di Pierluigi Paganini*
L’Agenzia delle Entrate americana IRS è stata violata a causa dell’uso di sistemi di autenticazione inadeguati.
Spesso abbiamo discusso di autenticazione e dei vari meccanismi che è possibile implementare per verificare l’identità di un utente o di un computer. Per questo motivo ho deciso di portare alla vostra attenzione un caso che in queste ora ha messo in allerta i contribuenti americani.
Sul banco degli imputati vi è un meccanismo di autenticazione noto come “knowledge-based authentication” (KBA). Si tratta della possibilità di verificare l’identità di un utente chiedendo allo stesso di fornire informazioni personali o di natura finanziaria.
Esistono sostanzialmente due tipologie di autenticazione “knowledge-based authentication”. La prima è di natura “statica” e si basa su una serie di informazioni fornite e pre-concordate all’atto della sottoscrizione di un servizio. Queste informazioni sono dette anche “segreti condivisi”. La seconda tipologia è “dinamica” e si basa su domande generate dinamicamente e le cui risposte provengono da una base più ampia di informazioni personali.
La violazione all’agenzia delle Entrate IRS
Quanto sono efficaci le due tipologie di processi di autenticazione? Prima di rispondere vi racconto quanto accaduto pochi giorni fa in America. Precisamente parliamo degli accessi non autorizzati al sistema dell’Agenzia delle Entrate statunitensi, l’Internal Revenue Service (IRS).
Stando alle notizie divulgate dalla stessa agenzia, hacker non identificati hanno usato un servizio online della stessa agenzia per accedere ai dati di oltre 100mila contribuenti.
In una nota ufficiale sull’incidente l’IRS precisa che la violazione è avvenuta attraverso il servizio “Get Trascription”. Si tratta di un servizio online usato dai cittadini americani per prendere visione del proprio storico fiscale.
Per ottenere una trascrizione dal sistema gli utenti devono fornire il proprio numero di previdenza sociale e un indirizzo e-mail attivo. Una volta che l’indirizzo e-mail è stato confermato dall’utente, la procedura di autenticazione dell’IRS si completa ponendo una serie di domande al contribuente sui suoi dati personali, finanziari e fiscali. Ultimato il processo di autenticazione, l’utente può scaricare il report di suo interesse.
Gli hacker che hanno colpito l’agenzia dell’entrate americana hanno avuto bisogno dei numeri di previdenza sociale dei contribuenti, del loro indirizzo di residenza e di un indirizzo di posta attivo per accedere al loro registro fiscale.
A questo punto gli hacker hanno avuto accesso al sistema dell’IRS per dirottare sui propri conti correnti eventuali rimborsi che spettavano ai contribuenti.
Come gli hacker hanno recuperato le informazioni online
Per gli hacker recuperare online le informazioni di cui avevano bisogno è stato molto semplice. In numerosi forum dell’underground criminale è possibile acquistare lotti di migliaia di record relativi a utenti di siti web che sono stati vittime di violazioni di dati a seguito di attacchi informatici.
Ovviamente, il processo di autenticazione “knowledge-based” implementato dall’ISR è risultato inadeguato in quanto si basa su informazioni statiche dei contribuenti, facilmente reperibili al mercato nero.
Per comprendere il reale numero di utenti a rischio basti sapere che due degli ultimi incidenti informatici negli Stati Uniti che hanno coinvolto i principali enti assicurativi in ambito sanitario, Anthem e CareFirst, hanno causato la divulgazione dei dati di decine di milioni di utenti le cui informazioni oggi sono acquistabili su molti siti utilizzati da criminali informatici.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef
