In questi ultimi giorni leggo molto di cybersecurity. E’ un argomento che mi ha sempre molto affascinato e che in passato ho praticato. Oggi la quantità di strumenti a disposizione è esponenzialmente più alta rispetto ad una quindicina di anni fa.
Rimane il fatto che la sicurezza fisica è forse una delle falle maggiormente sfruttabili da un attaccante e una delle cose maggiormente sottovalutata dalle aziende. Questo è dovuto al fatto che non è un tema legato alla tecnologia ma, piuttosto, alla cultura. Tutti sappiamo come cambiare la cultura aziendale riguardo un argomento sia un tema duro come il ferro.
Questa sera devo parlare in un luogo fighetto e sono stato invitato a presenziare all’evento per tutta la sua durata. Niente di che. Normale amministrazione.
Durante la pausa per il pranzo in una bellissima location storica mi avvicino alla finestra di un ufficio e vedo appoggiata contro il vetro la statola di un router. Il lato esposto alla finestra è quello con la classicissima etichetta di prodotto. Nome del vendor, modello del router, serial number, ESSID e, magia, password WiFi.
Prendo nota della password. Una password assolutamente sicura. Una sequenza decisamente casuale di lettere maiuscole e minuscole e numeri. Perfetta secondo i crismi della creazione di una password sicura.
Con il telefono in mano comincio a girare intorno e non ci metto molto a trovare la rete WiFi in questione. 5 secondi dopo sono collegato alla rete WiFi usando le credenziali di cui sopra. Ovviamente non mi sono spinto oltre per non finire in gattabuia ma da lì in avanti uno capace avrebbe potuto trovare cose interessanti sulla rete.
Ecco un perfetto esempio di come un semplice gesto come appoggiare una scatola sul davanzale di una finestra possa diventare un rischio per la sicurezza dei proprio sistemi. Ovviamente non c’è robustezza o sicurezza che tenga quando ci sono errori di questo genere. Giusto per la cronaca ricordo di avere visto diversi video che mostravano red teams all’opera e, molto spesso, il loro lavoro partiva dall’aspetto fisico e sociale delle azienda prima ancora che con la solidità dei sistemi informativi.
Ancora una volta: la cultura fallisce molto più spesso della tecnologia.