XDR non è un talismano magico
Una cosa che mi fa venire letteralmente l’orticaria è sentire qualcuno dire:
“Io mi sento al sicuro, uso un XDR”
Chiamatelo XDR, EDR o, per semplificare, antivirus — anche se non sono esattamente la stessa cosa — ma reputarsi inattaccabili solo perché si utilizza uno strumento del genere è, per me, pura follia.
Nel mondo della CyberSecurity, ormai, regna un tripudio di elogio dell’ignoranza (nel senso letterale: “ignorare” la realtà delle minacce), ma l’ignoranza porta a sottovalutare i possibili rischi e a credere che un semplice prodotto di CyberSecurity possa diventare un oracolo (inteso secondo la visione di Socrate in cui è l’essere più sapiente). Infine, gli errori non si ammettono ma diventano un segno di riconoscimento e di unicità.
Un po’ come la recente vicenda delle maglie del Napoli Calcio dove la scritta errata “Autenthic”, presente sulle nuove casacche, è stata giustificata come “maglie più umane e uniche”. Una toppa poetica, ma pur sempre una toppa.
E così può capitare che, proprio su un sistema che reputi sicuro perché hai appena eseguito la scansione con l’ultima versione del miglior antivirus del mondo, si nasconda — tra i moduli PAM — un piccolo malware ben mimetizzato, pronto a garantire accesso SSH indisturbato a un attaccante, senza lasciare tracce evidenti.
La CyberSecurity non è un software, è un processo
Molti vedono l’XDR come la versione digitale della Madonna sul cruscotto: se c’è, allora “non può succedermi nulla”, ma la CyberSecurity non funziona così.
Gli attaccanti moderni non entrano bussando alla porta principale con un malware da manuale che tutti i motori antivirus conoscono. No!!! Si infilano attraverso vulnerabilità non ancora note (zero-day), si camuffano usando strumenti già presenti nel sistema (living-off-the-land), o sfruttano configurazioni sbagliate che nessun antivirus/firewall segnalerà mai.
Plague è un esempio perfetto di persistence stealth:
- codice malevolo nascosto nei moduli PAM, invisibile alle scansioni tradizionali.
- nessun file sospetto in /tmp o /var.
- accesso SSH silenzioso, senza generare alert.
- log alterati e puliti in tempo reale per non lasciare tracce.
Queste tecniche non sono fantascienza, sono le stesse che compaiono in molti APT (Advanced Persistent Threats), usate tanto da criminali comuni quanto da gruppi sponsorizzati.
Ecco perché, se l’unico strumento di difesa è un XDR allora si sta giocando a guardia e ladri… ma con la benda sugli occhi.
Plague
Non potevo non parlare di Plague, che per oltre un anno ha abitato chissà quanti sistemi senza mai essere individuato.
Si tratta di una backdoor mascherata da modulo PAM, in grado di consentire accesso SSH a chiunque conosca la “chiave segreta”, senza passare da credenziali ufficiali.
Ad oggi, nessun sistema di CyberSecurity lo rileva e non esistono signature pubbliche.
Plague si integra profondamente nello stack di autenticazione, sopravvive agli aggiornamenti di sistema e non lascia quasi tracce forensi. Impiega tecniche avanzate di offuscamento, antidebug e rilevamento dell’ambiente (sandbox detection) per evitare analisi.
Il vero pericolo? La capacità di persistere per lunghi periodi senza destare sospetti, dimostrando che senza analisi approfondite e competenze elevate è quasi impossibile individuarlo e rimuoverlo.
In modo goliardico, i suoi autori — con un chiaro riferimento al film Hackers (1995) — hanno inserito, come messaggio MOTD dopo il pam_authenticate, la frase:
“Uh. Mr. The Plague, sir? I think we have a hacker”
La CyberSecurity è una professione, non un pulsante ON/OFF
Per ridurre, davvero, i rischi, la strategia non è comprare un prodotto e dormire sogni tranquilli. Serve una combinazione di processi, monitoraggio continuo e persone competenti.
Tutto questo costa tempo e fatica.
Ecco qualche esempio concreto:
- Aggiornamenti continui.
- Logging e analisi real-time.
- Segmentazione e minimo privilegio.
- Test periodici (Red Team).
La realtà è semplice: il marketing può vendere la “CyberSecurity Totale” in un software, ma la CyberSecurity totale non esiste. Esiste solo una rincorsa continua tra chi attacca e chi difende. E chi si ferma… perde.
Puoi anche comprare un XDR / Firewall / Qualunque_oggetto_di_CyberSecurity da mille e una notte, ma se la tua strategia finisce lì… stai solo regalando all’attaccante un avversario prevedibile.
Se il modello di CyberSecurity adottato è “installa e dimentica” allora si è già compromessi.
La strada corretta per difendersi, a parer mio, è applicare, continuamente, metodologie di Threat Hunting. Forse solo in questo modo si può arrivare all’Oracolo…
