Cloudflare hackerata: perchè e da chi ?

All'inizio del mese di febbraio è uscita la notizia dell'hackeraggio di Cloudflare.

Nei titoli delle riviste si leggeva che la società Cloudflare, gigante statunitense della sicurezza in rete, era stata hackerata da un probabile gruppo "state sponsored". 

L'attacco, secondo Security Week, è avvenuto attraverso l'impiego di credenziali sottratte nel corso di un precedente attacco (Okta hack). Okta, fornitore di servizi di sicurezza e identità on-line, era stata hackerata presumibilmente nel mese di settembre ed aveva denunciato la perdita di dati riguardanti i propri clienti. 

Sempre dall'articolo di Security Week di inizio febbraio si apprende che le informazioni di login rubate nel corso dell'attacco ad Okta non erano state sostituite, consentendo all'attaccante di accedere ai sistemi CLoudflare a partire dal 14 novembre.

Già da quanto sappiamo fino ad ora, dovremmo cominciare a porci qualche domanda:

- se una società di sicurezza riceve la notifica di una avvenuta perdita di dati di accesso che la riguarda, perchè non procede a disabilitarli immediatamente?

- perchè tirare in ballo uno "State Actor" per un tentativo di hackeraggio basato banalmente sull'impiego di credenziali rubate e ancora attive?

Due domande la cui risposta non è banale.

Proseguiamo. 

Sempre secondo Cloudflare l'attaccante ha avuto accesso a diversi sistemi interni: 

- un ambiente AWS; 

- i sistemi Jira e Confluence, di Atlassian, due sistemi di collaboration avanzata usati da Cloudflare. Jira in particolare è impiegato per gestire i bug dei sistemi.

Sempre secondo le dichiarazioni della società, l'attaccante si è potuto muovere all'interno dell'ambiente di lavoro e ha avuto accesso a 120 repositories di codice. Se li abbia scaricati o meno a me non è chiaro. Fatto sta che i documenti cui ha avuto accesso riguardavano le modalità di funzionamento dei backup, la configurazione e gestione della rete globale Cloudflare, l'accesso remoto e l'uso di Terraform (per farla semplice un sistema di gestione di infrastrutture informatiche) e di Kubernetes (per la gestione dei carichi di lavoro e servizi).

L'hacker è stato identificato solo il 23 novembre, dunque dopo circa 10 giorni, durante i quali è anche riuscito ad installare del software all'interno della rete di Cloudflare, un tool di red teaming che si chiama Sliver Adversary Emulation Framework ed è open source e liberamente scaricabile da GitHub.

Detto questo passiamo a cercare di rispondere alle due domande poste poco sopra:

- la risposta alla prima è abbastanza semplice, le società sono fatte di esseri umani che hanno i loro tempi, i loro problemi e che commettono errori. Chi doveva occuparsene probabilmente ha sottovalutato la cosa o magari, più semplicemente, era in vacanza o in altre faccende affaccendato! Il risultato lo conoscete.

- alla seconda domanda è più difficile rispondere. Da un punto di vista di esposizione mediatica è più facile giùstificare una mancanza se il colpevole è uno stato avversario, più difficile giustificare l'accaduto se si scoprisse che l'attaccante è un ragazzino di quindici anni alle prime armi. Inoltre la situazione internazionale degli Stati Unitie la posizione di Cloudflare come fornitore globale di servizi di sicurezza ne fa una vittima ideale per chiunque voglia rivendicare l'attacco. 

Purtroppo, a mio parere, è difficile asserire che l'attacco è stato "state sponsored" per diversi motivi. Un attacco "state sponsored" sarebbe stato in qualche modo rivendicato. Inoltre, dalla lettura dei vari articoli sembra che l'attaccante si sia preso una pausa il giorno del "Thanksgiving", il 23 novembre, probabilmente perchè impegnato nei festeggiamenti con la famiglia!

Allora diamo tempo al tempo. Magari più avanti salterà fuori qualcosa che ci permetterà di capire cosa sia successo.

PS, per i più curiosi ho inserito diversi link a piè pagina da cui si possono anche intuire i danni provocati da questo attacco in termini di attività di controllo, in pratica di soldi spesi!

Buona lettura.

Alessandro Rugolo

 Per approfondire:

- https://www.securityweek.com/cloudflare-hacked-by-suspected-state-sponsored-attacker/

-  https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole-data-all-customer-support-users-cyber-breach-2023-11-29/

- https://www.atlassian.com/software/confluence/jira-integration

- https://developers.cloudflare.com/terraform/ 

- https://bishopfox.com/tools/sliver

- https://blog.cloudflare.com/thanksgiving-2023-security-incident

Attacco SQL Injection: di che si tratta?

