Il sito “Quanto sicura è la mia password“, offre di fare una semplice ed unica cosa: controllare la nostra password e dirci quanto è sicura. Digitando la password viene fatta una stima di quanto tempo ci vorrebbe per un attacco di forza bruta da parte di un hacker per venirne a conoscenza, impossessarsene (IMPORTANTE: anche se sono state effettuate alcune verifiche di affidabilità/sicurezza del succitato sito si consiglia di utilizzare una variante della vostra password, piuttosto che quella esatta, “just in case”). Le c.d. password stupide come ‘abc123′,’ciao’ e ‘password’ vengono segnalate come violabili quasi istantaneamente.

Sono di questi giorni le notizie relative ai cyber-attacchi a Comodo e RSA Security.

Comodo, il cui slogan è Creating Trust Online (creare fiducia online), è una Certification Authority mondiale che rilascia certificati digitali per connessioni sicure https, “utili a rassicurare” i browser/utenti che il sito che si sta visitando è realmente chi dice di essere. Comodo è stata “derubata” di alcuni certificati digitali, che fanno capo a mail.google.com, google.com, login.yahoo.com (3 SSL), login.skype.com, addons.mozilla.org e login.live.com. , dal sito http://instantssl.it/ che adesso (momento in cui è iniziata la redazione del presente post: 8 aprile 2011, ore 15:40 – GMT + 1) è “pubblicato” in stato Forbidden Code 403,

mentre arrivandoci da una ricerca su Google, compare come Errore SSL con il seguente messaggio:

È possibile che questo sito non sia quello che stavi cercando!

Hai tentato di accedere a www.instantssl.it ma in realtà hai raggiunto un server che si identifica come secure.comodo.net. Ciò potrebbe essere causato da un errore di configurazione sul server o da qualcosa di più grave. Forse un utente malintenzionato sta tentando di indurti a visitare una versione falsa (e potenzialmente dannosa) di www.instantssl.it. Ti consigliamo di non procedere.

RSA Security, anche lei società mondiale di sicurezza informatica e servizi correlati, è nota ai più per le sue chiavette OTP (One Time Password) che servono a rendere sicura, forte (STRONG), e allo stesso tempo usabile, l’autenticazione di un utente verso un servizio di rete, tipicamente i servizi di internet banking.

In questo caso, il token OTP (la chiavetta, ndr.), oltre a “mettere in sicurezza” il sistema di autenticazione più “antico” e più utilizzato al mondo di User Id e password, ormai diventato altamente insicuro, risulta essere “utile a rassicurare” il fornitore del servizio (ad es. la Banca) che chi si sta autenticando al servizio è realmente colui che dice di essere.

RSA Security, lo scorso 17 marzo 2011, ha pubblicato una lettera aperta sul suo sito aziendale indirizzata a tutti i suoi clienti, a firma del suo Presidente e AD Arthur W. Coviello, dove annuncia di essere stata vittima di un sofisticato cyber-attacco (Advanced Persistent Threat – APT), così come era accaduto a Google lo scorso anno, che ha portato alla estrazione/divulgazione di non specificate informazioni, alcune delle quali specificamente correlate ai prodotti di autenticazione a due fattori RSA SecurID e alla conseguente speculazione di mercato che milioni di token di autenticazione a due fattori potrebbero essere a rischio.

La maggior parte dei prodotti OTP si basano su un codice/chiave segreta condivisa tra la chiavetta OTP, che tipicamente usiamo per ottenere il numero per autenticarci al servizio di Internet Banking, e il meccanismo di autenticazione lato server, che verifica la validità della nostra chiave. La chiave, spesso indicata come “seed” (seme), viene utilizzata per generare le famose one-time password, valide solo in quel breve momento in cui le generiamo (di solito non più di 30 secondi), che per la loro natura “one-time” e la breve durata, sono diventate sinonimo di garanzia di irrobustimento della sicurezza, per i processi di autenticazione/certificazione.

Nella generazione sicura, distribuzione sicura, conservazione, o non conservazione, sicura, e protezione sicura di queste chiavi, non a caso segrete, risiede il “senso della vita”, o mission per gli amanti del “linguaggio business”, delle società che si occupano di sicurezza informatica negli specifici ambiti dei processi di autenticazione/certificazione.

Quando qualcuno di noi schiaccia il pulsantino del suo token OTP, sta affidando la sua autenticazione, e conseguentemente la sicurezza dei suoi dati, al numero/codice generato. La fiducia riposta nel codice OTP è mutuata da analoga fiducia che l’organizzazione (banca o altri), che ci ha dato lo strumento per autenticarsi, ripone nella società di sicurezza informatica a cui si è affidata per i suoi sistemi di c.d. autenticazione forte, strong authentication, o autenticazione a due fattori.

La frase che abbiamo sentito spesso ripetere da chi si occupa di sicurezza delle informazioni è che “il dato sicuro al 100% è quello che non c’è!”. Nel momento stesso in cui una società di sicurezza informatica crea una “chiave segreta”, in cascata si dovrà preoccupare di come andare a proteggere “l’algoritmo genesi”, o come detto più su il “seed” (seme), come andare a spedire, consegnare e attivare le chiavi in maniera sicura e a “prova di furto”, e come conservarle in maniera protetta e a “prova di scasso”.

Per quanto ci è dato sapere, possiamo constatare che è in atto un attacco mirato a delle specifiche organizzazioni con il fine di acquisire l’accesso ai dati riservati delle stesse, e con l’obiettivo di mantenere l’accesso ai dati per un periodo di tempo esteso, rispetto al momento della violazione iniziale.

Le conseguenze per la sicurezza e per l’operatività che una minaccia così persistente può determinare sono facilmente immaginabili!

“Credo che ci troviamo a un punto di svolta. In questo momento siamo di fronte al principio di un nuovo mondo: in quello del passato c’erano solo i cyber-criminali; ora, invece, temo che questa sia l’Era del cyber-terrorismo, delle cyber-armi, delle cyber-guerre”

Eugene Kaspersky, cofondatore e CEO di Kaspersky Lab