Normalmente, quasi si tratta di sicurezza digitale, gli esperti consigliano di ricorrere – lato mobile – all’autenticazione a due fattori, per proteggere l’accesso alle app ed ai siti in generale e – per quel che concerne i computer – alla crittografia degli hard disk, da applicare tramite le feature di Windows 10 (Pro) o software di terze parti (VeraCrypt). Alcune recenti vulnerabilità, però, dimostrano che non sempre queste cautele sono infallibili e/o sufficienti.
Qualche giorno fa, un esperto di sicurezza tedesco, Sébastien Kaul, nel mentre conduceva un’indagine online avvalendosi del motore di ricerca Shodan, per trovare router e device IoT connessi in rete ma esposti, ha scoperto un database, aggiornato in tempo reale, e privo di password, con 26 milioni (ma si sospetta fossero più numerosi) di messaggini di testo esposti in chiaro.
Il database era gestito dalla californiana VoxOx che, tramite una sua applicazione, fa da hub nell’offrire servizi di VoIP, gestione degli SMS, ed accesso unificato a vari social e IM (instant messaging, es. WhatsApp), rendendo il superfluo l’avere tante app diverse installate sul proprio telefono. Una comodità che si è pagata a caro prezzo, visto che gli SMS di autenticazione inviati da Amazon, Google, Microsoft ed altri, venivano poi conservati in chiaro su un server dell’azienda, eseguito su Amazon Elasticsearch, ed accessibile da browser web tramite il front-end Kibana, in modo che, poi, fosse persino possibile eseguire ricerche per parole sul testo, numeri di telefono, e nomi.
VoxOx ha riferito di aver avviato un’indagine interna sul tema, ma – in attesa di comunicati ufficiali – ha messo offline il database, ora non più accessibile: in ogni caso, il problema dovrebbe aver avuto un impatto limitato (i codici di autenticazione bifattoriale inviati via SMS hanno un timer di pochi secondi, diventano invalidi se non utilizzati dopo un tot, e sono monouso) ma, nello stesso tempo, dimostra perché sempre più aziende, tra cui i colossi Twitter e Facebook (con Instagram al seguito), iniziano a basare la loro autenticazione a due fattori sull’uso di app genera-codici (tipo Google Authenticator, Authy, SAASPASS), e sull’impiego di chiavette U2F (es. le Fido o le Yubico).
Infine, una falla relativa alla crittografia degli hard disk. La finlandese F-Secure, realizzatrice di noti antivirus, ha scoperto che è vano crittografare gli hard disk, onde proteggerne i dati, se poi si lascia il computer in modalità sospensione, nel corso della quale i dati in lavorazione vengono pre-caricati sulla memoria RAM.
In questo stato, infatti, anche le chiavi di crittografia finiscono sulla RAM ed agli hacker basterebbe condurre un attacco “cold boot” per arrivare a queste ultime e, in seguito, disinnescare la crittografia del disco rigido, rubandone i dati custoditi. Per tale motivo, gli esperti consigliano (anche a costo di impiegare qualche secondo in più nell’avvio del computer) – nel caso non si usi il PC per un po’ – di spegnerlo, anziché tenerlo in Sospensione (sleep mode), e di settare una password (o un PIN) per decriptare l’hard disk prima del caricamento del sistema operativo.