Implicazioni per la sicurezza dei Superuser Accounts
Se usati male, sia per errore (es. inavvertitamente cancellando un file importante o digitando male un comando potente), o con intenti malevoli, gli account superuser possono infliggere danni catastrofici ad un sistema/organizzazione.
Mentre la maggior parte delle tecnologie di sicurezza sono sviluppate per proteggere il perimetro, i superuser sono già all’interno. I superutenti possono essere in grado di cambiare le configurazioni dei firewall, creare backdoor e sovrascrivere le impostazioni di sicurezza, il tutto mentre cancellano le tracce della loro attività.
Politiche e controlli inadeguati sul provisioning dei superutenti, sulla segregazione e sul monitoraggio aumentano ulteriormente i rischi. Agli amministratori di database, agli ingegneri di rete e agli sviluppatori di applicazioni viene spesso dato pieno accesso come superutente. Gli utenti spesso condividono gli account superuser tra di loro, il che confonde la traccia di controllo. Nel caso dei PC Windows, gli utenti spesso accedono con privilegi di account amministrativo, molto più ampi di quello che è necessario.
In una delle storie più famose di un insider disonesto, Edward Snowden, un lavoratore a contratto IT per la NSA, ha abusato dei suoi privilegi di superutente per accedere, copiare e perdere oltre 1 milione di file altamente sensibili della NSA. Sulla scia di questo scandalo, la NSA ha preso di mira il 90% dei suoi amministratori di sistema da eliminare, per stabilire meglio un modello di sicurezza con meno privilegi.
Gli hacker bramano gli account superuser sapendo che, una volta che assumono questi account, lui/lei diventa essenzialmente un insider altamente privilegiato. Inoltre, il malware che infetta un account superutente, può sfruttare gli stessi diritti di privilegio di quell’account per causare danni e rubare dati.
.