Cyber crime: rubati nel mondo 1.2 miliardi di login e password

di |

Un gruppo di cybercriminali russi ha rubato 1.2 miliardi di username e password da 420 mila siti web. Le violazioni riguardano sia siti di grandi aziende , sia altri molto piccoli, alcuni dei quali non sono stati ancora identificati e risultano quindi vulnerabili agli attacchi.

Probabilmente i cybercriminali sono riusciti ad ottenere questi dettagli utilizzando reti botnet per sondare la vulnerabilità dei siti web: quando uno dei computer infettati accede a un sito web, gli aggressori forzano il computer ad effettuare un attacco SQL injection sul sito per verificare se vi siano vulnerabilità. Se il sito è vulnerabile, gli aggressori lo registrano e ritornano in un secondo momento per rubare informazioni dal database del sito.

Da quanto risulta i ricercatori Symantec, gli aggressori non hanno venduto molti dei dettagli rubati online, utilizzando invece le informazioni per inviare messaggi di spam sui social network. Tuttavia, queste informazioni potrebbero essere ancora di grande valore per altri cyber criminali. Se l’utente ha utilizzato le proprie password per altri servizi online, gli aggressori potrebbero infatti usare le informazioni per compromettere altri account ed ottenere ulteriori informazioni sensibili sulla vittima.

Il problema con le password

Questo incidente, spiega ancora un comunicato dell’internet security company, mostra ancora una volta quanto sia debole l’attuale sistema di password. È molto diffuso riutilizzare le stesse password su diversi siti web o creare password facili da indovinare. Di conseguenza, se un aggressore riesce ad ottenere l’accesso alle credenziali di login dell’utente tramite la violazione di un sito web, potrebbe potenzialmente utilizzare i dettagli per ottenere accesso anche ad  altri account online.

Spesso anche l’avvertimento delle vulnerabilità dei siti non è sufficiente a convincere la maggior parte degli utenti a cambiare le proprie password.

Un recente rapporto del Pew Research Center ha rilevato che meno di quattro persone su dieci che erano a conoscenza della vulnerabilità Heartbleed ha cambiato le proprie password!.

Piuttosto che biasimare l’utente, può essere utile trovare nuovi modi per autenticare i servizi online; e considerando quanto velocemente si stanno evolvendo i consumatori e la tecnologia delle imprese negli ultimi anni, ora potrebbe essere il momento perfetto per agire.

Autenticazione mobile

La proliferazione degli smartphone ha contribuito ad aumentare la popolarità dell’autenticazione a due fattori, che consente di ricevere un secondo codice di autenticazione temporaneo tramite una mail, un SMS o un app mobile. Questo significa che anche se la password di un utente è compromessa, un aggressore avrebbe ancora bisogno di ottenere l’accesso al secondo metodo di autenticazione.

Il prossimo passo per un accesso in sicurezza appare essere l’autenticazione biometrica. Mentre questa tecnologia esiste già da tempo, Apple l’ha fatta conoscere al grande pubblico introducendo un sensore di impronte digitali sul suo iPhone 5S lo scorso anno. Gli utenti possono sbloccare il proprio telefono o autenticare gli acquisti iTunes usando la propria impronta digitale.

Gli altri produttori di smartphone hanno implementato questa caratteristica sui propri device e in giugno, Apple ha ampliato la funzionalità a tutte le applicazioni, consentendo alla tecnologia di diffondersi ulteriormente.

Ma l’autenticazione biometrica sugli smarthpone non riguarda più solo le impronte digitali: sembra che Samsung stia cercando di produrre device che rilevano le iridi degli utenti per identificarli.

 

Il futuro dell’autenticazione

L’autenticazione non si ferma qui, in quanto i ricercatori sono continuamente alla ricerca di nuove modalità per rivoluzionare il sistema. Lo scorso anno Regina Dugan, Head of the Advanced Technology and Projects Group di Google, ha proposto che un tatuaggio o una pillola ingerita potrebbero autenticare l’utente. L’utente avrebbe solo bisogno di toccare il dispositivo – o addirittura la propria automobile o la porta di casa – per sbloccarlo.

Una società separata dalla Oxford University sta anche lavorando su un nuovo sistema di autenticazione. Il sistema di Oxford BioChronometric registra molti dei numerosi comportamenti l’utente esegue quando interagisce con il proprio dispositivo. Questo potrebbe includere come l’utente inclina il proprio telefono quando digita, la propria velocità di scorrimento, i movimenti del proprio mouse e altro ancora. Il sistema combina queste informazioni per recuperare gli “Attributi Naturali Definiti elettronicamente (eDNA)” di un utente, che vengono poi utilizzati per autenticare l’utente stesso.

Frank Stajano, scienziato della Cambridge University, crede di avere un’altra risposta al problema della password nella forma di un aura elettronica. In questo sistema, l’utente indossa un accessorio o ha un impianto sotto la pelle che genera un’aura elettronicache si estenderebbe a una piccola area intorno al corpo della persona permettendogli di interagire solamente con i dispositivi che gli appartengono: una persona potrebbe aprire la propria macchina con un portachiavi, solo se questo fosse presente all’interno del campo. Stajano sta anche lavorando ad un dispositivo chiamato Pico che memorizza numerose password diverse per vari servizi online e anche in questo caso potrebbe funzionare solamente entro una area specifica intorno all’utente.

Protezione delle tue informazioni

Potrebbe passare un po’ di tempo prima che questi ambiziosi progetti di autenticazione diventino realtà, concludono i ricercatori Symantec. Per adesso, l’azienda di internet security consiglia agli utenti di salvaguardare le proprie informazioni online dagli aggressori nei seguenti modi:

  • Usare sempre password forti e non riutilizzarle mai in altri siti web
  • Abilitare l’autenticazione a due fattori sui siti web che la forniscono. Il Validation and ID Protection (VIP) Service di Symantec consente alle aziende di implementare sia l’autenticazione a due fattori sia l’autenticazione token-less basata sul rischio.

Considerare l’utilizzo di un gestore di password, come Norton Identity Safe, che memorizza in sicurezza password diverse per i servizi online.