Quella di oggi è un’edizione speciale della nostra rassegna settimanale e la dedicheremo a ROI, EBITDA, TCO, IFRS, CRM, SLA, NDA, GAAP… Sto scherzando! Come sempre anche questo lunedì parleremo delle notizie di sicurezza informatica più importanti della settimana. Stavolta tutte le notizie, in un modo o nell’altro, sono rilevanti dal punto di vista della sicurezza aziendale. Tratteremo di casi di aziende che sono state attaccate da hacker e che sono state vittime di un furto di dati e di come queste aziende abbiano reagito agli incidenti.
Qual è la differenza tra end-user security e corporate security (o sicurezza aziendale)? Prima di tutto, nonostante gli utenti usufruiscano della semplicità delle loro soluzioni di sicurezza, la sicurezza aziendale è un concetto complesso, in primis per via della complessità delle loro infrastrutture IT.
Comunque sia, qual è il livello di sicurezza adottato dalle aziende? A essere sinceri, la situazione non è così rosea. Per esempio, Gartener pensa che nei prossimi 3 anni le aziende spenderanno il 30% del loro budget in sicurezza. Inoltre, il vecchio approccio di role-based access, la pietra miliare della sicurezza aziendale, è totalmente obsoleto. Ora il 90% degli sforzi si concentra sulla prevenzione delle fughe di dati, e solo il 10% sull’individuazione e sulla risposta.
https://twitter.com/CiscoEnterprise/status/652566712383107072
Questo significa che, quando un intruso riesce a infiltrarsi nell’infrastruttura, si trova in un ambiente molto confortevole e ciò porta a conseguenze devastanti per la vittima. Per questo il consiglio di Gartner di cambiare questo rapporto 60/40 tra prevenzione e soluzioni ha senso. Per esempio, il nostro report su Carbanak, una nota campagna contro le banche e gli enti finanziari, ha dimostrato che i criminali sono passati inosservati in quella piccola zona grigia che si era venuta a creare.
Le precedenti edizioni del Secirity Week le potete trovare qui.
Outlook Web App come via di accesso all’infrastruttura aziendale
Notizia. Ricerca di Cybereason. Il feeback di Microsoft.
Quando viene hackerato uno dei tanti PC aziendali, si compromette il dispositivo e si estrapolano i dati; ma quali saranno i vantaggi per l’hacker? Se si tratta di un computer fisso di un impiegato, il ladro potrebbe essere in grado di rubare alcuni dati di lavoro molto rilevanti e forse altre informazioni dal server a cui ha accesso.
Tuttavia la campagna sarebbe molto più efficiente se l’hacker installasse un sistema di sorveglianza sul computer del capo o dell’amministratore di sistema, che di solito dispongono dei più alti privilegi di sistema. L’accesso non richiesto al server email potrebbe compromettere un enorme quantità di dati inviati via email. Un report preparato da Cybereason dimostra che la questione non si limita alla posta elettronica.
Targeted attack exposes Outlook Web Access weakness: https://t.co/5rshOVB5iB
— Eugene Kaspersky (@e_kaspersky) October 7, 2015
Come spesso accade, il problema non era una vulnerabilità presente su Outlook Web App (precedentemente noto come Outlook sul Web o Outlook Web Access – Microsoft ha cambiato il nome a questo programma 4 volte in 20 anni). Gli hacker hanno rubato (per esempio via phishing) le credenziali di login di un admin e hanno iniettato una libreria DLL dannosa (unsigned), poi sono riusciti ad accedere sia alla mail che all’ Active Directory. In questo modo gli hacker sono stati in grado di inviare email dall’account di qualsiasi impiegato.
Un altro embedding è stato trovato nel server IIS, le connessioni di monitoraggio alla webmail. La ricerca ha dimostrato che gli hacker tengono costantemente d’occhio chi, quando e da dove si accede alla mail. I ricercatori hanno comunicato a Microsoft che un binario unsigned potrebbe essere facilmente eseguito sul server di One Web Access, ma Microsoft ha affermato che se ben configurato, il sistema non dovrebbe permettere che questo accada.
Qualsiasi cosa significhi, è secondario. In poche parole, questo è quello che abbiamo in mano ad oggi:
— Un servizio che accede sia a Internet che all’Intranet
— Mancanza di sicurezza da parte dello specialista IT (gli sono state rubate login e password e non è stato un impiegato normale a farlo).
— Configurazione del server con falle, che ha permesso l’installazione di una backdoor
— Incapacità di individuare una falla per lungo tempo
Il risultato? Una serie di problemi che dovrebbero essere risolti separatamente. L’integrità dei dati sull’Active Directory è garantita e il servizio protetto (nonostante esistano casi in cui sia stato usato questo vettore di attacco). Comunque sia, è possibile che esista un metodo meno ovvio di compromettere il sistema attraverso uno dei punti più deboli.
Rubati i dati di 15 milioni di abbonati a T-mobile
Notizia. Comunicato di Experian, vittima dell’attacco. Dichiarazione ufficiale di T-Mobile.
Permettetemi di farvi una breve introduzione. Negli Stati Uniti la maggior parte delle persone firma un contratto a lungo termine con una compagnia telefonica, contratto che include un piano con traffico voce e dati e un dispositivo (telefono cellulare, smartphone o tablet). Sembra un’offerta davvero conveniente: ottieni un nuovo dispositivo gratis o quasi, ma in cambio ci si compromette a rimanere con quell’operatore fino alla fine della data indicata dal contratto.
Questo approccio presuppone che la solvenza potrebbe esser controllata dall’operatore, proprio come fanno le banche quando si chiede un prestito. Per farlo, un operatore invierà una richiesta al Credit Bureau. Nella vicenda che riguarda il “leakaggio” di T-Mobile, il Credit Bureau in questione era Experian, ed è stato hackerato.
#ICYMI @Experian #Breach Spills Data on 15 Million @TMobile Customers https://t.co/dx0liAZMfy pic.twitter.com/Ii2Dh06MzP
— Kaspersky (@kaspersky) October 2, 2015
Secondo quanto è stato pubblicato, l’accesso non richiesto è stato un “incidente isolato in un periodo di tempo limitato”; nonostante ciò, ha causato la perdita dei dati di 15 milioni di abbonati T-Mobile nel periodo di 2 anni. Per essere giusti, entrambe le aziende si sono occupate della questione e hanno rilasciato una dichiarazione adeguata. Entrambi hanno pubblicato una descrizione accurata e dettagliata della fuga di dati avvenuta sui loro siti.
A tutte le vittime della fuga di dati è stato offerto un servizio di monitoraggio del credito gratuito. Questo caso mostra i grandi progressi che sono stati fatti nei processi che potremmo denominare “post-breach” o “post-fuga di dati”, soprattutto in confronto con la debacle di Target, che ha subìto il furto di 40 milioni di credenziali di pagamento di carte di credito e che soltanto emesso un breve comunicato in cui si diceva “abbiamo risolto il problema“.
Nel caso di T-mobile, i dati delle carte di credito non sono stati toccati, però sono stati compromessi altri dati personali come nomi, indirizzi, numeri di patenti di guida, ecc. Il CEO di T-mobile ha assicurato che i dati erano “parzialmenre” criptati, il che non è un buon segno.
In questa storia la questione della privacy è fondamentale. Credit bureau sa moltissime cose sui propri clienti poiché riceve dati da ogni parte. Inoltre, vende profumatamente i dati acquisiti alle altre aziende e i compratori non sono sempre aziende rispettabili e importanti. Non è la prima volta che Experian ha qualche problema con i dati dei clienti.
In passato si sono verificati incidenti che hanno portato alla diffusione di molti dati personali e la causa non era la fuga di dati: un ragazzo vietnamita agendo come investigatore privato a Singapore ha legalmente pagato Experian e comprato i dati personali di 200 milioni di statunitensi e li ha poi rivenduti a vari gruppi di cybercriminali specializzati nel furto di identità.
ICYMI: 200 Million Consumer Records Compromised in Experian ID Theft Case – http://t.co/WSHMHLfBFT
— Threatpost (@threatpost) March 11, 2014
La situazione è grave. Per esempio, per cambiare una password dimenticata su Amazon, bisogna introdurre l’indirizzo, la data di nascita o il numero della previdenza sociale, tutti dati che Experian possiede.
Un’altra cosa: i dati sono molto più vulnerabili quando vengono passati da un’azienda a un’altra, questo perché le politiche di sicurezza e le soluzioni possono variare molto.
I fornitori dei sistemi di sorveglianza bloccano la diffusione delle vulnerabilità e minacciano di fare causa al ricercatore
Gianni Gnesa, un ricercatore dell’azienda svizzera Ptrace Security, ha preparato un report per la conferenza di Singapore HITB GSEC, durante la quale l’esperto avrebbe voluto trattare alcuni aspetti relativi ai sistemi di videosorveglianza e alle loro vulnerabilità. Questo però non è mai successo. La sua ricerca includeva alcuni esempi di vulnerabilità in vari modelli di telecamere IP di tre vendor diversi (non sapremo mai quali).
Nessuno avrebbe potuto sapere come si sarebbe evoluta la situazione: Gnesa ha inviato il report dei bug ai vendor, è stato in continuo contatto con i team di sicurezza e ha poi espresso la sua intenzione di presentare le vulnerabilità a una conferenza, chiedendo il via libera per la sua ricerca. Il team di sicurezza da quel momento è sparito dalla circolazione e si sono fatti vivi i legali dell’azienda, che gli hanno suggerito di non rendere pubblica la ricerca o ci sarebbero state delle conseguenze.
