Nell’agosto del 2012, un giornalista di Wired di nome Mat Honan ha perso la sua vita digitale in meno di un’ora. L’attacco non ha usato malware. Gli aggressori non hanno indovinato la sua password. Non lo hanno phishato. Hanno preso il telefono.

Hanno chiamato Amazon. Poi hanno chiamato Apple. Quando il MacBook di Honan ha finito di ripristinarsi alle impostazioni di fabbrica davanti a lui, otto anni di Gmail erano spariti. Le uniche copie delle prime fotografie di sua figlia sono andate con la cancellazione.

Gli aggressori volevano il suo handle di Twitter. Era lungo tre lettere.

Quello che vale la pena notare non è l’astuzia degli aggressori. L’attacco non era astuto. Quello che vale la pena notare è che ogni passaggio della catena era il processo documentato e ufficiale. La verifica dell’identità di Amazon ha funzionato esattamente come era stata progettata. Lo stesso vale per Apple. Lo stesso vale per il flusso di recupero della password di Google, che ha mostrato abbastanza dell’email di recupero iCloud di Honan da indicare agli aggressori dove chiamare dopo. Honan non aveva commesso un solo errore. Aveva usato ogni sistema nel modo in cui era stato concepito.

I sistemi erano stati costruiti in modo tale che usarli correttamente producesse questo risultato.

Questa è la parte che la maggior parte dei consigli sulla sicurezza non riesce a raggiungere.

La checklist standard non avrebbe aiutato

Se aveste parlato con Honan prima dell’attacco e gli aveste chiesto cosa avrebbe dovuto fare diversamente, avrebbe potuto darvi una discreta checklist di sicurezza. Usare password robuste. Non riutilizzarle. Essere scettici riguardo alle email strane. Fare il backup dei dati. Conosceva la lista. Probabilmente ne aveva scritto parti lui stesso.

La lista non avrebbe aiutato. Nessuna di quelle difese era la cosa che si è rotta. Il problema era che qualsiasi adulto sufficientemente determinato con un telefono poteva concatenare i servizi di assistenza di tre aziende e uscirne con le chiavi della vita di uno sconosciuto. Nessun elemento della checklist affronta questo. Non direttamente. Non in tempo.

Ho trascorso più di vent’anni all’interno di aziende crypto e software, osservando cosa fanno davvero gli aggressori e quali difese funzionano davvero. La storia di Honan non è insolita. È la forma quotidiana del problema, ridimensionata a una persona. La stessa forma si ripete alla scala di un consiglio di amministrazione Fortune 500, una piccola startup, un wallet in self-custody, un laboratorio di ricerca, una famiglia.

La maggior parte dei consigli sulla sicurezza ha il soggetto sbagliato

La maggior parte dei consigli sulla sicurezza assume che l’utente sia il componente attivo. Vigilanza, attenzione, giudizio, complessità delle password, sospetto verso i link. L’utente è in guardia. I sistemi sono passivi. Resta allerta e rimarrai al sicuro.

Gli attacchi reali non funzionano così. Gli attacchi reali sfruttano il comportamento predefinito dei sistemi. Il flusso predefinito dello script del servizio clienti. L’opzione predefinita nel menu a tendina. La fiducia predefinita riposta in un indirizzo mittente. Il modello predefinito di come viene verificata l’identità. L’utente è raramente il componente attivo. Lo è il sistema. L’utente è in autopilota, e lo è anche l’aggressore, e l’unica domanda è quale copione stia seguendo l’autopilota.

Quattro idee assorbono molta attenzione e denaro in questo settore e producono pochissima sicurezza.

La conformità, la convinzione che seguire le regole ti renda al sicuro. Equifax era un’azienda conforme e certificata quando ha perso i dati personali di circa 147 milioni di americani nel 2017.

I prodotti, la convinzione che acquistare gli strumenti giusti ti renda al sicuro. Twilio aveva l’autenticazione a più fattori e la formazione sulla sicurezza quando è stata violata nel 2022. Cloudflare, colpita dalla stessa campagna di phishing nella stessa settimana, non è stata violata. L’etichetta MFA copriva entrambe. Il meccanismo al suo interno no.

La paranoia, la convinzione che stare in costante allerta ti renda al sicuro. La vigilanza ha una vita media che il calendario supererà. Gli aggressori non hanno bisogno che tu sia disattento tutto il tempo. Hanno bisogno che tu sia disattento una volta sola.

La competenza, la convinzione che sapere abbastanza ti renda al sicuro. Mat Honan era un esperto. Lo sono la maggior parte delle persone che vengono colpite.

Cosa rimane

Quello che rimane, quando si sottraggono questi quattro elementi, è una sola parola che copre molto terreno.

I default.

Più precisamente: default progettati in modo che il risultato sicuro sia quello che accade quando nessuno sta prestando attenzione. Una chiave di sicurezza hardware su un account Google è un default. Una volta installata, un sito di phishing non può raccogliere un secondo fattore utilizzabile, indipendentemente da quanto convincente sia la pagina, indipendentemente da quanto tu sia stanco quando fai clic. Il risultato sicuro non si guadagna attraverso la vigilanza ad ogni accesso. Viene installato una volta sola. Dopodiché è il livello garantito.

La stessa logica si generalizza. Un hardware wallet configurato correttamente significa che un aggressore remoto che ha il pieno controllo del tuo laptop non può comunque spostare le tue monete. Un conto pagamenti separato presso una banca diversa dal tuo conto principale significa che un attacco di phishing andato a segno su un set di credenziali non raggiunge l’altro. Nessuno di questi è un atto eroico. Sono decisioni di configurazione, prese una volta sola, con l’intenzione di cambiare cosa succede la prossima volta che non stai prestando attenzione.

Il caso di Honan si adatta al modello col senno di poi. La catena che ha distrutto la sua vita digitale aveva quattro anelli. Almeno tre erano spezzabili con i default disponibili per lui all’epoca. Google aveva lanciato la Verifica in 2 Passaggi nel 2011, l’anno prima; attivarla avrebbe fermato l’attacco al primo anello. Usare una carta di credito diversa per Amazon rispetto ad Apple lo avrebbe fermato nel mezzo. Un backup di Time Machine che iCloud non poteva raggiungere avrebbe preservato le foto. Nessuno di quei default richiedeva che fosse più intelligente o più scettico di quanto già fosse. Erano decisioni di configurazione. Semplicemente, non le aveva prese.

Questa è la differenza di cui si occupa il libro che sto scrivendo. Non cosa fare durante un attacco. Cosa configurare prima.

Il titolo provvisorio è Safe by Default. Sviluppa il ragionamento su sicurezza personale, finanza, self-custody e le organizzazioni che costruisci o in cui lavori. Analizza i principali schemi di attacco dalla documentazione pubblica e da vent’anni della mia esperienza personale, e mostra quali default catturano quali attacchi. È onesto sul costo di ognuno, perché ogni default ne ha uno.

La tesi, in una frase: rendi sicuri i tuoi default, in un mondo in cui gli aggressori contano sulla loro comodità.

Se vuoi essere avvisato quando il libro uscirà, il posto giusto è la home page di questo sito.