Crittografia: nel 2017 la useremo sempre più.

Questo è il primo di una serie di articoli dedicati al tema della sicurezza digitale alla luce dei numerosi eventi registrati nel 2016 quali i maxi-furti di account subiti da Yahoo! e tenuti nascosti per anni, con conseguenze inenarrabili per gli utenti, o come i numerosi casi di furti di credenziali di servizi online per la conservazione di documenti. Esamineremo lo scenario attuale e tenteremo di adottare le migliori constromisure per tutelare il nostro lavoro, i nostri ricordi e, soprattutto, noi stessi.

Quanto è sicura la nostra vita in digitale?

[dropcap]“C[/dropcap]rittografia”. Questa sarà la parola che nel corso del 2017 potrebbe capitarvi di sentire sempre più spesso, indipendentemente dal fatto che siate professionisti o meno. Il 2016 verrà ricordato anche come l’anno del crollo della sicurezza online, nella forma di tutti di account e divulgazione di documenti riservati sottratti da server privati o cloud storage che si ritenevano sicuri; abbiamo avuto la dimostrazione che, nel 2016, il concetto di sicurezza, quando riferito alle moderne tecnologie iperconnesse, è estremamente labile.

Non ce ne accorgiamo ma spesso siamo noi stessi ad offrire in pasto ai malintenzionati moderni le chiavi per entrare in possesso di materiali e conversazioni ai quali dovrebbero poter accedere solo gli interlocutori che selezioniamo quotidianamente. Giova ricordarlo: il social engineering è il principale grimaldello per poter schiudere le serrature virtuali altrui e l’essere perennemente presenti sui social media facilita notevolmente il lavoro di chi vorrebbe entrare nei nostri account e vedere se c’è qualcosa di interessante, di remunerativo o, più semplicemente, di pruriginoso. Nel 2016, dunque, siamo andati ben oltre il semplice “se ti registri in un luogo, fai sapere che non sei in casa”: al ladro moderno non serve più lo scasso di uma porta per rubare ciò che vi appartiene: oggi abbiamo l’abitudine di salvare tutto negli smartphone, nei tablet e nei computer, e da lì, nei diversi servizi di cloud storage, come iCloud, Dropbox o Onedrive. Abbiamo tutto nelle nostre tasche ma ciò non equivale ad avere la migliore sicurezza poiché le porte per accedere ai nostri servizi online e dispositivi, sono disseminate ovunque e le chiavi le lasciamo a portata di chiunque. Rubate le chiavi d’accesso, la frittata è fatta e i vostri segreti sono lì, pronti per essere scandagliati e sottratti.

Quello della password sicura, oggi, è un mito ed è stato sfatato ripetutamente nel corso degli ultimi due o tre anni ma con intensità maggiore nel corso del 2016, appunto. Una password può essere sicura solo quando è realmente complessa ma… anche difficilissima da ricordare.

Chi potrebbe mai ricordare a memoria la password “Wx2@LoW#xXy3H@1tT7*Q5”? Password sicura, certo, ma per ricordarla serve uno sforzo mnemonico non indifferente oppure bisogna annotarla da qualche parte e, in tal caso, spesso si finisce riportando la “password sicura” su un foglietto o in un’agendina – i più tecnologici, invece, utilizzeranno servizi di password keeping come LastPass. Il foglio verrà smarrito o dimenticherete il suo nascondiglio, e lo stesso dicasi per l’agendina, mentre i servizi di password keeping come LastPass, con un database online, potrebbero essere “bucati” da hackers per impossessarsi delle credenziali d’accesso salvate nel vostro account (LastPass nel 2015 ha già subito un furto di account, giusto per ricordarlo). Il problema è sempre quello: se qualcuno s’impossessa del portachiavi di casa con appeso il telecomando dell’antifurto, non esiste sistema di sicurezza che tenga e, una volta entrati in casa, i ladri possono impadronirsi di qualsiasi cosa o danneggiare i locali dell’appartamento.

