Imparare da Ashley Madison: no security, no (more) party
Il data breach di Ashley Madison evidenzia le vulnerabilità della sicurezza informatica e della privacy online. L’attacco, apparentemente banale, rivela lacune nella protezione dei dati e nella consapevolezza degli utenti. Le conseguenze si estendono oltre il sito, coinvolgendo altre piattaforme e organizzazioni. Emerge la necessità di migliorare le misure di sicurezza, formare gli utenti e implementare strategie di risk management. Le aziende devono valutare l’impatto di tali violazioni e adottare contromisure efficaci per proteggere dati sensibili e reputazione aziendale.
Attacco al sito Ashley Madison: un caso emblematico di vulnerabilità digitale
L’eco mediatica che ha accompagnato la violazione del sito d’incontri extraconiugali Ashley Madison, con la relativa diffusione dei dati personali di milioni di utenti e di molte informazioni riservate dell’azienda, non deve trarre in inganno. Si è trattato infatti di un attacco in sé banale, che non presupponeva particolari competenze da parte degli attaccanti. Tuttavia, proprio per tale ragione la vicenda è più che mai meritevole di attenzione.
Per quanto la stampa generalista non abbia dato loro l’enfasi che avrebbero meritato, negli ultimi anni si sono verificati attacchi molto più gravi e sofisticati, sia in termini di impatti immediati che di conseguenze a lungo termine. Tra questi possiamo citare, a titolo meramente esemplificativo, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
Data Breach: la nuova normalità nella sicurezza online
L’attacco subito da Ashley Madison e, per suo tramite, dai suoi utenti non rappresenta affatto un incidente eccezionale nel panorama odierno, quanto piuttosto la regola di ciò che oggi può accadere a qualsiasi organizzazione, qualora non siano applicate misure basilari di contenimento del rischio e di miglioramento della sicurezza. Non sono necessari gruppi di hacker governativi o gang dedite al cybercrime organizzato per provocare un incidente di questo tipo: sono sufficienti un dipendente scontento, o un adolescente annoiato con un computer connesso ad Internet.
Fatta questa doverosa premessa proviamo a svolgere qualche considerazione su cosa sia andato storto, e perché.
Vulnerabilità della piattaforma: architettura e sicurezza di Ashley Madison
Date la sua natura particolare e le modalità standard di funzionamento (dal punto di vista dell’architettura, dei processi, delle configurazioni e delle tecnologie), la piattaforma di Ashley Madison sembra costruita apposta per essere attaccata con successo. Ogni singolo aspetto del sito mostra una sistematica disattenzione per la privacy dei propri utenti e per la sicurezza del servizio stesso.
Il servizio offerto da Ashley Madison è stato progettato e implementato come moltissimi altri (la maggior parte dei quali sono usati da migliaia o milioni di utenti, sia privati cittadini che aziende), seguendo una logica obsoleta di sviluppo e di esercizio che ignora l’Information Security, o comunque la colloca all’ultimo posto tra le priorità, e prescinde da qualsiasi seria considerazione di Risk Management, il che, nello scenario odierno, è diventato semplicemente insostenibile.
Gli errori nel caso di Ashley Madison sono stati molti: la progettazione della web application presenta delle debolezze intrinseche (per esempio è ancora possibile scoprire se un certo indirizzo email è stato usato per registrarsi al sito, semplicemente chiedendo un reset della password per quell’account), i dati degli utenti sono stati memorizzati in chiaro e non sono stati anonimizzati e, soprattutto, sono state conservate per anni una quantità di informazioni assolutamente non necessarie, il che ha aggravato notevolmente l’impatto del data breach.
Fino ad arrivare alla pratica (piuttosto discutibile) di chiedere denaro per eliminare permanentemente i dati degli utenti che decidessero di terminare il servizio, senza in realtà cancellare alcunché. È giunto il momento di rendersi conto che qualsiasi business online, fondato su queste premesse, è destinato certamente a subire dei danni e, nei casi peggiori, a ricevere un colpo fatale.
