Raccogliamo in questa pagina alcuni dei quesiti che tipicamente ci vengono rivolti con le relative risposte; siamo a disposizione per ogni domanda inerenti i nostri servizi ed a tale scopo è prevista la form di richiesta informazioni
Il CERT-PA ha rilevato che l’incremento dei cyber attacchi anche all’Italia è derivato in parte dal crollo dei prezzi di malware, tool e servizi su dark web e deep web. A parte gli 0day e gli exploit più recenti, colpire costa molto poco. Gli attacchi informatici del cybercrime sono in crescita in tutto il mondo, Italia compresa. Ciò è dovuto in parte al crollo dei prezzi di malware, tool, liste di credenziali e servizi disponibili nel dark web o nel deep web. Il CERT della Pubblica Amministrazione (CERT-PA) traccia un’interessante panoramica di ciò che gli hacker o attori malevoli possono trovare sul mercato nero e soprattutto su quali sono i costi. Tra gli strumenti più cari ci sono gli 0day e gli exploit che sfruttano vulnerabilità remote risolte di recente. Ciò in quanto in molti casi sono ancora validi, in quanto i processi di aggiornamento e di patch dei sistemi, soprattutto a livello di aziende, enti e istituzioni solitamente sono lenti. Di conseguenza, spesso le finestre di opportunità per lanciare cyber attacchi rimangono aperte anche se sono stati lanciati gli allarmi e sono disponibili nuove protezioni di cyber security.
Il CSIRT-Italia: INPS diventa esca del cybercrime anche per una campagna phishing in Italia. Il link nella mail su un presunto mancato rimborso, punta a un falso sito dell’Istituto. Obiettivo: rubare dati sensibili Il cybercrime ora usa INPS anche per campagne phishing, oltre che per veicolare il malware Ursnif/Gozi, in Italia. Lo denunciano gli esperti di cybersecurity del CSIRT-Italia. L’esca è una mail su un falso tentativo di rimborso non andato a buon fine, in cui si chiede di aprire un link per elaborare manualmente l’operazione. Questo porta a una falsa pagina dell’Istituto in cui è richiesto l’inserimento dei dati personali e della carta di credito. Per rafforzare l’inganno, peraltro, una volta ultimato il processo appare una seconda pagina in cui digitare il codice OTP che dovrebbe essere inviato al numero di telefono che l’utente ha comunicato nel form. Il codice non arriverà mai, in quanto si tratta di una truffa il cui obiettivo è esclusivamente rubare i dati sensibili delle vittime. Le teoriche pagine INPS, infatti, appartengono a terzi che non hanno alcun legame con l’Istituto e non utilizzano il protocollo https.
Il plugin NestGen di WordPress ha due vulnerabilità CSRF, che permettono ad attori del cybercrime di prendere il controllo totale del sito WordPress è l’ossatura per definizione di tantissimi siti web – si calcola circa il 20%. Grazie alla sua configurabilità e bassi costi di gestione, questo CMS è leader di mercato indiscusso. Ma questa enorme configurabilità lascia spesso aperte “porte”, da dove i Criminal Hacker possono entrare; in particolare quando si parla dell’utilizzo dei plugin di terze parti. È questo il caso di plugin NextGen Gallery. Installato secondo le prime stime in oltre 800mila siti, consente agli admin di caricare le foto in lotti, importare metadati ed editare le anteprime delle immagini. I ricercatori hanno scoperto la presenza di due vulnerabilità CSRF (cross-site request forgery): una critica e una ad alta gravità. Una patch (versione 3.5.0) è stata resa disponibile il 17 dicembre 2020 e i ricercatori di cybersecurity hanno sottolineato l’importanza di aggiornare il plugin per evitare danni molto gravi. Lo sfruttamento di tali falle potrebbe, infatti, portare a prendere il controllo totale del sito, l’impostazione di redirect dannosi, phishing e tanto altro ancora.
L’Italia schiera il Nucleo per la Sicurezza Cibernetica per difendersi dagli attacchi che sfruttano SolarWinds L’Italia schiera il Nucleo per la Sicurezza Cibernetica per difendersi dagli attacchi del cybercrime e di attori di cyber espionage, che sfruttano SolarWinds. Lo rende noto il Dipartimento delle Informazioni per la Sicurezza (DIS) in una nota, in cui si spiega che il Nucleo si è riunito per valutare ogni possibile impatto della campagna di attacchi informaticianche sulle reti e sui sistemi nazionali. “A seguito della manomissione di una serie di aggiornamenti della piattaforma SolarWinds Orion avvenuti a partire da marzo, alcuni hacker si sono introdotti all’interno delle reti e dei sistemi informatici di enti governativi e privati in tutto il mondo spiando le loro mosse e in alcuni casi trafugando asset dati molto sensibili – si legge nel testo -. L’Italia ha attivato dalle prime fasi della scoperta il Nucleo per la Sicurezza Cibernetica, l’organismo collegiale a cui è affidato il compito di gestire gli incidenti informatici che potrebbero avere un potenziale impatto sulla sicurezza nazionale, che sta costantemente seguendo l’evolversi della situazione”.
