Questo sito contribuisce alla audience di TGCOM24
Mytech

Apple, Google, Samsung e la sicurezza informatica tradita

I dati di accesso di migliaia di dipendenti (anche della NASA) resi visibili per un mese a causa di un errore di sicurezza. Ecco cosa ne pensano gli esperti

La sala di controllo della Nasa (Credits: NASA/BILL INGALLS)

Se non possono stare sicuri nemmeno loro è davvero grave. Circa 100 mila dipendenti di Apple, Google, Oracle, Samsung, IBM, NASA e di altre aziende multinazionali, hanno visto i loro account completi di username e password temporaneamente accessibili su un server dell’Institute of Electrical and Electronics Engineers (IEEE). L’associazione, nata nel 1963 che annovera tecnici, ingegneri, ricercatori, del settore delle scienze tecnologiche, dovrebbe essere al riparo da questo genere di problemi, fosse solo per le funzioni svolte dai suoi membri. Ad ogni modo, un esperto informatico romeno ha scoperto che l’Istituto ha rivelato senza volerlo, i dati di accesso dei dipendenti su un server FTP, reso pubblico per almeno un mese.

Radu Drăguşin ha dichiarato che il numero di credenziali pubblicate ammontava ad almeno 100.000 tra i quali quelle dei dipendenti di giganti nel settore IT come Apple e Google, e di sicurezza informatica come IBM e Oracle. Oltre alla combinazione nome utente e password sono state rese note anche le attività dei visitatori dei diversi siti e degli utenti registrati. La falla che ha permesso la fuga dei dati sembra dipenda, secondo il ricercatore romeno, dagli amministratori web della IEEE che non hanno limitato l’accesso ai server ieee.org e spectrum.ieee.org. Per questo fino a lunedì scorso chiunque capitava sull’indirizzo ftp://ftp.ieee.org/uploads/akamai poteva visualizzare i log dei circa 100 GB di materiale contenente i dati di accesso degli iscritti delle diverse aziende. Fino a tre giorni fa il server ha documentato più di 376 milioni di richieste via HTTP.

Drăguşin ha aspettato di informare l’Istituto per poi pubblicare sul suo blog un’attenta analisi di quello che è successo. Sul sito l’autore ha pubblicato dati ed informazioni statistiche sull’episodio e sul tipo di password scelte dagli iscritti. Qui la seconda batosta: scoprire che una gran parte degli utenti utilizzava password elementari del tipo 123456 oppure ieee2012. Al momento della pubblicazione la IEEE aveva già risolto il problema, chiudendo l’accesso al server FTP e invitando gli iscritti a scegliere una nuova password. La falla di sicurezza (questa volta umana più che dipendente da un software) ha permesso per un intero mese di visualizzare informazioni di accesso con le quali entrare negli ambienti privati di alcune delle più importanti organizzazioni di sicurezza a livello mondiale, tra cui la NASA.

"Il problema è sempre il solito - ci spiega Gaetano Zappulla consulente in materia di cyber security - da una parte l'errore umano che è sempre dietro l'angolo e sui cui le aziende sempre meno attente, dall'altro una ingegnerizzazione del sistema poco sicura per la tipologia di dati che trattano. Ma il dubbio è anche sulla grande mole di dati conservata da un singolo istituto visto che tramite tecniche di data mining tali credenziali possono essere esposte al pubblico senza grandi sforzi. Se si pensa poi che molti utenti utilizzando la stessa password per l'accesso alla posta elettronica e altri servizi su internet l'eventuale danno è davvero grande".

Proprio il fatto di aver trovato password semplici nella gestione di dati di accesso è il punto centrale sul quale dibatte la comunità IT. "Le password facili riguardano uno degli errori più frequenti nel mondo della sicurezza - afferma Giuseppe Paternò Director Digital di GARL Bank - informazioni preziose e confidenziali sono affidate alla scelta di una password e la compromissione di un singolo utente può portare anche gravi conseguenze. Le soluzioni ci sono e sono molto semplici, ma bisogna adottarle. SecurePass, ad esempio, fornisce un servizio di salvaguardia delle identità digitali on-line che è volto a proteggere proprio questi tipi di attacchi, pur essendo facile da integrare nelle applicazioni".

Si tratta di una gaffe pesante per un’associazione professionale di scienziati ed ingegneri nella quale è alto il numero di iscritti da tempo nel mondo dell’informatica. Il problema non è solo nell'errore di distrazione di chi ha impostato l’accesso al servizio e la superficialità degli iscritti nella scelta della password. E' stato scoperto che l’associazione memorizzava i dati di accesso degli utenti in normali file di testo. Pare superfluo ribadire quanti strumenti, al giorno d’oggi, permettano di crittografare documenti personali, creando hash testuali capaci di proteggere in minima parte le password. Sembra però che la pratica fosse sconosciuta alla IEEE, almeno fino alla scoperta di Radu Drăguşin.

Seguimi su Twitter: @Connessioni

© Riproduzione Riservata

Commenti

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>