Non ci stancheremo mai di dirlo, le favole possono essere interpretate come resoconti leggermente velati sulla sicurezza informatica. E non sono stati solo i narratori europei a cercare di mettere in guardia i loro discendenti dalle minacce informatiche, ma anche dall’Oriente. Per esempio, Scheherazade, la protagonista del classico Le mille e una notte, ha tenuto quello che può essere descritto come un blog quotidiano sulla sicurezza informatica, con tanto di video podcast. Vero, aveva un ulteriore motivo per farlo …
… Ma oggi ci troviamo di fronte ad alcuni casi aggiunti al blog di Scheherazade molto più tardi, nel XVIII secolo: in particolare, l’incidente noto come Ali Baba e i Quaranta Ladroni. Anche chi non conosce la storia, sicuramente ricorderà la famosa frase magica “Apriti sesamo!”
In effetti, l’intera trama è costruita intorno all’idea di usare una password per proteggersi da accessi non autorizzati. Ma in questo racconto non è il solo suggerimento che viene offerto per salvaguardare la sicurezza delle informazioni, è semplicemente il più ovvio.
Trasferimento di password attraverso un canale non sicuro
Ecco un breve riassunto della storia: una banda di rapinatori nasconde un bottino in una grotta a cui si può accedere solo con la password apriti sesamo. Il meccanismo di protezione nasconde una serie di gravi difetti.
All’inizio del racconto, il capo dei ladri si trova all’ingresso e grida a squarciagola: “Apriti sesamo!” Diversi problemi sono immediatamente evidenti. In primo luogo, la password è troppo semplice. Secondo, non c’è un’autenticazione a due fattori e nemmeno un nome utente!
Ancora peggio, la password viene trasmessa su un canale aperto. Alì Babà, che sta raccogliendo legna da ardere nelle vicinanze, sente inavvertitamente il rapinatore. In realtà, è solo per curiosità, senza alcun secondo fine, che in seguito prova la password. Quando la grotta si apre, però, entra e si appropria di una parte del tesoro che scopre all’interno.
Modulo Spyware
Al suo ritorno a casa, Alì Babà consegna le monete d’oro alla moglie affinché le possa contare. Lei cerca di farlo manualmente, ma sono così tante che perde il conto e prende in prestito uno strumento di misura dalla cognata, la moglie del fratello di Alì Babà, Kasim.
Alcune traduzioni indicano fossero bilance da cucina, altre dicono che si trattasse di una pentola di qualche tipo, ma non è un dettaglio di gran peso, per così dire. L’importante è che la moglie del curioso Kasim spalma il fondo dello strumento con del miele (il sego in alcune traduzioni) per scoprire perché il suo parente ne avesse bisogno all’improvviso. E al restituirlo vi rimane attaccata sul fondo una moneta d’oro, il che significava che sua cognata lo aveva utilizzato per dell’oro!
Anche un cybernovellino può capire che l’autore sta descrivendo un modulo di spyware integrato in un prodotto legittimo. La moglie di Kasim fornisce un dispositivo (nel modello Measure-as-a-Service) e spia l’attività del cliente. La chiara morale della storia è: utilizzate strumenti provenienti da fonti attendibili e verificate la presenza di vulnerabilità e di sistemi dannosi.
Password dimenticate
Quello che succede dopo ci sembra un po’ inverosimile. Alì Babà confessa tutto a Kasim e gli rivela la password. Quest’ultimo entra nella grotta ma si dimentica la password (che serve anche per uscire), rimane intrappolato e quando i ladri lo trovano lì, gli tagliano la testa. A livello di marketing, il messaggio è chiaro: “Non perdete la testa per una password dimenticata”, o qualcosa del genere.
Sospettiamo che all’epoca, questa parte della storia contenesse una proposta di prodotto per ub qualche antico password manager usato dai tecnici di Sasanid, ma il messaggio originale è stato cancellato per via di una rielaborazione senza fine della storia. Per compensare, inseriremo la nostra: Kaspersky Password Manager custodisce in modo sicuro le password e altre informazioni riservate.
Password invariata
Ma torniamo alla storia. Poiché Kasim non torna a casa, i suoi parenti vanno a cercarlo. Alì Babà torna nella grotta, trova il corpo del fratello e lo porta a casa per la sepoltura.
Al lettore viene mostrato un altro esempio di una pietosa politica di password: i ladroni, dopo l’incidente di Kasim, non si preoccupano di cambiare la password. Il motivo esatto non è chiaro. Potrebbe essere una semplice negligenza o è colpa dell’architettura di autenticazione mal concepita fin dall’inizio.
