L’ordinaria insicurezza della posta elettronica

Oggi rispondo ad una chiamata di cortesia di un cliente che ha ricevuto diverse e-mail contenenti variegate comunicazioni illegali, apparentemente provenienti dal mio indirizzo e-mail professionale.

Come da tempo cerco di spiegare, per i messaggi e-mail standard non esiste la certezza che chi ha inviato il messaggio sia chi dice di essere.

Il vetusto protocollo smtp consente di forgiare messaggi ad-hoc, apparentemente provenienti da uno specifico mittente ma inviato da malintenzionati per scopi illeciti; è anche possibile far apparire il messaggio come se sia stato inviato da noi stessi, tentando in tale modo di far credere che l’account sia stato compromesso (quando non addirittura il pc dell’utente, ne avevo gia scritto in altri post, ad esempio qui e qui).

Nell’attesa che chi decide il funzionamento dei protocolli (in questo caso smtp) decida di introdurre funzioni di autenticazione-certificazione del mittente, gli utenti possono adottare alcune accortezze per accorgersi dei messaggi falsi.

Tutti i messaggi che sono da me inviati vengono firmati digitalmente (la coccardina rossa che si evidenzia nel client di posta elettronica); in sua assenza, il messaggio non è autentico.

Per le comunicazioni importanti utilizzo esclusivamente la posta elettronica certificata (non che sia la panacea di tutti i mali, anzi); in alternativa propongo l’adozione di ProtonMail.

Cryptopia in liquidazione

Da giorni gli utenti hanno intuito che le cose non andavano; oggi è arrivata la comunicazione ufficiale: l’exchange neozelandese è stato messo in liquidazione.

Ad inizio anno aveva subito un attacco cracker, seguito da uno recente; proprio quest’ultimo potrebbe essere stato fatale.

Purtroppo questi sono i risultati della insicurezza dei sistemi informativi.

Binance violato, spariti 7000 bitcoin

Binance, uno dei maggiori exchange di cryptovalute, è stato violato da ignoti; come risultato, 7000 Bitcoin (circa 44 milioni di dollari) sono stati rubati e trasferiti su vari wallet; attualmente i criminali sono all’opera per distribuire il malloppo in molteplici altri wallet, nel tentativo di “far perdere le tracce”.

Molti pseudo-esperti, invece di focalizzare l’attenzione sul problema reale (insicurezza di tutti gli exchange, ma non solo) propongono soluzioni paradossali.

Come sempre, rimane difficilissimo da digerire il concetto di security by design; generalmente, quando occorre lanciare un servizio, saltiamo del tutto le fasi di progettazione e programmazione sicura, facciamo scrivere da programmatori junior – alla meno peggio – un software che fa quanto serve, tralasciamo del tutto gli assessment di sicurezza in quanto troppo onerosi, lo mettiamo on-line ed incrociamo le dita.

Spesso anche quando tale software o infrastruttura informativa gestisce cifre rilevanti o dati importanti.

Poi capita che vengono rubati milioni di euro, ma i clienti non debbono preoccuparsi in quanto “Binance utilizzerà il fondo SAFU per coprire le perdite provocate dagli hacker” (che in questo caso non sono hacker ma cracker); quindi nessun problema.

Collection #1

Notizia del giorno, la comparsa di una gigantesca raccolta di credenziali rubate a seguito di svariati data breach e site breach occorsi nel passato.

Qualcuno si è preso la briga di collezionare (per proporne la vendita) le credenziali rubate disponibili nel dark-web; si tratta di oltre 773 milioni di credenziali (prevalentemente e-mail / password associata, moltissime addirittura decifrate oppure in formato testo ).

Dato che spesso gli utenti usano la stessa password per molteplici credenziali, visto che nella raccolta ci sono anche molti datasets di siti italiani, consiglio di verificare se il proprio indirizzo e-mail è compreso nella vastissima collezione.

Adesso tutti hanno capito che le credenziali di accesso con sola password non garantiscono grande sicurezza; abbiamo anche capito perchè occorre cambiare spesso la password.

Aggiornamento: come al solito, molta stampa generale non ha capito molto di quanto accaduto; alcuni hanno banalizzato, molti altri hanno paventato scenari catastrofici. Negli 87 TeraByte, sono presenti sicuramente credenziali “datate”, ma gli indirizzi e-mail non sono soggetti a cambiare (come sarebbe previsto per le password, ma anche qui occorrerebbe condurre un lungo ragionamento sulla frequenza con la quale gli utenti cambiano la password di servizi on-line).

Quindi gli indirizzi e-mail (che sono reali e moltissimi dei quali attivi) si prestano a tutta una serie di attività illecite. Inoltre, un indirizzo e-mail è (di norma) facilmente riconducibile ad una specifica persona; si pensi agli effetti indotti dalla conoscenza della sua iscrizione ad un particolare sito o servizio.

Per non parlare del dataset delle password, le quali costituiscono un campione reale e significativo di password comunemente usate e che quindi può essere usato per “alimentare” sistemi automatici di brute-force attack.

Aggiornamento2: famosi esperti di sicurezza hanno sentenziato che verificare il proprio indirizzo e-mail sul sito haveibeenpwned peggiorerebbe ulteriormente la situazione, in quanto si fornirebbe, insieme ad una e-mail, l’indirizzo IP da quale ci si collega.

Prima considerazione: il proprietario del sito è un affermato professionista e security developer, Troy Hunt; quindi dietro al sito non c’è un hacker ma una persona seria che ha messo gratuitamente a disposizione una importante (e costosa) risorsa per capire se si è incappati in un data breach; non credo che il servizio abbia fini reconditi.

Secondo: la consapevolezza del fatto che i proprio indirizzo e-mail (magari associato alla relativa password) è finito in giro per il mondo è estremamente rilevante; proprio per questo, il GDPR obbliga i titolari che sono stati oggetto di data breach a comunicare tempestivamente il fatto agli interessati coinvolti.

Terzo: in ogni caso, è possibile collegarsi da un indirizzo IP “anonimizzato”, come quello fornito da una delle tantissime vpn (anche gratuite) disponibili oppure tramite TOR. Per i soggetti privati che volessero approfondire in sicurezza ma che non si sentono in grado di farlo, sono a disposizione, nel tempo libero, pro bono.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.