specifiche. Di conseguenza l’ingegnere
sociale può manipolare le persone per estorcere informazioni con, o senza, l’aiuto di
dispositivi tecnologici.
Rappresenta una sorta di manipolazione della naturale tendenza alla fiducia
dell’essere umano, architettata e realizzata dall’ingegnere sociale con l’obiettivo di ottenere
informazioni che permettano il libero accesso ad informazioni di valore nel sistema. Infine,
il termine sta a significare il connubio tra la parola sociale, perché coinvolge la società e
studia il comportamento umano, e la parola ingegneria perché bisogna ingegnerizzare la
“situazione” per raggiungere i propri obiettivi; è un attività quindi che non può essere
improvvisata: richiede pianificazione.
0.1 – Chi è l’ingegnere sociale?
Il soggetto che applica questa forma di manipolazione è definito Ingegnere sociale.
Questa persona prima di compiere il gesto criminale vero e proprio comincia raccogliendo
informazioni sul bersaglio da colpire. Questa fase, chiamata tecnicamente footprinting, può
durare parecchi mesi. Se l’attacco è rivolto a un’azienda o a un’ Istituzione pubblica, o
privata, durante questo periodo l’ingegnere studia:
i sistemi di comunicazione aziendale;
come funziona la posta interna;
l’organigramma aziendale.
Inoltre potrà:
frequentare gli uffici aziendali, magari consegnando buste, caffè, acqua;
conoscere e dialogare con gli addetti alla sicurezza, segretarie, webmaster,
sistemisti;
mandare e-mail, telefonare e informarsi fingendo di essere un utente inesperto
che ha smarrito una password;
mandare un’offerta per un nuovo firewall per aumentare il sistema di
sicurezza.
Un ingegnere sociale per definirsi tale deve saper fingere e ingannare le persone, in
altre parole deve saper mentire. Inoltre, dev’essere come un mimo, capace di mutare la
propria identità. In questo modo potrà ricavare informazioni che, con la propria identità,
non avrebbe potuto ottenere. Egli sfrutta le qualità migliori dell’animo umano: la tendenza
ad aiutare il prossimo e l’essere gentili. Il Dottor Brad Sagarin lo descrive così:
<< L’ingegnere sociale impiega le stesse tecniche di persuasione che tutti noi usiamo ogni
giorno . Cerchiamo di costruirci una credibilità, […], ma l’ingegnere sociale applica queste
tecniche in modo manipolatorio, ingannevole, altamente non etico, spesso con effetti
devastanti. >>
L’ingegnere sociale è maestro nell’esibire le caratteristiche comportamentali di un
ruolo, mettendosi nei panni di chi sta assumendo la maschera. Un classico esempio, quando
vediamo un signore vestito da dirigente o imprenditore e subito diamo per scontato che sia
una persona in gamba, che svolge il suo lavoro al pieno delle proprie capacità. La maschera
più comunemente usata dagli ingegneri sociali è quella di un tecnico informatico, o quello di
un semplice membro di un azienda informatica.
L'avvento di Internet e della globalizzazione della rete degli ultimi decenni ha fatto si
che parte della nostra vita, delle nostre esperienze e del nostro sapere più intimo diventino
preda del cyberspazio, e quindi di tutto ciò che questo comporta. Viviamo in un mondo in
cui parte della nostra esistenza (circa 8 anni, secondo recenti statistiche) è passato di fronte a
un computer e su Internet, con il quale interagiamo, convinti di essere totalmente padroni
della nostra fetta di mondo virtuale. Ma come vedremo nel prossimo capitolo, non è proprio
così.
Facebook (e i Social Network)
1.1 - I Social Network sono nostri amici?
Un social network (in italiano rete sociale) può essere definito come un qualsiasi
gruppo di persone connesse tra di loro da diversi legami sociali, che vanno dalla conoscenza
casuale, ai rapporti di lavoro, ai vincoli familiari. Il termine social network sta ad indicare
dei grossi portali dove i viaggiatori del Web si incontrano, in vari modi ed in maniera
differente, per i più svariati motivi. Anche ciò che accomuna questi individui può variare:
interessi comuni, o più semplicemente un modello nuovo di comunicazione.
