COME “LORO” POSSONO APRIRE TUTTE LE PORTE DI CASA TUA, IN POCHE SEMPLICI MOSSE. AH, E SENZA NEMMENO DOVERLE FARE!

In questi giorni sto vivendo delle situazioni abbastanza surreali.

Partiamo dal presupposto che la sicurezza informatica si basa in buona parte sulla prevenzione e sulla capacità di rispettare delle norme – spesso semplicemente dettate del buonsenso. Questa accoppiata (prevenzione + buone abitudini) è in grado da sola di compiere una buona parte del lavoro.

Occhio: le buone abitudini sono gratis!

Come sempre, però, quando vendi prevenzione trovi dei bei muri di gomma. Per il tuo interlocutore in realtà non vendi niente. Prevenzione. Cosa c’è di più intangibile della prevenzione? Se la tua prevenzione funziona al cliente non succede niente. E se non succede niente perché mai dovrebbe pagarti? Per niente?

Nel nostro settore diciamo che la gente è pronta ad investire quando solitamente è troppo tardi.

Decidono di chiudere la stalla quando ormai i buoi sono scappati, e nella fuga hanno calpestato decine di panieri pieni di uova.

Nei giorni scorsi ho avuto un’idea. Ho voluto mettere in campo un esperimento sociale, per verificare alcune delle mie tesi.

Mi sono detto: “ma se contattassi dei clienti che hanno già un problema di sicurezza in corso, a questo punto non si tratterebbe più di prevenzione, bensì di cura!!”

E così ho fatto.

Ho iniziato a cercare nel dark web riferimenti ad aziende della mia zona, e a segnalare ai diretti interessati l’eventuale comparsa di risultati. Che tipo di risultati? Beh, i più critici: username e password in vendita a un tanto al chilo.

E qui nasce, spontanea, un’altra domanda lecita: username e password di cosa?!?

Ma chissenefrega di cosa sono quelle credenziali?

Non importa di cosa siano!

Non cambia nulla!

Ti vedo con lo sguardo fisso e la bocca semiaperta a fissare il monitor.

La domanda che ti passa per la testa è: “quindi Andrea, mi stai dicendo che qualcuno è disposto a comprare delle credenziali sul dark web, pagandole quattrini, senza sapere a cosa queste si riferiscano?”

Certo! Puoi scommetterci i gioielli di famiglia che è così.

*** CREDENTIAL STUFFING ***

E’ così che si chiama la tecnica di hacking che sfrutta quelle credenziali acquistate e di cui – nella maggior parte dei casi – nessuno sa a cosa si riferiscano.

Sfrutta un bug mentale dell’utente medio (ma facciamo anche dell’utente anulare e dell’utente mignolo…) che, siccome non ha testa/modo/voglia per ricordarsi le infinite password, in modo poco accorto ne usa una manciata (3 o 4) per decine e decine di servizi.

Tramite un attacco di tipo credential stuffing, un hacker in possesso di un database di username e password può fare un disastro di proporzioni bibliche.

Analizziamolo nel dettaglio. Ti garantisco che lo puoi comprendere anche se credi che l’informatica non sia il tuo pane. Lo potrebbero comprendere anche il mio cuginetto di 6 anni, mia nonna di 90 e il cane di mia mamma. Garantito.

Le credenziali che si trovano in vendita sul dark web sono tutte di tipo email/password.

Pensaci bene. Oggi quasi tutti i servizi che usi utilizzano come nome utente il tuo indirizzo email, che è sicuramente univoco. Si, giuro. Nessuno può avere un indirizzo email come il tuo.

Quindi, immagina che un malvivente trovi una coppia di credenziali del tipo:

“a.monguzzi@andreamonguzzi.it” con password “P@ssw0rd-Furb4”.

Non sa bene a quale servizio si riferiscano, ma sicuramente proverà ad utilizzarle per accedere a:

  • posta elettronica;
  • social network (Facebook, LinkedIn, Instagram, Twitter, ecc…);
  • siti di ecommerce (Amazon, Ebay, Zalando, ecc…);
  • servizi di storage (Dropbox, Drive, OneDrive, ecc…);
  • e altri milioni di servizi online.

