“L’hardware è facile da proteggere: puoi bloccarlo in una stanza, incatenarlo ad una scrivania o acquistare un ricambio. L’informazione crea più problemi: può esistere in più luoghi, può essere trasportata su tutto il pianeta in pochi secondi ed essere rubata a tua insaputa.”
BRUCE SCHNEIER, SECURITY GURU
Il panorama dei crimini informatici è davvero vasto e, per diversi aspetti, sconosciuto a molti. Esistono infatti numerose tecniche che, probabilmente, non conosciamo e di cui, addirittura, ignoriamo l’esistenza. E il problema risiede proprio in questo, ovvero nella nostra “ignoranza” che diventa paradossalmente strumento di potere degli hacker. Spesso pensiamo che basti installare un antivirus per assicurarci una certa protezione sul nostro computer e, quindi, ai nostri dati: in realtà non è così.
Una tecnica che rientra nell’ambito dell’ingegneria sociale è il Dumpster diving che significa, letteralmente, “cercare nel cassonetto”. Una tipologia di cyber-attacco molto particolare, alquanto comune tra gli hacker, che consiste nel rovistare nei rifiuti di una società, di un individuo o di un ente, con lo scopo di ottenere informazioni riservate che sono state gettate inconsciamente tra i rifiuti.
Spesso, infatti, vengono cestinati contenuti ed informazioni, i quali però a volte non sono distrutti nel modo corretto o, in alcuni casi, non vengono distrutti proprio.
A questo punto, appare ovvio immaginare quanto sia fruttuoso questo tipo di attacco per gli hacker: tutto ciò che sembra inutile, in realtà, può essere utile per qualcun altro.
Esistono due modalità attraverso cui si sviluppa il Dumpster diving:
Consiste nel frugare oggetti nel cassonetto e può avvenire in modo concreto e reale: l’hacker può realmente frugare nel cassonetto dell’azienda o del privato da cui vuole ricavare informazioni.
In questo caso ricerca qualcosa di fisico e materiale da cui ricavare informazioni utili e che può essere reperito fisicamente come e-mail, indirizzi di residenza, credenziali di accesso (login e password) scritte su foglietti per comodità e che poi non vengono distrutte correttamente e vengono cestinati direttamente.
Tutto ciò ovviamente può avvenire anche per altri documenti importanti, come gli estratti bancari o le credenziali di accesso ad un determinato account oppure le informazioni che riguardano il software, gli strumenti e le tecnologie utilizzate nell’azienda o dal privato, cartelle cliniche, CD o DVD contenenti informazioni personali o dell’azienda per cui si lavora.
Questo diviene materiale preziosissimo per un hacker, poiché ogni informazione alla fine diviene un punto di accesso per l’attacco.
Un’altra metodologia che può essere utilizzata per questo tipo di attacco consiste nel cercare di ricavare informazioni, frugando tra i file che il soggetto ha eliminato dal computer, almeno apparentemente.
Spesso, infatti, possono venire eliminati determinati file, ma questa cancellazione può avvenire in modo errato, permanendo nel disco rigido, poiché l’eliminazione non avviene dal disco, bensì da un indice del file system.
È in questi casi che l’hacker, con specifiche operazioni di recupero, può risalire a questi file che, apparentemente, sono stati cancellati, ricavando moltissime informazioni che, normalmente, sono contenute all’interno dei computer.
Anche qui ritroviamo e-mail, numeri di telefono, estratti bancari, cartelle cliniche o scolastiche, documenti importanti, video privati o segreti commerciali e di marketing, informazioni sui dipendenti e in generale informazioni sulle aziende.
Sicuramente il Dumpster diving non avviene per puro caso e per semplice fortuna. Anche per questo cyber-attacco, come per qualsiasi altro, è necessario procedere con cautela e attraverso diversi step.
Il primo passo che solitamente l’hacker fa per capire come attaccare e procedere con il dumpster diving consiste nell’informarsi sulla spazzatura stessa per capire come averne accesso.
Per questo l’hacker cercherà di capire:
Inoltre, molto importante è capire come la spazzatura viene divisa e catalogata, quindi se viene semplicemente “ammassata” o divisa.
Per avere accesso a tutte queste informazioni, l’hacker può utilizzare diverse strategie. Una tra queste è l’osservazione dei comportamenti/movimenti dell’azienda per cercare di capire, per esempio, a che ora avviene la raccolta dell’immondizia e quando viene portata all’esterno. Oppure potrebbe procedere con una serie di attacchi via e-mail o via telefono, al fine di reperire le informazioni. Ad esempio potrebbe fingere di essere un ispettore di salute e sicurezza o un componente della società di raccolta rifiuti.
In questo caso sarà difficile che la vittima non risponda alle domande e una volta ottenute le informazioni, potrà procedere con l’attacco vero e proprio.
Se la spazzatura è contenuta in un luogo accessibile, sarà semplice accedervi e frugare nei cassonetti.
Lo scenario cambia se la spazzatura si trova in un luogo protetto: in questo caso risulta necessario escogitare ben altro, al fine di ottenere l’accesso: ed è necessario farlo attraverso una corretta informazione circa chi normalmente accede alla spazzatura. A tal proposito, l’hacker potrebbe contattare o fingere di essere un dipendente o un consulente di una determinata azienda o un partner dell’azienda interessata. In questo modo l’hacker sarà visto come un semplice dipendente che deve fare alcuni controlli e, quindi, potrà avere libero accesso. O ancora potrebbe fingersi un dipendente di quell’azienda e potrebbe fingere circa la presenza di un documento importante, che accidentalmente è rimasto incastrato: anche questo per tentare di avere accesso alla spazzatura.
