A volte spiegare quanto è difficile contrastare e prevenire gli attacchi e le mille insidie dell’IT nel 2020 non è facile, proviamo con qualche confronto con la vita reale.
Brute force e vulnerability scanner
Ipotizziamo che all’incirca una decina di persone ogni giorno venga fuori casa vostra e si metta a provare migliaia di chiavi a caso, provenienti da vecchie chiavi rubate o da chiavi dell’armadietto della palestra (leggasi: non usare sempre la stessa password).
Queste persone a volte passano e vanno via, a volte insistono e qualche danno lo provocano.
Alcune sono a viso scoperto o ricercatori, altri hanno il passamontagna (TOR), altri una maschera (VPN).
In mezzo a queste persone ci sono anche tutti gli amici che vogliono venire a trovarvi e devono entrare tranquillamente.
Quasi tutti hanno un passaporto e potete bloccare all’ingresso le nazionalità e gli individui che preferite.
Tenete presente che questo avviene veramente 24x7x365.
Apparati/sistemi operativi senza supporto
Immaginate di avere un’automobile vecchia e che un giorno qualcuno scopra una chiave segreta irremovibile, ma facile da trovare, che apra e accenda l’auto (nell’IT sarebbero identificate come hard-coded admin crendentials).
In quel caso voi chiamate il produttore dell’auto per chiedere di sistemare la cosa: vi risponde che la macchina è troppo vecchia e dovete cambiarla con una in listino, vi redarguisce anche, vi dice che 4 anni fa vi avvisò che non avrebbe considerato le vostre eventuali lamentele.
Intanto milioni di persone potrebbero rendere inutilizzabile la vostra solita chiave o utilizzarla per entrare nell’auto, a volte per fare danni (se fosse un dispositivo elettronico diventerebbe parte di una botnet).
Spyware
Cosa potrebbe succedere se un giorno mentre cambiate canale sulla tv, sbagliaste tasto e finiste su un canale sconosciuto ma con numero simile (domain Typosquatting), lo guardaste 30 secondi e poi spegneste? Durante quei pochi secondi comparirebbe in casa una telecamera con microfono in grado di spiarvi e di inviare tutto a qualche sconosciuto.
Phishing
Immaginate di aprire la cassetta delle lettere e trovare una busta della vostra della banca, fatta bene, con il logo e i colori a cui siete abituati. Notate però qualche errore di battitura in quella lettera inaspettata inviata teoricamente dalla banca.
Siete di fretta e non ci pensate troppo, l’aprite e la leggete: vi chiede di andare in banca ad un indirizzo simile a quello della vostra filiale per consegnare la chiave della vostra cassetta di sicurezza perché c’è un problema non meglio specificato con quella cassetta. Vi recate lì preoccupati e vedete una banca come la vostra, qualcosa è fuori posto, ma non prestate molta attenzione; un signore simile all’impiegato che conoscete vi accoglie, non ci fate caso che non è proprio lui, vi chiede la chiave della cassetta di sicurezza, gliela date. A quel punto lui vi butta fuori dalla banca anomala che di colpo si chiude diventando un’altra banca con un altro signore preoccupato come voi che si appresta ad entrare.
In questo caso la frase chiave è: “non ci fate caso”. La miglior difesa è l’attenzione.
Cryptojacking e Mining malware
Ipotizziamo che un giorno cambiando canale sulla tv, sbagliaste tasto finendo su un canale sconosciuto ma con numero simile (domain Typosquatting), lo guardaste 30 secondi e poi spegneste. In quei pochi secondi immaginate che alla vostra caldaia si colleghi un nuovo tubo del riscaldamento.
Da quel momento la caldaia continuerà a lavorare fortissimo anche d’estate per produrre calore da inviare tramite quel tubo ad uno sconosciuto che si scalda casa gratis a spese vostre.
Attacchi mirati e APT
Vi ricordate la miriade di persone che ogni giorno prova ad entrare a caso a casa vostra?
Una viene proprio da voi, rimane e vi guarda attentamente, studiandovi profondamente: a che ora uscite, quante mandate date alla porta di casa, chi altro entra, da dove entra; a volte chiede ai vicini (social engineering). Solo studiando e provando in modo più preciso riesce ad entrare; una volta entrato però si nasconde in casa senza farsi vedere e vi ruba ogni giorno qualcosa. A volte esce senza lasciare tracce e chiude anche la porta, altre lo grida ai quattro venti e vi trovate la casa distrutta.
