La lezione dei “bachi” nei processori AMD

La lezione dei “bachi” nei processori AMD

unnamedI primi giorni del 2018 sono iniziati con Spectre e Meltdow, due pericoli legati ai processori Intel. Sembravano casi isolati, invece il mese scorso è arrivata una notizia altrettanto preoccupante.
Alcuni ricercatori si sono ritrovati di fronte ad una “bella” sorpresa: almeno una dozzina di vulnerabilità nel modulo AMD Secure Processor, che colpiscono alcune famiglie di processori AMD (amdflaws.com) consentendo di bypassare sistemi di protezione avanzata come AMD’s Secure Encrypted Virtualization, Firmware Trusted Platform Module (funzionalità importanti, usate dai sistemi operativi per proteggere informazioni sensibili nel caso di infezioni da malware). I ricercatori hanno dimostrato che è possibile aggirare il meccanismo di Windows Defender Credential Guard, la funzionalità presente nelle recenti versioni del sistema operativo, che usa meccanismi di virtualizzazione per isolare informazioni accessibili solo al kernel e a software con privilegi elevati.

Perché preoccuparsi?
I bachi sono caratterizzati da due elementi: persistenza e invisibilità. Cosa significa? Una volta che il codice malevolo è iniettato nel firmware del processore, non è più rilevabile da normali anti-malware e può resistere anche alla formattazione (non essendo residente sui dischi rigidi). Il tutto senza alcun accesso fisico al computer!

La risposta di AMD
AMD ha confermato che le vulnerabilità sono reali e prontamente ha rilasciato patch correttive. Il produttore però ha evidenziato una cosa importante: queste falle si possono sfruttare solo se il software malevolo gira con privilegi amministrativi locali. Situazione che presuppone già una compromissione totale.

“In reti aziendali i computer possono essere compromessi: attraverso attacchi di phishig, exploits zero-day o utenti che scaricano il file sbagliato”, risponde il CTS Labs, “Reti con un buon livello di sicurezza devono essere attrezzate per gestire queste tipologie di attacchi quotidiani.”

Considerazioni utili sul caso
La scoperta di queste nuove vulnerabilità ci ricorda una tra le più importanti best practice al mondo in tema di sicurezza delle informazioni: evitare il più possibile l’accesso con privilegi di amministratore. Questo vale per tutti gli utenti finali, il cui operato quotidiano non dovrebbe necessitare di permessi elevati, così come per gli amministratori di sistema.

Come tutelarsi?
Rispetto agli admin, utilizzando profili amministrativi diversi per particolari operazioni e task di manutenzione, minimizzando così le probabilità che software malevoli o errore umano possano danneggiare dati e infrastruttura. Questi accorgimenti possono essere utili anche per la semplificazione della gestione normativa, tra cui ricordiamo:

  • Il provvedimento del Garante della Privacy “amministratori di sistema” sul tema della verifica dell’operato dell’amministratore di sistema, con cadenza almeno annuale.
  • Il GDPR (in vigore prossimamente) che richiama il principio della responsabilizzazione (accountability) secondo cui il titolare del trattamento dei dati è tenuto a mettere in atto adeguate misure tecniche ed organizzative, per dimostrare di effettuare le operazioni di trattamento dati in conformità ai princìpi fondamentali della disciplina.

Conclusioni
Episodi come quelli di AMD e Intel ci ricordano che la sicurezza totale non esiste. Anche si adottano le più valide soluzioni e ci si affida ai migliori fornitori, i rischi sono sempre “dietro l’angolo”. È importante riconoscere le potenziali minacce per tempo e ridurle con azioni correttive e preventive!
Come riuscirci? Con il Security Assessment. Infatti, solo grazie ad una corretta valutazione del rischio è possibile trovare le migliori strategie per monitorare e mettere in sicurezza i sistemi ed adottare tutti gli accorgimenti utili a ridurre la probabilità e l’impatto di potenziali incidenti.

