21/02/13

Hacked: l'era delle password è finita?

E NON E' NEPPURE UN SEGRETO BEN CUSTODITO. Solo una semplice stringa di caratteri che può rivelare tutto di te. Le email. Il conto in banca. Il numero della carta di credito. Immagini dei tuoi figli o, peggio ancora, tue foto imbarazzanti. Anche la localita precisa dove sei seduto ora a leggere queste parole. Fin dagli albori dell’era dell’informazione, diamo per scontata l’idea che una password, purché abbastanza complicata, sia un mezzo di protezione adeguato. Ma nel 2013 questa e una fantasia che non regge più. Per quanto complesse, per quanto uniche siano, le tue password non sono piu in grado di proteggerti. Guardati intorno. Falle e fuoriuscite ormai sono all’ordine del giorno. Il modo in cui concateniamo gli account, usando gli indirizzi email come username universali, crea un singolo punto vulnerabile che puo essere sfruttato con risultati devastanti. Grazie all'esplosione di informazioni personali immagazzinate nella cloud, indurre con l’inganno gli operatori dei servizi clienti a resettare le password non e mai stato cosi facile. Un hacker deve soltanto usare le informazioni personali che sono gia pubbliche su un servizio per ottenere accesso a un altro. Le nostre vite digitali sono troppo facili da craccare. inmagina che io voglia entrare nella tua email. E mettiamo che tu sia un utente Aol. Devo solo andare sul sito e inserire il tuo nome, e in piu magari la città in cui sei nato. Tutte informazioni non difficili da reperire nell’era di Google. Con quelli, Aol mi da la possibilità di resettare la password, e io posso accedere al tuo posto. Cosa faccio a questo punto? Cerco la parola "banca" per vedere dove tieni il conto online. Ci vado e clicco sul link <<hai dimenticato la password?>>. Ottengo il reset ed entro nel conto, che ora controllo. Ho in pugno i tuoi soldi oltre che la tua posta. La scorsa estate ho imparato a entrare praticamente ovunque. Con due minuti e 4 dollari da spendere su un sito straniero di quelli loschi, posso ottenere la tua carta di credito, il tuo numero di telefono e il tuo indirizzo di casa. Dammi altri cinque minuti e ti entro su Amazon e dovunque altro. Dammi 20 minuti, dico in tutto, e mi prendo anche il tuo PayPal. Alcune di queste falle nella sicurezza ora sono state tappate. Ma non tutte, e se ne scoprono ogni giorno di nuove. La debolezza comune in tutte queste violazioni e la password. E' il residuo di un’epoca in cui i nostri computer non erano iperconnessi. Oggi niente di qual cha fai, nessuna pracauzione, nessuna stringa lunga o casuale di carattari puo impadire a un individuo determinato di craccara il tuo account. L’era delle password é finita; é solo che non ce ne siamo ancora resi conto. Lo password sono vecchie quanto la civiltà. E fin da quando esistono, la gente le ha violate. Durante gli anni formativi del web, quando iniziavamo a conetterci tutti, le password funzionavano abbastanza bene. Ciò era dovuto soprattutto alla quantità ridotta di dati che dovevano effettivamente proteggere. Le nostre password si limitavano a una manciata di applicazioni: un Isp per la posta e forse un sito o due di ecommerce. Siccome non c’erano quasi informazioni nella cloud, che all’epoca era appena una nuvoletta, non c’era molto da guadagnare a violare l'account di una persona; gli hacker seri prendevario ancora di mira i grandi sistemi aziendali. Cosi abbiamo fatto tutti l’errore di rilassarci. Gli indirizzi email si trasformarono in una sorta di chiave d’accesso universale, usata pressoché ovunque come nome utente. Questa abitudine è continuata nonostante il numero di account, cioè il numero di punti vulnerabili, aumentasse esponenzialmente. L’email sul web ha dato il via a tutta una serie di nuove applicazioni su cloud. Abbiamo iniziato a compiere operazioni bancarie, a tenere i conti, a pagare le tasse nella nuvola. E a stiparci foto, musica e ogni tipo di documenti. Alla fine, con l’aumentare delle violazioni epiche, abbiamo adottato un curioso espediente psicologico: l’idea della password “forte”.
E' il compromesso escogitato dalle società del web in crescita per far si che le persone continuassero a usare i loro siti e ad affidargli i propri dati. Ogni sistema di sicurezza deve fare due compromessi per funzionare nel inondo reale. La prima è la comodità: anche il sistema piu sicuro non vale nulla se accedervi è una seccatura infinita. Chiederti di ricordare una password di 256 caratteri esadecimali potrà anche tenere i tuoi dati al sicuro, ma a quel punto è probabile che neppure tu stesso riesca a entrare nel tuo account. E' facile avere una sicurezza migliore se si è disposti ad arrecare parecchi disagi agli utenti, ma non è un compromesso fattibile. ll secondo compromesso è la privacy. Se l’intero sistema è progettato per tenere segreti i dati, è difficile che gli utenti tollerino un regime di sicurezza che distrugga la loro privacy per svolgere il suo compito.



