La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cos’è il tailgating? Quando i penetration test non bastano e il Red Team ha bisogno di controlli sulla sicurezza fisica
Redazione RHC : 6 Ottobre 2023 11:23
Nelle attività di “red team”, il termine “tailgating” si riferisce a una tecnica in cui un membro del team cerca di ottenere un accesso non autorizzato a un’area protetta o a un sistema informatico ad esempio seguendo da vicino un dipendente autorizzato o un utente legittimo. Questa tecnica di controllo utilizzata nel contesto del red teaming, si concentra sulla valutazione della sicurezza dei processi aziendali, dei sistemi e dei controlli di accesso.
Tuttavia, mentre i test di penetrazione tradizionali sono stati a lungo una componente chiave delle operazioni di sicurezza informatica, il panorama delle minacce è in costante evoluzione. Questo ha portato alla necessità di considerare un’ampia gamma di vettori di attacco, tra cui il tailgating.
Il tailgating, rientra nelle tecniche di ingegneria sociale utilizzata per ottenere l’accesso fisico non autorizzato a edifici, aree o sistemi protetti all’interno di un’organizzazione. Questa tecnica sfrutta la tendenza naturale delle persone a essere cortesi e a non mettere in discussione la presenza di individui che sembrano appartenere all’ambiente circostante.
Sei un Esperto di Formazione? Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program. Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo
In termini semplici, il tailgating coinvolge un aggressore che segue o approfitta della presenza di un dipendente autorizzato o di un visitatore legittimo per accedere a una zona protetta. Questo può avvenire in vari contesti, come uffici aziendali, centri dati, strutture governative o qualsiasi luogo in cui vi siano restrizioni di accesso.
L’aggressore mira a superare le barriere di sicurezza fisica senza attirare sospetti. Questo significa che l’attacco di tailgating avviene spesso senza attività sospette rilevabili dal punto di vista tecnico. Gli aggressori si affidano principalmente all’ingegneria sociale per ottenere l’accesso.
Il processo tipico di un attacco di tailgating comporta l’approccio amichevole dell’aggressore, il quale può indossare abiti o uniformi che sembrano appropriati per l’ambiente, fingere di avere un motivo valido per l’accesso o dichiarare di essere in ritardo per una riunione. Una volta vicino a un punto di accesso protetto, l’aggressore cerca di ingannare o manipolare un dipendente autorizzato o un visitatore legittimo per ottenere l’ingresso.
Se l’inganno riesce, il dipendente autorizzato o il visitatore legittimo concede all’aggressore l’accesso, aprendo l’accesso protetto. In alcuni casi, l’aggressore può anche rubare o clonare badge di accesso o chiavi fisiche per ottenere l’ingresso autonomamente.
Una volta all’interno, l’aggressore può sfruttare la sua presenza per compiere attività dannose o non autorizzate, come il furto di dati, l’installazione di dispositivi di registrazione illeciti o l’accesso a sistemi o documenti sensibili. Queste attività possono avere gravi conseguenze per la sicurezza dell’organizzazione.
Scenari di Utilizzo del Tailgating
Il tailgating è un’arte dell’ingegneria sociale che può essere sfruttata in una vasta gamma di scenari. Gli aggressori possono adattare questa tecnica in base all’ambiente e agli obiettivi specifici. Ecco come funziona tipicamente il “tailgating” in una classica attività da red teaming:
Identificazione del bersaglio: Il membro del red team seleziona un bersaglio specifico, che potrebbe essere un edificio, un ufficio o una rete informatica, per testare la sicurezza;
Preparazione dell’attacco: Il membro del red team incaricato del tailgating si prepara come se fosse un dipendente o un utente legittimo. Questo potrebbe includere la creazione di un falso badge o l’uso di uniformi o abbigliamento appropriato per passare inosservato;
Esecuzione: Il membro del red team si avvicina a un punto di accesso controllato, come una porta con badge o un checkpoint di sicurezza, e cerca di seguire da vicino un dipendente autorizzato attraverso l’accesso. L’obiettivo è passare attraverso il controllo di accesso senza essere scoperti o senza dover superare le misure di sicurezza;
Installazione di dispositivi malevoli nell’azienda: una volta ottenuto l’accesso, il membro del red team potrà installare dei dispositivi all’interno dell’organizzazione che potranno essere manipolati da remoto, come ad esempio un mini computer (es. Raspberry Pi con interfaccia radio) che potrà essere interconnesso alla rete intranet dell’azienda e pilotato da remoto, ad esempio dal parcheggio oppure da una posizione adiacente all’ufficio;
Valutazione della risposta: Se il membro del red team riesce a superare il controllo di accesso senza essere riconosciuto, questo rappresenta una violazione della sicurezza e viene registrato come un punto debole. Se viene scoperto, il red team valuta anche come il personale di sicurezza o gli altri dipendenti hanno risposto all’incidente.