WPA2 – nuove vulnerabilità “by design”

logo-smallSi è diffusa ieri una notizia allarmante su vulnerabilità relative al protocollo WPA2, base di gran parte dei sistemi WiFi casalinghi e aziendali.

La particolarità di queste vulnerabilità è che non sono proprie di uno specifico dispositivo o software – anche se più facilmente sfruttabili su sistemi Linux o Android – ma sono relative alle specifiche funzionali del protocollo.

Si tratta quindi di un problema di “progettazione”, che potenzialmente affligge ogni dispositivo che implementi WPA2, sia in modalità personal sia in modalità enterprise.

Le problematiche – già battezzate come KRACK attacks – sono relative alla possibilità di forgiare pacchetti ad hoc a forzatura dell’handshake a 4 vie svolto in fase di connessione alla rete/rinegoziazione chiavi.

La possibilità – per un soggetto attaccante – è quella di intercettare il traffico di rete, pur senza conoscere la pre-shared key utilizzata per l’autenticazione fra Access Point e client.

Su questo sito, sono presenti ulteriori dettagli.

Si raccomanda a tutti gli utenti:

  • di verificare la disponibilità – sui siti dei vendor di sistemi wifi – degli aggiornamenti  di sicurezza relativi a tale problematica
  • di procedere quanto prima all’installazione di tali aggiornamenti
  • di disattivare eventuali dispositivi legacy o reti WiFi non utilizzate
  • di aggiornare il pacchetto WPA_suplicant su sistemi Linux
  • di procedere all’aggiornamento dei sistemi Android appena sarà rilasciata la patch

In linea generale è sempre utile utilizzare traffico cifrato anche nelle comunicazioni WiFi (es. via https o vpn), così da limitare il rischio di intercettazione dei dati.

Di seguito le relative vulnerabilità catalogate tramite Common Vulnerabilities and Exposures (CVE):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Epidemia di Petya (Petrwap)

Sulla scia dell’epidemia di un mese fa denominata WannaCry, dalla giornata di ieri una nuova minaccia ransomware sta mietendo vittime soprattutto in Europa.

petya-pc

Secondo diversi ricercatori il virus discende dal malware Petya, già noto dal 2016, ma ulteriormente elaborato e potenziato per sfruttare le stesse falle su cui faceva leva WannaCry, presenti in diverse versioni del sistema operativo Windows (per cui Microsoft ha già rilasciato la patch il 14 marzo scorso denominata MS17-010).

Tuttavia l’analisi del malware è ancora in corso e alcuni ricercatori indicano che potrebbero essere sfruttati anche altri metodi di diffusione che non si avvantaggiano delle vulnerabilità note ma tentano il collegamento con privilegi amministrativi ad altri PC nella rete (alle share admin$ e c$) utilizzando la stessa password dell’utente.

Sembra quindi che oltre alla modalità Ransomware il “nuovo Petya” (o NotPetya come è stato chiamato da alcuni produttori di Antivirus) sia anche un Credential Stealer ovvero in grado di estrarre lo username e la password dell’utente ed inviare questi dati ad un server remoto sotto il controllo degli attacanti oltre a sfruttare tali informazioni per accedere a sistemi locali.

Il virus si comporterebbe quindi come un worm ovvero autoreplicandosi nella rete aziendale ed infettando altri computer presenti con l’obbiettivo di cifrarne i file e rilasciando la chiave di decifratura solo a seguito del pagamento di un riscatto (attualmente circa 300$ in bitcoin).

