Cyber crime: se “l’utonto” non servisse più?
La Rubrica - Cybersecurity Week
Talvolta, dentro i numeri si nascondono delle domande. Quest’anno a porre la loro domanda sono alcuni dati presenti nel “Data Breach Investigations Report” di Verizon. Iniziamo a spiegare di quali numeri si tratta.
Nel capitolo dedicato agli attacchi alle applicazioni web si legge che nel 77 per cento dei casi essi hanno avuto successo perché l’aggressore era in possesso di credenziali valide rubate. Guardando ai report degli anni precedenti è dal 2018 che questo dato è sempre molto vicino all’80 per cento. Detto questo, un paio di paragrafi dopo si legge che “negli ultimi 10 anni, le credenziali rubate ha inciso in quasi un terzo (31%) delle violazioni”, il cui numero complessivo ammonta a 35.970. Per la cronaca al secondo posto si trova il phishing che si attesta a circa il 20 per cento. In conclusione, i redattori del report affermano che come i criminali ne siano entrati in possesso rimane un mistero. La domanda potrebbe essere questa o forse possiamo arrivare a un altro e più radicale interrogativo cioè quello suggerito dal titolo stesso? Facciamo una ulteriore considerazione di carattere generale.
Come forse alcuni sanno, da anni circolano le cosiddette “combo list” ovvero delle raccolte di username, email e password, frutto di decine o centinaia di attacchi diversi. In non pochi casi in esse sono presenti alcuni miliardi di utenze. Secondo alcune ricerche queste liste contengono oltre 2 miliardi di password univoche. Tuttavia, parliamo soltanto di liste pubblicamente reperibili che rappresentano una frazione percentuale di quelle effettivamente disponibili sui black market, peraltro continuamente alimentato dalle nuove violazioni.
In buona sostanza i criminali hanno oggi a disposizione una base dati statisticamente attendibile e aggiornata di come gli utenti costruiscono le loro password e allora ecco che il titolo è forse meno provocatorio di quello che sembra. Questa prospettiva è tutt’altro che peregrina e qualcuno insinua che l’intelligenza artificiale darà una discreta mano ai criminali. In fondo potrebbe bastare mettere insieme agli username e password un altro dataset costituito dalle informazioni sugli utenti che si possono reperire anche soltanto attraverso i social. A quel punto una IA potrebbe trovare eventuali schemi ricorrenti a seconda delle caratteristiche comuni a intere categorie di utenti. Scenari futuribili, anche se al momento mi sento di rassicuravi, perché in ogni caso il report di Verizon ci dice un’altra cosa: il 18 per cento degli attacchi ha sfruttato vulnerabilità tecnologiche, per il restante 82 per cento lascio a voi fare delle ipotesi.