DA EVITARE

*RIUTILIZZARE LE STESSE PASSWORD.
Permetteresti a un hacker che entra in uno solo dei tuoi account di prenderseli comodamente tutti.

*PESCARE UNA PAROLA DEL DIZIONARIO COME PASSWORD.
Se proprio devi, legane almeno due insieme fine a formare un’unica stringa.

*UTILIZZARE LE SOSTITUZIONI STANDARD : NUMERO/LETTERA.
Pensi che “P455wOrd" sia una buona password? Ma prOprlO no! I programmi che craccanco le password conoscono benissimo il trucchetto.

*SCEGLIERE UNA PASSWORD BREVE
Non importa quanto sia strana: anche una stringa come “h6!r$Q!" può essere indovinata rapidamente grazie alla attuale velocità di elaborazione dei dati. La tua migliore difesa é una stringa di caratteri piu lunga possibile.

-------------------

DA FARE

*ABILITARE L'AUTENTICAZ|ONE A DUE PASSAGGI QUANDO VIENE OFFERTA.
Quando ti connetti da un posto strano il sistema ti rnanda un Codice di conferma via sms. Certo, può essere craccato anche quello, ma è meglio di niente.

*DARE RISPOSTE ASSURDE ALLE DOMANDE DI SICUREZZA
Pensate sempre come password secondarie e fai in modo però che siano ben memorizzabili da te. «La tua prima macchina?». Era una Fiat Van Beethoven. Ovvio, no?

*RIPULIRE LA TUA PRESENZA ONLINE.
Uno dei modi piu sernplici per entrare nei tuoi account é usare la tua mail e i tuoi dati di fatturazione già presenti in vari siti. Molte piattaforme ti offrono la possibilità di essere eliminati dai loro database. Fallo.

*USARE UN SOLO INDIRIZZO EMAIL SICURO PER I RECUPERI DI PASSWORD.
Se un hacker sa da dove passano i tuoi resettaggi di password ha una buona posizione per attaccarti. Crea un account ad hoc che non userai per nessuna altra comunicazione. E scegli uno username che non sia riconducibile al tuo nome vero.



