Un interessante articolo di Dark Reading ci illustra quali sono le principali minacce web che incombono oggi sulle aziende e che, se non indirizzate con opportuni interventi di sicurezza, possono minarne il business.

Nel 2011 gli attacchi mediante SQL Injection rappresentavano circa il 7% degli attacchi provenienti dal web e, secondo TrustWave, sembravano dover scemare. Lo scorso anno, invece, questa tipologia di attacchi è salita al 26% del totale, colpendo molte aziende che avrebbero potuto proteggersi molto facilmente. I dati di TrustWave dimostrano ciò che gli hacker conoscono ormai da anni: sebbene molte vulnerabilità applicative siano ben note e possano essere agevolmente risolte, molte aziende non adottano pratiche di sviluppo sicuro del codice né sottopongono a regolari test periodici le proprie applicazioni per rilevare eventuali esposizioni di sicurezza.

Le aziende che trascurano queste basilari pratiche di sicurezza non hanno alcuna possibilità di fronteggiare gli attacchi più avanzati – dice Chris Pogue, direttore del reparto di incident response e forensics di TrustWave. La convalida dell’input quando l’utente inserisce dati, ad esempio in una query di ricerca, richiede poche semplici stringhe di codice ed è un rimedio semplice ed efficace per la protezione contro gli attacchi di SQL Injection, ma gli sviluppatori spesso non vi ricorrono – dice Pogue – “è una delle cose che vengono insegnate nelle università e, se è approdata al sistema universitario, allora non è certo una tecnologia di livello così elevato”.

Il web presenta una grande varietà di minacce alla sicurezza delle imprese incaute, dagli ormai famosi attacchi di SQL Injection (SQLi) e Cross-Site Scripting (XSS) a nuove minacce più esoteriche portate dal Web Scraping e dalle molte funzionalità di HTML5. Di seguito sono illustrate dieci minacce web da ritenersi particolarmente preoccupanti, sia perché stanno diventando sempre più popolari fra gli attaccanti, sia perché molti sviluppatori e professionisti della sicurezza delle informazioni tendono a trascurarle.

1. Gli attacchi DDoS, sempre più vasti e subdoli

Quando gli specialisti IT pensano agli attacchi DDos (Distributed Denial-of-Service), tendono ad immaginare la tipologia più basilare: grandi volumi di pacchetti che travolgono la rete di una vittima affinché le richieste valide degli utenti non possano transitare correttamente. Ma i miglioramenti apportati alle misure difensive hanno costretto gli attaccanti a cambiare il loro modo di agire. Le inondazioni di pacchetti sono diventate più imponenti fino a raggiungere i 100 Gbps. Nei sei mesi di campagna da parte di presunti attivisti musulmani contro le banche statunitensi, il volume del traffico d’attacco ha regolarmente superato i 30 Gbps, una velocità raramente riscontrata fino a cinque anni fa. Gli aggressori hanno inoltre preso di mira altre parti dell’infrastruttura, come i server DNS (Domain Name Service) aziendali che sono diventati un bersaglio prediletto, secondo il registrar VeriSign. Quando gli attaccanti neutralizzano i server DNS, i clienti non possono più accedere ai servizi web dell’azienda. “Non importa quale capacità e potenza possa avere il centro elaborazione dati dell’azienda, perché le richieste non vi giungeranno mai” – dice Sean Leach, Technology VP nel settore intelligence e network availability di VeriSign.

Gli attacchi DDoS massivi spesso servono a nascondere attacchi di tipo “low-and-slow” che utilizzano richieste appositamente confezionate per indurre le applicazioni web e le appliance ad attivare specifici servizi, come le comunicazioni SSL, affinché esauriscano rapidamente le risorse di memoria e di elaborazione. Questi attacchi a livello applicativo ammontano oggi a circa un quarto del totale. “Se gli attacchi DDoS massivi ricordano dei cavernicoli con clave sempre più grosse, gli attacchi low-and-slow sono più simili a cavernicoli che si evolvono e diventano sempre più intelligenti” – dice Matthew Prince, CEO di CloudFlare. Gli attaccanti cercano gli URL del sito obiettivo, quindi inviano richieste al database di back-end che alimenta il sito: richieste frequenti alle pagine web consumano rapidamente le risorse di un sito web modesto, afferma John Summers, VP per i prodotti di sicurezza di Akamai Technologies – “L’osservazione è di gran lunga superiore quest’anno rispetto al 2011 e gli aggressori stanno svolgendo appieno il loro compito, stanno facendo ricognizione”.

Per le aziende non è più sufficiente adottare un’appliance che blocchi il traffico malevolo non appena esso entra nella loro rete perché il router potrà comunque essere superato da attacchi di tipo low-and-slow che possono addirittura attraversare un servizio cloud di mitigazione del DDoS. Le aziende devono invece adottare un approccio ibrido, utilizzando web application firewall, network security appliance e reti di content distribution per generare una difesa a più livelli in grado di schermare il traffico indesiderato nel punto più esterno possibile.

2. Le vulnerabilità dei vecchi browser e dei plugin

Gli attacchi informatici che comportano frodi su conti correnti bancari per milioni di dollari l’anno vengono alimentati dalle vulnerabilità dei browser e, più spesso, da quelle dei relativi plugin di Oracle Java, Adobe Flash e Adobe Acrobat Reader. Gli exploit kit preconfezionati comprendono circa una dozzina di attacchi verso diverse componenti vulnerabili e possono compromettere rapidamente i sistemi di un’azienda se questi non sono correttamente e tempestivamente aggiornati. Una recente versione del popolare kit “Blackhole”, ad esempio, conteneva attacchi per lo sfruttamento di ben sedici vulnerabilità, fra le quali sette dirette al plugin Java del browser, cinque verso il plugin Adove PDF Reader e due al plugin Adobe Flash, stando ai dati di Sophos. Il kit “Sweet Orange” contiene exploit di Java, Adobe PDF, Internet Explorer e Firefox, secondo le dichiarazioni del suo stesso creatore scoperte da Webroot: “questi kit di exploit sono veramente ottimi nell’individuazione delle vulnerabilità ancora aperte nel browser delle vittime” – dice Grayson Milbourne, ricercatore senior di Webroot.

Le aziende dovrebbero prestare attenzione in particolare al plugin di Oracle Java: i cyber criminali, infatti, si stanno focalizzando su Java in conseguenza della sua vasta diffusione e dello scarso livello di aggiornamento, afferma Michael Sutton, VP del reparto di ricerca di Zscaler. Solo il 4% dei sistemi delle aziende che utilizzano il servizio di sicurezza di Zscaler hanno il plugin Java installato, ma quasi l’80% di questi plugin sono obsoleti e non aggiornati, stando ai dati del fornitore per l’ultimo trimestre del 2012. I plugin Flash e Reader di Adobe sono più diffusi ma sono anche più aggiornati, dice Sutton – “le aziende non hanno afferrato il problema di quanto i plugin Java siano stati abusati”. L’aggiornamento è la via più ovvia per proteggersi da questa vulnerabilità e molti prodotti di patch management, come Qualys per le grandi aziende e Secunia per le PMI, sono già disponibili sul mercato. Le aziende che vogliono proteggersi da attacchi 0-day, ovvero attacchi per i quali ancora non esistono aggiornamenti, dovrebbero adottare software anti-malware come ValidEdge (recentemente acquisito da McAfee) e Invincea, che avvia i programmi scaricati in una sandbox (un ambiente operativo protetto e isolato dal resto del sistema operativo, ndr).