La modalità di infezione iniziale resta sempre la mail: un excel in allegato scarica ed esegue in modalità nascosta un programma (una DLL, per la precisione) che oltre alla propria diffusione ed alla cifratura dei file imposta un riavvio del computer dopo circa un’ora dalla propria installazione. Al riavvio provvede alla cifratura di file e sezioni principali del disco fisso (Master Boot Record, e Master File Table) mentre mostra all’utente una schermata di verifica a cui l’utente potrebbe essere familiare.

fake-chkdsk.png

Avast dichiara che sono stati rilevati oltre 12.000 tentativi di attacco, in particolare sembra che il malware sia particolarmente diffuso in grosse aziende Europee tra cui centrali elettriche (anche i sistemi di controllo delle radiazioni della centrale di Chernoby), aziende di trasporti e pubblicità. Il wallet bitcoin legato al malware risulta aver ricevuto decine di pagamenti. L’indirizzo e-mail per contattare gli attaccanti, tuttavia, è stato disabilitato dal provider pertanto è assolutamente sconsigliato tentare di pagare il riscatto.

Mentre online circolano diverse soluzioni per evitare o minimizzare gli effetti di questa infezione, si possono raccomandare, in linea generale, comportamenti e modalità di protezione già viste in casi precedenti e che dovrebbero sempre attive, come:

  • mantenere aggiornati i proprio sistemi e software antivirus;
  • attivare regole di filtering della posta elettronica (antispam, antivirus, antiphishing);
  • evitare il normale utilizzo delle proprie postazioni di lavoro con privilegi amministrativi.

Ma soprattutto vanno formati ed informati gli utenti sul corretto utilizzo delle mail per evitare l’apertura di file allegati indesiderati.

Per chi volesse maggiori informazioni tecniche, sono disponibili qui

Cert-PA ed il CERT Nazionale hanno rilasciato annunci in merito a questa ondata di malware.

Contattaci

Attacchi ramsonware “Wanna Cry”

Attacchi ramsonware “Wanna Cry”

In questi giorni è iniziato un attacco worm/ramsonware senza precedenti, che ha colpito diversi sistemi a livello mondiale, con segnalazioni di 99 Paesi colpiti e oltre 200.000 macchine infettate, fra cui università, ospedali, grandi aziende (es. Renault).

Il responsabile di questi attacchi è un software denominato “Wanna Cry”.

Un utente riceve la classica mail di phishing, contenente un allegato zip che pare innocuo. L’allegato può essere ricevuto anche in presenza di sistemi antivirus legati alla posta, se le definizioni (database con indicazione di tutti i virus in circolazione) non sono state adeguatamente aggiornate.

Involontariamente lo apre e infetta la propria macchina. A quel punto il virus si preoccupa di cercare in rete altre macchine Windows non aggiornate, che non siano protette da una vulnerabilità evidenziata da Microsoft il 14 marzo scorso denominata MS17-010, accessibile tramite questo link.

Tale vulnerabilità riguarda la possibilità di esecuzione codice remoto su un sistema Windows tramite protocollo SMB 1.0.

Vista la particolarità e criticità di questa problematica, Microsoft ha rilasciato aggiornamenti anche su sistemi XP e Server2003 (non più supportati dal produttore).

Parallelamente inizia la cifratura dei file in rete, e al termine dell’attività chiede “un riscatto” di 300 $ (ora portato a 600$), da pagarsi tramite bitcoin.

0a7da9f4ca7b0fbbbe419db6a4a61416

L’attacco sembra sia stato solo rallentato con un escamotage, ma non bisogna illudersi e considerare risolta la problematica; presumibilmente nel giro di alcuni giorni avremo una nuova versione del virus che non subirà tale rallentamento.

Le modalità di protezione sono le seguenti, comuni a molte altre problematiche di security aziendale:

  • mantenere sempre aggiornati i sistemi server
  • attivare e manutenere i sistemi di filtering della posta (antispam, antivirus, antiphishing) e in generale del traffico di rete
  • formare gli utenti sul corretto utilizzo dei client di posta e sulle attenzioni da porre prima di aprire un allegato
  • bloccare tutti i servizi non utilizzati, relativi a protocollo SMB nello specifico ma in generale a qualunque servizio esposto non necessario e/o non adeguatamente protetto.
  • monitorare i sistemi per evidenziare comportamenti anomali (es. macchina che effettua eccessivo traffico di rete e/o che accede a un numero di file superiore alla norma)

La CERT-PA ha erogato un documento di linee guida, accessibile qui

Scegliere una buona password

Scegliere una buona password

Ottobre è il mese europeo dedicato alla sicurezza informatica (CyberSecMonth). Nell’ottica di sensibilizzare sul tema, prendiamoci qualche minuto per parlare di password.

