Nei film capita spesso di vedere hacker che in pochi minuti accedono a qualunque sistema compromettendo gli account degli utenti o degli amministratori. La finzione cinematografica fa apparire tutto più semplice di quanto non sia nella realtà, ma di certo la gestione delle credenziali è un elemento critico e spesso sottovalutato dalle organizzazioni. Recenti casi di cronaca riportano di attacchi che, tramite la compromissione di una o più password di amministrazione, hanno permesso di accedere a dati riservati: basti pensare ad Hacking Team, che a seguito di un’intrusione nel sistema ha visto rendere pubblici 400 GB di email, codice sorgente, contratti e documenti confidenziali. In altri casi, come per Ashley Madison, gli attacchi sono stati diretti alle password ed agli account degli utenti registrati, con conseguente pubblicazione in rete di 33 milioni di nomi, indirizzi e numeri di carta di credito.
Il grande impatto di questo genere di violazioni dipende dal fatto che, nonostante esistano altri mezzi di identificazione dell’utente, i sistemi basati su username e password sono largamente impiegati per erogare servizi e per regolare l’accesso a risorse di natura confidenziale.
Perché le password sono così vulnerabili?
Le password consentono di implementare meccanismi di identificazione passiva, in cui il riconoscimento dell’utente è basato sulla dimostrazione della conoscenza di un segreto (la password) concordato durante la registrazione al servizio. In questo scenario, il protocollo di identificazione prevede che:
- l’utente comunichi al servizio il proprio identificativo e la propria password;
- il servizio confronti la password ricevuta con quella precedentemente concordata con l’utente -eventualmente sottoponendola ad alcune trasformazioni, come l’aggiunta di numeri casuali ed il calcolo dell’hash.
Questo semplice scenario presenta diversi punti vulnerabili:
- la memoria dell’utente;
- la memoria elettronica utilizzata per la conservazione della password;
- la gestione della password durante le elaborazioni necessarie.
Per garantire la necessaria robustezza agli attacchi bruteforce e con dizionario, una password deve essere sufficientemente lunga e composta da caratteri casuali. Spesso, però, per poterla ricordare facilmente, l’utente sceglie semplici sequenze numeriche o nomi propri, come dimostrano le classifiche che periodicamente elencano le password meno sicure in circolazione. Una leggerezza del genere, commessa all’interno di una organizzazione, compromette seriamente la sicurezza delle risorse aziendali: nel caso Hacking Team il ricorso a password particolarmente deboli ha sicuramente giocato un ruolo chiave facilitando il successo dell’intrusione. Altrettanto rischiosa è l’abitudine di trascrivere le password su foglietti e post-it: che senso ha avvalersi di data center dotati di cage e dei più avanzati sistemi di sicurezza, se poi le credenziali di accesso ai sistemi sono liberamente accessibili a chiunque si trovi a passare accanto ad una delle tante postazioni di lavoro?
Anche la memoria elettronica in cui l’azienda conserva le password degli utenti può essere soggetta ad intrusioni. Il successo dell’attacco dipende dalla modalità con cui le credenziali sono state archiviate: le password salvate in chiaro possono essere semplicemente lette ed utilizzate, quelle di cui è stato memorizzato l’hash possono essere individuate utilizzando attacchi con dizionario, bruteforce o rainbow table. Metodi simili possono risultare efficaci anche quando alle password è aggiunto un numero casuale (detto salt) prima di calcolarne l’hash, specialmente se il salt è lo stesso per tutte le password, oppure se è salvato in chiaro in un luogo accessibile all’attaccante. A seguito dell’attacco a Sony del 2014, gli hacker hanno pubblicato in rete 140 file che contenevano credenziali in chiaro: non è stata necessaria nessuna decifrazione e chiunque ha immediatamente avuto accesso a password di server interni all’azienda, credenziali per l’accesso alle segreterie telefoniche aziendali, dati sensibili degli utenti.
Infine, anche quando la conservazione delle credenziali è robusta rispetto agli attacchi discussi, occorre prestare attenzione alle modalità con cui le password sono gestite nei momenti in cui è necessaria la loro elaborazione. La decifrazione delle password degli utenti di Ashley Madison è stata resa possibile proprio da questo tipo di errore: l’archivio delle password era protetto da Bcrypt, un sistema estremamente robusto la cui violazione avrebbe richiesto decine di anni, ma la gestione delle stesse password durante l’autenticazione dell’utente utilizzava un meccanismo diverso, basato sull’algoritmo di hash MD5 e quindi molto più debole. Questo ha consentito agli esperti di individuare 11,2 milioni di password in poche settimane.
Cosa possono fare le imprese?
Per ridurre le probabilità di successo di attacchi come quelli ricordati sopra è fondamentale adottare politiche orientate ad una gestione delle password robusta e consistente, promuovendo prassi consolidate che includono:
- fornire agli utenti e ai dipendenti delle linee guida per la scelta di password robuste e incoraggiare l’utilizzo di validatori automatici che ne misurino la sicurezza;
- promuovere l’utilizzo di strumenti come keyring o password manager, ovvero di software o servizi dedicati all’archiviazione sicura delle proprie password, per evitare l’utilizzo di fogli o file non cifrati che potrebbero essere facile preda di attacchi;
- utilizzare sistemi sicuri per la protezione delle password archiviate, ad esempio basati su funzioni di derivazione come Bcrypt o PBKDF2 (PKCS#5);
- verificare che le politiche definite per la gestione delle credenziali siano effettivamente applicate in tutti i punti in cui il sistema utilizza o conserva le password.
L’adozione delle linee guida suggerite non può garantire la piena sicurezza a fronte di attacchi, ma contribuisce in maniera decisa a ridurre le probabilità di successo di intrusioni non autorizzate e a complicare le violazioni alla riservatezza dei dati eventualmente trafugati.
Facebook Comments