Potrà apparire una pratica disgustosa e lo è, ma può fornire risultati sorprendenti. La raccolta differenziata ha persino aiutato ed ottimizzato il “servizio”. Ricordando che un hacker motivato non conosce limiti, analizziamo come il pericolo di attacchi arrivi anche dai rifiuti che produciamo.
Cos’è il dumpster diving?
Si tratta di un metodo utilizzato nel campo della tecnologia dell’informazione per recuperare informazioni che potrebbero essere utilizzate per eseguire un attacco a una rete di computer. Tuttavia, questo metodo non si limita alla ricerca di informazioni evidenti come codici di accesso o password scritte su carta, ma può includere l’individuazione di informazioni sensibili come documenti o dispositivi di archiviazione che possono contenere dati critici per le aziende o le organizzazioni.
In altre parole, il dumpster diving è un attacco avvincente che consente di ottenere una grande quantità di informazioni su organizzazioni o persone. La spazzatura che viene gettata può rivelare molto su un individuo o un’azienda, comprese informazioni personali e private. È sorprendente notare quante di queste vengano gettate via in modo negligente.
Molti contenitori della spazzatura e cassonetti non sono dotati di serrature, il che li rende vulnerabili all’accesso non autorizzato. Il blocco renderebbe quasi ingestibile, per i normali servizi di raccolta dei rifiuti, smaltirli correttamente. Tuttavia, esistono soluzioni per bloccare i cassonetti e prevenire l’accesso illegale.
Prima di tutto, è importante considerare attentamente come vengono smaltite le informazioni contenute in documenti o dispositivi prima di gettarli via. Non si dovrebbero mai buttar via informazioni che potrebbero essere utilizzate contro sé stessi.
Ad esempio, dovendo smaltire documenti legali o stampe contenenti informazioni personali, occorre considerare la loro distruzione totale, ad esempio bruciandoli o utilizzando altri metodi.
Il dumpster diving rappresenta un esempio di hacking no-tech, in cui le informazioni sensibili vengono recuperate dalla spazzatura. È importante tenere in considerazione la protezione delle informazioni personali anche nella gestione dei rifiuti.
Quali tipologie di dato possono essere recuperate?
Potrebbe risultare sorprendente scoprire quante informazioni possono essere rintracciate nella spazzatura, riguardanti la vita privata o l’attività aziendale. Ad esempio, considerando estratti conto e referti medici, riflettiamo mai su dove finiranno?
I dumpsters potrebbero scovare informazioni quali contatti di familiari, amici, clienti o colleghi di lavoro, password e codici di accesso annotati su fogli, dati bancari, progetti riservati, calendari e liste di cose da fare. Non sono esclusi CD, DVD o altri dispositivi di memorizzazione.
Bisogna tener presente che alcune di queste informazioni possono essere usate per accedere alla propria rete domestica o aziendale. I bloc-notes contenenti password e codici di accesso sono particolarmente appetibili per i malintenzionati.
In generale, molti di noi scartano questi oggetti senza considerare i rischi associati alla privacy.
Sebbene un elenco di clienti possa essere utilizzato dalla concorrenza a proprio vantaggio, altre informazioni come numeri di telefono e agende potrebbero sembrare inoffensive. Tuttavia, è importante ricordare che questi dati possono essere utilizzati in attacchi di ingegneria sociale o per sostituzione di persona.
Cenni storici
Parlando di dumpster diving, non si può non menzionare Jerry Schneider. Nel 1968, quando Jerry era al liceo, fondò la Creative Systems Enterprises, un’attività di vendita di apparecchiature telefoniche autoprodotte. Fu proprio grazie al contenuto dei cassonetti, in particolare alla spazzatura della Pacific Telephone, che conteneva manuali, fatture e documenti relativi al sistema di ordinazione e consegne, che ebbe l’idea di questo business.
Un altro caso degno di nota riguarda il CEO di Oracle Larry Ellison, il quale nel 2000 ingaggiò dei detective privati per cercare informazioni utili nei cassonetti di Microsoft. Ciò gli permise di ottenere una migliore comprensione dei futuri sviluppi del concorrente e di mantenere la sua affermazione sul mercato.
Un caso di spionaggio industriale, con ricorso al dumpster diving, risale al 2001 e riguarda le concorrenti Proctor & Gamble e Unilever. Gli agenti di Proctor and Gamble frugarono nei rifiuti della Unilever, riuscendo a raccogliere informazioni importanti su analisi e previsioni di mercato e prodotti di futura produzione. Le due società, per risolvere il nascente contenzioso, raggiunsero successivamente un accordo transattivo extragiudiziale.
Cosa cerca un hacker?
Nel mondo tecnologico, la sicurezza non può essere garantita soltanto attraverso controlli interni, verifica delle transazioni digitali e adozione di politiche riguardanti il personale e il top management. È altrettanto importante assicurarsi che le informazioni inutili e obsolete vengano distrutte correttamente, poiché potrebbero essere utilizzate illegalmente da malintenzionati, generando danni e complicazioni per l’azienda.
Gli hacker sono sempre alla ricerca di informazioni sensibili da poter riutilizzare per compiere attacchi o azioni illegali con sostituzione di persona. Tra le informazioni appetibili vi sono le e-mail personali, gli indirizzi di residenza, numeri di cellulare, passwords, PIN e codici fiscali, estratti conto e rendiconti finanziari, cartelle cliniche, copie di documenti di identità, accounts di accesso, segreti pubblicitari, informazioni sui dipendenti e sulle tecnologie, software e strumenti utilizzati dalle aziende.