3. I siti web legittimi che ospitano contenuti malevoli

Gli aggressori cibernetici stanno prendendo di mira siti legittimi e famosi per trarre vantaggio dalla fiducia che gli utenti vi ripongono. Ad esempio, nella campagna d’attacco APT di tipo watering hole denominata “VOHO” dello scorso anno, gli attaccanti infettarono siti web finanziari e industriali legittimi nel Massachusetts e in Washington D.C., siti ai quali accedevano comunemente le loro vittime designate, afferma RSA. Queste tattiche sono difficili da spiegare ai dipendenti e le misure di difesa puramente tecnologiche non sono sempre sufficienti – dice  Dan Ingevaldson, CTO di Easy Solutions, azienda attiva nell’antifrode – “non è possibile arginare questo tipo di attacchi semplicemente chiedendo agli utenti di visitare solo siti web ben conosciuti, perché il fatto che il sito sia legittimo non incide per nulla”.

Un attacco più insidioso, denominato “malvertising”, consiste nell’inserimento di contenuto malevolo in una rete di annunci pubblicitari e, poiché la pubblicità malevola appare solo occasionalmente nella normale rotazione degli annunci, questo rende l’attacco difficile da rilevare. È un problema serio – dice Robert Hoblit, senior director di Symantec – “se servi del malvertising ai tuoi utenti finali, finirai per essere messo in blacklist e perderai profitti”. Ancora un volta, un approccio difensivo a più livelli aiuterebbe a fermare attacchi sia di tipo watering hole che di tipo malvertising. L’adozione di security proxy consente di filtrare e ripulire il traffico web, così come di intercettare eseguibili malevoli, ma ad essi deve essere affiancata una protezione anti-malware sugli endpoint, in particolare su computer e dispositivi dei dipendenti, per intercettare i tentativi di esecuzione di minacce conosciute.

4. Le applicazioni mobili e il BYOD

Il fenomeno BYOD (Bring Your Own Device), altrimenti definito consumerizzazione, ha comportato un crescente uso di dispositivi personali all’interno delle reti aziendali, ma le applicazioni mobili sono spesso sviluppate in maniera amatoriale e possono mettere seriamente a rischio i dati di business dell’azienda – dice Sutton. Si è parlato molto online dell’aumento di malware nel mondo mobile, ma troppo pochi sono gli esperti di sicurezza che lanciano allarmi su come gli errori di programmazione trasformano applicazioni mobili legittime in minacce pericolose e potenzialmente dannose.

Quasi il 60% delle applicazioni mobili studiate da Zscaler prelevano specifiche informazioni hardware dai dispositivi e le trasferiscono attraverso le interfacce web, dice Sutton, e ancor peggio, circa il 10% delle applicazioni non trasmettono le credenziali di autenticazione degli utenti in maniera sicura. In parte il problema è dovuto al fatto che gli app store di Google e Apple non sono poi così sicuri come dovrebbero essere: la sicurezza delle applicazioni mobili dovrebbe essere migliore rispetto al mondo dei personal computer, perché esse agiscono da gatekeeper, “ma chiaramente non viene tenuto in considerazione questo problema” – dice Sutton. Inoltre, i web service che alimentano molte applicazioni mobili sono mal sviluppati, perché gli utenti non amano digitare password per utilizzare servizi su dispositivi mobili, così spesso le app utilizzano token di sessione che semplicemente non scadono mai e gli attaccanti possono intercettare il traffico in transito sugli hotspot Wi-Fi, catturare questi token e accedere così agli account delle loro vittime.

“Il tizio che intercetta il tuo traffico… può impersonarti per un anno” – dice Dan Kuykendall, CTO di NT Objectives. Uno sviluppo corretto e sicuro è il modo migliore per sconfiggere questi attacchi di tipo “MITM” (man-in-the-middle), ma non viene mai applicato alle applicazioni mobili. “Stiamo nuovamente assistendo a molti problemi di sicurezza web del 1999, roba ben aperta” – dice Kuykendall – la nuova generazione di sviluppatori non sta attuando le necessarie misure difensive per arrestare gli attacchi informatici e “sappiamo che è un’affermazione molto brutta da fare”  – conclude. Le aziende trovano difficilissimo limitare le applicazioni installate sui dispositivi smartphone e tablet personali dei dipendenti, ma possono limitare i dati che i dipendenti hanno la possibilità di trasferire sui propri dispositivi o sui vari servizi cloud, e possono isolare gli accessi dei dispositivi BYOD in apposite DMZ e sottoreti controllate della rete aziendale.

