INNOVISION PAPER CEFRIEL SOCIAL-DRIVEN VULNERABILITY. Affrontare e gestire le vulnerabilità generate dai Social Media. Giugno 2013

Transcript

1 SOCIAL-DRIVEN VULNERABILITY 1 CEFRIEL INNOVISION PAPER Giugno 2013 SOCIAL-DRIVEN VULNERABILITY Affrontare e gestire le vulnerabilità generate dai Social Media

2 2 CEFRIEL innovision paper GIUGNO 2013

3 SOCIAL-DRIVEN VULNERABILITY 3 Indice 1. Introduzione La social-driven vulnerability oggi Il ruolo centrale del fattore umano nei nuovi attacchi informatici I principali trend d incremento della social-driven vulnerability Criticità e minacce Fattori di criticità Destinatari e obiettivi del cybercrime Le nuove minacce social Esempi di attacchi Sfruttare la fiducia del target Individuare l esca giusta Correlare le informazioni Difendersi dalla social-driven vulnerability: un cambio di paradigma a Monitoraggio social Monitoraggio tecnologico Processi di controllo per la prevenzione Implicazioni organizzative dell approccio integrato alla sicurezza aziendale Conclusioni...31

4 4 CEFRIEL innovision paper GIUGNO Introduzione Nel settore della sicurezza dei sistemi informativi aziendali, oggi le aziende si trovano di fronte a nuove sfide, a fronte di un nuovo tipo di vulnerabilità legata alla crescente diffusione del fattore sociale, ossia dell uso dei Social Media, e incrementata dagli attuali trend in ambito tecnologico. Le modalità d interazione tra le persone stanno infatti cambiando, a favore di un rapporto bidirezionale molto stretto che prevede di generare, condividere, commentare le informazioni, e non soltanto di produrle e/o riceverle. In quest ottica, le persone non utilizzano più soltanto i blog, ma un crescente numero di altri canali social (in primo luogo Facebook), moltiplicando la quantità d informazioni condivise, la loro velocità di circolazione e il numero di persone che ne hanno accesso. All uso crescente dei Social Media, soprattutto da parte dei cosiddetti nativi digitali, si affiancano altri fattori che rischiano di incrementare la vulnerabilità dei sistemi informativi aziendali nel loro complesso: la sempre maggiore diffusione dei dispositivi mobili e la possibilità di essere costantemente connessi in rete nell arco della giornata, potenzialmente senza soluzione di continuità, sia nell ambito lavorativo che durante il tempo libero. In particolare, a febbraio 2013, i possessori di smartphone in Italia erano 26,2 milioni di persone dai 13 anni in su, pari al 54,6% della popolazione mobile 1. Lo smartphone è sempre più utilizzato per la lettura delle (82%), per l accesso ai Social Network (72%) e per l utilizzo di servizi ecommerce (20%) 2. Inoltre, nel mese di febbraio, quasi il 17% degli utenti ha utilizzato lo smartphone per accedere al proprio conto in banca almeno una volta nel mese. In questo contesto, emerge con chiarezza come il fattore umano possa rappresentare sempre più l anello debole nei processi di difesa della sicurezza aziendale e come gli interventi sulla dimensione sociale debbano ormai essere integrati con quelli più specificatamente tecnologici. Questi ultimi, contestualmente, devono continuare a evolvere per proteggere meglio sia il perimetro che la struttura interna dell azienda, per sviluppare quanto più possibile un azione sinergica di protezione a Osservatorio Mobile Internet, Content &Apps, Giugno Netcomm, Le dinamiche del mercato nel contesto internazionale, Maggio 2013

5 SOCIAL-DRIVEN VULNERABILITY 5 2. La Social-Driven Vulnerability oggi Gli attacchi informatici stanno diventando in generale sempre più numerosi e diffusi, rappresentando una potenziale minaccia per ogni tipo di obiettivo, dai singoli utenti alle imprese di tutte le dimensioni. A questo proposito, sulla base dei quasi principali attacchi (tra quelli noti) analizzati nel rapporto CLUSIT 2013, emerge come il 2012 sia stato a livello internazionale un anno di forte crescita delle minacce informatiche, con un aumento del 254% complessivamente, e come il Cyber Crime superi ormai il 50% del totale (dal 36% del 2011 al 54% del 2012). Dal punto di vista degli obiettivi, sebbene il settore Governativo rimanga il bersaglio più frequentemente colpito all interno del campione considerato, i tassi di crescita maggiori degli attacchi sono stati rilevati nel settore Online Service e Cloud, che include i Social Network, con un incremento del 900%. Più in particolare, alcuni casi eclatanti di truffe digitali e disservizi informatici recentemente attuati ai danni di aziende e istituzioni pubbliche mettono in luce come il fattore umano, inserito in un contesto sempre più connesso, mobile e social, rappresenti un elemento di crescente vulnerabilità nei processi di difesa della sicurezza nel contesto aziendale. 2.1 Il ruolo centrale del fattore umano nei nuovi attacchi informatici Le dinamiche d interazione e i comportamenti personali sono sempre più oggetto d analisi e utilizzo da parte della cosiddetta Social Engineering per costruire attacchi informatici mirati a partire dalle vulnerabilità proprie del fattore umano. La Social Engineering può essere infatti definita come un insieme di tecniche volte a influenzare una persona per raggiungere scopi anche fraudolenti, quali ottenere informazioni private violando accessi riservati o inducendo il target stesso a mettere in atto determinate azioni. Quando si parla di social engineering occorre ricordare che, dal punto di vista dell asset informativo protetto, gli utenti sono un tutt uno con i sistemi da loro stessi usati o gestiti e, anzi, ne costituiscono spesso proprio la parte più debole. Di conseguenza, affrontare i temi legati alle vulnerabilità umane, sfruttate tramite le tecniche di social engineering, è attualmente uno degli impegni chiave per chi si occupa di sicurezza. Dal punto di vista metodologico, la social engineering facilita la creazione di un contatto diretto con le potenziali vittime. Dal punto di vista tecnologico, questo tipo di attacchi è altamente mirato e sviluppato in

