Il 2015 passerà alla storia come uno degli anni più devastanti per la sicurezza informatica, con una serie di breach che hanno esposto centinaia di milioni di persone a rischi che vanno dal furto d’identità al ricatto, dalla compromissione di segreti governativi alla distruzione di vite personali e familiari. Dalle agenzie federali americane ai siti di incontri, dagli assicuratori sanitari ai produttori di giocattoli per bambini, nessun settore si è dimostrato immune da attacchi sempre più sofisticati condotti da criminali, attivisti e attori statali con risorse e competenze in continua crescita. Le lezioni emerse da questi incidenti dovrebbero guidare sia gli utenti nelle loro pratiche di sicurezza personale sia le aziende nelle loro strategie di protezione dei dati, anche se la storia suggerisce che molte organizzazioni continueranno a ignorare le best practice fino a quando non saranno loro stesse vittime di violazioni che avrebbero potuto essere prevenute con investimenti relativamente modesti.
Ashley Madison e la distruzione di vite reali
L’hack più discusso dell’anno ha colpito il sito di incontri per relazioni extraconiugali Ashley Madison quando un gruppo chiamato Impact Team ha rubato l’intero database contenente i dati di trentasette milioni di utenti, inclusi nomi reali, indirizzi email, informazioni delle carte di credito, preferenze sessuali e messaggi privati che gli utenti credevano protetti dalla promessa di discrezione del servizio. Gli hacker hanno chiesto la chiusura del sito minacciando di pubblicare i dati, ma quando Ashley Madison ha rifiutato l’intero database è finito online accessibile a chiunque volesse cercarlo, scatenando conseguenze devastanti che hanno incluso divorzi, perdite di lavoro, ricatti verso gli utenti identificati e almeno due suicidi confermati direttamente collegati alla rivelazione. L’analisi post-mortem ha rivelato che Ashley Madison conservava dati che non erano necessari per il servizio, non cancellava realmente gli account nonostante far pagare diciannove dollari per questo servizio, e utilizzava password deboli per gli accessi amministrativi, un insieme di fallimenti che trasformava un servizio già eticamente discutibile in un disastro annunciato.
Il breach dell’OPM e la sicurezza nazionale compromessa
L’Office of Personnel Management americano ha subito quello che molti considerano il breach più grave per la sicurezza nazionale quando attaccanti attribuiti alla Cina hanno rubato i dati di ventuno milioni e mezzo di persone tra dipendenti federali attuali, passati e candidati a posizioni governative, incluse le impronte digitali di cinque milioni e seicento mila individui. Il materiale rubato non comprendeva solo informazioni anagrafiche ma i background check completi utilizzati per le autorizzazioni di sicurezza, documenti che dettagliano storia finanziaria, relazioni personali, problemi legali, segreti familiari e qualsiasi informazione che potrebbe essere usata per ricattare o reclutare persone con accesso a segreti di stato. Il direttore dell’OPM si è dimesso ma il danno è irreversibile perché mentre si possono cambiare numeri di previdenza sociale e monitorare il credito, le impronte digitali rimangono invariate per tutta la vita rendendo milioni di persone permanentemente vulnerabili a sistemi di autenticazione biometrica.
Il settore sanitario sotto assedio
Anthem, il secondo più grande assicuratore sanitario degli Stati Uniti, ha perso ottanta milioni di record che includevano nomi, date di nascita, numeri di previdenza sociale, indirizzi, email e dati sull’impiego dei propri assicurati in un attacco anch’esso attribuito ad hacker cinesi, dimostrando che il settore healthcare era diventato bersaglio privilegiato per la ricchezza e la sensibilità delle informazioni che gestisce. I dati sanitari valgono sul mercato nero dieci-venti volte più delle carte di credito perché permettono frodi molto più sofisticate e durature, dalla creazione di false identità per ottenere cure costose alla produzione di documentazione medica falsa utilizzabile per truffe assicurative su larga scala. Premera Blue Cross ha subito un attacco simile esponendo undici milioni di record, confermando che non si trattava di incidenti isolati ma di una campagna sistematica contro un’industria che storicamente aveva investito poco in sicurezza informatica concentrandosi sulla conformità normativa piuttosto che sulla protezione effettiva dei dati.
VTech e la vulnerabilità dei bambini nel mondo connesso
Il produttore di giocattoli tecnologici VTech ha subito un breach che ha esposto i dati di sei milioni e quattrocentomila bambini e quattro milioni e ottocentomila genitori, includendo fotografie dei minori e chat tra genitori e figli che erano state salvate sui server dell’azienda senza che gli utenti ne fossero pienamente consapevoli. L’analisi della sicurezza di VTech ha rivelato un quadro devastante con password conservate in chiaro invece che hash, nessuna crittografia dei dati sensibili, e vulnerabilità basilari che qualsiasi sviluppatore competente avrebbe identificato e corretto prima del lancio del prodotto. L’incidente ha sollevato domande urgenti sulla responsabilità delle aziende che producono dispositivi connessi per bambini, un mercato in rapida crescita dove la fretta di lanciare prodotti spesso supera l’attenzione alla sicurezza con conseguenze che ricadono sui soggetti più vulnerabili che non hanno voce in capitolo sulle tecnologie che li circondano.
