14 Ago Dati su Cloud e Hacker

Nel post precedente (qui trovate il primo articolo) ci siamo occupati di quali servizi esistono, accessibili a tutti,  per mettere i dati su web (cloud) con facilità, e quali caratteristiche di protezione avevano ai fini del GDPR; in questo invece vogliamo mettere in luce invece quali sono le più comuni modalità di aggressione degli hacker per poter accedere al servizio in vece nostra.

Primo problema dati su cloud e hacker: più i sistemi sono integrati più sono critici

Tutti i sistemi citati hanno, in modi diveris, la possibilità di integrare il dato con sistemi di terze parti, dalle foto del telefonino alle APP di Facebook, o altre applicazioni (Evernote, Whatsapp, Browser, ecc). Una funzionalità molto utile per conservare i dati “tutti in un posto”, ma contemporaneamente rischiosa, perché i software esterni possono essere veicoli di attacco e potenziali punti di accesso per gli hacker (se non sono a loro volta rispettose di criteri di sicurezza “stretti”).

Un esempio è il data breach di Timehop di un anno fa; Timehop è un’applicazione che raccoglie foto da Facebook, Instagram, Twitter e Dropbox. Gli hacker hanno attaccato Timehop, utilizzando un account compromesso e hanno avuto accesso a tutte le informazioni e dati presenti.

Google Drive ha persino più integrazioni, dato che tutte le stesse APP di Google hanno accesso ai dati su Drive; inoltre molti sviluppatori di applicazioni permettono la registrazione e autenticazione tramite Gmail alle proprie app, di conseguenza potrebbero avere accesso ai dati degli utenti stessi (leggete bene tutte le autorizzazioni richieste vero?).

Senza considerare gli interventi “istituzionali”, come quello rivelato da Snowden (Prism) che permette di analizzare e-mail ed attività degli utenti su GMail e Facebook.

Secondo problema: la madre degli utenti è sempre incinta…

Se i vari fornitori di servizi continuano ad aumentare la potenza dei sistemi di protezione, permettendo di controbattere ai criminali in modo efficace, non è lo stesso per gli utenti finali, che poco o niente investono in sicurezza (e in formazione) convinti che “a loro non capiterà mai“; diventa quindi più facile per un hacker entrare in possesso di account ed usarlo per compromettere il sistema, che tentare di violare il sistema stesso.

Si spera quindi in errori dei tecnici, (es: Telefonica con l’esposizione di dati per un errore di configurazione dei server) o dei programmatori, cercando gli exploit zero day o la mancanza di applicazione delle patch. Ma attendere queste possibilità è una perdita di tempo e di occasioni, quindi gli hacker cercano altre strade per stimolare la generazione di errori.

Il maggior numero di tentativi (con successo) di rubare le credenziali passa da sistemi molto più basici, che elenchiamo di seguito:

1. App trojan

   Il furto delle credenziali viene fatto tramite trojan camuffati da app presenti negli app store (soprattutto in quelli non ufficiali o jailbreaked). Si differenziano in:

   APP Trojan Repacking: si scarica l’app originale e la si decompila, si inserisce il codice malevolo e ripubblicata con un nome molto simile all’originale, per ingannare gli utenti;
   Trojan APP: in questo caso viene sviluppata una vera e propria app apposta per aggredire i servizi, ad esempio Google Drive e Dropbox.

   La presenza negli store garantisce una presenza costante e una minaccia persistente. Un esempio è Anubis Malware scoperto dai ricercatori di IBM ai primi di luglio.

2. Phishing

   Uno degli attacchi più diffusi, che tutti ormai conosciamo (o dovremmo) è il phishing; basti pensare a tutte le mail “minacciose” o “invitanti” che riceviamo ogni giorno. Rappresenta il 66% dei tentativi di attacco malware ed è il modello di Social Engineering più diffuso, tanto che molte volte si cade in quella trappola più per disattenzione che per inconsapevolezza.

3. Keylogger e Backdoor

   Entrambi fanno parte della famiglia dei trojan. Conosciuti anche come Remote Access Trojan, permettono all’hacker di avere accesso alle funzionalità del dispositivo. A questi si aggiunge anche l’INFOSTEALER, hacking tool minimali con funzionalità specifiche per l’obbiettivo. Sono spyware che “registrano” ed inviano tutto quello che si digita sulla tastiera.

4. Estensioni e vulnerabilità dei browser

   Sono plugin costruiti ad hoc per i browser. La tecnica è la stessa dell’APP Trojan, o dei keylogger, solo che agiscono durante la normale navigazione internet, spacciandosi per plugin del browser che agevolano l’accesso ai servizi, utilizzando nomi simili ai plugin originali.
   A questo si aggiunga che il 100% dei siti web ha almeno una vulnerabilità, e che il 70% di queste è critica e viene resa pubblica direttamente su GitHub; ne consegue che è abbastanza semplice hackerare un sito e, dato che l’esperienza per sfruttare questa tipologia di attacchi è raggiungibile con video tutorial che potremmo trovare su internet, ne consegue che chiunque potrebbe diventare una potenziale minaccia per il nostro sito.

5. Self XSS

   XSS, meglio conosciuto come Cross Site Scripting, è una vulnerabilità che permette agli hacker di inserire stringhe malevole nel sistema sfruttando la vulnerabilità del portale di accesso (sito, login, ecc). Di fatto l’utente si auto-compromette perché convinti di essere nel vero sito, ma in realtà sta introducendo le proprie credenziali in una “fotocopia” che le comunica al pirata.

6. Dark Web

   Nel Dark Web c’è sempre tutto al giusto prezzo.

   Sembra uno slogan, ma in realtà siamo di fronte ad un vero bazar digitale, un’enorme rete “privata” dove acquistare di tutto: pornografia, armi, soldi contraffatti e ovviamente anche strumenti di hacking, malware, exploit e zero-day. I ricercatori del team McAfee hanno scoperto che è in vendita persino l’account per l’accesso remoto ai sistemi di un aeroporto internazionale: “Solo 10 dollari.”

   La maggior parte dei database violati sono a disposizione (gratuitamente o a pagamento), perché chi compromette le credenziali cerca di monetizzare al massimo il proprio “investimento” di fatica e abilità.

   Citando il post precedente, vale la pena ricordare che in questo momento sono disponibili gratuitamente circa 68 milioni di account Dropbox, risultato dell’attacco hacker del 2012… chissà magari sono attivi, o non hanno cambiato password.  (Magari evitiamo di essere tra quelli che non hanno messo in sicurezza l’account).

Nel prossimo post (ultimo della serie) ricorderemo come adottare delle specifiche di sicurezza per evitare di fare la fine di quanto menzionato finora e mettere “in contatto” i nostri dati su cloud e hacker.