Lessons Learned from Another Big Breach

Lezioni apprese da un'altra grande violazione

Intervista con Josh Shaul, VP, prodotti per la sicurezza web

Iniziamo con un approfondimento sul problema delle violazioni dei dati dei consumatori.

È un problema enorme. Finora, quest'anno, sono stati rubati più di un miliardo di record, un fenomeno non del tutto nuovo. Negli attacchi di grande entità che fanno notizia, ad esempio quelli che colpiscono retailer in vista, gli hacker molto spesso rubano nomi utente e password. Lo scopo finale è quello di fare soldi, molto spesso acquistando illecitamente merce che poi potrà essere venduta sul mercato nero. E la potenziale frode non interessa solo l'azienda che subisce la violazione: si estende anche ad altre aziende online.

Ecco come accade: gli hacker non rubano le password vere e proprie. Ottengono delle versioni crittografate o in versione hash, rappresentate da una serie di 1 e 0. Non possono risalire alla vera password, ma gli algoritmi di hashing utilizzati dalle organizzazioni per proteggere le proprie password sono ben noti. Pertanto, possono indovinare le password (e anche eventuali altre informazioni aggiunte alla password prima dell'hashing) e applicarvi lo stesso algoritmo, talvolta ottenendo una corrispondenza, ossia la stessa serie di 1 e 0.

Successivamente, sfruttano il fatto che molti di noi riutilizzano gli stessi nomi utente o password nei vari account, magari con qualche leggera variazione. Gli autori degli attacchi iniziano da enormi quantità di nomi utente e password. Vanno da sito a sito, in modo insidioso e distribuito, con l'intenzione di convalidare le credenziali. Visitano il sito di un importante retailer e trovano decine di account che funzionano, per poi visitare il sito di una banca e trovare account funzionanti anche lì. Poi visitano siti di e-commerce e così via.

Queste credenziali convalidate sono preziose. I veri truffatori, di solito altre persone, comprano le credenziali e accedono agli account per fare soldi. Nei casi più dannosi per le persone, i truffatori non accedono soltanto agli account su siti di retail, ma anche a quelli per l'online banking o alle caselle di posta elettronica personali. Gli account della posta elettronica possono essere le chiavi di casa, perché, ad esempio, le password online di vari account in genere vengono reimpostate tramite e-mail.

In breve, questo è un grave problema, perché gli autori degli attacchi e i truffatori sono furbi, subdoli, organizzati e automatizzati. Le grandi violazioni di dati sono la loro materia prima.

Cosa c'è di diverso nella violazione subita da Equifax?

I dati rubati nella violazione ai danni di Equifax possono alimentare la procedura appena descritta, ma si tratta solo dell'inizio del problema. Sono state rubate informazioni strettamente personali: non solo nomi utente e password, ma nomi e indirizzi, date di nascita e, cosa più importante, numeri di previdenza sociale. Con un livello tale di informazioni, i truffatori possono tentare direttamente di registrare nuovi account: un nuovo conto bancario, un nuovo prestito, un nuovo servizio di credito a breve termine, nonché account per l'acquisto di beni e servizi. Esiste la possibilità che si verifichi un'ondata di furti di identità mai vista prima d'ora.

La violazione grave più simile è stata probabilmente quella subita dall'OPM (Office of Personnel Management) qualche anno fa. Sono state rubate le informazioni personali di 21,5 milioni di dipendenti e appaltatori del governo. È interessante notare che non sappiamo molto sulla portata del conseguente furto di identità. Non disponiamo di statistiche in merito perché è il tipo di cose che le organizzazioni compromesse non sono tenute a rendere pubbliche. Ma molti degli individui interessati probabilmente si sono iscritti a servizi di monitoraggio del credito, come Equifax, per ridurre i propri rischi. Molte, adesso, potrebbero aver rivissuto l'esperienza e aver subito nuovi furti di dati.

Quali sono le implicazioni sulle aziende?

Tutte le organizzazioni che servono clienti online desiderano proteggerli ed evitare di diventare complici, seppure inconsapevoli, di transazioni fraudolente. Queste transazioni hanno costi diretti in termini di beni, servizi e soldi rubati, più i costi amministrativi spesi per esaminare i danni e ripristinare gli account dei clienti. L'esposizione finanziaria è enorme.

Dopo la violazione subita da Equifax, le aziende devono affrontare nuovi problemi di sicurezza, nello specifico il furto di identità. Come potete proteggere la vostra azienda e i clienti quando le loro informazioni personali non restano più private? E quando i punti di dati utilizzati per convalidare le identità dei clienti vengono scoperti dai criminali?

I truffatori possono scrivere software che tentano di aprire milioni di nuovi account in migliaia di aziende diverse. Anche se solo una piccola percentuale vi riesce, i soldi rubati sono comunque molti. Possono anche tentare di aprire o modificare gli account alla vecchia maniera, ossia telefonando al call center di un'azienda e fornendo tutte le informazioni giuste. Questo è un problema ancora più difficile da risolvere e richiede un'autenticazione maggiore, ma è anche un approccio molto più costoso per gli autori degli attacchi. Tuttavia, laddove il profitto sembra abbastanza alto, si prenderanno volentieri il disturbo di mettere al telefono persone che sembrano essere i veri proprietari degli account. Quanti membri del team di assistenza clienti riconoscono i piccoli dettagli che fanno capire che stanno parlando con un truffatore? È mai stato chiesto loro anche solo di pensarci?

I CEO e i CIO nelle organizzazioni che forniscono servizi basati su Internet e si servono delle finanze delle persone hanno realmente necessità di pensare bene a come garantire che i dati trapelati non vengano utilizzati per trasformare le proprie organizzazioni in veicoli per il furto di identità, generando prestiti, offrendo vantaggi o rimborsi fiscali, o vendendo prodotti a persone non idonee.

Cosa dovrebbero fare le aziende per proteggere sé e i propri clienti?

Dalla violazione subita da Equifax, tutte le aziende online consumer-facing devono essere più sospettose nei confronti di nuovi account e verso le modifiche apportate agli account e alle password, persino quelle avviate da persone tramite telefono. È necessario predisporre nuovi passaggi di autenticazione e i consumatori intelligenti li vedranno più come una precauzione che come un inconveniente.

La maggior parte delle aziende dovrebbe saper riconoscere meglio quando sta subendo un attacco da parte di hacker che tentano di indovinare nomi utente e password. Persino su piccola scala, potrete notarli se sapete cosa cercare. Dovrebbero migliorare anche nella distinzione tra utenti umani e robot. L'errore di accesso è una digitazione errata o è il tentativo effettuato da un bot? L'entità che registra un nuovo account online è una persona reale oppure un bot che dispone delle informazioni personali rubate a qualcuno?

Se è un bot, si sta comportando correttamente? Ci sono dei bot vantaggiosi per il vostro sito web. Ad esempio, i clienti usano Mint o Yodlee come aggregatori di informazioni finanziarie e concedono a questi servizi il permesso di accedere ai propri account. E se il bot non si comporta correttamente, potete metterlo rapidamente alla porta o condurlo in un labirinto nel quale si confonde, per permettere al vostro personale addetto alla sicurezza di effettuare una diagnosi sul problema in corso?

Fondamentalmente, molte aziende hanno bisogno di un livello extra di sicurezza per i propri ambienti online. Questa copertura non deve sapere quali sono tutte le vostre risorse. Dev'essere approfondita nel controllare chi arriva al vostro indirizzo e nel riconoscere le minacce più recenti.

Tutto questo non fa parte della storia che di solito viene raccontata, ma è estremamente importante. Equifax ha detto pubblicamente che ha trovato una vulnerabilità nei propri sistemi. Pensava di aver installato la patch su tutti i sistemi che presentavano tale vulnerabilità, ma glien'è sfuggita una. Non è bastato che questo. Gli autori degli attacchi l'hanno poi scoperta e sfruttata.

La morale è che, anche quando mantenete un approccio diligente, identificando i sistemi vulnerabili e risolvendo il problema il prima possibile, vi sfugge qualcosa. Resta un margine di errore. Potrebbero esserci sistemi vulnerabili nella vostra rete, non presenti nel vostro elenco, di cui non conoscete nemmeno l'esistenza. E l'installazione di patch non è istantanea: potrebbero volerci minuti o persino giorni per implementare il software. Gli autori degli attacchi restano all'erta rispetto alle vulnerabilità più recenti e potrebbero insinuarsi mentre state ancora installando le patch.

In tutti questi casi, un secondo livello di sicurezza offre l'ulteriore sicurezza che, se vi sfugge qualcosa, sarete comunque protetti. Equifax pensava di aver risolto il problema, ma aveva torto.

Quali altri tipi di organizzazioni sono possibili obiettivi di attacchi finalizzati al furto di dati dei clienti?

Prima di tutto, nessuna organizzazione è immune da attacchi informatici, per cui tutti quelli che fanno affari online e memorizzano i dati dei clienti sono vulnerabili. I cyber criminali vorrebbero andare dove ci sono tanti dati potenzialmente preziosi, come ad esempio gli uffici di credito, le maggiori società di carte di credito e aziende come LifeLock, l'azienda di protezione da furti di identità largamente pubblicizzata, che ha visto un aumento di clienti a seguito delle violazioni recenti. Equifax ha subito una violazione, anche se in genere si spera che questo tipo di organizzazioni usi una sicurezza di tipo "militare".

Anche i cyber criminali, come i proverbiali rapinatori di banche, vorrebbero andare dove si trovano i soldi, ma i principali istituti di servizi finanziari investono tanti soldi per mantenere quel grado di sicurezza di tipo militare. Proteggono le loro risorse, le attività, i clienti aziendali ad alto valore e quelli singoli. I clienti abituali nel settore retail traggono vantaggio dal livello di sicurezza implementato.

