Gli esperti di Linux e l’autogol delle password colabrodo

L'esperienza Gentoo e come ricavarne tre grandi insegnamenti

Ricordate la violazione dei dati Gentoo dei giorni scorsi?

Qualcuno è riuscito a introdursi nel repository GitHub della distribuzione Linux, ne ha assunto il controllo totale, ha tagliato fuori tutti gli sviluppatori Gentoo, ha infettato il codice sorgente seminando comandi dannosi (rm ‑rf) dappertutto, ha aggiunto un’ingiuria razzista e gettato nel caos l’universo Gentoo per un’intera settimana.

Per chi non lo sapesse, nel linguaggio Unix/Linux, “rm ‑rf” è il comando per rimuovere (rm) i file in maniera ricorsiva (‑r), vale a dire “comprese tutte le sottodirectory”, e forzata (‑f), senza cioè visualizzare avvisi o richieste di conferma. L’equivalente Windows è DEL /S /F /Q, un comando che spesso ti penti di aver dato non appena premi il tasto [Invio].

Fortunatamente, il repository GitHub non era la fonte principale del codice Gentoo e solo qualche utente Gentoo – per non dire nessuno – se ne serviva per gli aggiornamenti software.

Meno male… c’è mancato un pelo!

Tra gli altri esiti positivi: ora Gentoo ha ripreso il controllo dell’account GitHub usurpato dall’hacker; i file infetti sono stati individuati e cancellati; da questa esperienza Gentoo ha ricavato (come pure ognuno di noi) tre grandi insegnamenti.

1° insegnamento. Chi ha tempo non aspetti tempo.

Dapprima gli sviluppatori di Gentoo sapevano soltanto che qualcosa era andato storto: non potevano accedere al proprio account GitHub, di per sé un indizio preoccupante, ma non si spiegavano il come né il perché.

Malgrado le incognite, l’azienda non ha esitato a preparare un avviso di avvenuta violazione e non ha perso tempo prezioso cercando di indorare la pillola con un report iniziale rivisitato in “chiave marketing”.

Risultato: il problema ha attratto immediatamente l’attenzione generale e l’intera comunità si è data subito da fare per risolverlo.

Molte realtà commerciali potrebbero seguire quest’esempio: i tentativi di minimizzare l’accaduto negandone la gravità spesso risultano come minimo incomprensibili e, nel peggiore dei casi, subdoli.

2° insegnamento. Scegliere una password degna di questo nome.

Nella parte conclusiva del report sull’incidente, Gentoo dichiara:

L’hacker è riuscito a decifrare la password di un amministratore aziendale. Le prove raccolte indicano che era stato usato un modello di password tale da facilitare, una volta scoperta la prima password di accesso a un dato sito, la decodificazione di tutte le altre adoperate su siti distinti e separati.

In altre parole, l’utente che ha visto decifrate le proprie password ha commesso l’imprudenza di affidarsi a password diverse ma chiaramente correlate per proteggere l’accesso a più siti.

Prego? Ma sì, è un gioco da ragazzi: basta scegliere una password di base (ad esempio, pASS\/\/orD) e poi aggiungere un suffisso facile da ricordare ogni volta che devi creare una nuova password, come illustrato ad esempio di seguito:

 

pASS\/\/orD-FB

pASS\/\/orD-TW

pASS\/\/orD-G+

pASS\/\/orD-Y!

 

Tecnicamente, così facendo rispetti la regola che dice “ad ogni sito, la sua password – mai usare la stessa password su siti diversi.”

Ma se supponiamo, usando la logica o semplicemente tirando a indovinare, che il suffisso “-Y!” dell’ultima password sta per Yahoo!, non ci vuole molto a capire che i suffissi -FB, -TW e -G+ stanno rispettivamente per Facebook, Twitter e Google Plus.

Mai usare una password di base con variazioni o suffissi per i vari siti – i criminali finiranno presto o tardi per risolvere l’enigma.

Meglio ricorrere a un programma di gestione delle password che genererà una password completamente diversa per ciascun sito.

  1. La 2FA per una doppia dose di protezione

A quanto pare, Gentoo non ha imposto l’uso dell’autenticazione a due fattori (2FA, two-factor authentication) prima della violazione.

Adesso sì, invece!

La 2FA, detta anche “verifica in due fasi”, in genere prevede l’inserimento di nome utente e password come di consueto e a seguire l’immissione di un codice temporaneo valido unicamente per la sessione corrente.

Questi codici temporanei “monouso” solitamente vengono comunicati da un’app sul cellulare oppure tramite SMS o altro messaggio testuale inviato dal provider del servizio.

La 2FA non è perfetta, ma rende le cose più difficili ai criminali perché non possono limitarsi a sottrarre o decifrare la password, ma devono anche rubarti il telefono (e scoprirne il codice di sblocco).

Cosa fare, allora?

Come appurato, all’origine della violazione ai danni di Gentoo non c’era una causa correlata ad attacchi malware, e-mail di phishing, chiamate di social engineering, exploit, zero-day o altre diavolerie tecnologiche.

Quest’episodio è una chiara dimostrazione che i principi basilari della cybersecurity hanno la loro importanza e che complicare leggermente l’apertura di una sessione agli utenti autorizzati rende molto più difficile decifrare i codici di accesso ai criminali.

Se ti venisse chiesto di fare un piccolo sacrificio per avere in cambio un livello di cybersecurity aziendale molto più elevato, non accetteresti per il bene di tutti?

 

 

*Tratto dall’articolo “Linux experts are crap at passwords!” di Paul Ducklin