A cura di Paolo Arcagni, Systems Engineering Manager, F5 Networks
I dati sono la linfa vitale della nostra vita lavorativa e sono di fondamentale importanza per le aziende di tutto il mondo. Tuttavia, ogni giorno aumenta la quantità di dati personali disponibili e acquistabili sul Dark Web.
E’ di poche settimana fa la notizia che un venditore, che si fa chiamare SunTzu583, ha messo in vendita oltre un milione di credenziali Gmail e Yahoo su alcuni siti nascosti nei meandri del Dark Web.
I profili offerti da questo cybercriminale sarebbero il bottino di varie violazioni avvenute negli ultimi anni, dai 500 milioni di profili di account Yahoo rubati alla fine del 2014, ai dati di oltre 110 milioni di utenti LinkedIn nel 2012, all’hacking di Adobe, di MySpace e altri ancora.
La realtà è che il mercato delle informazioni rubate è enorme perché i dati hanno un valore economico che permane anche quando vengono ottenuti illegalmente. L’unico modo per contrastare queste violazioni è far sì che le credenziali rubate diventino inutili nelle mani dei criminali informatici.
Le credenziali non cifrate
Molti pensano che se le password sono crittografate allora non si corrano rischi. Nel caso LinkedIn del 2012, al contrario, i dati erano crittografati utilizzando l’algoritmo SHA1 che, dopo questa e altre violazioni, oggi è considerato del tutto inaffidabile. Ciò che aveva peggiorato notevolmente la situazione era che l’algoritmo di hashing delle password era stato eseguito senza prima eseguire le classiche procedure di aumento della complessità (aggiunta di una serie di dati che, uniti alla password, aiutino a nascondere il suo vero significato).
Un ulteriore aspetto significativo del caso LinkedIn è stato mostrato da un’organizzazione che si occupa del servizio di recupero password, che ha sottolineato come oltre l’80% delle password potevano comunque essere violate facilmente dato che 1,1 milioni di persone utilizzavano come password la combinazione “123456” e quasi 190.000 persone avevano scelto “password”. Chiaramente, chi sceglie per LinkedIn una password di questo tipo molto probabilmente utilizzerà la stessa password anche per siti sensibili, come quello della propria banca, che rappresentano obiettivi ancora più interessanti per i criminali informatici.
Proteggere le password
La maggior parte dei siti oggi richiede come password una combinazione di lettere maiuscole e minuscole, numeri e, a volte, caratteri speciali. Tuttavia, tendiamo a utilizzare sempre le stesse combinazioni, iniziando ad esempio con la lettera maiuscola e finendo con un numero. Se è richiesto un carattere speciale, di solito lo posizioniamo alla fine. E questo i cybercriminali lo sanno!
Sfruttando capacità di elaborazione sempre più potenti, anche le password apparentemente complicate possono essere individuate in tempi relativamente brevi.
Come è possibile quindi contrastare questa tendenza? Di sicuro non basta rafforzare il proprio firewall.
Oggi, come utenti, dobbiamo imparare a essere più creativi e innovativi nella scelta delle nostre password; per farlo è necessario adottare uno strumento software di gestione delle password, senza il quale lasciamo sostanzialmente le nostre credenziali senza protezione.
Questi strumenti generano automaticamente le password e ci consentono di selezionare il livello di complessità, il tipo di pattern e la lunghezza. Questi software sono cresciuti nel tempo e oggi si presentano anche sotto forma di app mobile, permettendo di gestire lo stesso utente su diversi dispositivi, proteggendo l’accesso con l’autenticazione a due fattori e aggiornandosi con le nuove forme di autenticazione biometrica.
Il valore reale di questi software è che non c’è bisogno di ricordare tutte le password perché il Password Manager le memorizza e consente di copiarle nel campo log-in del sito web; in alcuni casi lo strumento è anche in grado di memorizzare l’URL del sito web per popolare automaticamente il campo per voi al momento dell’accesso.
La raccomandazione principale, scegliendo questo tipo di approccio è che, naturalmente, l’accesso inziale deve essere molto complesso per proteggere questo singolo account. Si tratta quindi di adottare un’unica password, il più possibile sicura, da ricordare per tutto.
Concludendo, i dati personali sono preziosi e i cybercriminali investono risorse enormi per accedere alle informazioni a fini di lucro. Con l’adozione di best practice e investendo nella sicurezza personale, le credenziali più importanti possono rimanere criptate: questo significa che, anche nel caso di una violazione, i dati sottratti non potranno essere utilizzati in quando criptati in maniera irreversibile, di fatto rendendoli inutili e senza valore commerciale.
In sintesi, non si deve sottovalutate il “Dark Web”: la sicurezza informatica può essere garantita solo assumendosi una responsabilità diretta.