In questi giorni, oltre ai casi di Man in the mail, cio\u00e8 la truffa dell\u2019IBAN, ho trattato anche tre
\ncasi di Ransomware, due contagiati via email e uno da attacco diretto.
\nAnche queste minacce sono in rapida espansione grazie ad una non corretta gestione dei
\nsistemi informatici. Purtroppo ci\u00f2 che hanno in comune tutti \u00e8 la mancata percezione del
\nproblema e una scarsa formazione trasversale a partire dagli utenti fino ad arrivare ai
\nconsulenti\/IT.
\nNei casi trattati sono stati crittografati, non solo i dati, ma anche i sistemi che fungevano da
\nbackup.
\nQuesto purtroppo accade per via di strategie errate e configurazioni fatte veramente male.
\nCome se non fosse bastato erano presenti apparati non aggiornati con le ultime release e
\npatch di aggiornamento alla sicurezza, un po\u2019 come dire avere Windows e non aggiornarlo
\nmai. Sarebbe un grave errore. Anche i dispositivi di rete, come stampanti, nas, firewall e UTM
\ndevono essere aggiornati regolarmente.
\nIl caso di qui parler\u00f2 oggi \u00e8 un attacco diretto ad un server. Quest\u2019ultimo era raggiungibile da
\ninternet senza le opportune sicurezze. L\u2019unica \u201cfinta\u201d sicurezza erano le credenziali, nome
\nutente e password.
\nPREMESSA
\nPer meglio comprendere un po\u2019 come funziona tale sistema e come sia possibile che un server
\nvenga violato nonostante tutto sia protetto da nome utente e password, dobbiamo dire che
\nnormalmente, anche se noi non lo vediamo, in internet ci sono sistemi che acquisiscono
\ninformazioni H24 365 giorni l\u2019anno. Le info da trovare sono nei siti internet dove vengono
\nindividuate le tecnologie usate per capirne le vulnerabilit\u00e0, o altri servizi come ad esempio la
\ntelefonia VoIP, servizi di posta, database, server FTP, NAS o sistemi cloud, o la presenza di
\nservizi violabili come \u201cRDP\u201d Remote Desktop, usati da molti utenti per collegarsi da casa al
\nserver aziendale.
\nScenario
\nQuando un cliente chiede al proprio consulente, \u201c mi dai la possibilit\u00e0 di collegarmi da casa al
\nserver dell\u2019 ufficio? Ma non mi far spendere troppo ok? \u201c
\nLa soluzione adottata\u2026\u2026..errata
\nQuello che molti consulenti fanno \u00e8 la creazione di una regola nel router ad. Esempio di
\nTELECOM, FASTWEB ecc, che permette tutto il traffico proveniente da internet verso una
\nspecifica porta TCP (tra poco vediamo che cos\u2019\u00e8) verso la stessa porta del server aziendale cos\u00ec
\npermettono l\u2019accesso istantaneo alle risorse dell\u2019azienda da parte del cliente da qualsiasi
\nparte del mondo. Vista cos\u00ec \u00e8 una bella opportunit\u00e0!!!!!
\nMa come lo pu\u00f2 fare lui lo possono fare tutti, cio\u00e8 tutti possono arrivare alla fase di login di
\nquel server, soprattutto coloro che H24 per 365 giorni l\u2019anno sfruttano i loro computer e le
\nreti di internet per scansionare i dispositivi collegati ad internet alla ricerca di queste
\nsituazioni \u2013 Vulenarabilit\u00e0-. Poi vediamo come si entra senza nome utente e password.
\nIl cliente per\u00f2 non sa e a volte neanche il consulente, che questa pratica \u00e8 molto rischiosa per\u00f2
\nentrambi pensano\u2026 \u201c tanto chi vuoi che vada a prendere i dati del mio cliente\/server, poi gli
\nho cambiato il numero di porta TCP da 3389 l\u2019ho messo a 8899 poi gli metto un bella
\npassword. Cosa vuoi che succeda? \u201c.
\nPurtroppo questi sono ragionamenti che sento spesso.
\nFacciamo un po\u2019 di chiarezza i numeri 3389 e 8899 fate finta che siano il numero civico di
\ndove abitate e che la vostra aDSL, che ha un\u2019idirizzo IP Pubblico es. 88.77.43.xx sia la via.
\nPer raggiungere il server bisogner\u00e0 dire al programma di contattare 88.77.43.xx alla porta
\n8899.<\/p>\n
NOTA<\/strong> Descrizione dell\u2019attacco<\/strong><\/p>\n Il consulente e il cliente, spesso non sanno che la totalit\u00e0 dei software hanno delle Chi le acquista le sfrutter\u00e0 per sferrare attacchi ed entrare nei sistemi informatici, qualunque Una volta entrati, iniziano a lanciare i loro software che andranno a crittografare tutto il L\u2019hacker ha tutto il tempo che vuole per studiarsi il server e i dati ivi contenuti. Hanno crittografato il NAS dove erano presenti le copie e l\u2019hard disk che era stato lasciato L\u2019attaccante ha richiesto il pagamento di 4000 dollari come riscatto per avere il software con NOTA<\/strong> Il Ransomware \u00e8 un problema molto grave in quanto blocca le attivit\u00e0 aziendali, ma spesso, Cosa fare per prevenire<\/strong><\/p>\n 1. Fate attenzione alle email, anche a quelle con mittenti conosciuti. Sappiate che \u00e8 semplice In questi giorni, oltre ai casi di Man in the mail, cio\u00e8 la truffa dell\u2019IBAN, ho trattato anche tre casi di Ransomware, due contagiati via…<\/p>\n
\nAltra cosa da sapere che per via di questa \u201cusanza\u201d molti impianti di video sorveglianza vengono
\nviolati e usati per capire se le case sono vuote oppure no. In altri casi si possono sfruttare quelle
\ntelecamere e gli stessi DVR per attaccare l\u2019azienda o le abitazioni.<\/p>\n
\n\u201cvulnerabilit\u00e0\u201d le quali vengono cercate e trovate da esperti programmatori e vendute nel
\ndeep web al miglior offerente.<\/p>\n
\nessi siano, che non siano adeguatamente protetti, aggiornati e costantemente monitorati.
\nL\u2019adozione di tecniche avanzate di attacco con l\u2019ausilio dello sfruttamento di tali vulnerabilit\u00e0,
\npermettono di bypassare le credenziali di accesso.<\/p>\n
\ncontenuto del server. All\u2019interno di un server di norma troviamo programmi di contabilit\u00e0,
\ndati aziendali, database, backup. Inoltre una volta introdotti nel server potranno identificare
\nanche gli altri dispositivi presenti nella rete, quali NAS, stampanti, sistemi di domotica etc.
\nTutto ci\u00f2 che potranno compromettere lo comprometteranno.<\/p>\n
\nE\u2019 una persona che fa questo di mestiere e che conosce i veri meccanismi dell\u2019informatica.
\nDalle analisi si \u00e8 risalito che l\u2019accesso \u00e8 stato fatto di venerd\u00ec sera verso le 18 e tutti i dati sono
\nstati, in modo meticoloso, crittografati entro la domenica notte.<\/p>\n
\nattaccato al server in modo incauto. Inoltre il database della contabilit\u00e0, i dati aziendali
\npresenti nelle cartelle condivise e i dati presenti su un altro pc in rete.<\/p>\n
\nle relative password al fine di de-crittografare.
\nPENSIAMO PER UN\u2019ISTANTE SE QUEI DATI FOSSERO STATI RUBATI PER DISPETTO E
\nPUBBLICATI SUL WEB.<\/p>\n
\nCi tengo a dire che oggi come oggi quando si parla di Virus si pensa al Ransomware.
\nQuesta associazione non \u00e8 del tutto corretta. Bisogna sapere che in parallelo ci sono software
\nmalevoli che hanno lo specifico compito di introdursi e acquisire informazioni dal computer e
\nperci\u00f2 dell\u2019utente, come ad esempio indirizzi email, account social, mail password,
\nacquisizione di ci\u00f2 che si scrive, interi file. Purtroppo esistono centinaia di migliaia di varianti
\ndi questi software malevoli, ognuno con il proprio compito. Molti di loro possono essere
\ndormienti e attivati solo durante un attacco massivo.<\/p>\n
\npersonalmente ritengo, che gli altri siano di gran lunga pi\u00f9 pericolosi.<\/p>\n
\nimpersonare qualcun altro. – Ma come \u00e8 possibile che un estraneo sappia che ho rapporti di
\nlavoro con l\u2019azienda mario.rossi@gnail.com? Niente di pi\u00f9 semplice:
\n\u2022 Ricerca sui social
\n\u2022 Qualche vecchio virus che vi ha rubato i contatti collezionati
\n\u2022 Qualche virus presente sul computer di mario.rossi@gnail.com
\n\u2022 Vi hanno violato il sito internet e hanno acquisito tutti gli indirizzi l\u00ec memorizzati
\nIn realt\u00e0 possono essere tante le motivazioni, queste sono solo degli esempi.
