Attacco Hacker

Si sente spesso parlare di ‘attacco hacker’, soprattutto in relazione a grosse aziende che subiscono furti di dati personali. Da addetti ai lavori possiamo affermare che se si prendono le dovute precauzioni gli incidenti di sicurezza, come vengono chiamati in gergo professionale, sono piuttosto rari. Non perché gli attacchi non siano frequenti, gli attacchi sono continui e inesauribili, ma perché se non si è un bersaglio particolarmente appetibile gli attacchi sono semplici ed è anche semplice difendersi. 

Possiamo fare un’analogia con i furti nelle abitazioni, gli attacchi più frequenti sono l’equivalente di un ladro che passa per strada e guarda se ci sono porte o finestre aperte, di conseguenza basta tenere porte e finestre chiuse per evitare i furti, che nel nostro caso sono gli incidenti di sicurezza. Certo che se si ha una villa con piscina conviene mettere anche un buon antifurto ma per un’abitazione più modesta il rischio è abbastanza basso da non valerne la pena. 

 

L’analogo informatico è che chi custodisce nel proprio server dati sensibili, come ad esempio una rubrica di nomi e numeri di telefono, o addirittura dati bancari, come quelli delle carte di credito, deve prendere precauzioni aggiuntive. 

Per un sistema più semplice, ad esempio un classico sito che fornisce informazioni su un’azienda (detto anche sito vetrina), è sufficiente rispettare le normali best practice di sicurezza e tenere aggiornate le librerie e i software coinvolti che le garantiscono. 

Prendere precauzioni aggiuntive sarebbe una protezione in più che potrebbe essere utile anche per un sito vetrina ma significa coinvolgere esperti del settore, che si preoccupano di revisionare il sito alla ricerca di vulnerabilità, cioè di punti che potrebbero essere sfruttati dagli attaccanti per qualcosa di malevolo, di isolare i servizi e inserire protezioni ove necessario, di effettuare opportuni attacchi simulati per verificare che tutto sia a prova di hacker, e infine di ripetere tutto periodicamente, in modo che si sia sempre al sicuro anche da nuovi tipi di attacchi. Come si può immaginare tutto questo ha un costo, che cresce al crescere del livello di sicurezza che si vuole raggiungere. Nel caso del sito vetrina tali costi non sono giustificati dai rischi che si corrono. D’altra parte, anche per gli hacker effettuare attacchi ha un costo che è proporzionale all’efficacia, un’analoga valutazione costi/benefici viene fatta anche da loro e gli attacchi più costosi vengono riservati per gli obiettivi più appetibili. 

 

A questo punto ci si può chiedere quale sia l’appetibilità del sito vetrina, cosa possa ricavare un hacker dall’attaccarlo: informazioni sensibili o dati di credito non ne contiene, le uniche informazioni che si possono ricavare sono quelle che già sono pubblicamente disponibili sul sito. La risposta sta nel fatto che gli attaccanti cercano di entrare nel sito vetrina per poter prenderne il controllo, in modo da poter sfruttare il server che lo ospita per altri scopi. 

 

