Archivi categoria: Security

Passive DNS

Facebooktwittergoogle_plusredditlinkedin

La Passive DNS Replication è una tecnica, inventata da Florian Weimer nel 2004, per costruire zone di replica DNS senza la cooperazione degli amministratori delle zone, basandosi sulla cattura delle risposte name server. Come illustrato da Merike Kaeo dell’Internet Systems Consortium nella presentazione Passive DNS A Tool that is Making a Difference in Tracking Down…

La nomina del responsabile per la protezione dei dati

Facebooktwittergoogle_plusredditlinkedin

L’Avvocato Ilenia Dalmasso ha pubblicato su ICTPower.it l’articolo La nomina del responsabile per la protezione dei dati (DPO – Data Protection Officer) che analizza nel dettaglio quando il titolare del trattamento, nonché per il responsabile del trattamento di nominare un Responsabile della protezione di dati, ha l’obbligo di nominare un responsabile per la protezione dei dati (DPO – Data Protection…

Pubblicazione articolo Classifica delle soluzioni di sicurezza endpoint secondo Gartner nel triennio 2016-2018

Facebooktwittergoogle_plusredditlinkedin

Nei giorni scorsi io e Roberto Massa abbiamo pubblicato su ICTPower.it l’articolo Classifica delle soluzioni di sicurezza endpoint secondo Gartner nel triennio 2016-2018 in cui proponiamo un approccio basato sulla comparazione dei report di Gartner dell’ultimo triennio per analizzare l’evoluzione del posizionamento dei Vendor di soluzioni Endpoint Protection Platforms (EPP) nel quadrante magico (QM) di Garner. Ovviamente prima di trarre conclusioni…

Forzare un’applicazione ad essere eseguita senza richiedere privilegi amministrativi

Facebooktwittergoogle_plusredditlinkedin

Talvolta può capitare che alcune applicazioni richiedano di essere eseguite con privilegi amministrativi senza che ve ne sia la reale necessità in quanto si è provveduto a garantire gli opportuni privilegi per accedere a cartelle e/o chiavi di registro. A volete la necessità che l’applicazione sia eseguita con privilegi di amministrazione dipende dalla bad practice…

La superficie d’attacco

Facebooktwittergoogle_plusredditlinkedin

Ragioniamo per gradi nel percorrere la strada verso una strategia di difesa, partiamo da un tema semplice quanto ignorato: la superficie d’attacco.

Mentre eseguiamo il compitino della security “standard” installando firewall, proxy, anti-malware e compagnia briscola (tutte cose utili, anzi, necessarie!) dovremmo anche interrogarci su cosa stiamo proteggendo. Concetto estremamente banale ma largamente ignorato.

Di solito si procede con una serie di assessment di varia natura per comprendere l’as-is dell’infrastruttura e, sulla base dati raccolti, si prova a costruire un perimetro difensivo. Il risultato è però incompleto: spesso viene completamente ignorato il punto di vista dell’attacker, ovvero cosa un potenziale invasore vede del proprio obiettivo, cosa è realmente esposto ad un attacco informatico.

Osservando un target dal punto di vista dell’attacker (che in un contesto professionale di consulenza chiamiamo spesso Hacker Etico) emergono aspetti che gli assessment non mettono in evidenza. Tra le fasi iniziali della progettazione di un attacco vi è la raccolta di informazioni sul target, informazioni tecniche – indubbiamente – ma anche di contesto. Internet, social network e media sono ottime fonti di informazioni che si sommano a quanto possiamo raccogliere da scansioni, indagini e attività di social engineering. Il quadro completo che l’attacker va a definire costituisce la reale superficie d’attacco del target.

Tra queste informazioni troviamo dati come le competenze del team IT dell’azienda target, le eventuali partnership con i vendor IT, alcune procedure interne… un vero tesoretto sotto forma di dati, talvolta sensibili. Alcune informazioni le possiamo proteggere, celare, gestire così come possiamo “indurire” le infrastrutture direttamente esposte alla rete tramite specifiche attività di hardening. Questo contribuisce sensibilmente a ridurre la superficie d’attacco e, ovviamente, a ridurre la possibilità di esporre il fianco ad un attacker.

E’ utopistico pensare di poter proteggere tutto o di azzerare la superficie di attacco. E’ indispensabile considerare la possibilità di una falla e gestire sistemi e processi di conseguenza. Questo comporta la creazione di specifiche procedure (e relativi strumenti) per identificare un attacco, tracciarne il comportamento e agire delle contromisure… in definitiva a definire una strategia di difesa.

Mentre addestriamo i nostri utenti a “non cliccare sull’allegato sospetto” dovremmo anche far notare loro quanto siano sensibili le informazioni che, sempre più spesso, vengono divulgate sui social network, talvolta anche sulle pagine ufficiali delle aziende. Essere “addestrati” a riconoscere un potenziale malware sfuggito al sistema di mail protection non è sufficiente o quanto meno non è adeguato alla tipologia di attacchi mirati a cui le aziende sono sottoposte. Ovviamente questo non significa bannare i social come strumento o smettere di comunicare a livello massivo per paura di diffondere informazioni, ci mancherebbe. Basta un po’ di cautela e, quanto meno, essere consapevoli di ciò che si condivide.

Rendersi conto di quanto, della nostra azienda, sia realmente esposto ad un attacco non è banale. Farlo internamente sarebbe abbastanza sciocco, si tende a dare molto per scontato e non si è obiettivi. Sicuramente un assessment eseguito da terzi è molto più efficace, ma ritengo ancora insufficiente. L’occhio di chi è “allenato” alla realizzazione di un attacco è sicuramente lo strumento più efficace per questo tipo di analisi.

L’attitudine all’attacco consente, ad esempio, di trasformare un sistema di protezione in uno strumento di attacco… In occasioni passate mi è capitato di individuare sistemi di mail protection con precisi dati (vendor, versione, ecc) a filtro della posta elettronica del mio target (ovviamente in un contesto lecito e professionale), le informazione raccolte sono state utilizzate per creare un’apposita campagna di phishing camuffata da notifica del sistema anti-spam con un’ottima percentuale di successo grazie al formato noto della comunicazione.

La tecnica è spesso utilizzata anche per la sua semplicità e di solito porta buoni risultati dal punto di vista dell’attacker. Uso spesso questo esempio per sottolineare quanto sia errato limitarsi alla fase di “protezione” delle nostre infrastrutture. Non esistono scatole magiche, è indispensabile ragionare anche sui processi e sulle persone; uno dei modi migliori per rendersi conto di cosa potenzialmente non va è metterlo alla prova, provare a rompere il sistema per capire come migliorarlo.

Questo tipo di attività risulta essere molto efficacie e, se fatta correttamente, produce un reale report dello stato di sicurezza del sistema target. Non stiamo parlando del solo pen-test che fa indubbiamente parte di questo percorso, il tema è però più ampio e va affrontato nella sua interezza.

Happy hacking.