Quello di “rischio” è un concetto fondamentale nell'ambito della cybersecurity. Alcuni definiscono il rischio nell'ambito della cybersecurity attraverso la formula A + P + V = rischio. Nella precedente formula la A significa asset, la P significa pericolo e la V significa vulnerabilità.
Asset: Un asset è qualunque cosa possa venir considerato come un dato sensibile e che possa fornire accesso a tali dati. Può trattarsi di informazioni personali, di un dispositivo o di una componente di sistema che si ritiene abbiano un valore.
Pericolo: Il pericolo può essere un hacker malintenzionato, un criminale o qualcuno che si appropria di informazioni dall'interno, ma anche qualcosa di accidentale come un malfunzionamento tecnico o un errore da parte dell'utente che può mettere a repentaglio i dati (asset).
Vulnerabilità: Una vulnerabilità è un difetto che può distruggere, danneggiare o compromettere l'asset. Quando si tratta di software la vulnerabilità è di solito un difetto nel codice di programmazione (un bug) o un difetto nel modo in cui il programma rivela o permette l'accesso ai dati.
La famiglia di norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni” aggiunge l'impatto nella sua definizione. Prendere in considerazione anche l'impatto serve a stabilire la priorità dei rischi. Per esempio un rischio dotato di probabilità alta ma con un bassissimo impatto potrebbe avere un livello di priorità più in basso nella lista dei rischi rispetto a un rischio con probabilità bassa ma un impatto considerevole. Aggiungere l'impatto alla definizione e riscrivere la formula nella forma V x P x I = rischio permette di prendere in considerazione gli aspetti moltiplicativi nella valutazione del rischio.
La famiglia di norme SGSI rappresenta le più comuni norme utilizzate dalle aziende in Europa. Esse formulano le best practice per la gestione della sicurezza delle informazioni, di solito nel contesto di un sistema di gestione della sicurezza dell'informazione (SGSI)
La serie SGSI 9000 definisce una serie di standard per garantire la qualità e per la gestione della qualità e fornisce un quadro di riferimento che molte aziende ambiscono ad implementare.
Se prendiamo ad esempio la vita vera, un asset è qualcosa di valore nelle proprie case come una TV nuova, una vulnerabilità è qualcosa come una porta aperta e un pericolo è un criminale che sfrutta la vulnerabilità, il che ha come risultato il furto della TV, che rappresenta l'impatto.
Un esempio online potrebbe essere l'uso di una password debole (vulnerabilità) per proteggere il proprio account di Facebook (asset) da coloro che vogliono accedervi per effettuare un furto di identità (pericolo). L'impatto in questo caso è la perdita dell'account e delle informazioni che contiene.
In entrambi i casi il rischio sussiste solo perché esistono un asset, una vulnerabilità, un pericolo e un impatto.
È anche bene tenere in conto che una vulnerabilità non è necessariamente un difetto non intenzionale, come una finestra lasciata aperta, ma può trattarsi di una debolezza creata apposta, il che viene chiamato nel gergo dei computer backdoor.
I tipi di vulnerabilità
Ci sono molti tipi di vulnerabilità, i quali comprendono un'ampia gamma di target e metodi. Una vulnerabilità può essere per esempio un sistema di controllo degli accessi implementato male, una gestione insufficiente dell'input o lo sfruttamento di una debolezza nota all'interno di un chip di un computer. Una classificazione generica per questi tipi di vulnerabilità è difficile. Una classificazione possibile viene fornita dalle norme SGSI 27005. Le vulnerabilità vengono classificate in base all'asset.
Hardware
Suscettibilità all'umidità e alla polvere
Suscettibilità a stoccaggio non protetto
Usura nel tempo che causa guasti
Surriscaldamento
Software
Collaudo insufficiente
Codice non sicuro
Mancanza di audit trail
Difetto nella progettazione
Rete
Linee di comunicazione non protette (mancanza di crittografia, cattiva crittografia)
Architettura di rete non sicura
Personale
Processo di assunzione inadeguato
Consapevolezza nell'ambito della sicurezza inadeguata
Minaccia interna
Località fisica
Area soggetta a disastri naturali (come inondazioni o terremoti)
Interruzione delle fonti di energia
Organizzativa
Mancanza di consultazioni (audit) regolari
Mancanza di un piano di continuità operativa
Mancanza di sicurezza
È importante capire che gli umani sono la fonte di un numero sorprendentemente grande di vulnerabilità. I metodi di ingegneria sociale (indurre qualcuno a divulgare delle informazioni) sono a volte il modo più semplice di ottenere accesso ad informazioni confidenziali o segrete. Le vulnerabilità incluse nella classificazione mostrano anche che non tutte le vulnerabilità sono causate da qualcuno che le sfrutta, alcune di esse sono anche naturali. Terremoti, inondazioni e altri disastri naturali possono causare delle perdite di informazione, che possono essere tanto critiche quanto il furto di informazioni confidenziali se non ci sono procedure di backup in atto e funzionanti.
In questo corso tratteremo alcuni tipi di vulnerabilità, ma visto che ci sono così tanti tipi specifici, è inevitabile che ce ne sfuggano alcuni. Per ottenere maggiori informazioni a proposito dei diversi tipi di vulnerabilità si consideri questo esempio.
Backdoor
Secondo la definizione fornita da Microsoft una backdoor è “un'entrata segreta in un sistema informatico che può essere impiegata per aggirare le misure di sicurezza”.