Gartner ha recentemente affermato, “DMZ e VPN classiche sono state progettate per le reti degli anni ‘90 e sono diventate obsolete”. Concludono “Progetti di rete che espongono servizi e accettano connessioni non sollecitate presentano un rischio troppo grande,” e proseguono suggerendo che tali disegni sono ormai obsoleti. Mettere in sicurezza un perimetro dinamico nei giorni d’oggi richiede un diverso approccio, per fornire accesso ovunque, in ogni momento e con ogni mezzo. Tra le raccomandazioni di Gartner vi è di prediligere “tecnologie di isolamento capaci di un accesso preciso a livello applicativo, basato sul contesto, solo dopo una autenticazione riuscita”. Le VPN controllano solo l’accesso al perimetro della rete. I servizi VPN tradizionali sono permissivi, consentendo al personale di accedere a molte più aree della rete di quelle che servono per il lavoro di ogni giorno. Una volta connessi via VPN, la rete è usualmente aperta, permettendo al dipendente collegato o a una organizzazione l’accesso potenziale a tutti i beni e a tutti i servizi della rete interna. Le VPN “Prima Connettono, Poi Autenticano”. Con una tradizionale VPN l’utente si connette all’infrastruttura, quindi si autentica. Questo significa che, prima che l’utente fornisca credenziali legittime, si ha accesso alla rete, che può essere sondata per scoprire un potenziale accesso ai servizi. Le VPN possono essere scomode e difficili da gestire. Per VPN client-based il personale deve passare attraverso un processo di connessione alla VPN prima di poter accedere a un qualunque servizio. Questo processo può essere lento e inaffidabile, e, se la richiesta per la VPN è alta in qual momento, la connessione potrebbe fallire del tutto, con conseguente perdita di produttività e frustrazione. Qualsiasi dipendente che abbia già usato una VPN Enterprise sa che questi servizi operano con lentezza e con limitata affidabilità. Se l’impresa sta usando applicazioni disperse geograficamente, gli utenti saranno frustrati dal doversi collegare e scollegare continuamente e dal dover tenere traccia della località a cui collegarsi per accedere a un’applicazione di cui hanno bisogno. Nell’ambiente connesso del giorno d’oggi, l’impresa potrebbe dover fornire molte VPN da sito-a-sito per integrare i propri fornitori, i clienti, gli uffici remoti e collegare i propri centri dati, delle sedi o basati nel cloud. Questo implica che gli amministratori IT devono configurare e coordinare molte policy VPN e firewall. Questo peggiora il sovraccarico gestionale e aumenta la probabilità di errori di configurazione che possono inavvertitamente aprire accessi pericolosi. Le VPN non sono sempre attive. Con le VPN client-based, molte soluzioni stabiliscono una connessione VPN solo quando l’utente la richiede. Quando la VPN non è stabilita, il dispositivo dell’utente finale può comunque accedere ad altre reti, come Internet. Questo approccio, conosciuto come split-tunneling, permette l’esposizione a violazioni dell’endpoint quando si è connessi a reti non sicure. La flessibilità della VPN è anche la sua debolezza. Le VPN tradizionali supportano un gran numero di opzioni di configurazione. Tuttavia questa presunta flessibilità può anche essere un punto di debolezza. Quando una VPN sta per essere stabilita, ciascun endpoint negozia una configurazione tipica che sarà utilizzata. Anche se questo è il più robusto profilo crittografico che entrambi gli estremi della VPN hanno in comune, non è il più robusto profilo crittografico possibile. Questo si traduce in una “corsa al ribasso” per trovare “il minimo comune denominatore” della configurazione VPN che ciascun endpoint è in grado di supportare.
Utilizzo di un WAF E’ utile partire da una descrizione di come utilizzare un WAF. Per fare questo consideriamo un esempio teorico utile a identificare i punti di interesse. Ovviamente si parte dall’avere un servizio che espone un’interfaccia pubblica in Internet, ovvero un’interfaccia che può essere raggiunta da chiunque da Internet. Questo però non vuol dire che chiunque possa accedere a tutti i servizi e dati dell’applicazione in quanto può essere richiesta un’autenticazione per fare ciò. In questa discussione però non è necessario arrivare a considerare queste logiche applicative che sono spesso specifiche per ogni applicazione. Per le valutazioni che verranno fatte non è inoltre necessario considerare se il servizio esposto è un classico sito web o di commercio elettronico, il backend di una Mobile App o sono esposte delle Web API. Il punto importante è che il trasferimento di dati in Internet è effettuato utilizzando il protocollo HTTP e codice in HTML, XML, JSON, Javascript ecc.