6 6 CEFRIEL innovision paper GIUGNO 2013 modo da rimanere sotto traccia, cioè senza far scattare alcun allarme nei tradizionali sistemi di difesa perimetrale (Firewall, Anti-virus, Intrusion Detection System). Solitamente, una buona fase preparatoria di un attacco di social engineering permette di identificare un target umano vulnerabile a determinati messaggi. Entrando in contatto con la vittima selezionata, si evitano quindi tutte le complicazioni tecnologiche derivanti dal dover sfruttare vulnerabilità particolari nei sistemi tecnologici: l attaccante entra dalla porta principale del sistema, con l aiuto della vittima stessa e non deve scassinare alcun sistema 3. Il caso RSA: un attacco a partire da un finto profilo Uno dei casi di frode di maggiore rilievo recentemente documentati ha colpito addirittura la società RSA 4, leader nel settore della sicurezza informatica. I passi seguiti da questo attacco possono essere definiti, in un certo senso, da manuale e sono quindi particolarmente significativi per illustrare concretamente le caratteristiche peculiari delle nuove minacce. Il primo punto di contatto è avvenuto tramite i Social Network, ossia tramite un profilo finto che ha agganciato o ha monitorato i profili delle persone di RSA. Un certo ruolo è stato anche giocato dalla creazione di un pretesto credibile 5 sfruttando il fatto di essere stati presentati ad un secondo utente tramite una terza persona di cui si era già ottenuta la fiducia. È importante notare come l attacco abbia previsto prima di tutto un lungo periodo di osservazione per capire il ruolo della vittima e i diversi asset cui avesse accesso. Successivamente, l attaccante ha quindi potuto inviare una mail di phishing alla cerchia dei dipendenti selezionati. La specifica è stata particolarmente curata poiché il messaggio che svolgeva il ruolo di esca è stato contestualizzato su destinatari specifici e ha fatto riferimento ad aspetti in grado di cogliere l interesse degli interlocutori («2011 Recruitment Plan»). Una volta aperto, l allegato infetto ha avviato l esecuzione di un tool open source malevolo che ha iniziato ad attivare connessioni in uscita attraverso le quali sono poi stati trasferiti all esterno contenuti aziendali. L incidente è stato scoperto dal CERT (Computer Emergency Response Team) interno a RSA mentre era ancora in corso. Tuttavia, proprio per 3 Sempre più gli attacchi ad alcune realtà di rilievo sono stati condotti con modalità che richiamano i cosiddetti APT (Advanced Persistent Threat). In questo tipo di minacce, gli attaccanti solitamente dispongono di un set completo di tecnologie e metodi (advanced), sono preparati sullo specifico target che intendono colpire con la capacità di assegnare una priorità ai vari asset (persistent) e conducono l attacco con sistemi software appositamente scritti e pensati (threat) La creazione di un pretesto credibile è solitamente definita fase di pretexting.

7 SOCIAL-DRIVEN VULNERABILITY 7 la particolare tipologia di attacco, non è stato possibile capire quanto materiale fosse effettivamente uscito dall azienda. Già a seguito di questo primo eclatante caso, è interessante notare come l azienda in questione, nonostante avesse implementato un livello di sicurezza perimetrale e logica assolutamente aggiornato, impiegando le migliori tecnologie disponibili sul mercato, si sia mostrata vulnerabile di fronte a minacce parzialmente non tecnologiche. Il caso delle Forze Armate inglesi: un esempio di leak involontario Un caso completamente differente, ma altrettanto rappresentativo di una situazione di debolezza (leak) del sistema, è quello accaduto al principe William nel novembre 2012 durante il suo servizio militare presso le Forze Armate Inglesi. Sui media sono infatti apparse delle foto del principe William lecitamente scattate da un giornalista e divulgate in quanto parte di un normale servizio fotografico. L elemento interessante è rappresentato dal fatto che in quelle foto, in secondo piano, appaiono sul muro alcuni dettagli di sicurezza dei sistemi militari inglesi, e, nello specifico, alcune password. Da questo episodio relativamente semplice si possono trarre alcune interessanti considerazioni. In primo luogo, emerge come alcune policy ovvie in termini di sicurezza (come quella di non scrivere le password su fogli appesi al muro) vengono facilmente disattese da comportamenti del tutto umani. In secondo luogo, questo episodio rivela come già a partire da una fotografia condivisa, un attaccante possa trarre molteplici e determinanti informazioni: Dettagli relativi al posto di lavoro (per esempio, da impianti industriali, uffici, tesserini, divise e loghi aziendali); Dettagli relativi al fatto che l azienda sta operando in uno specifico territorio o con determinati clienti; Dettagli e gusti della persona, passioni, hobby. Si tratta in generale di elementi che possono essere usati da un eventuale attaccante per costruire mail di phishing fortemente contestualizzate o falsi profili social in grado di attirare l attenzione o l amicizia della vittima; Geo-localizzazione. Spesso le foto sono geo-localizzate in automatico dalle moderne macchine fotografiche o dagli smartphone, permettendo di capire dove sono state scattate;

