Acquistare un router di seconda mano e trovarci le informazioni sensibili di chi lo ha usato in precedenza. Stiamo parlando di numeri piccolissimi, un campione di 16 router esaminato da Eset.
Si può obiettare – non a torto – che 16 dispositivi di rete usati non sono un campione esaustivo. Le cose cambiano quando si osserva che tutti e 16 contenevano informazioni utili a identificare il proprietario precedente oltre alle credenziali VPN, IPsec oppure root. Poco probabile, anche nel rispetto della legge dei grandi numeri, che Eset abbia casualmente esaminato una manciata di router dismessi in modo non opportuno tra i tanti che vengono passati di mano nel pieno rispetto dell’igiene della security, della privacy e della riservatezza.
Indice degli argomenti
Cosa dicono i dati Eset
Sempre prendendo in considerazione il campione di 16 router, è emerso che 9 di questi (il 56%) contenevano dati sensibili che palesano una certa insofferenza degli amministratori di rete nel proteggere l’azienda.
Nel 22% dei casi apparivano persino i dati dei clienti e questo rappresenta di per sé una violazione della privacy le cui conseguenze, ancora una volta, possono ricadere sulle spalle dell’azienda che ha fatto uso del router.
Il ricercatore di Eset Cameron Camp ha dipinto le conseguenze di questo fenomeno sostenendo che: “L’impatto potenziale dei risultati raccolti attraverso questa analisi è estremamente preoccupante e dovrebbe essere un campanello d’allarme”.
Il contesto è quello delle medie imprese e quello delle multinazionali attive in diversi settori, tra i quali data center, studi legali, aziende IT, aziende che sviluppano software e fabbriche. Eset ha avvertito le aziende sensibilizzandole affinché si prodigassero per correggere le lacune.
Il fatto che le politiche lasche attuate nei casi di dismissione riguardi anche le grosse organizzazioni nelle quali esiste un dipartimento dedito esclusivamente al networking deve fare riflettere: non possiamo sapere se si tratta di negligenza o mancanza di una cultura appropriata, ma il problema è comunque tangibile. Va anche preso in considerazione che i dati d’accesso alle reti aziendali vengono venduti in media a 2.800 dollari e quindi un router dismesso ha un valore che va al di là del costo dell’apparato in sé.
La genesi del problema
Per comprendere meglio la genesi di questo fenomeno, ci siamo avvalsi di Giuseppe Massa, Cyber security and Data Privacy Expert di Cisco. I router vengono immessi nel mercato di seconda mano alla leggera perché la cultura della cyber security difetta e perché le procedure, benché esistenti, vengono snobbate. “Il problema della permanenza di dati sensibili sugli apparati dismessi o a fine vita è ampiamente trattato nei framework di cyber security e classicamente rientra nelle procedure di gestione degli asset e dei dati aziendali. È responsabilità di chi gestisce gli apparati o i dati in esso memorizzati prevedere policy e procedure adeguate a rimuovere le informazioni personali, confidenziali e le configurazioni sensibili dalle memorie ogni qualvolta l’apparato viene esposto ad attività di manutenzione, rivenduto o dismesso”.
Ci sono norme specifiche che disciplinano il trattamento dei dati, a partire dal General Data Protection Regulation (GDPR): “Tra l’altro – continua Massa – la cancellazione sicura dei dati è richiesta e resa obbligatoria dal Codice in materia di protezione dei dati personali del 2003, dal Gdpr del 2016 e, inoltre, nel Framework Nazionale di Cybersecurity e Data Protection italiano scritto dal Consorzio interuniversitario nazionale per l’informatica nel 2019, si indica come prioritaria la necessità di avere un processo formale ben definito a riguardo”.
Credere che il rivenditore si faccia carico della questione sicurezza è almeno parzialmente fuorviante giacché, spiega Massa: “Il manutentore o il rivenditore potrebbe farsene carico, ma formalmente, le policy e procedure di gestione delle configurazioni e i dati memorizzati sui dispositivi dovrebbe dipendere dal livello di confidenzialità delle informazioni presenti sui supporti, dal tipo di accordo che si ha con l’eventuale entità esterna che gestisce gli apparati in manutenzione e/o dismessi e dal livello di fiducia dell’azienda nei riguardi di quest’ultima”.
