Cerca

L’approccio Cyber e l’attacco a Twitter

La maggior parte delle persone non capisce quando parlo di un approccio cyber alla propria identità digitale. Provo a spiegarlo in questo articolo. By Simone Fratus – cybersecurity specialist TAG

Il 15 Luglio 2020 Twitter subisce un attacco dove formalmente vengono compromessi 130 account fra i quali compaiono nomi di fama mondiale. L’azienda americana nel suo blog, in un post del 30 luglio 2020, parla di un attacco partito tramite una metodologia di phone spear phishing attack che ha colpito alcuni suoi dipendenti. Attraverso questa metodologia gli attaccanti hanno ottenuto l’accesso alla rete interna ed a tool di amministrazione interna. Tramite questi tool hanno poi sostituito l’e-mail di questi account e utilizzato la procedura di reset della password. In pratica quello che viene definito un “escalation attack”.

Piccolo pensiero personale: tutti si sono fermati al fatto che a seguito dell’accesso a questi account, fra i quali compaiono nomi come l’Ex-Presidente Barack Obama, Joseph R. Biden Jr., Elon Musk e molte altre celebrità, ha fruttato un discreto gruzzolo di Bitcoin, ma nessuno si è soffermato sulla gravità di cosa avrebbe potuto innescare. Ricordiamoci che Twitter è stato lo strumento e veicolo di informazione della “Primavera araba” che ha destabilizzato diversi paesi in Medio Oriente. Proviamo a pensare se dal profilo di un ex presidente americano fosse uscito un tweet che innescava una rappresaglia fra paesi? E questo esempio già dovrebbe riportarci al disegno iniziale di questo articolo: pensare cyber.

Ma ritorniamo con i piedi per terra. Io ho diversi digital account separati fra di loro, tutti con password mediamente complicate e, dove è possibile, 2FA. Inoltre, per alcuni di questi account, utilizzo anche strumenti di autenticazione hardware dove vi accedo attraverso strumenti di protezione delle comunicazioni (non VPN). Sembrerebbe tutto all’ennesima potenza cyber. Ma in una di quelle notti estive dove cercavo di allontanarmi dal lavoro, pedalando sotto le stelle lontano da forme di umani, spunta il pensiero deviato anti-cyber.

Tutti questi account hanno una’unica e-mail di reset password. Ciò significa che il tuo livello di sicurezza digitale è pari al livello di sicurezza del tuo account e-mail principale. È caduto un castello di carta!

Qualsiasi sistema è sicuro solo quanto il suo percorso più vulnerabile. Nel caso dell’e-mail, potresti pensare che “ho 2FA abilitato sul mio account email, quindi sono al sicuro”. Tuttavia, tieni presente che anche la password del tuo account e-mail può essere re-impostata, se l’aggressore ha accesso alla tua e-mail di recupero.

  1. Hai 2FA abilitato sulla tua e-mail di recupero?

  2. Hai 2FA abilitato sull’e-mail di recupero della tua e-mail di recupero?

  3. Sai qual è l’e-mail di recupero della tua e-mail di recupero?

Il problema principale è che i servizi online devono consentire agli utenti di re-impostare le proprie password in modo autonomo. Ma verifichi l’identità di un utente se non ha la cosa che stavi utilizzando per verificarlo con (la sua password)? Pertanto, i servizi online presuppongono che solo tu possa accedere al tuo account di posta elettronica e inviare un codice di ripristino o un URL al tuo account di posta elettronica.

Nella realtà ci sono diversi modi per proteggersi ma sta di fondo che bisogna iniziare a pensare cyber.

Il primo punto è utilizzare una specifica e-mail, possibilmente non riconducibile ad una persona, esclusivamente per il servizio di recupero di altri servizi e dotarla di un fattore di autenticazione forte oltre che di una password complessa. Ad esempio, una e-mail di recupero potrebbe essere una e-mail tipo t3f57gy1@domini.com.