Quante volte avete sentito parlare di SQL Injection e vi siete ripromessi di capire di che si tratta, senza poi avere il tempo o la voglia di farlo?

Se avete tre minuti, provo a spiegarvelo io, in modo semplice.

Partiamo dal nome: SQLi, SQL Injection o, per esteso (in una delle possibili interpretazioni), "Structured Query Language Injection" è un tipo di attacco nei confronti del database di un'applicazione web che consiste nella esecuzione di una interrogazione malevola. Per completezza aggiungo che SQL è il linguaggio standard impiegato per interagire un database relazionale.

Ma cosa significa? Direte voi. 

Facciamo un esempio pratico. Pensate ad una pagina web di un sito di commercio online, in cui generalmente è possibile eseguire la ricerca e selezione di un prodotto da acquistare. Spesso nella casella di ricerca è possibile inserire delle stringhe di testo che includono dei simboli o dei caratteri speciali. Ebbene alcuni caratteri a noi possono sembrare innocui ma ciò non vale per il database che li interpreta in tutt'altro modo.

Cosa può accadere se si è vittima di un attacco SQLi?

Purtroppo può accadere di tutto.

Se i controlli sulle possibili interrogazioni del database sono sbagliati (o come capita ancora di vedere, inesistenti) è possibile che i dati contenuti al suo interno vengano modificati, cancellati, copiati o anche cifrati. Passare poi dal database ad altre aree del sistema non è difficile per cui un attaccante dotato di tempo e un minimo di risorse e conoscenze informatiche può fare veramente molti danni.

SQLi è uno degli attacchi più conosciuti e che ancora oggi funziona, principalmente a causa della cattiva programmazione delle pagine web in cui, come già accennato, non sono eseguiti i corretti controlli su ciò che un utente del sito può inserire come richiesta.

Questo tipo di attacco è noto pubblicamente almeno dal 1998, grazie all'articolo "NT Web Technology Vulnerabilities" uscito su Phrack a firma di Rain Forest Puppy, pseudonimo di Jeff Forristal, hacker ed esperto di sicurezza mondiale.

 

Alessandro Rugolo

Per approfondire:

- http://phrack.org/issues/54/8.html

- https://www.esecurityplanet.com/networks/how-was-sql-injection-discovered/

- https://owasp.org/www-community/attacks/SQL_Injection

Cosa si intende per Digital Forensics

Nel mondo attuale si sente sempre più spesso parlare di incidenti cyber, di hacker e di gruppi APT. 

In questo contesto alcuni termini sono ormai diventati di uso comune, altri restano meno evidenti e non sempre sono conosciuti. Tra questa seconda categoria ricade la Digital Forensics (un tempo conosciuta come computer forensics). Vediamo di capire di che si tratta.

Come sempre partiamo da qualche definizione, per esempio il NIST dice che per "Digital Forensics" si intende "the application of computer science and investigative procedures involving the examination of digital evidence - following proper search authority, chain of custody, validation with mathematics, use of validated tools, repeatability, reporting, and possibly expert testimony."

In pratica stiamo parlando dell'uso di procedure investigative e della scienza dei computer applicate all'investigazione di fatti criminosi per stabilire l'accaduto. 

In un'altro documento NIST troviamo un'altra definizione con alcune informazioni aggiuntive: "The process used to acquire, preserve, analyze, and report on evidence using scientific methods that are demonstrably reliable, accurate, and repeatable such that it may be used in judicial proceedings."

Da questa seconda definizione emerge chiaramente la necessità di impiegare, per la raccolta delle prove di un crimine informatico, metodi scientifici che siano affidabili, accurati e ripetibili, allo scopo di utilizzare le prove raccolte in procedimenti giudiziari.

Quanto sopra esposto risulta di notevole importanza per i team di sicurezza informatica che operano nell'abito della "defensive security" e che si occupano di analisi di evidenze di attacchi nel campo digitale come lo spionaggio cyber, il furto di identità, il furto di proprietà intellettuale, brevetti, crimini compiuti in rete come truffe e così via.

