Dumpster diving  si traduce letteralmente con “rovistare nella spazzatura”.

E’ una pratica diffusa soprattutto nella lotta allo spreco alimentare, ma viene utilizzata anche in ambito cybercriminale per esfiltrare dati e informazioni sensibili.

Ma cosa significa esattamente fare dumpster diving per un hacker?

dumpster diving
  1. Definizione di Dumpster diving come tecnica hacker
  2. Schneider ed Ellison: Dumpster diving dalle origini alla contemporaneità
  3. Dumpster diving: l’entità del rischio
  4. Come evitare il Dumpster diving: best practice di gestione e distruzione dei dati

Definizione di Dumpster diving come tecnica hacker

Per hacker e cybercriminali, fare Dumpster diving equivale a rovistare tra i rifiuti alla ricerca di dati e informazioni sensibili.

Quegli stessi dati ritenuti obsoleti e di cui aziende e privati si disfano, possono rivelarsi la miccia perfetta per scatenare attacchi informatici mirati.

Trattandosi di informazioni volutamente scartate, l’intruso è indotto a pensare che, nel momento in cui se ne impadronisce, queste diventino automaticamente di sua proprietà.

Tuttavia, il fatto che il legittimo proprietario non abbia accordato alcun consenso esplicito, rende a tutti gli effetti il Dumpster diving un atto di appropriazione indebita

Schneider ed Ellison:Dumpster diving dalle origini alla contemporaneità

Uno dei primi episodi documentati di Dumpster diving risale al 1968.

Protagonista ne fu Jerry Schneider che mise in piedi uno dei crimini informatici più eclatanti della storia.

Appena diciottenne, il giovane Schneider trovò tra i rifiuti della Pacific Telephone and Telegraph (PTT) la documentazione relativa al sistema automatizzato di ordinazione e consegna delle apparecchiature informatiche.

Fondò la Creative System Enterprise (CSE), tramite cui acquisiva i dispositivi dalla PTT per poi rivenderli come “ricondizionati” e a prezzi maggiorati.

Le specifiche sulla truffa non sono mai state chiarite del tutto. Quel che è certo è che Schneider venne incarcerato nel ’72 con l’accusa di aver sottratto alla PTT attrezzatura per un valore complessivo di quasi due milioni e mezzo di dollari.

E tutto semplicemente rovistando nei cassonetti dell’immondizia!

In tempi più recenti, a rendersi protagonista di un altro eclatante tentativo di Dumpster Diving è stato Larry Ellison, fondatore della Oracle Corporation.

L’episodio risale ai primissimi anni 2000, quando la società investigativa ingaggiata dal presidente Oracle tentò di acquistare un cestino di carta straccia proveniente dagli uffici Microsoft per “soli” 2.5 milioni di dollari.

Riguardo l’accaduto, Ellison ha sempre dichiarato di non aver compiuto alcuna azione illegale, sebbene la reazione di Microsoft sia stata furente.

Al di là degli episodi specifici, tali eventi dimostrano quanto il Dumpster diving non sia esclusivo appannaggio di hacker o cybercriminali.

Spesso, infatti, a metterla in atto sono anche concorrenti ed enti investigativi.

Ciò che rende il Dumpser diving una violazione non è l’atto in sé, perché la ricerca di indizi tra i rifiuti è una pratica investigativa assai diffusa anche tra le Forze dell’ordine.

A renderlo una pratica illecita è l’obiettivo.

Nel caso del Dumpster diving, questo si traduce sempre nel:

  • sottrarre informazioni
  • arrecare danno a terzi.

Dumpster diving: entità del rischio

Ma veniamo al punto della questione: di quali informazioni vanno alla ricerca hacker ed intrusi?

In realtà non c’è un target specifico.

Potenzialmente potrebbe servire allo scopo qualsiasi tipologia di dato:

  • indirizzi e-mail,
  • fatture
  • IP dei vecchi dispositivi
  • estratti conto
  • PIN o password
  • numeri di cellulare
  • referti medici
  • fotocopie di documenti d’identità, passaporti o codici fiscali, ecc.

Si tratta senza dubbio di informazioni e dati altamente sensibili, che spesso finiscono nella pattumiera perché manca un’adeguata politica di distruzione e oblio dei dati obsoleti.

In questi casi, tuttavia, è molto facile che il problema sia anche a monte e durante l’intero ciclo di vita del dato: ovvero, dalla creazione alla gestione.

Tradotto in ambito concreto, tale scenario comporta:

  • password scarabocchiate su post-it
  • PC laptop e smartphone sprovvisti di un PIN d’accesso
  • documenti cartacei su cui non vengono cancellati indirizzi e-mail, recapiti, informazioni di identificazione personale (IIP), estremi di conti bancari e carte di credito

E questo soltanto per elencare le casistiche più diffuse.

Sebbene ad occhi disattenti ciò potrebbe sembrare poco più che un’inezia, per il criminale informatico rappresenta una vera e propria miniera d’oro.

In conclusione, la regola aurea è e rimane sempre prestare la massima attenzione a qualsiasi dato in nostro possesso. Disfarsi delle informazioni ormai superflue nel modo corretto, premurandosi di distruggerle in maniera definitiva prima che soggetti non autorizzati possano impossessarsene.

Quali sono i rischi connessi al Dumpster diving

Vecchi indirizzi e-mail, password e recapiti telefonici possono essere utilizzati in maniera quantomai diversificata.

Ad esempio,

  • rubriche telefoniche o indirizzi e-mail potrebbero essere utilizzati per campagne di spear phshing o vishing
  • nomi, e altre informazioni di identificazione perdonale, potrebbero ricondurre al nome utente dei device, con conseguente furto di credenziali e di identità digitale
  • vecchie fatture potrebbero fornire le generalità dei dipendenti di servizi terzi che l’hacker potrebbe utilizzare a fini di spoofing per penetrare all’interno del perimetro aziendale

Insomma, le possibilità di attacco sono pressoché infinite e non determinabili a priori. Il che rappresenta un ulteriore fattore di preoccupazione e di rischio.

Come evitare il Dumpster diving: best practice di gestione e distruzione dei dati

Fin qui abbiamo cercato di comprendere le dinamiche del reato.

Ma come fare per non caderne vittima in prima persona o come dipendente di un’azienda?

Ecco delle semplici regole applicabili sin da subito per arginare la minaccia:

  • impostare adeguate policy di gestione, rimozione e oblio di dati digitali e documenti fisici
  • smaltire correttamente supporti di archiviazione come USB, CD e DVD, non dimenticando di cancellare tutti i file presenti al loro interno
  • applicare una politica di conservazione dei dati, che monitori per quanto tempo le informazioni devono essere conservate ed eliminate quando non sono più rilevanti.
  • formare i dipendenti sulle politiche di gestione, archiviazione ed eliminazione dei dati aziendali in tutte le loro forme. Risulta fondamentale istruirli anche su come redigere degli appositi certificati di distruzione dei i dati sensibili, 
  • posizionare contenitori distruggi-documenti all’interno dell’ambiente di lavoro, non limitarsi a strapparli o gettarli via
  • conservare i rifiuti in un luogo sicuro prima dello smaltimento, come contenitori per il riciclaggio chiusi a chiave
  • costruire una recinzione attorno al cassonetto per evitare qualsiasi intrusione. Sebbene tale soluzione non possa essere sicura al 100%, crea una barriera per impedire a soggetti non autorizzati di accedere e recuperare illecitamente informazioni.