Capitolo 1
Attacchi di Phishing
Il phishing è un attacco di ingegneria sociale. Nella maggior parte dei casi, viene eseguito per accedere e rubare dati di utenti, come numeri di carte di credito e credenziali per il log in. Questo tipo di attacco si verifica quando un intruso si fa passare per qualcuno di fidato e inganna la vittima convincendola ad aprire un sms, un messaggio di chat o unâemail. Successivamente, la vittima viene invitata a cliccare su un link che permette allâutente malintenzionato di bloccare il sistema o di installare malware. Questo tipo di attacco può essere dannoso e può avere come conseguenza il furto dâidentitĂ , lâappropriazione illecita di fondi e acquisti non autorizzati.
Nelle reti governative o aziendali, il phishing fornisce allâintruso un punto dâappoggio e apre la porta a un attacco come una Advanced Persistent Threat (APT, âminaccia costante avanzataâ). In caso di APT, lâorganizzazione può subire perdite finanziarie, oltre a molti altri danni. Attacchi phishing possono essere email che, per esempio, da myuniversity.edu vengono inviate ai membri di una facoltĂ . Il messaggio comunica al ricevente che la sua password scadrĂ a breve. Sono incluse istruzioni che invitano lâutente ad andare su myuniversity.edu/renewal e rinnovare la parola dâaccesso. Quando il ricevente clicca sul link, può succedere una serie di cose. Ad esempio, la vittima può essere diretta su una pagina falsa, come myuniversity.edurenewal.com, molto simile alla pagina vera. Allâutente viene poi chiesto di inserire la password vecchia e quella nuova. Il malintenzionato invece controlla la pagina e scopre la parola dâaccesso originale, che gli darĂ accesso alla rete universitaria. Il link potrebbe anche portare alla vera pagina in cui si chiede di rinnovare la password. Durante il processo di reindirizzamento, lâinfiltrato attiva uno script dannoso sullo sfondo, e cosĂŹ vengono dirottati i cookie di sessione dellâutente. Si verifica in questo modo un attacco riflesso XSS che dĂ al malintenzionato accesso alle informazioni confidenziali.
Gli attacchi di phishing per mezzo di email sono un gioco di numeri. Il messaggio fraudolento viene inviato a un grande numero di persone, quindi anche se solo una piccola parte viene ingannata, il malintenzionato riesce a raccogliere molte informazioni. Gli esecutori dellâattacco conoscono delle tecniche che danno loro grandi probabilitĂ di successo. Essi si assicurano che il messaggio di phishing sia molto simile a una vera email da parte del mittente scelto. Cercano inoltre di trasmettere ai riceventi un senso di urgenza per spingerli ad agire. I link inclusi nei messaggi sembrano normali.
Lo spear phishing non tenta di colpire persone a caso: mira a una persona o unâimpresa specifica. Si tratta di una versione avanzata di phishing, e sono richieste conoscenze specifiche sullâorganizzazione. Quando un malintenzionato ottiene le credenziali valide per il log in, può eseguire con successo la prima fase di un attacco APT. Per proteggere una societĂ dagli attacchi di phishing, sia lâimpresa che gli utenti devono adottare misure precauzionali. Gli utenti devono stare attenti: in ogni messaggio fasullo ci sono degli errori che possono smascherarlo.
Le imprese dovrebbero prendere vari provvedimenti per ridurre sia lo spear phishing che gli attacchi di phishing, e dovrebbero ricorrere a unâautenticazione a due fattori (2FA). In questo modo, gli utenti malintenzionati che intendono accedere a informazioni sensibili devono superare un altro ostacolo. Oltre a usare la 2FA, le aziende dovrebbero adottare delle severe politiche di gestione delle password. Gli impiegati dovrebbero cambiare le proprie password regolarmente e usarne di diverse per le varie applicazioni. Lâimpresa dovrebbe inoltre organizzare delle campagne educative.
Capitolo 2
Advanced Persistent Threat
Advanced Persistent Threat, o APT, è unâespressione ampia. Indica una campagna di attacco da parte di un intruso che stabilisce una presenza dannosa e a lungo termine su una rete, con lâobiettivo di captare dati sensibili. Lâintruso, o la squadra di intrusi, cerca con cura e sceglie gli obiettivi, di solito reti governative o grandi societĂ . Le intrusioni possono provocare molti danni, tra cui:
â Furto di proprietĂ intellettuale
â Compromissione di informazioni sensibili
â Completa perdita del controllo di siti web
â Sabotaggio di importanti infrastrutture
Gli attacchi APT sono un poâ diversi dai tradizionali attacchi con applicazioni web in quanto:
â Sono eseguiti manualmente.
