Il tempo delle agognate ferie arriva anche per gli hacker (parliamo di quelli cattivi) non perché non ci siano ovunque server e PC da crivellare a colpi di vulnerabilità, ma perché le cose si fanno più facili quando c’è qualcuno che inconsapevolmente li aiuta dall’interno.
Non stiamo parlando di impiegati in malafede, ma delle nuove frontiere del social engineering, quella disciplina dell’hacking che prevede di attaccare il lato umano del sistema. Un recente contest ha messo alla prova l’abilità di diversi partecipanti a cui è stato chiesto di ottenere quante più informazioni possibili sugli eventuali bersagli.
A squillare sono stati i telefoni di grandi aziende del mondo ICT (tra cui Google Microsoft, Apple e Cisco) e non (come Coca Cola, Pepsi e BP). Regole del contest: niente password o altre informazioni confidenziali, ma versioni del sistema operativo o di altri applicativi “a rischio”, come Adobe Reader o Microsoft Office.
La nuova frontiera del social engineering è infatti la preparazione al “colpo” vero e proprio. Occorre arrivare preparati: sapere quale software e quale versione ci si troverà davanti rende più veloce l’individuazione di falle e bachi da sfruttare. Senza contare che a fare domande “quasi innocue” il più delle volte si passa inosservati. Su 50 telefonate, in solo tre casi l’interlocutore ha mangiato la foglia e ha riattaccato e in tutti e tre i casi dall’altra parte del filo c’era una voce femminile. Verrebbe quasi da dire che la sicurezza è donna.