Di cosa si tratta?

  • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati.
  • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro.
  • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. 
  • L'obiettivo di ethical hacking è quello di determinare il modo di violare i software e i dispositivi presenti in azienda, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo

Le principali attività che Innovamind effettua in quest'area sono:

Vulnerability Assessment

Fornisce un indicatore istantaneo dello stato di sicurezza di uno specifico ambiente. Questo servizio ha come obiettivo quello di definire il livello complessivo di robustezza delle componenti in termini di patching e configurazioni di sicurezza (hardening). Mediante strumenti automatici e semi-automatici, tutte le componenti di sistema e di infrastruttura dell'ambiente sotto esame vengono testate rispetto a un gran numero di vulnerabilità note e tipici errori di configurazione, allo scopo di identificare i potenziali punti deboli o le zone di maggiore esposizione a eventuali attacchi.

Innovazione e sicurezza sono i nostri obiettivi primari.

Sei certo che i tuoi dati aziendali sono al sicuro?

Formazione aziendale

Un piano di formazione periodica mette i dipendenti di un'azienda al riparo di una serie di errori che possono causare disastri digitali, perdite di dati, furti d'identità, compromissione di credenziali di accesso. Negli ultimi mesi la maggior parte dei Cyber Criminali hanno attaccato i sistemi informatici attraverso vulnerabilita intercettate sulle applicazioni; termini come OSINT (Open Source Intelligence) devono entrare a far parte del nostro bagaglio culturale perche riguardano la raccolta di informazioni mediante consultazioni di fonti pubbliche che diventa sempre piu semplice e spinge a risultati di importanza straordinaria; infatti in rete si trovano in dettaglio le vulnerabilita delle applicazioni e soprattutto dei progetti Open Source. Mediante tali debolezze informatiche i Cyber Criminali sviluppano Exploit che sfruttando bug e vulnerabilita permettono di eseguire codice non previsto all’interno di un’applicazione, detti Exploit possono anche permettere l’acquisizione di diritti amministrativi sulla macchina dove e in esecuzione l’applicazione vulnerabile. Il sotto-sistema degli utenti essendo composto da persone, e soggetto ad attacchi di Ingegneria Sociale; i Cyber Criminali studiano i comportamenti degli operatori che, attraverso l’utilizzo di applicazioni, si occupano di analisi dati o data entry, cercando così di intercettare eventuali vulnerabilita sociali. Alcune volte riescono, attraverso tecniche come il Phishing e Brute Force, ad ottenere accesso ad aree riservate di applicazioni importanti. Le aziende che si occupano di analisi e data entry, molto spesso per motivi economici utilizzano utenti poco formati in campo security, rendendo in questo modo il lavoro dei criminali molto piu semplice e veloce.

Info e tecniche utilizzate dai cyber criminali:

PHISHING (spillaggio di dati sensibili) e un’attivita illegale ormai utilizzata sempre piu spesso da malintenzionati che, attraverso delle mail fasulle, cercano di attrarre l’utente in siti “simili” a quelli “originali”; l’utente, ingannato dall’aspetto del sito identico a quello originale e dalla mail fasulla dove lo si richiama ad un controllo dei dati per vari scopi amministrativi, inserira in buona fede i propri dati personali utilizzati di norma per accedere al sito originale (ad es. l’home banking e/o l’area riservata per la gestione della carta di credito) all’interno del sito gestito dal criminale, consegnando così i propri dati che potranno in un secondo momento servire per un accesso al sito originale da parte del criminale stesso. Un esempio di una mail che arriva sulla casella di posta elettronica di un utente.

PRETEXTING
Ha un meccanismo analogo a quello del phishing, ma tramite un mezzo differente: il telefono. In questo caso il criminale, dopo aver recuperato il tuo numero telefonico fisso o di cellulare, si presenta come un’azienda o professionista legittimo per indurti, con menzogne piuttosto elaborate, a fornire informazioni personali e riservate. Il mittente della telefonata potrebbe presentarsi come un dipendente del tuo istituto di credito, di un ufficio pubblico, di una compagnia telefonica o di un’emittente televisiva a pagamento e dirti che esiste un problema con il tuo account che puo essere risolto solo se confermi le tue informazioni anagrafiche, il tuo codice fiscale, le credenziali di accesso e altri dati simili. In caso di telefonate di questo tipo e meglio riagganciare senza fornire alcuna informazione e, nel dubbio, si puo contatta direttamente l’azienda presunta mittente della telefonata per accertare eventuali problemi con il proprio account.

PHISICAL
Bisogna prestare molta attenzione ad eventuali tecnici che cercano di entrare nella sede aziendale spacciandosi per operatori telefonici, tecnici della societa elettrica, del gas o altro. Bisogna sempre chiedere motivazione della visita e soprattutto non lasciare detti operatori da soli nei pressi di apparati informatici e/o sale CED.

BAITING
Una delle tecniche di ingegneria sociale piu utilizzate e il Baiting, che consiste nell’immissione di software malevolo in gadget o dispositivi removibili tipo pendrive USB. E’ consuetudine nel mondo criminale regalare e spedire per posta dispositivi del genere camuffati con etichette accattivanti e rassicuranti, che incentivano l’utente ad introdurla nel proprio sistema, rischiando in questo modo, l’esecuzione del codice malevolo sulla propria workstation.