La Cyber Kill Chain è uno strumento eccellente per capire in che modo le organizzazioni possono aumentare notevolmente la possibilità di difendere il loro ambiente “Cyber Kill Chain” è l’espressione usata per indicare il modello del ciclo di vita di un attacco informatico. Il nome è l’adattamento al campo della cyber security del concetto di Kill Chain utilizzato in ambito militare per indicare un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco. In ambito informatico, è uno strumento eccellente per capire in che modo le organizzazioni possono aumentare notevolmente la possibilità di difendere il loro ambiente rilevando e bloccando le minacce in ogni fase del ciclo di vita dell’attacco: ci insegna quindi che, mentre gli avversari devono completare tutte le fasi affinché l’attacco vada a buon fine, noi (i difensori) dobbiamo “solo” fermare e spezzare la catena in qualsiasi fase del processo. Ma come fare?
Lo studio, indipendente e in forma anonima, ha analizzato le risposte di 4.400 professionisti della sicurezza e della privacy in 25 paesi esponendo sia i principali atteggiamenti verso la legislazione sulla privacy che le metriche che vengono segnalate al management esecutivo. Ecco qui di seguito i principali risultati dell’indagine. La privacy è molto più di una semplice questione di conformità: le aziende la considerano un diritto umano fondamentale ed è diventata una priorità per il management. L’indagine rivela poi significative preoccupazioni per la privacy a causa del rapido passaggio al lavoro a distanza unita alla necessità di utilizzare le informazioni sanitarie del singolo individuo. Il 60% delle organizzazioni ha affermato di non essere stato preparato per i requisiti di privacy e sicurezza legati al passaggio al lavoro da remoto. Il 93% delle aziende intervistate si è rivolto ai propri team dedicati alla privacy per aiutare a superare queste sfide. L’87% dei consumatori ha espresso preoccupazioni sulla protezione della privacy degli strumenti che devono utilizzare per lavorare, interagire e connettersi da remoto. Il 90% delle aziende ora riferisce le metriche sulla privacy al management e ai consigli di amministrazione
Gli attori di minacce utilizzano metodi più sofisticati per evitare il rilevamento standard. Spesso sanno quali organizzazioni vogliono attaccare e adottano un approccio in più fasi per garantire che il loro attacco abbia le migliori possibilità di successo. Gli aggressori possono inserire un codice semplice e non rilevabile in un sistema IT per eseguire il riconoscimento. Queste informazioni vengono inviate al centro di comando e controllo dell’aggressore, che invia lo script al sistema della vittima per disattivare le misure di sicurezza. L’antivirus può impedire solo attacchi noti, quindi gli aggressori sviluppano un nuovo codice per evitare il rilevamento. Le aziende devono creare difese a più livelli, in grado di rilevare quei comportamenti anomali all’interno della rete che potrebbero indicare la presenza di malware. L’apprendimento automatico può calcolare i cambiamenti del comportamento e arrestare rapidamente l’attività. Una volta rilevato il ransomware, è necessario impedirne la diffusione. Se il ransomware è attualmente limitato a un computer, si deve rimuovere il computer infetto dalla rete. Dopo che il computer è stato isolato, un team di sicurezza può rimuovere il malware. Il vecchio detto “chi non si prepara, si prepara a fallire” non è mai stato così vero nel caso del ransomware. Spesso, si tratta di stabilire se si dispone della tecnologia e dei processi adeguati.
Continuano a definirsi i contorni del sofisticato attacco hacker alla supply chain della piattaforma Orion di SolarWinds che ha consentito ad un gruppo hacker, probabilmente il famigerato APT29 sostenuto dal governo russo, di spiare per mesi enti governativi USA e company di alto livello in tutto il mondo. Ecco i potenziali impatti, anche per le aziende italiane, le versioni esposte della piattaforma e le azioni di mitigazione. È stata infatti identificata la vulnerabilità CVE-2020-10148 nella piattaforma Orion di SolarWinds, utilizzata per la gestione e il monitoraggio delle reti. La falla di sicurezza, per la quale è stato reso disponibile anche un Proof of Concept, permetterebbe l’esecuzione di codice da remoto includendo parametri appositamente preparati, eludendo così il sistema di autenticazione dell’API server del prodotto.