L’obiettivo del tailgating nel red teaming è identificare le vulnerabilità nei controlli di accesso fisico e nelle procedure aziendali e condurre attacchi mirati dall’interno dell’organizzazione. Risolvere tali problemi consentirà all’organizzazione di rafforzare la propria sicurezza e prevenire l’accesso abusivo non autorizzato.
Obiettivi del Tailgating
Gli obiettivi principali del tailgating sono molteplici e possono variare in base al contesto e agli attori coinvolti. Tuttavia, alcuni degli obiettivi comuni includono:
Accesso fisico non autorizzato: Questo è l’obiettivo primario del tailgating. Gli aggressori cercano di entrare in un’area ristretta senza avere credenziali o autorizzazioni necessarie. Ciò può includere l’accesso a edifici aziendali, uffici governativi, centri dati, strutture sanitarie o qualsiasi altra area che richieda un controllo d’accesso rigoroso;
Raccolta di informazioni sensibili: Una volta all’interno, gli aggressori possono cercare di raccogliere informazioni sensibili o riservate. Queste informazioni possono essere documenti aziendali, dati sensibili, segreti commerciali o altre risorse preziose.
Sabotaggio o danni fisici: In situazioni estreme, gli aggressori potrebbero mirare a danneggiare fisicamente l’ambiente o l’infrastruttura una volta all’interno. Questo può includere danni alle apparecchiature, ai sistemi di sicurezza o ai beni aziendali.
Violazione della privacy: Nel caso di strutture residenziali o alloggi privati, il tailgating può mirare a violare la privacy degli abitanti, cercando di ottenere informazioni personali o di compiere atti malevoli all’interno della residenza.
Attacchi informatici interni: Nel contesto aziendale, i tailgaters possono cercare di utilizzare l’accesso fisico ottenuto per compiere attacchi informatici interni, come l’accesso non autorizzato a sistemi o reti aziendali, rubando dati sensibili o compromettendo la sicurezza informatica complessiva.
Come abbiamo visto, una volta all’interno dell’organizzazione possono essere perpetrati una serie di illeciti dal punto di vista sia informatico che fisico. Si parte dall’installazione di dispositivi elettronici controllati da remoto (ad esempio un Raspberry Pi con una interfaccia wi-fi connesso alla rete intranet dell’organizzazione, controllabile dal parcheggio o da un edificio adiacente), fino ad arrivare al furto di documenti cartacei dalle scrivanie o dai rifiuti.
È importante sottolineare che gli obiettivi del tailgating possono variare notevolmente in base al contesto. Gli aggressori possono essere spinti da motivazioni finanziarie, politiche, ideologiche o semplicemente dalla curiosità. La prevenzione e il riconoscimento del tailgating sono cruciali per proteggere le risorse fisiche, le informazioni e la sicurezza complessiva delle organizzazioni e delle strutture.
Esecuzione di un Attacco di Tailgating
Un attacco di tailgating si sviluppa generalmente attraverso una serie di fasi ben definite, ognuna delle quali è progettata per consentire all’aggressore di superare i controlli di accesso e ottenere l’ingresso in un’area protetta.
Ecco le fasi tipiche di un attacco di tailgating:
Ricognizione: Prima di tentare un attacco di tailgating, il membro del red team esegue una fase di ricognizione. Questo può comportare l’osservazione e lo studio delle abitudini dei dipendenti autorizzati, come gli orari di entrata e uscita e i controlli di accesso. In questa fase, l’aggressore cerca di raccogliere informazioni che saranno utili nel tentativo successivo;
Preparazione: Una volta raccolte le informazioni necessarie, il membro del red team si prepara per l’attacco. Questo può includere la scelta dell’abbigliamento appropriato per sembrare un dipendente o un visitatore legittimo, la pianificazione del momento giusto per l’attacco e la raccolta di eventuali strumenti o attrezzature necessarie;
Approccio: Nella fase di approccio, il membro del red team si avvicina all’area protetta. Questo può avvenire in vari modi, come camminando verso una porta d’ingresso, un passaggio o un cancello. Durante questa fase, l’aggressore deve cercare di sembrare sicuro di sé e autorizzato;
Inganno: Nel momento in cui si avvicina ai controlli di accesso, il membro del red team può utilizzare una serie di tecniche per ingannare il personale autorizzato o i sistemi di sicurezza. Questo può includere la presentazione di un falso pretesto, l’imitazione del comportamento di un dipendente o l’utilizzo di distrazioni;
Superamento dei controlli: La fase chiave dell’attacco è il superamento dei controlli di accesso. Questo può essere fatto in vari modi, come mostrando un badge falso o dicendo al personale di sicurezza che si è dimenticato il badge a casa. In alcuni casi, l’aggressore può cercare di seguire da vicino un dipendente autorizzato mentre entra nell’area;
Accesso all’area protetta: Una volta superati i controlli di accesso, il membro del red team ottiene l’accesso all’area protetta. Questa fase può variare notevolmente a seconda degli obiettivi dell’attacco. In alcuni casi, l’aggressore può cercare di ottenere ulteriore accesso o di aggirare ulteriori barriere di sicurezza;
Attuazione dell’obiettivo: Se il membro del red team ha obiettivi specifici all’interno dell’area protetta, procederà con l’attuazione di tali obiettivi. Questo può includere attività come il furto di informazioni sensibili, la danneggiamento di apparecchiature o l’installazione di dispositivi di spionaggio;
Fuga: Dopo aver completato l’obiettivo dell’attacco, il membro del red team cerca di fuggire dall’area protetta senza essere scoperto. Questo può comportare l’uso delle stesse tecniche di inganno e distrazione utilizzate durante l’ingresso;
Pulizia delle tracce: Alcuni membri del red team possono cercare di cancellare le tracce del loro accesso non autorizzato, ad esempio ripristinando i controlli di accesso o eliminando prove fisiche. Questo può rendere più difficile la scoperta dell’attacco.