Ma ritorniamo al pensiero Cyber. A mio avviso l’enfatizzazione di avere una password complessa ed un doppio fattore di autenticazione ha oramai fatto il suo tempo. Mi riferisco all’attacco che ha subito Twitter. Gli account che sono stati attaccati erano noti e facilmente riconducibili a persone pubbliche e di primaria importanza. Se facciamo riferimento ad Open-Source Intelligence (OSINT) vi sono numerosi tools che mi permettono partendo dalla conoscenza di un particolare account di risalire a molte informazioni riconducibili ad una persona fisica. Molti di questi strumenti sono progettati per indirizzare prima un’azienda o un dominio e quindi trovare informazioni sulle persone ad esso associate.

Tuttavia, come nel caso di Twitter, un utente malintenzionato può prendere di mira un individuo anziché un’organizzazione sin dall’inizio. Gli obiettivi popolari nel mondo reale sono solitamente vittime che possono avere legami personali con l’aggressore o sono persone di alto profilo come celebrità o politici. L’obiettivo tecnico dell’aggressore potrebbe essere quello di ottenere un accesso non autorizzato alle risorse come tale individuo o di violare la sua privacy scoprendo le abitudini di navigazione e i siti a cui appartengono. L’obiettivo finale potrebbe essere umiliare ed esporre la propria vittima o trarre profitto finanziariamente da questo accesso. È quindi utile avere un diverso set di credenziali su ogni sito a cui sccediamo. Parliamo del motivo per cui è importante farlo. Lo terrò breve perché non è un concetto nuovo, ma credo che valga la pena spiegarlo data l’importanza dell’argomento. “Credential Stuffing” è un termine utilizzato quando un utente malintenzionato accede a un elenco di nomi utente e password, in genere attraverso una fuga di violazione, e tenta di confrontarli con altri siti e servizi per vedere se le persone stanno utilizzando le medesime password. Non noi! Tuttavia, molte persone lo fanno e questi aggressori dispongono di strumenti come Snipr che possono controllare in modo abbastanza rapido ed efficace su quali altri siti funzionano quelle credenziali. Siti come haveibeenpwned.com consentono agli utenti di controllare se i loro account siano stati compromessi e persino di esserne avvisati. Se qualcuno ti sta prendendo di mira in modo specifico, si applica la stessa tecnica, tranne per il fatto che non cercherà alcun collegamento per lasciarlo entrare, ma utilizzerà la tua password trapelata.

Anche se questo non avviene, ed hai generato password differenti per ogni accesso a servizi, se qualcuno utilizza uno strumento di riempimento delle credenziali o una serie di strumenti OSINT può comunque apprendere molte informazioni su di te se sta cercando di creare un profilo online del suo target. 
Pensaci, è probabile che il tuo indirizzo e-mail o nome utente sia lo stesso su ogni sito web con cui sei registrato. Dopotutto, il nome utente ti identifica. È la tua password che verifica la tua autenticità, o dovrebbe farlo, e ti dice che sei chi dici di essere. Ti importerebbe se tutti i siti su cui sei registrato fossero pubblicamente ricercabili da chiunque volesse dare un’occhiata alla tua vita? Le persone potrebbero costruirsi un buon profilo di te, ad esempio se vai in chiesa, dove fai banca, quali hobby hai, gruppi a cui appartieni, account sui social media, ecc. Forse non vuoi che sia tutto là fuori? Internet non perdona dopotutto, archivia una quantità di informazioni da capogiro e ha un periodo di conservazione quasi infinito. Basta cercare su Google il tuo indirizzo e-mail e vedere cosa viene visualizzato ed è proprio quello che un non aggressore userebbe per immergersi nella tua storia.

E questo è il pensiero Cyber. Molte volte quando ho parlato con persone che si presentavano con un profilo di cyber-security specialist chiedevo loro in cosa comportasse il loro lavoro. Le risposte che ottenevo mi facevano capire che il loro lavoro era molto più prossimo ad un information security specialist.

C’è un vecchio detto: “Quando l’unico strumento che hai è un martello, tutto sembra un chiodo”.