“Come professionisti della sicurezza (CISO), leader del settore e operatori tecnici che osservano quotidianamente l’evoluzione degli attacchi informatici su infrastrutture governative, accademiche e industriali, sentiamo il dovere etico di intervenire”. Comincia così una lettera aperta di decine di CISO rivolta contro una persistente mitologia digitale (una sorta di folklore hacker o “hacklore”) che continua a inquinare le colonne dei giornali generalisti e le policy aziendali obsolete.

Secondo i sottoscrittori di questo appello, il problema non è solo che questi consigli sono datati, ma che sono dannosi. Consumano la limitata “banda passante” cognitiva degli utenti, distraendoli dalle uniche azioni che riducono matematicamente la superficie di attacco. “È tempo di un reset culturale e tecnico”.

L’analisi forense degli incidenti reali dimostra che le paure instillate nel pubblico non corrispondono ai vettori di attacco effettivamente utilizzati dai criminali informatici.

La fobia delle reti pubbliche

Il consiglio di evitare il WiFi pubblico come la peste è un retaggio di un’era in cui il protocollo HTTP viaggiava in chiaro. Oggi invece la quasi totalità del traffico sensibile è incapsulata in tunnel crittografati (TLS/SSL) e anche su una rete aperta ostile un attaccante vedrebbe solo spazzatura crittografata. I moderni OS e browser avvisano in modo quasi aggressivo l’utente in caso di certificati non validi.

Gli exploit wireless “in the wild” che non richiedono interazione utente (zero-click) sono straordinariamente rari, costosi e usati contro bersagli di alto profilo, non contro il cittadino medio. Inoltre, i moderni stack Bluetooth isolano i processi e richiedono un pairing esplicito e, per l’utente medio, una VPN commerciale aggiunge poca sicurezza reale e sposta solo la fiducia dall’ISP al provider VPN. Non ferma il phishing, né il malware.

La leggenda del Juice Jacking e dei QR Code

Secondo gli autori della lettera, si continua a terrorizzare l’utenza sul caricare il telefono alle colonnine USB pubbliche (juice jacking). Non esistono casi verificati e diffusi di compromissione di massa tramite questo vettore. I dispositivi moderni (iOS e Android) disabilitano il trasferimento dati di default durante la ricarica, richiedendo un’autorizzazione esplicita dell’utente (“Vuoi associare questo accessorio?”).

Inoltre, il codice QR è solo un link. Il pericolo non è la scansione, ma l’ingegneria sociale sul sito di destinazione. La difesa non è non scansionare, ma verificare l’URL e non inserire dati a caso.

CISO cybersecurity

Crediti: Shutterstock

Il rituale inutile della rotazione delle password

Obbligare gli utenti a cambiare password ogni 90 giorni è controproducente. Le ricerche dimostrano infatti che la rotazione frequente porta gli utenti a scegliere password più deboli o a seguire pattern prevedibili (es. Giugno2024!, Luglio2024!), facilitando gli attacchi di brute-force o guessing. Cancellare i cookie, similmente, è irrilevante contro le moderne tecniche di fingerprinting del browser.

I consigli dei CISO

“Invece di rituali superstiziosi, dobbiamo focalizzarci su misure che innalzano esponenzialmente il costo dell’attacco per l’avversario”, si legge nel documento. La stragrande maggioranza delle compromissioni sfrutta vulnerabilità note (CVE) per le quali esiste già una patch. Mantenere OS, browser e app critiche in aggiornamento automatico è quindi una pratica essenziale. Per questo, quando un dispositivo raggiunge l’End-of-Life (EOL) e non riceve più patch di sicurezza, diventa un rischio inaccettabile e va sostituito.

Passando all’autenticazione, la password è ormai “morta”. MFA (Multi-Factor Authentication) è la singola misura più efficace, anche se non tutti i metodi MFA sono uguali. Mentre gli SMS sono meglio di nulla (ma intercettabili tramite SIM swapping), la priorità deve andare verso le Passkeys (basate su standard FIDO/WebAuthn). Le Passkeys utilizzano crittografia asimmetrica legata all’hardware e anche se un utente viene ingannato da un sito di phishing perfetto, la Passkey non funzionerà sul dominio falso. L’attacco fallisce matematicamente.

Per i servizi che ancora richiedono password, l’unico approccio sostenibile è l’uso di Password Manager. L’essere umano infatti non è evolutivamente programmato per generare stringhe casuali ad alta entropia. I CISO consigliano di sare una singola passphrase robusta (4-5 parole casuali, facili da ricordare ma difficili da indovinare per una macchina) per sbloccare il vault, lasciando poi che il software generi password uniche di 20+ caratteri per ogni altro servizio. Questo elimina il rischio del riutilizzo delle credenziali (credential stuffing).

La sicurezza non può essere scaricata interamente sull’utente finale. Fare così equivale a un fallimento sistemico. Ecco perché le organizzazioni devono costruire architetture che tollerino l’errore umano. Se un clic sbagliato di un dipendente può criptare l’intera rete aziendale con un ransomware, il problema è il design della rete (mancanza di segmentazione, privilegi eccessivi), non il dipendente. “Dobbiamo creare una cultura blame-free dove gli utenti segnalano anomalie immediatamente senza paura di ripercussioni. Il silenzio dovuto alla paura è il miglior alleato dell’attaccante”.

La responsabilità ultima risiede in chi scrive il codice. “Non possiamo aspettarci che un miliardo di utenti modifichi il proprio comportamento per compensare software difettoso. Chiediamo ai vendor un impegno radicale verso i principi di Secure by Design e Secure by Default:

  • Funzionalità di sicurezza abilitate nativamente, non opzionali
  • Roadmap trasparenti sulla gestione delle vulnerabilità
  • Programmi di Bug Bounty con safe harbor per i ricercatori, incentivando la divulgazione responsabile anziché la vendita di exploit al mercato nero
  • Pubblicazione tempestiva e onesta dei record CVE, anche per vulnerabilità scoperte internamente

La lettera si chiude con l’esortazione a comunicatori e decisori politici di smettere di promuovere consigli accattivanti ma imprecisi e condividere invece linee guida che riducano in modo significativo i danni. “Siamo pronti ad aiutare gli enti pubblici, i datori di lavoro e le organizzazioni mediatiche a riformulare i consigli sulla sicurezza informatica in modo che siano pratici, proporzionati e basati sulla realtà attuale”.

(Immagine in apertura: Shutterstock)