8 8 CEFRIEL innovision paper GIUGNO 2013 Informazioni sui colleghi. Le foto potrebbero includere anche altri colleghi che non desiderano essere fotografati ed aiutare a comprendere la composizione dei team di lavoro; Informazioni varie altrettanto delicate, quali dettagli di lavoro o addirittura password, come nel caso in questione, appesi alle pareti sullo sfondo. 2.2 I principali trend d incremento della Social-driven Vulnerability Lo scenario di esposizione agli attacchi precedentemente delineato risente fortemente di alcuni trend generali che contribuiscono a incrementare la vulnerabilità della sicurezza aziendale a partire dall influenza che esercitano sul comportamento delle persone e sul loro approccio alla tecnologia. In particolare, questi trend sono rappresentati dalla possibilità di essere: sempre connessi, anche in mobilità, grazie a device quali smartphone e tablet; dall uso crescente dei Social Media, sia di quelli più consolidati che delle piattaforme più recenti; dalla particolare spontaneità e immediatezza delle nuove generazioni nell uso della tecnologia. ACCESSO CONTINUO A CONTENUTI E SERVIZI ONLINE La pervasività della rete e la diffusione dei dispositivi mobili che rendono Internet accessibile sempre e dovunque permette di fruire di contenuti e servizi on-line durante tutto l arco della giornata grazie alla possibilità di passare agevolmente da un device all altro a seconda del contesto d uso. Questa evoluzione nell approccio alla tecnologia implica poter leggere il giornale sul tablet mentre si fa colazione, accedere a contenuti web ed su tablet o smartphone mentre si raggiunge il posto di lavoro, per poi proseguire la propria attività in ufficio sul PC, partecipare agevolmente a riunioni e incontri utilizzando il tablet, accedere a web ed da mobile anche durante le pause, potersi connettere grazie alle innovative funzionalità della connected TV e, infine, prima di coricarsi, leggere comodamente un libro e accedere a contenuti web e multimediali tramite il proprio tablet. Questo scenario tecnologico in continua evoluzione porta a un miglioramento dell esperienza d uso dell utente, sempre più unificata e sempre meno legata allo specifico dispositivo utilizzato. Tuttavia, tale scenario genera anche nuove sfide sul fronte della sicurezza, incrementando la vulnerabilità complessiva dei dispositivi e del patrimonio informativo da essi veicolato. Infatti, la possibilità di essere sempre connessi e attivi aumenta, da un lato, il tempo complessivo di esposizione delle informazioni alla minaccia di attacchi fraudolenti, e, dall altro, genera un inevitabile riduzione del livello complessivo di controllo che l utente può esercitare sui propri dati e contenuti. Di fatto, la

9 SOCIAL-DRIVEN VULNERABILITY 9 soglia di attenzione è differente nei vari momenti della giornata e in base al contesto d uso del device, e, di conseguenza, anche il livello di protezione delle informazioni sarà più o meno alto a seconda delle occasioni (per esempio, dare un OK su un mezzo di trasporto è diverso rispetto al dare un OK comodamente seduti di fronte al proprio PC, così come la soglia di attenzione è tendenzialmente ridotta quando si usa il tablet alla sera prima di coricarsi). Alla maggiore fluidità dei contenuti e servizi corrisponde inoltre un miglioramento della customer experience dell utente che è portato a richiedere sempre più semplicità e intuitività nell uso della tecnologia, a favore di un esperienza d uso quanto più diretta e rapida possibile. Tale concetto implica un approccio semplice anche in ambito sicurezza: se, per esempio, è noto che password molto articolate o passaggi successivi di autenticazione per accedere ai dati personali possono ridurre la vulnerabilità dei dati esposti e dunque portare vantaggi all utente, è anche vero che difficilmente verranno accettati e utilizzati dallo stesso, perché rallentano i processi e le relazioni sociali e di business e vengono quindi percepiti come svantaggiosi. CRESCENTE DIFFUSIONE DEL MOBILE Nello scenario caratterizzato dalla continuità di connessione, l esperienza del mobile sta eclissando quella dei PC da scrivania, come rilevato dagli studi Gartner già a fine 2012, tanto da stimare che nel 2013 i dispositivi mobili diventeranno i più diffusi strumenti di accesso al Web a discapito dei PC. A conferma di questo trend, secondo le previsioni IDC 2013, a livello mondiale gli smartphone venduti nel 2013 saranno più di 1 miliardo (arrivando a oltre 1,5 miliardi entro il 2017) e i tablet venduti nel 2013 saranno 190,9 milioni (con un incremento annuo dell 11% tra il 2013 e il 2016 e una stima di vendita pari a 350 milioni di unità entro la fine del 2017). L ampia e crescente diffusione dei dispositivi mobili è un elemento ormai imprescindibile per chi si occupa di sicurezza informatica. In particolare, gli attacchi sono sempre più pensati in modo specifico per gli smartphone, utilizzati in alternativa al PC e/o tablet aziendale, considerando che un grande smartphone è un piccolo tablet e un piccolo tablet è un grande smartphone. Come evidenziato dallo studio McAfee 2013 Mobile Security: McAfee Consumer Trends Report, il trend in atto è caratterizzato da nuove tecniche di attacco proprio su dispositivi mobili, al fine di rubare identità digitali, commettere frodi finanziarie e invadere la privacy degli utenti. Di conseguenza, occorre ormai pianificare ed estendere i sistemi di sicurezza anche ai dispositivi diversi dal PC, a partire, appunto, da quelli mobili. Inoltre, occorre considerare oggetto della protezione complessiva sia il mobile aziendale (che, oltre a rappresentare esso stesso un poten-

10 10 CEFRIEL innovision paper GIUGNO 2013 ziale bersaglio di attacco, potrebbe anche essere un canale per infettare il PC aziendale) che il mobile personale usato anche per fini aziendali (che potrebbe essere comunque un dispositivo su cui subire attacchi rivolti all azienda), e con essi le applicazioni per mobile già scaricate o che saranno scaricate. UTENTI E CONTENUTI SEMPRE PIÚ SOCIAL Un analisi più approfondita del fenomeno dei Social Media rivela cambiamenti importanti nelle abitudini degli utenti. Se inizialmente i blog rappresentavano il nucleo principale di produzione e interazione, con l avvento dei Social Network il focus degli utenti si è spostato su queste nuove piattaforme. I numeri sono significativi: ogni minuto vengono fatti 1,87 milioni di Like su Facebook, su Twitter si pubblicano update, 120 nuovi membri si iscrivono su LinkedIn e su YouTube vengono caricati 4320 minuti di filmato. Se consideriamo anche altre piattaforme (Pinterest, Flickr, WordPress, Blogspot, etc.), possiamo notare un numero altrettanto impressionante d informazioni e contenuti prodotti e condivisi dagli utenti. In particolare, Facebook costituisce la piattaforma principale con oltre un miliardo di utenti attivi. La diffusione dei Social Media, dal punto di vista della quantità di persone che vi accedono, del loro tasso di frequentazione e del numero di piattaforme utilizzate, sta generando un rapido incremento nella diffusione dei contenuti. Ne consegue un aumento altrettanto rapido e significativo della vulnerabilità delle informazioni e degli utenti, non più soltanto nella sfera personale ma anche in quella del business aziendale. Figura 1 Età degli utenti italiani iscritti a Facebook Fonte: Facebook Advertising Platform, Giugno 2013 Inoltre, per quanto riguarda in particolare Facebook, l esposizione delle informazioni e la vulnerabilità per gli asset aziendali sono ulteriormente incrementate dal fatto che la piattaforma venga utilizzata in modo tendenzialmente uniforme in tutte le fasce d età (Figura 1) e, quindi, da parte di utenti con ruoli e livelli di seniority diversificati, e con accessi

11 SOCIAL-DRIVEN VULNERABILITY 11 a tipologie d informazioni altrettanto differenti dal punto di vista della criticità e riservatezza per il contesto aziendale. L APPROCCIO DEI NATIVI DIGITALI VERSO TECNOLOGIA E SOCIAL MEDIA Per comprendere meglio l influenza dei Social Media sulla vulnerabilità delle informazioni occorre anche affrontare il tema dei cosiddetti nativi digitali, ossia della generazione nata intorno ai primi anni 90 (a volte si usa il 1985 come anno d inizio per indicare questo segmento). In molti casi, ci si riferisce a questa generazione usando il termine Millenials o Generazione Y e, spesso, nell immaginario comune, i nativi digitali rappresentano la maggior parte della popolazione dei Social Network. Se consideriamo per esempio la realtà italiana, è interessante notare come la generazione under 30 sia caratterizzata da un diffuso utilizzo dei canali sociali: il 91% è iscritto a un social network, il 55% a un forum, il 34% segue un blog e il 17% ne gestisce uno 6. I cosiddetti nativi digitali si muovono infatti nello scenario dei nuovi dispositivi e servizi tecnologi in modo più naturale, integrandoli con maggiore spontaneità nella realtà della vita quotidiana, perché liberi dalla necessità di imparare l uso del digitale che ha invece caratterizzato le generazioni precedenti. Questa generazione tende quindi a essere particolarmente multitasking e rapida nell uso della tecnologia, è naturalmente portata al touch, all interattività e alla semplicità di utilizzo, in quanto ciò che è unidirezionale o complesso non è generalmente parte della sua esperienza d uso e risulta difficilmente comprensibile. Analizzando i comportamenti della cosiddetta generazione Y in tema di riservatezza e privacy, uno studio del condotto su utenti tra UK, USA, Canada, Germania e Australia ha messo in evidenza come questi temi non siano considerati prioritari. Secondo la ricerca, infatti, è emerso che, posti davanti alla scelta tra dare la priorità a partecipazione o sicurezza, la prima sia sempre la preferita: solo il 31% considera la sicurezza come uno degli elementi più importanti da tenere in considerazione quando compie una decisione legata all ambito informatico. Diversamente da coloro che hanno visto la nascita dell informatica e che ad essa si sono dovuti adattare, i nativi digitali tendono ad esempio a non dare importanza alle password: solo un giovane su quattro infatti presta attenzione alla robustezza della propria password e molti di essi tendono a usare le stesse credenziali per accedere a servizi diversi 8. 6 ASSEPRIM, Generazione 2.0 Made in Italy, Dimensional Research, Ricerca condotta su un campione di più di americani over 18 da Harris Interactive per Eset Nod32 (produttore di software per la sicurezza informatica), 2012