Le fasi di un attacco di tailgating possono variare di volta in volta in base all’ambiente e agli obiettivi specifici dell’aggressore. Quanto riportato sono le fasi generali che caratterizzano questo tipo di attacco.
Motivazioni e Benefici
Le motivazioni alla base di un attacco di tailgating possono variare ampiamente.
Solitamente si concentrano sull’ottenimento di accesso non autorizzato a un’area protetta o a risorse sensibili. Ecco alcune delle motivazioni comuni che spingono gli aggressori a compiere attacchi di tipo tailgating:
Furti: Uno dei motivi più comuni per cui qualcuno potrebbe tentare un attacco di tailgating è il desiderio di commettere furti. Questo potrebbe includere il furto di beni materiali, documenti sensibili o informazioni riservate;
Spionaggio: Gli aggressori possono tentare il tailgating per scopi di spionaggio. Possono cercare di ottenere informazioni sensibili, come segreti commerciali o dati aziendali, per conto di organizzazioni rivali o governi stranieri rivali;
Sabotaggio: In alcuni casi, gli aggressori cercano di danneggiare deliberatamente apparecchiature, risorse o infrastrutture all’interno di un’area protetta. Questo può causare danni finanziari significativi o mettere a rischio la sicurezza pubblica;
Accesso a luoghi riservati: Alcuni attacchi di tailgating mirano a ottenere l’accesso a luoghi riservati, come strutture governative, organizzazioni militari o impianti industriali sensibili. Questo può essere fatto per scopi criminali o di spionaggio;
Accesso a risorse informatiche: Nei contesti aziendali, gli aggressori possono cercare di accedere fisicamente a server, data center o altre risorse informatiche per scopi dannosi, come l’installazione di malware o il furto di dati;
Vendita di informazioni rubate: In alcuni casi, gli aggressori possono rubare informazioni sensibili tramite il tailgating e poi venderle sul mercato nero. Questo può essere un’attività lucrativa per i criminali informatici;
Ricatto: Gli aggressori possono utilizzare le informazioni ottenute attraverso un attacco di tailgating per ricattare l’organizzazione o l’individuo colpito, minacciando di divulgare informazioni sensibili o danneggiare la loro reputazione.
I benefici per gli aggressori che riescono a sfruttare un attacco di tailgating sono evidenti. Possono ottenere accesso a risorse o informazioni di valore, possono causare danni finanziari o reputazionali all’organizzazione colpita.
Al contrario, le conseguenze per le vittime di attacchi di tailgating possono essere gravi. Oltre ai danni finanziari, possono subire perdite di dati sensibili, danni alla reputazione e problemi legali. Pertanto, è essenziale che le organizzazioni comprendano le potenziali motivazioni degli aggressori e adottino misure adeguate per prevenire e affrontare tali attacchi.
Contromisure e Prevenzione
La prevenzione degli attacchi di tailgating e l’adozione di contromisure efficaci sono fondamentali per mantenere la sicurezza fisica e digitale di un’organizzazione. Qui di seguito sono illustrate alcune delle principali contromisure e misure preventive che le organizzazioni possono implementare per ridurre il rischio di attacchi di tailgating:
Accesso Fisico Controllato: Implementare un controllo dell’accesso fisico rigoroso alle strutture aziendali è fondamentale. Ciò può includere l’uso di badge magnetici, lettori di impronte digitali, riconoscimento facciale o altri metodi di autenticazione per garantire che solo le persone autorizzate possano entrare negli edifici o nelle aree sensibili;
Formazione dei Dipendenti: I dipendenti devono essere formati e consapevoli del rischio di tailgating e delle procedure di sicurezza. La formazione dovrebbe includere l’importanza del controllo dell’accesso, il riconoscimento degli estranei e la segnalazione di comportamenti sospetti.
