Ma un giorno cambieremo?

Siamo davvero fortunati e se il pianeta non si è disintegrato lo dobbiamo un po’ alla buona sorte, un po’ alla pigrizia dei malintenzionati

Umberto Rapetto - securityPer una ventina d’anni, i codici segreti di lancio delle testate nucleari americane dei Minuteman Silos sarebbero stati facilissimi da indovinare. Almeno così racconta Karl Smallwood, sulle pagine del sito www.todayifoundout.com dove spesso si trovano cose bizzarre ma non destituite di fondamento.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Secondo quel che è dato sapere, la password di attivazione dei micidiali missili a difesa del suolo statunitense era sì una combinazione di 8 caratteri (e quindi con cento milioni di possibilità), ma purtroppo si sarebbe tradotta in una sequenza di otto zeri.

Se facciamo un salto a ritroso ai tempi della Guerra Fredda e arriviamo al 1962, il 6 giugno, vediamo il presidente Kennedy che firma il National Security Action Memorandum 160, ovvero l’atto che statuisce il rigido protocollo di sicurezza a protezione dal rischio di involontaria o indebita attivazione degli ordigni atomici. Ma tutte le regole devono trovare attuazione puntuale. E ci si accorge subito che la linea di demarcazione tra un’esecuzione “bovina” e un’applicazione intelligente delle prescrizioni non è così evidente, con i risultati immediatamente conseguenti.

Sia verità o sia leggenda, la storia del codice “00000000”, poco importa. La Rete è piena di suggestive opportunità di emozione e i cospiratori sono più numerosi dei pendolari stipati nei vagoni della metropolitana. La vicenda o quel che potrebbe essere tale è soltanto l’innesco di una riflessione che riguarda situazioni non così distanti come le segrete basi militari in questione. Anche se non suscitano alcun clamore, episodi del genere sono quotidiani in qualsivoglia realtà – pubblica o privata – anche a riconosciuta elevata criticità.

Leggi anche:  ChatGPT, secondo Cyber Guru per difendersi le imprese devono partire da una nuova “cultura aziendale”

Tantissime organizzazioni computer-dependent, ossia vincolate al regolare funzionamento delle proprie dotazioni informatiche e alla inviolabile segretezza di dati e applicazioni, non hanno alcuna cura delle procedure di accesso o sottovalutano la loro importanza. Sovente, all’origine di deprecabili livelli di “sicurezza” c’è un’imperdonabile ignoranza, la cui prima traccia è riconoscibile nell’incapacità di distinguere una serratura materiale da un sistema di “apertura” con identificativo e password.

La chiave del portone del palazzo è uguale per tutti i condomini e inquilini, mentre quelle dei singoli appartamenti sono di esclusivo possesso dei rispettivi aventi diritto. Mentre nelle scale sono in tanti a muoversi liberamente, in ciascuna unità abitativa hanno accesso solo gli autorizzati a entrare nella specifica porzione di immobile. La mancata identificazione di ciascuno degli ammessi è superata dal livello di confidenza, parentela o amicizia e (fatte salve la chiave della propria stanza e la possibilità di servirsene) pare non occorrere ulteriore cautela per tracciare chi entra o per monitorarne le azioni.

Nei sistemi informatici, identificativo e password permettono di personalizzare l’accesso (consentendo o limitando opportunità di uso delle risorse hardware e software e dei dati) e di registrare quel chi/cosa/quando indispensabile per scoprire i responsabili di malefatte o per migliorare i livelli di protezione a seguito di attacchi non andati a buon fine, ma comunque tracciati. Se si cambia la serratura originaria di una porta, chi dispone di un esemplare della vecchia chiave non può più servirsene.

I computer e le reti, invece, hanno identificativi e password “di default”, ovvero preimpostati per l’avvio delle procedure d’uso che si chiudono con la definizione dei profili degli utenti e l’assegnazione di account (o user ID) e delle corrispondenti password. Da quel momento, ognuno dei soggetti abilitati potrà agire nei limiti delle potestà d’uso riservategli, ma se nessuno provvede a eliminare le cosiddette “credenziali” di fabbrica, queste ultime continuano a funzionare…

Leggi anche:  Una vecchia vulnerabilità Microsoft Office è stata sfruttata sei volte di più nel secondo trimestre del 2023

Quella dannata operazione di cancellazione viene spesso dimenticata e – a dispetto delle più rigide architetture di tutela – i sistemi più delicati restano alla mercé di qualunque malintenzionato. Gli hacker, da sempre, prima di aggredire un centro di elaborazione dati (mamma mia quanto mi piace il linguaggio vintage!!!) scoprono quale sia l’apparato nel suo cuore, cercano la relativa documentazione tecnica, arrivano alla pagina delle password standard, provano a inserirle e…

Morale della favola: la fortuna non aiuta solo gli audaci.