Vulnerabilità vere e presunte: un esempio

Una delle attività più complesse che un professionista della sicurezza informatica deve fare, soprattutto in un periodo come questo in cui siamo sommersi da informazioni e segnalazioni, è mantenere la capacità di ragionare.

Detta così sembra una banalità, e infatti lo è. Come tutte le cose banali però viene spesso accantonata, dimenticata e sacrificata in nome della fretta, del correre dietro all’ultima patch o di trovare una difesa appropriata all’ultima novità in campo hacker.

Purtroppo questa situazione è fin troppo spesso alimentata dai vendor, che approfittano dell’onda di emergenze, buzzword, articoli improvvisati ma con grande eco della stampa generalista, per vendere l’ultimo prodotto. Che spesso però non serve.

Facciamo un esempio di questa situazione, prendendo spunto da una notizia che si è sparsa parecchio negli ultimi giorni.

Si tratta di un nuova “vulnerabilità” di iOS, che permette di disabilitare il servizio Trova il mio iPhone. C’è anche un video che spiega bene come funziona

Detta così sembra ovviamente molto critica, visto che si tratta di una delle principali funzionalità di sicurezza fornite con iOS. E visto che la notizia ha avuto parecchia eco e grande diffusione sui social (come del resto tutte le notizie di sicurezza che riguardano prodotti Apple) è la tipica notizia che viene sfruttata per creare l’effetto FUD (avevo già parlato del rischio di questo effetto), e magari pubblicizzare il proprio prodotto di gestione di cellulari.

Perché dico sembra? Perché bisogna ragionare, e capire esattamente cosa abbiamo di fronte, e quali rischi reali stiamo correndo. Guardate il video. Come comincia?

Con un iPhone sbloccato.

Ora, ragionando con calma e lucidità (capacità che ogni esperto di sicurezza dovrebbe sviluppare e mantenere costantemente affilate), già questo punto annulla qualsiasi altra vulnerabilità.

Anche senza scomodare la gestione aziendale dei dispositivi mobili, il primo passo indispensabile per mettere in sicurezza il proprio cellulare è attivare il codice di sblocco. Tanto più che si tratta di un iPhone, dove c’è anche la comodità del Touch ID.

Già semplicemente vedendo il primo fotogramma del video abbiamo ridimensionato il tutto, visto che non ha senso parlare di altro, se un ladro che ruba il telefono può avere accesso a tutti i dati e impostazioni senza problema.

Cosa ci insegna questo esempio? Che tutto il rumore fatto da una notizia del genere, si basa su una carenza di sicurezza molto più grande e rischiosa. La vulnerabilità c’è, senza dubbio, ed è anche grave ma non ha senso vedere solo quella, quando si lascia il proprio smartphone alla disponibilità del primo che passa.

Questo esempio è indicativo del modo di ragionare che bisogna sempre mantenere, quello di capire i rischi reali e valutare il contesto. In ambito personale è sempre buona cosa farlo, ma nella sicurezza informatica aziendale è indispensabile ragionare in questo modo.

Anche perché non solo applicheremo un po’ di spirito critico che non fa mai male, ma risparmieremo un bel po’ di soldi per prodotti inutili che, come un caso come questo insegna, non avrebbe comunque risolto il problema di base.

Annunci

Scambi la tua sicurezza per un po’ di cioccolata?

Tra gli addetti ai lavori della sicurezza informatica gira da diversi anni la battuta che molte persone scambierebbero la propria password per una barretta di cioccolata (o altro dolce a vostro piacimento).

In realtà non è propriamente una battuta, visto che la ricerca originaria del 2004 della BBC rivelava che ben il 70% degli intervistati era realmente disponibile a farlo.

Certo l’ottimo Bruce Schneier si diceva parecchio stanco di sentire questa storia girare, e lui sì che non darebbe una password per un dolce (per lo meno non una reale 🙂 ).