5. La mancata validazione degli input

Dal 2010, gli attacchi SQLi hanno raggiunto il primo posto nella top ten delle vulnerabilità di sicurezza di OWASP. I siti dinamici che fanno passare query di ricerca o altri input applicativi verso i database di back-end sono vulnerabili agli attacchi SQLi. Come già detto, la soluzione più semplice consiste nel verificare e validare tutti gli input dell’utente per garantirne la correttezza. Le aziende spesso si focalizzano sul loro sito web principale quando sistemano le vulnerabilità SQL e dimenticano di mettere in sicurezza anche gli altri siti e servizi connessi, ad esempio i sistemi di collaborazione remota e di consuntivazione dei fornitori: ebbene, gli attaccanti possono usare questi altri siti per infettare i sistemi dei dipendenti e ottenere l’accesso alla rete aziendale interna senza alcun bisogno di aggirare le misure di sicurezza del sito principale – dice Jeremiah Grossman, CTO di WhiteHat. Per minimizzare le vulnerabilità di SQLi, è bene scegliere un framework di sviluppo software e imporne l’uso, così finché gli sviluppatori programmeranno all’interno di quel framework e manterranno le patch costantemente aggiornate, essi potranno generare codice più sicuro – conclude Grossman.

6. I pericoli derivanti dai certificati digitali

Due anni fa, una serie di attacchi diretti a certification authority emittenti di certificati digitali, ovvero alle aziende che determinano chi è ufficialmente riconosciuto online, hanno fornito agli attaccanti gli strumenti di cui avevano bisogno per emettere certificati SSL fraudolenti mediante i quali mascherare un sito dannoso come un sito aziendale conosciuto e del tutto legittimo. Gli attacchi verso Comodo, DigiNotar e altre CA hanno sottolineato il pericolo che deriva dal fare eccessivo affidamento verso una sola tecnologia di sicurezza e hanno anche evidenziato la cieca fiducia che le aziende riponevano verso i certificati digitali. In aggiunta al camuffamento di siti malevoli, i certificati fraudolentemente generati e quelli sottratti hanno consentito agli attaccanti di firmare codice malevolo per farlo apparire del tutto legittimo.

I produttori di browser generalmente decidono di quali certificati fidarsi, ma le aziende devono comunque mantenere il controllo sulle proprie chiavi crittografiche e sui propri certificati digitali. Una carente gestione dei certificati digitali può comportare costosi incidenti: per le grandi e medie aziende si prevedono perdite pari a 35 milioni di dollari nei prossimi due anni a causa di incidenti relativi ai certificati digitali, secondo lo studio del Ponemon Institute finanziato da Venafi, un fornitore di certificate management. Venafi rileva che spesso le aziende archiviano i propri certificati in chiaro sui sistemi di sviluppo, mentre sarebbe più opportuno adottare un repository centralizzato e ben protetto con il quale tenere accuratamente traccia dell’uso dei propri certificati e procedere tempestivamente alla loro revoca in caso di accertata o sospetta compromissione.

