Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I gestori di password cloud sono stati a lungo pubblicizzati come “una cassaforte a cui nessuno tranne te può accedere”. Ma i ricercatori del Politecnico federale di Zurigo hanno dimostrato che, nella pratica, la sicurezza può essere molto meno elevata. In alcuni casi, un aggressore che prende il controllo del server del servizio può non solo visualizzare le password memorizzate, ma anche modificarle.
Milioni di persone utilizzano i gestori di password. Memorizzano le credenziali di accesso a siti web, banche e servizi di pagamento, consentendo agli utenti di accedere ai propri account utilizzando un’unica password principale. La maggior parte di queste soluzioni opera tramite cloud. Questo è pratico perché l’archiviazione è accessibile da più dispositivi, consentendo di condividere i dati con familiari o colleghi. Gli sviluppatori in genere dichiarano di utilizzare la crittografia dicendo che nemmeno l’azienda stessa può leggere il contenuto dell’archiviazione.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un gruppo di ricercatori di Zurigo ha deciso di testare il funzionamento pratico di questa protezione. Hanno studiato l’architettura di tre noti servizi di archiviazione delle password e simulato una situazione in cui un server era sotto il controllo di un aggressore. Per farlo, hanno implementato i propri server, che si comportavano come se fossero stati hackerati, e hanno osservato cosa sarebbe successo durante le normali azioni dell’utente nel browser. Operazioni standard come l’accesso a un account, l’apertura di un vault o la sincronizzazione erano sufficienti.
I risultati sono stati disastrosi. I ricercatori hanno condotto decine di attacchi riusciti a vari servizi. Nella maggior parte degli scenari, sono riusciti ad accedere al contenuto dei dispositivi di archiviazione e persino a modificarne i record. Questo vale non solo per guasti isolati, ma anche per scenari in cui i dati di un’intera organizzazione possono essere compromessi se utilizza un servizio di questo tipo per i propri dipendenti.
I partecipanti allo studio sono rimasti sorpresi dalla gravità dei problemi. Si aspettavano che i gestori di password offrissero una sicurezza più rigorosa rispetto alle tipiche piattaforme cloud, data la natura dei dati. Tuttavia, l’analisi del codice ha rivelato che la logica del servizio era notevolmente complessa. Gli sviluppatori stavano cercando di aggiungere funzionalità di recupero degli accessi, condivisione e altre utili funzionalità. Di conseguenza, il codice è diventato più grande, più complesso e la superficie di attacco si è ampliata. Molti attacchi non richiedono potenti risorse di elaborazione; sono sufficienti piccoli programmi che impersonano un server.
Prima di pubblicare i loro risultati, gli autori hanno informato le aziende delle vulnerabilità scoperte e hanno concesso loro tre mesi di tempo per risolverle. Alcuni sviluppatori hanno risposto rapidamente, mentre altri hanno ritardato l’aggiornamento. Il motivo è semplice: modifiche improvvise ai meccanismi crittografici possono comportare la perdita dell’accesso degli utenti ai propri dati. Tra i loro clienti non ci sono solo privati, ma anche aziende che archiviano tutte le loro credenziali in tali servizi. Pertanto, alcuni provider si affidano ancora a soluzioni crittografiche obsolete, risalenti agli anni ’90.
Gli autori dello studio propongono di migrare gradualmente i nuovi account verso schemi di crittografia moderni e di dare agli utenti esistenti la possibilità di scegliere se passare a un’opzione più sicura o rimanere con quella vecchia, comprendendone i rischi. Si consiglia agli utenti di prestare attenzione all’apertura dei servizi, ai controlli di sicurezza indipendenti e all’abilitazione predefinita della crittografia end-to-end .
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
