La lezione dei “bachi” nei processori AMD

La lezione dei “bachi” nei processori AMD

unnamedI primi giorni del 2018 sono iniziati con Spectre e Meltdow, due pericoli legati ai processori Intel. Sembravano casi isolati, invece il mese scorso è arrivata una notizia altrettanto preoccupante.
Alcuni ricercatori si sono ritrovati di fronte ad una “bella” sorpresa: almeno una dozzina di vulnerabilità nel modulo AMD Secure Processor, che colpiscono alcune famiglie di processori AMD (amdflaws.com) consentendo di bypassare sistemi di protezione avanzata come AMD’s Secure Encrypted Virtualization, Firmware Trusted Platform Module (funzionalità importanti, usate dai sistemi operativi per proteggere informazioni sensibili nel caso di infezioni da malware). I ricercatori hanno dimostrato che è possibile aggirare il meccanismo di Windows Defender Credential Guard, la funzionalità presente nelle recenti versioni del sistema operativo, che usa meccanismi di virtualizzazione per isolare informazioni accessibili solo al kernel e a software con privilegi elevati.

Perché preoccuparsi?
I bachi sono caratterizzati da due elementi: persistenza e invisibilità. Cosa significa? Una volta che il codice malevolo è iniettato nel firmware del processore, non è più rilevabile da normali anti-malware e può resistere anche alla formattazione (non essendo residente sui dischi rigidi). Il tutto senza alcun accesso fisico al computer!

La risposta di AMD
AMD ha confermato che le vulnerabilità sono reali e prontamente ha rilasciato patch correttive. Il produttore però ha evidenziato una cosa importante: queste falle si possono sfruttare solo se il software malevolo gira con privilegi amministrativi locali. Situazione che presuppone già una compromissione totale.

“In reti aziendali i computer possono essere compromessi: attraverso attacchi di phishig, exploits zero-day o utenti che scaricano il file sbagliato”, risponde il CTS Labs, “Reti con un buon livello di sicurezza devono essere attrezzate per gestire queste tipologie di attacchi quotidiani.”

Considerazioni utili sul caso
La scoperta di queste nuove vulnerabilità ci ricorda una tra le più importanti best practice al mondo in tema di sicurezza delle informazioni: evitare il più possibile l’accesso con privilegi di amministratore. Questo vale per tutti gli utenti finali, il cui operato quotidiano non dovrebbe necessitare di permessi elevati, così come per gli amministratori di sistema.

Come tutelarsi?
Rispetto agli admin, utilizzando profili amministrativi diversi per particolari operazioni e task di manutenzione, minimizzando così le probabilità che software malevoli o errore umano possano danneggiare dati e infrastruttura. Questi accorgimenti possono essere utili anche per la semplificazione della gestione normativa, tra cui ricordiamo:

  • Il provvedimento del Garante della Privacy “amministratori di sistema” sul tema della verifica dell’operato dell’amministratore di sistema, con cadenza almeno annuale.
  • Il GDPR (in vigore prossimamente) che richiama il principio della responsabilizzazione (accountability) secondo cui il titolare del trattamento dei dati è tenuto a mettere in atto adeguate misure tecniche ed organizzative, per dimostrare di effettuare le operazioni di trattamento dati in conformità ai princìpi fondamentali della disciplina.

Conclusioni
Episodi come quelli di AMD e Intel ci ricordano che la sicurezza totale non esiste. Anche si adottano le più valide soluzioni e ci si affida ai migliori fornitori, i rischi sono sempre “dietro l’angolo”. È importante riconoscere le potenziali minacce per tempo e ridurle con azioni correttive e preventive!
Come riuscirci? Con il Security Assessment. Infatti, solo grazie ad una corretta valutazione del rischio è possibile trovare le migliori strategie per monitorare e mettere in sicurezza i sistemi ed adottare tutti gli accorgimenti utili a ridurre la probabilità e l’impatto di potenziali incidenti.

WPA2 – nuove vulnerabilità “by design”

logo-smallSi è diffusa ieri una notizia allarmante su vulnerabilità relative al protocollo WPA2, base di gran parte dei sistemi WiFi casalinghi e aziendali.

La particolarità di queste vulnerabilità è che non sono proprie di uno specifico dispositivo o software – anche se più facilmente sfruttabili su sistemi Linux o Android – ma sono relative alle specifiche funzionali del protocollo.

Si tratta quindi di un problema di “progettazione”, che potenzialmente affligge ogni dispositivo che implementi WPA2, sia in modalità personal sia in modalità enterprise.

Le problematiche – già battezzate come KRACK attacks – sono relative alla possibilità di forgiare pacchetti ad hoc a forzatura dell’handshake a 4 vie svolto in fase di connessione alla rete/rinegoziazione chiavi.

La possibilità – per un soggetto attaccante – è quella di intercettare il traffico di rete, pur senza conoscere la pre-shared key utilizzata per l’autenticazione fra Access Point e client.

Su questo sito, sono presenti ulteriori dettagli.

Si raccomanda a tutti gli utenti:

  • di verificare la disponibilità – sui siti dei vendor di sistemi wifi – degli aggiornamenti  di sicurezza relativi a tale problematica
  • di procedere quanto prima all’installazione di tali aggiornamenti
  • di disattivare eventuali dispositivi legacy o reti WiFi non utilizzate
  • di aggiornare il pacchetto WPA_suplicant su sistemi Linux
  • di procedere all’aggiornamento dei sistemi Android appena sarà rilasciata la patch

In linea generale è sempre utile utilizzare traffico cifrato anche nelle comunicazioni WiFi (es. via https o vpn), così da limitare il rischio di intercettazione dei dati.

