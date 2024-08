Sophie è una penetration tester fisica e consulente di information security. È specializzata nei test di valutazione della sicurezza attraverso tecniche di ingegneria sociale che mette in atto di persona, al telefono (vishing) o attraverso la posta elettronica (phishing). Consiglia alle aziende anche come rimediare e prevenire i problemi di sicurezza ideando policy e procedure adatte o tenendo corsi di formazione personalizzati. Prima di lavorare nella infosecurity, Sophie era una giornalista e fotografa oltre che ad essere (ancora) una madre.



Ciao! Mi chiamo Sophie e il mio lavoro è introdurmi negli edifici. Sono pagata per pensare come un criminale.

Le aziende mi assumono per valutare i loro livelli di sicurezza e io cerco di bypassarli. Durante i test, forzo un po’ di serrature, mi arrampico sui muri o scavalco le protezioni di filo spinato. Arrivo anche a chiudermi nei cassonetti e giocare con tutta una serie di gadget fighissimi che renderebbero qualsiasi 007 fiero di me.

Ma di solito uso quello che viene chiamato social engineering per convincere i dipendenti a lasciarmi entrare. Posso scrivere delle mail o fare delle telefonate per fingermi un’altra persona. La maggior parte delle volte, però, mi presento lì dal vivo e guadagno la fiducia necessaria per introdurmi negli edifici.

Le domande che mi fanno più di frequente sono:



Di quale break-in sei più orgogliosa?

Quale è stata la cosa che hai fatto durante un test di cui ti vergogni di più?

Quanto segue è la risposta a entrambe.



Qualche mese fa, un cliente mi ha assunta per testare due dei suoi impianti. Un impianto di produzione, un data center e una sede di uffici nelle vicinanze.



Prima fase: open source intelligence, o OSINT. Guardo le mappe, le immagini satellitari, cerco di capire tutto quello che posso sui flussi di fornitura e delle consegne e così via.

Lo stabilimento di produzione sembrava una prigione. Nessuna finestra, cancelli in acciaio, nessuno spazio verde. In pratica, un orrore architettonico.

Ad ogni ingresso, questa struttura aveva delle guardie armate, dei lettori di badge, controlli di sicurezza biometrici e tornelli.



Ricordo di aver pensato: “Lavorare lì dentro deve essere un autentico inferno. Chissà se riesco a sfruttare questo aspetto per i miei scopi…”.

Una cosa era certa… Le possibilità di fare del tailgating (ovvero introdurmi piazzandomi dietro a un dipendente con delle credenziali valide) in questo edificio erano quasi inesistenti.



Dovevo giocare sporco con l’ingegneria sociale.



Primo passaggio: LinkedIn. Il vostro profilo LinkedIn è il mio migliore amico. Più informazioni lasciate su LinkedIn, più opzioni ho per agire. Ho diversi profili LinkedIn falsi a cui probabilmente siete connessi.

Mi sono studiata i profili dei dipendenti che lavorano in queste strutture e li ho collegati a quelli di altri social. Così, ho trovata una bella ragazza che chiamerò Mary.



Mary era una nuova assunta che lavorava come assistente presso lo stabilimento di produzione. E aveva anche un profilo pubblico su Facebook. Sul suo profilo, Mary documentava tutte le avventure della sua famiglia.

Nota a margine: ora sapevo che liceo ha frequentato Maria, il nome da nubile di sua madre, i nomi dei suoi animali domestici, ecc.



È molto facile trovare le risposte a quelle “domande di sicurezza” usate per reimpostare le password se non fate attenzione a queste informazioni.

Per non parlare del fatto che so dove lavora Maria, che scuola frequentano i suoi figli, dove vanno in vacanza… Potrei andare avanti. Brutta storia.

Comunque, non si tratta di un’indagine avanzata. Non sono un’investigatrice privata e non ho le risorse del NSA. Ma posso fare un sacco di danni con metodi semplici.

La cosa che ho notato in particolare, sono delle foto di Maria postate quando faceva volontariato in un centro di sostegno per ragazze madri. Era chiara la sua passione per i bambini e l’assistenza delle neo-mamme. Naturalmente, ne ho approfittato.

Per questa valutazione, ho interpretato due ruoli. Per prima cosa, ho effettuato uno spoofing telefonico per far sembrare che il numero da cui chiamavo provenisse dalla sede centrale dell’azienda.



Ho chiamato la reception dello stabilimento di produzione e la mia chiamata è stata girata a Mary. “Ciao Mary!” Ho detto: “Sono Barbara”.



“Sono la coordinatrice della gestione degli impianti. Stiamo ristrutturando alcuni dei nostri edifici. Domani, mandiamo da voi una interior designer così potrà presentarvi delle proposte per aggiornare il vostro spazio di lavoro!”



Mary ha risposto: “Ottimo! Ma perché così poco preavviso?” Avvertivo che stava diventando sospettosa, così ho tirato fuori la mia carta segreta….



Sigh* “Be’ Mary… Veramente mi sarei dovuta fare sentire prima. Ma sono così sovraccarica di lavoro…. Mi sento come se non riuscissi a stare dietro a tutto e, come se non bastasse, ho scoperto di essere incinta da sei settimane. Se il mio capo scopre che ho fatto dei casini su questa cosa sono nei guai.”



Sono entrata per davvero nel personaggio, avevo pure la voce tramente. (Sì, lo so, sono un essere umano terribile.)

Lei ha tagliato corto, “Oh tranquilla, tranquilla, è ok. Troveremo una soluzione! Parlami del tuo bambino! È il tuo primo figlio? È un maschietto o una femminuccia?”

A questo punto, Mary era in trappola. Non perché è stupida, ma perché è una brava persona. Voleva solo aiutarmi.

