Due casi reali di ieri e di oggi ci aiutano a comprendere l'importanza dell'ingegneria sociale nella vita di tutti i giorni.

Il primo caso che esamineremo riguarda l'attività spionistica svolta da CIA e BND ai danni di numerosi paesi, anche alleati, avvenuto grazie alla copertura della società svizzera Crypto AG.

I governi di quasi tutto il mondo si sono affidati nel corso degli anni (in alcuni casi per circa mezzo secolo) a Crypto AG per salvaguardare le comunicazioni riservate tra le loro ambasciate e gli interlocutori istituzionali.

L'azienda svizzera ha guadagnato milioni di dollari vendendo apparecchiature in più di 120 paesi fino a poco tempo fa. I suoi clienti includevano: Iran, America Latina, India, Pakistan e persino il Vaticano.

Probabilmente nessuno di costoro sospettava che Crypto AG fosse di proprietà della CIA, in una partnership riservata con i servizi segreti della Repubblica Federale Tedesca, il BND. Queste agenzie di spionaggio hanno truccato i dispositivi dell'azienda, violando così i codici utilizzati dai clienti per l'invio di messaggi crittografati.

Per comprendere meglio gli eventi vi rimandiamo all'articolo uscito di recente sul Washington Post[1] a cura del reporter Greg Miller, che ha riassunto magistralmente gli avvenimenti; il seguente video, relativo all'utilizzo di una macchina crittografica Hagelin CX-52 (risalente alla seconda guerra mondiale) potrà aiutare a comprendere meglio il funzionamento di questo genere di comunicazioni.

Noi ci concentreremo sugli aspetti umani che hanno coinvolto i dipendenti della ditta elvetica, inizialmente del tutto ignari del loro reale datore di lavoro.

Per la CIA e l'NSA l'attività spionistica svolta tramite Crypto AG fu un'operazione conosciuta prima con il nome in codice "Thesaurus", successivamente "Rubicon".

I funzionari delle agenzie di intelligence si trovarono a gestire una situazione sempre più complessa; per esempio l'avvento della tecnologia digitale, che costrinse la Germania e gli Stati Uniti a collaborare con delle aziende private (rispettivamente Siemens e Motorola). Il controllo delle risorse umane fu spesso oggetto di aspri confronti tra le agenzie spionistiche e la compagine sociale formata, oltre che dagli iniziali fondatori di Crypto AG, anche da realtà governative e imprese private.

Nel 1978 Wagner, amministratore delegato di Crypto AG, assunse un ingegnere elettrico di nome Mengia Caflisch.

Mengia, prima di tornare nella sua nativa Svizzera e fare domanda per un lavoro presso Crypto AG, trascorse diversi anni negli Stati Uniti lavorando come ricercatrice di radioastronomia per l'Università del Maryland. Wagner colse al volo l'opportunità di assumerla, ma i funzionari della NSA espressero immediatamente la preoccupazione che fosse: "troppo intelligente per rimanere inconsapevole".

I timori della NSA si rilevarono fondati in quanto pochi mesi più tardi Mengia si insospettì trovando diverse falle negli algoritmi crittografici alla base dei sistemi di comunicazione venduti in ogni parte del mondo.

Il fattore umano ha caratterizzato l'intera vicenda a partire dagli inizi, con l'avvicinamento della CIA a Boris Hagelin, imprenditore e inventore di origine russa, espatriato nel 1940 negli Stati Uniti dopo essere sfuggito prima ai bolscevichi e poi ai nazisti.

Gli Stati Uniti giocarono una preziosa risorsa per concludere l'azione di convincimento: William Friedman, considerato il padre della crittografia americana.

Friedman conosceva Hagelin dagli anni '30, forti di un'amicizia e della condivisione di passioni comuni, inclusa la loro origine russa e il fascino per la complessità della crittografia:

"Non ci sarebbe mai stata un'operazione Rubicon se i due uomini non avessero stretto la mano sul primissimo accordo segreto tra Hagelin e l'intelligence statunitense durante una cena al Cosmos Club di Washington nel 1951."

In recenti interviste, i dipendenti ingannati, persino quelli che sospettavano una qualche collaborazione tra Crypto AG e dei servizi d'intelligence, hanno affermato che, a seguito dell'emergere di tutta la vicenda, si sono sentiti traditi sia personalmente che professionalmente, in relazione a quanto perpetrato nei confronti dei clienti.

"Pensi di fare un buon lavoro e di fare qualcosa di sicuro", ha detto Juerg Spoerndli, un ingegnere elettrico che ha trascorso 16 anni in Crypto; "E poi ti rendi conto di aver ingannato questi clienti."

Di diverso tenore il punto di vista dei funzionari statunitensi della National Secuirity Agency protagonisti nella vicenda:

“Ho qualche scrupolo? Zero ", ha detto Bobby Ray Inman , che è stato direttore della NSA e vicedirettore della CIA alla fine degli anni '70 e all'inizio degli anni '80. "È stata una fonte di informazioni  preziosa su parti del mondo molto importanti per i responsabili politici degli Stati Uniti".

Per onestà intellettuale è doveroso ricordare il coinvolgimento del BND (agenzia di intelligence tedesca) che con questa operazione riuscì ad avvicinarsi al tavolo dei (forse!?) leader dello spionaggio internazionale: il "Five Eyes", patto di intelligence che coinvolge Stati Uniti, Gran Bretagna, Australia, Nuova Zelanda e Canada.