Nell’analogo dell’abitazione è come se i malintenzionati non fossero ladri che cercano di entrare in casa per rubare qualcosa, ma dei delinquenti che cercano una casa incustodita e vuota, da usare come “covo”, una base da cui far partire altre operazioni criminali. La domanda può essere reiterata: cosa può ricavare un hacker dal prendere il controllo del server del sito vetrina, probabilmente non si tratta di una macchina particolarmente potente ed i prezzi dei server sul mercato non sono certo tanto alti da giustificare il rischio che comporta effettuare un illecito. Questo è vero, però è anche vero che è molto difficile nascondere le proprie tracce quando si effettuano attacchi o operazioni in rete. È molto difficile per la struttura stessa della comunicazione online, un qualsiasi attacco è composto da messaggi, che vengono trasmessi tramite uno scambio di informazioni tra i computer che stanno tra il mittente (l’attaccante) e il destinatario (l’attaccato). Per questo è relativamente semplice ricostruire il percorso effettuato da tali messaggi e capire da quale computer sono partiti, cioè da quale server è stato effettuato l’attacco. Per evitare di essere subito identificati gli attaccanti devono evitare di utilizzare per gli attacchi server che possono facilmente portare a loro. Ed ecco che capiamo a cosa serve impadronirsi del sito vetrina, i server ‘puliti’ diventano una risorsa così utile che ci sono persino dei ‘mercati’, ovviamente illegali, dove vengono venduti. Ne servono sempre dei nuovi, poiché, come detto sopra, appena li si usa per un attacco vengono identificati, il vero proprietario notificato e il server chiuso o rimesso in sicurezza. Di fatto sono usa-e-getta, per questo gli attaccanti fanno continuamente ricerche automatiche di altri server che abbiano falle di sicurezza che permettano di prenderne il controllo. Nella nostra analogia ho indicato queste falle come porte o finestre aperte, perché si tratta di cose molto facili da vedere per un malintenzionato e assolutamente da evitare per chi si preoccupa della sicurezza della propria abitazione. In ambito informatico l’analogia regge perché ci sono siti, dedicati alla sicurezza, che pubblicano quali sono le vulnerabilità note dei sistemi esistenti, e quali sono i modi per ripararle, tipicamente con opportuni aggiornamenti di sicurezza. Ironicamente queste stesse informazioni vengono sfruttate dagli hacker per cercare sistemi che ancora non hanno riparato tali vulnerabilità, in modo da usarle a loro vantaggio. La sicurezza di un sistema informatico va quindi mantenuta nel tempo, meno un sistema è aggiornato e più è probabile che abbia delle vulnerabilità di cui un attaccante può approfittarsi. Attenzione però che, quando parliamo di best practice di sicurezza, non si tratta solo di tecnologie complesse riservate agli esperti del settore, ma anche di seguire le indicazioni da questi consigliate. Prima tra tutte la gestione delle credenziali di accesso. Si può costruire il sistema software più sicuro al mondo ma se non si ha cura di scegliere password non banali e conservarle in luogo sicuro diventa subito facile per un malintenzionato accedere al sistema. Nella nostra analogia dell’abitazione è come se dopo aver installato in casa il miglior sistema d’allarme si lascino le chiavi e il telecomando dell’allarme sotto lo zerbino.

Dopo questa lunga introduzione voglio raccontare un breve aneddoto. A lab51 abbiamo sempre seguito le best practice e tenuti aggiornati i principali sistemi di sicurezza. La mia frase sulla relativa rarità di incidenti di sicurezza quando si prendono le dovute precauzioni è avvalorata dal fatto che in nessuno dei software che abbiamo prodotto se ne è mai verificato uno. Capita spesso che un server si blocchi o abbia qualche altro tipo di problema, e altrettanto spesso quando non è immediato trovarne la causa vengono in mente gli hacker. Normalmente la causa è un’altra, basta indagare più a fondo e si scoprono cause inaspettate, ma giustificabili con guasti hardware o malfunzionamenti software. Recentemente un’azienda ci ha chiesto di capire perché un suo e-commerce, sviluppato da terze parti, aveva dei problemi. Dalle prime verifiche non capivamo cosa fosse successo e, al solito, il pensiero è andato agli hacker. Tale ipotesi è stata però inizialmente scartata dopo aver appurato che non c’erano stati accessi anomali al server nei giorni immediatamente precedenti alla perdita di funzionalità del sito. Dopo altre verifiche incrociate troviamo però del codice malevolo iniettato nelle pagine del sito. A questo punto, tramite appositi strumenti, troviamo nel server un malware tramite il quale un attaccante può prendere il controllo del server. Diventa chiaro perché non avevamo trovato accessi anomali subito prima del malfunzionamento: la data del malware risale a più di un mese prima. Mentre ci chiediamo cosa hanno fatto i malintenzionati con il server in tale periodo arriva una notifica di un attacco di tipo ‘phishing’ lanciato proprio da quella macchina. Ovviamente abbiamo provveduto a ripulire il server e chiudere l’incidente in modo opportuno. Ad oggi non abbiamo certezze sul perché sia passato un mese dall’installazione del malware all’attacco, pensiamo che chi ha inserito il malware abbia poi rivenduto il server nel dark web, dove è stato acquistato nel giro di un mese da un secondo attaccante che l’ha sfruttato per gli attacchi. Non abbiamo identificato la vulnerabilità specifica utilizzata dai primi attaccanti per inserire il malware ma di vulnerabilità ce ne erano diverse, sia per sistemi non aggiornati che per alcune delle credenziali di accesso che non erano state custodite con la dovuta perizia, o alcune che addirittura avevano password banali. Penso che sia scontata la lezione che se ne trae, spero con questo post di far alzare un po’ la guardia a chi sottovaluta l’importanza della sicurezza nei propri sistemi informatici.

Tags

Related articles

top
Simplifying IT
for a complex world.
Platform partnerships
Services
Business Challenges

Digital Transformation

Security

Automation

Gaining Efficiency

Industry Focus