12 12 CEFRIEL innovision paper GIUGNO 2013 In molti casi, si tratta di un problema di consapevolezza, come ribadito anche nel Rapporto CLUSIT 2013: «i famigerati nativi digitali, in media non sanno nulla di ICT Security, pur essendo quasi tutti rigorosamente dotati di smartphone di ordinanza, sempre connessi sui Social Network e quindi esposti ad ogni genere di minaccia». Sembra quindi confermarsi la tendenza emersa nel 2012, ossia una minor attenzione alla privacy dovuta in parte anche a un falso senso di riservatezza. Sempre più informazioni vengono condivise in maniera ingenua: in alcuni casi sono gli stessi nativi digitali a condividerle, mentre, in altri casi, sono i loro contatti a farlo (rendendo in questo modo difficile, anche per una persona riservata, controllare la propria impronta digitale ). Sicuramente, emerge una scarsa consapevolezza legata all aspetto di permanenza delle informazioni digitali e al fatto che, in futuro, quelle informazioni potranno essere analizzate tanto da potenziali datori di lavoro quanto da malintenzionati.

13 SOCIAL-DRIVEN VULNERABILITY Criticità e minacce La crescente vulnerabilità dei sistemi informativi aziendali è determinata da alcune peculiari criticità legate all aumento della mole d informazioni condivise e della rapidità con cui vengono scambiate e diffuse. Complice nell accrescere tali criticità è l utilizzo sempre più rapido e continuativo della tecnologia con contaminazioni tra ambito privato e lavorativo nell uso dei dispositivi, e possibilità di controllo diverse a seconda delle differenti occasioni d uso. In questo contesto, le aziende sono esposte a una nuova serie di minacce che sfruttano le dinamiche sociali e le molteplici piattaforme per conoscere dipendenti e aziende, individuarne i punti deboli e far breccia a un livello nuovo che va oltre la copertura tecnologica perimetrale tradizionalmente difesa. 3.1 Fattori di criticità Dal punto di vista delle criticità per la sicurezza aziendale, emergono due fenomeni principali in grado di accrescere la vulnerabilità dei sistemi: da un lato, un aumento dell esposizione di informazioni personali e, dall altro, la riduzione delle possibilità di controllo sulle stesse, unitamente alle modalità di accesso ai Social Media sia nella sfera privata che in quella lavorativa. Le informazioni di tipo personale sono sempre più facilmente e rapidamente condivise in rete e, quindi, a disposizione anche per eventuali attacchi. Esposizione delle informazioni La natura stessa dei Social Media facilita le interazioni tra gruppi di persone e quindi la produzione e lo scambio d informazioni. Più precisamente, questi strumenti presentano delle caratteristiche peculiari che favoriscono la diffusione delle informazioni in modo stabile ed esponenziale : replicabilità (per definizione ogni oggetto digitale può essere duplicato), ricercabilità (qualunque testo, salvo alcune eccezioni specifiche, è ricercabile), persistenza (una volta pubblicati online l autore ne perde il controllo e non può garantirne l eliminazione) e scalabilità (i contenuti possono essere diffusi in maniera virale in modo più o meno rapido) 9. In generale, è sempre più evidente che durante il giorno le persone raccontano la propria vita attraverso vari dispositivi, in vari momenti, su diverse piattaforme. Da questo punto di vista possiamo vedere come la fruizione dei media sia cambiata e come si possano identificare due trend precisi. Se da un lato abbiamo una fruizione multi-device sequenziale, ossia l utente si sposta da un oggetto all altro fruendo però sempre dello stessa tipologia di contenuto, dall altra abbiamo invece una fruizione 9 Bennato, Sociologia dei Media Digitali, Laterza, Roma-Bari 2011

14 14 CEFRIEL innovision paper GIUGNO 2013 multi-device contemporanea durante la quale l utente utilizza più strumenti contemporaneamente. Anche le aziende hanno individuato nei Social Media un nuovo ambito su cui fare leva per attività di tipo promozionale, commerciale e per relazionarsi con i propri consumatori. Ciò ha portato alla creazione di pagine su Facebook, di account aziendali su Twitter e alla realizzazione di presidi su varie piattaforme. Nel contesto di potenziata connessione a molteplici servizi, siti, applicazioni, Social Media, community, l aumento e la concatenazione dei propri account rende l insieme delle informazioni personali vulnerabile e attaccabile attraverso i punti deboli rappresentati sia dall impiego dell come username universale, sia dalla (potenziale) debolezza delle password, in quanto troppo facilmente resettabili e di conseguenza reperibili in modo fraudolento. In particolare, le modalità di autenticazione sui Social Media sono estremamente deboli: a causa del proliferare delle piattaforme, gli utenti tendono a replicare le stesse combinazioni nome/mail e password, e, in molti casi, è possibile che per ragioni di semplicità utilizzino la mail di lavoro. Inoltre, l unica validazione fatta durante la registrazione riguarda l che deve essere attiva: non vi sono ulteriori processi e questo ovviamente porta alla diffusione di profili falsi. In alcuni casi, gli utenti sono attenti alle informazioni che condividono e alle impostazioni di sicurezza dei propri account sui Social Media, ma non hanno controllo sui propri contatti (amici e follower) che possono condividere informazioni su di essi. In aggiunta a questo, quando una terza persona condivide il contenuto, la duplicazione rende impossibile sia la cancellazione che l eliminazione dello stesso. Un ulteriore elemento da considerare è dato dal fatto che la presence (presenza segnalata dai sistemi di messaggistica istantanea e chat) fornisce informazioni rilevanti a un attaccante sulle abitudini della vittima e rappresenta un ottimo sistema per sfruttare delle vulnerabilità mentre la vittima è lontana dal computer. Controllo sulle informazioni e modalitá di accesso ai Social Media A fronte di una crescente esposizione d informazioni, le persone tendono a prestare sempre meno attenzione ai potenziali utilizzi delle stesse una volta in rete. La quantità d informazioni, le crescenti possibilità d accesso e la velocità dello scambio, unitamente all abitudine a condividere i contenuti (abitudine che, in generale, è tanto più forte quanto più l utente è nativo digitale ) riducono infatti la possibilità di un controllo puntuale e la stessa predisposizione dell utente a mettere in atto meccanismi di controllo perché troppo costosi in termini di tempo e di qualità dell esperienza d uso. Inoltre, poiché le persone tendono ad attribuire uno scarso valore alle informazioni in loro possesso, sono anche portate a condividerle in manie-

