lunedì 27 marzo 2017

Conoscere il nemico

Come fanno i "cracker" professionisti, quelli che riescono a mettere in crisi server aziendali e a trafugare informazioni che valgono miliardi? Certamente ognuno ha le sue tecniche e le sue preferenze: qui, a semplice titolo di esempio, seguiamo questo post che ci racconta di Alexsey Belan, aka M4g.

Ecco alcune delle mosse, che sono state ricostruite in base agli indizi lasciati sul campo:

  • identificare web server periferici tramite ricerche su Google e LinkedIn: i server gestiti da uffici periferici sono di solito più vulnerabili, meno aggiornati e meno sorvegliati di quelli della Sede Centrale di un'Azienda
  • usare vulnerabilità note di Wordpress e PHP per compromettere i siti: si tenta di forzare prima l'anello debole del sistema
  • modificare i meccanismi di autenticazione per catturare le credenziali di accesso
  • fare uno "scan" della rete interna, per scoprire altri nodi potenzialmente vulnerabili 
  • cercare informazioni di sicurezza sui sistemi di sviluppo software, di gestione errori e di controllo delle versioni software
  • sfruttando la configurazione debole di alcuni sistemi, tentare di usare le stesse credenziali sui sistemi di produzione
  • combinare le varie informazioni raccolte per tentare di forzare l'accesso a VPN aziendali
  • modificare il software sui sistemi di sviluppo installando nel software backdoor che verranno poi usate sui sistemi di produzione
Ogni passo dell'operazione aggiunge informazioni utili all'attacco, che sono normalmente riutilizzate per ampliare la base di sistemi compromessi. Ogni attività è ripetuta più volte, sfruttando le nuove informazioni raccolte.

A questo punto ci si chiede che cosa può essere fatto per prevenire queste catastrofi, o per limitare i danni:

  • separare le diverse componenti, mettendo quelle più a rischio in aree distinte, senza accesso diretto alle informazioni vitali dell'Azienda
  • non lasciare memorizzate sui sistemi di comunicazione interna informazioni di sicurezza di nessun tipo
  • controllare il traffico dei sistemi verso l'esterno, evidenziando destinazioni anomale, non funzionali alla logica del business Aziendale
  • usare sistemi di autenticazione a due fattori (2FA) realmente consistenti, non lasciati alla discrezionalità di chi li usa, che spesso li vede come "inutile perdita di tempo"
  • non utilizzare sui sistemi di produzione credenziali generate per i sistemi di sviluppo o test del software
  • tracciare, controllare e conservare tutti gli accessi ai sistemi, specialmente quelli privilegiati (ma non solo)
  • isolare opportunamente i database e gli altri contenitori di dati importanti e controllarne l'accesso per evitare esfiltrazioni non autorizzate delle informazioni 
Anche una singola password di un account email accessibile via web può costituire un primo "cavallo di Troia" per penetrare fortezze ritenute inespugnabili. Una rappresentazione grafica accurata ed aggiornata di "chi-può-fare-che-cosa" e di "dove-si-può-andare-da-dove" dovrebbe far parte dell'analisi del rischio, tenendo conto che il primo a cedere è sempre l'anello più debole della catena.



Nessun commento:

Posta un commento