Come si può riconoscere un attacco del genere e capire se la spazzatura viene presa “d’occhio” e riutilizzata?
Vediamo un caso concreto.
Mario è un dipendente di una nota azienda di consulenza e lavora in questo ambito da cinque anni.
Qualche tempo fa riceve una chiamata da una nota agenzia di controllo e sicurezza che inizia a fargli molte domande rispetto allo smaltimento dei rifiuti, poiché, come comunica al diretto interessato, si erano verificati negli ultimi tempi diversi attacchi a molte aziende, proprio tramite questa procedura.
Mario non sa come vengono smaltiti i rifiuti nella sua azienda, però condivide con il dipendente tutto quello che sa, perché teme che un destino simile possa capitare anche alla sua azienda e, quindi, decide di collaborare per evitare tutto ciò.
Qualche tempo dopo, in azienda circola voce che questo noto dipendente ha contattato più dipendenti per ottenere diverse informazioni.
Fin qui nulla di male, no?
Ciò che fa capire ai dipendenti di essere stati vittime di un attacco da parte di un hacker è il fatto che, molte informazioni dell’azienda come password, appunti, contratti, informazioni della propria azienda e dei clienti sono stati utilizzati e, quindi, qualcuno ne ha avuto accesso.
Cosa ancora più sospetta è che tutto ciò era stato, apparentemente, cestinato dai dipendenti.
Ecco che siamo di fronte ad un attacco dumpster diving.
L’hacker era riuscito ad infiltrarsi nella spazzatura dell’azienda, a capire come fare tramite i dipendenti e a riutilizzare le informazioni ottenute.
Una domanda che potrebbe sorgere spontanea è: “quanto è illegale questo cyber attacco”?
Se riflettiamo sulla tecnica di questo attacco, possiamo notare una contraddizione di fondo: quando determinati materiali o, in questo caso, informazioni vengono cestinate ed eliminate, non appartengono più a quell’azienda o a chi le ha eliminate, corretto?
Nel momento in cui rientrano nella spazzatura, a meno che tali cassonetti non siano protetti, tutti potrebbero averne accesso, almeno potenzialmente.
Quindi come possiamo considerare tutto ciò? È legale o illegale?
Sicuramente tutto dipende dall’intenzione, dal perché si ruba quel determinato contenuto o quelle informazioni.
Se, come nel caso del dumpster diving, vengono rubate per usarle contro quelle persone o per scopi illeciti, sicuramente non può essere vista come una tecnica propriamente legale. Inoltre, bisogna considerare un altro aspetto: se l’immondizia viene archiviata nella proprietà dell’azienda e se contiene informazioni private, ci sarà sicuramente un aspetto di sconfinamento, e quindi di illegalità, se si tenta di ottenerlo senza autorizzazione. Anche perché, inevitabilmente, si sconfina e si viola la privacy dell’altro: quelle informazioni, anche se non più utili, sono sicuramente di quell’azienda o di quel privato e quindi con larga probabilità sono informazioni riservate.
Arrivati a questo punto, è utile parlare di cosa è opportuno fare per difendersi dal dumpster diving.
Potrà sembrare strano o magari inusuale, ma se si tratta di un’azienda, così come di un privato, è necessario proteggere la spazzatura. Come abbiamo visto, molte volte vengono cestinati ed eliminati contenuti e informazioni importanti e, cosa molto grave, questo processo di eliminazione non avviene nel modo corretto. Per esempio, si potrebbe cestinare qualcosa senza averlo distrutto prima oppure senza averlo reso irriconoscibile (nel caso di spazzatura concreta e reale).
Quindi, cosa vieta ad un hacker di impossessarsi di queste informazioni? Praticamente nulla.
Un buon modo, quindi, sarebbe quello di proteggere la spazzatura, per esempio, apponendo dei lucchetti nei cassonetti oppure rendendovi consapevoli del percorso che questa spazzatura affronta nel momento in cui deve essere smaltita.
Come più volte affermato, molte volte si cestinano informazioni importantissime e private, ma non in modo corretto.
Questo è sicuramente pericoloso: prima di cestinare ogni informazione, provate a chiedervi: “potrebbe essere utilizzata contro di me o contro l’azienda per cui lavoro”?
Se la risposta è sì (e la maggior parte delle volte lo è), pensateci bene prima di cestinarla. Piuttosto, per la sicurezza della vostra azienda o della vostra persona, è necessario stabilire una politica di smaltimento della carta e dei rifiuti.
Ad esempio tutta la carta, comprese le stampe, deve essere distrutta attraverso un trituratore trasversale, prima di essere eliminata e cestinata, oppure potrebbe essere utile bruciare ogni informazione privata o importante.
Una cosa che molte volte non viene considerata con la giusta attenzione?
I CD o i DVD, poiché spesso vengono eliminati in modo non corretto: è necessario distruggerli perché potrebbero contenere informazioni personali.
Come abbiamo affermato, l’attacco può avvenire anche al computer e quindi ai contenuti che sono stati cancellati, ma non in modo corretto. Sicuramente è molto utile servirsi di firewall, poiché questo può impedire agli utenti sospetti di accedere ai dati eliminati.
Inoltre, un’altra tecnica utile potrebbe essere quella di assicurarsi di aver eliminato tutti i dati in modo definitivo dal computer, nel momento in cui non è più utile o non viene più utilizzato.
In questo modo non potranno più essere recuperati.