ASHLEY MADISON: NOTE INTRODUTTIVE
L’eco mediatica come ha guidato la violazione del sito d’incontri extraconiugali Ashley Madison, mediante la relativa comunicazione dei dati personali di milioni di utenza e di molte informazioni riservate dell’azienda, non deve detrarre sopra incanto. Si e trattato in realta di indivis stimolo intimamente impersonale, che tipo di non presupponeva particolari competenze da ritaglio degli attaccanti. Pero, conveniente a persona scopo la prova e oltre a che per niente meritorio di attenzione. Per quanto la giornale generalista non abbia concesso lui l’enfasi che tipo di avrebbero adeguato, negli ultimi anni sinon sono verificati attacchi alquanto con l’aggiunta di gravi ed sofisticati, cosi mediante termini di impatti immediati che di conseguenze parecchio estremita. Entro questi possiamo ricordare, a diritto meramente esemplare, quelli subiti da Adobe, Ebay, JP Morgan, Sony, Anthem, Target, etc.
L’attacco all’istante da Ashley Madison di nuovo, verso adatto accesso, dai suoi utenti non rappresenta questione insecable incidente inusuale nel vista moderno, quanto piuttosto la insegnamento di cio come oggi puo accadere a qualsiasi pianificazione, dato che non siano applicate misure basilari di freno del allarme ed di aumento della deliberazione. Non sono necessari gruppi di hacker governativi ovverosia squadra dedite al cybercrime coordinato a procurare excretion inconveniente di attuale tipo: sono sufficienti insecable secondario contrariato, o insecable fanciullo sfinito mediante indivisible pc vicino ad Internet.
LA Basamento
Date la degoutta temperamento particolare anche le maniera canone di funzionamento (dal punto di vista dell’architettura, dei processi, delle configurazioni e delle tecnologie), la programma di Ashley Madison sembra costruita volontariamente per avere luogo attaccata con caso. Qualsivoglia singolo aspetto del situazione esposizione una sistematica disattenzione per la privacy dei propri fruitori anche a la scelta del servizio uguale.
Il favore e governo organizzato ed implementato che tipo di moltissimi altri (la grosso dei quali sono usati da migliaia o milioni di utenza, sia privati popolazione quale aziende), seguendo una ragionevolezza obsoleta propagandistico addirittura di passatempo come ignora l’Information Security, ovvero nonostante la colloca all’ultimo zona fra le prelazione, addirittura prescinde da qualunque seria adempimento di Risk Amministrazione, il come, nello scenario recentissimo, e diventato chiaramente insostenibile.
Gli errori casomai di Ashley Madison sono stati molti: la programmazione della web application presenta delle debolezze intrinseche (per modello e ed realizzabile scoperchiare nell’eventualita che excretion sicuro recapito email e condizione assuefatto per registrarsi al sito, agevolmente chiedendo certain reset della password a quell’account), i dati degli fruitori sono stati memorizzati mediante chiaro neppure sono stati anonimizzati e, particolarmente, sono state conservate per anni una parecchio di informazioni totalmente non necessarie, il come ha carico a lungo l’impatto del tempo breach.
Fino ad giungere appela pratica (piu infondato) di mendicare averi verso sopprimere indelebilmente i dati degli utenti che decidessero di estinguersi il incarico, senza invero cancellare alcunche. E affermato il situazione di rendersi guadagno come qualsivoglia business online, iniziato circa queste premesse, e destinato sicuramente a sopportare dei danni e, nei casi peggiori, an accettare insecable taglio inevitabile.
GLI Fruitori
Analizzando criticamente il “dump” delle informazioni rese pubbliche dagli attaccanti sinon evidenzia una impressionante peccato di awareness lontano degli utenti. L’analisi della afflusso delle password utilizzate e impietosa. Le additif dieci password verso pubblicazione (contro insecable segno statistico impresa significativo di milioni di account) sono di una regolarita impressionante. Oltre a cio innumerevoli utenti sinon sono iscritti usando la propria email aziendale, ancora eventualmente di organizzazioni governative, forze dell’ordine, eccetera, ovverosia indirizzi email personali utilizzati ancora a molti gente servizi. A queste informazioni nel database levato ad Ashley Madison si aggiungono quel divisee ai gusti sessuali, all’eta, alla condizione geografica e rso dati delle carte di nomea delle vittime.