Secondo la definizione data dagli studiosi Boyd-Ellison: << Si possono definire social
network sites quei servizi web che permettono: la creazione di un profilo pubblico o semi-
pubblico all'interno di un sistema vincolato, l’articolazione di una lista di contatti, la
possibilità di scorrere la lista di amici dei propri contatti. Tutti questi servizi permettono di
gestire e rinsaldare amicizie online preesistenti o di estendere la propria rete di contatti. >>
L’evoluzione tecnologica alla base dello sviluppo delle reti sociali permette di
trasporre on line ciò che avviene nella vita reale con la differenza che, in questo caso, le
relazioni sono veloci, senza vincoli spazio-temporali e arricchite dalla differente natura dei
contenuti multimediali che possono essere usati (testi, video, foto, applicazioni). Alla base
di questi dispositivi vi è quindi il concetto di rete e dei vantaggi che questa può offrire ai
suoi membri. I social network sites cominciarono a diffondersi nel 2003, grazie alla
popolarità di siti web come Friendster, abcTribe.com e LinkedIn. In Italia, il primo grande
portale di tipo “social network” è stato superEva.
Ma perché vengono usati questi strumenti di condivisione globale? Ci possono essere
molti motivi: come la facile conservazione delle proprie relazioni sociali – non solo permette
di ritornare, in breve tempo, in contatto con vecchie conoscenze ma anche di ampliarle con
molte nuove persone – oppure la possibilità di costruire il nostro “io” virtuale utilizzando
Facebook come un palcoscenico e dire: “Ecco, questo sono io! Venite a conoscermi!”.
Secondo lo psicologo americano Abraham Maslow i diversi bisogni che ciascuno di
noi sperimenta non sono isolati e a sé stanti, ma tendono a disporsi in una gerarchia di
importanza (vedi Figura 1).
Figura 1
Dall'analisi delle esperienze degli utenti emerge come i social network siano in grado
di soddisfare tutti i bisogni a parte quelli fisiologici (fame, sete, sonno). Tuttavia, facendo
riferimento alle loro esperienze possiamo affermare che i social network possono aiutare i
propri utenti a soddisfare le seguenti categorie di bisogni:
Bisogni di sicurezza: Nel social network le persone con cui comunico sono solo
“amici” e non estranei. Posso scegliere chi è un “amico”, controllare che cosa racconta di sé
e commentarlo.
Bisogni associativi: Con questi “amici” posso comunicare e scambiare opinioni,
risorse applicazioni. Se voglio, posso perfino cercarci l’anima gemella.
Bisogno di stima: Io posso scegliere gli “amici” ma anche gli altri possono farlo. Per
questo, se tanti mi hanno scelto come “amico” allora “valgo”.
Bisogno di autorealizzazione: Posso raccontare me stesso (dove sono e cosa faccio)
come voglio e posso usare le mie competenze anche per aiutare qualcuno dei miei “amici”
che mi ascolta.
Ora è arrivato il momento di porsi delle domande. L’uso che facciamo dei social
network è proprio o improprio? Adeguato o non adeguato? Verrà data una risposta a queste
domande sui social network andando a scoprire, e spiegare, quali ripercussioni possono
avere sulla nostra vita e l’uso che possono farne gli ingegneri sociali per i propri tornaconti e
motivi personali. Ai giorni nostri i social Network, e Facebook in particolar modo,
rappresentano quella che oggi è l’era della condivisione globale (vedi Allegato A). L’era in
cui siamo ossessionati dal voler condividere con gli altri sempre più informazioni e
contenuti; ci sentiamo quasi obbligati a farlo. Ma quando e come questa folle, e
apparentemente innocua, mania di condivisione può diventare pericolosa, e un vantaggio per
un ingegnere sociale?
Facebook è un paradiso per ogni psicologo, curioso ed “impiccione”, ma anche un’
incredibile risorsa per un qualsiasi ingegnere sociale. Inoltre, una delle peculiarità di
Facebook risiede nella possibilità di scegliere chi può far parte, e chi no, della nostra vita
virtuale. Se usato in modo scorretto può diventare il tuo peggior nemico, perché diffonde i
tuoi dati, non mantiene i “segreti” e spiffera sempre tutto.
1.2 – La “nuova” privacy.
Con l’avvento dei social network il concetto di privacy è cambiato drasticamente.
Fino a pochi decenni fa, prima del grande boom dei social network, si faceva molto
attenzione e si prestava molta cura dei propri dati personali; abitudine che col tempo sta
sempre più svanendo. Tutti i giorni su Facebook, in particolar modo ma non solo, ogni
singolo utente condivide con la community il proprio stato d’animo, gli impegni giornalieri –
le attività che sta svolgendo o che svolgerà nell’arco della giornata. Il tutto accompagnato da
foto personali, individuali o che inglobano altre persone, ed altri contenuti multimediali, per
non parlare dei dati anagrafici e quelli del profilo, ritenuti forse i più sensibili.
Privacy (vedi Allegato B) significa proteggere i propri dati personali, sapere che fine
fanno le informazioni su di noi; in altre parole “chi sa che cosa”. È questa la definizione più
corretta, o è meglio dire che lo era? Andremo ora a vedere come tutte le informazioni
all’interno dei social network vengono inizialmente archiviate dal sito ma in un secondo
momento sfruttate dall’ingegnere sociale.
1.3 - Le informazioni all’interno dei Social Network
Per capire quanto sia semplice raccogliere informazioni sensibili da un social
network basta pensare a Facebook come un grande secchio per la pioggia in attesa di
raccogliere l’acqua piovana, ovvero tutto ciò che ogni singolo utente pubblica e condivide
ogni giorno. Va, però, considerato che il servizio non fa nulla d’invasivo, anzi! Rimane
semplicemente in “ascolto” ed in base a varie statistiche risale fino ai dati sensibili. Il perché
è semplice da intuire: si pubblica troppo e in modo scorretto, senza le giuste precauzioni.
Non tutti sanno, anche se dovrebbero, che la maggior parte delle informazioni pubblicate
sono permanenti, che una volta caricate non appartengono più al solo utente ed è molto
difficile cancellarle.
A quanti utenti di Facebook è capitato almeno una volta di accettare una richiesta
d’amicizia proveniente da un profilo sconosciuto? Più o meno a tutti. E più o meno a tutti è
capitato di accettarla, dal momento che con un rapido controllo della pagina del richiedente
si è in grado di individuare immediatamente se si tratta di un profilo falso oppure no. Ma
non sempre si è così accorti da rendersi conto che in realtà dietro alcuni profili si
nascondono minacce alla nostra sicurezza chiamate socialbot. Il socialbot è un software dai
costi minimi che può essere utilizzato dagli hacker e dai cracker per introdursi nelle falle dei
sistemi di sicurezza dei social network. Grazie a un socialbot è possibile creare profili
Facebook fasulli oppure impadronirsi del controllo di quelli altrui, in modo da avere la
possibilità di accedere ai dati personali o di eseguire le ordinarie attività di utente con quel
profilo. Tutto questo è stato verificato da alcuni ricercatori della “University of British
Columbia” di Vancouver, che hanno condotto un esperimento introducendo alcuni di questi
software all’interno della rete di Facebook. In otto settimane sono riusciti ad inoltrare
migliaia di richieste di amicizia riuscendo a contattare 8.570 utenti e ottenendo 3.055
risposte positive. Da questi profili hanno successivamente sottratto circa 47.000 indirizzi e-
mail e 14.500 indirizzi, dimostrando all’interno del loro report che se un attacco del genere
fosse stato condotto seriamente avrebbe avuto un tasso elevatissimo di successo. Sebbene al
termine della ricerca tutti i dati siano stati cancellati dai server dei due ricercatori, rimane
l’interrogativo legato alla carenza di sicurezza di un social network che attualmente conta
circa 750 milioni di utenti (vedi Allegato A). Nel capitolo successivo verrà illustrato un
approfondimento riguardante questi enormi serbatoi, detti Big-Data.
1.3.1 – La gestione dei Big-Data.
Big-Data è il termine per indicare un insieme di dataset – termine comunemente
usato per indicare un gruppo di dati strutturati in forma relazionale – così grande e
“intrecciato” da richiedere ulteriori, e differenti, strumenti per la loro acquisizione,
manutenzione, condivisione, analisi e visualizzazione. L’uso dei Big-Data è molto frequente
e utilizzato perché si preferisce analizzare l’enorme insieme dei dati, anziché svolgere
multiple mini-analisi per poi riunirle. Spesso, nei Big-Data, non vengono analizzati solo
informazioni provenienti dai dati strutturati, come i database, ma anche da dati non
strutturati – immagini, e-mail, Global Positioning System data (GPS data) e informazioni
ricavate dai social network. Le principali caratteristiche dei Big-Data si possono riassumere
nelle tre ‘V’: volume, velocità e varietà.
