Exploit web: cosa sono, come funzionano e come difendersi (Parte 2)
Abbiamo voluto dedicare ampio spazio al tema dell’ “Exploit Web”, argomento che ogni IT manager dovrebbe governare con domestichezza; per questo pubblicheremo due articoli complementari.
» Parte 1: Primo articolo
» Parte 2: il presente articolo!
1. Exploit hardware
Sebbene gli exploit software siano i più diffusi, non sono gli unici tipi di exploit in circolazione. A volte gli attaccanti riescono a sfruttare i difetti dell’hardware fisico (e del relativo firmware) di un dispositivo.
Il caso più noto è quello di Meltdown e Spectre che sono due vulnerabilità hardware dei processori divenute famose a causa della loro potenziale pericolosità.
Furono scoperte (si ritiene a giugno 2017) dal Google’s Project Zero (GPZ), un gruppo di lavoro che si occupa di ricercare vulnerabilità, in contemporanea con ricercatori di alcune università e poi rese note ad inizio 2018.
Meltdown è tecnicamente indicata come vulnerabilità CVE-2017-5754 (“rogue data cache load”) e riguarda esclusivamente i processori costruiti da Intel, mentre Spectre è in realtà due vulnerabilità: CVE-2017-5753 (“bounds check bypass”) e CVE-2017-5715 (“branch target injection”). Colpisce tutti i processori: Intel, AMD ed anche quelli realizzati con architettura ARM.
Fortunatamente, non risulta che siano mai stati creati exploit per sfruttare queste vulnerabilità (perché nella pratica difficilmente “exploitabili”). Intel e altri produttori di chip hanno rilasciato patch (prima patch software e successivamente patch hardware) per mitigare i rischi.
>> Ne parliamo in questo articolo
2. Come difendersi dagli exploit web
Per disarmare gli exploit web è necessario eliminare le vulnerabilità.
Questa misura di sicurezza informatica è ovvia, ma purtroppo non sempre applicata con la dovuta attenzione.
Le vulnerabilità zero-day sono le più temibili, ma non le più utilizzate dagli exploit.
Un interessante report di Verizon ci segnala che l’85% degli exploit eseguiti con successo è dovuto a 10 sole vulnerabilità, 6 delle quali hanno più di 10 anni di vita e quindi hanno già avuto una patch che le ha risolte.
In altre parole, il rimedio a queste falle (responsabili della maggior parte degli attacchi) esiste da 10 anni, ma evidentemente chi dovrebbe aggiornare i sistemi non lo fa con la sollecitudine con cui dovrebbe.
Possiamo perciò affermare che la maggior parte degli exploit agiscono dopo la pubblicazione di una patch, quindi il momento di maggior rischio è la cosiddetta “finestra di vulnerabilità”. Con questo termine si definisce l’intervallo di tempo che intercorre tra la pubblicazione della patch e la sua installazione a chiusura della vulnerabilità.
Infatti, nel momento in cui la patch viene rilasciata, la vulnerabilità diventa nota a chiunque. Analizzando la patch medesima, un attaccante può capire come approfittare della vulnerabilità e con tecniche di “reverse engineering” può costruire l’exploit web per attaccare i sistemi che non sono stati ancora patchati.
>> FlashStart è il webfilter che blocca ogni giorno 80 milioni di siti indesiderati ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
È importante formare, informare e rendere gli utilizzatori dei sistemi informatici (che siano PC, server o reti aziendali) consapevoli dei rischi dei sistemi non aggiornati.
Quindi occorre lavorare sul fattore umano, che come sempre rappresenta la principale causa di attacco informatico.
Quanto spiegato ha trovato una conferma clamorosa proprio in questi giorni, quando è avvenuto un attacco massiccio che ha colpito organizzazioni in molte nazioni.
Secondo quanto dichiarato dal CERT-FR e dall’ACN (Agenzia nazionale per la Cybersicurezza, questa campagna di attacchi ha sfruttato la vulnerabilità CVE-2021-21974, relativa al noto software di virtualizzazione VMware ESXi per la quale una patch è disponibile dal 23 febbraio 2021. Quindi ancora una volta l’errore umano si conferma la prima causa di attacco informatico: in questo caso il non aver fatto l’aggiornamento di sicurezza disponibile da quasi due anni!
In conclusione, c’è una sola cosa da fare: aggiornare sempre i sistemi e il software con le patch, togliendo di fatto agli exploit la loro efficacia.
Se si chiudono tutte le vulnerabilità, gli exploit non trovano più il terreno utile per funzionare.
3. E se l’aggiornamento non è possibile?
Aggiornare sempre dovrebbe essere il dogma per qualsiasi IT manager… purtroppo esistono situazioni nelle quali aggiornare non è possibile oppure molto complicato e/o costoso.
Ciò accade soprattutto nei sistemi industriali ICS (acronimo di Industrial Control Systems, sistemi di controllo industriale), nei quali un aggiornamento potrebbe pregiudicare il funzionamento di impianti industriali datati e non in grado di supportare software più recenti.
In questi casi è pericoloso limitarsi al “non si aggiorna, perché potrebbe non funzionare”, un modo troppo superficiale di affrontare i cyber rischi di oggi.
Si dovranno invece adottare soluzioni difensive “palliative”, quali per esempio l’installazione di virtual patch, se possibile. In alternativa i sistemi non aggiornabili dovranno essere segregati in reti separate e non esposti direttamente sul web.
4. L’autore
Giorgio Sbaraglia, ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.
Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali ABIFormazione e 24Ore Business School.
È coordinatore scientifico del Master “Cybersecurity e Data Protection” della 24Ore Business School.
È membro del Comitato Scientifico CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.
Ricopre incarichi di DPO (Data Protection Officer) presso aziende e Ordini Professionali.
È autore dei libri:
» “GDPR kit di sopravvivenza” (Editore goWare),
» “Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (2a edizione 2022, Editore goWare),
» “iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).
Collabora con CYBERSECURITY360 testata specialistica del gruppo Digital360 per la Cybersecurity.
Scrive anche per ICT Security Magazine, per AGENDA DIGITALE e per la rivista CLASS.
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.