ORA PROVA A IMMAGINARE UNA CASSAFORTE MIRACOLOSA per la tua camera da letto.
Una cassaforte che non richiede né chiavi né password. Questo perché i tecnici della sicurezza sono li nella stanza, a sorvegliarla 24 ere su 24, e aprono la cassaforte ogni volta che vedono che sei tu. Non è proprio l’ideale. Senza la privacy, potremmo avere una sicurezza perfetta, ma nessuno accetterebbe un sistema del genere. Da decenni, ormai, le società del web sono terrorizzate da entrambi i compromessi. Vogliono che l’atto dell’accesso e l’uso dei loro servizi appaia totalmente anonimo e insieme semplicissimo: proprio lo tato di cose che rende una sicurezza adeguata impossibile. Per cui si sono accontentati di adottare la password forte come cura.
Ma come fanno a cedere le nostre password on line? In ogni modo possibile e immaginabile: vengono indovinate, copiate dopo esser state divulgate in massa, craccate con la forza bruta, rubate o resettate del tutto con una truffa. Iniziamo dal trucco più semplice: indovinare. La sbadataggine, a quanto pare, è il rischio più grave di tutti. Anche se ci viene detto da anni di non farlo, continuiamo a usare password pessime e prevedibili. Se scegli una password troppe stupida, entrare nel tue account è un gioco da ragazzi. Software gratuiti dai nomi quali Cain & Abel (Caino e Abele) o John the Ripper (Jack lo Squartatore) craccare le password in automatico al punto che qualsiasi idiota, letteralmente, può farlo. Serve solo una connessione e una lista di password comuni, che non per niente sono facilissime da trovare on line, spesso in formati adatti ai database. La cosa sconvolgete non è che le persone continuino a usare delle password cosi prevedibili. E che certe società continuino a permetterlo. Le stesse liste usate per craccare le password potrebbero anche essere utilizzate per assicurarsi che nessuno possa sceglierle. Ma salvarci dalle nostre pessime abitudini non è minimamente sufficiente a mantenere le password come meccanismo di sicurezza valido. L’altro nostro errore frequente è quello di riutilizzare le password. Negli ultiini due anni sono stati divulgati in rete più di 280 milioni di "hash" (password criptate ma facihnente craccabili). Linkedln, Yahoo, Gawker e Harmony hanno subito tutti violazioni della sicurezza in cui i nomi utenti e le password di milioni di persone sono stati rubati e poi diffusi sulla rete. Un confronto tra due elenchi ha messo in evidenza che il 49 per cento degli utenti aveva riutilizzato norni utenti e password su più siti violati. <<Il riutilizzo delle password è la vera piaga>>, afferma Diana Smetters, ingegnere di Google che lavora sui sistemi di autenticazione.

Gli hacker ottengono le nostre password anche con l’inganno. La tecnica più famosa è il phishing, che consiste nel simulare un sito conosciuto e chiedere agli utenti i dati per l'autenticazione. Steven Downey, responsabile tecnico dell’azienda Shipley Energy, mi ha descritto come questa tecnica ha compromesso l’account di una dirigente della sua compagnia la primavera scorsa. La vittima aveva usato una password alfanumerica complessa per proteggere la sua email di Aol. Ma non c’e bisogno di craccare una password se si può convincere il suo proprietario a fornirla spontaneamente. Un hacker ha inviato alla dirigente un’email con un link a una finta pagina Aol che le chie deva la password. Lei l’ha inserita. A quel punto l’hacker non ha fatto più nulla. Almeno per un po’. E' rimasto inattivo, leggendo tutti i messaggi della donna e imparando a conoscerla. Ha scoperto dove aveva il conto e che aveva un commercialista che amministrava le sue finanze. Ha imparato persino i suoi tic linguistici digitali, le sue frasi tipiche e le formule di saluto che usava. Solo a quel punto si è fatto passare per lei e ha mandato un’email al suo commercialista, ordinando tre diversi bonifici per un totale di 120mila dollari su un conto in Australia. Quando la truffa è stata scoperta, la banca della vittima aveva gia trasferito 89mila dollari. Un modo ancora piu sinistro di rubare le password è quello di usare malware: programmi nascosti che scavano nel computer e mandano in segreto i vostri dati ad altri. Secondo un rapporto di Verizon, il 69 per cento delle violazioni di dati del 2011 sono da attribuire a malware. Sono un’epidemia su Windows e si stanno diffondendo su Android. I malware funzionano quasi sempre tramite l'installazione di un keylogger o di qualche altra forma di di spyware che osserva quel che digitate o vedete. I loro bersagli sono spesso grosse organizzazioni, e in quel caso lo scopo non è rubare una o mille password ma accedere a un intero sistema. Se i nostri problemi con le password finissero qui, probabilmente potremmo salvare il sistema.Potremmo mettere al bando le password stupide e scoraggiarne il riutilizzo. Potremmo educare le persone a sventare i tentativi di phishing (basta guardare attentamente l’url di qualunque sito che richieda una password). Potremmo usare software antivirus per debellare i malware. Ma resterebbe comunque l’anello più debole di tutti: la mernoria umana. Le password devono essere difficili per non venire continuamente craccate o indovinate. Per cui se la tua password vale qualcosa, è molto probabile che te la dimentichi, specie se fai come fanno tutti e non la scrivi. In questo modo, ogni sistema basato su password ha bisogno di un meccanismo di reset. E gli inevitabili comproimessi (la forbice sicurezza/privacy) fanno si che il recupero di una password dimenticata non possa essere troppo difficile. E' esattamente questo che espone il vostro account al rischio di essere facilmente violato per rnezzo del social engineering.