15 SOCIAL-DRIVEN VULNERABILITY 15 ra più facile: così come, infatti, una password è condivisa più facilmente di un token o di una smart card, allo stesso modo, condividere informazioni con i propri contatti online può non essere percepito come attività rischiosa o potenzialmente dannosa e portare a un aumento della vulnerabilità aziendale nei confronti di attacchi fraudolenti. In molti casi, infatti, gli utenti, convinti che l ambiente dei Social Media sia sicuro (perché popolato da contenuti prodotti da altri utenti e da materiali condivisi dai propri amici) rischiano di seguire con maggior frequenza link poco sicuri e di immettere malware di vario tipo all interno dei computer aziendali, compromettendo a vari livelli la stessa rete aziendale. In più, quando una terza persona condivide il contenuto, la duplicazione rende impossibile sia la cancellazione che l eliminazione dello stesso. Occorre anche considerare che gli utenti dei Social Media non sono semplicemente cittadini, ma possono essere anche dipendenti, manager e dirigenti, ossia in generale membri di una società privata o di un ente pubblico e quindi in possesso d informazioni che non sempre possono essere divulgate esternamente. In aggiunta, poiché risulta difficile, in generale, mantenere la distinzione tra il registro ufficiale (lavorativo) e quello comune (personale), gli utenti tendono normalmente a creare un unico insieme ibrido da utilizzare indistintamente. Ciò rappresenta un ulteriore criticità dal momento che alcune dichiarazioni che non rispecchiano necessariamente quelle dell azienda possono essere lette come ufficiali. Infine, anche qualora si riuscisse a tenere separati i due piani, qualunque messaggio ad opera dei dipendenti andrebbe comunque a contribuire alla costruzione della corporate image. Dal punto di vista dei dispositivi utilizzati, occorre poi considerare che le persone usano i Social Network e i Social Media durante tutta la giornata, e che, anche durante l orario lavorativo, tendono ad utilizzare questi strumenti per interagire con i propri amici e condividere informazioni. Queste attività non vengono necessariamente fatte tramite il computer di lavoro, uno strumento sul quale eventualmente è possibile esercitare una forma di controllo e tutela, ma spesso tramite gli smartphone personali che in un secondo momento vengono magari connessi al computer o alla rete interna. In quest ottica, la consumerizzazione dell IT e gli scenari di BYOD (Bring You Own Device) complicano la gestione della sicurezza, in quanto la presenza di strumenti personali del dipendente può limitare il controllo (e quindi la protezione) da parte dell azienda sui propri asset materiali e immateriali. In generale, possiamo distinguere tra due diverse tipi di attività da parte dei dipendenti: Da un lato, la pubblicazione su piattaforme esterne, senza distinzione d orario, di contenuti può condurre a danni d immagine o alla fuoriuscita d informazioni riservate o fungere da supporto per eventuali attacchi di Social Engineering.

