9 consigli per iniziare il 2019 in cyber-sicurezza

“Sono interessato al fatto che quanto meno sicuro si sente un uomo,
tanto più probabile è che abbia pregiudizi estremi.”
Clint Eastwood

Gli esperti concordano nel prevedere che nel 2019 il trend degli attacchi informatici, e conseguenti costi, sarà in ascesa. L’esplosione dei dispositivi IoT e dell’utilizzo della Rete aumenta ogni giorno la superficie di attacco a disposizione dei malintenzionati, senza che dall’altra parte vi sia una risposta efficace da parte delle istituzioni. La società sta ancora facendo fatica a prendere confidenza con l’esponenziale e repentino aumento della tecnologia nel mondo contemporaneo: questo pesante gap culturale, di cui l’Italia è purtroppo un degno rappresentante, rischia di essere esiziale per ottenere tutti quei benefici e vantaggi, oltre che ad un risparmio di costi, che le tecnologie ci permetterebbero.

Proviamo quindi a riassumere in 9 punti alcuni consigli per migliorare la nostra sicurezza in Rete, che dipende dalle abitudini più di quanto immaginiamo.

[ 1 ] E-Mail, phishing e scamming

Le comunicazioni via e-mail sono ancora uno dei sistemi più utilizzati da cittadini ed aziende. Ed anche uno dei vettori di attacco preferiti dai malintenzionati, che sfruttano l’ingegneria sociale per convincerci a cliccare su un certo link, fornire le nostre credenziali, numeri di carta di credito etc etc etc

Talvolta con toni di minaccia, altre volte simulando e-mail legittime, negli ultimi anni il livello di raffinatezza raggiunto dalle campagne di phishing è davvero preoccupante, provocando un aumento dei costi (perdite economiche in primis) vertiginoso.

E’ quindi necessario avere la consapevolezza che i messaggi e-mail sono tutt’altro che sicuri, soprattutto se non accompagnati da sistemi di verifica integrità (come ad esempio PGP/GPG) o da certificazione di terze parti, come la PEC. Sulla PEC è tuttavia opportuno ricordare il recente attacco DanaBot, veicolato anche tramite Posta Elettronica Certificata.

[ 2 ] Social engineering

Potrà far sorridere ma la maggioranza degli attacchi inizia con una semplice richieste di informazioni. Come insegna il famoso hacker Kevin Mitnick, puoi avere i firewall più potenti, l’antivirus più costoso e sempre aggiornato, il WAF più prestazionale ma… se la segretaria risponde ad una mail fasulla comunicando la password per l’accesso al gestionale, non c’è molto da fare.

C’è poco da ridere, soprattutto quando con attacchi del genere c’è chi, come un alto dirigente di Confindustria ha imparato a sue spese, ha fatto perdere 500.000€ e perso, lui stesso, il lavoro.

Sicuramente questo è un caso estremo (e noto) ma di attacchi condotti con sistemi analoghi, come la e-mail minatoria che ha raggiunto migliaia di italiani di cui abbiamo parlato su questo blog, le pagine di storia recente sono piene.

Quindi, a costo di sembrare antipatici e poco collaborativi, meglio non fornire alcun tipo di dato – password incluse – per telefono o per e-mail. E neanche per chat.

[ 3 ] Le password

La scelta delle password è uno dei fattori critici di ogni sistema di autenticazione. Tra password troppo complicate e praticamente impossibili da ricordare (“deve contenere un numero, un simbolo, fare una capriola e digitare a testa in su…”) a quelle banali, come “pippo”, “password” o la sempreverde “123456” esiste una virtuosa via di mezzo. Che è la scelta di una frase non banale, almeno 10-12 caratteri, magari con qualche simbolo o numero. Sulla scelta ne avevo parlato nel post “Lo zen e l’arte di scegliere una password sicura”.

Ovviamente ogni account dovrebbe avere la sua password (vietato il riuso di una medesima credenziale su più servizi), perché nel caso dovesse essere compromessa (ed i recenti data breach ci dicono che è tutt’altro che difficile…) l’attaccante avrebbe accesso a più servizi.

Vietato anche scrivere la password sul Post-it appiccicato al monitor della scrivania: il motivo è talmente ovvio che…

Per finire, l’uso di un password manager, anche se si tratta di una soluzione di compromesso, può aiutare.

[ 4 ] Social Media

Croce e delizia, la popolarità dei social media ha stravolto non poco le convenzioni e le regole sociali del nostro tempo. Tanto che oramai il profilo Facebook o l’account Twitter, per non parlare della pagina di LinkedIn, sono regolarmente consultati da potenziali datori di lavoro. C’è chi, per un post su Facebook critico, ha perso il lavoro.

I social sono anche uno degli obiettivi dei malintenzionati per capire le abitudini e gli interessi di potenziali vittime, così come ciò che pubblichiamo sul web rimane lì, per sempre, come hanno imparato a loro spese le vittime del revenge porn.

