ETEL: il gioco che insegna a prevenire gli attacchi e forma sulla cybersecurity

I docenti lo sostengono da tempo: “Il gioco non deve essere visto solo come momento ludico, ma come un vero e proprio momento di formazione. Si apprende durante il gioco, perché si innescano numerose attività sensoriali e il gioco diventa scuola”. Ma se pensavate che questa pratica fosse applicabile solo alla suola primaria e secondaria dovrete ricredervi. Il gioco è oggi anche un potente mezzo per insegnare, formare e anche addestrare nell’ambito della sicurezza informatica.

Nell’ambito della formazione esperienziale l’approccio ludico ingaggia efficacemente il discente e ne cattura e mantiene l’attenzione, solita nota dolente di tutte le lezioni. Numerosi sono gli esempi che sfruttano queste dinamiche: Hacker Field ed ETEL sono due esempi per imparare direttamente “sul campo” nella contrapposizione fra attaccanti e difensori, che offrono l’occasione di imparare rispettivamente l’attacco/difesa e le tecniche di social engineering.  Infatti, Hacker Field è un gioco di strategia e simulazione, un multiplayer tower defence che permette ai giocatori di scegliere tra due personaggi: assumere il ruolo di hacker e il ruolo di IT Manager evidenziando il comportamento da tenere in caso di attacco informatico. Il progetto creato da Antonio Gison, imprenditore italiano a Londra è visibile come trailer su youtube ed è attualmente in fase di Crowdfunding sulla piattaforma kickstarter.

ETEL è invece un gioco ormai maturo nella sua realizzazione e approfondisce le tecniche di ingegneria sociale per imparare come prevedere le mosse degli attaccanti. Per approfondirne le caratteristiche e le dinamiche, ne abbiamo parlato con il suo creatore, Massimo Giaimo Team Leader Cyber Security Solutions, Wurth Phoenix.

Perché i giochi sono importanti per la Cybersicurezza e perché si stanno affermando sempre di più?

Per stimolare le organizzazioni a difendersi da attacchi che potrebbero causare l’interruzione delle attività e per tenere alta l’attenzione dei propri collaboratori riguardo a queste tematiche esistono diverse strategie, che dal punto di vista della persona possono essere attive e passive. Le seconde, sono tipicamente più facili da mettere in pratica; l’approccio passivo consiste nella limitazione delle attività potenzialmente eseguibili dalle persone, utilizzando strumenti per lo più tecnologici: in genere software di endpoint security, firewall perimetrali dotati di threat intelligence, Intrusione Detection/Prevention Systems, sandbox per la gestione del traffico email. Questa strategia, che molto spesso viene fornita a scatola chiusa dai vari vendor di cyber security, consente di difendersi da un esiguo numero di attacchi, il più delle volte automatici e non mirati. Le strategie attive invece, consentono alle persone di diventare effettivamente “parte attiva” nella gestione del problema. Ma per questo obiettivo devono essere formate in modo da poter riconoscere i potenziali attacchi. Ben difficilmente uno strumento tecnologico potrà avere la stessa capacità di detection di una persona in carne e ossa per attacchi come il phishing mirato (spear phishing), il Piggybacking, l’Impersonation o il Baiting. Per provare a contrastare questo genere di attacchi si possono utilizzare elementi attivi, ovvero le persone piuttosto che le tecnologie. Storicamente le frecce nell’arco della maggior parte delle organizzazioni sono sempre state due: la prima riguarda l’organizzazione di corsi di formazione durante i quali una prima sezione dedicata alla teoria e legata alla storia dell’ingegneria sociale, ai principi psicologici sfruttabili da un attaccante, ai potenziali conseguenze degli attacchi,  possono  seguire dei casi reali dove il vettore di attacco utilizzato è stato qualche elemento di ingegneria sociale. La seconda consiste nell’organizzare degli attacchi simulati, attivati da Red Team specializzati in questo campo, aventi come scopo quello di sfruttare gli elementi di debolezza delle persone operanti all’interno dell’organizzazione. Ognuna di queste due attività ha dei punti di debolezza: la formazione classica, sviluppata spesso attraverso lezioni frontali, alla lunga, se priva di elementi importanti di interazione, diventa noiosa e poco valida sul lungo periodo. Le attività di Red Team, se svolte da team altamente qualificati possono raggiungere efficacemente l’obiettivo di identificare gli elementi di debolezza e migliorare la consapevolezza su queste tematiche, ma sono di difficile proposizione all’interno di realtà poco sensibili su questi argomenti o laddove si teme di poter causare, con queste attività, dinamiche di difficile gestione nel campo dei diritti dei lavoratori. Anzi su questo tema consiglio di integrare i regolamenti aziendali prevedendo la possibilità di eseguire periodicamente attività di Red Team che possano coinvolgere il fattore umano per diminuire il rischio che sia sfruttato come elemento sfruttabile.

