Security managementSicurezza

Verizon e la pratica del cybercrime

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Il Data Breach Digest di Verizon si concentra sul “come” degli attacchi e non sulle statistiche: due esempi per IoT e cloud

Verizon ha pubblicato l’edizione 2017 del suo Data Breach Digest, in cui analizza una molteplicità di incidenti di sicurezza e di violazioni delle reti. L’ottica non è quella classica di arrivare a una analisi quantitativa che mostri l’incidenza percentuale di attacchi e violazioni ma piuttosto un esame “qualitativo” degli incidenti, per mostrare come il loro impatto e la loro possibile gestione sia strettamente legata all’elemento umano.

L’ottica, messa in evidenza anche da altri studi, è quella secondo cui la sicurezza ormai non è più un “affare da tecnici” limitato all’ambito dello staff IT. Le conseguenze di una violazione vanno ben oltre e interessano vari livelli aziendali. Analogamente, è vedendo la sicurezza IT non solo dal punto di vista strettamente tecnico che si possono definire e adottare le strategie di protezione e reazione più opportune.

Tra i casi esaminati dal Data Breach Digest, due in particolare mostrano le possibili evoluzioni di attacchi che stanno diventando per così dire di moda, ossia quelli alle infrastrutture IoT e quelli che sfruttano la dipendenza delle aziende da più servizi cloud di provider diversi.

Attacchi dalla rete IoT

Il caso-IoT preso in esame riguarda un attacco ai server DNS di una rete universitaria, generato mediante una ondata di richieste che li sovraccaricano e impediscono la risoluzione dei lookup leciti da parte degli utenti. Circa cinquemila “oggetti” di vario genere, dalle lampadine ai distributori automatici, inviano richieste DNS in flooding: anche se la loro rete è isolata da quella generica dell’università, le richieste DNS sono comunque ammesse a passare su una sottorete diversa.

La distribuzione geografica di una botnet composta da home router rilevata da Sucuri
La distribuzione geografica di una botnet composta da home router rilevata da Sucuri

Aperti in questo modo verso la rete generica e quindi verso l’esterno, i dispositivi IoT sono coinvolti in una botnet. Un malware “alla Mirai” ne prende il controllo cambiando tra l’altro le password di gestione a intervalli regolari. Esaminando il comportamento del malware è però possibile intercettare le comunicazioni dei dispositivi verso i server di comando e controllo della botnet, comunicazioni che comprendono anche – in chiaro – la password usata in quel momento.

Catturate le password di dispositivi al momento di un loro aggiornamento e, immediatamente dopo, bloccando l’accesso dei device IoT alla rete esterna, lo staff IT ne riprende il controllo.

La frammentazione del cloud

L’attacco legato al cloud ha avuto una dinamica più semplice dal punto di vista tecnico ma mette in evidenza le molte implicazioni anche legali collegate alla “frammentazione” di un servizio, che dai suoi utenti finali viene percepito come unico, in una successione di componenti più piccoli che vengono gestiti da realtà diverse, a volte senza averne una completa visibilità.

Il caso vede come vittima un’azienda che gestisce le sue vendite anche attraverso un sito di ecommerce. A un certo punto gli utenti segnalano un comportamento anomalo nelle procedure di pagamento online: il primo tentativo fallisce sempre e il secondo va a buon fine. Testando direttamente il problema, lo staff IT si rende conto che il primo pagamento viene in realtà ridirezionato su una pagina falsa, creata per catturare i dati delle carte di credito e che poi rimanda il cliente alla vera pagina di pagamento, per non destare troppi sospetti.

I diversi tassi di adozione delle tecnologie di security nei datacenter e nel cloud
I diversi tassi di adozione delle tecnologie di security nei datacenter e nel cloud

Un attacco tecnicamente semplice. E tra l’altro anche mal progettato – si scoprirà poi – perché la sottrazione dei dati non riesce nemmeno completamente. Ma l’azienda colpita non può capirlo subito perché non gestisce direttamente l’ecommerce: lo ha delegato a un provider di una nazione diversa (la Repubblica Ceca) che a sua volta si serve di un cloud provider in India, il quale conserva il sito e i dati dei clienti finali in un datacenter in Malesia. Senza che la prima azienda ne sappia nulla.

La “triangolazione” tra nazioni diverse per l’analisi dell’accaduto richiede due settimane, periodo in cui per sicurezza il sito di ecommerce viene disattivato. La morale del caso è che la sicurezza IT non riguarda più solo la propria infrastruttura ma anche quella dei partner, compresi quelli che magari si hanno senza nemmeno saperlo perché sono fornitori di un proprio fornitore. E non sempre queste realtà alla fine della catena hanno gli strumenti adatti per il livello di sicurezza che si prevede.