Chi è che sta facendo questo? Chi si dà tanta pena per rovinarvi la vita? Due gruppi, che fanno paura allo stesso modo: le organizzazioni criminali internazionali e i ragazzi annoiati. Le organizzazioni criminali fanno paura petché sono efficienti e mostruosamente prolifiche. Una volta a creare malware e virus erano soltanto hacker dilettanti, e li assemblavano per mettere alla prova la vulnerabilità di un sistema.
Oggi non piu. A metà circa degli anni 2000 è entrato in scena il crimine organizzato. Il creatote di virus contemporaneo è probabilmente un professionista dell’ex Unione Sovietica e non un ragazzo di un college di Boston. E c’e una buona ragione: i soldi. Inoltre, le organizzazioni non colpiscono solo aziende e istituzioni finanziarie, ma anche privati. L’anno scorso i criminali informatici russi, molti dei quali hanno legami con la mafia tradizionale, hanno soffiato a privati decine di milioni di dollari, per lo più rubando passvvord di conti bancari tramite phishing e malware. In altre parole, se qualcuno ti ruba la password della banca, è probabile che sia la malavita organizzata. Gli adolescenti, però, fanno ancora più paura. Perché sono innovativi. I gruppi che hanno colpito me e David Pogue avevano un membro in comune: un ragazzo di 14 anni che si fa chiamare Dictate. Non è un hacker nel senso classico. Si limita a chiamare le aziende o a chattare con loro online e a chiedere reset di password. Ma ciò non lo rende meno etfficace.Lui e quelli come lui si mettono a cercare informazioni su di te che sono già pubbliche, facili da ottenere: nome, email, indirizzo di casa, per esempio. Ben presto, con pazienza, procedendo per tentativi ed errori, avranno la tua email, le tue foto, i tuoi file, proprio come hanno avuto i miei. Perché lo fanno? Più che altro per divertimento: per fare casino e godersi lo spettacolo. Uno degli obiettivi preferiti e semplicemente far incazzare le persone pubblicando messaggi razzisti o comunque offensivi sui loro account personali. Come spiega Dictate: <<Il razzismo suscita reazioni più divertenti. Gli attacchi alle persone interessano poco. Quando abbiamo fregato @jennarose3xo>> - cioe Jenna Rose, una sventurata cantante adolescente i cui video furono niversalmente derisi nel 2010 - <<non ho ottenuto nessuna reazione dai tweet in cui lo dichiaravo e basta. L’abbiamo ottenuta quando abbiamo caricato un video di certi tizi di colore e ci siamo spacciati per loro>>.
A quanto pare, la sociopatia tira. Molti di questi giovani sabotatori vengono dalla scena degli hacker di Xbox, in cui la competizione fra giocatori connessi spingeva i ragazzi a sviluppare trucchi per ottenere quel che volevano. In particolare hanno imparato a rubare i cosiddetti tag “og" (original gamer) semplici, come Dictate anziché Dictate27098, a chi li aveva presi per primi. E' esattamente per via di questa implacabile dedizione di ragazzi come Dictate che il sistema delle password è irrecuperabile. Non si può arrestarli tutti, e anche se si potesse, ne spunterebbero sempre di nuovi. Pensate al dilemma in questi termini: qualsiasi sistema di reset accettabile per un utente di 65 anni sarà violato in pochi secondi da un hacker di 14 aimi.

