Trovare le chiavi sotto lo zerbino con Google

Credit: Dan Tentler. La centrale è questa.

In gergo si chiama security through obscurity, ossia “sicurezza tramite la segretezza”, ed è uno degli errori più frequenti nel mondo della sicurezza informatica. Tantissimi utenti, e purtroppo anche tante aziende, pensano ancora che per ottenere la sicurezza basti non divulgare i dettagli del funzionamento di un software o di un prodotto invece di farlo funzionare davvero in modo sicuro.

Un esempio classico di questo modo di pensare è dato dai tantissimi amministratori di sistemi informatici che usano software di controllo remoto, come VNC o TeamViewer, senza attivare la cifratura o la protezione tramite password. Tanto, secondo loro, basta che nessuno sappia qual è l'indirizzo IP del computer da comandare a distanza e la sicurezza è garantita. È l'equivalente informatico di mettere le chiavi di casa sotto lo zerbino.

Un altro esempio è dato dai responsabili della sicurezza che mettono sui computer aziendali un file Excel contenente le password degli utenti senza proteggerlo con una password, perché tanto basta che nessuno sappia dov'è e come si chiama il file.

Questo approccio poteva avere senso, forse, prima dei motori di ricerca. Ma oggi Google, Bing e gli altri motori scandagliano ogni anfratto della Rete e trovano qualunque cosa sia esposta. Per esempio, ecco come usare Google per trovare i file Excel contenenti password:

https://www.google.ch/search?q=filetype:xls+password

Davvero: basta così poco e viene fuori di tutto.

Sul versante del controllo remoto, invece, l'informatico Dan Tentler (@viss su Twitter), ha scritto un software che scandaglia tutta Internet in meno di un'ora, trova le sessioni di VNC e TeamViewer non protette da password e ne cattura le schermate. Tentler pubblica le migliori qui, e c'è da sbellicarsi e rabbrividire, perché ci si trova di tutto: sistemi di controllo e sorveglianza di abitazioni, telecamere del CERN, impianti di condizionamento industriali, a schermate di monitoraggio di centrali idroelettriche italiane.

Non è un difetto del software: è colpa degli utenti che intenzionalmente non si proteggono pensando “tanto chi vuoi che scopra questa sessione”, e questa è un'abitudine che va assolutamente abbandonata, perché oggi basta poco per scoprire questo e altro. Lo scopo di Tentler è proprio questo: sensibilizzare mostrando cosa c'è la fuori. Così, magari, i responsabili di queste falle smetteranno di comportarsi in modo così imprudente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.