CyberSecurity e Spionaggio

Indice

Ci stiamo abituando a sentir parlare di cybersecurity così tanto che ormai ci aspettiamo attacchi da parte di LulzSecITA, Anonymous Italia o dai celebri An0nPlu5 eppure esiste una realtà più silenziosa e ugualmente pericolosa di cui parlano pochi. Per farvi capire di cosa sto parlando vorrei tirare in mezzo il caso del data breach degli hotel Marriott perché è roba seria ed è preoccupante.

Mi preme ringraziare Carola Frediani che ha creato un’efficace mailing list da cui prendo spunto parlandovi del caso Marriott e citando direttamente il testo della sua mail:

Due giorni fa è stata rivelata un’enorme, pesantissima, globale violazione di dati personali. E se siete stati in un hotel della catena Starwood negli ultimi 4 anni vi riguarda. Più sotto ci sono tutte le informazioni utili. In pratica la catena di alberghi ha subito una violazione informatica dei suoi sistemi e la copia non autorizzata del suo database clienti (relativi solo alle proprietà Starwood, non della casa madre Marriott, perché avrebbero sistemi separati), violazione che risale al 2014 e che è stata scoperta solo lo scorso settembre. Vuol dire che sono stati potenzialmente esposti i dati personali di 500 milioni di ospiti. In particolare, per 327 milioni di clienti, i dati sottratti sarebbero una combinazione di: nome, indirizzo, telefono, mail, numero di passaporto, data di nascita, genere, arrivo e partenze, date di prenotazione. Per alcuni, anche i dati di pagamento, i numeri delle carte e date di scadenza, anche se erano cifrati. Tuttavia, dice il comunicato della catena, “servono due componenti per decifrare quei dati, e a questo punto, Marriott non esclude la possibilità che siano stati presi”.

Mailing list di Carola Frediani inviata il 02/12/2018
I dati rubati ammontano a circa 8,3 volte la popolazione italiana

Ecco che quindi ci troviamo a commentare un caso leggermente differente rispetto quelli che nelle recenti settimane sono finiti su editoriali cartacei ed elettronici. In effetti gli alberghi, come tante altre infrastrutture (non) critiche, possiedono dati ed informazioni che sono di assoluta rilevanza. È anche importante concentrarsi sul fatto che la violazione sarebbe stata provocata nel 2014 ma scoperta solo nel 2018.

Marriott learned during the investigation that there had been unauthorized access to the Starwood network since 2014.

Fonte: Comunicato della Marriott (Link)

Questo particolare fenomeno è sempre più presente: la data di violazione non coincide quasi mai con la data di scoperta della stessa, e ciò è molto grave perchè più ampio è il tempo e meno speranze ci sono di ricostruire l’accaduto e scoprire eventuali colpevoli.

Sugli alberghi vi racconto una cosa “divertente”

Come molti di voi avranno avuto modo di verificare, molto spesso le reti degli alberghi sono scarsamente sicure. Ricordo ancora quando un collega tornò da un viaggio in Spagna, dopo aver soggiornato in un albergo di una grande catena e con tono soddisfatto annunciò di aver soggiornato gratis.

Era riuscito a raggiungere senza problemi il router, accedervi e manipolare la connessione internet di tutto l’albergo. Si era quindi recato dal direttore e aveva ripetuto il tutto davanti a lui arrivando persino a mostrare a video i dettagli del registro degli ospiti, ovviamente usando il suo cellulare. Il povero direttore, colmo di imbarazzo e preoccupazione, gli chiese di aiutarlo nella comunicazione con i tecnici e, di tutta risposta, il mio collega ottenne un soggiorno gratis come ringraziamento. Fu poca roba, onestamente. Soprattutto quando il collega scoprì che le password dei client in cui venivano registrati i clienti era “password01” e “password02” e lo scopri leggendo un post-it attaccato sullo schermo di uno dei monitor. Trovare la seconda password fu abbastanza ovvio non credete?

 Non pensavo che sarebbe potuto accadere…

Questa fu la frase usata dal sistemista spagnolo incaricato di tirare su le misure di sicurezza dei sistemi e degli access point. Eppure in quell’albergo erano transitati anche personaggi dello spettacolo e, qualche volta, anche qualche politico ma il punto non è questo. Il punto è che ci troviamo ancora una volta a parlare della cultura della sicurezza, aspetto assolutamente trascurato fin dalle fasi di progettazione. Oggi la Marriott si trova a dover fronteggiare un problema analogo finito decisamente peggio anche perchè tra i dati trafugati ci sono anche dati di minori, motivo per il quale l’azienda ha offerto

…the opportunity to enroll in WebWatcher free of charge for one year. WebWatcher monitors internet sites where personal information is shared and generates an alert to the consumer if evidence of the consumer’s personal information is found

Eppure serve a poco perchè, al di là delle problematiche legate alle carte di credito, in quei registri trafugati vi è molto altro: vi sono le abitudini dei clienti.Gli orari di arrivo e di partenza dei pendolari sono parte importante dell’analisi “comportamentale” dei target e sono un elemento di assoluta importanza per chiunque abbia cattive intenzioni. L’individuazione dei pendolari è alla base della creazione di un buon piano di attacco basato sull’ingegneria sociale e a ben poco serviranno soluzioni come Web Watcher. 

Ingegneria sociale, questa pericolosa sconosciuta

L’analisi dei comportamenti dei target è alla base dei più grandi attacchi cyber (e non solo) della storia. Come pensate che vengano progettati gli attentati? Analizzando abitudini e frequentazioni del target designato: in questo senso ha molta importanza l’attività di dossieraggio della vittima. Per dossieraggio intendiamo l’attività di raccolta informazioni fatta invadendo il limite della privacy del target. Scattando foto, registrando video, indagando sulla sua sfera privata e alterando, in talune situazioni, il naturale scorrere degli eventi in modo che il target possa divenire a tutti gli effetti la vittima dell’attacco.

Diversa CyberSecurity?

In realtà la cyber security è la stessa: a cambiare è la tipologia di minaccia perchè non tutti gli attacchi sono motivati dal furto di dati. Alcuni di questi attacchi sono orientati a danneggiare persone e infrastrutture (pensate agli attacchi verso infrastrutture critiche). Ecco quindi che gli hotel, così come tutte le altre strutture di aggregazione sociale, possono diventare un bersaglio o un ambiente fondamentale nel cui far accadere l’attacco. Cosa fa di un target quello giusto? Il tipo di risorse che stiamo cercando. L’albergo, ad esempio, garantisce le seguenti caratteristiche:

  • Permanenza del soggetto a seguito di una prenotazione anche solo di un giorno: so dove dormirà e posso stimare una finestra temporale.
  • Dati che posso trovare nell’albergo: non solo quelli di identità ma anche quelli di pagamento.
  • Interazioni con personale esterno: le pulizie ed eventualmente lo staff di manutenzione interagisce con gli oggetti del target anche quando non è presente.

Allo stesso modo il ristorante, il pub, il bar, sono obiettivi con ben altre caratteristiche. La curva del tempo si assottiglia, così come i dati che posso catturare ma posso avere dei vantaggi. La rete di connessione di un bar potrebbe essere ragionevolmente meno sicura di quella di un albergo. La frequenza di persone all’interno della sala è un’ottima copertura e così via…

In poche parole, in base al tipo di attacco, un luogo è più funzionale di un altro. Sottovalutare i rischi derivanti da una scarsa protezione, solo perchè si è dentro ad un bar, significa non aver capito molto della cyber security e della relativa cultura della sicurezza.

Risorse utili

Link alla mailing list di Carola Frediani: https://t.co/UARMNTZjTD