Comportamento degli utenti: mancanza di consapevolezza e sicurezza online
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti si evidenzia una impressionante mancanza di awareness da parte degli utenti di Ashley Madison. L’analisi della frequenza delle password utilizzate è impietosa. Le prime dieci password per diffusione (su un campione statistico decisamente significativo di milioni di account) sono di una ovvietà sconcertante. Inoltre moltissimi utenti si sono iscritti usando la propria email aziendale, anche nel caso di organizzazioni governative, forze dell’ordine, eccetera, oppure indirizzi email personali utilizzati anche per molti altri servizi. A queste informazioni nel database sottratto ad Ashley Madison si aggiungono quelle relative ai gusti sessuali, all’età, alla posizione geografica e i dati delle carte di credito delle vittime.
Ancora nel 2015 gli utenti di servizi online faticano a rendersi conto che grazie a queste informazioni è possibile impersonarli e rubarne l’identità, frodarli, ricattarli, danneggiarne l’immagine e influire negativamente sulle loro vite in molti modi (pensiamo a quanti avranno ripercussioni nella vita personale o lavorativa, anche ad anni di distanza) e continuano a fornirle con leggerezza, senza preoccuparsene finché non vengono coinvolti da simili incidenti.
Ma le conseguenze di un data breach vanno oltre il singolo episodio: nei giorni successivi alla diffusione dei dati sottratti si è assistito a un’inevitabile ondata di phishing e di tentativi di estorsione ai danni degli utenti. Inoltre sono stati compromessi anche molti account delle vittime su altre piattaforme (altri siti, webmail, social network), semplicemente utilizzando la stessa coppia “email-password” che gli utenti utilizzavano su Ashley Madison…
Il che ha inevitabilmente amplificato i danni, in alcuni casi in modo significativo, estendendoli anche a soggetti terzi rispetto alle vittime dell’attacco originario (si pensi, per esempio, alle famiglie o alle aziende degli utenti del sito, che hanno subito furti di denaro o di informazioni, a cascata).
Risulta evidente che la formazione degli utenti sia oggi la prima e più importante contromisura e che questa formazione non possa più essere “di facciata”. Né possiamo ancora permetterci di considerare gli utenti degli irresponsabili, come bambini che non sanno quello che fanno – in casi del genere si dovranno anche prospettare concrete sanzioni per negligenza e violazione delle policy aziendali. Sempre che queste policy esistano e che si disponga degli strumenti per verificarne l’applicazione, naturalmente.
Strategie di prevenzione: misure di sicurezza per organizzazioni e aziende
Nonostante l’attacco in questione sia finito su tutti i giornali per la sua natura “pruriginosa”, quasi nessuna organizzazione italiana si è preoccupata di verificare la presenza di propri indirizzi email nel dump di Ashley Madison e, contestualmente, di valutarne gli impatti per il proprio rischio, nonostante sia ormai evidente che in un mondo totalmente interconnesso ogni fenomeno di questo tipo possa avere conseguenze ben al di fuori del suo ambito originario e coinvolgere dunque chiunque.
Le domande cruciali che un CISO dovrebbe porsi di fronte a data breach di questo genere potrebbero forse essere: è una violazione delle nostre policy? L’immagine aziendale è a rischio? Le relazioni con i nostri clienti / partner / investitori possono essere a rischio (magari perché qualcuno ha usato le stesse credenziali di Ashley Madison su un loro sistema)? Possiamo subire conseguenze legali? Il nostro HR ha svolto le verifiche del caso? Le nostre contromisure rispetto a potenziali frodi, attacchi ed estorsioni derivanti dall’attacco sono efficaci (se esistono)?
Nel caso in cui le risposte non siano soddisfacenti si dovrà ingaggiare il proprio Board su queste tematiche, assicurandosi che i nuovi scenari di rischio siano compresi e indirizzati subito, da tutta l’organizzazione, ciascuno per la propria quota di responsabilità e senza perdere ulteriore tempo.
A cura di Andrea Zapparoli Manzoni, Head of Cyber Security – KPMG Advisory S.p.A.
Articolo pubblicato sulla rivista ICT Security – Settembre 2015