Le violazioni alla supply chain sono sempre più frequenti e preoccupanti. Dare priorità alla sicurezza con strumenti più avanzati è il consiglio principale di Synology. A febbraio, un attacco ransomware ha permesso a un gruppo di malviventi di impossessarsi delle cartelle cliniche di una “quantità significativa dei clienti” di Change Healthcare, Si tratta di un venditore di soluzioni per la gestione finanziaria che mette in contatto pagatori, fornitori e pazienti negli Stati Uniti.
L’attacco ha mandato in tilt i servizi sanitari a livello nazionale per settimane e, secondo la società madre UnitedHealth, molto probabilmente nel lungo termine risulterà in un costo totale di oltre 1 miliardo di dollari. A questo sono seguiti attacchi ad altri fornitori di servizi sanitari, come Synnovis nel Regno Unito, Viamedia e Almerys in Francia.
Attacchi alla supply chain: quanto contano gli errori umani
Chiunque abbia lavorato con Fiverr o Uber, abbia eseguito la verifica del profilo su TikTok o abbia usato PayPal, LinkedIn o Coinbase, corre il rischio che i documenti di identificazione forniti durante il processo KYC (know your customer) siano ottratti dal fornitore di autenticazione AU10TIX. In realtà, tutto ciò sarebbe stato facilmente evitabile. Ma AU10TIX per oltre un anno ha dimenticato di cambiare la password di un account con privilegi amministrativi compromesso.
Arginare gli attacchi alla supply chain per proteggere i dati personali
Queste sono solo alcune violazioni pubblicamente note, ma cosa hanno in comune tra loro? Sono tutti attacchi alla supply chain, la catena di approvvigionamento. Nessuno dei fornitori violati è un’azienda con cui, al di là di persone che occupano ruoli o settori specifici, sentirebbero parlare. Quello che hanno in comune, però, è un tesoro di preziose informazioni personali. In realtà, gli attacchi alla catena di approvvigionamento sono una preoccupazione costante da anni. Basti pensare alla polemica sul “piccolo chip” che ha compromesso Amazon, Apple e altri. È vero, ma questi attacchi stanno diventando sempre più diffusi e sempre più sofisticati.
La fragilità del nostro sistema di sicurezza
Lo scorso marzo è stata inserita una backdoor in xz Utils, strumento presente in quasi tutte le distribuzioni Linux. Se, per pura coincidenza, uno sviluppatore non si fosse accorto dell’anormale quantità di cicli CPU consumati dai login SSH, i malintenzionati sarebbero stati in grado di infliggere danni devastanti alle installazioni Debian e Red Hat. Consentendo così qualunque attività, dal furto delle chiavi di crittografia all’installazione di malware.
Cosa dicono gli esperti
Gli esperti hanno descritto l’accaduto come uno degli “attacchi alla catena di distribuzione meglio eseguiti” e quasi riusciti. Non si è trattato di qualcosa che si è svolto nell’arco di giorni o mesi, ma di anni in cui è stata man mano costruita la fiducia dei manutentori dei progetti. Fino a quando non è stato introdotto un codice abilmente nascosto che avrebbe permesso di dirottare e iniettare codice nelle sessioni SSH.
Più attenzione per arginare gli attacchi alla supply chain
Sebbene questa tipologia di attacchi sia alquanto rara, è anche molto più difficile da individuare e potrebbe avere gravi conseguenze se trascurata. Inoltre, non dobbiamo cercare lontano per trovare incompetenza o mancanza di attenzione per ottenere risultati simili. Basterebbe prendersi un minuto per pensare al dispositivo informatico, al browser e alla connessione di rete che utilizziamo tutti i giorni: chi li ha sviluppati e chi li gestisce? Chi lavora su un iPhone o un Mac potrebbe pensare che sia semplice.
Applicazioni e software
Tecnicamente è vero, ma non conosciamo tutte le applicazioni e i software di terze parti che potrebbero essere stati installati. Così come una distribuzione Linux può comprendere centinaia, se non migliaia, di strumenti e progetti, un server, un PC o qualsiasi dispositivo “intelligente” è una gigantesca integrazione di hardware, firmware, software e persino servizi basati sul cloud.