Come proteggersi dal dumpster diving
Per proteggersi dai rischi derivanti dal dumpster diving, è importante assicurarsi che tutti i documenti cartacei vengano smaltiti tramite distruggi documenti. In particolare, le aziende che producono stampate classificate e altamente sensibili, potrebbero dover oscurare o persino bruciare i fogli per garantire la massima sicurezza.
Con tempo e risorse adeguati, può essere possibile mettere insieme carta triturata, utilizzando immagini scansionate e software dedicati.
Per quanto riguarda i dispositivi informatici, tutti i computer, dispositivi di archiviazione e attrezzature devono essere distrutti. Nel caso in cui si desideri donare, vendere o regalare dispositivi, è importante cancellare tutti i dati con tecniche adeguate, sapendo che esistono strumenti per poter rilevare informazioni anche da dispositivi formattati.
Per garantire la massima privacy e sicurezza, è importante distruggere i dischi rigidi in modo che i dati non possano essere recuperati.
Cosa fare per evitare il dumpster diving?
Vediamo qualche accorgimento per evitare la sottrazione di informazioni.
Attuare un piano di gestione dei rifiuti
Per prevenire la perdita di dati, è importante implementare un piano efficiente per la gestione dei cestini della spazzatura e del riciclo. La spazzatura può essere di due tipi: digitale e fisica.
Il piano deve includere una strategia per eliminare in modo adeguato documenti, note, libri e hardware obsoleti o non più utili, specificando quali informazioni conservare e quali scartare. Ad esempio, nel caso in cui un cliente o un dipendente non abbia più rapporti con l’azienda, è importante eliminare correttamente i suoi dati.
Per quanto riguarda la spazzatura fisica, è possibile tritare o bruciare i documenti.
In generale, il piano deve definire come eliminare in modo sicuro e corretto tutti i materiali sensibili, evitando così il rischio di data leak.
Adottare una policy di smaltimento dei supporti di memorizzazione
È consigliabile praticare la cancellazione regolare e costante dei supporti di memorizzazione. Prima di sbarazzarsene, distruggere DVD, CD o altre unità contenenti informazioni sensibili, come video, foto o altre informazioni private.
In caso di PC, laptop o altro hardware da dismettere, è importante smaltirli correttamente e cancellare tutti i file e i programmi.
Implementare criteri di conservazione dei dati
È opportuno adottare una politica di gestione dei dati che stabilisca il tempo di conservazione delle informazioni e che preveda la loro eliminazione quando non sono più necessarie. Inoltre, è fondamentale che la politica illustri i motivi per cui le informazioni stesse vengono trattate.
Dipendenti e collaboratori devono essere sempre a conoscenza di come gestire, archiviare ed eliminare i dati aziendali in tutte le loro forme. Inoltre, è consigliabile richiedere un certificato di avvenuta distruzione per i dati sensibili.
Utilizzare distruggidocumenti
Trituratori di documenti dovrebbero essere dislocati accanto ai principali secchi della spazzatura all’interno dei reparti di lavoro, in modo da poter distruggere completamente i documenti contenenti informazioni sensibili. Non limitarsi a strappare e gettare i documenti, poiché un aggressore potrebbe facilmente unire le parti e recuperare le informazioni per pianificare un attacco informatico. Assicurarsi che i distruggidocumenti siano sempre disponibili e funzionanti.
Educare i dipendenti
Organizzare regolarmente programmi di formazione per educare i gruppi di lavoro circa il corretto smaltimento delle informazioni e le principali strategie di sicurezza informatica. Illustrare la politica di conservazione dei dati e fornire indicazioni su come rispettarla. I dipendenti devono essere consapevoli che non è permesso portare documenti stampati, fotocopie, vecchi computer o altre informazioni aziendali fuori dagli uffici per lo smaltimento.
Conservare la spazzatura in un luogo sicuro prima dello smaltimento
Mantenere una corretta gestione della spazzatura prima dello smaltimento è di fondamentale importanza per la sicurezza dei dati. Ci sono diverse soluzioni che possono essere adottate per proteggere i contenitori della spazzatura, come l’utilizzo di serrature o locali sorvegliati e protetti da barriere fisiche. Sebbene non sia una soluzione infallibile, può ridurre il rischio di accessi non autorizzati.
Affidarsi ad aziende di smaltimento rifiuti affidabili
E’ importante assicurarsi di scegliere aziende di smaltimento rifiuti affidabili. I malintenzionati possono fingersi operatori di aziende del genere, per ottenere accesso tramite l’astuzia. Prima di affidare i rifiuti a queste società, eseguire ricerche approfondite per verificare la loro affidabilità e professionalità.
Prevenzione e attenzione per evitare rischi
Per prevenire la perdita di informazioni sensibili, è fondamentale che le aziende implementino processi rigorosi. Una strategia efficace consiste, ad esempio, nell’utilizzo di distruggidocumenti a taglio incrociato e shredder o degausser per distruggere i dispositivi di memorizzazione in modo sicuro. Inoltre, è necessario educare il personale sul corretto smaltimento dei documenti e sensibilizzarlo circa i rischi correlati. È importante tenere traccia di ciò che viene smaltito e, se necessario, ingaggiare tecnici qualificati per verificare la loro capacità di recuperare informazioni dalla spazzatura.