La coppia di informazioni utente + password sono come le nostre chiavi di casa. Se non vogliamo che qualcuno le usi fingendosi noi, allora è meglio assicurarsi che non siano facilmente individuabili.

Solitamente sul nome utente non c’è molta scelta (quasi sempre è rappresentato dall’indirizzo email), ma sulla password abbiamo invece più libertà. Vediamo subito qualche suggerimento.

  1. Più lunga che puoi. Se hai 15 caratteri a disposizione usali tutti. Sono gratis.
  2. Lettere, numeri e simboli. Dove puoi, utilizza lettere maiuscole e minuscole, numeri e simboli (.,#@?!^[]{}_- ecc…)
  3. Niente dati personali. Il nome del tuo cane, la tua data di nascita, il compleanno della persona amata sono dati facilmente reperibili: non usarli. “Mario1978” o “95fuffi” sono pessime password.
  4. Non usare il mascheramento. Sostituire lettere con numeri o caratteri speciali non rende la tua password molto più sicura, perché i programmi di crack valutano sempre come prioritari questi casi. Ad esempio “M@r10I978” non è molto più sicura di “Mario1978”.

Detto questo, come posso inventarmi una buona password?
Una lunga sequenza di numeri e lettere casuali è una buona scelta. Ad esempio:

_}cj:'s;R=q%BtsgA2"#D?'zd}Cy@KGs7=Lts$':Jl/(=PYJDmssq]'&mxA_iGp8r%|]4`C(3

tuttavia sfido chiunque a ricordarsela. A meno che non usiate un Password Manager, ovvero un programma dove vengono salvate, in maniera cifrata e protetta, tutte le vostre credenziali.

Una scelta migliore, invece è quella di utilizzare intere frasi che abbiano senso solo per noi, ad esempio:

QuestaPasswordE'Bellissima:123TuttaPerMe_NonLaScorderò!

E’ lunga, ho usato lettere maiuscole, minuscole numeri e caratteri speciali e non ho abusato del mascheramento.

Concludiamo con due consigli che valgono sempre quando si parla di credenziali:

Sistemi diversi, password diverse. Non usate la stessa password per tutti i vostri siti o sistemi: se uno di questi è vulnerabile e viene violato (ad es. Linkedin, Yahoo, Libero Mail, ecc.) potete stare certi che quella password verrà tentata anche su altri sistemi.

Cambiate password. Ogni tanto è buona abitudine modificare la vecchia password con una nuova. Siate creativi.

#CybersecMonth #CyberAware

 

Contattaci

Ma chi spia chi?

c_116_articolo_12894_articolo

Durante la seconda guerra mondiale e successivamente nel periodo della guerra fredda – fra CIA, MI5, MI6, KGB, e similari – abbiamo potuto leggere davvero tante storie più o meno veritiere relative ad azioni di spionaggio e controspionaggio.

Da un punto di vista dei comuni cittadini, le situazioni di guerra (calda o fredda che sia) hanno un aspetto che le accomuna: si sa sempre chi è il “cattivo”, il “nemico” da affrontare… anche se, da un punto di vista storico, i dettagli di quello che è successo veramente e i ruoli delle persone impegnate nei conflitti sono ancora molto controversi e in fase di analisi.

Tornando a oggi e leggendo articoli di stampa di fine luglio, viene citato un presunto hackeraggio ai danni di NSA, che – a ben approfondire – ha risvolti piuttosto inquietanti.

Intanto ci domandiamo: “chi è l’NSA”?

