L’autenticazione a doppio fattore è certamente uno dei sistemi più validi che abbiamo a disposizione per rendere sicuri tutti i trasferimenti di dati che avvengono tramite un’interfaccia web (ma non solo), grazie al fatto che oltre alla comune login e password ci troviamo affiancati, solitamente, da un codice alfanumerico randomico che eleva notevolmente la sicurezza complessiva.
Sostanzialmente ogni “sessione” sulla quale agiamo ha delle credenziali di accesso sempre differenti, che vengono veicolate con metodi diversi: si va dall’sms che contiene questo codice fino ad arrivare ai dispositivi fisici, gli HST (Hardware Security Token), che solitamente ci vengono forniti dalla nostra banca di fiducia e che quasi tutti abbiamo sempre nel taschino.
Più precisamente si parla di OTP (One Time Password), ossia di stringhe di caratteri casuali che generano una password utilizzabile solo una volta e valida solo per uno scopo specifico. Come abbiamo detto questo metodo di autenticazione, usato anche (dove si necessita di livelli di sicurezza particolarmente elevati) per l’accesso a dispositivi fisici come il comune PC dell’ufficio, è molto diffuso e considerato sufficientemente solido da essere parte integrante dei meccanismi insiti nelle organizzazioni militari di tutto il mondo. Non fa piacere sapere quindi che una delle aziende, RSA, che maggiormente opera in questo settore è stata vittima nei mesi scorsi di un attacco molto sofisticato che ne ha minato la sicurezza, specialmente di tutti gli importanti clienti (tra cui l’esercito USA) forniti da questa società.
Ma andiamo con ordine: verso la metà di Marzo il presidente esecutivo di RSA, Mr. Coviello, annuncia al mondo che i loro server sono stati vittima di un attacco, che potrebbe aver compromesso i token di autenticazione che normalmente vengono utilizzati per l’autenticazione a doppio fattore, ma precisa che in ogni caso grazie al tempestivo intervento dei tecnici di sicurezza ci sarebbe stato poco di cui preoccuparsi, perché difficilmente le informazioni sottratte sarebbero state utili a compromettere nella sostanza il meccanismo.
Molti esperti del settore si mettono però subito in allerta, anche perché a causa delle scarse informazioni rilasciate non è stato possibile farsi un’idea precisa di quanto grave potesse essere il problema. Passa meno di un mese e cominciano a spuntare, sempre per bocca di Coviello, le prime succulente informazioni sulla dinamica del sofisticato attacco ai super segreti custoditi nei server di RSA. E’ curiosa la minuziosità con il quale l’attacco è stato realizzato: tutto è iniziato con un “innocuo” e limitato phishing verso alcuni dipendenti considerati di basso livello, ai quali è stato recapitato, ovviamente via email, un file di Excel contenente un trojan il quale, grazie allo sfruttamento di una falla in Flash, è riuscito ad installarsi sui PC ospiti e creare quindi un piccola botnet all’interno della rete aziendale.
Da qui in poi, analizzando le attività di queste macchine, i crackers sono riusciti a risalire la china fino a raggiungere account di importanza sempre maggiore, riuscendo a sottrare documentazione varia ed a caricarla via FTP sui propri server. Benché RSA non abbia voluto riferire altri dettagli, specialmente quelli più tecnici sul “cosa” sia stato effettivamente rubato, è chiaro che le informazioni sottratte siano stati tali da mettere tutti in allarme.
Ed infatti passato poco meno di un paio di mesi (siamo sul finire di Maggio), Lockheed Martin, importante azienda statunitense che ha appalti miliardari con il ministero della difesa USA, per la quale produce tante cosette molto delicate (navi da guerra, aerei, sistemi balistici, missili e tanti altri armamentari vari), informa di essere stata vittima di un pericoloso, ma pare sventato per tempo, attacco informatico. Dalle prime indagini risulta che il gruppo di crackers responsabile dell’attacco, ha violato i sistemi di sicurezza dell’azienda utilizzando alcuni duplicati dei token RSA utilizzati per l’autenticazione: sarà forse che il furto di Marzo sia servito a penetrare server nei quali sono custoditi segreti militari di una certa rilevanza?
Quello che poteva sembrare solo un dubbio è diventato certezza nei giorni successivi, quando Coviello ha annunciato di aver offerto la possibilità di sostituire i token di oltre 40 milioni di clienti potenzialmente compromessi dall’attacco alla loro rete. Un comportamento del genere, benché encomiabile, è l’ammissione di una grave colpa commessa da RSA: può una società di così importanza, al punto da essere responsabile di buona parte delle procedure di sicurezza mondiali, cadere vittima di un attacco di questo genere? Certamente i crackers sono stati estremamente bravi a realizzare un attacco silenzioso e paziente (alla Splinter Cell!), ma i risvolti di questo brutto fatto potrebbero essere molto più pericolosi: cosa ci vieta di pensare che siano stati sottratti importanti progetti di armi, magari rivendute al miglior offerente?
Inoltre, il cauto ottimismo di Coviello da un lato, e la fretta nel sostituire i token dall’altra non fanno altro che alimentare le perplessità di molti esperti del settore, anche alla luce del fatto che tra i partner di RSA ci sono migliaia di aziende con business praticamente in tutto il globo, e con ripercussioni sulla sicurezza di ognuno di noi. E’ chiaro che la sicurezza informatica non stia vivendo un buon inizio di anno, e dico questo anche ricollegandomi alle questioni legate a Sony o, giusto per citarne uno, a cosa ha combinato anche qui in Italia il gruppo Anonymous.
Ancora più grave è la notizia, freschissima, che ci informa di un poderoso attacco verso l’FMI, ossia il Fondo Monetario Internazionale, dal quale è possibile che siano stati rubati dati sensibilissimi sui conti dei vari Paesi europei e mondiali, informazioni così riservate e cruciali in molti settori che se l’attacco, come verrà verificato nei prossimi giorni dall’FBI, avrà avuto esito positivo, potrà esporre l’intera economia planetaria in serio pericolo. Dalle prime indagini e dalle modalità adottate (pishing più malware), sembra proprio che ci possa essere un collegamento molto forte con il furto dei token RSA.
Forse siamo di fronte alla necessità di effettuare un grosso step in avanti, sia in termini tecnologici che in termini di formazione degli utenti. Oramai le certezze che fino a qualche anno fa avevamo non sono più solide, non solo per il continuo riversare sulla rete sempre più informazioni, ma anche perché siamo giunti ad un punto in cui una GPU da poche centinaia di euro può permettersi di bucare la nostra password della rete wi-fi o può sottrarci le credenziali di accesso alla nostra banca, il tutto nel giro di pochi minuti! Le precauzioni che siamo abituati a prendere cominciano a vacillare, anche perché la tecnologia, ma anche la preziosità del “bottino” da rubare, corre ad un velocità molto maggiore di quella umanamente concepibile.
Siamo quindi di fronte ad uno scenario da film hollywoodiano, in cui i cattivoni hanno rubato i codici segreti per lanciare testate atomiche sul paese “antipatico” di turno e scatenare la terza guerra mondiale? O forse c’è un Sam Fisher che segretamente ci salva dalla cyber war ogni giorno, aggirandosi per la città con il suo inconfondibile visore notturno? E’ questa un’escalation di qualche “signore” del terrore che vuole tenere in pugno le sorti politiche del pianeta?
Una sola cosa è certa: in un mondo in cui non possiamo fidarci di nessuno, la sicurezza è solo una parola senza alcuna rilevanza e sostanza materiale nel mondo reale.