Le pessime abitudini sulle password

Questa settimana alcune centinaia di migliaia di nostri connazionali si spera abbiano trovato il tempo di cambiare la password della loro casella di posta elettronica fornita da Email.it. Il provider ha ammesso di essere stato vittima di una violazione dei propri sistemi da parte del NN (No Name) Hacking Group.

Il sedicente gruppo criminale ha messo in vendita sul dark web svariati Terabyte di dati tra cui anche le credenziali di accesso alle caselle di posta e il loro intero contenuto. Questo dopo avere tentato nei primi giorni di febbraio di estorcere al provider una "congrua" somma per non rendere di pubblico dominio i dati rubati.

Due gli aspetti interessanti. In primo luogo la conferma di come gli attacchi realmente pericolosi non siano quelli che fanno "tanto rumore" (nello specifico è stato talmente silenzioso che l'infiltrazione sarebbe iniziata due anni orsono). In secondo che di fronte ad azione simili, la vittima potrebbe non accorgersi mai della violazione, o comunque in tempi molto lunghi. Terzo tema riguarda la gestione della password. Il punto non è soltanto cambiarla periodicamente (in questo caso il livello di penetrazione nei sistemi da parte dei criminali era tale che gli utenti non sarebbero stati al riparo dal disastro), ma un diverso e troppo spesso sottovalutato pessimo comportamento: utilizzare sempre la stessa password per diversi siti e servizi.

I criminali sono assolutamente consapevoli di questa abitudine e quindi proveranno a sfruttare l'informazione per accedere a tutte le altre utenze possibili associate a quella specifica vittima: social network, home banking, siti di e-commerce e via dicendo. Quindi se la settimana scorsa avete cambiato la password su Email.it, adesso cambiatela anche su tutti gli altri servizi e da questo momento consideratela "morta".

Il secondo piatto forte della settimana è stata un'ondata di attacchi DDoS (blocco del servizio ottenuto attraverso un sovraccarico illecito di traffico) che ha colpito diverse piattaforme didattiche a supporto dell'insegnamento on line in diverse scuole. Complice il Coronavirus, questi provider possono essere considerati tra le infrastrutture critiche del nostro paese (niente piattaforme, niente scuola), una posizione a cui certo non erano abituati. La vittima più illustre è stata Axios, il principale fornitore di soluzioni per la gestione del registro elettronico, che poco prima della pausa pasquale ha pubblicato sulla sua home page un annuncio in cui specificava che i continui attacchi alla sua infrastruttura avrebbero prodotto dei disservizi.

La prima inevitabile riflessione riguarda la necessità per questi operatori, proprio per la loro nuova e più elevata esposizione, di incrementare gli investimenti in sicurezza e nella resilienza dei sistemi. La seconda è attinente all'educazione digitale: questo mi riporta a una notizia di circa un anno fa, quando vennero alla luce una serie di annunci su Instagram in cui "volenterosi" giovani affittavano botnet (un insieme di dispositivi compromessi e asserviti a un controllore) per scatenare attacchi DDoS contro qualsiasi sistema informatico con un investimento di appena 30 dollari. Siamo proprio sicuri che qualche gruppo di ragazzini non sia pronto a una colletta per evitare una verifica? Mi ricordo che quando ero adolescente almeno una volta l'anno il mio liceo chiudeva per un allarme bomba scatenato da una telefonata anonima. Tutti sapevano che con 15 mila lire e un gettone telefonico (altri tempi, altra valuta, altri telefoni) trovavi un universitario compiacente che faceva lo "scherzo" e addio compito in classe di matematica. Sulla scuola digitale e sulle parti in causa c'è un grande lavoro da fare… Molto grande.

In tema di attacchi un'ultima segnalazione la merita la violazione di alcuni account di posta del Monte dei Paschi di Siena. Sembra che alcune caselle utilizzate per comunicazioni verso i clienti siano state compromesse. L'obiettivo più probabile potrebbero essere campagne di phishing mirate sui correntisti dell'istituto di credito. Per i correntisti della storica banca è il momento di fare un po' più di attenzione alle comunicazioni in arrivo.

Chiudiamo con un piccola nota sul tema del contact tracing che continua a fare parlare di se come panacea della presente epidemia. I virologi hanno già bollato come "cazzate" e "babbei quelli che mettono la privacy prima della salute", con delle reazioni piuttosto scomposte e scarsa cognizioni delle norme in materia che prevedono il superamento dei vincoli in materia a condizione che non venga meno la protezione dei dati. Tuttavia nessuno, con l'eccezione dell'Autorità Garante proprio la scorsa settimana, sembra avere rilevato alcuni limiti della soluzione che vorrei sintetizzare. L'applicazione dovrebbe essere volontariamente scaricata (non lo faccio e niente tracciamento), si presuppone che io porti con me sempre il dispositivo (lo lascio a casa, violo le disposizioni e produco dati inattendibili), la fascia di età più critica è quella over 65 (la maggioranza non ha uno smart phone e con fatica riesce a utilizzare qualcosa di più delle funzionalità di base). Forse potrebbero bastare i dati che normalmente utilizzano le forze dell'ordine con la collaborazione degli operatori telefonici quando devono effettuare intercettazioni, senza fare ulteriori pasticci. Quindi mi domando su cosa dovrebbe vertere il dibattito? La situazione mi ricorda una massima a proposito del sesso di Lord Chesterfield: "la posizione ridicola, il piacere passeggero, la spesa eccessiva". Nel nostro caso: "la posizione è illusoria, il risultato inattendibile, il rischio eccessivo". Questo con buona pace dei virologi.