C’è qualcosa di innegabilmente affascinante celato nei miti; forse perché a volte ci regalano una piccola dose di evasione dalla realtà ed è divertente passare qualche secondo a pensare ai coccodrilli che popolano il sistema fognario di New York o alla testa criogenicamente congelata di Walt Disney in attesa di essere riportata in vita.Ma mentre queste leggende metropolitane possono essere divertenti, alcuni miti sulla sicurezza informatica sono decisamente pericolosi perché un malinteso su a cosa serva e cosa concretamente protegga una impronta digitale può portare a violazioni devastanti.È quindi tempo di sfatare le leggende del settore e tornare a una migliore protezione; ne ho individuate 7 sulle quali vorrei concentrarmi:
- L’autenticazione a più fattori previene il credential stuffing
L’autenticazione a più fattori (MFA) è un ottimo strumento per la sicurezza informatica, ma non impedisce il credential stuffing.
Quando un hacker tenta di accedere con credenziali errate, il server risponderà con un messaggio di errore. Se, invece, le credenziali sono corrette, il server richiederà un secondo fattore di autenticazione. In ogni modo, l’attaccante avrà ottenuto una informazione e questa potrà essere usata a supporto di un ulteriore attacco.
Una volta che gli aggressori sanno quali sono le credenziali corrette, infatti, possono concentrarsi sugli schemi per ottenere l’accesso al secondo fattore di autenticazione, sfruttando le tecniche di social engineering, il port-out o il SIM swapping.
In sintesi, l’MFA è fondamentale, ma non date per scontato che sia una garanzia per impedire il credential stuffing.
2. Solo una piccola parte del traffico di accesso è automatizzato
Le aziende tendono a sottovalutare quanti attacchi avvengano tramite metodi automatizzati. Le botnet, gli open proxy, i dispositivi IoT compromessi, le VPN community powered, i server virtuali, ecc.; tutti questi strumenti consentono agli aggressori di lanciare attacchi altamente distribuiti utilizzando milioni di indirizzi IP in tutto il mondo.
Le contromisure esistenti, come i web application firewall, in genere rilevano solo una piccola parte del traffico di attacco, di solito quello proveniente dai primi 10 IP più “rumorosi”.
Ciò significa che, per la maggior parte degli IP a basso volume, mancano le contromisure necessarie, e sono proprio questi IP in genere ad essere responsabili della maggior parte del traffico di attacco.
3. I CAPTCHA fermano i bot
I CAPTCHA catturano subito l’attenzione, ma rappresentano solo una piccola seccatura per gli aggressori. Esistono realtà specializzate nel riconoscimento dei CAPTCHA, come la società russa 2CAPTCHA, che offrono agli hacker un accesso API automatizzato a un team di lavoratori online che passa la giornata a risolvere i CAPTCHA per consentire attacchi automatizzati.
I CAPTCHA sono poco più che una messinscena per la sicurezza informatica, e non fermeranno di certo gli hacker più motivati.
4. Le app di aggregazione in ambito finanziario e di fidelizzazione prendono sul serio la sicurezza
Forse utilizzate applicazioni come Mint o Plaid per accedere ai conti bancari e monitorare le finanze, personali e familiari. Esistono applicazioni simili anche per quanto riguarda i punti fedeltà, che accedono ai diversi account presso rivenditori, hotel e compagnie aeree per aggregare acquisti, prenotazioni e saldi punti fedeltà. Questi servizi offrono una visione semplificata del proprio stato finanziario, che è utile quando si hanno molti account e conti bancari diversi e non si vuole dover accedere a ciascuno di essi uno per uno. Questi aggregatori sono senza dubbio ottimi strumenti per mostrare tutte le informazioni insieme su un’unica schermata, ma per farlo richiederanno il nome utente e la password per ciascun account in modo da collegare l’account all’aggregatore e continuare ad accedere e a raccogliere le informazioni da tutti gli account.
Il problema è che gli hacker adorano gli aggregatori! Utilizzeranno coppie di nome utente e password rubate, acquistate sul dark web, e le testeranno a livello di codice sul modulo di accesso di centinaia di altri siti Web, proprio tramite gli aggregatori. Le persone spesso riutilizzano nomi utente e password e, in questo modo, il credential stuffing può consentire a tali malintenzionati di accedere a migliaia di account.
5. La complessità è necessaria per proteggere i clienti e il brand
Non sono sicuro di come sia successo, ma da sempre esiste la convinzione diffusa che la sicurezza informatica debba essere in qualche modo frustrante per poter essere efficace.
In realtà, la cyber sicurezza non è come farsi un tatuaggio, non dovrebbe fare male!
Una vera sicurezza informatica per essere eccellente – e questa è la direzione a cui tutti dovremmo tendere – deve essere eseguita all’insaputa dell’utente.
La biometria comportamentale, ad esempio, viene eseguita in background e analizza silenziosamente i tasti, il tatto, la dinamica del mouse e l’orientamento del dispositivo per stabilire il profilo di un utente e proteggerlo. Tutti questi dati vengono analizzati e valutati per calcolare il rapporto di corrispondenza tra il comportamento attuale dell’utente ed il suo comportamento previsto, derivato da dati storici, in modo da impedire ad utenti falsi di assumere il controllo degli account.
Questo tipo di sicurezza informatica è significativamente più valido rispetto agli accessi tradizionali anche perché. se i sistemi in background non sono in grado di verificare l’attendibilità di un determinato utente con un livello di confidenza accettabile, sarà richiesto all’ MFA (autenticazione a più fattori) di confermare ulteriormente l’identità: questa dovrebbe essere l’unica complessità ulteriore che un utente dovrebbe mai sperimentare.
6. Se non abbiamo subito perdite non c’è stata una frode
La frode è una frode, anche senza una perdita di dati. Altrimenti, sarebbe come dire che non puoi avere una malattia se non mostri alcun sintomo, e questo è un concetto assolutamente sbagliato. La frode si verifica quando gli hacker commettono la violazione, ed è considerata attività illegale indipendentemente dal fatto che avvena un furto. Per fare un esempio concreto, se un hacker accede ad un account di posta elettronica, sta commettendo una frode anche se non ha “rubato” nulla.
In alcuni casi chi attacca ottiene semplicemente l’accesso ad alcuni account e rimane lì, silente. Questa è già una frode e, in effetti, non è raro che qualcuno si introduca nell’azienda molto prima che venga rilevato un attacco.
7. I criteri per definire le password devono comprendere i caratteri speciali
I caratteri speciali non rafforzano necessariamente le password. Per capire cosa intendo, date un’occhiata alla tabella qui sotto. La “S” rappresenta l’entropia, quindi maggiore è la quantità di disordine nella password, maggiore è l’entropia.
Certo, “Watch4T! M3” è più forte di “qwerty”, ma “Caterpillar Motorboat Tree January” è tre volte più forte di “Watch4T! M3” e non contiene nessun carattere speciale.
In conclusione, è meglio che nel definire una password ci si concentri sulla lunghezza piuttosto che sull’inserimento arbitrario di caratteri speciali perché servono solo a causare ulteriori frustrazioni all’utente.
Dan Woods*
*Vice President Shape Intelligence Center, Shape Security