“È ora di finirla con la rotazione delle password”: la sicurezza secondo Adam Shostack, autore de Il lato oscuro del software

Apogeonline: Dobbiamo avere più paura delle minacce verso i nostri smartphone o delle minacce al cloud che custodiscono i dati dello smartphone?

Adam Shostack: Bella domanda. Come consumatore, spesso è veramente difficile capire stiano i miei dati. In molti siamo costretti a chiederci se il nostro provider sia un impero del male, o se starà facendo la cosa giusta.

Trovi più pericolosa la situazione in un’azienda dove tutti usano lo stesso hardware e software oppure una che applica il principio del Bring Your Oevice e permette ai dipendenti di scegliere? Nel primo caso, un singolo attacco può mettere in ginocchio l’intera azienda; nel secondo le minacce potenziali si moltiplicano ma, se viene attaccata una piattaforma, le altre hanno più possibilità di sopravvivere. Come vedi questa alternativa?

Mi chiederei se il team IT è in grado di configurare e amministrare ogni cosa. Se ci sono meno variabili, può essere più facile. La diversità aiuta soprattutto quando alcuni sistemi sono realmente indipendenti. Se sono configurati per essere facili da usare, si guadagna più dalla diversità di quello che si perde in complessità.

Come ti è venuta l’idea di associare le minacce di cybersecurity all’universo di Star Wars?

Heh! Nel 2005, ho scritto sul mio blog un post in cui usavo Star Wars come un modo sciocco per spiegare un trattato accademico e alla gente è veramente piaciuto. Ho capito che Star Wars è ottimo per parlare di tecnologia perché chiunque ha visto i tre film da cui nasce la saga. Perfino se qualcuno non li abbia visti, ha senz’altro visto abbastanza riferimenti, omaggi, parodie e conosce l’essenziale dei personaggi e della trama.

Leggi anche: La cybersecurity in 5 lezioni di attualità

In fondo Star Wars, dai titoli di testa al finale, è la storia di un furto di dati e delle sue conseguenze. Non capisco proprio perché la gente pensi che si tratti del viaggio di un eroe o altre sciocchezze!

Una frase da 30 caratteri è una password migliore di una sequenza di otto caratteri casuali. Rincordiamo e maneggiamo meglio “il porcospino è il mio migliore amico” che non “%∆Å÷ç§√…”. Perché così tante organizzazioni insistono nel chiedere una lettera maiuscola, una minuscola, un carattere speciale, un numero…? Come mai tante banche pensano che cambiare password una volta al mese sia veramente più sicuro?

Io sono passato a un password manager che genera per me parole chiave casuali e suggerisco a chiunque di fare la stessa cosa. Usare la stessa password dovunque, o usare una leggera variazione tipo ‘il porcospino è il migliore amico di Amazon’ non funziona molto bene.

Il cambiare la password sembrava avere un senso, perché non avevamo buoni dati su che cosa stavano combinando gli assalitori; come facevano davvero a penetrare in un sistema. Rispetto a 15 anni fa abbiamo dati migliori e ora sappiamo che i cybercriminali usano elenchi di password rubate; quindi possiamo dire con sicurezza che usare sempre password diverse è importanti. Ma il pensiero ‘se cambi la tua password, sarà più sicura’ sottovaluta gravemente la scaltrezza delle gente comune, che trova schemi per memorizzare sempre la stessa password con variazioni minime, inutili ai fini della protezione e scomode e irritanti per chi le deve maneggiare. È veramente tempo di finirla.

Il tuo disco di lavoro è interamente cifrato? I tuoi dischi di sistema dovrebbero essere cifrati? Ma come sistemare le cose se una persona sbadata o svanita perde le chiavi di decifrazione?

Dobbiamo pensare in termini di minacce. Il mio portatile è cifrato, il mio computer di casa no. Certo il mio computer di casa potrebbe essere rubato o andare perso, ma può accadere molto più facilmente al mio computer. Se invece qualcuno entra nel computer grazie a un difetto del software, la cifratura è come se non ci fosse, perché è loggato esattamente come lo sarei io. Ed è vero quello che dici rispetto a persone fragili che possono dimenticare password, per senilità o per una brain fog da Covid. La cifratura di un disco può causare l’amplificazione di un problema. Raccomando a chi si preoccupa di come potrebbe recuperare una password di consegnarne in una busta metà a un parente e metà a un amico.

È vero quello che scrivi: dire alle persone di usare password più lunghe non ha effetto. Ma come facciamo allora a suggerire in modo semplice a individui e aziende come aumentare la loro sicurezza?

C’è qualcosa di utile a questo scopo, molto specifico, nella prima parte del mio libro! Quello che dobbiamo fare è essere sicuri che un consiglio sia semplice, facile da seguire e abbia una funzione chiara e comprensibile di protezione.

Quando la sicurezza ha iniziato a essere un problema, avevamo a che fare con gli script kiddy; oggi abbiamo bande organizzate, ransomware, botnet e quant’altro. Ci sono ancora i ragazzini che testano exploit trovati in rete?

Altroché. E hanno pure successo. Alcuni di loro lavorano effettivamente per organizzazioni criminali, o magari agenzie governative. Alcuni sono semplicemente teenager ribelli, altri vogliono sentire di avere il potere nelle mani. (Il lato oscuro del software è sempre una tentazione).

All’inizio dell’era del PC, pensavamo seriamente che ci saremmo scambiati file in modo perfettamente sicuro grazie alla cifratura a chiave pubblica, come Alice e Bob ci mostravano su libri e riviste. Che cosa è andato storto? Cosa dovremmo fare per raddrizzare le cose? C’è un modo di dare comunicazioni semplici e sicure a chiunque?

Beh, penso che le cose andate bene siano più di quelle andate male. Tanti sistemi di messaggistica, come iMessage di Apple o Signal, sono cifrati come preimpostazione e c’è solo l’imbarazzo della scelta. Rimane difficile capire veramente che cosa sia la cifratura e da chi ci possa proteggere. Tuttavia è molto, molto più facile fare viaggiare file in modo sicuro di quanto lo fosse dieci anni fa.

Che cosa dobbiamo sapere riguardo alla casualità per essere più consapevoli delle nostre problematiche di sicurezza?

Niente. Seriamente, nel 2024 nessun sistema dovrebbe chiedere all’utente finale di fornire casualità al sistema. Entropia, casualità e così via sono concetti sottili che non abbiamo la necessità di padroneggiare.

Hai un suggerimento Jedi da consegnare alle persone che lavorano per la sicurezza contro le cyberminacce?

Per prima cosa, fidati di quello che senti. Se qualcosa ti sembra troppo bello per essere vero, probabilmente lo è. Se pensi che qualcosa non vada, probabilmente è vero.

Come scrivere codice per applicazioni sicure partendo da alcune intuizioni tratte dall’universo di Star Wars.

Secondo, per i professionisti, è facile perdersi nei dettagli e perdere di vista il quadro di insieme. È importante possedere i concetti dell’organizzazione. Se qualcuno viene in Italia e dice “ma quanti edifici vecchi!”, li possiamo aiutare a capire se abbiamo un’idea di Roma antica, del Rinascimento e così via. I dettagli appaiono più chiari se abbiamo il controllo del quadro complessivo. La ragione per cui ho scritto il mio libro è organizzare in modo accessibile e divertente la situazione delle minacce cui siamo esposti e sono entusiasta che a rendere queste informazioni ancora più accessibili ci sia anche una edizione italiana.

Immagine di apertura originale della Redazione di Apogeonline.