Per rispondere in poche righe, ci viene in aiuto Hollywood; citiamo l’esperto di security Martin Bishop (Robert Redford) in “I signori della truffa”, mentre dialoga con un falso agente NSA:

Falso Uomo NSA: Ente per la Sicurezza Nazionale.
Bishop: Ah… siete quelli che sento respirare ogni volta che alzo il telefono?
Falso Uomo NSA: No! Quella è l’FBI. Noi curiamo la sorveglianza interna.
Bishop: Ah certo, voi vi limitate a sfasciare governi e ad installare dittature.
Falso Uomo NSA: No! Quella è la CIA. Noi proteggiamo le comunicazioni del governo, decifriamo i codici degli altri. Noi siamo buoni, Martin.

L’NSA (National Security Agency) è probabilmente la più grande agenzia governativa americana, con uno stanziamento fondi pari a 10 volte quello della più rinomata CIA (Central Intelligence Agency). Si occupano insomma di monitorare quello che succede nell’ambito delle comunicazioni interne al paese o che riguardano il paese USA stesso.

Da anni si sospetta che l’NSA operi intercettando quanto viaggia su linee analogiche e digitali, e si hanno registrazioni video di presunte sostituzioni di firmware su grandi dispositivi di navigazione (router/switch/firewall), modifiche atte ad acquisire copia di quello che transita sulla rete.

Quanto è successo negli scorsi giorni è piuttosto imbarazzante e preoccupante; non è stata hackerata l’NSA, ma pare che siano stati hackerati gli hacker di NSA.

Un gruppo hacker denominato “Shadow Brokers” ha messo all’asta (ovviamente su piattaforme protette) i tool di spionaggio usati da “Equation Group” e, indirettamente, i dati acquisibili da tali sistemi.
Il prezzo? Un affarone, solo un milione di BitCoin (571 milioni di dollari al cambio odierno).

I tool sono datati 2013, magari saranno anche vecchiotti… ma a quel prezzo, come resistervi?

A parte facili battute, la cosa inquietante è che l’Equation Group è o dovrebbe essere un team – emanazione del NSA – che si occupa del lavoro di intercettazione vero e proprio, rinomato per l’elevatissima capacità tecnica e sociale dei propri membri.
Pare che gli Shadow Brokers possano essere invece legati al governo Russo.

E il 16 agosto scorso Snowden (il personaggio principe del famoso DataGate) – subito accusato di essere in combutta coi Russi – ha affermato che le informazioni in vendita sono reali.

Sulla veridicità dei dati pare non ci siano dubbi: anche il dott. Emm della Kaspersky Lab ha confermato l’autenticità dei tool distribuiti da Shadow Brokers.

Si respira quindi nuovamente clima da film Hollywoodiani anni ’80.

Tornando a parlare di  dati verificabili e di comune responsabilità, due aspetti sono interessanti a nostro avviso:

  • anche chi si crede al top dal punto di vista della sicurezza informatica, non è al sicuro da attacchi, compromissioni, furti dati.
  • la sicurezza delle informazioni su Internet è – al momento – una chimera. E’ quindi fondamentale decidere consapevolmente cosa affidare e cosa non affidare alla Rete.

Concludiamo citando un altro pezzettino di quel bel film (sarcastico) che è “I signori della truffa”:

Erwin “HI-FI” Emory: Io voglio pace in Terra per gli uomini di buona volontà.
Bernard Abbot (NSA): Noi siamo il Governo degli Stati Uniti d’America. Non facciamo queste cose!

 

Contattaci

 

Chi ha bisogno di CyberSecurity?

Chi ha bisogno di CyberSecurity?

“Cosa me ne faccio della cybersecurity?”
Me lo sono sentito dire spesso, dai vari amministratori aziendali. La cybersecurity non è mai tra i capitoli d’investimento delle PMI.
Uno dei motivi è dato dalla percezione della cybersecurity (o Information Security, per i tecnici), che è più o meno questa: “qualche smanettone che fa cose estremamente informatiche per proteggermi da un attacco che a me non capiterà mai / che succede solo nei film” seguita solitamente da “e comunque io non ho nessun dato importante da proteggere”.

