Security Week 41: ricerche censurate, hackerato Outlook Web Access, perdita di dati di abbonati

Nel Security Week di oggi: 3 aziende hackerate, perdita di dati, le reazioni delle compagnie coinvolte.

Security-week-41

Quella di oggi è un’edizione speciale della nostra rassegna settimanale e la dedicheremo a ROI, EBITDA, TCO, IFRS, CRM, SLA, NDA, GAAP… Sto scherzando! Come sempre anche questo lunedì parleremo delle notizie di sicurezza informatica più importanti della settimana. Stavolta tutte le notizie, in un modo o nell’altro, sono rilevanti dal punto di vista della sicurezza aziendale. Tratteremo di casi di aziende che sono state attaccate da hacker e che sono state vittime di un furto di dati e di come queste aziende abbiano reagito agli incidenti.

Qual è la differenza tra end-user security e corporate security (o sicurezza aziendale)? Prima di tutto, nonostante gli utenti usufruiscano della semplicità delle loro soluzioni di sicurezza, la sicurezza aziendale è un concetto complesso, in primis per via della complessità delle loro infrastrutture IT.

Comunque sia, qual è il livello di sicurezza adottato dalle aziende? A essere sinceri, la situazione non è così rosea. Per esempio, Gartener pensa che nei prossimi 3 anni le aziende spenderanno il 30% del loro budget in sicurezza. Inoltre, il vecchio approccio di role-based access, la pietra miliare della sicurezza aziendale, è totalmente obsoleto. Ora il 90% degli sforzi si concentra sulla prevenzione delle fughe di dati, e solo il 10% sull’individuazione e sulla risposta.

https://twitter.com/CiscoEnterprise/status/652566712383107072

Questo significa che, quando un intruso riesce a infiltrarsi nell’infrastruttura, si trova in un ambiente molto confortevole e ciò porta a conseguenze devastanti per la vittima. Per questo il consiglio di Gartner di cambiare questo rapporto 60/40 tra prevenzione e soluzioni ha senso. Per esempio, il nostro report su Carbanak, una nota campagna contro le banche e gli enti finanziari, ha dimostrato che i criminali sono passati inosservati in quella piccola zona grigia che si era venuta a creare.

Le precedenti edizioni del Secirity Week le potete trovare qui.

Outlook Web App come via di accesso all’infrastruttura aziendale

Notizia. Ricerca di Cybereason. Il feeback di Microsoft.

Quando viene hackerato uno dei tanti PC aziendali, si compromette il dispositivo e si estrapolano i dati; ma quali saranno i vantaggi per l’hacker? Se si tratta di un computer fisso di un impiegato, il ladro potrebbe essere in grado di rubare alcuni dati di lavoro molto rilevanti e forse altre informazioni dal server a cui ha accesso.

Tuttavia la campagna sarebbe molto più efficiente se l’hacker installasse un sistema di sorveglianza sul computer del capo o dell’amministratore di sistema, che di solito dispongono dei più alti privilegi di sistema. L’accesso non richiesto al server email potrebbe compromettere un enorme quantità di dati inviati via email. Un report preparato da Cybereason dimostra che la questione non si limita alla posta elettronica.

Come spesso accade, il problema non era una vulnerabilità presente su Outlook Web App (precedentemente noto come Outlook sul Web o Outlook Web Access – Microsoft ha cambiato il nome a questo programma 4 volte in 20 anni). Gli hacker hanno rubato (per esempio via phishing) le credenziali di login di un admin e hanno iniettato una libreria DLL dannosa (unsigned), poi sono riusciti ad accedere sia alla mail che all’ Active Directory. In questo modo gli hacker sono stati in grado di inviare email dall’account di qualsiasi impiegato.

Un altro embedding è stato trovato nel server IIS, le connessioni di monitoraggio alla webmail. La ricerca ha dimostrato che gli hacker tengono costantemente d’occhio chi, quando e da dove si accede alla mail. I ricercatori hanno comunicato a Microsoft che un binario unsigned potrebbe essere facilmente eseguito sul server di One Web Access, ma Microsoft ha affermato che se ben configurato, il sistema non dovrebbe permettere che questo accada.

Qualsiasi cosa significhi, è secondario. In poche parole, questo è quello che abbiamo in mano ad oggi:

— Un servizio che accede sia a Internet che all’Intranet

— Mancanza di sicurezza da parte dello specialista IT (gli sono state rubate login e password e non è stato un impiegato normale a farlo).

— Configurazione del server con falle, che ha permesso l’installazione di una backdoor

— Incapacità di individuare una falla per lungo tempo

 

Volevamo solo risolvere la patch…

Il risultato? Una serie di problemi che dovrebbero essere risolti separatamente. L’integrità dei dati sull’Active Directory è garantita e il servizio protetto (nonostante esistano casi in cui sia stato usato questo vettore di attacco). Comunque sia, è possibile che esista un metodo meno ovvio di compromettere il sistema attraverso uno dei punti più deboli.