Il secondo caso che prenderemo in analisi viene descritto in un articolo di Linkedin Pulse[2] da Christopher Hadnagy, consulente e docente di social-engineeering presso l'Università dell'Arizona, ed ha per protagonista il politico russo Alexei Navalny, leader del partito Russia del Futuro sopravvissuto a un tentativo di avvelenamento da parte del FSB (l'agenzia di intelligence russa). Non entreremo nel merito politico della vicenda ma ci concentreremo sugli aspetti tecnici dell'ingegneria sociale.

Il racconto dello stesso Navalny in un video (sottotitoli in inglese) permette di osservare alcune procedure utilizzate nel social-engineering:

Alexei si finge un agente anziano del FSB incaricato di redigere un rapporto avente ad oggetto l'operazione che avrebbe portato alla sua morte, contatatta telefonicamente Kudryavtsev (l'agente dell'FSB che tentò di ucciderlo), utilizzando una tecnologia per falsificare il numero di telefono e far sembrare che stesse chiamando dalla linea fissa dell'FSB.

La stessa tecnica viene utilizzata nel vishing: un attacco simile al phising che sfrutta le normali chiamate telefoniche per carpire informazioni o indurre il personale a compiere azioni utili a criminali per introdursi fraudolentemente nei sistemi informatici di aziende.

Kudryavtsev durante la telefonata ripeté numerose volte di non voler discutere i dettagli su una linea insicura. Ma il pretesto di Alexei era di un alto ufficiale che chiedeva dettagli per finire un rapporto contente le motivazioni del fallimento dell'assassinio.

Alexei ha utilizzato una tecnica comunicativa denominata RSVP (Rythm Speed ​​Volume Pitch) per parlare in modo diretto, autoritario con l'obiettivo di cercare di mantenere un equilibrio tra mettere in soggezione la vittima e nello stesso tempo convincerla a collaborare alternando tono della voce e tipologia di domande.

Hadnagy si sofferma su diversi punti: specificando il minuto esatto del video dove possiamo trovare il riferimento alla procedura, un aspirante ingegnere sociale potrebbe studiare la tecnica per migliorare la conoscenza nel settore.

Alexei in conclusione riesce a far ammettere all'agente del FSB i dettagli riguardo al tentativo di assassinio.

Gli eventi descritti sono indubbiamente da considerarsi dei casi estremi dove il coinvolgimento emotivo e lo stress dei protegonisti sono costantemente messi alla prova.

Come l'ingegneria sociale può aiutarci nella vita di tutti i giorni, magari con l'utilizzo della tecnologia?

Il caso di Crypto AG ci insegna che potremmo inconsapevolmente essere coinvolti in realtà diverse da quelle che crediamo, collaborando nostro malgrado ad azioni pericolose non previste.

Il caso di Alexei Navalny ci insegna che con l'ausilio di una comunicazione efficace e con semplici strumenti tecnologici è difficile verificare l'identità di un interlocutore.

Il pensiero critico e qualche nozione di OSINT che, citando un articolo pubblicato precedentemente, è uno dei pilastri dell'ingegneria sociale, potrebbero essere di aiuto.

Tre rapidi esempi:

1) Verificare l'effettiva compagine sociale della società per cui lavoriamo, quindi analizzare bilanci e informazioni economiche: da chi è davvero composta l'impresa che mi ha assunto? Da dove ricava? Sono tutte informazioni che per legge le società di capitali devono pubblicare e rendere disponibili ai cittadini sui registri ufficiali, come il Registro delle Imprese presso le camere di commercio. Attenzione però, la normativa non è uguale in tutto il mondo.

2) I social media, se vogliamo essere tecnici le operazioni di SOCMINT (Social Media Intelligence), sono una miniera inesauribile; prima o poi l'errore umano permette di raccogliere informazioni. La foto di una cena, di un convegno, di una vacanza, magari non pubblicata dal diretto interessato ma da un amico reperibile su Facebook, potrebbe svelare dettagli utili a delineare una realtà diversa da quella che immaginavamo.

3) Fidarsi di tutti, con la consapevolezza che sia meglio non fidarsi di nessuno. L'intuito è l'arma principale ed anche la più difficile da utilizzare e addestrare. E' anche grazie all'intuito se possiamo porci le domande corrette; con l'analisi descritta nel primo punto troviamo l'elenco dei soci con le relative partecipazioni societarie.  Questo non ci assicura che il potere decisionale ricada nel socio maggioritario, il quale potrebbe essere succube della collega di cui è eternamente innamorato; certo inizialmente in tribunale verrà chiamato a deporre il responsabile legale ma la realtà spesso supera la fantasia! La cronaca giudiziaria è colma di indagini degne del Le Carrè di turno.

Nel non fidarsi di nessuno dovremmo però evitare di cadere vittime dei disturbi mentali:  schizzofrenia paranoide, disturbo ossessivo compulsivo, narcisismo ed altro che esperti del settore studiano costantemente. Quindi non esageriamo! Ma se proprio volete esagerare e miscelare nozioni tecnologiche con nozioni psicologiche potete iniziare con una lettura: Profiler di Massimo Picozzi[3]

[1] The intelligence coup of the century di Greg Miller per il Washington Post

[2] Social Engineering To Save Your Life di Cristopher Hadnagy LinkedInPulse

[3] Profiler di Massimo Picozzi edizioni Sperling & Kupfer ISBN: 9788820060954