Cerca nel blog

2014/08/22

Trovare le chiavi sotto lo zerbino con Google

Credit: Dan Tentler. La centrale è questa.
In gergo si chiama security through obscurity, ossia “sicurezza tramite la segretezza”, ed è uno degli errori più frequenti nel mondo della sicurezza informatica. Tantissimi utenti, e purtroppo anche tante aziende, pensano ancora che per ottenere la sicurezza basti non divulgare i dettagli del funzionamento di un software o di un prodotto invece di farlo funzionare davvero in modo sicuro.

Un esempio classico di questo modo di pensare è dato dai tantissimi amministratori di sistemi informatici che usano software di controllo remoto, come VNC o TeamViewer, senza attivare la cifratura o la protezione tramite password. Tanto, secondo loro, basta che nessuno sappia qual è l'indirizzo IP del computer da comandare a distanza e la sicurezza è garantita. È l'equivalente informatico di mettere le chiavi di casa sotto lo zerbino.

Un altro esempio è dato dai responsabili della sicurezza che mettono sui computer aziendali un file Excel contenente le password degli utenti senza proteggerlo con una password, perché tanto basta che nessuno sappia dov'è e come si chiama il file.

Questo approccio poteva avere senso, forse, prima dei motori di ricerca. Ma oggi Google, Bing e gli altri motori scandagliano ogni anfratto della Rete e trovano qualunque cosa sia esposta. Per esempio, ecco come usare Google per trovare i file Excel contenenti password:

https://www.google.ch/search?q=filetype:xls+password

Davvero: basta così poco e viene fuori di tutto.

Sul versante del controllo remoto, invece, l'informatico Dan Tentler (@viss su Twitter), ha scritto un software che scandaglia tutta Internet in meno di un'ora, trova le sessioni di VNC e TeamViewer non protette da password e ne cattura le schermate. Tentler pubblica le migliori qui, e c'è da sbellicarsi e rabbrividire, perché ci si trova di tutto: sistemi di controllo e sorveglianza di abitazioni, telecamere del CERN, impianti di condizionamento industriali, a schermate di monitoraggio di centrali idroelettriche italiane.

Non è un difetto del software: è colpa degli utenti che intenzionalmente non si proteggono pensando “tanto chi vuoi che scopra questa sessione”, e questa è un'abitudine che va assolutamente abbandonata, perché oggi basta poco per scoprire questo e altro. Lo scopo di Tentler è proprio questo: sensibilizzare mostrando cosa c'è la fuori. Così, magari, i responsabili di queste falle smetteranno di comportarsi in modo così imprudente.

Nessun commento: