La sempre progressiva e inesorabile evoluzione tecnologica della società dell’informazione e delle connessioni eterogenee di dispositivi continua a generare minacce per la sicurezza informatica.
Numerose le tipologie note di attacchi cibernetici tra cui si suole distinguere:
- attacchi targeted (sponsorizzati) e APT (Advanced Persistent Threats), caratterizzati da un concomitante e pervasivo uso di molteplici tecniche di attacco.
- attacchi Distributed Denial of Service e Ransomware.
Obiettivo in questi casi è minare la confidenzialità, integrità e disponibilità dei dati e del sistema informativo a fronte del pagamento, nel caso di codice malevolo Ransomware, di ingenti riscatti.
- attacchi di Social Engeneering e di Phishing preordinati ad ottenere fraudolentemente (via telefono, e-mail, chat, ecc.) informazioni riservate quali credenziali di accesso, identità digitale, ecc.
- sfruttamento di vulnerabilità (exploitation) che consente di approfittare di vulnerabilità del codice software, sia a livello client che di server. Ne sono esempi: le backdoor, SQL (structured query language) injection, remote buffer overflow, ecc.
Tra le cosiddette exploitation, una delle principali preoccupazioni dei security managers è rappresentata dalla tecnica delle backdoors per la sua estrema pericolosità.
La tecnica perpetrata con accesso fisico o social engeneering, sfrutta una “porta di servizio” che consente all’hacker di accedere e controllare abusivamente ad un sistema informatico attraverso un codice malevolo (malware), nell’inconsapevolezza dell’utente. Viene così bypassata, attraverso un crittosistema, una normale autenticazione tra due sistemi di comunicazione.
Si rientra dunque agilmente in un sistema già violato in precedenza, senza dovere sfruttare un eventuale bug.
La pervasività della tecnica risiede proprio nell’abusivo “accesso ombra” al sistema informatico che, evidentemente, sfugge al controllo degli antivirus. Un banale file di sistema introdotto viene poi attivato da un comando in remoto da parte dell’hacker per crearne una via di accesso privilegiata al sistema.
Una backdoor ha un utilizzo molto versatile per il controllo integrale del sistema molto spesso attraverso la tecnologia per la manutenzione e monitoraggio di computer aziendali tramite accesso remoto.
In molti casi, l’hacker prende il controllo del sistema e/o dispositivo perché è stata lasciata una “porta aperta” in forma di impostazioni di sicurezza predefinite.
Nel caso dei sistemi di videosorveglianza, ad esempio, la maggior parte degli attacchi hacker sfrutta la conoscenza comune delle password predefinite e può anche tentare di accedere tramite password deboli o attraverso le password di servizio create dai produttori per lo sblocco critico del dispositivo.
Caratteristiche essenziali della backdoor sono dunque:
- la non rilevabilità dagli antivirus;
- l’utilizzo di porte già aperte da altri programmi;
- il funzionamento su più sistemi operativi.
L’uso della tecnica in esame ha contribuito alla diffusione del cyberspionaggio, al punto tale da creare tensioni geopolitiche, di sicurezza nazionale ed inevitabili criticità di business per alcuni vendors IT.
Ed infatti, una delle misure di assessment e mitigazione del rischio in information security è la cosiddetta “code review”. Si tratta di un esame sistematico del codice sorgente preordinato ad individuare errori trascurati nello sviluppo del software. Proprio in questi casi è delicato l’equilibrio tra contrapposti interessi parimenti meritevoli di tutela.
Una code review, pur legittima, ed esempio nell’interesse della sicurezza nazionale, va contemperata con l’opposto interesse del vendor IT a prevenire sottrazioni di dati di proprietà intellettuale ed industriale rivendicati. Ed in molti casi, i vendors IT si vedono imposti dai governi dei code review preventivi dei software di utilizzo nazionale per il timore che contengano backdoor.
In tale scenario, sono notori i provvedimenti restrittivi del business adottati dagli USA nei confronti della russa Kaspersky Lab o delle cinesi Huawei e ZTE. Al fine di meglio affrontare la minaccia e mitigarne i potenziali impatti è altresì essenziale, come sempre, adottare delle best practices che recepiscano un progressivo sviluppo della cultura della sicurezza.
In particolare, è sempre un opportuno approccio:
- impostare o modificare la password predefinita ed introducendo l’abitudine al cambiamento sistematico delle password “forti”.
- utilizzare la DMZ nel router curandosi di impostare il reindirizzamento delle sole porte necessarie per la corretta connessione.
- cambiare le porte predefinite HTTP, TCP, UDP;
- attivare nel router il filtro IP / MAC se possibile al fine di indicare indirizzi specifici (indirizzi IP di rete o indirizzi MAC fisici) dei dispositivi attendibili che sono autorizzati al collegamento remoto.
- gestire gli accounts in modo prudente (password diverse per servizi diversi).
- installare gli aggiornamenti del firmware.