Rubati i dati di 15 milioni di abbonati a T-mobile

Notizia. Comunicato di Experian, vittima dell’attacco. Dichiarazione ufficiale di T-Mobile.

Permettetemi di farvi una breve introduzione. Negli Stati Uniti la maggior parte delle persone firma un contratto a lungo termine con una compagnia telefonica, contratto che include un piano con traffico voce e dati e un dispositivo (telefono cellulare, smartphone o tablet). Sembra un’offerta davvero conveniente: ottieni un nuovo dispositivo gratis o quasi, ma in cambio ci si compromette a rimanere con quell’operatore fino alla fine della data indicata dal contratto.
Questo approccio presuppone che la solvenza potrebbe esser controllata dall’operatore, proprio come fanno le banche quando si chiede un prestito. Per farlo, un operatore invierà una richiesta al Credit Bureau. Nella vicenda che riguarda il “leakaggio” di T-Mobile, il Credit Bureau in questione era Experian, ed è stato hackerato.

Secondo quanto è stato pubblicato, l’accesso non richiesto è stato un “incidente isolato in un periodo di tempo limitato”; nonostante ciò, ha causato la perdita dei dati di 15 milioni di abbonati T-Mobile nel periodo di 2 anni. Per essere giusti, entrambe le aziende si sono occupate della questione e hanno rilasciato una dichiarazione adeguata. Entrambi hanno pubblicato una descrizione accurata e dettagliata della fuga di dati avvenuta sui loro siti.

A tutte le vittime della fuga di dati è stato offerto un servizio di monitoraggio del credito gratuito. Questo caso mostra i grandi progressi che sono stati fatti nei processi che potremmo denominare “post-breach” o “post-fuga di dati”, soprattutto in confronto con la debacle di Target, che ha subìto il furto di 40 milioni di credenziali di pagamento di carte di credito e che soltanto emesso un breve comunicato in cui si diceva “abbiamo risolto il problema“.

Nel caso di T-mobile, i dati delle carte di credito non sono stati toccati, però sono stati compromessi altri dati personali come nomi, indirizzi, numeri di patenti di guida, ecc. Il CEO di T-mobile ha assicurato che i dati erano “parzialmenre” criptati, il che non è un buon segno.

 

“I dati sono stati criptati”

In questa storia la questione della privacy è fondamentale. Credit bureau sa moltissime cose sui propri clienti poiché riceve dati da ogni parte. Inoltre, vende profumatamente i dati acquisiti alle altre aziende e i compratori non sono sempre aziende rispettabili e importanti. Non è la prima volta che Experian ha qualche problema con i dati dei clienti.

In passato si sono verificati incidenti che hanno portato alla diffusione di molti dati personali e la causa non era la fuga di dati: un ragazzo vietnamita agendo come investigatore privato a Singapore ha legalmente pagato Experian e comprato i dati personali di 200 milioni di statunitensi e li ha poi rivenduti a vari gruppi di cybercriminali specializzati nel furto di identità.

La situazione è grave. Per esempio, per cambiare una password dimenticata su Amazon, bisogna introdurre l’indirizzo, la data di nascita o il numero della previdenza sociale, tutti dati che Experian possiede.

Un’altra cosa: i dati sono molto più vulnerabili quando vengono passati da un’azienda a un’altra, questo perché le politiche di sicurezza e le soluzioni possono variare molto.

I fornitori dei sistemi di sorveglianza bloccano la diffusione delle vulnerabilità e minacciano di fare causa al ricercatore

Notizia. La ricerca.

Gianni Gnesa, un ricercatore dell’azienda svizzera Ptrace Security, ha preparato un report per la conferenza di Singapore HITB GSEC, durante la quale l’esperto avrebbe voluto trattare alcuni aspetti relativi ai sistemi di videosorveglianza e alle loro vulnerabilità. Questo però non è mai successo. La sua ricerca includeva alcuni esempi di vulnerabilità in vari modelli di telecamere IP di tre vendor diversi (non sapremo mai quali).

Nessuno avrebbe potuto sapere come si sarebbe evoluta la situazione: Gnesa ha inviato il report dei bug ai vendor, è stato in continuo contatto con i team di sicurezza e ha poi espresso la sua intenzione di presentare le vulnerabilità a una conferenza, chiedendo il via libera per la sua ricerca. Il team di sicurezza da quel momento è sparito dalla circolazione e si sono fatti vivi i legali dell’azienda, che gli hanno suggerito di non rendere pubblica la ricerca o ci sarebbero state delle conseguenze.