Se la tua azienda opera ancora totalmente in cartaceo e non hai neanche un’email, allora probabilmente hai ragione. Ma a questo punto mi chiedo cosa tu ci faccia davanti ad blog a leggere articoli online.

In caso contrario, vorrei portare alcuni esempi concreti per spiegare quando c’è bisogno di fare un’attività di cybersecurity nella propria azienda:

  • Nel tuo settore c’è una forte concorrenza ed hai dei competitor aggressivi;
  • I progetti che realizzi sono il vero valore aggiunto della tua azienda;
  • Hai parecchi collaboratori esterni, non dipendenti dell’azienda;
  • Lavori molto attraverso internet, ad esempio inviando email con ordini, fatture, progetti o parti di essi;
  • Lavori conto terzi, che ti affidando i loro progetti o parti di essi;
  • Hai una rete di vendita con agenti commerciali;
  • Tratti dati personali, amministrativi e fiscali dei tuoi clienti;
  • In azienda hai computer che hanno più di 3 anni;
  • Sei certificato D.Lgs. 231/01;
  • La tua azienda ha più di una sede;
  • Hai degli smartphone aziendali;
  • Nella tua azienda esistono figure come il CPO e/o un CSO;
  • Tratti dati sensibili / sanitari;
  • Hai avuto un caso di “dipendente infedele” che è andata a lavorare per la concorrenza (o ha aperto la sua azienda concorrente);

Se rientri in anche solo uno di questi casi, allora hai bisogno di fare il punto sull’Information Security aziendale.
Se ti stai chiedendo perché, i motivi sono diversi e saremo ben lieti di spiegarveli personalmente. Possiamo però riassumerli con questo adagio noto nel settore:

Secondo le regole di cybersecruity, esistono due tipi di aziende:
1. Quelle che sono state compromesse
2. Quelle che non sanno di esserlo state

Contattaci

Attacco a tre fasi

Attacco a tre fasi

Quando pensiamo ad un’attacco informatico si forma nella nostra mente l’immagine dell’hacker in felpa e cappuccio che col suo PC portatile e sofisticati programmi fa breccia nei nostri sistemi.

Quest’immagine tuttavia è ormai “vintage”. La maggior parte degli attacchi informatici è automatizzata su larga scala: chi colpisce sono software che scansionano le reti e sistemi a tappeto in cerca di vulnerabilità non ancora riparate su tutti i livelli (siti web, switch, router, firewall, server, smartphone, ecc.). Quando trovano la falla la sfruttano per impossessarsi del dispositivo.

Inoltre, gli attacchi un minimo sofisticati (ma sempre su larga scala), sfruttano l’inganno utilizzando tecniche di ingegneria sociale. E’ incredibile il numero elevato di persone che ancora abboccano alle email di phishing: oltre il 30% apre i messaggi ed il 13% apre l’allegato malevolo o il link dannoso (fonte Verizon Data Breach Investigations Report 2016). Sembrano percentuali piccole, ma parliamo di un bacino di oltre 150 milioni di email di phishing inviate al giorno.

Quest’anno si sta diffondendo con estrema regolarità la modalità d’attacco a tre fasi. Come funziona?

Fase 1 – Invio di un’email di phishing. La mail ha un’allegato o un link che porta l’utente a cliccare, passando alla…

Fase 2 – Download del malware sull’PC dell’utente. I software di questo tipo sfruttano spesso vulnerabilità non ancora rilevate. Una volta che il software è installato questo permette la..

Fase 3 – Furto di credenziali per attacchi successivi. L’obbiettivo sono le credenziali salvate nei browser, su file di testo non criptati, nelle email. A quel punto, con le credenziali reali, posso accedere ai sistemi dell’utente.

