Nel corso del mese di giugno, TeamViewer ha subito un pesante attacco da parte di criminali informatici, ecco cosa ne pensa Antonio Madoglio, SE Manager di Fortinet.
L’intrusione, come sottolineato dall’azienda, non è avvenuta forzando il client di controllo remoto, né la piattaforma stessa, ma attraverso il furto di account. La maggior parte delle credenziali rubate è stata sottratta sfruttando vulnerabilità esistenti e che sono state impiegate anche per trafugare i dati relativi ad altri servizi, come per esempio LinkedIn e MySpace.
Secondo Antonio Madoglio, le news che hanno riguardato recentemente TeamViewer sono solo un ulteriore esempio della variabilità e della crescente sofisticazione delle minacce che vediamo nel mondo della cybersecurity oggi.
L’attacco a TeamViewer appare organizzato e sofisticato. Abbiamo visto nel tempo le organizzazioni criminali impegnare molto tempo e denaro per migliorare le proprie competenze in tema di cybercrime. Il ransomware è un ottimo esempio dei motivi che ci sono dietro. E’ estremamente efficace e profittevole al tempo stesso. Allo stesso modo, un tool di accesso e gestione remota come TeamViewer è un invito potenziale all’azione, perché può fornire accesso a decine di migliaia di dispositivi remoti.
– Come cambia il modo di attaccare degli hacker?
La risposta iniziale di TeamViewer, che ha negato di essere stato compromesso, può anche essere vera, ma in ogni modo mostra come sia davvero difficile capire se un hacker è già presente nella rete. Chi entra può restare nella rete anche a lungo, senza essere notato. Eventuali irregolarità del sistema possono essere attribuite a problematiche tecniche, piuttosto che all’opera di hacker.
Come gli illusionisti usano la loro abilità manuale per dirottare l’attenzione del pubblico dove vogliono, gli hacker usano la stessa tecnica per sviare le organizzazioni che intendono approfondire eventuali problemi di rete o di sicurezza. Si tratta di una tecnica molto comune nel classico crimine da strada (e basterebbe chiedere a chiunque abbia subito il furto di un portafoglio in mezzo alla folla). Allo stesso modo, pare che verso i sistemi DNS di TeamViewer sia stato condotto un attacco massiccio, forse come metodo di destrezza per compromettere i suoi sistemi, o forse come strumento di distrazione rispetto ad altri attacchi più sofisticati.
– Come è possibile tutelarsi rispetto a questo tipo di attacchi?
Visibilità e segmentazione sono fattori chiave nella protezione di una rete. Molte organizzazioni si affidano a metodi di sicurezza antichi per le loro reti, come VLAN e liste di accesso, invece di mettersi alla ricerca di vulnerabilità e payload malevoli all’interno delle applicazioni. Le VLAN sono una segmentazione layer-2, e le liste di accesso sono state generalmente usate come punto primario di controllo. È facile capire perché le organizzazioni siano convinte di avere protetto le loro reti interne e di avere definito sufficienti policy di segmentazione usando questi metodi. In realtà, si tratta di metodi che proteggono solamente contro attacchi che gli hacker non usano più, da oltre dieci anni.
– Cosa si può imparare da questo evento recente?
Gli attacchi più comuni sfruttano applicazioni che vengono usare ogni giorno, come web, mobile e database. Avere visibilità sugli attacchi, e dividere le reti in base alle funzioni, alle attività di business e alle isole di sicurezza, incrementa drasticamente la capacità di un’organizzazione di individuare, mitigare e fermare questi rischi. L’IT e le reti sono più costruiti su tecnologie di networking, ma disegnate attorno ad applicazioni e funzioni, ma vediamo ancora organizzazioni che continuano a progettare, costruire e basare le loro metodologie di sicurezza IT su vettori di attacco alla rete, invece che su cloud, web e applicazioni borderless.
Raramente, le organizzazioni si impegnano allo stesso modo, e con le stesse risorse, per monitorare, proteggere e bloccare applicazioni sulle reti interne, come fanno sul perimetro o al confine della propria rete. Questo soprattutto in base alla convinzione – spesso non corretta – che la complessità, l’impatto sulle prestazioni e gli altri costi legati all’implementazione di protezioni sui segmenti di rete interni siano proibitivi. Troppo spesso finora, fanno poco o niente per monitorare e proteggere attivamente le loro reti interne. Ed è questa mancanza di protezione che ha dato il la a molti degli attacchi più devastanti che abbiamo visto recentemente, soprattutto provenienti dall’interno. Se è possibile accedere ai sistemi tramite un’istanza di TeamViewer compromessa, ci sono pochi dubbi che gli hacker possano usare questo sistemi come punti di partenza per ottenere accesso a segmenti di rete interne, per ricercare ed eventualmente sfruttare altri tipi di vulnerabilità, ed ottenere una presenza consolidata all’interno della rete. Se l’attacco a TeamViewer è già significativo di per sè, le conseguenze di lungo termine possono davvero diventare devastanti.
– Cosa si può fare?
1. Adottare soluzione di sicurezza che possono vedere le reti distribuite nella loro interezza. Idealmente, questi strumenti dovrebbero essere in grado di integrarsi e collaborare, condividendo e correlando le informazioni sulle minacce provenienti da fonti differenti, per vedere le minacce più avanzate e adattarsi di conseguenza.
2. Segmentare in modo intelligente la rete e monitorarne il traffico interno. Questo permette di identificare in modo più veloce comportamenti anomali o comunque inattesi, e contenere le minacce a un’unica area della rete.
3. Implementare una soluzione avanzata di individuazione delle minacce, che sia in grado di garantire elevati valori di identificazione, abbinati a una presenza quanto possibile minima di falsi positivi.