Cryptolocker/Ransomware
Se vi arrivasse con il postino una busta del vostro operatore telefonico con scritto fuori “FATTURA”, ma quando la apriste è tutta sbagliata e contenesse anche una polverina magica che si diffonde a tappeto in casa vostra distruggendo le foto delle vacanze e i documenti importanti? Dopo pochi minuti vi arriverebbe una nuova lettera con scritto “RISCATTO” da pagare per avere l’antidoto alla polverina magica.
IDS
Quando qualcuno entra in casa vostra cercate di capire cosa vuole fare al suo interno. Ammesso che lo capiate lo fate entrare comunque, qualsiasi cosa abbia in mente. Voi avete una buona idea di cosa succederà.
IPS
Quando qualcuno entra in casa vostra cercate di capire cosa vuole fare in casa vostra. Ammesso che capiate correttamente le intenzioni, non lo farete entrare se quello che avete capito non vi piace. Potrebbero esserci falsi positivi e lasciare fuori casa vostra moglie perché ha semplicemente cambiato colore dei capelli.
SQL injection
Immaginiamo che un malintenzionato inserisca nella vostra (vecchia) serratura di casa uno strano strumento, una sorta di passepartout; la porta sembra non far caso alla differenza e pensa che la chiave sia giusta aprendosi. A volte questo passepartout fa cose strane tipo eliminare il divano (drop), cambiare qualcosa in casa (update)…
Vita di una vulnerabilità
Voi state vivendo la vostra vita tranquilla e qualcuno che fa il ricercatore di vulnerabilità sta cercando di capire se l’auto che guidate ha una vulnerabilità.
Diciamo che la trova e siccome è una persona responsabile comunica all’azienda che ha fatto l’automobile che c’è una vulnerabilità nel modello di auto XYZ e tutte le sue varianti. Se è un malvivente vende la scoperta per farci denaro o la sfrutta direttamente (0-day), ma questa è un’altra storia…
Per esempio si scopre che nella vostra auto si può aprire il bagagliaio senza chiavi in modo abbastanza semplice ma non immediatamente chiaro.
Il produttore di auto verifica e trova una pezza che tampona il problema, un cerotto, una patch: fa un bellissimo ma inizialmente un po’ vago annuncio e dice che quanto prima (solitamente settimane) troverà una soluzione.
Nel frattempo qualcuno si preoccupa di capire quanto è grave e dà un voto e un nome a questa vulnerabilità.
Le persone che hanno quelle automobili intanto vengono avvisate, qualcuno lo apprende da solo, qualcuno invece rimane all’oscuro di tutto o ignora di proposito la notizia.
I giorni passano.
Qualcuno, diciamo meno responsabile del primo ricercatore, analizza la cosa e pubblica una guida facile facile per sfruttare la vulnerabilità, aprire quindi il bagagliaio di milioni di auto come la vostra, ma magari anche accenderla, modificarla ecc ecc . Diciamo che questo qualcuno in genere è molto ingegnoso/fantasioso. (exploit)
Ora che lo ha fatto uno succede che in tanti seguono le sue orme e fanno altrettanto, ognuno con le sue variazioni.
La polizia, ora che sa che qualcuno può facilmente aprire i bagagliai, pubblica dopo qualche giorno delle guide per controllare i malintenzionati in base a come agiscono, diciamo così, da manuale (firme IPS).
La vostra auto è in pericolo oppure no? Avete messo il cerotto? Basterà il cerotto? E fino a quando il cerotto reggerà? Qualcuno ha già aperto la mia auto? Come faccio a richiuderla? Il produttore quando si farà vivo con la soluzione definitiva?
Immaginate che tutto questo avvenga su scala mondiale, dove milioni di persone possono avere a disposizione exploit funzionanti su vulnerabilità di ogni tipo. Il malintenzionato poi non ha bisogno di essere lì da voi, lo fa dal divano a 6000 km da voi, mentre dormite, mentre usate lo strumento che sta attaccando. Immaginate che i concetti di spazio e tempo siano totalmente inutili in queste faccende e calcolate soprattutto il fattore di scala dei dispositivi che si possono attaccare contemporaneamente: parliamo di milioni! Una cyber-guerra asimmetrica.
Aggiungete che tutto questo avvenga in pochi giorni e che il produttore impieghi 2 mesi per trovare una soluzione. Che cosa fate con l’automobile nel frattempo?