Il volume è indicato come la somma delle grandezze dei vari file contenuti nei singoli
dataset – si aggira nell’ordine dei zettabyte, dove un zettabyte equivale ad un milione di
dischi rigidi da un terabyte. La velocità è data dalla loro capacità di fluire nei centri di
elaborazione, nel minor tempo possibile e nella loro velocità d’aggiornamento. Infine, la
varietà è data dalle diverse fonti attraverso le quali vengono raccolti i dati. Capito tutto
questo è necessario pensare a come e dove memorizzare i Big-Data. La gestione dei dati ha
raggiunto, ormai, il suo limite, ma i Big-Data non implicano solo un enorme flusso di dati,
in continuo aumento, ma anche un’ enorme varietà di fonti da Internet che devono essere
memorizzate quasi contemporaneamente alla loro pubblicazione.
L’analisi complessiva di queste quantità spropositate di informazioni permette anche di
svelare delle relazioni altrimenti non rilevabili. Si può arrivare a individuare l’umore del
Mercato aziendale, comprendere e sfruttare il flusso dei dati e delle informazioni che ogni
giorno viaggiano nel web. I Big-Data possono anche essere usati in ambito scientifico,
astronomico o governativo.
L’ingegnere sociale alla ricerca di informazioni.
2.1 – Le tecniche d’attacco.
L’ingegnere sociale comincia il suo lavoro con la raccolta delle informazioni
riguardanti la vittima, per poi passare al vero attacco. Durante la prima fase – detta anche
footprinting – l’ingegnere cercherà di ottenere la maggio parte delle informazioni di cui avrà
bisogno: indirizzo e-mail, numeri telefonici ed altro. La fase successiva consiste nella
verifica della veridicità delle informazioni ottenute, per esempio eseguendo una telefonata e
chiedendo di parlare con la vittima. Ma la parte più importante è la terza, la fase d’attacco,
che determinerà il suo successo o il suo fallimento. In questa fase l’ingegnere dovrà sempre
avere sotto mano il “foglio degli appunti”, in cui avrà memorizzato tutte le informazioni
raccolte nella prima fase, dimostrandosi, quindi, sicuro nel caso gli venissero poste delle
domande.
2.1.1 – Basta chiedere!
Molti attacchi di ingegneria sociale sono molto complessi e composti di più azioni,
grazie ad una progettazione molto meticolosa, in cui si fonde la manipolazione e la
competenza tecnologica. Stupefacente, invece, è come spesso un ingegnere sociale “furbo”
riesca ad ottenere le informazioni che gli servono con un semplice attacco diretto. Non
bisogna pensare che gli attacchi degli ingegneri sociali debbano sempre essere complessi.
Alcuni sono semplici, una toccata e fuga. Come dice il sottotitolo “basta chiedere”.
2.1.2 – Costruirsi la fiducia.
L’ingegnere sociale deve sempre anticipare sospetti e resistenze, da parte delle sue
vittime, ed essere sempre pronto a capovolgere la sfiducia in fiducia. Dev’essere in grado,
come nel gioco degli scacchi, di anticipare le mosse dell’avversario – le domande che gli
possono essere poste. Inoltre, più egli riuscirà ad apparire normale agli occhi della vittima e
più eviterà i sospetti. Ed una volta che nessuno nutrirà più dei sospetti, nei suoi confronti,
per lui sarà più facile ottenere la loro fiducia. Questa tecnica è quella più usata
nell’ingegneria sociale.
2.1.3 - Altre tecniche emotive: simpatia, senso di colpa ed
intimidazione.
L’ingegnere sociale sfrutta la psicologia per convincere la vittima a cedere alla sue
richieste. I più esperti riescono, persino, ad impostare un raggiro che susciti emozioni forti,
come la simpatia, l’intimidazione o i sensi di colpa. È incredibile come gli ingegneri sociali
riescano a convincere la gente sulla base di come impostano una richiesta, provocando una
reazione automatica dettata dai principi psicologici che scattano quando una persona
percepisce l’interlocutore come un amico, un alleato. Per esempio, la vittima tende ad
obbedire quando una persona avanza una richiesta con caratteristiche simile a quelle della
vittima. Durante una conversazione l’ingegnere riesce ad apprendere passatempi e interessi
della vittima, dichiarando di possedere simili interessi e passioni. Oppure può sostenere di
venire dalla stessa situazione sociale; inoltre, l’ingegnere tenterà di copiare il
comportamento della vittima, cercando di assomigliargli il più possibile.
Ma come ci si può difendere?
3.1 - Presa di coscienza.
L’ultimo capitolo servirà a fornire difese e contromisure per resistere agli attacchi.
Nell’ingegneria sociale, purtroppo, questo non è sempre possibile visto che è il fattore
umano l’anello debole della catena della sicurezza. Visti i ritmi della vita quotidiana spesso
non ci concediamo il tempo di prendere una decisione mirata, persino in questioni da noi
ritenute importanti. La mancanza di tempo, lo stato emotivo o l’affaticamento mentale
possono distrarci molto facilmente. Siamo umani, ed errare lo è. Ma non tutto è perduto,
possono venire in nostro aiuto alcuni consigli semplici ed efficaci. La presa di
coscienza è uno di essi, la miglior difesa è la consapevolezza che nessuno regala nulla per
nulla e quindi diffidare sempre di quello che non si conosce. È, dunque, importante rimanere
sempre informati riguardo quello che ci viene offerto o promesso dall’ingegnere sociale –
abilmente mascherato – e pensare bene prima di dare qualsiasi risposta, abituandosi così a
riconoscere gli inganni.
3.2 - Contromisure.
L’uso sempre più diffuso delle reti sociali ha portato a una forte crescita delle
opportunità e della quantità di informazioni. Il rapido sviluppo, però, non ha ancora
permesso un’esatta e profonda conoscenza da parte di molte persone dei meccanismi e della
gestione della presenza nei social network. L’uso degli strumenti tradizionali della sicurezza
informatica può fronteggiare solo in parte i nuovi pericoli e bisogna perfezionare tali
strumenti per adattarli a una piattaforma di comunicazione in grado di far interagire persone
con esigenze molto diverse. Per limitare gli attacchi degli ingegneri sociali è necessario
rispettare, quanto più possibile, una serie di precauzioni.
Le cautele da rispettare nel caso di un’azienda consistono in questi punti
fondamentali:
a) Sviluppare dei protocolli di sicurezza chiari e precisi;
b) Fornire, agli impiegati, dei corsi di formazione per far aumentare la
consapevolezza della sicurezza;
c) Stabilire, tramite regole, quali sono le informazioni sensibili;
d) Stabilire, inoltre, un’altra regola fondamentale: ogni volta che qualcuno
richiede di accedere in area ristretta e/o riservata l’identità del richiedente
dev’essere verificata.
L’aspetto più importante richiede, però, l’istituzione di norme di sicurezza
appropriate e quindi la capacità di motivare i dipendenti ad aderire a tali regole. Il primo
accorgimento è quello di preparare adeguatamente, attraverso una capillare e aggiornata
formazione, il personale addetto al servizio di Help Desk o, comunque, al personale che
nell'esercizio delle sue mansioni ha rapporti con l'esterno: un'informazione da noi reputata di
primo acchito banale potrebbe essere, invece, molto preziosa per il nostro interlocutore.
Per quanto riguarda invece utenti privati iscritti a social network le regole basilari
sono:
a) Assumere sempre un atteggiamento diffidente verso tutti i messaggi che
provengono da persone non conosciute;
b) Non alimentare le catene di Sant’Antonio che invitano a rispedire il messaggio ad
altre persone;
c) Banche, Assicurazioni e altri istituti di credito non mandano mai comunicazioni
via e-mail che riguardano codici di accesso personale, quindi è bene non aprire
ogni messaggio di questo tipo;
d) Diffidate di soluzioni antivirus che provengono via e-mail.
Un’ altra raccomandazione è quella di effettuate acquisti con carta di credito solo
presso società conosciute e controllate dove il processo di pagamento avviene in una pagina
che inizia con https://. Inoltre, si deve vedere sulla barra di stato, in basso a destra, un
lucchetto giallo chiuso, e un doppio clic del mouse dovrà mostrare tutte le caratteristiche di
sicurezza della pagina e del certificato digitale in essa installato.