\n2. Cercate di adottare sistemi di sicurezza perimetrali efficaci e certificati. Chi ve li monta deve
\nessere qualificato e certificato. Tali strumenti se ben implementati vi garantiranno una
\nsicurezza pari al 95% . La continua comunicazione tra il sistema di difesa perimetrale e
\nl\u2019agent istallato sulla macchina, far\u00e0 in modo che qualsiasi minaccia venga mitigata nel miglior
\nmodo.
\n3. Quando una lavorazione di sicurezza viene realizzata con estrema semplicit\u00e0, diffidate.
\n4. Non adottate gli Antivirus, ma bens\u00ec suite di sicurezza denominate Internet Security o Total
\nSecurity commerciali, Kaspersky, Mcafee, Trend Micro, BitDefender ecc. Tali sistemi
\nimplementano molte pi\u00f9 analisi ma soprattutto implementano un\u2019attivit\u00e0 di analisi
\ncomportamentale \u00e8 fanno riferimento a banche dati centrali dove anche loro acquisiscono in
\ntempo reale informazioni sulle nuove minacce (intelligenza collettiva). Questi sistemi devono
\nessere poi ben configurati. A volte la sola istallazione non basta.
\n5. Attenzione all\u2019apertura di allegati sospetti.
\n6. Usate sistemi cloud come virus total per identificare eventuali minacce negli allegati.
\n7. Richiedete ai vostri consulenti programmazioni specifiche del sistema operativo al fine di
\nlimitare le attivit\u00e0 intraprese da un\u2019eventuale minaccia nel caso riuscisse ad accedere al
\nvostro sistema. (Lavorare con utente standard e non administrators)
\n8. Fate attenzione all\u2019apertura degli allegati con le MACRO, sempre pi\u00f9 spesso vengono usati
\ncome veicolo di attacco.
\n9. Se usate un server microsoft, fatevi attivare le \u201cshadow copy\u201d. Questo permette di avere di
\nuna cartella o di un file pi\u00f9 versioni. Un Ransomware proveniente dalla rete da un computer
\nattaccato, che crittografa quella specifica cartella, si avr\u00e0 la possibilit\u00e0 di recuperarla.
\n10. Molti NAS, come Gigasys o QNAP hanno funzionalit\u00e0 avanzate per la protezione da questi
\nattacchi.
\n11. Per collegarvi ai vostri server aziendali usate le VPN crittografate (NO PPTP)
\n12. In presenza di sistemi avanzati di protezione perimetrali e di IP STATICI potete pensare di
\nrealizzare una regola ad hoc per l\u2019accesso da quel dato IP verso quella specifica porta relativa
\nal server.
\n13. Aggiornare costantemente Windows e tutti i software presenti sul vostro computer
\nNEL CASO DI JAVA, dove \u00e8 sempre un problema aggiornarlo in quanto poi abbiamo paura che
\nnon ci funzioni pi\u00f9 qualcosa, come portali istituzionali, agenzia delle entrate ecc, possiamo
\nconfigurarlo al fine che non venga sfruttato da eventuali siti internet compromessi.
\nAvendo un buon sistema di sicurezza perimetrale o nel caso di computer singoli, di un buon
\nsistema internet security \u00e8 possibile configurare lo strumento di sicurezza al fine di limitare
\nl\u2019esecuzione di alcuni eseguibili da determinate cartelle.
\nConclusioni
\nQuesti qui elencati sono solo alcuni accorgimenti, ma se gi\u00e0 si adottassero tutti, potreste
\ndormire sogni tranquilli .
\nL\u2019importante \u00e8 comprendere che non sono le tecnologie adottate o i sistemi inseriti che fanno
\nla sicurezza ma bens\u00ec le buone configurazioni applicate alle tecnologie e ai sistemi, i test e
\nl\u2019adozione di strategie sempre nuove per contrastare le nuove minacce.<\/p>\n","protected":false},"excerpt":{"rendered":"