Quando viene compromessa la sicurezza di una società o di un sito web le ripercussioni sono importanti ma limitate.
Quando invece ci si ritrova in un forum dedicato agli hacker con qualcuno che dichiara di essere riuscito a compilare una lista di quasi 10 miliardi di password di account di tutto il mondo le possibili ripercussioni ovviamente diventano potenzialmente globali.
Questo è ciò che è successo con il file rockyou2024.txt. I ricercatori di Cybernews hanno scoperto online un utente che ha dichiarato di essere entrato in possesso di una quantità tale di password per siti e entità di vario tipo per un totale di oltre 9 miliardi di informazioni di login. Il file è stato denominato rockyou2024.txt. L’utente in questione va sul forum con il nome di ObamaCare.
Quello che potrebbe essere solo un brandello di consolazione è che i ricercatori di Cybernews si sono messi con pazienza a esaminare i login all’interno del file e hanno scoperto che in realtà non sono tutte password nuove di zecca ma che fanno parte di diversi leak avvenuti in ondate diverse.
Purtroppo però ci sono anche moltissime credenziali che prima qualcuno pensava sarebbero state al sicuro. Quali sono gli attacchi che è possibile portare a termine quando si è in possesso di questo genere di informazioni? E quindi, di contro, in quali modi ci si può proteggere?
Come proteggersi da quello che c’è sul file rockyou2024.txt
Cominciamo da quello che si può fare nell’immediato (e che comunque dovrebbe far parte delle buone pratiche di chiunque gestisca un sito web ed è anche una buona pratica per gli utenti in generale): cambiare le password. Il cambio delle credenziali di accesso è il modo più facile per tenere a bada gli eventuali attacchi che potrebbero arrivare dopo la scoperta delle password compromesse.
Ma, ed è una rimostranza che si sente spesso, c’è il problema di avere quantità abnormi di siti che richiedono password di accesso. Anche i servizi che in teoria non avrebbero bisogno di un account vengono comunque trasformati in piattaforme che non funzionano se non si è registrati. Dover cambiare tutte le credenziali di accesso può essere quindi piuttosto tedioso.
Motivo per cui, ed è un altro dei consigli che i ricercatori di Cybernews danno, è bene dotarsi di software o app che gestiscono le password. In questo modo ci sarà sempre da qualche parte qualcuno, non un post-it, che ricorderà quella password così complicata che avevi prodotto per il tuo account di posta elettronica che non è la stessa che hai invece prodotto per guardare le serie TV in streaming.
Il terzo consiglio è ovviamente quello di non riutilizzare su più siti web le stesse credenziali di accesso. Per quanto sembri una soluzione comoda è anche un modo molto facile per vedersi bucare gli account. Anche per chi gestisce un sito web è importante che ci siano sistemi di sicurezza in grado di resistere almeno a parte degli attacchi che possono arrivare.
Perché non ci sono solo le vulnerabilità dei plugin da tenere a bada, c’è anche tutto il sottobosco di quei criminali che cercano con altri sistemi di entrare nei database. E se per un singolo utente può essere fastidioso che qualcuno conosca le sue password, per una società sapere che attraverso il proprio sito un criminale è riuscito a mettere le mani su centinaia di credenziali di utenti è non solo un pericolo elevato alla centesima potenza ma anche una questione di fiducia che viene a mancare proprio da parte degli utenti stessi.
Chiarito quindi quello che devi assolutamente fare, se non lo hai già fatto e anche nel caso in cui tu non sia tra quelli che sono stati colpiti da ciò che c’è sul file rockyou2024.txt, cerchiamo di capire quali sono i modi in cui questa specie di piccolo Santo Graal per hacker può essere sfruttato.
Esattamente cosa se ne fanno i criminali informatici?
Ciò che un eventuale hacker potrebbe decidere di fare entrando in possesso delle credenziali di accesso di svariati miliardi di utenti per altrettanti svariati miliardi di siti web nel mondo è quello che in gergo si chiama credential stuffing.
È un tipo di attacco che nei fatti sfrutta le password e i nomi utenti per cercare di entrare nei database fingendo di essere un utente regolare. Si tratta di un genere di attacco che viene portato avanti con sistemi automatizzati, che compilano i campi dedicati alle credenziali a raffica fino a quando qualche combinazione non fa scattare la serratura e non permette di entrare sull’eventuale database cui si cerca di accedere. Non sono attacchi che hanno un grande tasso di successo.
Per esempio Cloudflare riporta che le stime ci parlano di circa un attacco che riesce ad andare a segno ogni 1000 account di cui gli eventuali criminali entrano in possesso. Ma moltiplicando questo numero è chiaro che se qualcuno possiede un milione di coppie di credenziali mille di queste coppie potrebbero funzionare.
E non è neanche strettamente necessario che davvero funzionino tutte le coppie di credenziali. Basta riuscire ad entrare in possesso di quella che, un po’ come nella favola di Alì Babà e i 40 ladroni, apre e mostra la caverna del tesoro nascosta dietro la roccia.
I siti tentano di proteggersi da questo genere di attacco da quando si sa che esistono: per esempio bloccando gli indirizzi IP che tentano più ingressi oppure lavorando aggiungendo degli strati di verifica che potrebbero essere portati a termine solo da esseri umani.
Il problema però è che anche le tecniche dei criminali si stanno facendo sempre più sottili e i bot che vengono rilasciati in massa per questi attacchi sono spesso anche in grado di superare questo genere di protezioni.
Gli attacchi credential stuffing sono considerati come uno dei molti sistemi con cui i criminali informatici portano a compimento quel genere di attività che vengono chiamati attacchi brute force. In generale l’attacco brute force è un attacco per cui l’hacker tenta a casaccio, ma comunque con sistemi automatizzati e avanzati, di indovinare nome utente e password di un determinato database. Con gli attacchi credential stuffing semplicemente si riduce il numero di tentativi a vuoto che vanno fatti.