Purtroppo non è la prima volta che succede. Il motivo è semplice: la differenza tra cybercriminali e ricercatori è comunemente ovvia (questi ultimi non fanno del male) ma non tanto dal punto di vista legale. Un esempio è l’intesa di Wassenaar, un regime di controllo a livello internazionale per l’esportazione di beni e tecnologie dual-use.
A dicembre del 2013, il Parlamento europeo ha aggiunto alla lista i software di intrusione. L’idea di “hackerare per il bene comune” ha di per sé una doppia valenza e, in questo caso in particolare, chi crea le leggi ha ritenuto che gli sviluppatori di tali software (come il famoso Hacking Team) facciano una sorta di selezione quando scelgono i propri utenti.
Talk revealing p0wnable surveillance cams pulled after legal threat http://t.co/HyWDGmXLE8 #0day #IoT #HITBGSEC @GianniGnesa @darrenpauli
— Ptrace Security GmbH (@ptracesecurity) October 8, 2015
In ogni caso, l’intesa di Wassenaar include di tutto nella definizione di “software di intrusione”; ciò non implica grandi difficoltà per i cybercriminali, ma sì che rende la vita difficile ai “buoni”, soprattutto a chi vuole patentare brevetti. HP, ad esempio, ha dovuto sospendere la propria partecipazione alla competizione giapponese tra hacker PWN2OWN, in quanto i ricercatori di HP che presentano la propria ricerca oltreoceano potrebbero essere considerati come esportatori di beni e tecnologie dual-use.
E se è dura per una grande corporation, immaginate dal punto di vista legislativo. La motivazione che c’è dietro alle restrizioni per i vendor di pubblicare le vulnerabilità è comprensibile e se c’è un modo per disfarsi del problema, perché non sfruttare questa opportunità? Ma tutto ciò ha delle conseguenze per la sicurezza dei prodotti.
https://twitter.com/GianniGnesa/status/650665942112968704
Non posso affermare che l’idea di pubblicare tutte le vulnerabilità sia migliore di un approccio restrittivo; in alcuni casi, mostrare in maniera irresponsabile le vulnerabilità di hardware e software può ritorcersi contro gli utenti. Come sempre, in medio stat virtus.
Cos’altro?
La sicurezza informatica degli impianti nucleari fa acqua da tutte le parti. Date una lettura al post di Eugene Kaspersky in merito sul suo blog personale. L’idea di fondo è questa: se pensate che esista un air gap tra le infrastrutture critiche e Internet, probabilmente vi sbagliate.
Cyber-saber rattling: bad; vulnerable nuclear power stations: v. bad. But there’s hope: https://t.co/owbzGS0eMo
— Eugene Kaspersky (@e_kaspersky) October 12, 2015
Gartner continua a prevedere il futuro. Per il 2018 creeremo macchine in grado di gestire altre macchine, dal momento che sarà impossibile gestire manualmente tutti i dispositivi appartenenti al mondo dell’Internet delle cose.
Gartner's top 10 strategic technology trends for next year: http://t.co/FcDqdWz2eA pic.twitter.com/S3xKrnAiw9
— Forbes Tech (@ForbesTech) October 7, 2015
I lavoratori potrebbero avere capi-robot e i fitness tracker non serviranno solo per monitorare la nostra attività fisica ma tutto ciò che facciamo durante la giornata. Brave New World! Questo è quello che ci aspetta, sempre se riusciamo a mantenere il nostro posto di lavoro, visto che le aziende in soli tre anni potrebbero impiegare un numero tre volte maggiore di robot rispetto a ora.
I droni possono essere hackerati (e chi potrebbe essere in disaccordo con questa affermazione). Generalmente, tutti i nuovi dispositivi sono soggetti a problemi di questo genere, così come i bambini possono prendere facilmente il morbillo. Nel caso dei droni sono stati evidenziati protocolli di connessione non sicura che non richiedono alcun tipo di autorizzazione.
Oldies
La famiglia Hymn
Famiglia di resident virus che di solito infetta file COM ed EXE durante l’avvio, la chiusura e il cambio di nomi o caratteristiche dei file. Se il numero del mese è uguale a quello del giorno (come il primo gennaio, 01-01, o febbraio 02-02), il virus distrugge una parte dell’informazione del sistema sul boot sector del disco C. Quando si decifrano i file appare la seguente immagine:
Poi parte l’inno nazionale russo mentre si cancellano i byte dal boot sector che contengono un certo numero di byte per sector, un numero di sector per cluster, un numero di copie FAT ecc (9 byte in totale). Dopo aver applicato queste modifiche nel boot sector di un computer MS-DOS, non c’è riavvio né dall’hard disk né da un floppy. Per ripristinare i dati, bisognerebbe programmare un mini-launcher o utilizzare un0utility speciale. Hymn-1962 e Hymn-2144 si auto criptano.
Citazione da “Computer viruses in MS-DOS” di Eugene Kaspersky, 1992, p.36
Dichiarazione di non responsabilità: questo articolo riflette la persona opinione dell’autore. Può coincidere o no con la posizione di Kaspersky Lab.
Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.