16 16 CEFRIEL innovision paper GIUGNO 2013 Dall altro, l utilizzo di piattaforme esterne durante le ore di lavoro può esporre i computer e la rete aziendali a dei rischi derivanti da attacchi esterni di vario tipo. 3.2 Destinatari e obiettivi del cybercrime In questo scenario, le aziende più vulnerabili sono state fino ad oggi quelle caratterizzate da una dimensione significativa e da un asset informativo consistente: non solo banche e aziende che costituiscono la rete infrastrutturale del Paese, ma anche aziende che diventano un ponte per accedere ad altre informazioni (grandi catene di alberghi, aziende del settore entertainment, compagnie aeree, ecc.). Il panorama è ulteriormente destinato a evolvere, con l estensione del medesimo modello di attacco anche alle PMI. Allo stesso tempo, la crescente pervasività della rete fa emergere elementi di vulnerabilità anche in contesti produttivi tradizionalmente autonomi, come quelli che si basano sui sistemi di tipo SCADA (Supervisory Control And Data Acquisition) tipicamente utilizzati come sistemi di controllo in ambito industriale per il monitoraggio e controllo infrastrutturale o di processi industriali (tra gli ambiti di applicazione ci sono, per esempio, gli impianti per la produzione di energia, quali centrali elettriche e nucleari). Le applicazioni SCADA erano originariamente progettate per funzionare su reti completamente isolate e dedicate. I sistemi SCADA di ultima generazione sono invece caratterizzati sempre più dal fatto di essere distribuiti e interconnessi in rete. Se dunque il presupposto d isolamento delle reti e delle strutture controllate da SCADA ne era prerequisito di protezione, il problema più grave, oggi, è rappresentato dal fatto che ogni dispositivo collegato in rete è di per sé potenzialmente vulnerabile e soggetto a possibili attacchi compiuti da hacker. Di conseguenza, anche questi sistemi diventano potenzialmente più deboli sul fronte della sicurezza, considerando che possono non soltanto essere violati manualmente, ma anche dimostrarsi più vulnerabili di fronte a virus, anomalie, ecc., fino ad arrivare al crash di talune applicazioni. Data la natura dei sistemi, appare chiaro il potenziale impatto negativo dal punto di vista produttivo e sociale e la conseguente necessità di un ripensamento nei meccanismi complessivi di protezione dalle molteplici azioni fraudolente. In generale, dal punto di vista dei destinatari degli attacchi informatici, è significativo riportare quanto evidenziato nel rapporto CLUSIT 2013: Tutti sono ormai diventati potenziali bersagli, per il solo fatto di essere connessi ad Internet. Statisticamente esistono ancora distinzioni tra grandi e piccole imprese, tra differenti settori merceologici, tra privati cittadini e VIP, tra uomini e donne, adulti e bambini, etc, ma le

17 SOCIAL-DRIVEN VULNERABILITY 17 differenze stanno diminuendo. I differenti gruppi di attaccanti mostrano ancora preferenze rispetto alla tipologia di vittime, ma questo dipende più che altro dal fatto che si stanno sempre più specializzando; d altra parte però sono diventati talmente numerosi e sfrontati, e la loro azione è ormai talmente pervasiva, da avere di fatto saturato tutto lo spettro delle potenziali vittime. Per questo motivo, e per il fatto che molti utenti utilizzano allo stesso tempo PC fissi o portatili e device mobili, aumentando la propria superficie di attacco, non esistono più categorie sicure. Gli obiettivi degli attacchi informatici sono molteplici. In generale, si può distinguere tra la raccolta di informazioni traducibili in un valore monetario per l attaccante e l intrusione nei sistemi a fine di sabotaggio: Attacchi ai dati o ai servizi Nel primo caso, gli attacchi puntano ad avere accesso all asset informativo dell azienda, per riuscire ad esempio ad accedere ai conti bancari della stessa ( monetarizzando subito l attacco), oppure per appropriarsi d informazioni di business o di segreti industriali (concorrenza e speculazione); Nel secondo caso, invece, l attacco mira a causare direttamente malfunzionamenti o disservizi, o a ricattare l azienda minacciando di creare malfunzionamenti e disservizi, attraverso la manipolazione dei sistemi interni. Inoltre, a prescindere dall obiettivo principale, già nell arco di tempo necessario per portare a termine l attacco, tutte le informazioni trafugate lungo il percorso e potenzialmente d interesse (informazioni sulla carta di credito, credenziali del conto in banca, account e indirizzo , ecc.) vengono subito sfruttate sul mercato nero dove vengono vendute a prezzo di listino in base alla tipologia d informazione Le nuove minacce social Gli attacchi informatici possono essere puramente social, puramente tecnologici o essere caratterizzati da una combinazione di vari aspetti. In generale, poiché gli attacchi vengono innescati da comportamenti degli utenti, possiamo identificare due metodologie di exploit (azione): Drive-by download: l utente scarica (in maniera consapevole o inavvertitamente) il malware; Web Exploit: l utente naviga su un sito (nella maggior parte dei casi cliccando su link malevoli o su mail di phishing 11 ) e le vulnerabilità sono legate ai browser, ai plugin e alle varie componenti installate EECTF European Cybercrime Survey European Electronic Crime Task Force. 11 Nella maggior parte dei casi le minacce iniziano proprio con una mail di phishing mirato. Secondo una ricerca di TrendMicro condotta tra febbraio e settembre 2012 questo avviene nel 91% dei casi.

18 18 CEFRIEL innovision paper GIUGNO 2013 In entrambi i casi, l utente segue un link malevolo o ricevuto tramite mail o comunicazione privata, oppure condiviso su un Social Media. In funzione della realizzazione pratica dell attacco può anche essere necessaria l esecuzione di un qualche programma, plugin o allegato da parte dell utente stesso. Per quanto riguarda i Social Media, i rischi sono presenti soprattutto nel caso in cui questi vengano utilizzati dalla postazione di lavoro (PC). Tuttavia, anche rimuovendo il collegamento diretto tra PC e Social Media, il rischio non viene eliminato, ma solo, in alcuni casi, parzialmente ridotto. La fruizione del Social da device mobili (smartphone e tablet) può infatti rendere ugualmente vulnerabili, se non ancora più esposte, le postazioni aziendali a cui questi vengono collegati (spesso i dispositivi personali degli utenti sono privi di sistemi di protezione e quindi più soggetti ad attacchi potenzialmente trasferibili ai device aziendali). È interessante notare come la percezione del rischio e quindi dei pericoli che ne possono conseguire cambi significativamente anche in funzione delle piattaforme, come evidenziato nel grafico seguente. Figura 2 Percezione dei rischi in base alle piattaforme social Fonte: In generale, i pericoli che possono essere innescati da Social Media sono di diverso tipo e riguardano sia aspetti materiali (come la diffusione di materiale protetto o danni alle infrastrutture) che immateriali (danni alla reputazione o all immagine del brand). Il seguente elenco riporta in modo specifico le principali minacce legate ai Social Media in relazione ai diversi asset aziendali. Uno degli aspetti principali da considerare è che questi rischi per l azienda non sono scollegati l uno dall altro, ma, al contrario, la potenziale minaccia è rappresentata molto spesso da una loro combinazione.