Il senso della storia è comunque che molta gente non ha la piena coscienza di quanto dalle proprie abitudini dipenda la propria sicurezza online, molti non usano un’autenticazione a due fattori ad esempio. E nemmeno ci si rende conto che utilizzare la stessa password (e magari dirla a qualcuno!) su siti diversi rende l’intera propria esistenza digitale a rischio

Password reuse su xkcd

Password reuse su xkcd

Immaginate quindi la mia sorpresa quando ho visto questo cartello

Ikea carta di credito

Già le banche stanno spingendo molto sull’utilizzo delle carte contactless, ma ora le operazioni di marketing per farle usare stanno decisamente accelerando.

Ora non sto dicendo che le carte contactless siano uno strumento pericoloso, ma sicuramente sono più deboli rispetto ad un utilizzo con pin e più soggette ad attacchi molto facili da eseguire. Tanto per dire già da diversi anni al DEF CON vendono porta carte di credito schermati da scanner esterni.

E gran parte dei lati positivi dell’utilizzo sono a vantaggio dell’altra parte, l’esercente in primis che smaltisce le code più facilmente e senza spese per aprire altre casse, e la banca e l’operatore della carta che ottengono un uso più frequente della carta al posto del contante.

Il tutto, lato cliente, per guadagnare pochi secondi necessari ad inserire il pin e ad avere la ricevuta.

Vale la pena scambiare la vostra sicurezza per un po’ di cioccolata? Ovviamente no.

Citazione

Policy di sicurezza

Arrivo molto in ritardo, ma vale la pena riportarla lo stesso:

Salander suspected that, technically, reports like these were not allowed to leave police headquarters. It proved once again the theory that no security system is a match for a stupid employee.

Paperino e i perfidi hacker di Unknown

Nel numero di Topolino di questa settimana c’è una storia molto divertente, un po’ più divertente se siete degli appassionati della sicurezza informatica.

La storia è della serie di DoubleDuck (ovvero Paperino agente segreto di una organizzazione contro il crimine), e si intitola appunto Unknown.

Chi sono gli Unknown? Ma ovviamente un gruppi di hacktivist come dire…. anonimi… 🙂

Gli hacktivst di Unknown

Cliccate per ingrandire.

Molto divertente anche l’immagine dell’hacker che smanetta al computer naturalmente con la maschera di Guy Paper Fawkes.

Quello che è ancora più interessante per chi è del mestiere è l’articolo a corredo della storia che, giocando un po’ sui termini e sul significato in italiano, fa una bella panoramica sulle varie tipologie di smanettoni informatici.

Hacker Topolino

La cosa molto interessante è che l’articolo, ad opera di Barbara Garufi, è scritto insolitamente bene, non solo per una rivista di fumetti, ma anche per una qualsiasi testata giornalistica italiana.

Troppo spesso infatti i media mainstream fanno confusione tra hacker, cracker, hacktivist e criminalità organizzata.

In questo caso invece l’articolo mette subito in chiaro i confini e le distinzioni. E lo fa semplicemente, in poche righe e con concetti molto lineari.

Tipi hacker

L’articolo continua con la corretta classificazione dei vari tipi di hacker, messi più o meno in ordine di pericolosità.

Il modo è molto simile, anzi credo sia abbastanza ispirato, al lavoro fatto da Raoul Chiesa e ISECOM sull’Hacker Profiling Project, di cui è disponibile anche un ottimo libro.

La conclusione della carrellata è, correttamente, con il profilo più pericoloso di tutti, il cyber-soldato, la figura che ha più tempo, risorse e armi a sua disposizione.

Cyber-Soldier

Notevole anche qui come in poche righe si spieghi chiaramente lo scenario di cyber-warfare, attuale e reale, che molti quotidiani titolati ignorano o trattano con superficialità.

Anche la storia stessa, non vi svelo il finale, è impostata correttamente per far capire la psicologia di un hacktivist. Certo una persona che opera molto spesso oltre il confine legale, ma non è mai rappresentata come cattivo. Nella storia i villain sono altri, molto più pericolosi e legati alla malavita organizzata internazionale.

Addirittura alla fine c’è un piccolo colpo di scena che fa sembrare molto simpatici al lettore gli hacktivist di Unknown, seppur commettendo dei reati.

Insomma, una storia da leggere e conservare.

E da far leggere a chi vuole capire bene i complessi profili hacker, e non solo ai ragazzi.