Hacking Team e l’ironia degli hacker hackerati
In un twist ironico che ha deliziato la comunità della sicurezza informatica, l’azienda italiana Hacking Team specializzata nella vendita di software spia ai governi è stata essa stessa hackerata con quattrocento gigabyte di dati interni pubblicati online inclusi email, codice sorgente dei loro spyware e la lista completa dei clienti che rivelava rapporti commerciali con regimi autoritari. Le email hanno confermato che Hacking Team vendeva i propri strumenti di sorveglianza a Sudan, Russia, Arabia Saudita e altri paesi nonostante le sanzioni internazionali e le dichiarazioni pubbliche dell’azienda che negavano tali rapporti, esponendo l’ipocrisia di un’industria che profittava dalla repressione mentre si presentava come fornitore di strumenti legittimi per le forze dell’ordine. Il codice sorgente pubblicato ha permesso ai ricercatori di sicurezza di comprendere meglio le tecniche utilizzate per compromettere dispositivi e sviluppare contromisure, trasformando un danno commerciale per Hacking Team in un beneficio per la sicurezza complessiva dell’ecosistema.
Le vulnerabilità sistemiche dell’anno
Oltre ai breach specifici, il 2015 ha visto la scoperta di vulnerabilità che mettevano a rischio miliardi di dispositivi contemporaneamente, da FREAK e Logjam che permettevano di forzare connessioni HTTPS a utilizzare crittografia debole violabile in tempo reale, a Stagefright che permetteva di prendere controllo completo di un telefono Android semplicemente inviando un MMS malevolo che veniva processato automaticamente prima ancora che l’utente lo aprisse. XcodeGhost ha dimostrato che anche l’ecosistema chiuso di Apple era vulnerabile quando sviluppatori cinesi hanno utilizzato una versione infetta degli strumenti di sviluppo producendo app legittime che contenevano malware, applicazioni che hanno superato i controlli dell’App Store e sono state scaricate milioni di volte prima che il problema fosse identificato. Queste vulnerabilità sistemiche hanno evidenziato quanto fragile sia l’infrastruttura di sicurezza su cui costruiamo la nostra vita digitale e quanto rapidamente le tecniche d’attacco evolvano superando le difese esistenti.
Cosa possono fare gli utenti per proteggersi
La lezione più importante per gli utenti individuali è che non possiamo controllare come le aziende proteggono i nostri dati ma possiamo limitare i danni quando inevitabilmente falliscono, a partire dall’utilizzo di password uniche per ogni servizio gestite attraverso un password manager che permette di avere credenziali complesse senza doverle memorizzare. L’autenticazione a due fattori dovrebbe essere attivata ovunque sia disponibile perché anche se un attaccante ottiene la password non potrà accedere senza il secondo fattore tipicamente legato al telefono dell’utente, una protezione che rende inutile la maggior parte dei dati rubati nei breach. Il monitoraggio del credito è diventato essenziale in un mondo dove i nostri numeri di previdenza sociale e dati personali sono probabilmente già in mano a criminali che potrebbero utilizzarli in qualsiasi momento per aprire conti o richiedere prestiti a nostro nome, un servizio che molte vittime di breach ricevono gratuitamente ma che tutti dovrebbero considerare.
Le responsabilità delle aziende nella protezione dei dati
Il 2015 ha dimostrato con evidenza schiacciante che la sicurezza informatica non può essere un ripensamento da affrontare dopo il lancio del prodotto ma deve essere integrata nella progettazione fin dall’inizio, con principi come la minimizzazione dei dati raccolti e conservati, la crittografia di tutto sia a riposo che in transito, e la segmentazione delle reti per limitare i danni quando una breccia avviene. Le aziende devono hashare le password con algoritmi moderni come bcrypt invece di conservarle in chiaro o con hash obsoleti come MD5, condurre audit di sicurezza regolari preferibilmente da terze parti indipendenti, e sviluppare piani di risposta agli incidenti che permettano di reagire rapidamente quando un breach viene scoperto. Il costo medio di un breach è salito a tre milioni e settecentonovantamila dollari secondo IBM, una cifra che rende gli investimenti preventivi in sicurezza economicamente vantaggiosi oltre che eticamente doverosi verso i clienti che affidano i propri dati.
Prepararsi a un futuro di minacce crescenti
Le tendenze emerse nel 2015 suggeriscono che il futuro non sarà più sicuro ma al contrario vedrà attacchi sempre più sofisticati sponsorizzati da stati nazionali con risorse quasi illimitate, ransomware che sta diventando epidemico colpendo ospedali, scuole e infrastrutture critiche, e l’Internet of Things che introduce miliardi di nuovi dispositivi spesso progettati senza alcuna considerazione per la sicurezza. Il settore sanitario rimarrà nel mirino per il valore dei dati che gestisce, mentre i dispositivi consumer connessi dai giocattoli alle automobili espanderanno la superficie d’attacco in modi che stiamo appena iniziando a comprendere. Per gli utenti questo significa adottare un approccio paranoico ma pratico alla sicurezza personale, mentre per le aziende significa riconoscere che la sicurezza è un investimento necessario e non un costo opzionale da minimizzare. Il 2016 porterà certamente nuovi breach e nuove lezioni, ma le fondamenta di una buona igiene digitale rimangono costanti e chi le adotta ora sarà meglio preparato ad affrontare le minacce che verranno.
