Oggi parliamo di Sicurezza Web, un argomento che – almeno ad un primo impatto – sembra di una vastità infinita. Allora cerchiamo di restringere il campo: Web Application Security. A questo proposito, sono molteplici i report e gli studi effettuati da cui è possibile estrarre dati. Nonostante ciò, in questo articolo, utilizzeremo una singola fonte che, però, riesce ad illuminare gli aspetti più importanti.
Dal report 2017 di Positive Technologies emergono dei dati preoccupanti (riassunti nello specchietto sottostante).
- Ogni sito web o web application analizzata presenta almeno una vulnerabilità nota. Questo è un chiaro segnale di mancata adozione delle best practice o di adeguate misure di Sicurezza Preventiva. Le vulnerabilità note, inoltre, sono facilmente “usabili” da un qualsiasi potenziale attaccante esterno anche senza esperienza e senza un budget. Sono presenti nel Dark Web degli exploit kit ad un prezzo irrisorio: questi tool permettono anche ad un neofita dell’informatica di sfruttare una vulnerabilità e arrecare danno. Diciamo che questo viene facilitato dal fatto che il 100% di ciò che è stato analizzato presenta una vulnerabilità nota.
- Sette web application e siti web su dieci hanno una vulnerabilità nota (ma questa non è una novità) – come oramai sappiamo – di altà severità. Questo dato, probabilmente, è anche più allarmante di quello precedente. Le vulnerabilità ad alta severià hanno molta più probabilità di essere sfruttate con successo da un Criminal Hacker.
A fronte di quanto appena visto, emerge la necessità (lato azienda) di dotarsi di un Framework di CyberSecurity ben definito che comprenda al suo interno il layer dedicato alla Sicurezza Preventiva. Questo elevatissimo grado di esposizione rende le aziende altamente vulnerabili e le espone (appunto) a ripercussioni che non si limitano ad un singolo settore. Di fatto, le conseguenze possono impattare la brand reputation (difficoltà della clientela a fidarsi di nuovo dell’azienda), il settore legale (in questo caso specifico, il GDPR – la nuova normativa europea in materia di protezione dei dati – cerca di regolamentare, all’articolo 32, l’analisi del rischio tecnologico. Le aziende, dunque, devono effettuare le dovute analisi per monitorare i propri asset tecnologici) e, ovviamente, il settore finanziario (i data breach possono aprire diversi scenari poco gradevoli: dalle richieste di pagamento da parte dei Criminal Hacker alle sanzioni amministrative per quelle aziende che dimostrano di non essersi adoperate per proteggere i dati).
Quali sono le minacce più comuni?
Abbiamo fatto una corposa premessa circa lo scenario attuale delle vulnerabilità web e la loro presenza. Abbiamo anche brevemente accennato quali sono le potenziali ripercussioni per le aziende e cosa dovrebbero fare, le aziende stesse, al fine di monitorare la situazione ed evitare situazioni spiacevoli.
Tuttavia, quando si parla di sicurezza, non si è mai troppo cauti. Ora, infatti, andremo a vedere quali sono le minacce cui le aziende devono prestare maggiore attenzione (tutte le altre che non vengono menzionate nella lista, comunque, non sono da sottovalutare). Iniziamo questa nostra scalata verso la top 1 delle tipologie di attacco.
5. Malware
All’”ultimo” posto della nostra speciale classifica troviamo i malware. Probabilmente questa è la più conosciuta (in termini mainstream) tra le minacce che andremo ad elencare. Ciò non toglie, comunque, che sia anche una delle più infide: un malware assume diverse forme in base allo scenario di riferimento e al suo obiettivo ultimo. Il malware, inoltre, è uno strumento estremamente potente. Come abbiamo detto, ne abbiamo di diversi tipi:
- Spyware;
- Ransomware;
- …
solo per citarne un paio. I malware permettono al Criminal hacker di avere letteralmente il coltello dalla parte del manico. Da un’infezione malware può scaturire un controllo totale (o quasi) da parte del malintenzionato. Inoltre, c’è un malware per ogni occasione – sì, sono come gli abiti – abbiamo malware specifici per il mondo bancario, sanitario,… La tendenza dei Cyber Criminali a scoprire nuovi orizzonti (Intelligenza Artificiale, Cryptovalute,…) non può far sì che le aziende abbassino le loro difese e si concedano il lusso di farsi trovare impreparate in caso di attacco malware.
4. SQL Injection
Saliamo di un gradino e troviamo un altro evergreen in ambito CyberSecurity: l’SQL Injection. Il linguaggio SQL (Structured Query Language) è un linguaggio (ovviamente!) standardizzato per database. In cosa consiste, però, questa minaccia? Il nome “Injection” evoca già qualcosa di negativo, non è sbagliato pensarlo infatti. La minaccia si concretizza quando l’attaccante o il Criminal Hacker, introduce (inietta, per l’appunto) elementi dannosi e molto difficili da scovare. In questo caso, il database, potrebbe riconoscere questi elementi dannosi come del tutto normali.
