Dicevamo, da quando hanno capito che si può usare "la rete" per rubare soldi veri, molti ladri devono essersi laureati in informatica. O forse è successo il contrario, molti in­for­ma­ti­ci hanno preso la via del crimine.
Non importa, il fatto è che ogni giorno che passa qualcuno trova un nuovo modo per entrare da qualche parte (in senso informatico) e rubare. Soldi veri, non informazioni.

L'ultima trovata, da non sottovalutare, è di entrare in Azure (o Amazon Aws o Google Cloud), con un account carpito ad un amministratore. Ma non toccare quello che già c'è. Quello che fanno è usare quel cloud per creare macchine virtuali il più potenti possibile e usarle per fare crypto mining (*). Il conto chiaramente arriva al proprietario dello spazio cloud in questione, mentre gli eventuali bitcoin guadagnati se li tiene il ladro.

Molti forse pensavano che tutto sommato non fosse importante proteggere le credenziali di un ambiente cloud che non contenesse qualcosa di importante, ad esempio un ambiente di laboratorio, senza dati aziendali e senza applicazioni di produzione. Beh, dobbiamo ripensarci. Anche un ambiente vuoto o quasi, contiene qualcosa che ci possono rubare. E attenzione: non è detto che si tratti di pochi euro, anzi è sicuramente vero il contrario.

Cosa fare?
In generale la prima cosa da fare è ridurre la possibilità che un male intenzionato si appropri di credenziali amministrative. E se succedesse mettere in piedi strumenti per accorgersi e limitare i danni. Quindi:

1. Usare sempre mfa (autenticazione a più fattori)
2. Proteggere le identità con qualcosa come Identity Protection, e dare sempre seguito ad eventuali allarmi (sembra scontato, ma non lo è: serve un processo!)
3. Utilizzare conditional access, che permette di imporre condizioni specifiche per l'accesso di account "potenti", come ad esempio che arrivino da indirizzi ip predefiniti, o che non siano stati precedentemente oggetto di tentativi di accesso "strani".
4. Usare PIM (Privileged Identity Management) in modo da poter attivare un processo approvativo per l'attivazione e l'uso di credenziali privilegiate.
5. Ridurre il numero di account amministrativi
6. Configurare uno o più budget di spesa con allarmi al superamento del budget
   

Poi in generale si dovrebbe evitare di dare ruoli più ampi del necessario. E su questo tema occorre correggere una percezione: si limitano i diritti al minimo indispensabile non perché non ci si fidi di una persona, ma per limitare i rischi connessi alla possibilità che le credenziali di questa persona vengano compromesse. E siccome potrebbe anche capitare che la responsabilità di una azione malevola venga attribuita al pro­prie­ta­rio dell'account, il limite è una protezione anche per lui.

Alla fine, la protezione delle identità è la cosa più importante. I firewall, le vpn, le password complesse, la DPI (deep packet inspection) ecc. nulla possono fare di fronte a un utente che dispone delle credenziali di accesso ed esegue operazioni legittime, come creare delle macchine virtuali.

Vale la pena di investire tempo e denaro nel proteggere le identità, perché siamo solo agli inizi…

--------------------------------------------------------------------------

* Crypto mining è un'attività che richiede elevate risorse informatiche (si tratta di risolvere un "problema") e che, quando produce un risultato, fa guadagnare bitcoin a chi ha trovato la soluzione.
Analogamente a quanto succede ad esempio in una miniera di diamanti, dove devo scavare e setacciare una tonnellata di terra per trovare un grammo di diamanti, qui devo lavorare un sacco con una cpu per guadagnare un bitcoin. E analogamente a quanto capita con i diamanti, il valore di quello che trovo non ha alcuna relazione con la fatica che si fa a trovarlo, e nemmeno con il valore intrinseco di ciò che ho trovato. Il valore dipende solo da quanto gli altri desiderano avere quella pietra, o un bitcoin.
Avete l'impressione di non avere capito perché sembra non avere senso? Non è vero, avete capito. Solo che non ha senso.
Morale: trovare bitcoin costa caro, in corrente elettrica e in risorse informatiche. O non costa nulla se rubo le risorse con cui cercarlo.
E poi, per non perdere occasione di fare polemica, i diamanti, o l'oro, oltre a un valore estetico hanno anche un valore (non trascurabile) nell'industria. I Bitcoin invece non solo non servono a nulla, ma non sono nemmeno belli…