Sorveglianza Video: L’installazione di sistemi di sorveglianza video nelle aree chiave può aiutare a monitorare l’accesso e registrare gli eventi. Questi sistemi possono essere utilizzati per l’identificazione retrospettiva di potenziali tailgater;
Autenticazione Multifattore (MFA): L’implementazione dell’autenticazione multi-fattore per l’accesso a sistemi informatici e a risorse digitali può aggiungere un ulteriore strato di sicurezza. Anche se un aggressore ha ottenuto l’accesso fisico, potrebbe avere difficoltà a superare l’autenticazione MFA;
Revisione dei Protocolli di Accesso: Le organizzazioni dovrebbero periodicamente rivedere e aggiornare i protocolli di accesso. Questo può includere la revisione delle liste di controllo degli accessi e l’aggiornamento delle procedure di sicurezza in base alle nuove minacce;
Audit di Sicurezza: Condurre audit periodici di sicurezza fisica e digitale per individuare potenziali vulnerabilità e punti deboli. Gli audit dovrebbero includere anche la valutazione dei processi di controllo dell’accesso;
Monitoraggio Attivo: Implementare sistemi di monitoraggio attivo per rilevare comportamenti sospetti o tentativi di tailgating in tempo reale. Questo può includere l’uso di sensori di movimento o software di rilevamento degli accessi non autorizzati;
Politiche di Sicurezza Robuste: Avere politiche di sicurezza ben definite e robuste è essenziale. Queste politiche dovrebbero stabilire chiaramente i requisiti per l’accesso fisico e digitale e le sanzioni per le violazioni;
Integrazione di Tecnologie Avanzate: L’utilizzo di tecnologie avanzate come l’intelligenza artificiale (IA) e l’apprendimento automatico può contribuire a identificare comportamenti sospetti in tempo reale e migliorare la sicurezza;
Valutazione delle Minacce: Periodicamente, effettuare valutazioni delle minacce per identificare nuove tattiche o potenziali vulnerabilità e adattare di conseguenza le contromisure;
Collaborazione con le Forze dell’Ordine: In caso di incidenti gravi o intrusioni, collaborare con le forze dell’ordine per indagare e perseguire gli aggressori.
La combinazione di queste contromisure può contribuire significativamente a mitigare il rischio di attacchi di tailgating. Tuttavia, è importante ricordare che la sicurezza è un processo continuo e che le organizzazioni devono rimanere vigili e adattarsi alle minacce in evoluzione per proteggere le loro risorse e informazioni.
Conclusioni
Come abbiamo visto, gli attacchi di tailgating rappresentano una minaccia significativa per la sicurezza fisica e digitale delle organizzazioni. Questi attacchi si basano sulla capacità di un aggressore di guadagnare accesso non autorizzato a edifici, aree sensibili o risorse digitali sfruttando l’ingenuità, la cortesia o la mancanza di consapevolezza dei dipendenti.
Dobbiamo vedere un attacco di tailgating come fosse un penetration test “fisico” dove occorre trovare una vulnerabilità di accesso, effettuare una privilege escalation ecc… sfruttando le vulnerabilità umane e tecnologiche.
Le conseguenze di un attacco di tailgating possono essere gravi, compreso l’accesso non autorizzato a dati sensibili, la perdita di proprietà intellettuale o persino il sabotaggio fisico.
Per mitigare il rischio di attacchi di tailgating, le organizzazioni devono adottare una serie di contromisure e misure preventive. Queste misure includono il controllo rigoroso dell’accesso fisico alle strutture, la formazione dei dipendenti sulla sicurezza, l’uso di sistemi di sorveglianza video, l’implementazione dell’autenticazione multifattore e la revisione continua dei protocolli di accesso. È fondamentale che le organizzazioni mantengano politiche di sicurezza robuste e aggiornate per affrontare le minacce emergenti.
In un ambiente in cui la sicurezza è una priorità, la consapevolezza e la vigilanza sono essenziali. I dipendenti devono essere istruiti per riconoscere comportamenti sospetti e segnalare tempestivamente le intrusioni. La collaborazione con le forze dell’ordine può essere necessaria per perseguire gli aggressori e prevenire futuri attacchi.
In definitiva, la prevenzione degli attacchi di tailgating richiede un impegno costante da parte delle organizzazioni. Con una combinazione di tecnologie avanzate, protocolli di sicurezza robusti e una forza lavoro consapevole, le organizzazioni possono ridurre in modo significativo il rischio di diventare vittime di queste intrusioni fisiche e digitali. La sicurezza dovrebbe essere al centro delle strategie aziendali per proteggere i beni, i dati e la reputazione dell’organizzazione.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.