Si può pensare ad una backdoor come ad una finestra aperta in un palazzo altrimenti chiuso a chiave oppure come ad una chiave di scorta nascosta dentro a un vaso. Essa permette di aggirare altri meccanismi impiegati per rendere sicuro un target spesso senza lasciare traccia dell'avvenuto accesso. L'esistenza di una backdoor presuppone che utenti non autorizzati non siano in grado di trovarla.
Alcuni sistemi e servizi hanno utenti pre-impostati e password note. Queste credenziali possono essere lasciate attive per errore, rendendo il sistema vulnerabile a degli attacchi. Non si tratta qui di account amministrativi altamente protetti, nel cui caso le password non sono di dominio comune.
Backdoor hardware
Le backdoor non riguardano necessariamente solo le applicazioni. Possono venir installate sull'hardware come per esempio sulla scheda madre di un computer.
È anche possibile aggirare i fornitori di una tecnologia se l'intera catena di fornitura o supply chain non viene monitorata in modo sufficientemente approfondito. Se un'azienda non controlla l'intera catena di fornitura, qualcuno può inserire una backdoor in un punto debole della catena senza che il produttore se ne accorga. Questo tipo di backdoor vengono chiamate supply chain backdoor. Questo non è solo un problema astratto. L'agenzia di sicurezza nazionale americana è già stata capace di installare una backdoor in questo modo.
Nel “Rapporto Microsoft sulla difesa digitale del Settembre 2020” Microsoft stima che il 7% delle notifiche relative alla sicurezza ricevute abbia a che fare con attacchi alla catena di fornitura.
Gli attacchi alla catena di fornitura non riguardano solo l'hardware. Un metodo potenzialmente ancora più dannoso è quello di penetrare nei servizi di un'azienda e modificare gli update software distribuiti ai loro utenti. Un attacco di questo tipo è stato reso pubblico nel dicembre del 2020 quando SolarWinds (un'azienda specializzata sopratutto nella fornitura di soluzioni per la gestione delle reti) ha subito un attacco ed il loro software è stato modificato in modo da contenere una backdoor che permetteva agli aggressori o a chi sapesse dove cercare di avere accesso a tutte le aziende che avevano installato l'aggiornamento. Secondo quanto ammesso da SolarWinds l'aggiornamento è stato installato da “quasi 18.000” aziende.
Tra le aziende di maggior rilievo e probabilmente il vero target dell'attacco c'erano la maggior parte delle agenzie governative americane e le loro reti. Anche il dipartimento della difesa americano è risultato colpito. Si ritiene che l'attacco sia partito dal gruppo russo APT chiamato Cozy Bear, ma l'attribuzione rimane incerta.
Il problema delle backdoor
Il problema principale connesso con le backdoor è che presuppongono che la loro esistenza sia segreta. A ciò si fa riferimento con l'espressione sicurezza tramite segretezza. Se un aggressore informatico scopre una backdoor, questa può venir utilizzata esattamente come farebbe un utente autorizzato. Attualmente i governi e i servizi segreti fanno pressione alle aziende tech affinché installino delle backdoor nelle loro tecnologie in modo da permettere alle autorità di accedervi nell'ambito di indagini o allo scopo di prevenire attacchi terroristici. Tuttavia se queste backdoor venissero installate, verrebbero molto probabilmente scoperte anche da persone non autorizzare e creerebbero un enorme rischio per la privacy.
Cosa si può fare a proposito delle backdoor?
Proteggersi dall'esistenza di una backdoor è molto difficile se non si sa nemmeno se ce ne sia o meno una. Ci si può però assicurare che le credenziali di fabbrica su dispositivi come i router Wi-Fi vengano cambiate. È buona norma anche disattivare gli account ospiti che alcuni sistemi operativi permettono.
Modellazione delle minacce: come elaborare i rischi
I professionisti della sicurezza impiegano svariati metodi di valutazione del rischio per definire e valutare il potenziale di un rischio e l'entità dell'impatto in caso un rischio si manifesti. Nell'ambito della cybersecurity si fa spesso riferimento alla modellazione delle minacce. Si tratta della pratica volta ad identificare e stabilire la priorità di potenziali minacce e di potenziali misure di mitigazione per proteggere un elemento di valore, ovvero un asset come ad esempio dei dati confidenziali o una proprietà intellettuale.
Una cornice spesso impiegata nell'elaborazione di modelli di minaccia è lo strumento sviluppato da Microsoft con il nome STRIDE. L'acronimo STRIDE sta per le parole:
Spoofing (falsificazione dell'identità) – fare finta di essere qualcos'altro o qualcun altro
Tampering (manomissione) – modificare dati o codice
Repudiation (ripudio) – dichiarare di non aver compiuto un'azione
Information disclosure (fuga di informazioni) – rivelare informazioni a qualcuno che non è autorizzato a riceverle
Denial of service (rifiuto del servizio) – rifiutare o ridurre la disponibilità di un servizio per gli utenti
Elevation of privilege (sorpasso delle autorizzazioni) – acquisire funzionalità senza una legittima autorizzazione
Questi sono tutte minacce possibili incluse nei modelli presi in considerazione riguardo ai possibili vettori di attacchi. I vettori di attacchi sono i diversi processi identificati di un sistema, le unità di stoccaggio dei dati, le interfacce e i confini di fiducia. STRIDE fa parte della modellazione delle minacce del Secure Development Lifecycle (Ciclo di sviluppo sicuro) di Microsoft. Ulteriori informazioni a proposito di STRIDE.
Sign up to solve exercises
Dopo aver completato il capitolo 1 si dovrebbe esser capaci di:
spiegare i fondamenti della cybersecurity incluso il significato della parola e perché è importante
spiegare cos'è un hacker
capire cosa significa “rischio” nell'ambito della cybersecurity
