Aggiornamenti recenti Marzo 21st, 2023 9:30 AM
Lug 20, 2018 Marco Schiaffino Approfondimenti, In evidenza, RSS, Software, Tecnologia 0
Quello della pirateria informatica è un mercato estremamente fiorente e il Dark Web è la “piazza” in cui vengono venduti e acquistati ogni tipo di oggetti: dai malware alle credenziali rubate.
Tra i tanti tipi di “prodotti” disponibili sul mercato nero ce n’è uno, però, che dovrebbe far suonare un (sonoro) campanello di allarme ad amministratori IT ed esperti di sicurezza. Sono le credenziali per gli accessi RDP, che vengono vendute a prezzi ridicoli (la media è di 10 dollari) ma permettono di accedere a sistemi spesso estremamente “critici”.
L’esempio più eclatante, riportato da McAfee in un report dedicato al tema, è quello di un accesso ai servizi logistici di un aeroporto internazionale che chiunque può ottenere con un investimento di 10 dollari.
“L’uso del protocollo RDP per controllare a distanza server e servizi è una delle tante, incredibili, falle di sicurezza nel mondo dell’Information Technology” spiega Andrea Argentin, esperto di sicurezza CyberArk. “Il fatto che i pirati ci vadano a nozze non stupisce”.
Ma di cosa stiamo parlando esattamente? RDP (Remote Desktop Protocol) è un protocollo creato da Microsoft che consente di utilizzare a distanza una macchina come se ci si trovasse davanti alla tastiera., accessibile attraverso un sistema di autenticazione predefinito che utilizza il classico sistema basato su username e password.
“RDP è pensato per consentire un accesso rapido e facile da usare a un PC” spiega Argentin “ma non dovrebbe in nessun caso essere usato dall’esterno della rete senza protezioni aggiuntive. La sua compromissione consente di avere pieno accesso ai sistemi e può risolversi in un disastro”.
Un disastro che, a quanto pare, non riamane nel campo delle ipotesi ma che è già una concreta realtà. Il report di McAfee denuncia infatti l’esistenza di decine di shop online che permettono di acquistare credenziali di collegamenti RDP a prezzi bassissimi.
“Uno dei più famosi è Ultimate Anonimity Service” conferma Argentin. “Si tratta di uno store sul quale è possibile acquistare credenziali RDP scegliendole da un catalogo che comprende circa 40.000 account”.
Ultimate Anonimity Service è il servizio più usato dai pirati per vendere e comprare credenziali RDP.
Insomma: il quadro che ne deriva è una situazione in cui si incontrano da una parte una trascuratezza imperdonabile degli amministratori IT, dall’altra l’interesse (e iper-attivismo) dei pirati informatici, che riescono a fare incetta con sconcertante facilità delle credenziali per accedere ai servizi di remote desktop.
“Uno dei fattori che incidono di più nel determinare questa situazione è la pessima gestione delle credenziali e delle impostazioni di sicurezza” spiega Argentin. “Nella maggior parte dei casi si tratta di servizi RDP esposti su Internet che i pirati possono individuare facilmente usando strumenti di scansione o servizi online come Shodan”.
Ma per quanto riguarda le credenziali? Qui entrano in gioco le policy nella gestione dell’accesso al servizio. “Se chi gestisce i sistemi non si attiene scrupolosamente alle “buone pratiche” i pirati hanno gioco facile a violare i sistemi” spiega sempre Argentin. “La tecnica più usata dai pirati è quella del Brute Forcing, che però funziona solo quando gli amministratori non eseguono una corretta rotazione delle password”.
Il tema, quindi, è quello che conosciamo alla perfezione: se non si cambia la password ogni 30 o 60 giorni il rischio che venga scardinata aumenta esponenzialmente. E non ci vuole poi tanto: basta usare strumenti progettati ad hoc che prevedano periodi di time-out tali da non far scattare i meccanismi di difesa.
“Per i pirati non è un problema lasciare un software in funzione per un mese o due fino a quando non trova le credenziali giuste. Se nel frattempo non vengono cambiate, il gioco è fatto”.
POchi clic ed è possibile accedere a un account con privilegi di amministratore. E può trattarsi di un sistema decisamente “delicato” come il sistema di sorveglianza di un aeroporto…
Ma quali sarebbero le contromisure da predisporre per evitare simili buchi di sicurezza? Andrea Argentin, partendo dalla sua esperienza nel settore della protezione dell’identità digitale indica diversi aspetti da curare.
“Premesso che RDP è il peggior strumento immaginabile per svolgere il compito di fornire un accesso in remoto a un server, il primo passo sarebbe quello di proteggere la connessione con una VPN” spiega il ricercatore. “Per quanto riguarda le credenziali, è indispensabile stabilire una rotazione periodica che deve essere rispettata rigorosamente”.
Un aspetto, questo, che ultimamente è piuttosto controverso. Alcuni ricercatori hanno infatti sollevato il problema riguardante il fatto che il periodico cambio di password porta gli utenti a usare varianti della stessa passphrase rendendo più facile il lavoro dei pirati informatici.
“Tutto vero” conferma Argentin. “La generazione delle password dovrebbe infatti essere affidata a un sistema specializzato. Gli esseri umani non sono fatti per creare password. Tendiamo a utilizzare parole che per noi sono facili da indovinare, ma sono altrettanto facili da individuare per chi cerca di violare le credenziali di accesso”.
Meglio ancora sarebbe usare accorgimenti ulteriori, come l’uso di sistemi di autenticazione a due fattori o la generazione di token “usa e getta”. Tutti sistemi, questi, che però stentano ancora a prendere piede nonostante negli ultimi tempi le tecnologie per il loro utilizzo abbiano fatto passi da gigante.
“L’uso ridotto di sistemi di autenticazione robusti è un elemento sconcertante” conclude Argentin. “Se fino a qualche tempo fa potevano essere giustificabili con il fatto che fosse difficile e complicato implementarli, di fronte alle tecnologie attuali il loro mancato utilizzo può avere origine solo in una carenza di quella che nel settore chiamiamo cultura della sicurezza”.
Mar 14, 2023 0
Mar 07, 2023 0
Mar 06, 2023 0
Feb 14, 2023 0
Mar 21, 2023 0
Mar 20, 2023 0
Mar 17, 2023 0
Mar 17, 2023 0
Mar 20, 2023 0
L’affermazione del lavoro ibrido e remoto ha...Mar 17, 2023 0
Il team Security Intelligence di Microsoft ha recentemente...Mar 17, 2023 0
Akamai ha pubblicato un nuovo report della serie State of...Mar 17, 2023 0
Nuove regolamentazioni all’orizzonte: dopo il GDPR,...Mar 16, 2023 0
Trend Micro ha diffuso i risultati della nuova ricerca What...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 21, 2023 0
Pochi giorni fa è stata rilasciata Kali Purple, la...Mar 16, 2023 0
Mandiant, insieme al team Product Security e Incident...Mar 14, 2023 0
GitGuardian ha pubblicato il nuovo report The State of...Mar 13, 2023 0
Palo Alto Networks ha pubblicato il report State of...Mar 13, 2023 0
IBM Security ha organizzato nella cornice del Made di...