Negli scatti pubblicati su Instagram, ad esempio, potrebbero finire anche informazioni che non desideriamo rendere pubbliche (ricordate il Post-it sul monitor? Immaginatevi ora a farvi un selfie alla scrivania…) così come svelare situazioni o luoghi che potrebbero danneggiarci.

Insomma, attenzione a ciò che pubblichiamo. E limitarne la visualizzazione non protegge da eventuali screenshot o furti di identità. Possiamo ridurre la nostra esposizione facendo pulizia periodica dei vecchi contenuti: per Facebook è disponibile un comodo plugin di Chrome: Social Book Post Manager.

[ 5 ] Sicurezza “mobile”

Il 62,8% degli italiani, circa 38 milioni di persone, naviga su Internet da smartphone (dati Marzo 2018). Dispositivi sempre più potenti e prestazionali, che ormai sostituiscono i tradizionali PC in molte delle attività ludiche e professionali.

Se, per certi versi, le ridotte capacità rendono gli smartphone insensibili a certi attacchi, sono invece particolarmente sensibili ad altri tipi di vulnerabilità. Ad esempio, l’uso di punti di accesso alla rete “pubblici” (hot-spot wifi) espone i nostri dati ad essere carpiti e rubati da rogue access point installati in giro.

Anche mantenere il wifi attivato ci espone ad alcune potenziali vulnerabilità, ad esempio mostrando ad un eventuale attaccante tutte le reti WiFi che abbiamo salvato sul nostro smartphone…

Senza contare ciò che può accadere se lo smartphone ci viene rubato o lo perdiamo: foto, messaggi, e-mail, sms, documenti… alla mercé di eventuali malintenzionati!

E’ quindi necessario cautelarsi, ad esempio evitare di usare reti Wifi pubbliche (se proprio è necessario, usare una VPN), abilitare la full-disk encryption sul proprio dispositivo (tutte le recenti release di Android e di iOS la supportano), installare sistemi di protezione come Cerberus o similari, che permettono -nel peggiore dei casi- di cancellare la memoria da remoto.

[ 6 ] Lavorare da remoto

Sempre più aziende (ed anche le recenti modifiche normative) incoraggiano il telelavoro per i propri dipendenti, che si trovano così a poter lavorare da casa, dal bar, dalla biblioteca. Si tratta ovviamente di lavori da ufficio, quelli davanti ad un PC, che quindi necessitano di accesso alla Rete aziendale.

La rete aziendale deve essere quindi accessibile dall’esterno, che sia via VPN o altro sistema, offrendo a potenziali attaccanti una ghiotta occasione per scuriosare (o rubare!) segreti aziendali, dati, mail, ordinativi….

Il mezzo più usato per questi accessi è la VPN, di cui esistono numerose implementazioni, dalle meno sicure alle più cifrate e protette. Anche usando una tecnologia super-sicura, qualche volta l’asino casca sulla scelta delle password per gli account di accesso: a meno di usare un sistema di autenticazione via certificati x.509, che quindi necessitano di una procedura più complessa (e quindi più scomoda e costosa sia per l’azienda che per l’utente), gli accessi VPN sono generalmente usando le tradizionali credenziali username e password. Se non proprio, in certi casi, solo password.

Non tutti, purtroppo, usano una VPN. Certe volte si preferisce mettere direttamente in Rete alcuni PC o server, magari con IP pubblico (port-forwarding o DMZ…), e magari usare l’insicuro RDP – Remote Desktop Protocol– o l’analogo VNC per l’accesso ai dati aziendali. Soluzione probabilmente tra le più pericolose, anche solo per le vulnerabilità pubbliche scoperte su tali protocolli e relativi servizi.

Gli ultimi dati ci dicono che sono esposti in Rete oltre 4 milioni di host con il servizio RDP/VNC attivo. Un numero impressionante, considerando che talvolta non viene neppure usata l’accortezza di proteggerne l’accesso con password!

Quindi, se la vostra azienda non usa una VPN sicura (username+password sicure o certificati x.509) per l’accesso remoto, forse è il caso di valutare un investimento in tal senso (neanche troppo oneroso, tra l’altro): scoprire che i propri segreti aziendali sono stati rivelati ad un concorrente o pubblicati in Rete potrebbe costare molto di più.

[ 7 ] BYOD – Bring your own device

Permettere ai dipendenti di usare, sulla Rete aziendale, i proprio dispositivi è sicuramente un benefit interessante sempre più diffuso. Così come l’accesso di dispositivi utente, anche queste casistiche devono essere adeguatamente valutate dall’amministratore della Rete o del sistema, perché in assenza di opportune precauzioni, potrebbe rivelarsi una scelta fatale.