Anzi, dovrebbero leggerla molti adulti e molti responsabili di servizi e sistemi IT.

Difendere la privacy è possibile

Di questi tempi ci viene ripetuto fino alla nausea: la privacy non esiste più.

Siamo nell’era del web 2.0, dell’internet of things, della geolocalizzazione ovunque e dei social network in cui noi stessi pubblichiamo notizie e foto che fino a qualche anno fa ci saremmo vergognati di far conoscere anche ai parenti più stretti.

C’è chi questa cosa l’ha intuita e ci ha costruito sopra un impero facendoci miliardi di dollari, Google e Facebook in primis.

E proprio loro stessi, guardando i loro bilanci sempre in attivo, ci dicono che l’era della privacy è finita, o che se non vuoi che qualcuno sappia qualcosa non dovresti farla.

Ma questa situazione è inevitabile? Non c’è davvero modo di opporsi a quello che viene definito un cambiamento culturale?

Non proprio. Questa immagine infatti fa molto riflettere

Google Streetview

L’Europa su Google Streetview – Cliccate per ingrandire

L’immagine mostra la copertura di Google Streetview in Europa, e quello che salta immediatamente all’occhio sono i due grossi buchi di Germania e Grecia.

La Germania è una nazione in cui la privacy ha sempre avuto un’attenzione elevatissima, molto probabilmente dovuta al periodo pre-unificazione in cui la Stasi operava un controllo assoluto su tutti i cittadini dell’Est (e non solo), come raccontato ad esempio nel bellissimo film Le vite degli altri.

Il Garante Privacy tedesco quindi reagì molto male quando si scoprì che le Google Car che giravano le strade raccoglievano anche dati in modo illegale, e oltre ad una multa molto salata impose grandi limiti alla pubblicazione dei dati proprio su Streetview.

Analogamente anche la Grecia ha ostacolato molto, e si vede bene dall’immagine, l’attività di Google. Chiedendo dettagli puntuali sull’uso dei dati raccolti dalle auto, e ponendo limiti e funzioni di rimozione per la loro pubblicazione.

Queste due nazioni dimostrano che è possibile imporre un limite all’attività apparentemente senza limiti dei giganti del web. E il limite può e deve essere imposto proprio in difesa dei propri cittadini.

Ma il resto dell’Europa?

La Commissione Europea è al lavoro da diverso tempo su un Regolamento Privacy (che ricordo, a differenza di una Direttiva è immediatamente esecutivo per gli stati membri) che sia in grado di recepire la necessità di difendere maggiormente i dati personali dei cittadini europei. Sia imponendo regole di trattamento più rigide, sia prescrivendo multe molto salate per violazioni o diffusioni illecite.

Anche perché, ed è bene ricordarlo, sia le due aziende di cui ho parlato all’inizio, sia innumerevoli altre sono tutte aziende statunitensi. Paese dove la sensibilità nel trattamento dei dati personali è molto minore, e spesso messa in secondo piano rispetto a logiche economiche più stringenti.

Naturalmente, visti gli altissimi interessi economici in gioco (basti pensare proprio ai bilanci dei big come Google o Facebook) i lavori vanno avanti tra mille ostacoli.

L’Italia, come gli altri stati, aspetta ovviamente la pubblicazione di una policy europea, anche se è sempre bene ricordare che il Codice Privacy Italiano è uno dei più avanzati a livello europeo, arrivando a definire addirittura la protezione dei dati personali come diritto fondamentale:

Art. 1. Diritto alla protezione dei dati personali
1.Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Non di ogni cittadino, ma di ogni persona.
La privacy è un diritto fondamentale di chiunque.

Anche in questi tempi di cambiamento culturale è sempre bene pensare a quanto sono importanti i nostri dati personali, a quanto in fondo raccolgono tutta la nostra vita.

Quindi ha ragione Schmidt a dire che se si vuole mantenere una cosa segreta, sarebbe meglio non farla.

Ma sta anche a noi difendere e trattare con cura le nostre informazioni personali, proprio perché i primi a essere danneggiati da una loro diffusione, i primi a sottovalutare un diritti fondamentale, siamo proprio noi.