7. Il problema del Cross-Site Scripting (XSS)

Gli attacchi che sfruttano vulnerabilità XSS consentono agli aggressori di eseguire script come se questi provengano da un sito web vulnerabile. In altre parole, essi non concedono agli attaccanti l’accesso al sito vulnerabile al XSS ma prendono di mira gli utenti che lo visitano. Un attaccante che sfrutta una vulnerabilità XSS di un sito di Internet banking può eseguire uno script che visualizzi, nel sito legittimo dell’istituto bancario, una maschera di login esterna e artefatta mediante la quale sottrarre le credenziali di accesso all’account. “L’attacco XSS sfrutta la fiducia che il browser dell’utente vittima ripone nel sito web in questione” – dice Grossman di WhiteHat.

Oltre il 70% delle applicazioni verificate dalla società di code-security Veracode contengono vulnerabilità di cross-site scripting, ovvero il principale problema che affligge il software commerciale open source e quello sviluppato internamente alle aziende – comunica Veracode. Strumenti automatici di verifica del codice, come ad esempio HP Fortify, Veracode e WhiteHat, possono rilevare eventuali vulnerabilità XSS. Le aziende dovrebbero quindi modificare i propri processi di sviluppo per introdurre la verifica del codice per rilevare eventuali difetti prima che questo venga eseguito in ambiente di produzione, adottando così un approccio che consente di evidenziare i più comuni errori di programmazione e addestrare gli sviluppatori ad evitarli in futuro.

8. La scarsa sicurezza dell’Internet delle cose

Router e stampanti, sistemi di videoconferenza, serrature e altri dispositivi sono ormai tutti collegati in rete per mezzo di protocolli Internet e spesso hanno web server integrati. In molti casi, il software integrato in questi dispositivi è una vecchia versione di una libreria open source che è realmente difficile, se non impossibile, da aggiornare. Benvenuti nell’Internet delle cose. Un dispositivo collegabile ad Internet è “una grande porta invisibile sul retro dell’azienda per un aggressore” – dice Sutton di Zscaler – “ha tutto ciò che ti serve per entrare”.

Molte aziende non si preoccupano di proteggere le proprie stampanti e i sistemi di videoconferenza accessibili via Internet, per esempio, così gli aggressori trovano questi dispositivi vulnerabili e li sfruttano. Una volta che il dispositivo è controllato dall’aggressore, esso funge da ponte verso la rete aziendale interna. Una recente scansione effettuata in Internet dalla società di vulnerability management Rapid7 ha rilevato da 40 a 50 milioni di dispositivi accessibili utilizzando una delle tre librerie del protocollo Universal Plug and Play (UPnP), famose per le loro vulnerabilità. Utenti finali, aziende e ISP dovrebbero identificare e disabilitare qualsiasi dispositivo UPnP esposto su Internet – dice H.D. Moore, CSO di Rapid7 – “Il protocollo UPnP è diffusissimo ed è abilitato di default su molti router e gateway domestici, praticamente tutte le stampanti di rete e altri dispositivi vari dalle videocamere IP ai NAS” – dice.

La ricerca dei dispositivi di rete vulnerabili dovrebbe essere più semplice – dice Sutton. Gli strumenti genericamente disegnati per scansionare personal computer e server di solito non forniscono informazioni affidabili sui dispositivi integrati, ma esistono strumenti in grado di identificare i dispositivi vulnerabili, come Rapid7 ScanNow e strumenti open source come Nmap.

9. Entrare dalla porta principale

Non tutti gli attacchi hanno l’obiettivo di violare le difese di un’azienda. Web bot automatici cercano e collezionano, sfruttando le pagine web e i documenti pubblicati online, svariate informazioni in grado di fornire ad un aggressore o un concorrente una migliore opera di intelligence sulla nostra società. Ad esempio, nel caso di un negozio online, un concorrente può collezionare i dati sul pricing prendendoli dalle informazioni pubblicamente disponibili sul sito – dice Marc Gaffan, cofondatore di Incapsula – “Stanno violando il tuo sito? No, ma stanno danneggiando il tuo business” – dice – più del 30% del traffico web di un sito è mediamente rappresentato da questo tipo di traffico indesiderato e potenzialmente dannoso per il business. I servizi di web application firewall come Incapsula e CloudFlare consentono alle aziende di identificare quale traffico è relativo a normali bot di indicizzazione dei motori di ricerca e quale deriva invece da servizi malevoli di market intellingence o da falsi web bot di Google. Questi servizi si occupano di bloccare le richieste indesiderate, prevenendo il prelievo di informazioni da parte della concorrenza.