19 SOCIAL-DRIVEN VULNERABILITY Esempi di attacchi I Social Media rappresentano quindi degli strumenti che l azienda può utilizzare per migliorare le proprie performance (opportunità), ma al tempo stesso possono essere utilizzati contro i dipendenti e l azienda stessa (pericoli). Da quest ultimo punto di vista possiamo analizzare tre esempi di attacchi che sfruttano i Social Media e che possono a loro volta concatenarsi dando luogo a una sequenza di passi che realizzano un attacco complesso. LE PRINCIPALI MINACCE SOCIAL PER I DIVERSI ASSET AZIENDALI Informazioni private o riservate o sensibili: Creazione di un Dossier Digitale; Esposizione dei dati a seguito di una cattiva configurazione dei settaggi di privacy; Mancanza di controllo sugli update e sulle informazioni diffuse da altri utenti; Inferenze predittive di dati sensibili; Identificazione di tutti gli account dell utente (anche se aperti con pseudonimo). Asset finanziari: Frodi; Perdita di produttività a seguito del tempo speso dai dipendenti sui Social Media. Segreti industriali e proprietà intellettuale: Pubblicazione da parte dei dipendenti d informazioni su procedure e modalità di lavoro; Pubblicazione involontaria da parte di un dipendente o sottrazione da parte di un attaccante; Perdita di controllo da parte dell azienda su quello che viene pubblicato sui Social Media. Sicurezza fisica: Diffusione d informazioni legate a numero di persone presenti, funzioni e orari; Pubblicazioni di immagini per ricavare informazioni sulle attività lavorative; Diffusione di informazioni personali per trovare, identificare e minacciare i dipendenti. Risorse informatiche e rete aziendale: Diffusione di malware nella rete aziendale. Immagine e reputazione aziendale: Atto inconsapevole (accidentale) da parte del dipendente; Sottrazione o pubblicazione (deliberata) da parte di un attaccante; Campagne mirate (o automatizzate) per il danneggiamento della reputazione; Un attaccante può entrare in possesso d informazioni riservate e ricattare il soggetto; Furto d identità e impersonificazione; Difficoltà nel condurre atti di repudiation qualora vengano diffuse informazioni false.

20 20 CEFRIEL innovision paper GIUGNO Sfruttare la fiducia del target Uno degli aspetti più importanti per il successo degli attacchi di ingegneria sociale è ottenere la fiducia del target, in modo da persuaderlo a compiere l azione obiettivo. Da questo punto di vista, i Social Network rappresentano un territorio ottimale per sviluppare queste attività: i legami che si sviluppano all interno di queste piattaforme nascono infatti con l idea di collegare e riunire persone con le quali si ha affinità (molto spesso amici e conoscenti). Entrare all interno della rete sociale del proprio target rappresenta quindi un elemento cardine degli attacchi di Ingegneria Sociale. Per sviluppare questi attacchi è possibile ad esempio procedere o in maniera diretta (richiedendo subito l amicizia su Facebook o il collegamento su LinkedIn) facendo leva sulle informazioni raccolte in precedenza sulle altre piattaforme, oppure in maniera indiretta. Nel secondo caso, prima di procedere direttamente con la richiesta d amicizia, l attaccante sviluppa alcune relazioni con gli amici del target, in modo poi da risultare più credibile e meritevole di fiducia: le persone tendono infatti a dare maggiore credito e a rispondere in maniera positiva alle richieste qualora queste provengano da qualcuno che, apparentemente, è già all interno del proprio circolo di contatti. Una volta ottenuta la fiducia da parte del target, l attaccante può: Raccogliere ulteriori informazioni (per un attacco di spear phishing su una vittima che ricopre un ruolo particolarmente importante all interno dell azienda); Interagire direttamente con il target per ottenere informazioni lavorative; Interagire con il target inviando dei link malevoli all interno degli update o dei messaggi privati sfruttando la fiducia creatasi all interno della piattaforma (si tratta quindi di una variante di spear phishing che, invece di utilizzare la mail, sfrutta i Social Network). Questo tipo di attacco 12 è in aumento grazie al numero d informazioni disponibili e alla scarsa attenzione che molte persone prestano nell accettare le richieste d amicizia. In aggiunta a ciò, anche il fatto di non essere presenti sui Social Network rappresenta un pericolo, dal momento che per un attaccante diventa più semplice creare un profilo apparentemente legittimo. 12 Citiamo per esempio l attacco avvenuto nel 2012 ai danni di un comandante della Nato, in occasione del quale è stato creato un falso profilo per ottenere informazioni riservate ( mar/11/china-spies-facebook-attack-nato).