Home Security Heroes, società statunitense specializzata in sicurezza, ha pubblicato l’esito di una ricerca che mostra la devastante efficacia dell’Intelligenza Artificiale (IA) nel decifrare le password. Il 51% di tutte le password comuni è stato violato in meno di un minuto, il 65% in meno di un’ora, il 71% in meno di un giorno e l’81% in meno di un mese. Microsoft propone un nuovo tool per la sicurezza basato anch’esso sull’IA ma la prima linea di difesa resta la consapevolezza.

La minaccia del password cracking

Per password cracking si intende, in generale, il processo di recupero di una password. Il password cracking può quindi essere utilizzato in modo legittimo, ad esempio per risalire a prove digitali essenziali in giudizio, oppure può essere utilizzato da cybercriminali per ottenere l’accesso non autorizzato ad un sistema.

Ad oggi, i metodi di password cracking più comuni sono: 

• L’attacco a forza bruta (brute-force attack), che consiste nel forzare l’accesso ad un sistema provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Per sua natura questo metodo, per quanto affidabile, può richiedere un elevato numero di tentativi e un lungo tempo d’esecuzione;
• L’attacco a dizionario, che consiste nel forzare l’accesso ad un sistema provando ad utilizzare un numero finito di termini generati da un apposito software. L’affidabilità di questo sistema dipende dal dataset di parole utilizzate, tuttavia spesso si rivela efficace, in quanto la maggior parte delle persone tende a scegliere parole di uso comune prese dalla propria lingua nativa.

Il password cracking basato su IA

Accanto agli aspetti positivi derivanti dalle funzioni e dalle innumerevoli applicazioni utili dei moderni servizi di intelligenza artificiale, si aggiungono nuovi rischi. Uno di questi è rappresentato dall’utilizzo dell’IA per fini malevoli, ovvero per “costruire siti di phishing, campagne advertising, display banner e comunicazioni sempre più efficaci e ‘cucite’ sui singoli profili di persone o aziende”, ha dichiarato Lorenzo Asuni, CMO di Ermes, azienda italiana che si occupa di cybersecurity. Fra gli impieghi malevoli dell’IA, vi rientrano anche le tecniche avanzate di cracking delle password. 

PassGAN è uno fra i software più innovativi che utilizza queste tecniche. Alla base del suo funzionamento vi è la Generative Adversarial Network (GAN), ovvero una classe di metodi di apprendimento automatico dell’IA, che consente di esaminare e apprendere dai data leak (fughe di password) la composizione delle parole chiave. La novità rispetto ai sistemi di password cracking sopraesposti e tradizionalmente utilizzati, deriva proprio dalla capacità di PassGAN di apprendere in autonomia le abitudini degli utenti in merito alla composizione delle password. Per tale ragione rappresenta uno strumento particolarmente efficace.

L’indagine condotta con PassGAN

Home Security Heroes, società statunitense specializzata in sicurezza, ha utilizzato PassGAN per condurre un’indagine sull’efficienza dei nuovi sistemi di password cracking basati sull’Intelligenza Artificiale. Partendo dall’analisi di un dataset di oltre 15.680.000 di credenziali, PassGAN è stato in grado di decifrare il 51% delle password più comuni in meno di un minuto, il 65% in meno di un’ora, il 71% in meno di un giorno e l’81% in meno di un mese.

Fonte: https://www.homesecurityheroes.com/ai-password-cracking/

Dall’indagine è emerso anche che PassGAN impiega:

• meno di 6 minuti per decifrare qualsiasi tipo di password complessa di 7 caratteri, anche se contiene simboli, lettere maiuscole e minuscole e numeri;
• poche ore per decifrare qualsiasi tipo di password complessa di 8 caratteri, anche se contiene simboli, lettere maiuscole e minuscole e numeri.

Proprio quando sono coinvolti modelli di password complessi emerge la principale differenza fra i consueti strumenti di cracking e PassGAN, che si rivela al tempo stesso efficace anche nel decifrare password più semplici (ad esempio, password numeriche fino a 14 caratteri possono essere decifrate in pochi minuti). 

Come difendersi?

Nel mese di marzo 2023, Microsoft ha manifestato la propria preoccupazione rispetto ai problemi di sicurezza legati al rapido avanzamento dell’IA, annunciando la nuova suite “Security Copilot” che aiuterà i professionisti della sicurezza informatica a proteggere le organizzazioni dall’uso dannoso della tecnologia moderna.