Abbiamo parlato di neonati e di gestire le gravidanze per un po’ (mai scegliere un pretesto di cui non si può parlare a lungo.)

Mary si è segnata il nome della “designer” che sarebbe arrivata il giorno dopo e ci siamo salutate; avrebbe potuto risparmiare un sacco di problemi alla sua compagnia semplicemente verificando che fossi davvero chi dicevo di essere. (A proposito, non rivelerò mai la vera identità di Mary. Non sono completamente senza cuore. Sarebbe potuto accadere a chiunque e, comunque, non è stata licenziata per questo.)

L’indomani, mi sono presentata come “Claire” di uno studio di architettura finto per il quale ho creato dei biglietti da visita e un sito web. Il mio alter ego Barb aveva già fatto la maggior parte del lavoro sporco. Quando sono arrivata, Mary e il suo capo mi aspettavano con dei grandi sorrisi. Ho stretto le mani di tutti e ho consegnato il biglietto da visita stampato la sera prima. Mi è stato dato un badge per visitatori: praticamente, mi avevano srotolato il tappeto rosso.



Mi sono guadagnata la fiducia del personale, chiedendogli di dirmi cosa avrebbero desiderato negli spazi degli uffici. Erano così eccitati. Ho finto di aver lavorato nel team che ha creato gli uffici di Google… (Sì, lo so, sono una persona ORRIBILE. Ma c’è un diavolo dispettoso dentro di me.)

“Volete una scrivania per lavorare in piedi? Delle sedie nuove proprio qui?! Tastiere ergonomiche per tutti!!! Guardiamo un attimo il campionario!”

Siamo diventati subito amiconi. Mi è stato dato l’accesso completo e non accompagnato alla struttura in cui ho passato svariate ore.

Ho ottenuto l’accesso alla rete e rubato diverse migliaia di dollari in materiali, facendomi strada in varie areee forzando delle semplici serrature a buon mercato (grazie a Deviant Ollam per l’animazione qui sotto.)

Il mio cliente credeva che non sarei riuscita ad entrare in nessuna delle due strutture, figurarsi in entrambe in poco tempo. Mi hanno lasciato libertà di scelta sulla tempistica del mio test, ma mi hanno detto che avrei potuto sorvolare l’area per ben due volte.



Ma non vedevo la necessità di fami pagare due voli.

Sono tornata all’ufficio di Mary e ho detto: “bene, penso di avere visto tutto quello che mi serviva qui. Come posso raggiungere gli uffici principali?”



Lei ha guardato l’orologio e detto: “è quasi ora di pranzo. Ti ci porto io!” Ci siamo riuniti tutti nel parcheggio e mi hanno portata in un negozio di tacos lì vicino. Mi pare giusto. Quelli che avrebbero dovuto controllarmi mi hanno portato a mangiare tacos… Amo il mio lavoro.

Dopo pranzo, mi hanno portata negli uffici e alcuni di loro sono entrati con me per fare capire che ero con loro.

Ho fatto di tutto per metterci TANTISSIMO a guardarmi attorno e così, alla fine, hanno dovuto salutarmi perché dovevano tornare al lavoro. In quella azienda c’è una policy rigorosissima sull’accompagnamento dei visitatori. Ma tutti mi avevano visto andare in giro con degli addetti ai lavori fidati, quindi nessuno mi ha chiesto niente.

Ero libera di prendermi il mio tempo. Ho fatto come se fossi a casa mia. Il mio obiettivo principale in questa location era introdurmi impropriamente nella zona degli uffici privati.



Quando ho raggiunto i miei obiettivi, ho rintracciato l’ufficio di chi mi aveva contatta e assunta per il test. Questa è sempre la parte migliore di ogni lavoro.

Steve era lì tutto preso dal lavoro quando l’ho interrotto bussando alla porta. Ha sollevato lo sguardo:”ehi ciao, posso aiutarti”?

Ho sorriso. “Ciao Steve! Sono Sophie di Sincerely Security. Sono contenta di incontrarti di persona!”

Non dimenticherò mai la sua espressione… Oro puro. “Chi? Aspetta, cosa? Come? Come sei arrivata qui?”

Siamo rimasti nel suo ufficio e abbiamo parlato a lungo. Ho ripercorso nel dettaglio tutti gli step che avrebbero potuto impedire il successo della mia impresa. Innanzi tutto, il desiderio di aiutare gli altri è umano e naturale. Non va scoraggiato.

In secondo luogo, sono sicura che abbiano una policy che richiede ai visitatori di fare il check in mostrando l’identificazione rilasciate dal governo, ma non l’hanno seguita. Avrebbero anche bisogno di appicciare su ogni computer, telefono e porte: “FIDATEVI, MA VERIFICATE”.

Se un dipendente avesse seguito le regole avrebbe potuto rovinare il mio piano. In terzo luogo, se sembra troppo bello per essere vero, probabilmente non lo è.

La vostra azienda ha intenzione di assumere il team di designer che ha progettato gli uffici di Google? La magica palla 8 dice di no.

Infine, il team che mi ha portato nel secondo posto, avrebbe dovuto trovare qualcun altro per scortarmi in giro per l’edificio.

Faccio questo mestiere da un paio d’anni ormai, e quasi ogni caso che ho trattato è una variante di questa storia. Molto di rado eseguo un’intera analisi senza ricorrere a qualche pratica di ingegneria sociale.

Esistono modi per proteggere voi stessi e l’azienda per cui lavorate da attacchi come questo. Penso che il primo passo sia condividere storie del genere, per educare e dare la possibilità gli uni di essere vigili.

Sentitevi liberi di condividere i vostri pensieri con me. Mi trovate su Twitter: @HydeNs33k.

