Persuasori occulti nel cyberspazio Le lusinghe della interattività per adescare i viaggiatori nelle autostrade dell'informazione Inganno e artificio, ipnosi e coinvolgimento globale. Dieci regole d'oro per usare al meglio la subdola tecnica del "social engineering"

- UMBERTO RAPETTO -

Chi lo definisce un neologismo sbaglia. Chi lo collega al cyberspazio anche. Il "social engineering" ha almeno sessant'anni. E' un termine che evoca le croci uncinate. Hitler, nel suo Mein Kampf, scrive due cose che riconducono ad altrettante possibilità di considerare l'espressione in argomento. La prima affermazione sostiene che le grandi masse possono essere vittime più di una grande menzogna che di una piccola bugia. Il "social engineering" è quindi fatto di trucchi, artifizi, inganni. La seconda notazione insiste a rimarcare che la leadership è un'arte che catalizza l'attenzione della gente su un singolo avversario che il Führer identifica negli ebrei, evitando la benché minima distrazione dall'obiettivo. L'altra faccia del "social engineering" è quindi anche ipnosi, persuasione occulta, coinvolgimento globale, completa trance dell'interlocutore.

Il "social engineering" è al contempo arte e scienza per guidare l'interlocutore ad assecondare i desideri del "conducator" ovvero di chi invia un determinato messaggio o espone un certo pensiero. E' il più subdolo sistema per ottenere quel che si vuole con il consenso di chi ne fa le spese. Chi si serve di tale tecnica è normalmente persona con processi mentali di estrema rapidità. E' in grado di cambiare atteggiamento a ogni minima reazione della "vittima", dimostrando la capacità di prevedere la più ampia gamma di situazioni conseguenti a un qualsivoglia stimolo. E' capace di chiedere proprio ciò che l'altro si aspetta gli venga domandato.

Chi intende perseguire un certo risultato con il "social engineering" non ha ricevuto le tavole delle leggi, né può trovare in qualche fornitissima libreria giuridica un codice laico con la raccolta normativa di simile disciplina. Nonostante questo su tale tecnica fioriscono insegnamenti universitari, dotte elucubrazioni, articoli divulgativi.La prima regola è la professionalità più esasperata. La credibilità è requisito fondamentale e la cura dei minimi dettagli è la formula vincente per rendere attendibile anche la più straordinaria illusione. Chi applica questa dinamica attraverso Internet utilizza i più sofisticati meccanismi per accalappiare l'utente, presentandogli sullo schermo situazioni di rigorosa precisione tecnica e somministrandogli sequenze di eventi inappuntabili.

Il secondo comandamento è la calma, il sangue freddo, la totale impermeabilità emotiva: la più disparata manifestazione evolutiva di quel che si è avviato deve sembrare scontata, apparire come la più logica conseguenza, mostrarsi naturale e soprattutto già attesa e prevista. Computer e reti non lasciano trasparire le emozioni e quindi si è facilitati nel rispettare questo principio.

Articolo 3, la conoscenza dell'obiettivo. Bisogna radiografare la psiche del soggetto o della platea destinatari delle manovre di social engineering. E' indispensabile sapere come reagisce, ribatte, modifica comportamenti, quali iniziative potrebbe e vorrebbe assumere. In ambito tecnologico questo "must" comporta il monitoraggio costante di quel che capita o la predisposizione di un'ampia gamma di procedure per garantire il più attrezzato arsenale di congegni software anche per la più remota reazione del bersaglio.

Quattro: inferiorità dell'interlocutore. Non si può pensare di colpire una persona più intelligente o troppo attenta, perché si andrebbe incontro a una cocente sconfitta. E bisogna accontentarsi di vincere senza voler a tutti i costi stravincere. E' necessario fare i conti con la propria potenza, ma occorre anche valutare le proprie risorse di resistenza nel tempo. Anche se si ha l'energia dell'inarrestabile orsetto con le particolari pile alcaline nel dorso, prima o poi la carica finisce e l'avversario può avere il sopravvento anche se meno dotato. Stare troppo sul ring stanca e poi consente al nemico di studiare ogni mossa e azione, rosicchiando poco alla volta il gap che lo divide dal mattatore.

La norma numero 5 è invece quella della previsione di una via di uscita in qualunque momento. Se c'è possibilità di scegliere tra più percorsi di emergenza è meglio. Si deve consentire all'interlocutore la facoltà del dubbio e del sospetto, garantendosi possibilità di pur acrobatico recupero del rapporto esistente. Solo così si può pensare di ottenere il risultato pur se differito nel tempo e rinviato a una più favorevole occasione. Come al telefono - specie cellulare - ci sono mille propizie interruzioni, interferenze, cadute di linea, nei meandri della Rete delle reti non mancano le opportunità per troncare la connessione simulando guasti e inconvenienti tecnici giustificati sempre da tutti.

Il punto 6 potrebbe provocare crisi in qualche maschietto: provare a essere una donna. Immedesimarsi in una figura femminile può essere lo spunto di accelerazione, almeno secondo chi ritiene che al telefono le donne sono quelle che assicurano la maggiore credibilità e si guadagnano più facilmente la fiducia. Se ce n'è bisogno chiedere aiuto proprio a una donna. Sono pochi infatti le hacker, anche se è minoranza solo quantitativa e certo non qualitativa.

Arriviamo al settebello del decalogo: prendere di mira le persone meno fortunate e quelle più stupide. I personaggi che si incontrano correndo lungo le electronic highways, quelli che affollano le aree di servizio delle autostrade del bit e che si aggrappano al guard-rail, rappresentano una facile preda. Internet è l'habitat per chi è sveglio: se l'evoluzione delle specie sul nostro pianeta ha favorito la forza fisica, nell'universo telematico è destinato a sopravvivere chi è più intelligente. In entrambi i contesti ha avuto e continuerà ad avere buona sorte anche chi non è un genio, ma è semplicemente furbo.