Le principali attività di cui si  occupa chi fa  Digital Forensics sono essenzialmente le seguenti:

- analisi dei log della rete incriminata: i log (registrazioni eventi) effettuati sulle reti interessate da un crimine o impiegate per compiere un crimine possono aiutare a capire come si è svolto un attacco cyber e ciò talvolta da un indizio anche su chi potrebbe essere l'autore;

-  analisi del file system: occorre creare una copia del file system senza provocare danni o modifiche dello stesso e procedere alla analisi dei programmi installati, dei file cancellati o sovrascritti e tentare di ripristinarli. La raccolta di queste informazioni può far emergere prove dei reati commessi e individuare il periodo temporale dell'accaduto.

- analisi dei log di sistema: occorre raccogliere ed analizzare i log di sistema, in cui sono raccolte informazioni su cosa è successo al sistema o ai sistemi informatici.

Alcune di queste attività si possono svolgere mentre i sistemi sono in funzione, mentre gli utenti svolgono le loro attività, altre devono essere svolte a sistemi spenti, in ogni caso i dati raccolti devono essere custoditi accuratamente e seguendo criteri ben definiti in quanto potrebbero avere rilevanza penale.

Raccontato così sembra semplice ma non lo è. 

Per fare Digitl Forensics esistono tanti software utili, sia gratuiti che a pagamento, che possono dare una mano nella raccolta delle evidenze, ne cito solo alcuni sicuro che la vostra curiosità vi porterà a scoprirne tanti altri: 

• Wireshark: analizzatore di rete; 
• Oxygen Forensic Suite: analizzatore per dispositivi mobili;
• Autopsy Digital Forensic, suite completa di analis.

Ed ora a voi la palla, divertitevi ad utilizzare questi strumenti, sono gratuiti e liberamente scaricabili.

Come sempre, un grazie agli amici di SICYNT.

Alessandro Rugolo

Per approfondire:

- https://csrc.nist.gov/glossary/term/digital_forensics

- https://www.salvationdata.com/knowledge/digital-forensics-software/

- https://www.fastweb.it/fastweb-plus/digital-magazine/come-analizzare-il-flusso-dati-della-rete-con-wireshark/

-  https://www.wireshark.org/

- https://oxygenforensics.com/en/

- https://www.autopsy.com/

L'importanza dell'integrità dei dati

Cosa si intende per File Integrity Monitoring?

Quali strumenti si utilizzano oggigiorno?

Due domande che richiedono attenzione in ogni azienda o organizzazione in cui i dati e più in generale il proprio patrimonio informativo sono alla base del business o di processi interni vitali, in pratica tutte.

Un tempo la custodia dei propri documenti era devoluta ad una figura ormai scomparsa, l'archivista. Poi, la digitalizzazione (selvaggia) ha fatto si che questa figura venisse sostituita o più spesso eliminata, conferendo a tutti la possibilità di "conservare" i propri dati in file server più o meno regolamentati e strutturati creando l'illusione che in questo modo era possibile ricreare l'archivio che un tempo era cartaceo.

Eppure in tanti non si sono resi conto che l'archivista era anche un custode, il custode dell'integrità dei documenti e perciò dei dati dell'organizzazione. Egli si occupava di verificare che le cartelle fossero al loro posto, che la muffa non attaccasse i documenti più vecchi ed era in grado di ritrovare, come un bibliotecario, i documenti necessari ai piani alti per poter prendere le decisioni.

Ma ora chi fa queste cose al suo posto? 

Qualcuno potrebbe obiettare che non c'è più bisogno di tutto ciò e in parte gli do ragione, ma esistono delle attività equivalenti di cui nessuno si occupa.

I database e i file server, l'equivalente degli archivi cartacei, sono soggetti a variazioni, aggiornamenti, cancellazioni e aggiunte sia nei dati che nella struttura e soprattutto nel software, senza che ci si renda conto dei  danni che si possono creare, anche semplicemente per errore o distrazione. E tutto ciò senza considerare azioni malevole di concorrenti, hacker, dipendenti scontenti e chi più ne ha più ne metta.

Ecco come entra in gioco il File Integrity Monitoring (FIM). Ora possiamo vedere di che si tratta.

Con FIM ci si riferisce a dei meccanismi di controllo di sicurezza impiegati nelle organizzazioni IT. Un FIM si occupa di esaminare l'integrità dei file più sensibili e importanti, dei dati contenuti nei registri e nelle cartelle dei sistemi operativi (e non solo), verificando se sono stati alterati o compromessi, attraverso il tracciamento di tutte le attività condotte sugli stessi (log). Periodicamente si effettua una verifica dei dati conservati per vedere quali sono cambiati, come sono cambiati, chi li ha modificati e se la modifica era autorizzata. Per fare ciò, naturalmente, si utilizzano degli strumenti automatici. 

