In tempo di coronavirus, l’esplosione dello Smart working, dovuta alla necessità di trasferire in tempi brevissimi il lavoro al domicilio dei dipendenti, ha reso più deboli i sistemi informatici. Di seguito descriviamo alcuni degli attacchi informatici classici illustrati nel recente webinar promosso da FEDERPRIVACY (“Come valutare il rischio cyber nelle aziende”), il cui relatore è stato Pierguido Iezzi di SWASCAN.

 

Introduzione

Oggi utilizziamo una quantità di dispositivi interconnessi, con livelli tecnologici anche differenti. Se uno solo di questi ha una vulnerabilità, questa si ripercuote sull’intera connessione aumentando i rischi. Dal 2016 al 2017 gli attacchi efficaci sono raddoppiati. Gli aggiornamenti di un dispositivo o di un’App (magari proprio per rimediare ad una vulnerabilità) possono non essere compatibili con il resto. Non esistono oggetti che non abbiano almeno una vulnerabilità e per l’80% di questi la vulnerabilità è critica, cioè pienamente sfruttabile dagli hacker.

I siti web contenenti plugin sono più vulnerabili a causa della presenza dei plugin stessi: è sufficiente che uno di questi sia violato per compromettere la sicurezza del sito. L’installazione di molti plugin all’interno di un sito web rende difficile il monitoraggio dei singoli plugin rispetto a possibili vulnerabilità e di conseguenza molti di questi rimangono non aggiornati prestando così il fianco a possibili attacchi informatici.

Nel 2018 e 2019 circa l’85% degli attacchi ha sfruttato vulnerabilità note che quindi potevano essere evitate applicando le necessarie misure preventive.

Purtroppo effettuare un attacco è diventato estremamente semplice (basta cercare in Internet). Di contro, esistono metodologie per ridurre dell’80% il rischio di “data breach”, essendo le misure necessarie già disponibili.

 

Come avviene un attacco

L’attacco parte dall’identificazione della vittima e quindi da quella delle “superfici di attacco” (gli oggetti vulnerabili) e sfrutta le seguenti macro tipologie:

– cyber attack: sfruttamento delle vulnerabilità

social engineering (phishing [1] e smishing [2])

– account take over

 

Le vulnerabilità sono sfruttate per ottenere l’accesso ai digital asset della vittima e, quindi, mettere in atto il danno crittografando i dati e chiedendo un riscatto (ransomware), violando informazioni riservate, o predisponendo altri attacchi.

Il Botnet è l’utilizzo di un’intera rete costituita da una sequenza di digital asset (computer di proprietari diversi) collegati, da parte di un hacker, per mettere a segno attacchi, i quali risultano effettuati da una delle macchine compromesse, quindi a nome di una vittima ignara. Quando i criminali informatici vengono a conoscenza di una nuova vulnerabilità, possono costruire in un solo giorno un botnet basato su 50’000 macchine. Oggi i botnet sono persino disponibili in affitto.

Mediante l’APT attack (Advanced Persistent Threat) si installano dei malware persistenti, non identificabili, che l’hacker attiva al momento opportuno. Si perpetrano tramite il phishing, inserendo un RAT (Remote Access Trojan), o sfruttando la vulnerabilità del sistema.

Molte aziende hanno generato falle alla sicurezza dei loro sistemi a causa dell’installazione di RDP (Remote Desktop Protocol), per consentire il collegamento da remoto ai propri dipendenti. Questi accessi infatti non sono mai del tutto privi di vulnerabilità. Un’azienda che ha aperto un RDP, il giorno dopo aveva già tutto il sistema crittografato.

Code injection è un altro tipo di attacco per cui sostituendo valori ai parametri di un link  si possono ottenere risultati di vario tipo. Ad esempio, quando si scarica, lecitamente, qualcosa da un sito, è sufficiente modificare poi pochi caratteri dopo l’url per scaricare anche qualcos’altro.

Con l’account “take over” viene rubato il profilo social della vittima e lo si utilizza per inviare malware ai suoi contatti.

 

La situazione attuale

In tempo di coronavirus, l’esplosione dello Smart working, dovuta alla necessità di trasferire in tempi brevissimi il lavoro al domicilio dei dipendenti, ha reso più deboli i sistemi informatici.

L’Italia è sotto attacco in modo superiore al normale. La stessa Polizia Postale avverte di far attenzione “agli sciacalli del coronavirus”.

La maggior vulnerabilità deriva dall’aumento delle superfici di attacco:

– i computer aziendali sono stati portati all’esterno dell’azienda,

– si utilizzano computer personali con minori protezioni o già affetti da malware e cavalli di Troia a causa di applicazioni ludiche caricate senza controlli,

– si utilizzano collegamenti remoti effettuati tramite VPN non professionali,

– si utilizzano protocolli RDP non affidabili (sono tutti vulnerabili).

 

Il “perimetro” aziendale si è così dilatato offrendo il fianco agli attacchi.

Un’azienda dovrebbe comprendere qual è la propria esposizione, identificare le proprie vulnerabilità e predisporre le contromisure, in modo quanto più possibile proattivo (prevedere più che rimediare), conducendo, ad es., test di vulnerabilità, scansione della rete, formazione contro il phishing ed adottando configurazioni più sicure.

E’ necessario che gli antivirus siano professionali; quelli gratuiti non sono sufficienti. Inoltre proteggono i PC, non tutto il sistema aziendale. Gli smartphone sono anche più critici dei PC e necessitano di antivirus validi.

I sistemi basati su cloud sono più efficaci nella gestione della sicurezza, purché il servizio sia professionale, di alto livello e purché si adottino configurazioni idonee. L’accesso agli account potrebbe essere il punto debole perché username e password sono inserite tramite i dispositivi locali. Inoltre, è rischiosissimo scaricare allegati arrivati da e-mail che non siano più che sicure, perché attivando le macro si attiva l’accesso al device.

 

Cosa possono fare i singoli dipendenti delle aziende per ridurre i rischi di attacchi informatici all’intera rete aziendale?

  1. attuare tutte le misure di sicurezza previste dalla propria azienda, in relazione ai dispositivi locali ricevuti in dotazione e alla protezione dell’account aziendale di accesso alla piattaforma utilizzata
  2. attuare le stesse misure per i propri dispositivi di qualunque tipo (PC, notebook, smartphone), se utilizzati, anche sporadicamente, per l’accesso all’account aziendale
  3. utilizzare un antivirus professionale anche sui dispositivi personali (quelli gratuiti offrono protezioni limitate ed hanno lo scopo di proporre quelle ulteriori a pagamento)
  4. far girare l’antivirus sui dispositivi personali, per un controllo completo, prima di utilizzarli per lavoro
  5. sui dispositivi utilizzati (anche) per lavoro non scaricare applicazioni gratuite se non garantite da siti di comprovata serietà o quantomeno (o inoltre) sottoporre i file di installazione allo scansione con antivirus prima di attivarli
  6. prestare la massima attenzione contro il phishing e tipologie analoghe di attacco; meglio diffidare e controllare la provenienza delle e-mail (per altre vie) quando si devono scaricare allegati che possono contenere macro e scansionarli con l’antivirus prima di aprirli (sistemi di posta come Google GMail offrono potenti sistemi di scansione in grado di individuare tentativi di phishing, catalogare lo Spam e scannerizzare i contenuti delle email).
  7. utilizzare una linea WiFi sicura, protetta da password, da firewall e da protocollo WPA o meglio WPA2. Ricordarsi di proteggere sempre il proprio Router con username e password in modo da non lasciarlo a completa disposizione di malintenzionati.

 

ing. Michele Lopardo

Wondersys Srl


NOTE

1 – una comunicazione digitale, sotto le false spoglie di un ente affidabile, convince la vittima a fornire i propri dati personali, dati finanziari o codici di accesso.

2 – phishing che utilizza gli sms