Purtroppo non è la prima volta che succede. Il motivo è semplice: la differenza tra cybercriminali e ricercatori è comunemente ovvia (questi ultimi non fanno del male) ma non tanto dal punto di vista legale. Un esempio è l’intesa di Wassenaar, un regime di controllo a livello internazionale per l’esportazione di beni e tecnologie dual-use.

A dicembre del 2013, il Parlamento europeo ha aggiunto alla lista i software di intrusione. L’idea di “hackerare per il bene comune” ha di per sé una doppia valenza e, in questo caso in particolare, chi crea le leggi ha ritenuto che gli sviluppatori di tali software (come il famoso Hacking Team) facciano una sorta di selezione quando scelgono i propri utenti.

In ogni caso, l’intesa di Wassenaar include di tutto nella definizione di “software di intrusione”; ciò non implica grandi difficoltà per i cybercriminali, ma sì che rende la vita difficile ai “buoni”, soprattutto a chi vuole patentare brevetti. HP, ad esempio, ha dovuto sospendere la propria partecipazione alla competizione giapponese tra hacker PWN2OWN, in quanto i ricercatori di HP che presentano la propria ricerca oltreoceano potrebbero essere considerati come esportatori di beni e tecnologie dual-use.

E se è dura per una grande corporation, immaginate dal punto di vista legislativo. La motivazione che c’è dietro alle restrizioni per i vendor di pubblicare le vulnerabilità è comprensibile e se c’è un modo per disfarsi del problema, perché non sfruttare questa opportunità? Ma tutto ciò ha delle conseguenze per la sicurezza dei prodotti.

https://twitter.com/GianniGnesa/status/650665942112968704

Non posso affermare che l’idea di pubblicare tutte le vulnerabilità sia migliore di un approccio restrittivo; in alcuni casi, mostrare in maniera irresponsabile le vulnerabilità di hardware e software può ritorcersi contro gli utenti. Come sempre, in medio stat virtus.

Cos’altro?

La sicurezza informatica degli impianti nucleari fa acqua da tutte le parti. Date una lettura al post di Eugene Kaspersky in merito sul suo blog personale. L’idea di fondo è questa: se pensate che esista un air gap tra le infrastrutture critiche e Internet, probabilmente vi sbagliate.

 

Gartner continua a prevedere il futuro. Per il 2018 creeremo macchine in grado di gestire altre macchine, dal momento che sarà impossibile gestire manualmente tutti i dispositivi appartenenti al mondo dell’Internet delle cose.

I lavoratori potrebbero avere capi-robot e i fitness tracker non serviranno solo per monitorare la nostra attività fisica ma tutto ciò che facciamo durante la giornata. Brave New World! Questo è quello che ci aspetta, sempre se riusciamo a mantenere il nostro posto di lavoro, visto che le aziende in soli tre anni potrebbero impiegare un numero tre volte maggiore di robot rispetto a ora.

I droni possono essere hackerati (e chi potrebbe essere in disaccordo con questa affermazione). Generalmente, tutti i nuovi dispositivi sono soggetti a problemi di questo genere, così come i bambini possono prendere facilmente il morbillo. Nel caso dei droni sono stati evidenziati protocolli di connessione non sicura che non richiedono alcun tipo di autorizzazione.

Oldies

La famiglia Hymn

Famiglia di resident virus che di solito infetta file COM ed EXE durante l’avvio, la chiusura e il cambio di nomi o caratteristiche dei file. Se il numero del mese è uguale a quello del giorno (come il primo gennaio, 01-01, o febbraio 02-02), il virus distrugge una parte dell’informazione del sistema sul boot sector del disco C. Quando si decifrano i file appare la seguente immagine:

Poi parte l’inno nazionale russo mentre si cancellano i byte dal boot sector che contengono un certo numero di byte per sector, un numero di sector per cluster, un numero di copie FAT ecc (9 byte in totale). Dopo aver applicato queste modifiche nel boot sector di un computer MS-DOS, non c’è riavvio né dall’hard disk né da un floppy. Per ripristinare i dati, bisognerebbe programmare un mini-launcher o utilizzare un0utility speciale. Hymn-1962 e Hymn-2144 si auto criptano.

Citazione da “Computer viruses in MS-DOS” di Eugene Kaspersky, 1992, p.36

Dichiarazione di non responsabilità: questo articolo riflette la persona opinione dell’autore. Può coincidere o no con la posizione di Kaspersky Lab.

Hinweis: Diese Kolumne spiegelt die persönliche Meinung des Autors wider. Diese kann, muss aber nicht mit der Position von Kaspersky Lab übereinstimmen. Das ist Glücksache.

Consigli