Quanto è sicuro il tuo data rubato e criptato?
È probabile che alcuni dei tuoi dati siano stati rubati. Hai mai usato Yahoo? 3 miliardi di account Yahoo sono stati rubati nel 2013. Hai soggiornato in un hotel Marriott? 500 milioni di account Marriott sono stati rubati in quattro anni, dal 2014 al 2018. Sei riuscito a mantenere il tuo vecchio indirizzo Hotmail e il tuo spirito da adolescente? 360 milioni di account MySpace, piratati. Usando MyFitnessPal? 150 milioni di account.
Quindi, cosa hanno ottenuto esattamente gli hacker? Ogni attacco è diverso, ma quasi definitivamente hanno ottenuto il tuo indirizzo email, informazioni sugli utenti, registrazioni delle tue attività sul sito e, possibilmente, molte altre informazioni dannose. Tuttavia, buone notizie: molti dei dati più sensibili sono stati probabilmente criptati. C’è anche una buona probabilità che non siano stati criptati, ma consideriamo il migliore scenario di furto di dati: le tue informazioni sono state rubate, ma le informazioni sensibili erano criptate con AES-256. Quanto è sicura?
Cosa significa che i dati siano criptati?
La “crittografia” nella sicurezza dei dati moderni si riferisce generalmente alla crittografia basata su chiavi. In breve, inserisci i dati che desideri criptare e la chiave (una stringa di lettere, numeri e/o simboli) che desideri usare per criptarli. La combinazione di queste due cose crea un miscuglio confuso che può essere decriptato solo se viene utilizzata la chiave appropriata. Non deve essere confuso con:
- Codifica: Usa lo stesso algoritmo sia per codificare che per decodificare i dati, senza chiave richiesta. Questo è come ASCII o Unicode – completamente insicuro.
- Hashing: Processo di crittografia unidirezionale che produce lo stesso risultato per input identici, ma lascia risultati molto diversi se gli input variano anche solo un po’. Questo è tipicamente usato per la gestione delle password con un algoritmo come SHA-256 o bcrypt.
Ad esempio:
| Metodo | Testo |
|---|---|
| Codifica (ASCII, decimale) | Tienilo segreto. Tienilo al sicuro. |
| Crittografia (AES 256-bit) | Tienilo segreto. Tienilo al sicuro. |
| Hashing (bcrypt) | Tienilo segreto. Tienilo al sicuro. |
| Metodo | Con metodo applicato |
|---|---|
| Codifica (ASCII, decimale) | 75 101 101 112 32 105 116 32 115 101 99 114 101 116 46 32 75 101 101 112 32 105 116 32 115 97 102 101 46 |
| Crittografia (AES 256-bit, chiave: Mellon) | ddg18josC+1ouYRjv5CfPoo
jKJV+y3OLtxjIeCUsL+A= | | Hashing (bcrypt, dodici giri) | $2y$12$3O1EiCPdVrqZFllHJ/
.q9eZzsyzqdmLMluqlQKO1A
NtlYMva94.nS |
| Metodo | Decriptato |
|---|---|
| Codifica (ASCII, decimale) | Tienilo segreto. Tienilo al sicuro. |
| Crittografia (AES 256-bit) | Tienilo segreto. Tienilo al sicuro. |
| Hashing (bcrypt) | Non può essere decriptato |
I due principali tipi di crittografia sono simmetrici e asimmetrici. La crittografia simmetrica può essere decrittografata usando la stessa chiave che è stata utilizzata per criptarla, mentre la crittografia asimmetrica richiede una chiave (la chiave pubblica) per criptare e un’altra chiave (la chiave privata) per decriptare. La maggior parte della crittografia moderna è asimmetrica, poiché avere una sola chiave per un intero database di informazioni è molto insicuro.
Quanto è sicura la crittografia? Può essere violata?
La risposta breve è sì: la crittografia può essere violata. Un approccio di brute force, che comporta fondamentalmente fare molte e molte ipotesi finché una non risulta corretta, troverebbe certamente la risposta giusta, dato abbastanza tempo e potenza di calcolo. Date le nostre attuali capacità, forzare AES-256 potrebbe richiedere fino a 3 sexdecillion (3×10^51) anni, e numeri simili potrebbero essere collegati a molti algoritmi di crittografia ampiamente utilizzati. In futuro, i computer quantistici e altri avanzamenti potrebbero ridurre significativamente quanto sia sicura effettivamente la crittografia, ma nel frattempo è praticamente impenetrabile.
Ma ciò non rende la crittografia a prova di errore. Gli attaccanti sono ben consapevoli che i dati criptati sono inutili senza le chiavi, quindi cosa cercano? Le chiavi. La violazione dei dati più catastrofica possibile è quella in cui i dati criptati e le chiavi di decrittazione vengono rubati. Se la sicurezza dei dati viene implementata correttamente, le chiavi (più chiavi per dati diversi, probabilmente per utente) saranno archiviate in modo sicuro in una posizione separata dai dati e dovrebbero probabilmente essere criptate anch’esse. Inoltre, le chiavi dovranno essere decrittografate e recuperate in modo sicuro ogni volta che alcuni dati devono essere decrittografati, così gli attaccanti non possono intercettarle. Oltre a tutto ciò, le chiavi dovrebbero probabilmente essere cambiate regolarmente.
