La reale situazione della Cyber Security

Sempre più spesso vengono pubblicate e diffuse analisi e report sulla situazione della cyber security; sulla carta sembra tutto perfettamente previsto e sotto controllo, ma allora perché si buttano via circa 150 milioni di euro ogni anno per una cattiva cybersecurity che alla prova dei fatti risulta inadeguata?

Sicuramente uno dei motivi di questo spreco è dato dall’abitudine di investire nella tecnologia e risparmiare sul personale, infatti molte volte si hanno a disposizione infrastrutture con appliance sempre più aggiornate ma per risparmiare sulla sicurezza la si affida a professionisti junior. Senza nulla togliere a questi ultimi, si può certo pretendere che abbiano l’esperienza necessaria e soprattutto il tempo per tenersi informati su ogni novità. A me personalmente è capitato di vedere una nota multinazionale gestire un IRT valido tralasciando però le configurazioni di base di IDS e SIEM, con il risultato di avere falsi positivi mentre i veri danni passavano inosservati.

Una mancanza che si manca in queste analisi è poi l’aspetto legato alla superficie della cyber security, ovvero vengono analizzate le grandi infrastrutture mentre i digital criminal (non chiamiamoli hacker) colpiscono siti di piccole aziende o amatoriali sfruttandone la scarsa sicurezza e usandoli per fare spreading di malware/ransomware, furto di credenziali e phishing.

Per fare un esempio, un famoso sito di incontri per farsi pubblicità ha utilizzato una combinazione di phishing e  hacking in modo massiccio. Nella posta arrivano e-mail che invitano gli utenti a visionare le proprie foto piccanti e cliccando sul link ci si ritrova su una pagina caricata appositamente su un sito hackerato che esegue il redirect sul sito finale. Ricapitolando vengono usate:

– email reali ma facilmente hackerabili

– siti con scarsa sicurezza dove è stata caricata una pagina in php che esegue il redirect

La massiccia campagna di phishing è stata inizialmente fermata ma poi è riapparsa ed ogni e-mail utilizzando diversi siti ed e-mail deboli. A parte il sito del ministero della sicurezza thailandese tutti gli altri erano siti di piccole aziende.

Questo ci porta ad un enorme quesito  su cui riflettere. La sicurezza è appannaggio solo dei grandi network? Sarebbe illogico in quanto ogni grande azienda è formata da persone che hanno una vita digitale privata e sono facili bersagli. Praticamente ogni persona di una multinazionale è un possibile backdoor involontario.

Altra piaga della cyber security moderna è l’improvvisazione di molti che ne vedono un ottimo affare, ma offrono i propri servizi a costi esorbitanti e offrendo soluzioni dove si automatizza una analisi di sicurezza, molti confondono un penetration test con un vulnerability assessment. Il risultato per le aziende è pagare prezzi esorbitanti per un servizio anche valido ma che offre risultati incompleti e poco professionali.

C’è poi il capitolo legato a SCADA e IoT; i primi automazioni industriali che gestiscono grosse strutture anche delicate mentre le seconde sono oggetti di uso comune da chiunque in questi nostri tempi digitali, sono veri e propri punti di accesso e spesso aperti a chiunque. Un caso eclatante è stato fornito dalla una ricerca di un laboratorio italiano che ha riportato oltre 400 dispositivi di ricarica delle macchine elettriche il cui centro di controllo era aperto in rete senza nemmeno password e username. A chi dare la colpa? a chi le progetta senza la costrizione di inserire una password che non sia di default o di chi le installa senza avere le conoscenze necessarie?

SCADA invece è ben più delicato come ambiente in quanto spesso gestisce pompe di benzina o impianti elettrici, mi capitò che durante un penetration test a un impianto SCADA venne da me l’ingegnere pregandomi di interrompere lo scanning poiché stava andando in critical e avrebbe potuto esplodere.

Molti sono gli esempi che possiamo portare ma tutto ci porta ad una conclusione, visti anche gli ultimi attacchi WannaCry e Petya che hanno ridotto in ginocchio grandi colossi: la cyber security come é stata concepita fino ad ora va ripensata e strutturata in modo che sia accessibile a tutti; non va poi dimenticato che ogni parte dell’azienda rappresenta una possibile minaccia non solo il sito web o i servizi che si offrono, quindi bisogna investire maggiormente sulle risorse piuttosto che in grandi tecnologie che poi non si è in grado di configurare.

A cura di: Giovanni Caria