Quali sono le conseguenze di questo errato riconoscimento? In questo scenario è possibile che gli hacker abbiano le porte aperte verso il furto di dati ed informazioni, ad ogni modo non è tutto qui. La vulnerabilità, se sfruttata, non si limita a mettere in pericolo le informazioni e i dati relativi agli utenti, anche gli amministratori sono in estremo pericolo. Infatti, se il Criminal Hacker riesce nell’intento di creare degli account admin, egli potrà prendere il pieno controllo della web application. Ecco perché l’SQL Injection occupa il quarto posto della nostra classifica: non si tratta di una minaccia sottovalutabile. Deve essere prestata massima attenzione poiché le conseguenze possono essere estremamente gravi.
3. Cross-Site Scripting
Facciamo passi da gigante verso la vetta finché non ci imbattiamo nel Cross-Site Scripting (o XSS). Questa minaccia è estremamente pericolosa per qualsiasi web app, proprio per questo motivo siamo al terzo gradino del podio! In cosa consiste? In breve, nell’introduzione di frammenti di JavaScript – in gergo snippet – malevoli eseguiti (in un secondo momento) dall’user stesso. Questa “esecuzione ignara” da parte dell’utente avviene cliccando sul link malevolo e le conseguenze, come ben si può intuire, possono essere devastanti. Il Criminal Attacker, una volta che l’utente ha inconsapevolmente eseguito gli snippet, riesce ad ottenere l’accesso completo ai dati. Abbiamo già visto in precedenza come il Dark Web sia un posto virtuale pieno di risorse, anche questi dati appena sottratti saranno molto probabilmente disponibili per l’acquisto in questo immenso bazar.
2. DDoS
Più ci avviciniamo al gradino più alto e più, ovviamente, le minacce si fanno pericolose. Al secondo posto troviamo dunque il DDoS, acronimo che sta per Distributed Denial of Service. Questa minaccia si concretizza attraverso un approccio “multi-device”. Un attacco DDoS, infatti, genera la saturazione dei sistemi attraverso un numero esponenziale di richieste provenienti da diversi indirizzi IP (da qui la natura “multi-device” dell’attacco). Questo eccessivo numero di richieste inviate al sistema provoca, inevitabilmente, il tilt del sistema stesso. Possiamo “apprezzare”, ad ogni modo, diverse tipologie di attacco DDoS, tra cui: attacchi al protocollo (il Cyber Criminale può utilizzare varie tecniche come lo Smurf – che utilizza il protocollo ICMP – o il Ping of Death – che consiste nell’invio, da parte dell’hacker, di un IP package malevolo – per compromettere il Security Protocol della Web Application), GET/POST flood (gli attacchi di tipo DDoS, in questo caso, vengono implementati attraverso l’utilizzo di richieste HTTP. Questi attacchi non è così semplice da attuare, infatti, solo i Cyber Criminali veramente di esperienza riescono a portare avanti attacchi di questo tipo) e IP spoofing (in questa casistica rientra la maggioranza degli attacchi DDoS, infatti la metodologia IP spoofing è largamente diffusa. Le attività di spoofing permettono all’attaccante di agire “sotto traccia” e tenere segreta – o modificata – la propria identità attraverso la creazione ad hoc di pacchetti composti da diversi indirizzi IP).
1. Web scraping e Bot
Infine siamo arrivati. In cima a questa spiacevole classifica troviamo le minacce legate allo web scraping e ai bot. Bot, in effetti, è un termine sulla bocca di tutti in questo periodo storico. Ma cos’è un bot? Innanzitutto bisogna fare una distinzione preliminare: come in quasi tutte le cose abbiamo un lato positivo ed un lato negativo. Ci sono infatti i bot “buoni” e i bot “cattivi”. Ma non è tanto il bot in sé ad essere buono o cattivo, quanto lo scopo per cui il bot viene usato. Abbiamo bot che aiutano ad ottimizzare le ricerche e a fornire risultati pertinenti: bot “buoni” che premiano i contenuti di qualità. Allo stesso tempo, possiamo avere bot che generano traffico malevolo, ossia bot “cattivi”. Una volta fatta questa doverosa premessa, possiamo dire che un bot – a livello generale – è un software che automatizza azioni iterative.
La minaccia deriva dal fatto che i bot considerati cattivi possono essere utilizzati per il web scraping. L’azione di web scraping consiste nell’estrapolazione di dati da un sito internet / web app. Perché, questa minaccia ricoprire il gradino più alto della nostra classifica? Semplice, per le dimensioni del fenomeno: si stima che il 20% del traffico internet sia opera di bot cattivi. Nella tua giornata online, c’è un’alta probabilità che i tuoi dati siano a rischio.
I bot, inoltre, possono fungere da apripista: una volta ottenuti i tuoi dati personali attraverso un sito che hai navigato è possibile che tu riceva campagne di phishing grazie alle informazioni carpite dai bot cattivi.
Web Application Security e Web Security
La lista che abbiamo fatto in questo articolo più quanto detto in fase di premessa dovrebbero essere sufficienti per capire che la sicurezza informatica non è un argomento sottovalutabile, specialmente nella società odierna. Le minacce sono molteplici e si annidano letteralmente ovunque. E’ opportuno dunque, non viene ripetuto mai abbastanza, adoperarsi nella creazione di un CyberSecurity Framework che includa gli aspetti legati alla Sicurezza Preventiva.
© RIPRODUZIONE RISERVATA