Cappuccetto Rosso: la sicurezza informatica nelle fiabe

19 Set 2019

Come spiegate ai vostri figli i concetti di sicurezza informatica? È probabile che semplicemente non lo facciate. Alcuni genitori rinunciano a parlare della sicurezza informatica e vietano ai bambini di utilizzare le Rete per certi propositi o addirittura proibiscono loro di collegarsi a Internet in generale. Il divieto senza spiegazioni può essere controproducente e probabilmente spinge i bambini e ragazzi a prendere il frutto proibito.

In risposta alla domanda “Perché non parlare ai vostri figli delle cyberminacce e di come funziona la sicurezza informatica?”, i genitori che non sono molto ferrati sull’argomento tendono a sentirsi frustrati e a rinunciare, non necessariamente in questo ordine. In realtà, è già stato tutto spiegato. Probabilmente non ve ne siete resi conto ma i libri sulla sicurezza informatica per i più piccoli sono stati scritti centinaia di anni fa e sono conosciuti come favole. Tutto quello che dovete fare è interpretarli nella maniera giusta.

Analizziamo la favola di Cappuccetto Rosso dal punto di vista della sicurezza informatica.

Cappuccetto Rosso

Prendiamo ad esempio la fiaba di Cappuccetto Rosso. nota racconto popolare che è stato ripetutamente reinterpretato da eminenti esperti di sicurezza informatica come i fratelli Grimm, Charles Perrault e molti altri. Le varie versioni della storia possono differire leggermente ma la base rimane sempre la stessa. Vediamo passo dopo passo cosa succede.

  1. La mamma manda sua figlia dalla nonna con un cesto di dolcetti.
  2. Cappuccetto Rosso incontra il lupo, che le chiede: “Dove stai andando?”
  3. Cappuccetto risponde: “Vado a trovare la nonna e le porto un cesto di dolcetti”.

Le implicazioni in termini di sicurezza informatica sono chiare fin dall’inizio. Qui, si può spiegare la procedura dell’handshake, che è il processo di stabilire la comunicazione tra due parti e insieme osservare le minacce correlate.

Cappuccetto Rosso è stata programmata per bussare alla porta della nonna, ottenere in risposta la domanda “Chi è?”, e rispondere a sua volta con una passphrase riguardante l’invio dei dolcetti da parte della mamma in modo che la nonna possa procedere con l’autorizzazione e concedere l’accesso alla casa. E invece, per un qualche motivo, rivela la passphrase in occasione di una richiesta casuale, senza aver ricevuto l’apposita domanda “Chi è? Questo fa sì che l’aggressore abbia “un’apertura” da sfruttare.

  1. A seconda della versione del firmware della fiaba, il lupo obbliga Cappuccetto Rosso a fare una deviazione o le suggerisce di raccogliere dei fiori per la nonna.

In entrambi i casi, si tratta di un tipo di attacco Denial-of-Service (DoS); se il lupo cerca di accedere alla casa della nonna dopo l’arrivo di Cappuccetto Rosso, è improbabile che lo facciano entrare, perché il visitatore atteso è già dentro. Pertanto, è importante per lui mettere Cappuccetto Rosso fuori uso per un po’ di tempo, in modo che lei non possa completare il suo compito nei tempi previsti.

  1. In ogni caso, il lupo è il primo a raggiungere la casa della nonna ed entra rispondendo correttamente alla domanda “Chi è?”

Questa è una versione quasi da manuale di un attacco Man-in-the-Middle (MitM) usando il metodo replay-attack (anche se, nel nostro caso, lupo-in-the-middle sarebbe più appropriato). Il lupo entra nel canale di comunicazione tra le due parti, apprende la procedura di handshake e la passphrase dal client e le riproduce entrambe per ottenere l’accesso illecito al server.

  1. Il lupo mangia la nonna, si mette la camicia da notte e il berretto e giace nel suo letto sotto una coperta.

In termini moderni, sta creando un sito di phishing. Sembra tutto vero dalla porta, il letto della nonna è lì e dentro c’è qualcuno che le somiglia.

  1. Dopo essersi avvicinata alla casa e aver sentito la domanda “Chi è”, Cappuccetto Rosso rivela la passphrase sui dolcetti che ha portato.

Questa è il prosieguo dell’attacco MitM ma ora il lupo, che ha imparato la seconda parte della procedura di scambio di informazioni, imita il normale comportamento del server della nonna. Cappuccetto Rosso non individua nulla di sospetto ed entra.

  1. In casa si chiede ad alta voce perché la nonna abbia orecchie, occhi e denti così grandi. Domande intelligenti ma alla fine, soddisfatta delle spiegazioni del lupo, va avanti… e viene mangiata.

Nella vita reale, come in questa fiaba, i siti di phishing raramente sono convincenti al 100% e spesso contengono elementi ambigui, come un link sospetto. Per evitare problemi, meglio prestare attenzione: e se, ad esempio, il nome di dominio della nonna viene fuori dal suo berretto da notte, abbandonate il sito immediatamente.

Cappuccetto Rosso vede alcune incongruenze ma purtroppo le ignora. Qui dovrete spiegare al vostro bambino che il comportamento di Cappuccetto è imprudente e spiegare cosa avrebbe dovuto fare.

  1. Per fortuna, arriva un gruppo di taglialegna (o cacciatori in alcune versioni), aprono la pancia del lupo e la nonna e Cappuccetto Rosso spuntano fuori miracolosamente sane e salve.

Certo, i paralleli con la sicurezza informatica forse non sono azzeccatissimi. Non si può aprire la pancia di un cybercriminale per riavere indietro il denaro, la reputazione o la sicurezza. Beh, ad essere onesti, non ci abbiamo provato. E per la cronaca, non siamo in alcun modo associati semmai qualcuno lo avesse mai fatto.

La sicurezza informatica in altre fiabe

Le fiabe contengono insegnamenti di vita e in ogni fiaba potrebbe esserci un sottotesto sulla sicurezza informatica, l’importante è esporlo correttamente. Ne I tre porcellini, per esempio, vediamo uno script kiddie che usa uno strumento che soffia con forza per compiere attacchi di forza brutea. Ne La regina delle nevi un troll installa un malware specchio che prende il controllo di Kay, proprio come uno strumento di amministrazione remota (RAT) concede il controllo del sistema a un criminale esterno.

A sua volta, Il gatto con gli stivali è fondamentalmente un rapporto dettagliato su un attacco APT molto sofisticato, in cui il gatto prima sequestra l’infrastruttura dell’orco e poi, dopo aver ottenuto un suo posto, stabilisce un accordo fraudolento con il governo attraverso una complessa truffa che coinvolge i servizi di reputazione.