CyberSec (S01 E07): La vulnerabilità dei comportamenti

L'importanza dei comportamenti umani

Una delle considerazioni più sottovalutate, ma di primaria importanza, nel mondo della sicurezza informatica è quella per cui, accanto alle vulnerabilità che possono riguardare l’hardware e il software, vi siano innumerevoli comportamenti umani, ovviamente sbagliati, che sono in grado di mettere in pericolo il sistema del professionista al pari di un banale malfunzionamento tecnico.

Non solo: molto spesso chi vuole attaccare un sistema, soprattutto se detto ambiente è particolarmente sicuro, punta proprio a scovare delle vulnerabilità correlate ai comportamenti degli utenti che quel sistema “frequentano” o amministrano.

Non si deve, quindi, diffondere un’idea della sicurezza informatica che sia unicamente correlata a sistemi, prodotti e antivirus; deve essere, al contrario, legata a doppio filo ai comportamenti dell’uomo.

Tali comportamenti devono essere corretti e sicuri, altrimenti sono in grado di rendere inutile anche il sistema più impeccabile da un punto di vista tecnico.

I comportamenti umani errati, in una simile ottica di sicurezza, possono essere di due tipi: i) comportamenti errati ex se, o ii) comportamenti errati in quanto il soggetto che sbaglia viene volontariamente tratto in inganno da un terzo e “costretto”, in un certo senso, a sbagliare.

Nel primo tipo di vulnerabilità rientrano tutte quelle "abitudini" che sono percepite come corrette dall’utente, magari per leggerezza o per pigrizia, ma che in realtà mettono a rischio la sicurezza dell’intero sistema.

Gli errori umani in tale ambito possono essere dei più vari.

Si pensi, a puro titolo di esempio, alla scelta di password facilmente identificabili (in tal caso si permette a terzi l’ingresso al sistema e ai dati), alla mancanza in assoluto di password o di un sistema di autenticazione (in tal caso il sistema è aperto e a disposizione di tutti), alla mancanza o alla disattivazione di un antivirus (in tal caso si pone in pericolo l’integrità dei dati e il funzionamento del sistema), all’uso di un computer con la qualità di amministratore di sistema quando non è necessario, alla mancanza della predisposizione di un backup, a cartelle condivise lasciate aperte, a reti wi-fi lasciate libere, porte di rete connesse verso l’esterno non controllate, all’invio per posta elettronica di comunicazioni riservate senza cifrarle, alla cancellazione accidentale di informazioni importanti, e così via.

In questo primo caso, non vi è nessun attacco dall’esterno: il comportamento errato dell’utente è, per così dire, congenito, quindi l’incidente informatico più o meno grave che ne deriverà sarà causato unicamente dall’imperizia, imprudenza o negligenza dell’essere umano. L’unico modo per aggirare una simile vulnerabilità è cercare di conoscere il sistema che si usa nella maniera che sia la più approfondita possibile. L’unico rimedio è, in sintesi, la conoscenza.

Nel secondo tipo, invece, rientrano tutti quei casi nei quali il comportamento dell’utente viene “spinto” in una determinata direzione grazie all’inganno: il soggetto non terrebbe quel comportamento insicuro se non fosse, in qualche modo, convinto del fatto che stia per effettuare un’operazione obbligatoria, utile o, comunque, innocua.

L’attacco, in questo caso, opera attraverso alcune fasi criminali tipiche: i) il primo contatto, ii) l’inganno, iii) l’azione e iv) le conseguenze.

Il primo contatto tra chi vuole attaccare un soggetto e la sua vittima avviene, ovviamente, tramite canali elettronici.

Il caso più diffuso è l’invio di un messaggio, sia esso una e-mail, un SMS sul telefono cellulare, un messaggio su Facebook o in chat.

Tale messaggio è apparentemente legittimo – ad esempio contiene un’informazione, un invito all’azione, un alert, una comunicazione, una contestazione – ma in realtà vuole condurre la vittima a fare qualcosa. Di solito, quel “qualcosa” è la digitazione delle credenziali, di informazioni relative alla propria carta di credito o altri sistemi di pagamento o di altri dati personali.

Tipicamente, per ingannare il soggetto e convincerlo a digitare tali informazioni, il criminale punta a suggestionare la vittima già nel momento in cui riceverà detta comunicazioni, per cui il messaggio riguarderà quasi sempre un problema con un pagamento o con una banca, una questione relativa a un pacco spedito o al servizio postale in generale, un premio vinto, un asserito contrattempo con la carta di credito, l’accredito dello stipendio, il sistema sanitario e servizi simili.

Più il messaggio sarà “suggestivo”, più il destinatario sarà portato a crederci e, quindi, a cadere nell’inganno confidando nell’espletamento di un’azione dovuta.

Il momento che perfeziona il crimine, e che fa sì che l’attacco abbia successo, è il cliccare o il comunicare/scrivere su un sito web trappola i dati che il criminale si aspetta. Tali dati, poi, inizieranno a circolare e saranno utilizzati per altri crimini, ad esempio furti di identità o frodi in acquisti e pagamenti.

L’unico modo per proteggersi da attacchi di questo tipo è, sembra banale dirlo, non rispondere e non farsi allarmare da nessun tipo di messaggio o avvertimento inviato per posta elettronica ma operare sempre con un livello di diffidenza e di paranoia molto alto.

Purtroppo, però, questo tipo di attacco può beneficiare di una cultura informatica molto bassa in diverse fasce della popolazione e sul fatto che tali messaggi siano inviati a migliaia di soggetti con cultura, intuito e preparazione molto differente.

Si punta, in particolare, a individuare l’anello debole, a “pescare” nel mucchio chi risponda.

Occorre inoltre sempre tenere a mente che oggi tutte le grandi aziende evitano il più possibile di comunicare informazioni importanti ai propri clienti proprio via e-mail né, tantomeno, domandano interventi sostanziali, quali il cambio di password o l’immissione delle proprie credenziali, secondo tali modalità.

Aumentare la propria cultura informatica, cambiando i nostri comportamenti scorretti, e diffidare di ogni azione che ci venga domandata via e-mail o messaggi, soprattutto se riguarda questioni tecniche (asseriti malfunzionamenti del sistema), sui pagamenti (carte di credito e PayPal) e sulle nostre credenziali (user name e password) sono le modalità migliori per innalzare ulteriormente il livello di sicurezza complessivo dei dati.