Allo stesso tempo, è possibile che semplicemente non abbiano diritti di amministratore. Se hanno “hackerato” la grotta (sono dei ladri, dopotutto), probabilmente hanno solo una password utente. Il vero proprietario si sarà portato le sue credenziali di amministratore nella tomba.
Attacco per mezzo di un contractor
Poiché Alì Babà vuole mantenere segreta la storia, non può seppellire un cadavere con la testa mozzata. Così lui e la vedova di suo fratello, più la sua ancella, Marjaneh, fanno di tutto par non far trapelare l’accaduto. Marjaneh fa diversi viaggi da un farmacista per la medicina, affinché sembri che Kasim si stia ammalando ogni giorni di più e alla fine riferisce che è morto di morte naturale.
Nel frattempo, porta un ciabattino in casa per ricucire il corpo di Kasim. Inoltre, benda il ciabattino e lo conduce su una strada tortuosa, in modo che non sappia dove si trovi.
I rapinatori, cercando di trovare la fonte della fuga di notizie, parlano con il ciabattino. Promettendogli dell’oro, bendano anche loro il vecchio e lo costringono a ripercorrere i suoi passi fino alla casa.
Questo esempio dimostra che anche se si lavora con dei contractor su un canale cifrato sicuro, possono comunque trapelare delle informazioni sensibili. Forse Marjaneh avrebbe dovuto firmare un accordo di segretezza con il ciabattino.
Honeynet
Uno dei membri della banda segna il cancello della casa di Kasim, dove ora vive Alì Babà, e quella stessa notte ritorna con i suoi soci per massacrare i suoi occupanti. Tuttavia, l’astuto Marjaneh individua il cartello e segna i cancelli di tutte le altre case della strada esattamente nello stesso modo, sventando così l’attacco.
In sostanza, Marjaneh trasforma la strada in una sorta di rete di honeypot che fa da trappola per catturare gli hacker. In teoria, funziona così: gli intrusi nella rete scambiano una delle honeypot per il bersaglio, iniziano ad attaccarlo, rivelando le loro intenzioni e i loro metodi. Nel tempo che impiegano a rendersi conto del loro errore, gli esperti di un’unità di risposta informatica del governo si precipitano e fermano l’attacco.
Rimane solo la questione di quanto sia etico usare le case di utenti innocenti come honeypot. In ogni caso, non viene provocato alcun danno reale; i rapinatori individuano lo stratagemma in tempo e annullano l’attacco.
Container
Il capo dei ladri decide di prendere le redini dell’attacco. Acquista 40 enormi vasi (un possibile riferimento a .JAR – il formato di file Java ARchive), due riempiti d’olio, il resto vuoti. I vasi con l’olio sono lì per ingannare una scansione superficiale; i ladri si nascondono in quelli vuoti.
Con questo carico si presenta a casa di Alì Babà. Il piano è che il capo, travestito da venditore d’olio, riesca a farsi ospitare in casa con l’intenzione di liberare i rapinatori più tardi, quando tutti dormono.
Nel complesso, si tratta della descrizione di un attacco all’infrastruttura per mezzo di un malware nascosto nei container. Poiché la analisi all’ingresso non controllano l’interno dei container, la minaccia si insinua nel perimetro di sicurezza. Il capo attiva quindi il malwaredall’interno.
Marjaneh salva ancora una volta la situazione in quanto percepisce la presenza di un ladro in uno dei vasi. Controlla ogni contenitore, individua quali di essi contengono i banditi, e poi versa dell’olio bollente, eliminando così la minaccia. In altre parole, già allora esisteva uno strumento per analizzare il contenuto dei container. La nostra Kaspersky Hybrid Cloud Security soluzione ha la stessa tecnologia, più aggiornata di 1.500 anni.
Alla fine, la giustizia prevale. Il capo dei ladri viene ucciso; Marjaneh sposa il figlio di Alì Babà (che appare dal nulla alla fine del racconto) e Alì Babà rimane l’unico ad avere la password per la grotta piena di tesori.
Morale della favola
- Quando si progetta un sistema di autenticazione, tenete presente la sicurezza. L’utilizzo di una password hard-coded trasmessa su un canale non cifrato senza autenticazione multifattore è un rischio;
- Scegliete con cura i contractor e i subappaltatori. Se possibile, controllate che i loro strumenti e servizi non presentino vulnerabilità e impianti dannosi e non dimenticate di far firmare a tutte le parti accordi di non divulgazione (NDA);
- Utilizzate una soluzione di sicurezza che scansiona il contenuto dei container quando vengono caricati per evitare che il codice dannoso entri nel vostro progetto da un repository compromesso.