Il Data Breach: approfondimento a cura di Matteo Graci, Fondatore di Storyline S.r.l., Ethical Hacker, Penetration tester, Security consultant.
Quanta cura riserviamo al trattamento delle nostre informazioni?
L’entrata in vigore del GDPR ha acceso un riflettore , di cui in Italia si è sempre saputo ben poco a dire il vero, sulle modalità di trattamento dei dati personali.
Nello specifico, la nuova normativa riguarda il binomio username/password che costituisce la chiave di accesso ad una quantità sempre crescente di servizi, online e offline, erogati alle persone.
Da qualche tempo si fa un gran parlare dei cosiddetti “Data Breach”, senza però fornire definizioni precise e lasciando spazio ad allarmismi che, all’utente comune, trasmettono una sensazione di insicurezza senza illustrare l’effettivo perimetro del problema.
Tutto ciò premesso, analizziamo di seguito le caratteristiche principali di questo fenomeno non solo informatico e quali sono le conseguenze più temute.
Oggi il mondo è pilotato e governato dalle informazioni. La stessa identità di una persona è in buona sostanza costituita dalle informazioni che rendono un soggetto identificabile e riconoscibile.
Oltre all’anagrafica infatti, l’identità è costituita dalla storia della persona, le scuole che ha frequentato, i posti che ha visitato, i prodotti che ha acquistato e i servizi che utilizza.
Queste informazioni sono sempre meno fisiche e sempre più virtuali, poiché la necessità di veicolarle, insieme alla loro costante crescita in volume, ne ha determinato la digitalizzazione.
Le informazioni così strutturate hanno bisogno di essere quindi protette. In che modo?
Questi dati possono dirsi sicuri quando sussistono contemporaneamente tre fondamentali qualità:
- la confidenzialità: sono visibili solo a chi ne ha titolo;
- l’integrità: le informazioni non sono corrotte o “sbagliate”;
- la disponibilità: chi ha titolo di consultarle deve poterle consultare quando lo ritiene opportuno.
Con la frase “Data Breach” si intende una violazione di una delle tre caratteristiche sopra riportate.
La violazione può avvenire sotto l’aspetto della confidenzialità, ossia le informazioni diventano accessibili anche a chi non dovrebbe potervi accedere; sotto l’aspetto dell’integrità, ossia le informazioni sono integre o sono errate; oppure sotto l’aspetto della disponibilità, ossia le informazioni non sono già accessibili perché perse o compromesse.
Nella peggiore delle ipotesi, il Data Breach colpisce tutti e tre i parametri.
Di questi tre aspetti è particolarmente rilevante, ai fini della tecnologia e della sicurezza, la confidenzialità, o riservatezza, giacché gli attacchi più recenti sono tutti volti a rendere pubblici e ad utilizzare per fini criminosi le informazioni raccolte in maniera illecita.
I Data Breach famosi coinvolgono principalmente questo aspetto, ma perché è diventato un problema di sicurezza rilevante?
Perché i dati più frequentemente compromessi sono proprio le credenziali di accesso personali ai servizi utilizzati, e tali possono essere a basso impatto, come ad esempio il nome utente e la password del forum di appassionati di gatti che frequentiamo; oppure possono avere un impatto molto differente, come ad esempio le coordinate di accesso al sito dell’Agenzia delle Entrate.
Quando questi vengono raccolti in collezioni, come accaduto nei più celebri Data Breach, vengono messi a disposizione dei malintenzionati interi “volumi” di nomi utenti e password compromesse.
Nel panorama così descritto si innesta, così come la ricerca ha dimostrato, il problema più grave, l’abitudine: oggi siamo costellati di servizi che richiedono la nostra identificazione, e la maggior parte delle volte essa avviene attraverso uno username composto da un indirizzo di posta elettronica.
Questo può essere personale o aziendale a seconda del servizio di riferimento, e sarà sicuramente richiesta una relativa password.
La pigrizia insita nell’uomo porta molto spesso ad utilizzare la stessa password su più servizi, alle volte abbinato al medesimo indirizzo di posta elettronica, portando al recente fenomeno del “Credential Stuffing”.
Di che si tratta? Di un attacco informatico basato sulla consapevolezza, ormai diffusa, del riutilizzo delle stesse credenziali di accesso su diversi servizi.
Questa pratica rende colposamente vulnerabili anche i servizi progettati in maniera molto sicura, perché il punto debole non è tecnologico, ma umano.
E voi, non state usando la stessa password da tutte le parti, vero?