Per la maggior parte dei professionisti informatici, il passaggio al cloud è stato una manna dal cielo. Invece di doversi occupare della protezione dei propri dati, ora è possibile lasciare che siano gli esperti di sicurezza di Google o Microsoft a farlo. Ma quando il furto di una singola chiave può consentire a dei cybercriminali di accedere ai dati cloud di decine di organizzazioni, il patto inizia a sembrare molto più rischioso.
Nella tarda serata di martedì 11 luglio, Microsoft ha rivelato che un gruppo di criminali informatici con sede in Cina, denominato Storm-0558, ha fatto esattamente questo. L’organizzazione, che porta avanti operazioni di spionaggio contro i governi dell’Europa occidentale, è riuscita ad accedere ai sistemi di posta elettronica Outlook basati su cloud di 25 organizzazioni.
Secondo la Cnn, tra i bersagli rientrano anche alcune agenzie governative statunitensi, compreso il dipartimento di Stato, anche se le autorità del paese sono ancora al lavoro per determinare la portata e le conseguenze delle violazioni. Un avviso diramato dall’Agenzia statunitense per la sicurezza informatica e delle infrastrutture riporta che la violazione, rilevata a metà giugno da un’agenzia governativa americana, ha sottratto dati di posta elettronica non riservati “da un piccolo numero di account“.
L’attacco al cloud Microsoft
La Cina viola di continuo le reti occidentali ormai da decenni. Ma quest’ultimo attacco sfrutta un trucco inedito: Microsoft infatti afferma che il gruppo di cybercriminali ha rubato una chiave crittografica che gli ha permesso loro di generare “token” di autenticazione – stringhe di informazioni finalizzate a dimostrare l’identità di un utente – e quindi entrare in decine di account di clienti Microsoft.
“Noi ci fidiamo dei passaporti e qualcuno ha rubato una macchina che serve a stamparli – spiega Jake Williams, ex hacker della National security agency statunitense e oggi docente all’Institute for Applied Network Security di Boston –. Per un’azienda delle dimensioni di Microsoft, con un numero così elevato di clienti colpiti – o che avrebbero potuto esserlo – è una cosa senza precedenti“.
Nei sistemi cloud basati sul web, i browser degli utenti si connettono a un server remoto. Quando si inseriscono le credenziali – come nome utente e password – si ricevono da quel server dei dati, noti appunti come token. In pratica, il token funge da carta d’identità temporanea e consente a un utente di andare e venire a piacimento da un ambiente cloud, inserendo solo occasionalmente le proprie credenziali. Per garantire che non possa essere falsificato, il token viene “firmato” a livello crittografico con una stringa di dati unica, nota come certificato o chiave, una sorta di timbro di autenticità che non può essere falsificato.
Leggi tutto su www.wired.it
di Andy Greenberg www.wired.it 2023-07-14 04:10:00 ,
-U41036330126wBB-1440x752@IlSole24Ore-Web.jpg?w=120&resize=120,86&ssl=1 "M5S, la linea anti Conte si organizza: nasce l’associazione «Figli delle stelle»")