10. Nuove tecnologie, stessi vecchi problemi

Feross Aboukhadijeh, studente laureato a Stanford e ricercatore di sicurezza informatica, ha recentemente illustrato come una funzionalità di HTML5 potrebbe consentire ad un attaccante di originare un attacco di phishing piuttosto convincente. Utilizzando la capacità di HTML5 di attivare la modalità a schermo intero, infatti, Aboukhadijeh ha generato un ampio database di pagine camuffate che potrebbero indurre gli utenti a credere di visitare il sito di un istituto bancario mentre in realtà essi sono sul sito di un aggressore.

Utilizzare Firefox su sistema operativo Mac OS X per cliccare su un collegamento che appare diretto al sito di Internet banking di Bank of America? Nessun problema. Con l’attacco dimostrato da Aboukhadijeh, il link è diretto ad una pagina controllata dall’attaccante e il click viene appositamente intercettato. Poiché alcuni browser non informano preventivamente l’utente che stanno per attivare la funzionalità a schermo intero, gli aggressori possono presentare una versione camuffata a schermo intero di qualsiasi sito web e quindi utilizzare il sito fasullo per ottenere le credenziali di accesso della malcapitata vittima. In questo caso, invece che indirizzare l’utente verso bankofamerica.com, l’aggressore visualizza una pagina che appare in tutto e per tutto identica al vero sito di Bank of America: un attento esame consentirebbe di notare che quanto riportato in alcune parti dello schermo, ad esempio la barra dei menu o la barra di stato, non corrispondono al sito originario, ma molte persone purtroppo non vi faranno alcun caso.

“I collegamenti sono il pane e il burro del web” – ha scritto Aboukhadijeh sul suo sito – “la gente clicca sui collegamenti tutto il giorno e molti sono portati a credere che cliccare su un collegamento sul web sia sicuro. Gli utenti più saggi controllano la reale destinazione del collegamento nella barra di stato del browser prima di cliccarvi. In molti casi, tuttavia, questo non li mette al riparo del tutto”. Questo perché l’attaccante può adottare sul sito fasullo un dominio che richiami molto da vicino il dominio legittimo, ad esempio, nel caso sopra citato, un dominio come bofa.com che richiama il brand ma non appartiene a Bank of America.

Strumenti di sicurezza automatici che possano eliminare questi problemi di sicurezza del protocollo HTML5 non sono ancora disponibili – dice Keykendall di NT Objectives – “la gente sta sorpassando i propri strumenti di sicurezza e questo la lascerà esposta” – conclude. L’addestramento degli sviluppatori sulle pratiche di sicurezza, con particolare riguardo alle nuove piattaforme come HTML5, è un primo passo molto critico da realizzare per prevenire problemi di sicurezza. In aggiunta, introdurre la verifica incrociata del codice fra gli sviluppatori può consentire una sensibile riduzione delle vulnerabilità.

Le aziende possono trovarsi esposte a diverse vulnerabilità. Un’azienda online può avere problemi di SQLi e HTML5, mentre un’azienda che fa largo ricorso al telelavoro potrebbe avere vulnerabilità di tipo mobile, comprese quelle inerenti i dispositivi interni esposti su Internet con vulnerabilità integrate. Piuttosto che tentare di minimizzare tutti i potenziali danni di ciascuna minaccia, le aziende farebbero bene a focalizzare l’attenzione sul sottoinsieme di minacce alle quali risultano essere maggiormente esposte.

Fonte: 10 Web Threats That Could Harm Your Business – Dark Reading

Ettore Guarnaccia