E sai qual è la cosa bella per quel furfante? E’ che non deve mica farlo a mano. Non gli passerebbe più. Tu non hai voglia di ricordarti le credenziali dei tuoi sistemi, figurati lui che voglia può avere di incrociare milioni di credenziali con milioni di siti.

Infatti se ne va a bere una birra al pub sotto casa, ridendo e scherzando con gli amici, mentre dei sistemi automatizzati fanno il lavoro sporco al posto suo.

Alla sera, rincasando, troverà sul monitor un bel messaggio che dice: “guarda, caro mio, mentre bevevi una bella pinta di birra io sono riuscito ad accedere qua, qua e qua, con le credenziali di quel tontolone”.

Capisci anche tu che questo è un bel problema, vero?

Ma torniamo a noi. A me e al mio esperimento sociale.

Come ti dicevo mi sono messo alla ricerca di credenziali compromesse. Ne ho trovate a gozzovilioni, e ho contattato le aziende vittime dell’hacking per segnalare loro la cosa.

Devo dire che in molte sono stare reattive. Hanno capito il problema, mi hanno ringraziato, hanno voluto fissare un appuntamento per capire come muoversi per migliorare il loro livello di sicurezza (spinte anche dal fatto che ho svolto tutte le attività di analisi del dark web a costo zero, e sempre a costo zero ho effettuato una prima visita presso di loro).

Ma c’è un ma.

Un’altra buona parte, la parte più grande dell’insieme di aziende chiamate, non ha fatto nulla.

Quindi, riassumendo, l’iter è questo:

  1. L’azienda scopre di avere delle credenziali in vendita nel dark web;
  2. Spiego all’azienda lo scopo di tale vendita, ovvero quello di mettere un esercito di criminali in condizione di poter sferrare degli attacchi, il cui unico scopo – o quasi – è quello di estorcere del denaro;
  3. Spiego che non c’è modo di rimuovere le credenziali dal dark web. Una volta finiti li dentro ci si resta per l’eternità. Giochiamo nel campo da gioco dei criminali, quindi non vale il diritto all’oblio;
  4. In alcuni casi spiego che le password sono state violate all’interno dell’azienda, tramite un malware, una mail di phishing o un keylogger (programma che registra tutti i tasti premuti da un utente e invia il tutto al criminale dall’altra parte del filo), e quindi potrebbe essere necessaria una bonifica per evitare che continuino a rubarne;
  5. Rinnovo la mia disponibilità ad un incontro, anche con il responsabile IT aziendale (interno o esterno che sia) e specifico che non è richiesto pagamento alcuno per un’analisi preliminare e un incontro in loco;
    Mi sento dire: “tutto chiaro, grazie mille. Ho parlato con la proprietà e hanno deciso che fa niente, lasciamo tutto così. Ma grazie, comunque.”

Perché un utente consapevole di trovarsi in una situazione a rischio, ignora la cosa e va avanti imperterrito come niente fosse?

Alcuni si muovono così per lo stesso motivo per cui non curano la salvaguardia dei propri dati aziendali. Niente backup, o almeno niente di serio, perché “tanto cosa vuoi che succeda?”. E con quelli non c’è niente da fare. Darwin ha già messo una pietra sull’argomento.

Con altri invece si verifica il paradosso.

Sono visto come un truffatore. Sono visto come uno che sta tentando qualche escamotage per rubare informazioni e/o dati riservati. O forse semplicemente come uno che forse vuole spillare dei soldi. E quindi cosa fa, nel dubbio, il soggetto? Non fa niente.

La Comfort Zone.

Se resto immobile non mi vede nessuno.

Il cervo che fissa gli abbaglianti della macchina che sta per falciarlo in mezzo alla strada.

E perdono un’occasione, perché nessuno domani li avviserà di nuovo del pericolo.

Quindi, se chiedessi dei soldi per questa attività non si fiderebbero. Penserebbero in un raggiro, per fargli spendere quattrini inutilmente. Facendolo gratis, invece, non si fidano perché sicuramente è un modo per fargli spendere quattrini.

Che bella l’Italia 🙂