L'ottava regola impone di utilizzare nomi fasulli, identità e coordinate altrui, falsi biglietti di visita... Niente di più facile se si vive la dimensione on-line. Il furto di identità telematica è una pratica talmente diffusa da aver costretto il governo americano a varare un provvedimento di legge per sanzionare chi sfrutta tale opportunità per trarre profitto o per recare danno a qualcuno. Lo spoofing, ovvero la tecnica per camuffarsi dietro ad altra identificazione telematica, in certi ambienti è addirittura prassi.

Se nel mondo "normale" il nono comandamento del social engineering suggerisce di dotarsi di ogni utile strumento di contraffazione e persino di carta filigranata, chi vuole attenersi a tale disposizione nell'universo cibernetico non fatica a trovare i mezzi più efficaci per perseguire gli obiettivi più strani. Decima e ultima regola è avvalersi di una squadra. Non si può pensare a operazioni isolate: serve sempre un commando in cui si integrano esperienze e competenze diverse. Si deve mettere a bilancio di aver bisogno di un aiuto e si deve già sapere a chi poterlo chiedere. Nell'underground delle reti di trasmissione dati è una lezione che pian piano è stata digerita: chi operava isolato si è creato una corte di fedelissimi, sono nati i primi gruppi, si sono formate coalizioni e alleanze tra formazioni che in passato avevano duellato senza esclusione di colpi.

Il social engineering non ammette improvvisazioni. E nemmeno la pirateria, o hacking che dir si voglia. E questa comunione di presupposti ha fatto sì che i filibustieri elettronici facessero tesoro delle potenzialità di tale sistema per il raggiungimento dei propri scopi.

La disponibilità di dati, notizie e elementi di conoscenza contribuisce a acquisire la superiorità di informazione che permette di sapere di più e prima, che consente di decidere più in fretta e meglio, il cardine della cyberwar. La si ottiene con mille sistemi ed evitare di cadere in simili inganni è davvero difficile. Chi vuole difendersi deve stare attento e tenere gli occhi bene aperti. Ma se si potessero scegliere i pezzi sulla scacchiera, sarebbe preferibile sbrigarsi ad acciuffare quelli bianchi e muovere per primi. Sfiga vuole che il più delle volte ci si trovi a giocare con i neri e a ritrovarsi "target" e non protagonisti di azioni di social engineering.

La paura di questo fenomeno non è nuova per gli addetti ai lavori. Il 18 aprile 1991 era scattato già l'allarme: il Computer Emergency Response Team o Cert - una sorta di 113 istituito dall'istituto di ingegneria del software della Carnegie Mellon University negli Stati Uniti - aveva diffuso il bollettino Ca-91-04 informando del rischio. Il suo centro di coordinamento aveva già rilevato incidenti telematici nei quali erano incappati utenti sproveduti che, coinvolti in insospettabili operazioni al computer, avevano comunicato a qualche sconosciuto la propria password o altre informazioni personali.Già allora le modalità di esecuzione della "gàbola" telematica prevedevano una richiesta d'informazioni al legittimo titolare delle stesse. Tale pretesa poteva giungere sotto forma di messaggio in posta elettronica, assumere le sembianze di comunicazione a un pubblico televisivo, essere formulata nel corso di una telefonata dai toni estremamente istituzionali. Se si vuole im! maginare una situazione del genere basta ipotizzare una e-mail in cui il mittente (apparentemente azienda leader del settore, ente governativo o semplice amministratore del sistema) invita il destinatario a effettuare una determinata prova tecnica, magari a lanciare un programma di test in grado di verificare la corretta funzionalità dell'apparato informatico che si sta utilizzando. Tale software può essere allegato al messaggio, reso disponibile su un sito web oppure installato fraudolentemente sul computer del malcapitato. Quel che conta è che la procedura - una volta avviata - richiede all'utente di inserire la propria password o altri codici identificativi, magari simulando un'interruzione della connessione in rete o la ripartenza del computer. La digitazione di tali dati innesca l'invio dello user name (o identificativo personale) e della parola chiave a questo abbinata: in un attimo il malintenzionato viene in possesso della combinazione corretta per accedere alle risors! e di quella persona. In questo modo l'hacker non dovrà far ricorso a forzature del sistema con immaginaria fiamma ossidrica digitale, né sarà costretto ad affaticare la propria fantasia con tentativi mnemonici simili agli Apriti Teramo/Apriti Sedano di promozionale memoria.

Ma i meccanismi per perpetrare scippi di informazioni critiche si sono moltiplicati, sfruttando al massimo l'interattività dei più moderni programmi di navigazione in Internet, la disponibilità dell'utente ad accettare l'esecuzione di piccole procedure automatiche pur di ottenere quel che sta cercando, la possibilità di acquisire a distanza il controllo del computer remoto. Applet Java e Active-X assolvono così il ruolo di lente e pinzette per chi vuole estrarre anche le informazioni più nascoste. Nel mirino dei predatori finisce così ogni sorta di dato personale, non solo informatico, dalle coordinate bancarie alle informazioni sanitarie.

Il Grande Fratello forse si chiama Dracula. I suoi denti sono spine telefoniche e le sue vene cavi e fibre ottiche. E se le informazioni rubate sono il sangue, non c'è rischio di anemia. Ma attenzione a non preoccuparsi troppo di orwelliani fantasmi: si potrebbe correre il rischio di identificare un ciclopico nemico immaginario o quasi e di cadere vittime di chi ce lo indica.