Come ci hanno insegnato le campagne di malware come Petya/NotPetya, che hanno provocato milioni di € di danni in tutto il mondo, non è sufficiente affidarsi a firewall e antivirus, soprattutto quando apriamo noi stessi le porte al nemico: in assenza di una separazione fisica dei segmenti di Rete (anche attraverso VLAN) dedicati a dispositivi non aziendali (e, quindi, non protetti e gestiti), un eventuale macchina infetta avrebbe accesso diretto ai preziosi servers e a tutti gli altri computer.

Traslando il concetto nel mondo biologico, è come invitare a prendere un caffè l’amico che ha appena preso l’influenza...

Quindi, anche se il BYOD è una strategia da supportare anche solo per “ecologia”, è necessario mettere in atto tutta una serie di contromisure per essere capaci di identificare ed isolare eventuali dispositivi infetti connessi alla Rete, senza contare la possibilità che su tali dispositivi sia installato (anche a sua insaputa) uno sniffer o logger per rubare credenziali e password.

[ 8 ] Sicurezza fisica

Se i nostri preziosi dati e la nostra Rete aziendale ha dei segmenti cablati esternamente all’edificio, magari ad altezza uomo, è facile che qualche malintenzionato particolarmente motivato possa collegarsi direttamente ad essa senza essere scoperto. Anche le centraline di derivazione o eventuali dispositivi di sicurezza, come le telecamere IP, se non adeguatamente installate potrebbero offrire “punti di accesso” facilmente sfruttabili da un attaccante.

Stessa cosa, ovviamente, se lasciamo porte di rete attive nei corridoi o altre aree comuni non presidiate, dove un qualsiasi attaccante può collegare un router wireless da poche decine di euro ed entrare, comodamente, nella vostra Rete aziendale.

L’uso di strumenti per il monitoraggio proattivo della Rete (SEM/SIEM), soprattutto nel caso di reti aziendali, è ormai obbligatorio anche ai sensi della recente normativa GDPR: un amministratore di Rete sa quando sia importante avere sempre l’infrastruttura sotto controllo (chi si connette, chi si disconnette…) per evitare intrusioni e per mitigare eventuali attacchi (come hanno scoperto i ragazzi del post “The curious case of the Raspberry Pi in the network closet“).

Sarebbe errato pensare che si tratti di ipotesi remote: in realtà attacchi di questo tipo, insieme alle finte chiavette USB (di cui parlo subito dopo), sono in rapida ascesa.

[ 9 ] Le chiavette USB

Superati i floppy disk, gli ioMega Zip e pure i CD, la mobilità dei dati avviene ormai quasi esclusivamente su chiavette di memoria che colleghiamo, senza farci troppi problemi, alle porte USB del nostro PC.

Chi ha visto la serie televisiva di Mr Robot (stagione 2, episodio 6), peraltro ben fatta rispetto a molte altre dello stesso tipo, saprà che proprio attraverso le chiavette USB viene perpetrato un attacco al carcere federale, permettendo di prenderne il controllo e riuscendo a far evadere il nostro Eroe.

Tornando al mondo reale, attacchi tramite finte chiavette USB sono ormai una realtà consolidata e decisamente economica: con meno di 10€ è possibile acquistare, in modo del tutto legale, dispositivi USB che sembrano chiavette di memoria ma che, in realtà, non lo sono. Ne ho parlato nell’articolo “Attenzione alle chiavette USB“, ricordando come gli studi comportamentali ci dicano che “the attack is effective with an estimated success rate of 45–98% and expeditious with the first drive connected in less than six minutes”.

Senza scendere nei dettagli tecnici, per i quali la Rete è una splendida fonte di informazioni, è possibile infettare con malware o keyloggers un PC semplicemente collegando alla porta USB una di queste chiavette.

A costo di essere antipatici, evitate di inserire nelle porte USB chiavette di estranei o che magari avete trovato a terra o abbandonata sull’autobus. Stessa cosa per qualunque dispositivo USB, come riproduttori musicali, scaldavivande USB o gadget vari: possono nascondere al loro interno delle sgradite sorprese…

Concludendo…

Mai come in questi ultimi anni, contemporaneamente all’esplosione dell’uso della Rete da parte dei cittadini e delle aziende, si sente la necessità di garantire agli utenti la sicurezza in Rete. La sicurezza, però, passa anche e soprattutto dal modificare le nostre abitudini e consuetudini per adattarle al contesto attuale.

Le prime vittime dei malintenzionati sono i cittadini che non hanno gli strumenti per comprendere la tecnologia e che, quindi, vi si affidano con fiducia cieca. Una fiducia che rischia di costare cara, come sanno coloro che sono rimasti vittima di truffatori, ramsonware e cryptolockers.

Analogamente alla necessità di conoscere le regole base della strada e conseguire l’attestato per la guida dei veicoli, anche sulla Rete si deve imparare a conoscerne i rischi, per evitare soprattutto che un fantastico strumento di libertà e democrazia come Internet venga sottoposto a censure e limitazioni sotto la “spinta della volontà popolare”.

Un buon 2019 a tutti.

(Visitato in totale 26 volte, oggi 1 visite)

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.