“Al giorno d’oggi i professionisti della sicurezza informatica si trovano troppo spesso coinvolti in conflitti asimmetrici contro nemici implacabili e sofisticati”, ha dichiarato Vasu Jakkal, Corporate Vice President di Microsoft Security. “Con Security Copilot, stiamo riportando l’equilibrio del potere a favore degli esperti di sicurezza. Security Copilot è il primo e unico prodotto di sicurezza con Intelligenza Artificiale generativa che consente di difendersi dalle minacce informatiche al ritmo e alla scalabilità dell’AI”.

Negli ultimi anni gli attacchi informatici sono aumentati in maniera esponenziale e spesso le organizzazioni sono state sopraffatte a causa di scarsi investimenti nel settore della cybersecurity e della formazione. Ora le tecniche di attacco basate su IA, grazie alla capacità di apprendere e migliorarsi continuamente, minacciano di aggravare una situazione già critica. Come stare al passo?

Difendersi dall’IA con l’IA

Microsoft, con Security Copilot, propone di usare l’Intelligenza artificiale “buona”, contro l’Intelligenza artificiale “cattiva”, in modo da conferire anche agli strumenti di difesa la stessa scalabilità e capacità di perfezionarsi di software come PassGAN.

Il prodotto dell’azienda di Redmond, infatti, consentirà agli utilizzatori di accedere ai modelli OpenAI più avanzati, per supportare le attività di sicurezza più impegnative e garantire agli esperti di cybersecurity di operare basandosi sulle conoscenze più recenti degli aggressori e delle relative tattiche. La sua capacità di analizzare le minacce è alimentata sia dai dati di sicurezza propri dell’azienda cliente, sia dalle analisi delle minacce di Microsoft. Nell’annuncio si legge che “Microsoft Security monitora attivamente più di 50 gang di ransomware, più di 250 organizzazioni di criminali informatici nation-state e riceve 65 trilioni di segnali di minaccia ogni giorno. La tecnologia Microsoft blocca più di 25 miliardi di tentativi di attacchi password brute force al secondo e gli oltre 8.000 esperti del Security Operations Center di Microsoft analizzano più segnali di sicurezza di quasi tutte le altre aziende, utilizzando in media oltre 100 fonti di dati diverse”.

Purtroppo, Microsoft Security Copilot è attualmente in fase di anteprima e non è ancora disponibile. 

Dalla teoria alla pratica

Troppo spesso la necessità di implementare un programma di sensibilizzazione alla sicurezza emerge solo quando l’organizzazione subisce attacchi che portano all’installazione di malware e al furto di credenziali. La formazione e l’educazione degli utenti, invece, dovrebbero sempre essere preventive e mirate: il personale addetto alla sicurezza informatica dovrebbe approfondire periodicamente le proprie conoscenze, per implementare i controlli di sicurezza e gestire correttamente i dati; gli utenti finali dovrebbero seguire una formazione di base sulle migliori misure per garantire la sicurezza dei database e dei dati personali trattati. I programmi di sensibilizzazione, oltre ad essere un essenziale strumento di prevenzione, costituiscono un mezzo efficace per adempiere agli obblighi di cui agli articoli 29 e 32 del GDPR e dimostrare di aver adeguatamente istruito il personale rispetto al trattamento dei dati e alle misure di sicurezza implementate.

I cybercriminali sono ben consapevoli che il c.d. “fattore umano” rappresenta una delle principali vulnerabilità di enti ed imprese e, proprio per questo, si sono sviluppate molteplici tecniche di attacco basate sull’ingegneria sociale (Phishing/Spear phishing, Pretexting, Baiting, Quid pro quo, Tailgating, per citarne alcune).

Un livello insufficiente di competenza in materia di cybersecurity e una formazione inadeguata dei dipendenti, possono portare a data breach con gravi conseguenze per l’organizzazione. Abbiamo quindi messo a disposizione un’intera area tematica di corsi dedicati alla cybersecurity, che ti invitiamo a consultare: https://laborformazione.it/aree-formative/?pagina=cybersecurity. 

Per ulteriori informazioni sui corsi o per la realizzazione di corsi personalizzati, contattaci. Il nostro team di consulenti saprà proporti la soluzione più adatta alla tua organizzazione.