Come dismettere correttamente un apparato
Abbozziamo una soluzione al problema e capiamo come dismettere correttamente l’hardware con l’esperienza di Giuseppe Massa: “In generale le procedure da implementare per rimuovere i dati e le configurazioni dagli apparati dipendono dal livello di criticità e sensibilità delle informazioni memorizzate e sono legate alla tipologia di memoria utilizzata nell’apparato. In alcuni casi si deve prevedere la distruzione fisica delle memorie, come per i dischi allo stato solido, perché la cancellazione (wiping), la formattazione, o la riscrittura con dati casuali (zeroization) non sono sufficienti a rimuovere definitivamente i dati dal supporto. Esistono infatti procedure e tecnologie per leggere e ricostruire quanto scritto precedentemente in questi tipi di dischi anche dopo tali trattamenti”.
Va quindi escluso che un hard reset possa essere sufficiente così come è da escludere che simili accorgimenti riguardino soltanto server, client e parti attive di rete.
Come ridurre ulteriormente i rischi
I mercati secondari ci sono e hanno una precisa ragione d’essere nella logica del riutilizzo che fa peraltro bene all’ambiente ma i rivenditori devono essere selezionati con cura.
“La digitalizzazione ha cambiato la nostra vita e il nostro modo di lavorare e per raccoglierne appieno i vantaggi occorre essere consapevoli dei rischi correlati e pensare ed organizzarsi di conseguenza, proteggendo i dati personal sensibili e gli strumenti IT che li ospitano ovunque essi siano, in tutto il loro ciclo di vita, dall’acquisizione e accensione fino alla dismissione a casa, in azienda o nel cloud. Rivendere i dispositivi o gli apparati di rete non più utilizzati non è sbagliato, è una scelta in linea con gli obiettivi di sostenibilità di molte aziende e aiutano a ridurre sprechi e inquinamento. Occorre semplicemente cautela e organizzazione sia per chi li dismette per la possibile perdita di dati sensibili, sia per chi li acquisisce”, continua Massa.
Che conclude: “Vanno valutati anche i rischi di ritrovarsi in casa materiale contraffatto con malware e back door nel software e nei firmware installati o per l’assenza di licenze d’uso. Bisogna affidarsi a rivenditori qualificati e certificati che garantiscano, oltre alle funzionalità dell’apparato, anche qualità e sicurezza. Posso aggiungere che Cisco stessa, in linea con i suoi obiettivi di sostenibilità e responsabilità sociale, ha un offerta di prodotti refurbished, rigorosamente testati, ricondizionati e ripuliti di ogni memoria dei precedenti usi, e rimessi sul mercato attraverso un processo trasparente, certificato ISO 9000/14001 che garantisce l’autenticità del hardware e del software, conveniente e sicuro per l’utente finale”.
Anche per Ivan Tonon, Regional Director Italy&Spain di Netgear: “La protezione dei dati sensibili e la sicurezza dei dispositivi è una questione molto attuale e una tematica centrale. Siamo consapevoli della necessità di adottare misure di salvaguardia per proteggere reti e dati. Nel corso degli anni abbiamo lavorato molto per far fronte a questo problema e per trovare delle soluzioni che garantissero ai nostri clienti, sia essi privati o aziende, un efficace sistema di protezione dei router domestici ma anche degli hotspot mobile”.
“Sui nostri device”, continua ancora Tonon, “abbiamo installato la soluzione ideale per bloccare gli attacchi informatici in costante aumento, un sistema che rileva e protegge attivamente i dispositivi da minacce informatiche quali virus, malware, spyware, ransomware, phishing e persino fastidiose botnet, bloccando qualsiasi tentativo di accesso a siti Web, URL o indirizzi IP che potrebbero rubare informazioni o identità. Inoltre viene implementato un sistema VPN che protegge le attività private online crittografando tutto il traffico Internet. Informazioni bancarie sensibili, password, download: tutto è protetto dagli hacker quando si utilizza una connessione Wi-Fi. Oltre a telefoni e computer personali, è coperto anche un numero illimitato di dispositivi IoT, come termostati intelligenti, telecamere, campanelli, illuminazione intelligente e altro ancora”.
