Boom grazie al Covid del mercato nero degli account

Di questi tempi sul mercato nero degli account la "merce" non manca. Dopo il caso del gigante indonesiano dell'e-commerce che ha visto mettere in vendita per 5 mila dollari i dati di 91 milioni di utenti, questa settimana lo stesso gruppo di criminali, diventato noto come ShinyHunters, ha immesso sul mercato un database con i dati di 73 milioni di utenti, sottratti a dieci diversi operatori tra cui riviste on line, app di dating, piattaforme di printing e food delivery. Questa volta il prezzo è di circa 18 mila dollari che farebbe pensare a una quantità maggiore di informazioni per singolo utente rispetto al precedente.

La Rubrica Cybersecurity Week

Ovviamente il piatto forte di queste basi dati sono le password che possono essere ricavate, ma la ragione non è quella a cui per prima si pensa ovvero violare l'account della vittima. In realtà nell'arsenale di un buon cyber criminale non dovrebbe mai mancare un corposo elenco di quelle che sono le password più diffuse, in modo da applicare con efficacia un tipologia di attacco nota come "password spraying" di cui ho già parlato qui.

Disporre di centinaia di milioni di parole chiave consente di selezionarle e per i più raffinati di associarle a categorie di utenti e quindi applicarle in funzione dell'obiettivo. Tipicamente questa liste di password completano gli elenchi pubblici di quelle che vengono rilevate come più diffuse e quindi da evitare. A tal proposito il National Cyber Security Centre inglese ha pubblicato l'elenco di quelle più comuni analizzando un campione di oltre 100 milioni di account violati nel 2019. Il podio è composto da "123456", "123456789" e da "qwerty". In particolare la prima, secondo il report della società di sicurezza SplashData, è da ben sette anni al vertice della classifica. Il tempo passa, ma la gente non capisce. Tuttavia nella top 20 della NCSC appaiono anche password apparentemente complesse come "1q2w3e4r5t", ma se osservate la tastiera del vostro computer scoprirete quanto in realtà sia banale.

A proposito del britannico National Cyber Security Centre ha recentemente rilanciato l'allarme legato ad attacchi contro le organizzazioni impegnate nella ricerca sul Covid 19. Secondo le prime investigazioni compiute in collaborazione con la statunitense Cybersecurity and Infrastructure Security Agency del Dipartimento per la Homeland Security sono in corso una serie di attacchi, alcuni dei quali state sponsored, che utilizzando proprio la tecnica del "password spraying" puntano a violare i sistemi di università, aziende farmaceutiche e centri di ricerca. Come avevo già scritto, in questo momento qualsiasi dato scientifico legato alla pandemia vale molto più oro di quanto pesa. Arriva giusto in questo contesto l'annuncio del nostro Governo di un'utile integrazione per contrastare il cybercrime. Dallo scorso 6 maggio, infatti, il CERT-PA e il CERT Nazionale, strutture che sino ad oggi hanno rispettivamente supportato le pubbliche amministrazioni e il settore privato nella prevenzione e nella risposta agli incidenti cibernetici, cesseranno di esistere come enti autonomi e passeranno progressivamente le consegne allo CSIRT Italia, la nuova unità operativa per gestire la cyber-difesa nazionale. A questa struttura il compito di affrontare minacce come quella rappresentata da Dmitry Badin, un nome che ai più è assolutamente sconosciuto, ma che nell'ambiente del cyber crime di stato è ormai famigerato. Si tratta di un trentenne ufficiale del GRU, una componente dei servizi segreti russi, ricercato da tempo dagli Stati Uniti per la ben nota violazione dei sistemi di posta del Partito Democratico e dalla scorsa settimana anche dalle forze dell'ordine della Germania che lo accusano dell'attacco ai sistema informatici del parlamento avvenuta nel 2015.

Chiudiamo ritornando a parlare del nostro paese e in particolare di un tema a me particolarmente caro: i giovani e le nuove tecnologie. Come ho già scritto la scorsa settimana su queste pagine in tema di sicurezza e protezione dei dati degli studenti, il solo Garante per la Protezione dei Dati si è preoccupato di fornire qualche indicazione. Probabilmente perplessa per via del silenzio generale la stessa autorità si è sentita in dovere di far pervenire una lettera aperta alla ministra Azzolina rimarcando che "In assenza di direttive specifiche, gli istituti scolastici hanno sinora provveduto ricorrendo a soluzioni tecnologiche, offerte da vari fornitori, non sempre caratterizzate da garanzie adeguate in termini di protezione dei dati personali e talora notevolmente vulnerabili" aggiungendo che "oltretutto non sempre si limitano all'erogazione di servizi funzionali all'attività formativa" e affermando come "al fine di elevare le garanzie di riservatezza accordate in tale contesto è determinante la funzione di orientamento che il Suo Dicastero può svolgere rispetto alle scelte dei singoli istituti scolastici". Giuste preoccupazioni, un richiamo e c'è anche un suggerimento: guardare con attenzione al ruolo dei soggetti che forniscono i servizi di registro elettronico, in quanto già nominati responsabili del trattamento. In realtà gli operatori che potrebbero offrire servizi di smart learning sono molti e anzi un certo grado di separazione tra chi eroga i diversi servizi alle scuole permetterebbe di ridurre il rischio di creare "singoli punti di errore" e obiettivi particolarmente attraenti per i criminali. Resta il fatto che dal Ministero tutto tace, ma personalmente fatico a darmi pace.