Mese: agosto 2020

cyber security

Se le tecniche OSint consentono l’accesso a dati riservati

Rocco Sicilia

E’ apparentemente un paradosso, in realtà è un preciso dato sullo stato di (in)sicurezza di enti ed aziende e su come anche gli addetti ai lavori stiano mal gestendo (nessuno me ne voglia, ovviamente non mi riferisco a tutti ne a qualcuno in particolare) il già complicato tema della Cyber Security.

Con una certa frequenza incontro aziende strutturate, con ottimi reparti IT, ottimi partner tecnologici e ottimi strumenti di lavoro e che hanno intrapreso un qualche percorso di valutazione dello stato di sicurezza informatica delle proprie infrastrutture. Tipicamente vedo molta attenzione verso il tema del Vulnerability Assessment (VA) e del Penetration Testing (PT). Bene!

Il paradosso si verifica nel momento in cui, con l’obiettivo di illustrare il metodo di lavoro che utilizzo personalmente assieme al mio Red Team, emergono falle — anche molto critiche — nei sistemi informativi dei nostri interlocutori semplicemente utilizzando tecniche di Open Source Intelligence e nonostante l’azienda abbia già all’attivo diversi VA. Per lo più si tratta di “sviste” nella gestione delle procedure che porta ad esporre dati riservati o di misconfiguration che consentono l’accesso pubblico o non presidiato a risorse riservate come documenti, informazioni, sistemi, device. L’accesso non autorizzato a tali informazioni costituisce di per se un rischio per l’azienda che, nei casi in cui mi sono imbattuto, era completamente inconsapevole del fatto. Allarmante è anche la semplicità con cui queste informazioni sono individuabili: dal banale utilizzo di Google Dorks per reperide deta dati ed informazioni all’analisi di immagini e fotografie disponibili sui social network; fatto che desta nell’immediato stupore e poco dopo dubbio: diventa infatti lecito chiedersi in che modo si stiano conducendo le attività di verifica e gestione delle falle, alla luce del fatto che banalissime tecniche OSint consentano di trovare ciò che un VA non ha nemmeno preso in considerazione.

Riflettendo sugli scenari che ho avuto modo di analizzare ed affrontare giungo alla conclusione che si tratta di un problema di metodo: troppe aziende approcciano il tema della Cyber Security come un task “meccanico”, delegando molto allo strumento (software) e poco al cervello. Penso si debba lavorare nel modo opposto: pur tenendo in alta considerazione la bontà degli strumenti non possiamo limitare le attività di analisi dei rischi cyber alla mera esecuzione di una scansione delle vulnerabilità, spesso eseguita con criteri del tutto irrealistici e priva di analisi. Ritengo invece saggio analizzare il target come lo analizzerebbe un attacker, partendo dalla raccolta delle informazioni per poi progettare un modello di attacco da cui far emergere i rischi ed i punti deboli.

Per farla breve: il modello “meccanicizzato” serve a poco e si rischia di sostenere costi senza ottenere benefici, un approccio più pragmatico e costruito sul contesto reale (ogni azienda è differente) è ciò che può aiutare ad individuare reali falle ed relativo rapporto rischio/impatto.

cyber security, hacking

Quando parlo di Cyber Security…

Rocco Sicilia

…cerco di trasmettere un concetto fondamentale: la sicurezza informatica è un percorso, un insieme di processi e attività da mettere in fila per incrementare il livello di sicurezza di un sistema. Non è un prodotto. Non esiste il device o il software definitivo che magicamente porterà sicurezza.

Il modello che ho scelto per accompagnare su questa strada le aziende con cui dialogo (e mi fa piacere vedere che non sono il solo) transita da un insieme di fasi codificate e pensate per definire i reali rischi a cui un sistema complesso (in senso ampio, non solo sistemi IT) è esposto.

A tal fine diventa indispensabile valutare quale sia la superficie attaccabile. Questa primissima fase viene spesso ignorata (continuo a vedere proposte di Penetration Testing “un tanto al kilo”) pur essendo la base per costruire una strategia di difesa: come posso difendere un sistema di cui non ho indagato il livello di esposizione? E’ ovvio, o dovrebbe esserlo, che non è accettabile una valutazione eseguita da chi amministra il sistema da difendere in quanto viziata dall’illusione del controllo. Il miglior punto di vista per definire la superficie attaccabile è quello dell’attacker, quindi già da questa fase sono necessarie figure competenti sul tema della progettazione e realizzazione di attacchi informatici: White Hat ed Ethical Hacker.

E’ curioso constatare, in ogni occasione, come il perimetro presentato post-indagine sia molto più ampio di quanto gli interessati si aspettassero: è estremamente frequente non essere consapevoli della vastità di informazioni e sistemi che un’azienda presenta “all’esterno”. In merito a quanto invece si è consapevoli di esporre devo constatare quanto sia frequente la mancanza di adeguati strumenti e procedure per la gestione dei sistemi e delle informazioni. Anche i principi fondamentali vengono talvolta ignorati: path management, sistemi di detection e monitoraggio, gestione degli accessi, ecc.

Definito il contesto si può passare al contenuto con valutazioni a livello di desing, procedure e strumenti al fine di comprendere come è implementato ed amministrato il sistema. Le attività di assessment consentono di far emergere eventuali falle strutturali (scelte errate o deboli dal punto di vista della sicurezza) e peculiari (software bug, vulnerabilità, ecc.).

Il report che emerge da queste sessioni è utile a comprendere il livello di esposizione ad attacchi informatici ed i rischi che si possono correre in caso un attacco vada a segno. In alcuni scenari è opportuno fare un ulteriore passo verificando l’effettivo livello di sicurezza di un sistema complesso progettando e realizzando un attacco simulato, mettendo quindi in campo le skill del team di Ethical Hackers non solo per analizzare il target ma anche per tentare di espugnare la fortezza esattamente come farebbe un attacker. Il tutto ovviamente deve essere regolamentato da un ingaggio specifico per realizzare una sessione di Penetration Testing autorizzata.

Il fine di queste sessioni non è l’attacco in se ma aiutare le aziende a trovare risposta alla domanda:

“In caso vi rendiate conto di essere stati vittiva di un furto di informazioni o di un accesso abusivo ad un sistema informatico, quali procedure attuate per rispristinare la situazione?”

Compreso il reale stato di sicurezza del proprio sistema e avendolo messo alla prova è possibile definire le procedure e gli strumenti che possono essere messi in campo per gestire eventuali attacchi informatici. L’approccio alla sicurezza varia quindi dalla tradizionale introduzione di tecnologie generaliste (firewall, anti-malware, IDS, ecc) alla concertazione di ciò che è utile alla sicurezza di un sistema utilizzando la tecnologia disponibile sul mercato.

Il percorso verso la sicurezza deve quindi prendere in considerazione una serie di correttivi culturali oltre allo status dell’infrastruttura informatica:

  • procedure di gestione dei sistemi
  • formazione al personale interno (consapevolezza)
  • strumenti di cyber protection e loro corretto utilizzo
  • introduzione di policy aziendali specifiche per la sicurezza informatica
  • servizi di consulenza specifici

Ovviamente non è necessario, di solito, implementare “tutti” gli strumenti che esistono su piazza, ogni situazione va presa in considerazione singolarmente e vanno implementare le procedure utili allo specifico caso. Non esiste la “panacea” che salva ogni situazione.

Il primo passo è acquisire consapevolezza e su questo fronte nessuno ne sa più di chi ha bazzicato il vastissimo universo degli hackers.