Se siete interessati a conoscere meglio qualcuno di questi FIM potete usare TrustRadius (https://solutions.trustradius.com/), che fornisce comparazioni sui prodotti tecnologici o un altro sito di vostra preferenza, ne esistono vari. Nella lista dei prodotti di File Monitoring presente sul sito TrustRadius il primo è AlienVault® Unified Security Management® (USM) di AT&T, seguito da Falcon Endpoint Protection di CrowdStrike e da SolarWinds Security Event Manager (che in effetti è un SIEM, qualcosa di più di un FIM).

In generale questi prodotti si basano su moderne tecniche crittografiche applicate alla gestione della sicurezza dei file e alla loro analisi.

L'ultima obiezione che qualcuno potrebbe fare è la seguente: ma a che serve tutto ciò? Questi FIM sono un'ulteriore complicazione.

Non posso negare che tale obiezione abbia senso ma ciò non toglie che i FIM siano utili. Immaginate cosa potrebbe accadere se i gruppi sanguigni degli ospiti di un ospedale venissero cancellati o, peggio ancora modificati arbitrariamente!

Come sempre grazie agli amici di SICYNT per gli stimoli e la continua discussione.

Alessandro Rugolo

Per approfondire:

- https://www.trustradius.com/file-integrity-monitoring

- https://www.solarwinds.com/resources/it-glossary/file-integrity

- https://www.crowdstrike.com/cybersecurity-101/file-integrity-monitoring/

- https://kinsta.com/blog/file-integrity-monitoring/

- https://www.tripwire.com/state-of-security/file-integrity-monitoring

- https://www.comparitech.com/net-admin/file-integrity-monitoring-tools/ 

- https://sicynt.org/

Cos'è un Web Application Firewall

Un Web Application Firewall, WAF per gli amici, è una applicazione di sicurezza che si occupa di proteggere applicazioni web da attacchi malevoli e da traffico internet indesiderato. Stiamo parlando di dispositivi che hanno già una loro storia.

All'inizio i firewall si occupavano di proteggere le risorse di rete, server, data base, file server, poi con lo sviluppo del web divenne sempre più importante protegere le proprie applicazioni web e ciò determinò, all'inizio del 2000, lo sviluppo dei web application firewall.  

Ma vediamo più in dettaglio cosa fa un WAF.

1. analizza il traffico web in entrata e in uscita per individuare e bloccare eventuali attacchi informatici, come attacchi di injection, cross-site scripting (XSS), SQL injection e altri tipi di minacce;

2. protegge e rileva la presenza di vulnerabilità delle applicazioni web, come errori di programmazione o configurazione che potrebbero essere sfruttati dagli hacker per compromettere la sicurezza dell'applicazione.

3. gestisce e controlla gli accessi degli utenti autorizzati, garantendo che solo coloro che hanno i diritti appropriati possano accedere e interagire con l'applicazione web. In genere è capace di distinguere tra un utente umano ed uno strumento automatico e reagire in maniera adeguata alle azioni dell'avversario.
   

Naturalmente esistono WAF e WAF, ogni prodotto è leggermente diverso dall'altro e può svolgere funzioni aggiuntive. 

C'è da dire che il WAF è uno strumento che deve essere inserito in una più completa struttura di sicurezza in quanto è specializzato per le applicazioni web ma non è adatto per altro.

Oggi esistono WAF che fanno uso dell'Intelligenza Artificiale per svolgere meglio e soprattutto più velocemente le loro funzioni.

Se guardiamo il mercato mondiale, tra i più quotati vi sono le soluzioni di Akamai (USA), Radware (USA), Cloudflare (USA), F5 (USA), Barracuda networks (USA) e naturalmente i grandi marchi quali AWS, Microsoft e Google, diciamo pure che il mercato è praticamente in mano agli USA.

Ma se volessimo trovare un prodotto europeo o, meglio ancora, italiano?

Esistono vari prodotti: potremmo rivolgerci alla francese .OGO o magari alla italiana Pluribus One, si tratta di scelte personali.

Certo è che se si deve gestire la sicurezza di un'azienda che col web ci lavora giornalmente, è opportuno considerare l'aggiunta di un prodotto WAF nel suo portafoglio di sicurezza.

Alessandro Rugolo

Per approfondire:

- https://www.oracle.com/uk/security/cloud-security/what-is-waf/

- https://www.akamai.com/it/glossary/what-is-a-waf

- https://www.checkpoint.com/it/cyber-hub/cloud-security/what-is-web-application-firewall/

- https://www.ogosecurity.com/

- https://seerbox.it/