Collection #1

Notizia del giorno, la comparsa di una gigantesca raccolta di credenziali rubate a seguito di svariati data breach e site breach occorsi nel passato.

Qualcuno si è preso la briga di collezionare (per proporne la vendita) le credenziali rubate disponibili nel dark-web; si tratta di oltre 773 milioni di credenziali (prevalentemente e-mail / password associata, moltissime addirittura decifrate oppure in formato testo ).

Dato che spesso gli utenti usano la stessa password per molteplici credenziali, visto che nella raccolta ci sono anche molti datasets di siti italiani, consiglio di verificare se il proprio indirizzo e-mail è compreso nella vastissima collezione.

Adesso tutti hanno capito che le credenziali di accesso con sola password non garantiscono grande sicurezza; abbiamo anche capito perchè occorre cambiare spesso la password.

Aggiornamento: come al solito, molta stampa generale non ha capito molto di quanto accaduto; alcuni hanno banalizzato, molti altri hanno paventato scenari catastrofici. Negli 87 TeraByte, sono presenti sicuramente credenziali “datate”, ma gli indirizzi e-mail non sono soggetti a cambiare (come sarebbe previsto per le password, ma anche qui occorrerebbe condurre un lungo ragionamento sulla frequenza con la quale gli utenti cambiano la password di servizi on-line).

Quindi gli indirizzi e-mail (che sono reali e moltissimi dei quali attivi) si prestano a tutta una serie di attività illecite. Inoltre, un indirizzo e-mail è (di norma) facilmente riconducibile ad una specifica persona; si pensi agli effetti indotti dalla conoscenza della sua iscrizione ad un particolare sito o servizio.

Per non parlare del dataset delle password, le quali costituiscono un campione reale e significativo di password comunemente usate e che quindi può essere usato per “alimentare” sistemi automatici di brute-force attack.

Aggiornamento2: famosi esperti di sicurezza hanno sentenziato che verificare il proprio indirizzo e-mail sul sito haveibeenpwned peggiorerebbe ulteriormente la situazione, in quanto si fornirebbe, insieme ad una e-mail, l’indirizzo IP da quale ci si collega.

Prima considerazione: il proprietario del sito è un affermato professionista e security developer, Troy Hunt; quindi dietro al sito non c’è un hacker ma una persona seria che ha messo gratuitamente a disposizione una importante (e costosa) risorsa per capire se si è incappati in un data breach; non credo che il servizio abbia fini reconditi.

Secondo: la consapevolezza del fatto che i proprio indirizzo e-mail (magari associato alla relativa password) è finito in giro per il mondo è estremamente rilevante; proprio per questo, il GDPR obbliga i titolari che sono stati oggetto di data breach a comunicare tempestivamente il fatto agli interessati coinvolti.

Terzo: in ogni caso, è possibile collegarsi da un indirizzo IP “anonimizzato”, come quello fornito da una delle tantissime vpn (anche gratuite) disponibili oppure tramite TOR. Per i soggetti privati che volessero approfondire in sicurezza ma che non si sentono in grado di farlo, sono a disposizione, nel tempo libero, pro bono.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.