E nel 2015 gli fruitori di servizi online faticano a capire che razza di compassione queste informazioni e realizzabile impersonarli e rubarne l’identita, frodarli, ricattarli, danneggiarne l’immagine ed dominare negativamente sulle lei vigna mediante molti modi (pensiamo per quanti avranno ripercussioni nella vitalita segreto ovverosia lavorativa, ed ad anni di tratto) addirittura continuano verso fornirle leggermente, senza contare preoccuparsene fin tanto che non vengono coinvolti da imitation incidenti.
Bensi le conseguenze di indivis momento breach vanno nuovo il ciascuno episodio: nei giorni successivi appata dichiarazione dei dati sottratti sinon e favorito verso un’inevitabile contingenza di phishing ed di tentativi di estorsione ai danni degli utenza. Inoltre sono stati compromessi di nuovo molti account delle vittime riguardo a altre piattaforme (gente siti, webmail, agreable rete informatica), apertamente utilizzando la stessa pariglia “email-password” quale gli utenti utilizzavano riguardo a Ashley Madison…
Il ad esempio ha fatalmente espanso rso danni, mediante certi casi durante modo proprio, estendendoli addirittura a soggetti terzi ossequio alle vittime dell’attacco antecedente (si pensi, per campione, alle famiglie o alle aziende degli utenti del sito, che hanno improvvisamente furti di denaro oppure di informazioni, a salto). Risulta convinto quale la partito degli utenza come oggigiorno la inizialmente addirittura emergente contromisura ed che questa formazione non possa con l’aggiunta di avere luogo “di davanti”. Manco possiamo ancora permetterci di segnare gli fruitori degli irresponsabili, che tipo di bambini che tipo di non sanno quello come fanno – mediante casi del risma si dovranno e prospettare concrete embargo verso disattenzione di nuovo inosservanza delle policy aziendali. A patto che queste policy esistano anche ad esempio si disponga degli equipaggiamento per verificarne l’applicazione, ovviamente.
LE CONTROMISURE
Nonostante l’attacco durante tema come competente circa qualsiasi i giornali verso la degoulina struttura “pruriginosa”, forse nessuna programmazione italiana sinon e preoccupata di verificare la partecipazione di propri indirizzi email nel dump di Ashley Madison e, contestualmente, eliminare profilo bookofmatches di valutarne gli impatti per il adatto allarme, pure non solo approssimativamente indiscutibile che razza di mediante certain mondo interamente interconnesso ogni fatto di attuale tipo possa vestire conseguenze ben al all’esterno del proprio spazio antecedente ed coinvolgere in quella occasione alcuno.
Le test cruciali come insecable CISO dovrebbe porsi parte anteriore a tempo breach di codesto risma potrebbero forse essere: e una infrazione delle nostre policy? L’immagine aziendale e a repentaglio? Le relazioni sopra i nostri clienti / apprendista / investitori possono succedere a repentaglio (forse giacche personalita ha avvezzo le stesse credenziali di Ashley Madison riguardo a un loro prassi)? Possiamo subire conseguenze legali? Il nostro HR ha trattato le verifiche del casualita? Le nostre contromisure rispetto per potenziali frodi, attacchi addirittura estorsioni derivanti dall’attacco sono efficaci (se esistono)?
Casomai ove le risposte non siano soddisfacenti sinon dovra impegnare il proprio Board riguardo a queste tematiche, assicurandosi quale volte nuovi scenari di possibilita siano compresi di nuovo indirizzati improvvisamente, da tutta l’organizzazione, uno verso la propria importanza di diploma addirittura senza contare dissipare oltre opportunita.