fbpx

Follow Point

Scrivi cosa stai cercando qui sopra e premi Enter. Oppure premi Esc per uscire,
  /  Business   /  Perché il Documento dell’Esercito soffiato da Izzy é così importante

Perché il Documento dell’Esercito soffiato da Izzy é così importante

Oltre un milione di visualizzazioni e una reazione più sufficente che preoccupata. Questo é il risultato del video pubblicato da Izzy, un Online Magazine svizzero tedesco, in cui un redattore ha tentato con successo di farsi consegnare un piano di guardia fingendosi un graduato. Ma quali sono le reali implicazioni? E cosa possiamo imparare da questo fatto?

 

Come ha fatto a mettere le mani su un documento confidenziale?

Nulla di più semplice. Ha telefonato al piantone della caserma fingendosi un Maggiore dell’esercito svizzero, e con fare autoritario si é fatto spedire il documento confidenziale ad una casella email fake. Il tutto condito da un tocco di humor e parole in gergo militaresco. In pratica un fantastico esempio di Social Engineering.

 

Cos’é il Social Engineering

Tanti pensano che i più grandi exploit hacker siano stati attraverso super-computer con 1000 schermi, come nel film Swordfish. oppure guardando righe di caratteri incomprensibili come in Matrix. Assolutamente no.

Solitamente un hacker sfrutta la psicologia e le debolezze umane per arrivare a ciò che sta cercando. Si possono classificare come “Social Engineering” attacchi come le mail di fishing o i famosi re nigeriani, ma ci sono esempi più interessanti e vicini a quello che stiamo trattando.

Ad esempio, al famoso Chris Nickerson é bastato spacciarsi per un tecnico di AT&T per accedere al datacenter di una banca americana e sostituire un router con uno infettato dal suo malware. Sfruttando sapientemente alcuni bias cognitivi umani é possibile avere accesso a dati e informazioni che altrimenti sarebbe impossibile.

Quindi, se vogliamo cercare un omologo cinematografico, un vero attacco hacker é piuttosto come quello presentato in Mr.Robot, in cui Elliot riesce a violare il sistema di climatizzazione di un datacenter spacciandosi per un ricco startupper della Silicon Valley.

 

 

Perché il fatto é più grave di quanto venga dipinto?

Izzy ha messo in atto un autentico attacco di Social Engineering, in connotazione White Hat, cioé per mostrare a tutti questa vulnerabilità e poterla sanare (ok, solo dopo aver fatto una marea di visualizzazioni).

L’unica cosa sicura che questo attacco ha messo in luce é questo: l’esercito svizzero é facilemente penetrabile.

Se sono bastati pochi minuti ad un principiante per ricevere un piano di guardia, non voglio pensare un’individuo abbastanza determinato e formato a cosa possa accedere.

Si può sempre obbiettare che non siamo in guerra, ma comunque siamo sotto la minaccia terroristica e una fuga di informazioni potrebbe essere il preludio di un attacco nel nostro paese.

 

Di chi é la colpa?

Ovviamente ci si é affrettati ad addossare tutta la colpa alla guardia, l’anello più debole della catena.

Innanzitutto il piantone di guardia in Svizzera ha molti compiti: dal controllare gli accessi, alla guardia antincendio, fino ad essere il vero e proprio centralinista della caserma. Fino a qui tutto ok, il problema é che queste persone vengono caricate di responsabilità senza una formazione adatta. Aggiungiamo anche che a questi ragazzi di 20 anni viene detto per mesi di non potersi rifiutare di eseguire gli ordini e la frittata é fatta: ti chiama un Maggiore e tu esegui per paura di un caso disciplinare, che la maggior parte delle volte equivale ad una multa salata.

Al posto di cercare un colpevole bisognerebbe ragionare utilizzando la Teoria degli Errori Latenti. Un incidente simile é causato da svariate concause e mancanze. Solo mettendo in atto una serie di azioni per cercare di eliminare questa serie di errori latenti é possibile evitare un’altro fatto simile.

 

Cosa fare allora?

Innanzitutto bisognerebbe chiedersi se l’istruzione delle guardie é adeguata. Un volantino appeso nella camera delle guardie con le regole di comportamento può bastare? Evidentemente no. È normale che tutti i telefoni della caserma siano raggiungibili dall’esterno senza passare da un centralino PBX e da un centralinista? Magari negli anni ’50, ma nel 2018 é anacronistico. Queste sono due delle criticità che vedo, sicuramente con uno studio approfondito se ne troverebbero molte di più.

 

Cosa possiamo imparare dal caso Izzy?

Cosa possiamo imparare e portare nella nostra azienda? Molto.

Innazitutto formare il personale, questo é essenziale, per renderlo attento sui pericoli. Emanare regole precise e curare l’accesso ai documenti, assegnando ad ognuno di essi uno specifico livello si confidenzialità.

Sarebbe inoltre buona norma limitare il personale a che possa avere contatto con l’esterno, curandone maniacalmente la formazione. Ad esempio, in un’azienda, bisognerebbe deputare una sola persona (SPOC, Single Person Of Contact) alla ricezione delle chiamate esterne ed evitare che vengano smistate a caso sugli altri colleghi.

Vi rimando all’articolo di Izzy, così potete gustarvi il filmato.

Voi cosa ne pensate? Fammelo sapere qui sotto nei commenti!

 

 

Appassionato di SEO, innovazione e startup. Esperto di e-commerce e mountain bike. Amo condividere le mie esperienze, per questo mi diletto facendo il copywriter

Lascia un commento

Aggiungi il tuo commento qui