La terza possibilità la freccia nell’arco dei formatori e divulgatori, riguarda le attività di gaming. L’attività ludica consente, in generale, di apprendere dei concetti in un clima rilassato, senza l’apprensione di dover a tutti i costi raggiungere dei risultati. Inoltre, nei giochi proposti a gruppi, spesso si nota un miglioramento dello spirito di gruppo tra i colleghi, che sono stimolati a raggiungere insieme l’obiettivo.

Come è nata quindi l’idea di ETEL e che ambito approfondisce?

Su queste basi, nel 2017, abbiamo quindi creato ETEL (Exploiting The Eight Layer). ETEL è un gioco di ruolo che consente ai giocatori di assumere l’identità di un ingegnere sociale e di pensare ad un attacco in grado di violare la sicurezza degli assets di un’organizzazione.

In cosa consiste di preciso? 

I partecipanti vengono divisi in gruppi. Non ci sono particolari indicazioni sulle modalità di formazione dei gruppi, che possono essere eterogenei nella loro composizione.
Ad ogni gruppo vengono forniti alcuni elementi utili: mappa dell’organizzazione, fornita di default oppure o costruita esattamente sulle risorse presenti nella realtà nella quale viene organizzato il gioco, principi da sfruttare, modalità di attacco disponibili, profili delle potenziali vittime, tipologie degli asset da violare. Tutti questi elementi sono utilizzati per costruire uno scenario di attacco che vada a sfruttare un comportamento umano individuato come possibile vulnerabilità. All’interno di ETEL è presente una moneta (ETEL Coin) che può essere utilizzata per acquistare, attraverso una web application, attività di OSINT, le quali permettono ad esempio di capire la situazione famigliare dei profili, i loro hobby, le loro debolezze, oppure attività di corruzione di ex dipendenti, acquisto di database di credenziali. Tutto ciò è finalizzato ad acquisire ulteriori informazioni utili ad elaborare la migliore strategia di attacco. I giocatori decidono se essere attaccanti interni od esterni all’organizzazione e quindi scelgono diversi elementi: la vittima tra i profili forniti di direttore, presidente, segretaria, stagista.; il principio da sfruttare per l’attacco ovvero la distrazione, curiosità, tempo;  uno scenario di attacco  fra quelli di phishing, impersonation, website clone etc;  devono scegliere anche uno o più metodi di comunicazione fra sms, telefonate, contatto diretto, mail, social network;  e infine individuano un asset da violare. Tutte queste scelte rappresentano la fase di raccolta informazioni. Uno degli elementi sui quali abbiamo posto particolare attenzione è stato la scrittura dei profili delle vittime. Ogni profilo contiene degli elementi di debolezza che possono essere sfruttati per agevolare l’attacco. Una volta scelti gli elementi necessari, i giocatori, dato un tempo limite, solitamente non superiore ai 15/20 minuti, iniziano a pensare a come organizzare un attacco per la fase di identificazione delle vulnerabilità di ingegneria sociale. Nella fase di exploit delle vulnerabilità, l’attacco viene presentato da ogni giocatore agli altri ed il giocatore master, individuato all’inizio del gioco, assegna all’attacco stesso diversi punteggi su diversi aspetti, tra i quali: la plausibilità, ovvero se accettabile dal punto di vista logico, la fattibilità ovvero se ha tutti i requisiti per essere attuato, il rispetto del principio scelto, il rispetto dello scenario individuato. Gli altri giocatori possono suggerire delle migliorie all’attacco, che verranno premiate in base al loro livello. Infine, sono discusse coralmente le eventuali misure di bonifica e risoluzione, che rappresentano la fase di rimedio, da mettere in atto per riconoscere e bloccare l’attacco descritto.

Dunque esattamente cosa è stimolato dal gioco e cosa si impara? 

Diversi sono gli elementi che ETEL lascia in dote: il miglioramento dello spirito di gruppo tra i colleghi, che sono incoraggiati a raggiungere insieme l’obiettivo. Inoltre, il momento di brainstorming, durante il quale si elabora l’attacco, esorta la competizione e lo scambio di idee. Il gioco infine fa ragionare su casi di attacco reali, per i quali i giocatori stessi, quotidianamente potrebbero divenire il target. Siamo convinti che sapere come l’attaccante agirà possa consentire di prevederne le mosse.

Cosa state prevedendo per il futuro?

Stiamo ragionando su alcune evoluzioni del gioco, eventi ad alta interazione che potrebbero manifestarsi durante le sessioni, così come accadrebbero nella vita reale. Ad esempio, la messa a disposizione di un nuovo data breach potenzialmente sfruttabile da un attaccante, un attacco, per esempio un ransomware double extortion, così pericoloso dal punto di vista reputazionale, ai danni dell’organizzazione che potrebbe porla nelle condizioni di poter osservare solo quell’attacco, diventando così più vulnerabile verso altri “entry points”, l’aggiunta di qualche profilo “guests”, l’implementazione di qualche concetto di realtà aumentata.