Che lezione puoi imparare da un attacco andato a segno

Nel decennio che si chiude, il nemico ha messo a segno un’infinità di attacchi. Si è impadronito dei dati personali di milioni di persone, quelli che noi chiamiamo PII, Personal Identifiable Information.

Migliaia di aziende – come la tua – hanno dovuto affrontare le conseguenze della loro impreparazione ad affrontare gli attacchi. Te lo ripeto per l’ennesima volta: la “super-protezione” non è sufficiente; da sola non basta a respingere un attacco.

Ti ho aiutato più volte a riflettere sulle conseguenze che può avere un attacco sulla tua azienda. Vediamo se ricordi le principali:

  • costi diretti, per rimettere a posto tutto ciò che il nemico ha buttato all’aria
  • costi diretti, per ricostruire quello che tu e i tuoi collaboratori non siete riusciti a rimettere a posto
  • investimenti in nuovi strumenti di difesa (altra “super-protezione”, quasi sempre: cioè cercare di raccogliere il brodo con la forchetta)
  • costi legali di vario genere: dai risarcimenti ai terzi danneggiati che ti hanno fatto causa, all’autorità Garante della Privacy che ti infligge una multa
  • reputazione a pezzi, clienti che ti abbandonano, nuovi clienti che non arrivano perché preferiscono lavorare con i tuoi concorrenti

Dovrei pensare che dopo una botta come questa, hai imparato la lezione – sempre che la “botta” ti sia arrivata, perché può darsi invece che stai lì con la testa ficcata nella sabbia a pensare, “a me non è mai successo niente quindi questa cosa non mi riguarda”.

Sogni d’oro.

Una lezione utile da imparare

Ma potrebbe darsi invece che sei più sveglio degli altri, e la lezione l’hai imparata. O addirittura sei uno dei pochissimi che imparano dagli sbagli degli altri – ed evitano di fare gli stessi errori. Buon per te.

Ce n’è uno in particolare, che continua ad essere alla base di moltissimi attacchi. Soprattutto di quegli attacchi che noi chiamiamo “ATO”, Account Take-Over, cioè furto di credenziali.

Qual è l’errore? Semplice: l’errore è di continuare a usare nome utente e password per identificare e autenticare le persone.

Se segui un minimo la cronaca quando parla di questi attacchi, avrai sentito più volte che il nemico si è infilato in questo o quel sistema, e ha rubato ora cento milioni, ora cinquecento milioni di coppie codice utente-password.

Forse ti sarai anche chiesto: cosa se ne fa? sicuramente la gente dopo aver sentito che sono state rubate le password di XY, correrà a cambiare la propria password.

Le cose non stanno così, come ho potuto verificare tante volte nei trent’anni di guerra che ho combattuto e continuo a combattere, contro un nemico che si sa reinventare quasi tutti i giorni – mentre tu rimani legato a soluzioni di vent’anni fa. Poi ti stupisci quando il nemico ti fa a pezzi.

Il fatto che ti sfugge, forse perché non ci pensi abbastanza, è che la gente usa lo stesso codice e la stessa password su più sistemi diversi. Non fare la faccia incredula perché lo fai anche tu, sono pronto a scommetterci.

Quindi se la banda di criminali ha fregato trecento milioni di password da un sito popolare, non deve fare altro che provare queste stesse accoppiate codice-password su una serie di altri siti, altrettanto popolari.

Anche adesso mi sembra di sentirti pensare: “Provarle una a una? e sai quanto tempo ci mette! Non arriveranno mai da nessuna parte!”

Dimentichi quello che ti ho detto più volte sui millecinquecento miliardi di dollari, e il PIL della Russia. Dimentichi che loro hanno fondi illimitati, e in questo caso si vede: nei sotterranei del Web illegale sono disponibili i sistemi per automatizzare i tentativi, con delle reti di bot, con cui si fanno migliaia di tentativi al secondo con le password rubate.

Il risultato? circa l’8% delle password rubate in un singolo incidente, si riesce a riutilizzare su qualche altro sito.

Se l’otto per cento ti sembra poco, calcola quant’è l’8% di cinquecento milioni di password rubate: sono quaranta milioni di identità rubate con successo.

Identità di cosa? di altri siti, che possono essere qualsiasi cosa, da un programma di fedeltà di un supermercato a un sito di pratiche amministrative.

E a me cosa me ne frega?

Se hai avuto la pazienza di leggermi fin qui, ti starai chiedendo dove voglio arrivare.

È semplice. Voglio arrivare al punto che siamo nel 2020, ma continuiamo a usare codice e password per autenticarci, esattamente come facevamo quando ho cominciato con l’informatica quasi cinquant’anni fa.

Cinquant’anni fa avevamo le schede perforate, un disco da 90 megabyte era considerato “enorme”, non c’era Internet né la cloud né gli smartphone né niente.

Nel frattempo abbiamo inventato queste cose, e tante altre, ma continuiamo a usare codice e password come cinquant’anni fa.

Il mio primo maestro di informatica mi faceva vedere come dovevo preparare il mio pacchetto di schede per sottoporlo al lettore. “Cancella con la penna questa cosa qui, è la tua password, se qualcuno te la vede potrebbe fregartela, e far pagare a te il suo uso del computer”.

Siamo rimasti ad allora.

Non sarà il caso di cambiare un po’?

Nel mio gruppo facebook parliamo di questo, e di altre cose interessanti.

Continua a seguirmi su questo blog, oppure nel gruppo https://www.facebook.com/groups/toriasecuresystems/

 

Leave a Comment

Your email address will not be published. Required fields are marked *

Per entrare nella caserma inserisci la tua email e la password che ti è stata inviata via email.