Può sembrare quasi banale come tipologia, ma la vulnerabilità più grossa non sta nel sistema antispam né nell’antivirus, ma nel fattore umano che permette il successo della fase 1 (permettendo l’installazione del software) e della fase 3 (gestione delle credenziali di accesso).

Questa tecnica ha tempi di esecuzione molto bassi e la possibilità di essere altamente specifica, ad esempio puntando ad una singola azienda od organizzazione, e questo la rende estremamente efficace.

Come difendersi

Saremo ripetitivi, ma la prima e principale fonte di difesa è la formazione personale. Riducendo la percentuale di errore nel fattore umano, possiamo gestire il rischio.
Non è necessario essere tecnici, è sufficiente avere gli elementi per riconoscere la truffa. Basta mezza giornata di formazione per avere le basi necessarie a ridurre il rischio.

 

Contattaci

TeamViewer e le solite password

TeamViewer e le solite password

Non usate la stessa password per tutti gli account!

Quante volte i vostri tecnici hanno ripetuto queste parole? Le obiezioni sono spesso le più comuni, e tra tutte spicca il classico “cosa potrà mai succedere?”.
Oggi ne vediamo un esempio.

Cos’è successo

Il 1 giugno 2016 TeamViewer, il noto servizio di desktop remoto, ha subito un’attacco DoS alla sua infrastruttura DNS. In poche parole, qualcuno si è messo in mezzo tra loro e i vostri PC ed ha tentato la connessione per prendere il controllo delle singole macchine.
Tuttavia per controllare i singoli computer è necessario utilizzare le credenziali dell’utente. I recenti attacchi a LinkedIn, MySpace e Tumblr hanno reso disponibili alla comunità oltre 700 milioni di account utente in meno di due mesi.
Questo ha permesso agli attaccanti di tentare gli accessi con quelle password o similare, e in buona parte ha funzionato: ecco il mouse prendere vita autonomamente ed accedere ad home banking e PayPal per svuotare i conti delle vittime, accedere alla webmail ed effettuare ordini tramite Amazon ed Ebay.
TeamViewer sostiene che il problema non è legato ad una vulnerabilità dei loro sistemi, e nonostante il problema con i server DNS sia stato risolto, gli attacchi stanno continuando al ritmo di centinaia al giorno.

Come proteggersi

Le prime cose da fare sono:

1. Cambiare la password di TeamViewer. Usatene una dedicata, diversa da tutte le altre, e molto diversa dalla precedente.
2. Attivare l’autenticazione in due passaggi. Qui il tutorial su come fare.
3. Abilitare una lista di dispositivi sicuri per l’accesso: qui per maggiori informazioni.
4. Limitare le connessioni TeamViewer al necessario. Qui i dettagli.

Considerazioni

L’anello debole della catena di questo attacco è molto simile ad altri: stessi account, stesse password. Senza quegli accessi, gli attaccanti non sarebbero riusciti nel loro intento.
Creare e gestire password diverse e sempre nuove richiede uno sforzo, ma esistono anche software che possono aiutarci in questa gestione: i password manager.

Un altro elemento di debolezza è la pigrizia.
Spesso salviamo sessioni, utenti e password nei nostri browser, e questo permette a chiunque acceda ai nostri computer di poter utilizzare molti servizi in tutto e per tutto come se fossimo noi, visto che siamo già autenticati online. Effettuare logout / login è vista come una perdita di tempo non necessaria, ma che può fare la differenza.

L’ultima considerazione è che “da un grande potere derivano grandi responsabilità”, come insegna il compianto Zio Ben. TeamViewer è uno strumento estremamente potente, perché permette il controllo pressoché totale della macchina. Pertanto, dovrebbe essere uno strumento configurato ed utilizzato con estrema consapevolezza.

 

Fonti e risorse:
Post di Nick Bradley – Compromised Before My Very Eyes: How I Almost Got Hacked
Twitter
Reddit
Attivissimo
Tom’s Hardware