â Sono molto piĂš complessi.
â Non sono mai attacchi âmordi e fuggiâ.
â Di solito hanno come obiettivo quello di penetrare in unâintera rete.
Svolgimento di un attacco APT
Un attacco APT di successo si svolge in tre fasi. Il piĂš delle volte, le imprese subiscono infiltrazioni a causa dellâesposizione di uno dei seguenti elementi: utenti umani autorizzati, risorse della rete e risorse web. Lâobiettivo può essere raggiunto per mezzo di attacchi dâingegneria sociale come lo spear phishing o upload dannosi, o ad esempio unâiniezione di codice Structured Query Language (SQL). Inoltre, gli intrusi possono eseguire allo stesso tempo un attacco DDoS (Distributed Denial of Service, ânegazione di servizio distribuitaâ) contro lâobiettivo. Questa mossa distrae il personale della rete e indebolisce il perimetro di sicurezza. Dopo essere entrati per la prima volta, gli infiltrati installano un codice backdoor. Questo malware consente loro lâaccesso alla rete e il controllo da remoto. Una volta stabilito un punto dâappoggio, tali utenti diffondono la propria presenza. Essi risalgono la gerarchia dellâorganizzazione e, dopo aver avuto accesso a dati molto sensibili, mettono in pericolo il personale. Nel corso di questâoperazione, gli intrusi ottengono informazioni importanti sullâazienda, come i documenti finanziari, i dati degli impiegati e notizie sulla linea di prodotti.
Gli utenti malintenzionati possono vendere queste informazioni alla concorrenza o sabotare la linea di prodotti e rovinare lâazienda. Durante lâattacco APT, i ladri conservano in un luogo sicuro i dati rubati da qualche parte allâinterno della rete che stanno attaccando. Dopo aver raccolto abbastanza dati, gli intrusi li estraggono silenziosamente senza farsi notare. Mentre le informazioni vengono estratte, la tua squadra di sicurezza viene distratta da rumori bianchi. Il miglior modo per bloccare lâestrazione di dati rubati e impedire lâinstallazione di backdoor è il monitoraggio del traffico in ingresso e in uscita. Prendi lâabitudine di ispezionare il traffico nel perimetro della tua rete, cosĂŹ qualsiasi comportamento insolito non passerĂ inosservato. Installa un firewall per applicazioni web sul perimetro per contribuire a filtrare il traffico che viene indirizzato ai server delle tue applicazioni. Anche i firewall di rete e altri servizi di monitoraggio del traffico interno possono essere utili. La whitelist comprende i domini accessibili dalla tua rete e le applicazioni che gli utenti possono installare. Lâobiettivo è ridurre le superfici di attacco di cui gli intrusi possono approfittare. Questa misura di sicurezza non è infallibile. Per renderla piĂš efficace, metti in atto delle rigorose politiche di aggiornamento, cosĂŹ i tuoi utenti potranno usare versioni aggiornate delle tue applicazioni. I tuoi dipendenti sono il punto debole piĂš grande e piĂš sensibile. Esistono tre categorie di obiettivi:
â Utenti imprudenti
â Utenti privilegiati malintenzionati
â Utenti compromessi
Esamina attentamente tutti i tuoi dipendenti e le informazioni a cui hanno accesso. Non appena vengono scoperte nuove vulnerabilitĂ di rete del sistema operativo e dei software, risolvile sempre. Crittografa le connessioni remote in modo che gli intrusi non le utilizzino per accedere alla tua rete. Filtra le email in arrivo. In questo modo si possono prevenire gli attacchi di phishing e lo spam. Registra immediatamente gli eventi di sicurezza per migliorare le whitelist e ogni altra strategia.
Capitolo 3
Test di Penetrazione
Il test di penetrazione viene talvolta chiamato âpen testâ. Si tratta di un attacco informatico simulato che mira al sistema del tuo PC per trovare vulnerabilitĂ sfruttabili. Nellâambito della sicurezza delle applicazioni web, un pen test viene generalmente utilizzato per rendere piĂš forte un Web Application Firewall (WAF). Il test di penetrazione a volte comporta un tentativo di violazione di diversi sistemi applicativi, come server front-end/back-end, e interfacce di protocollo delle applicazioni (Application Protocol Interfaces, o API) per verificare la presenza di punti vulnerabili, come ad esempio input non controllati che sono a rischio di attacchi di iniezione di codice. Le informazioni dettagliate fornite da un test di penetrazione possono essere utili per correggere le vulnerabilitĂ rilevate e migliorare le strategie di sicurezza del WAF.
Lo svolgimento del...