Un’altra soluzione molto efficace sarebbe quella di non usare i social network, ma il
grande potenziale che essi offrono spinge a cercare una soluzione alternativa, cercando di
limitare i danni. Uno dei consigli più semplice ed efficaci è quello di pubblicare il meno
possibile, limitare al minimo il numero di foto, mai pubblicare i proprio indirizzi personali:
numero di telefono, e-mail, abitazione ecc. Se si pensa che queste informazioni,
estremamente dettagliate e gratuite, siano inutili è sufficiente considerare la semplice
possibilità di recuperare una password di una e-mail, tramite un qualunque ISP – Internet
Service Provider. La maggior parte dei servizi e-mail sono forniti di un servizio per il
recupero delle password, nel caso in cui l’abbiate dimenticata, che può sfruttare diverse
vostre conoscenze, oppure una domanda di sicurezza.
Queste domande sono molto banali e, spesso, personali; per esempio ci verrà chiesto
di scrivere il nome di un parente – o la sua professione o il suo luogo di nascita –, oppure il
proprio film, libro, programma preferito. Tutte queste informazioni, anche se strettamente
personali, nei singoli profili sono facilmente ottenibili.
Un’ ultima attenzione, inoltre, va dedicata alla tutela dei minori: ormai le giovani
generazioni si avvicinano ai computer sin dalla più tenera età. Ben presto Internet si
trasforma in un prezioso strumento conoscitivo attraverso il quale possono entrare in
contatto con il meraviglioso mondo del virtuale e in casi sempre più frequenti iniziare ad
intrattenere le prime relazioni sociali. Ma parallelamente crescono anche le esperienze
negative dei minori online. Sono tanti, forse troppi, i rischi nei quali incorre, ad esempio, un
frequentatore di chat o un neofita di Facebook, quali: le molestie e i maltrattamenti da parte
dei cosiddetti bulli informatici, la frequentazione di siti ambigui, oppure l’essere adescati da
un pedofilo.
Come proteggere, quindi, i più piccoli da questi rischi? Ecco alcuni suggerimenti.
Innanzitutto tempo e luogo, ovvero non lasciare troppo tempo i bambini a navigare da soli in
rete e soprattutto collocare il computer in un’area della casa facilmente controllabile anche
quando si è di passaggio. Ma determinante è l’utilizzo di tecniche pedagogiche,
dall’insegnamento a non rivelare mai l’identità reale a quello di non accettare mai gli inviti
provenienti da sconosciuti, conosciuti in rete. Fargli capire soprattutto che non divulgare dati
personali è importante per la sicurezza dell’intera famiglia. E anche che dietro delle identità
a volte persuasive possono nascondersi malintenzionati.
Importanti poi sono gli accorgimenti di carattere tecnico. Aggiornare costantemente
antivirus e firewall, controllare periodicamente il contenuto dell’hard disk, impostare la
cronologia in modo da tenere traccia dei siti visitati ed utilizzare software o filtri con
l’elenco dei siti da evitare. Probabilmente però l’aspetto più importante è il controllo
personale e diretto necessario nei confronti dei minori: accompagnarli cercando di stare loro
vicini, senza essere troppo invasivi, e non utilizzare il pc come alibi per abbandonarli a loro
stessi quando non si riesce, o non si vuole, coinvolgerli nelle proprie faccende di adulti.
Conclusioni
4.1 - L’anello debole della catena.
Troppo spesso la sicurezza è solo un’illusione, troppo spesso accompagnata dall’
ingenuità e dall’ignoranza. Se installate una serratura blindata sulla vostra porta di casa vi
sentirete più che al sicuro, ma se il ladro dovesse entrare sfondando la finestra? Allora il
vostro senso di sicurezza crollerebbe immediatamente. Questo perché la sicurezza non è mai
troppa, e mai lo sarà. Il fattore umano è l’anello debole della catena della sicurezza. La
particolarità dell'ingegnere sociale sta nel sapere controllare tale fattore, quello più
vulnerabile, e non è particolarmente sensibile a delle corrette politiche di prevenzione di
attacchi. Per quanto si possa educare, organizzare, classificare i dati della propria azienda,
l'animo umano è portato per sua stessa natura a curiosare e approfondire; ma soprattutto è
influenzato da tutte le emozioni che continuamente ci condizionano. E le emozioni sono
fattori che annebbiano il buon senso e la razionalità; portandoci a fare cose che altrimenti
non si dovrebbero compiere.
