Le piattaforme Open Source costituiranno un anello debole nel 2015
Il 2015 porterà alla scoperta di nuove vulnerabilità nelle piattaforme di archivio dati in open-source e web-service e vedremo gli hacker approfittarsene impunemente. Come con Heartbleed e Shellshock/ Bash Bug, queste vulnerabilità rappresentano potenzialmente un nuovo terreno fertile per gli aggressori, ma il rischio maggiore continua a essere costituito da debolezze già note e non adeguatamente corrette da parte delle organizzazioni e dei consumatori.
L’Internet of Things sarà ancora l’Internet delle Vulnerabilità, ma diminuiranno gli attacchi
Essendo l’IoT in gran parte generato da dati, continueremo a vedere esempi di come i criminali informatici siano in grado di sfruttare le vulnerabilità del software nei dispositivi connessi, compresa la tecnologia indossabile, i dispositivi domestici connessi quali Smart TV e router (come dimenticare il caso del baby monitor dell’anno scorso) e le applicazioni per connettersi alla propria automobile. Detto questo, non vedremo attacchi su larga scala contro i dispositivi dell’Internet of Things, ma piuttosto attacchi sporadici.
Le aziende dovranno riconoscere che il sistema di login/password attuale non funziona più
Quando l’estate 2014 volgeva al termine, si è diffusa la notizia che diverse celebrità USA di alto livello erano state vittima di un attacco di hacker che avevano rubato e postato online alcune loro foto private. Poco dopo la diffusione della notizia della violazione, Apple rilasciò un comunicato in cui affermava: “Dopo oltre 40 ore di indagini, abbiamo scoperto che gli account di alcuni VIP sono stati compromessi da un attacco mirato su nomi utente, password e domande di sicurezza, una pratica che sta diventando fin troppo comune su Internet”. (Enfasi aggiunta).
Le password presentano infatti diversi punti deboli che possono però essere raggruppati in tre problemi generali:
1. Gli utenti adottano password deboli che possono essere facilmente indovinate – come “password” o “123456” – o ripetono la stessa password per più siti, il che significa che, se i criminali violano anche uno solo degli account online, sono poi in grado di accedere anche agli altri.
2. I meccanismi per il recupero della password sono imperfetti. Se si perde o si dimentica la password, il metodo tradizionale di recupero è porre domande che dovrebbe conoscere solo l’utente originario, vale a dire il vero proprietario. Purtroppo, le risposte a queste domande possono spesso essere dedotte in base a informazioni facilmente reperibili online (Soprattutto in considerazione della tendenza della gente a “esagerare nel condividere” informazioni sui social media…).
3. Gli attacchi di phishing inducono le persone a consegnare involontariamente le proprie password direttamente agli hacker.
Antonio Forzieri, esperto di sicurezza di Symantec Italia
Mentre le organizzazioni cercano di escogitare soluzioni per sventare le violazioni e proteggere i loro utenti finali, la buona notizia è che cominciano a comparire alternative al vecchio sistema, quali l’autenticazione a due fattori (2FA), che richiede non solo qualcosa che i veri proprietari dovrebbero conoscere, per esempio una password, ma anche qualcosa che loro, e solo loro, possiedono, per esempio il proprio cellulare. Tuttavia, mentre i vari servizi iniziano a implementare queste misure, i consumatori devono fare sempre più affidamento su diverse applicazioni, numeri di telefono e domande di sicurezza (per giunta su diverse piattaforme) e, a volte, faranno davvero fatica a tenere tutto sotto controllo.