Controlli di sicurezza poco rigorosi
Per oltre cinque anni, alcuni server di Lenovo, Intel e Supermicro sono stati distribuiti con vulnerabilità note nel software BMC, sottosistema comune utilizzato per la gestione e la diagnostica da remoto. Perché? Perché i fornitori (più di uno!) che hanno progettato il software BMC hanno dimenticato di aggiornare un componente del server web open source chiamato lighttpd, che risolveva una vulnerabilità scoperta nel 2018. Questo segue un altro incidente, dovuto a un controllo di sicurezza poco rigoroso, che ha colpito i fornitori di BIOS alla fine del 2023. E ancora un altro incidente in cui i produttori di dispositivi hanno accidentalmente utilizzato chiavi crittografiche non destinate alla produzione per il Secure Boot. Compromettendo in questo modo una funzione di sicurezza fondamentale integrata in molti PC.
La spinta lenta verso una migliore sicurezza
Tra tutti questi allarmanti incidenti, la recente direttiva Network and Information Security (NIS) 2 dell’Unione Europea, entrerà in vigore nel corso dell’anno. L’obiettivo è quello di spingere il mercato europeo ad adottare migliori posture di sicurezza e condurre valutazioni e gestioni del rischio approfondite. Con particolare attenzione al rafforzamento della sicurezza della catena di approvvigionamento.
L’esempio degli USA
Negli Stati Uniti, un ordine esecutivo del 2021 (14028-Improving the Nation’s Cybersecurity) si concentra sulla definizione di criteri per identificare i rischi nelle pratiche di sicurezza di sviluppatori, fornitori e del prodotto software finale. Insieme alla legislazione esistente, anche la consapevolezza e l’esame della sicurezza stanno aumentando, anche se a un ritmo relativamente lento.
L’anello più debole
Gli Stati Uniti e molte nazioni alleate dell’Europa e dell’Asia Pacifico hanno approvato leggi che limitano l’installazione di sistemi di telecomunicazione Huawei e ZTE, telecamere e NVR Hikvision e Dahua. E, forse presto, anche di droni DJI. Si tratta di provvedimenti che si concentrano su obiettivi di grandi dimensioni, tipicamente hardware. L’anello più debole di tutto questo resta senza dubbio il software, oltre alle persone che lo gestiscono.
Muoversi in anticipo per arginare gli attacchi alla supply chain
Per ogni organizzazione, essere consapevoli di questo problema e implementare alcuni accorgimenti cruciali nei processi di gestione e acquisto dell’IT aiuterà a prepararsi al peggio. Uno strumento efficace è la distinta base del software (Software Bill of Materials, SBOM). Questa soluzione fornisce un elenco completo di tutti i componenti software utilizzati in un particolare sistema, servizio o software più ampio. Le SBOM consentono alle organizzazioni di ottenere visibilità su cosa sta eseguendo esattamente la loro infrastruttura IT, quali componenti vengono utilizzati attivamente e, soprattutto, se presentano vulnerabilità note.
Più responsabilità
Quando si parla di sicurezza, però, non esiste una soluzione unica. Tuttavia, proprio come l’elenco degli ingredienti che si trova sulle etichette alimentari, le SBOM portano trasparenza a “scatole nere” tradizionalmente opache. Con frequenti controlli di sicurezza, le aziende possono identificare e risolvere in modo proattivo le vulnerabilità. Costringendo così i fornitori a rispondere più rapidamente e spingendo il settore a essere più responsabile. La disponibilità di SBOM e lo storico delle risposte alla sicurezza di un fornitore diventeranno fattori sempre più decisivi per la capacità di affrontare gli attacchi informatici.
Richiedere trasparenza anche dai fornitori
Synology, ad esempio, rende disponibili le SBOM nei formati CycloneDX e SPDX per i suoi clienti aziendali. Grazie alla rapidità con cui affronta qualsiasi vulnerabilità zero-day o critica, Synology ha definito uno standard particolarmente elevato per la manutenzione e la sicurezza delle sue soluzioni di gestione e protezione dei dati. Per i professionisti dell’IT e i decisori aziendali, è imperativo dare priorità alla sicurezza dal lato dell’offerta in tutti i sistemi. Ed è fondamentale assicurarsi che i fornitori siano trasparenti riguardo al software e ai servizi che utilizzano e che si impegnino a effettuare regolari controlli di sicurezza. Con un panorama di cybersecurity in continua e vorticosa evoluzione, un pizzico di preoccupazione è d’obbligo, per poter essere pronti a tutto.
