PEBKAC: mai sentita questa parola, di origine nerd ma che rappresenta una delle piaghe maggiori e più difficilmente risolvibili della sicurezza informatica? È un acronimo, significa Problem Exists Between Keyboard And Chair – cioè che il problema si trova tra la tastiera e la sedia. Altri lo chiamano HF, ad indicare lo Human Factor – il fattore umano. Altri ancora usano affettuosamente il nome Dave, in base ad una nota vignetta del 2006 sulla sicurezza dei dati, disegnata dal cartoonist John Klossner. Tutto ad indicare qualcosa di pericoloso, all’apparenza innocuo, ma che non si può – o quanto meno è sconveniente – eliminare: l’utente inconsapevole.

Immaginate quindi il nostro Dave - impiegato nelle risorse umane della Acme Farmaceutici SpA - mentre controlla la mail la mattina e gli arriva una richiesta di contatto LinkedIn da una certa Fiammetta Canestrelli. Dave, trovando irresistibile quell’invito, clicca sul link della mail e accede per confermare il contatto. Non facendo certamente caso al sito intermedio da cui la connessione passa in seguito al click sul link.

Nonostante questo URL sia stato visualizzato per meno di un secondo nella barra di stato del browser, è servito a un sistema per intercettare moltissime informazioni sulla connessione, prima di redirigerla sul sito ufficiale di LinkedIn. Qualche giorno dopo, Dave riceve le richieste via Facebook ed Instagram assieme ad un link via Messenger che lo invita a visitare il blog personale di Fiammetta.
Quello che Dave non sa è che l’insieme delle sue azioni ha portato un individuo esterno a ottenere una visibilità eccellente sul suo PC aziendale connesso in remoto – causa pandemia – ai sistemi delle risorse umane della Acme Farmaceutici SpA. Grazie a un componente software scaricato in modo totalmente trasparente dal blog, due mani abili corrono su una tastiera – guidate da un cervello allenato alle compromissioni informatiche.

Una connessione che parte dall’Est Europa si infila in reti non tracciabili fino ad arrivare al laptop di Dave, da qui via VPN atterra sull’applicazione con cui ACME gestisce i dati dei dipendenti. Operazione non immediata grazie all’uso di password complesse che ACME impone ai propri impiegati delle risorse umane... diverse da quelle che usano per uso personale come ad esempio per i social network. Ma resa enormemente più semplice da Dave, che detesta questa prassi ed ha memorizzato la password per accedere al sistema direttamente nel browser. E meno male che accedendo in VPN l’IT della ACME non richiede la one-time password, perché il canale è sicuro!

Il mese successivo, il CISO della ACME riceve una delle peggiori mail della sua carriera. “Abbiamo il database completo dei dipendenti: dati personali, stato di salute, storia lavorativa e dettagli di stipendi, premi e familiari da contattare in caso di emergenza. Tra 48 ore queste informazioni saranno rese pubbliche, se non riceveremo la somma di 20BTC (al momento più di 666mila euro, NdA)”
Il CISO convoca l’unità di crisi dell’azienda, preparandosi a dare spiegazioni sull’accaduto, nonostante l’esorbitante investimento in tecnologia di sicurezza che l’azienda ha effettuato negli anni. Investimento che ha previsto il rinforzo della protezione sulle mail aziendali, anti-malware all’avanguardia, sistemi di protezione dell’autenticazione, VPN per la connessione di dipendenti da remoto (messi a durissima prova dalla pandemia), persino servizi di penetration testing e di verifica dell’assenza di compromissioni in corso eseguiti due volte l’anno – l’ultimo il mese scorso.

Una protezione che ha coperto tutti i sette livelli del modello di riferimento ISO/OSI per l’interconnessione e la comunicazione tra sistemi eterogenei: fisico, data-link, network, trasporto, sessione, presentazione ed applicazione. Tutto! Tranne una piccola, ma importante falla al livello 8: Dave.

Marco Rottigni è Chief Technical Security Officer area EMEA di Qualys