Per quanto riguarda i consumatori, si sente molto parlare della magia dell’autenticazione in due passaggi che gli utenti di Gmail possono attivare. Funziona cosi: prima confermi un numero di cellulare con Google Authenticator. Dopodiché, ogni volta che si cerca di accedere da un indirizzo ip sconosciuto, la società invia al tuo telefono un codice aggiuntivo da inserire: il secondo passaggio. Questa funzione rende l’account più sicuro? Assolutamente si. Ma dobbiamo ricordarci che l’era della password e finita. E nessuno ha ancora capito cosa prendera il suo posto. Quel che possiamo dire per certo è questo: l’accesso ai nostri dati non può più dipendere da dei segreti; una stringa di caratteri, dieci stringhe di caratteri, la risposta a 50 domande che in teoria conosciamo solo noi. Internet non funziona per segreti. A chiunque bastano pochi clic per sapere tutto. I nuovi sistemi, piuttosto, dovranno basarsi su chi siamo e cosa facciamo: dove andiamo e quando, cosa abbiamo con noi, come ci comportiamo quando arriviamo a destinazione. E ogni account vitale dovrà tener conto di tante informazioni come queste: non solo due, e di certo non solo una. l'ultimo punto è cruciale. E' questo che rende geniale l'autenticazione in due passaggi di google, ma l'azienda di mountain View non ha ancora spinto l'idea abbastanza oltre. Due passaggi dovrebbero essere il minimo. pensateci: quando vedete un uomo per strada e vi dite che forse è un vostro amico, non gli chiedete la carta d'identità. Guardate invece una combinazione di segnali. ha un taglo di capelli nuovo, è quella la sua giacca? Ha la stessa voce? E' in un posto dove lo si trova normalmente? Se molti punti non coincidono, non crederete alla sua carta d'identità; anche se la foto sembrasse vera , dareste semplicemente per scontato che è stata falsificata. E questo, in sostanza, sarà il futuro dell’autenticazione online. Può ben darsi che comprenda delle password, proprio come la carta d’identita del nostro esempio. Ma non sarà più un sistema basato su password, non più di quanto il nostro sistema di identificazione personale si basi su fototessere. E la biometrica? Il suo problema è che i lettori di impronte e scanner dell'iride sono costosi e difettosi, nessuno li usa e, siccome nessuno li usa, non diventano mai piu economici e precisi. Il secondo grosso probleina è anche il tallone d’Achille di ogni sistema a fattore singolo: un’impronta digitale è un dato singolo, e i dati singoli vengono rubati. Dirk Balfanz, un ingegnere programmatore del team di sicurezza Google, osserva che i codici d’accesso e le chiavi si possono sostituire, ma i dati biometrici sono per sempre: «E diflicile farmi fare un nuovo dito se la mia impronta viene rilevata su un bicchiere», scherza. La biometrica non svolgerà un ruolo cruciale nei sistemi di sicurezza del futuro. Qualche giorno fa Google ha annunciato che sta anche prenclendo in considerazione il ricorso a dispositivi di autenticazione, come delle mini chiavi usb da portare sempre con sé. In molti modi, i nostri fornitori di dati impareranno a ragionare un po’ come fanno le società che emettono le carte di credito oggi: monitorare delle abitudini e segnalare delle anomalie, poi bloccare l’attività se questa appare fraudolenta. L’altro aspetto evidente del nostro sistema di password future sono i compromessi, comodità o privacy, che dovremo fare. E' vero che un sistema a più fattori richiederà alcuni piccoli sacrifici in termini di comodità, dovendo passare attraverso più fasi per accedere ai nostri contenuti. Ma richiederà sacrifici ben maggiori in termini di privacy. Il sistema di sicurezza dovra basarsi sulla posizione e sulle abitudini, forse persino sul modo di parlare o sul dna. Dobbiamo fare quel compromesso, e alla fine lo faremo. L’unico progresso possibile è la verifica reale dell’identià: permettere che i nostri movimenti e le nostre misure vengano tracciati in ogni modo possibile e renderli legati alle nostre identità effettive. Non torneremo a tenere le foto e la posta sui dischi fissi. Non ci ritireremo dalla cloud. Ormai è li che viviamo. Per cui ci serve un sistema che faccia uso di quel che la cloud sa già: chi siamo e con chi parliamo, dove andiamo e cosa  facciamo, cosa possediamo e che aspetto abbiamo, cosa diciamo e con quale tono di voce, e forse persino cosa pensiamo. Questo cambiamento richiederà notevoli investimenti e parecchie seccature, e probabilmente insospettirà molto i sostenitori della privacy a ogni costo. Ma le alternative sono il caos e il furto. I tempi sono cambiati. Abbiamo aflidato tutto quel che abbiamo a un sistema sostanzialmente difettoso. Il primo passo é ammetterlo. Il secondo è aggiustarlo.

MATT HONAN - Wired