Siamo arrivati alla terza puntata di Cybersecurity (in)Sanità e come promesso vorrei approfondire la tematica dei vettori di attacco e come sia possibile, e molto spesso facile, effettuare attacchi laterali.
LATERAL MOVEMENT
I movimenti laterali sono una particolare tecnica di attacco in cui l’attaccante, una volta avuto accesso al sistema che ha compromesso, inizia a spostarsi, in maniera progressiva nel resto dell’infrastruttura del target alla ricerca di possibilità di effettuare LPE (escalation) o per accedere a dati che posso avere un valore.
Non esiste una metodologia esatta per effettuare momenti laterali ma probabilmente, a secondo del contesto, verranno usati tecniche di analisi del traffico di rete, attacchi per riuscire ad effettuare escalation e sfruttamento di protocolli deboli e insicuri.
AUDITING
Riconoscere un attacco laterale non è banale e spesso richiede attenzioni che non tutti hanno.
Vi ricordate la teoria del feudo di cui parlavo nella scorsa puntata? Molte aziende, comprese quelle sanitarie, continuano ad implementare un modello del genere per la propria cybersecurity.
DUMPING
Mi viene in mente quello che è successo alla più importante organizzazione Italiana di volontariato e di assistenza sanitaria dove gli attaccanti sono riusciti, facilmente, a muoversi all’interno della rete dell’organizzazione in quanto, buona parte dei sistemi, utilizzava la stessa password di accesso, sia per gli account locali che quelli presenti in AD.
S come Smart o come Stupid?
Mentre ci sono aziende che ogni giorno, in maniera fattiva, provano a irrobustire, dal punto di vista della cybersecurity, la propria infrastruttura tecnologica, ad essere compliant con il GDPR e sono attente alla formazione del proprio personale, ce ne sono altre che adottano inutili scorciatoie, che non rappresentano, a mio avviso, una strada migliore e smart ma un modo per farsi attaccare più facilmente.
Un caso concreto
Un esempio lampante può essere rappresentato da quello che ho notato, un paio di settimane fa, in una importante catena Italiana di elettrodomestici.
All’interno del negozio, in cui mi sono recato, erano presenti alcuni pc usufruibili dagli addetti del reparto per verificare giacenze, emettere ordini e controllare stati di avanzamento dei prodotti acquistati.
Ogni pc era accessibile a chiunque, pubblico compreso. ma per l’utilizzo il pc richiedeva un logon con credenziali.
La falla di sicurezza inizia proprio ora.
Qualcuno dell’azienda, non solo ha fatto coincidere lo username con la password, non solo lo username è il nome dell’aziende più un numero di una cifra (p.es. nomeazienda2/nomeazienda2), ma ha pensato bene di stampare e attaccare alla base del monitor, un barcode che riportava la password in modo da non doverla scrivere ogni volta.
In altre parole, per accedere al pc, bastava prendere il lettore di barcode, presente nella postazione, e sparare l’etichetta attaccata al monitor.
Se per qualcuno questa soluzione può rappresentare un modo veloce e smart per accedere al pc, per altri rappresenta un grave breach della cybersecurity aziendale.
Non mi è dato sapere se questa sia una policy aziendale o solo una scelta di quel determinato negozio, ma dimostra una scarsa cultura della sicurezza informatica e un mancato controllo da parte dell’azienda, che dovrebbe, continuamente, verificare e rimediare a situazioni del genere.
CONCLUSIONI
Ricordatevi che la cybersecurity di una azienda si misura valutando l’anello più debole, quindi è inutile vantarsi di avere un firewall di ultima generazione con ids,ips e analisi a layer 7 quando poi le credenziali degli utenti sono del tipo Utente/utente.
Anche dal punto di vista giuridico, scelte del genere, potrebbero ritorcersi contro l’azienda.
Continuate a seguirmi per accrescere la vostra awareness …