Se il sito da cui le tue informazioni sono state rubate ha fatto tutto ciò, gli attaccanti probabilmente non hanno preso le chiavi e i tuoi dati sono al sicuro fino a quando il sole non si spegne o noi non inventiamo computer molto più potenti. Ma quali sono le probabilità che i siti stiano effettivamente facendo questo, e quanto dei tuoi dati sono criptati, anche nel migliore scenario possibile?
Chi cripta e cosa viene criptato?
Ricordi quell’elenco di violazioni dei dati all’inizio di questo articolo? Rivediamolo.
| Violazione | Anno | Record interessati | Criptati | Non criptati |
|---|
| Yahoo | 2013/2014 | 3 miliardi | – Password hashate (per lo più bcrypt, alcune MD5)
– Alcune domande di sicurezza | – Nomi
– Indirizzi email
– Numeri di telefono
– Date di nascita | | Marriott | 2014-2018 | 3-500 milioni | – 8,6 milioni di numeri di carte di credito
– 20,3 milioni di numeri di passaporto | – Nomi
– Indirizzi
– Date di nascita
– Genere
– Dati del programma fedeltà
– Informazioni sulle prenotazioni
– 5,25 milioni di numeri di passaporto | | MySpace | 2016 | 400 milioni | Password (SHA-1, senza salting) | – Indirizzi email
– Nomi utente | | MyFitnessPal | 2018 | 150 milioni | Password (bcrypt, salate, e SHA-1) | – Nomi utente
– Indirizzi email
– Password |
Questo elenco potrebbe diventare molto, molto lungo, ma hai capito l’idea: fondamentalmente, l’unica cosa che viene criptata nella maggior parte dei siti è la tua password (che in realtà viene hashata) e le informazioni di pagamento. A meno che non sia un sito che gestisce un sacco di informazioni sensibili o ha una predilezione per la sicurezza elevata, il tuo furto di dati ha probabilmente esposto una buona quantità delle tue PII (Informazioni Personali Identificabili). Questo principalmente perché criptare e decriptare richiede molta più potenza di calcolo, tempo, sforzo e denaro rispetto a semplicemente memorizzarli in chiaro e fornirli direttamente.
Anche le informazioni criptate in questi hack non erano sempre sicure. Yahoo e MyFitnessPal hanno usato bcrypt per le loro password, che è uno standard di crittografia robusto, ma usavano anche MD-5 e SHA-1 rispettivamente, per lo più per account più vecchi. Questi sono algoritmi di hashing molto più deboli. MySpace ha semplicemente optato per SHA-1 non salata per tutto, il che ha senso, ma significa anche che la tua password è stata quasi sicuramente compromessa. Yahoo non è stata chiara su se ha salato le loro password nel 2013 (probabilmente no), il che le rende piuttosto vulnerabili a essere violate.
Marriott ha addirittura perso 5,25 milioni di numeri di passaporto in chiaro, il che è brutto. Sapevano chiaramente che avrebbero dovuto criptarli (20 milioni di altri lo erano, dopo tutto) ma hanno trascurato il 20 percento dei loro clienti. Hanno anche criptato i numeri delle carte di credito: ma non sono sicuri se gli hacker abbiano preso la chiave o meno.
La morale della storia: la maggior parte dei tuoi dati non è criptata, anche le informazioni che penseresti davvero dovrebbero esserlo.
Ma i miei dati erano criptati
Giusto, quindi stavi usando un sito web con una sicurezza fantastica che ha criptato ogni singolo pezzo delle tue informazioni. Questi esistono - molti siti di archiviazione file (Dropbox, Google Drive) criptano i tuoi file nel loro database, per esempio. Se questo è il caso, allora finché il loro sistema di archiviazione della chiave era robusto e i loro esperti di sicurezza hanno fatto un buon lavoro collaborando con gli sviluppatori, è probabile che i tuoi dati rimarranno intatti fino alla morte termica dell’universo.
Lo scenario più probabile, però, è che molte delle tue informazioni non fossero criptate, e anche le informazioni sensibili potrebbero essere state mal hashate o criptate con la chiave da qualche parte nel database o nel file system. Non puoi farci molto su questo dato che devi fornire alle aziende i tuoi dati per utilizzare i loro servizi, ma puoi cercare di ridurli al minimo – e non riutilizzare le password!
E non dimenticare di controllare HaveIBeenPwned per vedere se i tuoi dati siano comparsi in qualche violazione.
Crediti immagine: Chiavi di crittografia a chiave pubblica, Violazione della sicurezza dei dati, Crittografia a chiave pubblica arancione blu
