Lavi Lazarovitz, Head of Security Research di CyberArk, ci spiega come, per assicurare una security efficace, sia importante comprendere il modo di operare dei cybercriminali.
“Ci vuole un ladro per prendere un ladro“ recita un vecchio proverbio, e un fondo di verità c’è. Nel mondo della sicurezza non serve essere un criminale informatico per catturarne uno, ma comprenderne il modo di pensare certamente può essere d’aiuto.
Per capire la mentalità dei cyber criminali può essere utile conoscere le tipologie di vulnerabilità che tentano di sfruttare, in particolare due delle più comuni: i difetti di progettazione e il coding non sicuro.
Perché i cybercriminali amano sfruttare i difetti di progettazione
Gli attaccanti guardano agli ambienti IT cercando di far operare il sistema contro se stesso, affinché struttura e applicazioni vulnerabili li possano supportare nel furto di dati e proprietà intellettuale.
Uno di questi difetti di progettazione, scoperto quando il controllo vocale dei dispositivi mobili iniziava a decollare, era sorprendentemente semplice e consentiva di aggirare facilmente l’interfaccia utente human-friendly degli assistenti vocali chiedendo, per esempio, a un iPhone di chiamare numeri a scelta, o di aprire un sito dannoso da cui scaricare e installare malware.
I ricercatori della Zhejiang University che hanno identificato questa falla hanno scoperto che la traduzione dei comandi vocali in frequenze troppo alte per l’orecchio umano potrebbe invece essere “sentita” dagli assistenti vocali e, affinché questa tecnica possa essere messa in azione, è sufficiente essere a pochi metri dallo smartphone di destinazione con alcuni dollari di attrezzatura aggiuntiva – tra cui un piccolo altoparlante e un amplificatore – per avere successo.
Prendere di mira il coding non sicuro
L’altra grande classe di vulnerabilità è il coding non sicuro, che emerge quando non si seguono le regole della programmazione sicura, cosa sfortunatamente ancora molto comune nel mondo del software.
Queste vulnerabilità si presentano in molte forme, dai bug basati sulla memoria, che permettono agli attaccanti di scrivere codice in aree di memoria alle quali non potrebbero accedere, alle vulnerabilità nella gestione delle credenziali, in cui possono ottenere l’accesso a credenziali che non dovrebbero visualizzare. A volte i programmi mostrano informazioni di debug che possono dare ai malintenzionati informazioni utili da sfruttare.
Un buon esempio è il bug del comando Sudo, ampiamente utilizzato in tutti i sistemi operativi Linux. Il bug è stato scoperto nel gennaio 2021 e permette a un attaccante di aumentare i privilegi da un utente senza permessi di “root” – l’equivalente di un amministratore – su una macchina host locale. In questo modo, il codice insicuro dà potenzialmente accesso a qualsiasi elemento sull’host. Oggi sono milioni le macchine in uso vulnerabili a questo bug così semplice da sfruttare.
Come fanno i cybercriminali a trovare queste vulnerabilità?
Un metodo comune è il fuzzing, una tecnica di test automatico del software che cerca bug di software “hackerabili”, alimentando in modo casuale input e dati non validi e inaspettati in un programma per computer, al fine di trovare errori di codifica e falle di sicurezza.
I cybercriminali partono dal presupposto (plausibile) che da qualche parte nel programma ci sia un bug nascosto, e avrà “solo” due problemi da risolvere: scoprire esattamente dove si trovi, e quale input deve essere passato attraverso il programma per innescarlo.
Fortunatamente, anche i ricercatori di vulnerabilità possono sfruttare tali tecniche per trovare difetti di codice e correggerli. Gli strumenti per il fuzzing sono facili da utilizzare e al ricercatore non serve capire l’intero programma. Ha solo bisogno di analizzare una piccola parte del software e lasciare che il programma faccia il resto.
Quindi, la migliore arma a disposizione di un ricercatore è imparare a pensare come un attaccante e sviluppare una mentalità simile, analizzando gli stessi difetti che i cybercriminali stanno cercando al fine di trovare le falle sfruttabili e migliorare la postura di sicurezza della propria organizzazione.
Il giusto approccio e le possibili conseguenze
Sfruttare la giusta vulnerabilità significa aprire un varco nelle vostre difese, o permettere a un hacker di aumentare i privilegi e, a sua volta, compromettere gli account privilegiati. Come ampiamente documentato (dalla cronaca, oltre che da ricercatori e specialisti di security), è proprio la compromissione degli account privilegiati ad essere uno dei passaggi chiave di un attacco di successo.
Per saperne di più su come la gestione degli accessi privilegiati può aiutare a contrastare le minacce e proteggere dati, infrastrutture e le risorse più critiche delle aziende scarica una copia gratuita del Magic Quadrant 2021 di Gartner* per la gestione degli accessi privilegiati.
Gartner non sostiene in particolare alcun fornitore, prodotto o servizio descritto nelle proprie pubblicazioni di ricerca né suggerisce agli utilizzatori delle tecnologie di scegliere solo i vendor con la valutazione più alta. Le pubblicazioni delle ricerche di Gartner riguardano le opinioni dell’organizzazione di ricerca Gartner e non vanno intese come dati di fatto. Gartner non riconosce alcuna garanzia, espressa o implicita, in relazione a questa ricerca, incluse le garanzie di commerciabilità o idoneità per un particolare scopo.
* autori del report Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, Swati Rakheja, 19 luglio 2021
Gli attaccanti guardano agli ambienti IT cercando di far operare il sistema contro se stesso, affinché struttura e applicazioni vulnerabili li possano supportare nel furto di dati e proprietà intellettuale.
