Ogni giorno, anche per chi decide di tenere al minimo sindacale la propria quota di informazioni da carpire dai maggiori medium diffusori di notizie, sembra che si susseguano report che parlano di violazione di banche dati, di account rubati, di informazioni sensibili sottratte e rivendute nel Dark web.
Non dobbiamo stupirci però, questo tipo di attività criminale “digital” diverrà sempre più prevalente a fronte della Digital transformation che è in atto trasversalmente all’interno della nostra società – per noi, in qualità di individui, così come per tutti i business e le attività commerciali piccole o grandi che siano –, una controindicazione del cambiamento, non certo una singolarità propria unicamente di questo Paradigm Shift informatizzato.
Il progresso, sfortunatamente, non ha mai una sola faccia, spesso collegati ai grandi balzi in avanti abbiamo dei potenziali rischi, alcuni conosciuti, ma più soventi nuovi. Siamo in un’era nuova, è un fatto indiscutibile, oggi più che mai le informazioni rappresentano merce di scambio che fa gola a una serie di attori, non sempre ben intenzionati.
Stiamo parlando dei Criminal Hacker, una volta noti, per utilizzare un termine d’antan, come “pirati informatici”, che costantemente prendono d’assalto database e account privati di ogni tipo di provider di servizi, la refurtiva? Informazioni principalmente, usate a fini d’estorsione. Estorsione che si allarga anche solo alla minaccia di causare periodi di “down time”, sempre più costosi per le aziende, ma anche per i governi.
Approntare una difesa solida
Il numero di attacchi, anche cercando di mantenere una visione d’insieme positiva, è destinato solo ad accrescere per intensità e frequenza negli anni a venire, questo soprattutto se non sarà messa in atto una rivoluzione culturale nel modo in cui viene impostata la difesa delle infrastrutture IT delle aziende.
Non può più essere sufficiente il solo IT manager costretto a fare da “tappabuchi” e sin troppo sollecitato dai tentativi di incursione: serve sinergia tra provider e vendor, ma anche intuizione, hard e soft skills sempre aggiornate e in particolare c’è bisogno di giocare d’anticipo.
Microsoft e Swascan, esempio eccellente
Un ottimo esempio di questo nuovo paradigma sinergico è il recente caso di Swascan, azienda italiana già salita alla ribalta per il caso Adobe, e della sua collaborazione con Microsoft. Diverse settimane fa il il team di Cybersecurity e Bug Hunting dell’azienda, durante un test di sicurezza, ha identificato 5 vulnerabilità relative all’infrastruttura server di Microsoft, ed ha iniziato ad agire, in maniera coordinata ed operativa, con il Security Team di Microsoft USA.
Se sfruttate, queste “security failure” avrebbero potuto facilmente influire sull’integrità, la riservatezza e la disponibilità dei dati trattati, gestiti ed archiviati dai sistemi server interessati. Subito dopo aver scoperto queste informazioni cruciali, Swascan ha contattato il Team di Sicurezza di Microsoft USA, seguendo il principio della Responsible Disclosure.
In dettaglio
Il team Swascan ha isolato le criticità in questi 3 campi:
- CWE – 119: Il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Alcuni linguaggi consentono l’indirizzamento diretto delle allocazioni di memoria e non garantiscono automaticamente che queste posizioni siano valide per il buffer di memoria a cui si fa riferimento. Ciò può causare operazioni di lettura o scrittura su allocazioni di memoria che possono essere associate ad altre variabili, strutture dati o dati di programma interni. Di conseguenza, un aggressore può essere in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema;
- CWE-94: Il software costruisce tutto o parte di un segmento di codice utilizzando input influenzati esternamente da un componente a monte, ma non neutralizza – o lo fa in modo errato – elementi speciali che potrebbero modificare la sintassi o il comportamento del segmento di codice previsto. Quando il software permette all’input di un utente di contenere la sintassi del codice, potrebbe essere possibile per un potenziale aggressore creare il codice in modo tale da alterare il flusso di controllo previsto del software. Una tale alterazione potrebbe portare ad un’esecuzione arbitraria del codice. I problemi di “code injection” comprendono un’ampia varietà di problematiche – tutte attenuate in modi molto diversi. Per questo motivo, il modo più efficace per discutere queste debolezze è quello di notare le distinte caratteristiche che le classificano come debolezze del “code injection”. Uno degli aspetti più intriganti è che tutti i problemi in questo campo condividono una cosa in comune: permettono l’iniezione di dati del “control plane” nel piano dati controllato dall’utente. Ciò significa che l’esecuzione del processo può essere modificata inviando codice attraverso canali dati legittimi, senza utilizzare altri meccanismi. Mentre i buffer overflow, e molti altri difetti, comportano l’uso di qualche ulteriore problema per ottenere l’esecuzione, i problemi di iniezione richiedono solo l’analisi dei dati. Le istanze più classiche di questa categoria di debolezza sono gli attacchi basati sull’iniezione SQL e le vulnerabilità delle stringhe di formato;
- CWE-200: Una “information exposure” è la divulgazione intenzionale o non intenzionale di informazioni ad un attore che non è esplicitamente autorizzato ad avere accesso a tali informazioni.
Le informazioni possono essere di due tipi:
– o sensibili nell’ambito delle funzionalità proprie del prodotto, come per esempio un messaggio privato;
– o sensibili perché forniscono informazioni sul prodotto o sul suo ambiente che potrebbero essere utili in un attacco, ma che normalmente non sono disponibili per l’aggressore, come per esempio il percorso di installazione di un prodotto accessibile a distanza.
Collaborare e testare
Il case di Microsoft e di Swascan deve saltare all’occhio non tanto per il contenuto tecnico o la difficoltà della sfida affrontata dai due team, comunque fattori di rilievo, quanto per come la rapida collaborazione e coesione tra i due team abbia chirurgicamente riparato le possibili criticità, evitando, di fatto, un ingente danno economico e d’immagine all’azienda di Seattle. Per fare fronte unito contro i Criminal Hacker c’è si bisogno di un’infrastruttura IT aziendale sicura e di un dipartimento preposto adeguatamente formato, ma questi due fattori oramai non possono prescindere da tutto ciò che sono in grado di mettere in campo gli esperti di Cybersecurity.
Luci e ombre: l’ethical hacker contro il criminal hacker
Un hacker etico (noto anche come White hat hacker) sa come trovare e sfruttare le vulnerabilità e le debolezze di diversi sistemi, proprio come un criminal hacker (o black hat hacker), ma a differenza della sua controparte dedita ad attività criminali l’ethical hacker utilizza gli attacchi come veri e propri test per individuare e correggere le debolezze di un sistema.
Appoggiarsi al ethical hacking si può rivelare come uno dei migliori metodi per prevenire attacchi dannosi da parte dei Criminal Hacker. Entrambi usano le stesse abilità, tuttavia, un hacker etico usa queste competenze in modo legittimo e lecito per cercare di trovare le vulnerabilità e correggerle prima che i malintenzionati riescano ad arrivarci e a cercare di introdursi.
Le aziende del settore della Cybersecurity si avvalgono di queste skill per stressare le difese delle aziende partner e approntare misure di cybersecurity adeguate a ciò che emerge dai test (uno dei metodi più usati è il penetration test, il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un utente malintenzionato).
Non c’è dubbio quindi: nel campo della cybersecurity vige sempre il vecchio adagio “prevenire è meglio che curare”, da ora in avanti però questo lavoro per risultare efficace dovrà essere frutto di una collaborazione efficace e ben strutturata.
Federico Giberti,
Team Swascan