Di seguito le relative vulnerabilità catalogate tramite Common Vulnerabilities and Exposures (CVE):

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Scegliere una buona password

Scegliere una buona password

Ottobre è il mese europeo dedicato alla sicurezza informatica (CyberSecMonth). Nell’ottica di sensibilizzare sul tema, prendiamoci qualche minuto per parlare di password.

La coppia di informazioni utente + password sono come le nostre chiavi di casa. Se non vogliamo che qualcuno le usi fingendosi noi, allora è meglio assicurarsi che non siano facilmente individuabili.

Solitamente sul nome utente non c’è molta scelta (quasi sempre è rappresentato dall’indirizzo email), ma sulla password abbiamo invece più libertà. Vediamo subito qualche suggerimento.

  1. Più lunga che puoi. Se hai 15 caratteri a disposizione usali tutti. Sono gratis.
  2. Lettere, numeri e simboli. Dove puoi, utilizza lettere maiuscole e minuscole, numeri e simboli (.,#@?!^[]{}_- ecc…)
  3. Niente dati personali. Il nome del tuo cane, la tua data di nascita, il compleanno della persona amata sono dati facilmente reperibili: non usarli. “Mario1978” o “95fuffi” sono pessime password.
  4. Non usare il mascheramento. Sostituire lettere con numeri o caratteri speciali non rende la tua password molto più sicura, perché i programmi di crack valutano sempre come prioritari questi casi. Ad esempio “M@r10I978” non è molto più sicura di “Mario1978”.

Detto questo, come posso inventarmi una buona password?
Una lunga sequenza di numeri e lettere casuali è una buona scelta. Ad esempio:

_}cj:'s;R=q%BtsgA2"#D?'zd}Cy@KGs7=Lts$':Jl/(=PYJDmssq]'&mxA_iGp8r%|]4`C(3

tuttavia sfido chiunque a ricordarsela. A meno che non usiate un Password Manager, ovvero un programma dove vengono salvate, in maniera cifrata e protetta, tutte le vostre credenziali.

Una scelta migliore, invece è quella di utilizzare intere frasi che abbiano senso solo per noi, ad esempio:

QuestaPasswordE'Bellissima:123TuttaPerMe_NonLaScorderò!

E’ lunga, ho usato lettere maiuscole, minuscole numeri e caratteri speciali e non ho abusato del mascheramento.

Concludiamo con due consigli che valgono sempre quando si parla di credenziali:

Sistemi diversi, password diverse. Non usate la stessa password per tutti i vostri siti o sistemi: se uno di questi è vulnerabile e viene violato (ad es. Linkedin, Yahoo, Libero Mail, ecc.) potete stare certi che quella password verrà tentata anche su altri sistemi.

Cambiate password. Ogni tanto è buona abitudine modificare la vecchia password con una nuova. Siate creativi.

#CybersecMonth #CyberAware

 

Contattaci

Attacco a tre fasi

Attacco a tre fasi

Quando pensiamo ad un’attacco informatico si forma nella nostra mente l’immagine dell’hacker in felpa e cappuccio che col suo PC portatile e sofisticati programmi fa breccia nei nostri sistemi.

Quest’immagine tuttavia è ormai “vintage”. La maggior parte degli attacchi informatici è automatizzata su larga scala: chi colpisce sono software che scansionano le reti e sistemi a tappeto in cerca di vulnerabilità non ancora riparate su tutti i livelli (siti web, switch, router, firewall, server, smartphone, ecc.). Quando trovano la falla la sfruttano per impossessarsi del dispositivo.

Inoltre, gli attacchi un minimo sofisticati (ma sempre su larga scala), sfruttano l’inganno utilizzando tecniche di ingegneria sociale. E’ incredibile il numero elevato di persone che ancora abboccano alle email di phishing: oltre il 30% apre i messaggi ed il 13% apre l’allegato malevolo o il link dannoso (fonte Verizon Data Breach Investigations Report 2016). Sembrano percentuali piccole, ma parliamo di un bacino di oltre 150 milioni di email di phishing inviate al giorno.

Quest’anno si sta diffondendo con estrema regolarità la modalità d’attacco a tre fasi. Come funziona?

Fase 1 – Invio di un’email di phishing. La mail ha un’allegato o un link che porta l’utente a cliccare, passando alla…

Fase 2 – Download del malware sull’PC dell’utente. I software di questo tipo sfruttano spesso vulnerabilità non ancora rilevate. Una volta che il software è installato questo permette la..

Fase 3 – Furto di credenziali per attacchi successivi. L’obbiettivo sono le credenziali salvate nei browser, su file di testo non criptati, nelle email. A quel punto, con le credenziali reali, posso accedere ai sistemi dell’utente.

Può sembrare quasi banale come tipologia, ma la vulnerabilità più grossa non sta nel sistema antispam né nell’antivirus, ma nel fattore umano che permette il successo della fase 1 (permettendo l’installazione del software) e della fase 3 (gestione delle credenziali di accesso).

Questa tecnica ha tempi di esecuzione molto bassi e la possibilità di essere altamente specifica, ad esempio puntando ad una singola azienda od organizzazione, e questo la rende estremamente efficace.

Come difendersi

Saremo ripetitivi, ma la prima e principale fonte di difesa è la formazione personale. Riducendo la percentuale di errore nel fattore umano, possiamo gestire il rischio.
Non è necessario essere tecnici, è sufficiente avere gli elementi per riconoscere la truffa. Basta mezza giornata di formazione per avere le basi necessarie a ridurre il rischio.

 

Contattaci