data protection

Operazione Data Room, come proteggere i dati da call center compiacenti con hacker?

di Antonio Seveso, Ianum |

Oggi strumenti all’avanguardia sono protezioni a due fattori o, ancora meglio, strumenti di accesso con certificati o chiavi asimmetriche.

È notizia di alcuni giorni fa che grazie all’operazione denominata Data Room, la Polizia Postale è riuscita a sgominare una vera e propria banda di trafficanti di dati personali. Non è uno scherzo in quanto, sempre più negli ultimi anni, il traffico illecito di dati personali ha decuplicato il proprio valore. Per riassumere brevemente la vicenda, un gruppo di cyber criminali era riuscito ad accedere alla banca dati di Tim per portare fuori dei dati che rivendeva a dei call center compiacenti. Valore di mercato? Decine di migliaia di euro al mese, quasi un euro per ogni dato esportato.

Non hacker incappucciati


Quando leggiamo notizie come questa ci immaginiamo hacker incappucciati nascosti dietro ad uno schermo che scrivono righe di codice su una finestra a sfondo nero e con i caratteri verdi. Invece, se si vanno a leggere i dettagli dell’inchiesta, si capisce come questa frode sia stata portata avanti da persone all’apparenza comuni, che erano riusciti ad installare un piccolo tool di automazione per l’esportazione dei dati. Un programmino che qualsiasi programmatore informatico un minimo esperto saprebbe creare in poco tempo.

Tim scopre la truffa solo dopo 1 anno


La vulnerabilità? Essere riusciti a carpire le credenziali di accesso al database di ignari (e innocenti) dipendenti Tim. Se si prosegue a leggere la vicenda, si scopre come Tim sia riuscita a scoprire la truffa, dopo quasi un anno che andava avanti, notando nei sistemi di tracciamento degli accessi delle attività sospette, prontamente segnalate alla polizia postale, che ha così potuto mettere delle trappole e beccare i ladri con le mani nella marmellata.

Si protegge tantissimo il dato stesso, dimenticando di proteggerne l’accesso


È proprio su quest’ultimo punto che vorrei soffermare il racconto: “dopo più di un anno, analizzando accessi anomali”. Spesso, infatti, chi si occupa di progettazione di sistemi informatici dà molta enfasi alla protezione dei dati. Troppo spesso però, in buona fede, lo fa in maniera errata. Si tende, infatti, a proteggere tantissimo il dato stesso, dimenticando di proteggerne l’accesso.

Un edificio con pareti d’acciaio, ma con una porta di legno?


Per spiegare questo ultimo concetto, faccio un semplice esempio. Un database è come un edificio pieno di oggetti preziosi. Il progettista crea questo edificio con pareti d’acciaio, fondamenta in platino, materiali resistenti ai bombardamenti aerei, capacità di funzionare anche durante un assedio. Poi però, per permettere ai legittimi proprietari di entrare, mette una bella porta di legno con una semplice serratura. Nessun controllo, nessuna guardiola. Così che non servirà bombardare l’ufficio o scavare tunnel, basterà semplicemente fare una copia della chiave, sottratta magari a qualche dipendente distratto, per poter accedervi.

Allora come proteggere i dati? Accesso con certificati o chiavi asimmetriche


Le password, ovvero la nostra porta con serratura semplice nell’esempio di prima, sono sistemi di protezione obsoleti e inadatti. Oggi strumenti all’avanguardia sono protezioni a due fattori o, ancora meglio, strumenti di accesso con certificati o chiavi asimmetriche. 

I sistemi a due fattori di sicurezza


I sistemi a due fattori di sicurezza sono tipo quelli delle banche, dove viene richiesto un secondo codice assieme alla password, quasi sempre generato da un dispositivo o inviato per SMS. Più sicuri, ma spesso non usati perché scomodi. Più comodi, invece, sono sistemi (tipicamente App installate sul cellulare) che conservano delle chiavi asimmetriche per effettuare delle firme crittografiche e garantire che io sono io.


Il bello di questi sistemi è che, mentre le password devono essere inviate al server, le chiavi asimmetriche non lasciano mai il dispositivo. Grazie a dei complessi (ma veloci) algoritmi crittografici, le chiavi restano sempre nel proprio dispositivo e solo le firme, che variano nel tempo, vengono inviate. Se mi dovesse essere “rubata” la firma, quella varrebbe per pochissimi secondi, a volte anche meno, e poi sarebbe carta straccia. E per generarne una seconda valida, servirebbe sempre la mia chiave, saldamente custodita nel mio cellulare e a cui è impossibile risalire, se non con decenni di calcoli effettuati da computer di ultima generazione. 


Questo è, ad esempio, il sistema di autenticazione sicura utilizzato da Ianum, start up che si occupa di protezione degli accessi e dei dati degli utenti (www.ianum.com). Basandosi su questi principi, Ianum garantisce che i propri dati restino crittografati all’interno del cellulare, così come che l’accesso di un utente avvenga tramite firma (e non password). Per l’utente è più semplice: apro il cellulare, lo sblocco, clicco su un pulsante ed entro. Per l’azienda l’implementazione è rapida e veloce. Mentre per l’hacker è un grosso problema, perché deve riuscire ad avere fisicamente in suo possesso il cellulare dell’utente, dove le chiavi sono salvate. Operazione per nulla semplice, perché penso che la maggior parte di noi si accorgerebbe in pochissimi secondi di non aver più con sé il proprio cellulare.

Il costo della soluzione? Varia da pochi centesimi ad utente per gli e-commerce, fino a qualche euro nel caso si volesse adottare per gli accessi interni all’azienda (email, database, ecc). Costi che vengono coperti dall’azienda che decide di adottare Ianum, mentre è gratuita per l’utente finale che scarica la App. Il servizio può essere integrato nel giro di poco tempo all’interno di qualsiasi sistema di autenticazione oggi presente, mentre l’utente finale potrà usa la App scaricata ovunque sia possibile effettuare l’accesso con Ianum. Una soluzione che combina praticità, semplicità, sicurezza e costi contenuti, soprattutto se paragonata con altre soluzioni simili oggi presenti sul mercato.

Non basta costituirsi “parte lesa” se non si è fatto tutto il dovuto per proteggere adeguatamente i nostri dati.


L’auspicio è di sperare di riuscire a vedere a breve molti più sistemi password-free adottati a protezione dei nostri dati, soprattutto da parte di aziende che hanno a che fare con database di grandi dimensioni. Perché non basta costituirsi “parte lesa” se non si è fatto tutto il dovuto per proteggere adeguatamente i nostri dati.ti.