L'ingegneria sociale dimostra quanto si è vulnerabili tutti, governo, imprese e
ciascuno di noi individualmente, alle intrusioni degli ingegneri sociali. In questa epoca
attenta alla sicurezza saremo sempre più costretti ad investire enormi somme in strumenti
pensati per proteggere le reti informatiche e i nostri dati.
Bibliografia
Kevin Mitnick, L’arte dell’inganno.
Kevin Mitnick , L’arte dell’hacking.
Giuseppe Dezzani, Mario Leone Piccinini , Social Generation:
Riconoscere e difendersi dalle minacce che popolano i social
network.
Ivan Scalisa, Breve introduzione all’ingegneria sociale.
Sitografia
http://amslaurea.unibo.it/2701/1/melis_andrea_tesi.pdf
http://www.ecos2k.it/allegati/BigData.pdf
http://www.privacy.it/legge1996675.html
Maurizio Carrer, Hackers, Ingegneria sociale e crimini informatici,
disponibile al sito www.nume.it.
http://www.opencrmitalia.com/blog/social-network-tutti-i-dati-del-
2013-iscritti-utenti-attivi-fascia-d-eta-paesi.html
Allegato A – Gli utenti nei social network
Ecco alcuni grafici, realizzati dalla società GlobalWebIndex, sull’utilizzo dei social
network, risalenti alla fine del 2013. Il primo dato – vedi Figura 1a – riguarda la
percentuale di utenti che hanno un account sui social network, in nero, e quanti di questi
sono realmente attivi, in azzurro.
Figura 1a
Nel secondo grafico – vedi Figura 2a – invece possiamo verificare l'aumento di
utenti attivi per ogni singolo social: la crescita maggiore l'ha avuta Instagram, mentre
Facebook ha avuto un calo del 3%.
Figura 2a
Andiamo infine a vedere un dato molto importante, l’ età di utilizzo per ogni singolo
social network – vedi Figura 3a. Come si può notare per tutti i social la fascia d'età 16-34 è
maggioritaria, come prevedibile. Le propensione giovanile è meno accentuata per Linkedin,
proprio per la sua natura di social network professionale.
Figura 3a
Allegato B – Leggi sulla privacy
Tutela delle persone rispetto al trattamento dei dati personali
Art. 1
Finalità e definizioni
La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti,
delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento
alla riservatezza e all'identità personale. Ai fini della presente legge si intende:
a) per -banca di dati- qualsiasi complesso di dati personali, ripartito in una o più unità
dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da
facilitarne il trattamento;
b) per -trattamento- qualunque operazione o complesso di operazioni, svolti con o senza
l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione,
la diffusione, la cancellazione e la distruzione di dati;
c) per -dato personale- qualunque informazione relativa a persona fisica, persona giuridica,
ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
d) per -titolare- la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle
finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della
sicurezza;
e) per -responsabile- la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati
personali;
f) per -interessato- la persona fisica, la persona giuridica, l'ente o l'associazione cui si
riferiscono i dati personali;
g) per -comunicazione- il dare conoscenza dei dati personali a uno o più soggetti determinati
diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o
consultazione;
h) per -diffusione- il dare conoscenza dei dati personali a soggetti indeterminati, in
qualunque forma, anche mediante la loro messa a disposizione o consultazione;
i) per -dato anonimo- il dato che in origine, o a seguito di trattamento, non può essere
associato ad un interessato identificato o identificabile;
l) per -blocco- la conservazione di dati personali con sospensione temporanea di ogni altra
operazione del trattamento.
Art. 2
Ambito di applicazione
La presente legge si applica al trattamento di dati personali da chiunque effettuato nel
territorio dello Stato.
Art. 5
Trattamento di dati svolto senza l’ausilio di mezzi elettronici
Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque
automatizzati è soggetto alla medesima disciplina prevista per il trattamento effettuato con
l'ausilio di tali mezzi.
Art. 11
Consenso
Il trattamento di dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso espresso dell'interessato. Il consenso può riguardare l'intero
trattamento ovvero una o più operazioni dello stesso.