Insabbiare l'intrusione
Diamo un'occhiata da un altro punto di vista all'intera situazione, mantenendo l'attenzione sull'argomento principale delle falle nella sicurezza.
Ancora, per la cronaca, questa storia è sempre frutto della mia immaginazione.
Un pomeriggio ho ricevuto una chiamata da un mio amico, che affermava felicemente che un cliente per il quale ho lavorato tempo addietro era prossimo a essere fregato. Sono stato al gioco e l'ho persuaso a farmi vedere cosa è riuscito ad ottenere da quella società. Uscimmo per una birra, tirò fuori il suo piccolo portatile (del quale sono invidioso) e caricò un file che chiaramente non avrebbe dovuto essere nelle sue mani, o nelle mani di chiunque altro.
Si trattava di un file Microsoft Excel, aperto dopo una dose di Brute Force tramite il file cracker di Elcomsoft. Questo è il tipo di file che viene tipicamente tenuto da un amministratore di rete. Contiene la lista di ogni username e password degli utenti che hanno accesso a ogni database Oracle usato all'interno dell'organizzazione, le password di sistema di ogni macchina che utilizzano il database, l'elenco di username e password delle macchine utilizzate per instradare richieste di pagamenti tramite carte di credito.
Avevo creato alcune di quelle password di persona, durante la mia consulenza alla società. C'erano i dettagli delle connessioni per ogni account di database immaginabile, inclusi collegamenti esterni ad altri siti attraverso VPN etc.
Quindi, con un sorriso disse: "...e c'è di più.". Aveva i nomi di un'infinità di file che appartenevano allo staff, che in parte conoscevo di persona. Gli chiesi se era completamente impazzito per essere in possesso di quelle informazioni, lui era un capo sicurezza, con una reputazione da mantenere.
Non era una grande preoccupazione per lui. Detto semplicemente, quei file erano disponibili online. Qualcuno li aveva messi su un sito! Quindi non era un caso che lui fosse in possesso di qualche forma di accesso unico: chiunque abbia visto quel particolare sito web sarebbe in grado di accedere alla rete del cliente e di giocare con tutto quello che vuole. Come diavolo è potuta accadere una cosa simile?
Sono corso immediatamente al telefono, per chiamare il mio contatto IT all'interno della società e per informarlo sui contenuti di quei file. Era scioccato, e non per il semplice fatto che i file sono stati portati all'esterno, non si capacitava che un file simile fosse realmente esistito! Peggio ancora, sapeva benissimo che solo un piccolo e ben selezionato gruppo di collaboratori della società, aveva accesso a quel livello di informazioni, perciò solo uno di quel team era il responsabile dell'esistenza di quel file.