Spesso abbiamo discusso di autenticazione e dei vari meccanismi che è possibile implementare per verifica dell’identità di un utente o di un computer, per questo motivo ho deciso di portare alla vostra attenzione un caso che in queste ora ha messo in allerta i contribuenti americani.

Sul banco degli imputati vi è un meccanismo di autenticazione noto come “knowledge-based authentication (KBA),” ovvero la possibilità di verificare l’identità di un utente richiedendo allo stesso di fornire informazioni personali o di natura finanziaria.

Esistono sostanzialmente due tipologie di autenticazione “knowledge-based authentication”, una “statica” che si basa su una serie di informazioni fornite e pre-concordate all’atto della sottoscrizione di un servizio, dette anche “segreti condivisi”, ed una seconda “dinamica,” che si basa su domande generate dinamicamente su una base più ampia di informazioni personali.

Quanto sono efficaci tali processi?

Prima di fornirvi la risposta vi racconto quanto accaduto pochi giorni fa in America, precisamente discuteremo degli accessi non autorizzati al sistema dell’agenzia delle entrate statunitensi l’Internal Revenue Service (IRS).

Stando alle notizie divulgate dalla stessa agenzia, hacker non ancora identificati hanno utilizzato un servizio online messo a disposizione dall’agenzia per accedere ai dati di più di 100.000 contribuenti.

La nota ufficiale rilasciata dell’IRS sull’incidente precisa che il sistema è stato violato attraverso il servizio “Get Trascription” utilizzato dei cittadini americani prendere visione del proprio storico fiscale.

Per ottenere una trascrizione dal sistema, gli utenti devono fornire il proprio numero di previdenza sociale e un indirizzo e-mail attivo. Una volta che l’indirizzo e-mail è stato confermato dall’utente, la procedura di autenticazione dell’IRS si completa ponendo una serie di domande al contribuente sui suoi dati personali, finanziari e fiscali. Ultimato il processo di autenticazione, l’utente può scaricare il report di suo interesse.

Gli hacker che hanno colpito l’agenzia dell’entrate hanno avuto bisogno dei numeri di previdenza sociale dei contribuenti, del loro indirizzo di residenza e di un indirizzo di posta attivo per accedere al loro registro fiscale.

A questo punto gli hacker hanno acceduto al sistema dell’IRS per dirottare sui propri conti correnti eventuali rimborsi che spettavano ai contribuenti.

Come hanno fatto gli hacker a recuperare queste informazioni online?

Niente di più semplice, in numerosi forum dell’underground criminale è possibile acquistare lotti di migliaia di record relativi ad utenti di siti web che sono stati vittime di violazioni di dati a seguito di attacchi informatici.

IRS

Ovviamente, il processo di autenticazione “knowledge-based” implementato dall’ISR è risultato inadeguato in quanto si basa su informazioni statiche dei contribuenti che sono facilmente reperibili al mercato nero.

Per comprendere il reale numero di utenti a rischio vi basti sapere che due degli ultimi incidenti informatici occorsi negli Stati Uniti che hanno coinvolto i principali enti assicurativi in ambito sanitario del paese, Anthem e CareFirst, hanno complessivamente causato la divulgazione dei dati di decine di milioni di utenti le cui informazioni oggi sono acquistabili su molti siti utilizzati da criminali informatici.

 

 


Pierluigi PaganiniAutore: Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.moneta virtuali.