VoIP and Hacking

Intendo semplicemente segnalare un interessante riflessione di Dino Dai Zovi, titolata “One Exploit Should Not Ruin Your Day“, e che mi permetto di sintetizzare, fatta in riferimento alla “Operazione Aurora”, e a cosa si dovrebbe apprendere da tale esperienza.

Innanzitutto, che il fronte delle minaccie informatiche non è affatto cambiato, ma solo la loro percezione.
Fatti come quelli recenti si sono verificati per anni in vari settori, e non costituisce certo una novità l’utilizzo di un exploit 0day client-side, e con un social engineering mirato come vettore iniziale di accesso.
Quello che effettivamente costituisce una novità è il fatto che un ampio numero di grandi aziende abbia volontariamente reso pubblico il fatto di essere state vittime di un attacco mirato.
Durante tutto il decennio scorso, l’industria della information security ha sviluppato prodotti e soluzioni progettati per fermare casuali attaccanti opportunistici oppure attacchi su vasta scala, tipo ddos. Ovviamente, tali prodotti e soluzioni sono assolutamente inefficaci nel proteggerci da un attacco portato nello stile di Aurora.
Non è affatto saggio permettere agli stessi produttori di rifarsi sotto e propinarci sostanzialmente gli stessi prodotti come una soluzione alle “nuove minacce”.
Il grosso guaio è che è stato sufficiente un exploit per compromettere la sicurezza delle aziende (in questione). Un exploit non dovrebbe rovinarci la giornata (”One exploit should never ruin your day”).  Non è questo il motivo per cui abbiamo allestito DMZ con tanto di firewalls davanti e dietro?
Il punto è che non è affatto necessario un exploit server-side per effettuare una intrusione. Grazie alle odierne applicazioni Internet client, ora basta un exploit client-side.
Per questo motivo, le workstations che ricevono e-mail e messaggistica, visitano siti a caso, e scaricano/installano qualsiasi software da Internet,  probabilmente non dovrebbero risiedere sulla stessa rete del sistema di intercettazione legale (si riferisce ai sistemi previsti dalla legilazione statunitense).
Prendetevi il tempo di esaminare quali misure per mitigare il rischio di exploit come DEP (Data Execution Prevention) ed ASLR (Address Space Layout Randomization) sono abilitate nel vostro browser web, in base al vostro sistema operativo, browser release, e web-plugins.
Sfruttate l’occasione per piazzare le workstations degli utenti Internet-enabled in subnets simil-DMZ, dove monitorare strettamente il traffico sia inbound che outbound.
Date a chiunque un accesso ad una rete Wi-Fi collegata ad Internet, ma separata da quella aziendale. Impiegati, clienti e fornitori potrebbero accedervi coi loro portatili, smart-phones, palmari ecc. L’ idea alla base è di tenere i devices mobili (e specialmente quelli non gestibili) fuori dalla rete interna.
Iniziate a implementare qualche segmentazione nella rete interna.

Send post as PDF to