Quelle più vulnerabili sono le aziende come i grandi retailer che hanno tanti dati dei consumatori, ma non abbastanza margini di profitto e fondi (o forse non abbastanza motivazione) per realizzare il livello di protezione che potrebbero. Non c'è nessuna corrispondenza tra il valore dei dati da proteggere e la sicurezza che possono permettersi. Queste organizzazioni dovrebbero rivalutare il loro approccio alla sicurezza e le strategie, alla luce della violazione subita da Equifax, considerando anche la quantità di dati già compromessi, relativi ai clienti.

Dal punto di vista governativo, l'IRS probabilmente è l'obiettivo maggiore. Hanno le informazioni di tutti e dispongono quasi di tutte le informazioni che potrebbe desiderare un truffatore. Hanno una sicurezza molto solida, naturalmente, sia per proteggere i dati che per rilevare i furti di identità. Ma non sono state perfette. Le agenzie che elargiscono benefici, come Medicare, sembrano essere migliori nel proteggere i dati che non a prevenire le frodi, ma la loro sfida è complessa per il fatto che le domande fraudolente possono assumere varie forme.

Un settore in una posizione difficile è la sanità. I fornitori di assistenza sanitaria e di scambio di informazioni sanitarie hanno un'enorme quantità di dati personali della gente oltre alle informazioni cliniche contenute nelle cartelle cliniche elettroniche. In merito alla protezione dei dati personali dei pazienti, l'HIPAA (Health Insurance Portability and Accountability Act) esercita su di esse una grande pressione. Ma hanno anche una tensione tra le voci di spesa cliniche e quelle afferenti ad altre necessità. I medici e i fornitori di assistenza sanitaria si concentrano sui risultati dei pazienti: è così che sono collegati. Perciò, preferiscono investire sulla tecnologia clinica piuttosto che sui sistemi informativi o sulle tecnologie di sicurezza. Ho avuto un'interessante conversazione con il CIO di un grande centro medico, che ha detto "La mia più grande preoccupazione è che qualcuno venga qui malato, se ne vada sano, ma poi resti deluso per essere venuto qui, per ciò che è successo ai suoi dati".

Avete parlato dei crimini informatici come di un business.

È esattamente ciò che sono: un grande business, con diversi modelli aziendali. Alcuni crimini informatici, come molti attacchi sostenuti dai governi, equivalgono allo spionaggio industriale. Gli autori degli attacchi desiderano rubare dati tecnici, segreti commerciali e altre informazioni proprietarie di aziende e agenzie governative. Attacchi molto diversi mirano ad arrestare le attività aziendali bloccando server, reti e siti web. Questo è, spesso, il lavoro di "hactivisti" o utenti arrabbiati.

I crimini informatici dei quali stiamo parlando oggi, che iniziano con il furto di dati relativi a un numero elevato di singoli utenti, probabilmente mirano tutti a fare soldi. Il pericolo per le attività e la reputazione delle aziende compromesse sono gli effetti secondari. Questa versione del business del crimine informatico ha dei mercati e una catena di fornitura tutti propri:
  • Gli hacker trovano e sfruttano le vulnerabilità all'interno dei sistemi aziendali, per rubare e vendere grandi quantità di dati personali.
  • Gli intermediari comprano i dati all'ingrosso e mettono a lavorare le persone e il software per testare e convalidare le credenziali dei consumatori oppure completare i dati necessari ai furti di identità. In sostanza, raccolgono e aggiungono valore ai dati.
  • I truffatori specializzati comprano questi dati convalidati e li monetizzano tramite vari canali del furto organizzato, frodi finanziarie o assegni statali e frodi fiscali.
La catena di fornitura è sostenuta da un intero ecosistema, compresi gli sviluppatori software che noleggiano gli strumenti del mestiere e la forza lavoro degli hacker. Esistono servizi per trasformare i dati e i servizi rubati in soldi e per nascondere le attività degli hacker. E questo ecosistema ha come valuta preferita i bitcoin.

Tenete presente anche che il crimine informatico è un business che viene condotto 24 ore su 24, 7 giorni su 7. Gli hacker lavorano costantemente, ma secondo due tempi diversi. Prendono di mira aziende specifiche e tentano di sfruttare le vulnerabilità appena scoperte prima dell'applicazione delle patch. Gli hacker sono "pescatori subacquei" che cercano il pesce più grosso. Ma lavorano con costanza anche in background, lanciando un'ampia rete e aspettando con pazienza che un pesce arrivi in superficie, come le vulnerabilità vecchie, completamente senza patch.

Questo potrebbe essere il punto più importante per i CEO, i CIO e i CSO, e i dirigenti aziendali, in generale successivamente alla violazione subita da Equifax: imparate a conoscere il vostro nemico. Non avete a che fare con hacker isolati, ma con cyber criminali ben organizzati e pieni di risorse. Si occupano di truffare le persone e le organizzazioni che forniscono loro servizi. E si tratta di un settore in crescita. Non sottovalutate la loro capacità, risorse o immaginazione nel dove, quando e come rubare dati preziosi.

Related CIO Content