Ora immaginiamo di abitare in un appartamento in cui non esistano mobili ma solo casseforti: ogni cassaforte, più o meno grande che sia, contiene documenti personali o professionali, fotografie della propria famiglia, i foglietti con la password del conto bancario online, progetti industriali ancora top secret, e-mail personali o professionali, estratti conto, eccetera. Supponiamo anche quell’appartamento sia munito di un sistema d’allarme con telecomando e codice segreto, oltre ad avere un unico accesso attraverso un portone blindato con serratura di tipo europeo e finestre con imposte antintrusione. Certo non è il più romantico e accogliente dei luoghi ma se facciamo attenzione, certi posti sono davvero protetti in questo modo – persino con sorveglianza armata! – e così dovremmo proteggere, in realtà, la nostra vita digitale.

Il discorso sin qui affrontato diventa ancor più stringente se pensiamo per un attimo che oggi è molto frequente l’uso di dispositivi mobili – smartphone e tablet, in particolare – per la conservazione di documenti, fotografie, progetti e roba simile. I dispositivi mobili sommano i rischi derivanti dalla perdita di un’agendina (il furto o lo smarrimento) con quelli intrinsecamente legati all’uso delle tecnologie informatiche (furto di credenziali e accesso non autorizzato): se prima avevamo un problema, adesso ne abbiamo due o più.

Vero è che smartphone, tablet e computer dispongono di sistemi operativi in grado di usare file system crittografati, però l’anello debole della catena di sicurezza sta nella miriade di possibilità di impersonare il proprietario e accedervi usando le credenziali d’accesso esatte.

Facciamo un esempio pratico e pure un po’ banale: l’avvocato Rossi chiude lo studio ogni sera alle 20.00, spegne il PC e torna a casa tranquillo poiché usa Windows e ha attivato BitLocker, ritenendo che i suoi file, gran parte legati all’attività professionale, siano al sicuro anche in caso di furto del computer grazie al file system crittografato. Sfortunatamente per lui, il ladro è abbastanza scafato e ha agito in maniera opportuna dopo diverse settimane di social engineering; acceso il computer, BitLocker chiede la password per decifrare il file system e il ladro sa che l’avvocato, fra le centinaia di password possibili, molto probabilmente avrà usato nome e anno di nascita della figlia Maria (es.: maria1988), anch’essa presente su Facebook e abituata a postare le foto dei suoi compleanni in compagnia degli amici. L’ultima foto di questa serie è stata pubblicata nel maggio 2016 e ritraeva una torta con una candelina a forma di numero “28”, pertanto, anche se la figlia non ha inserito la propria data di nascita nel proprio profilo Facebook, basta fare una semplice sottrazione: 2016-28=1988. L’intuizione è giusta e BitLocker sblocca il filesystem, permettendo a Windows 10 di caricare fino alla richiesta di inserimento delle credenziali; nel caso dell’avvocato, Windows 10 è stato impostato per chiedere un pin di 8 cifre. Il ladro sa che anche l’avvocato è solito festeggiare l’anniversario di matrimonio e lo fa postando su Facebook le foto dei luoghi di vacanza in cui si reca annualmente con la moglie. Una foto del 2010 da Vienna riporta l’indicazione “25 anni insieme, auguri amore”. La conferma è fornita dallo stesso stream di Facebook che ad un certo punto, fra gli eventi importanti, indica “15 giugno 1985 – Matrimonio con Giuseppina Verdi”. Vi è una buona possibilità che il pin di Windows 10, quindi, sia “15061985”. Così è e il ladro riesce ad accedere all’account dell’avvocato nel computer trafugato. In quel momento il ladro ha iniziato ad impersonare il legittimo titolare della macchina e gli si è schiuso l’accesso a tutti documenti salvati in quel computer… e non solo! Infatti, l’avvocato salva copie dei propri atti su Dropbox e lo fa usando BoxCrypt, un software che applica la crittografia ai files destinati al salvataggio su cloud. Purtroppo anche quella password cade grazie al social engineering effettuato e il ladro accede anche a quel materiale.

L’avvocato del nostro esempio ha appena messo a rischio il proprio lavoro e i clienti che a lui si affidano.

Nel prossimo articolo inizieremo a valutare le migliori misure di sicurezza per evitare scenari come quello appena descritto.