Attacco a Ashley Madison: la sicurezza non e' un gioco

Recentemente il sito di incontri Ashley Madison ha subito un pesante attacco che ha dimostrato, ancora una volta, cosa succede quando le aziende non sono preparate dal punto di vista della sicurezza informatica.
La notizia di quanto accaduto ha ricevuto particolare attenzione a causa della natura del servizio offerto, il dating online per persone impegnate o sposate in cerca di avventure che vogliono imbrogliare i propri partner.

Per la maggior parte delle persone, vedere compromessi i propri dati online può essere stressante ma, nel caso degli utenti del sito di Ashley Madison, tutto questo rischia di tradursi in un'esperienza veramente imbarazzante che potrebbe avere un impatto negativo sulla vita privata degli utenti coinvolti - soprattutto quando gli hacker decideranno di cedere apertamente tutti i dettagli al miglior offerente!
Il tasso di violazione dei dati nel mondo non mostra segni di rallentamento, anzi, mantenere i propri dati online sicuri sta diventando sempre più difficile. Affidiamo le nostre informazioni personali ad alcune organizzazioni, aspettandoci che facciano tutto quello che è possibile per proteggerle e tenerle al sicuro - e la maggior parte delle volte effettivamente lo fanno. Ma i consumatori oggi hanno a che fare con minacce dalle quali non si possono proteggere. Per questo credo che un approccio tradizionale alla sicurezza non sia più accettabile, e che molte aziende non stiano modificando proprie policy di protezione con una velocità sufficiente per affrontare la rapida evoluzione delle minacce di sicurezza.

La realtà è che se non vi hanno ancora preso di mira è solo perché siete fortunati! Se, però, le organizzazioni non reagiscono ora, gli hacker continueranno a trovare nuovi modi per compromettere i loro sistemi e rubare i dati. Sfortunatamente non esiste una soluzione definitiva per i problemi di sicurezza che molti oggi devono affrontare, le organizzazioni devono però iniziare a prestare attenzione a quello che stanno cercando di proteggere e a che cosa in particolare un hacker potrebbe voler compromettere.
Sempre più spesso, i vettori degli attacchi informatici sono "multi-threaded". Significa, per esempio, che un attacco DDoS in corso viene spesso progettato per distrarre il team IT, mentre, da un'altra parte, gli hacker attaccano le applicazioni in modo chirurgico per ottenere l'accesso ai dati. Gli ambiti sfruttati sempre più frequentemente per gli attacchi sono le applicazioni, dove un hacker può sfruttare a suo piacimento la logica applicativa o i comportamenti di chi utilizza le app.

Il confine tra l'utilizzo professionale e social delle tecnologie è sempre più labile, per questo è fondamentale riconoscere il significato di questi attacchi, capire come si manifesteranno nel modo più probabile e che tipo di danni potranno apportare.
Il crescente numero di attacchi di cui veniamo a conoscenza tramite i media certamente evidenzia la gravità delle minacce cyber, ma molte aziende sono ancora troppo vulnerabili agli attacchi virtuali!
Indipendentemente dal pensare di poter essere il prossimo obiettivo, le organizzazioni devono essere preparate e garantire che i dati dei propri clienti siano protetti.
Rispetto ad Ashely Madison, è stato interessante notare come gli aspetti morali abbiano diviso in due l'opinione pubblica portando a volte a non comprendere che, indipendentemente dall'opinione che si può avere sull'azienda e il servizio che offre, si è trattato di una violazione della privacy online inaccettabile. Se cominciamo a differenziare gli attacchi in accettabili o meno dal punto di vista morale, dove sarà il confine? Che cosa succederebbe se l'"esercito informatico della Siria" prendesse di mira un servizio qualsiasi che a suo avviso offende la morale? Dove ci porterebbe tutto questo? Se vogliamo mantenere le aziende e i dati dei consumatori al sicuro dagli hacker, abbiamo bisogno di lavorare dalla stessa parte della barricata, invece di chiederci se un attacco è corretto dal punto di vista morale.

Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks