SICUREZZA INFORMATICA: “LORO NON L'HANNO FATTO MA TU PUOI!”
Con Paul Ducklin e Chester Wisniewski
Musica introduttiva e finale di Edith Mudge.
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Puoi ascoltarci su Soundcloud, Podcast Apple, Google Podcast, Spotify, Stitcher e ovunque si trovino buoni podcast. O semplicemente rilascia il URL del nostro feed RSS nel tuo podcatcher preferito.
LEGGI LA TRASCRIZIONE
ANATRA. Ciao a tutti.
Benvenuti in questo mini-episodio speciale del podcast Naked Security.
Mi chiamo Paul Ducklin e oggi sono affiancato dal mio amico e collega Chester Wisniewski.
Chester, ho pensato che dovremmo dire qualcosa su quella che è diventata la grande storia della settimana... probabilmente sarà la grande storia del mese!
Ti leggerò semplicemente il titolo Ho usato su Naked Security:
"UBER È STATO HACKERATO, si vanta dell'hacker: come evitare che ciò accada a te."
Così!
Raccontaci tutto….
CHET. Bene, posso confermare che le auto stanno ancora viaggiando.
Vengo da te da Vancouver, sono in centro, guardo fuori dalla finestra e in realtà c'è un Uber seduto fuori dalla finestra...
ANATRA. Non è stato lì tutto il giorno?
CHET. No, non è così. [RIDE]
Se premi il pulsante per fermare un'auto all'interno dell'app, stai tranquillo: al momento, sembra che qualcuno verrà effettivamente a darti un passaggio.
Ma non è necessariamente così sicuro, se sei un dipendente di Uber, che farai molto di tutto per i prossimi giorni, considerando l'impatto sui loro sistemi.
A dire il vero, non conosciamo molti dettagli, Duck, di quello che è successo esattamente.
Ma, ad un livello molto alto, il consenso sembra essere che ci sia stata una sorta di ingegneria sociale da parte di un dipendente Uber che ha permesso a qualcuno di prendere piede all'interno della rete Uber.
E sono riusciti a spostarsi lateralmente, come diciamo noi, o a ruotare, una volta entrati per trovare alcune credenziali amministrative che alla fine li hanno portati ad avere le chiavi del regno di Uber.
ANATRA. Quindi questo non sembra un tradizionale furto di dati, uno stato nazionale o un attacco ransomware, vero?
CHET. No.
Questo non vuol dire che anche qualcun altro potrebbe non essere stato nella loro rete utilizzando tecniche simili: non si sa mai veramente.
Infatti, quando il nostro team di risposta rapida risponde agli incidenti, spesso scopriamo che c'è stato più di un attore di minacce all'interno di una rete, perché hanno sfruttato metodi di accesso simili.
ANATRA. Sì... abbiamo anche raccontato di due truffatori di ransomware, sostanzialmente sconosciuti l'uno all'altro, che sono entrati nello stesso momento.
Pertanto, alcuni file sono stati crittografati con ransomware-A-quindi-ransomware-B e altri con ransomware-B-seguito-da-ransomware-A.
È stato un disastro empio...
CHET. Beh, queste sono notizie vecchie, Duck. [RIDE]
Da allora ne abbiamo pubblicato un altro dove *tre* diversi ransomware erano sulla stessa rete.
ANATRA. Oh caro! [GRANDE RISATA] Continuo a ridere di questa cosa, ma è sbagliato. [RIDE]
CHET. Non è raro che siano coinvolti più autori di minacce, perché, come dici tu, se una persona è in grado di scoprire un difetto nel tuo approccio alla difesa della rete, non c'è nulla che suggerisca che altre persone potrebbero non aver scoperto lo stesso difetto.
Ma in questo caso penso che tu abbia ragione, in quanto sembra che sia “per il lulz”, se vuoi.
Voglio dire, la persona che lo ha fatto stava per lo più collezionando trofei che rimbalzavano attraverso la rete – sotto forma di screenshot di tutti questi diversi strumenti, utilità e programmi che erano in uso intorno a Uber – e pubblicandoli pubblicamente, immagino per strada cred.
ANATRA. Ora, in un attacco effettuato da qualcuno che *non* voleva vantarsi, quell'aggressore avrebbe potuto essere uno IAB, un broker di accesso iniziale, no?
In tal caso non avrebbero fatto molto rumore.
Avrebbero raccolto tutte le password e poi sarebbero usciti e avrebbero detto: "Chi vorrebbe comprarle?"
CHET. Sì, è super-super pericoloso!
Per quanto brutto possa sembrare Uber in questo momento, in particolare qualcuno del team PR o di sicurezza interna di Uber, in realtà è il miglior risultato possibile...
…il che è solo che il risultato sarà imbarazzo, probabilmente qualche multa per aver perso informazioni sensibili sui dipendenti, quel genere di cose.
Ma la verità è che per quasi tutti gli altri vittime di questo tipo di attacco, il risultato finale finisce per essere uno o più ransomware, combinati con cryptominer e altri tipi di furto di dati.
Questo è molto, molto più costoso per l’organizzazione che semplicemente sentirsi in imbarazzo.
ANATRA. Quindi questa idea di truffatori che entrano e possono girovagare a piacimento e scegliere dove andare...
… purtroppo non è insolito.
CHET. Sottolinea davvero l’importanza di cercare attivamente i problemi, invece di attendere gli avvisi.
Chiaramente, questa persona è stata in grado di violare la sicurezza di Uber senza attivare alcun avviso inizialmente, il che ha concesso loro il tempo di girovagare.
Ecco perché la caccia alle minacce, come dice la terminologia, è così critica al giorno d'oggi.
Perché più ci si avvicina al minuto zero o al giorno zero in cui è possibile rilevare l'attività sospetta di persone che frugano nelle condivisioni di file e accedono improvvisamente a un intero gruppo di sistemi in serie in fila: questi tipi di attività o molte connessioni RDP volanti in giro per la rete da account che normalmente non sono associati a quell’attività…
…questi tipi di cose sospette possono aiutarti a limitare la quantità di danni che quella persona può causare, limitando la quantità di tempo a disposizione per svelare eventuali altri errori di sicurezza che potresti aver commesso che hanno consentito loro di accedere a quelle credenziali amministrative.
Questa è una cosa con cui molti team stanno davvero lottando: come vedere un abuso di questi strumenti legittimi?
Questa è una vera sfida qui.
Perché, in questo esempio, sembra che un dipendente Uber sia stato indotto con l'inganno a invitare qualcuno, travestito che alla fine gli somigliava.
Ora hai l'account di un dipendente legittimo, uno che ha accidentalmente invitato un criminale nel proprio computer, correndo in giro a fare cose a cui probabilmente il dipendente non è normalmente associato.
Quindi questo deve davvero far parte del tuo monitoraggio e della caccia alle minacce: sapere cosa è veramente normale, per poter rilevare la “normalità anomala”.
Perché non hanno portato con sé strumenti dannosi: utilizzano strumenti già presenti.
Sappiamo che hanno esaminato gli script di PowerShell, quel genere di cose, le cose che probabilmente hai già.
Ciò che è insolito è che questa persona interagisce con quel PowerShell o questa persona che interagisce con quel RDP.
E queste sono cose a cui è molto più difficile prestare attenzione che semplicemente aspettare che un avviso appaia nella tua dashboard.
ANATRA. Allora, Chester, qual è il tuo consiglio per le aziende che non vogliono trovarsi nella posizione di Uber?
Anche se questo attacco ha comprensibilmente ricevuto un'enorme quantità di pubblicità, a causa degli screenshot che circolano, perché sembra essere: "Wow, i truffatori sono arrivati assolutamente ovunque"...
…in effetti, non è una storia unica per quanto riguarda le violazioni dei dati.
CHET. Hai chiesto informazioni sul consiglio: cosa direi a un'organizzazione?
E devo ripensare a un mio buon amico che circa dieci anni fa era CISO di un'importante università degli Stati Uniti.
Gli ho chiesto quale fosse la sua strategia di sicurezza e lui ha detto: "È molto semplice. Presunzione di violazione”.
Presumo di essere stato violato e che nella mia rete siano presenti persone che non voglio nella mia rete.
Quindi devo costruire tutto partendo dal presupposto che qui sia già qualcuno che non dovrebbe esserci e chiedermi: "Ho la protezione attiva anche se la chiamata proviene dall'interno della casa?"
Oggi abbiamo una parola d'ordine per questo: Zero Trust, cosa che la maggior parte di noi è già stanca di dire. [RIDE]
Ma questo è l’approccio: presupposto della violazione; fiducia zero.
Non dovresti avere la libertà di girovagare semplicemente perché indossi un travestimento che sembra essere un dipendente dell'organizzazione.
ANATRA. E questa è davvero la chiave di Zero Trust, non è vero?
Ciò non significa: "Non devi mai fidarti di nessuno per fare qualcosa".
È una specie di metafora per dire "non dare nulla per scontato" e "non autorizzare le persone a fare più di quello che devono fare per il compito da svolgere".
CHET. Precisamente.
Partendo dal presupposto che i tuoi aggressori non traggano la stessa gioia dal rivelare il fatto che sei stato hackerato come è successo in questo caso...
…probabilmente vorrai assicurarti di avere un buon modo per consentire ai membri dello staff di segnalare anomalie quando qualcosa non sembra corretto, per assicurarti che possano avvisare il tuo team di sicurezza.
Perché parlare di violazione dei dati si sofferma sui tempi del ns Playbook dell'avversario attivo, i criminali molto spesso rimangono sulla tua rete per almeno dieci giorni:
Quindi hai una solida settimana da una settimana a dieci giorni, in genere, in cui se hai solo degli occhi d'aquila che individuano le cose, hai davvero buone possibilità di spegnerlo prima che succeda il peggio.
ANATRA. Già, perché se si pensa a come funziona un tipico attacco di phishing, è molto raro che i truffatori riescano a riuscirci al primo tentativo.
E se non ci riescono al primo tentativo, non fanno semplicemente le valigie e se ne vanno.
Provano la persona successiva, e la persona successiva, e la persona successiva.
Se avranno successo solo quando tenteranno l'attacco alla cinquantesima persona, allora se qualcuno dei 50 precedenti l'avesse notato e avesse detto qualcosa, avresti potuto intervenire e risolvere il problema.
CHET. Assolutamente – questo è fondamentale!
E hai parlato di indurre le persone a regalare token 2FA.
Questo è un punto importante: in Uber esisteva l'autenticazione a più fattori, ma la persona sembra essere stata convinta a bypassarla.
E non sappiamo quale fosse quella metodologia, ma la maggior parte dei metodi multifattoriali, sfortunatamente, hanno la capacità di essere aggirati.
Tutti noi abbiamo familiarità con i token basati sul tempo, in cui ottieni sei cifre sullo schermo e ti viene chiesto di inserirle nell'app per autenticarti.
Naturalmente, non c'è nulla che ti impedisca di fornire le sei cifre alla persona sbagliata in modo che possa autenticarsi.
Pertanto, l’autenticazione a due fattori non è una medicina universale che cura tutte le malattie.
Si tratta semplicemente di un rallentamento che rappresenta un altro passo lungo il percorso verso una maggiore sicurezza.
ANATRA. Un truffatore ben determinato che ha il tempo e la pazienza di continuare a provare alla fine potrebbe entrare.
E come dici tu, il tuo obiettivo è ridurre al minimo il tempo a disposizione per massimizzare il ritorno sul fatto che hanno ottenuto in primo luogo...
CHET. E questo monitoraggio deve avvenire costantemente.
Aziende come Uber sono abbastanza grandi da avere un proprio centro operativo di sicurezza aperto 24 ore su 7, XNUMX giorni su XNUMX, per monitorare le cose, anche se non siamo del tutto sicuri di cosa sia successo qui, da quanto tempo questa persona fosse dentro e perché non sia stata fermata
Ma la maggior parte delle organizzazioni non è necessariamente in grado di farlo internamente.
È estremamente pratico avere a disposizione risorse esterne in grado di monitorare (monitorare *continuamente*) questo comportamento dannoso, riducendo ulteriormente il tempo in cui si verifica l'attività dannosa.
Per le persone che magari hanno regolari responsabilità IT e altri lavori da svolgere, può essere piuttosto difficile vedere questi strumenti legittimi utilizzati e individuare un modello particolare in cui vengono utilizzati come qualcosa di dannoso...
ANATRA. La parola d'ordine di cui parli è ciò che conosciamo come MDR, abbreviazione di Rilevamento e risposta gestiti, dove trovi un gruppo di esperti che lo fanno per te o ti aiutano.
E penso che ci siano ancora molte persone là fuori che immaginano: “Se mi vedono fare questo, non sembra che io abbia abrogato la mia responsabilità? Non è un’ammissione che non so assolutamente quello che sto facendo?”
E non lo è, vero?
In effetti, potresti sostenere che in realtà stai facendo le cose in un modo più controllato, perché stai scegliendo le persone che ti aiutano a prenderti cura della tua rete *che fanno questo e solo quello* per vivere.
Ciò significa che il tuo normale team IT, e anche il tuo team di sicurezza... in caso di emergenza, possono effettivamente continuare a fare tutte le altre cose che devono essere fatte comunque, anche se sei sotto attacco.
CHET. Assolutamente.
Immagino che l'ultimo pensiero che ho sia questo...
Non percepire un marchio come Uber vittima di un attacco hacker nel senso che sia impossibile per te difenderti.
I nomi delle grandi aziende sono quasi una grande caccia al trofeo per persone come la persona coinvolta in questo particolare hack.
E solo perché una grande azienda forse non ha la sicurezza che dovrebbe non significa che non puoi!
Ci sono state molte chiacchiere disfattiste tra molte organizzazioni con cui ho parlato dopo alcuni grandi hack precedenti, come Target e Sony, e alcuni di questi hack di cui abbiamo avuto notizia dieci anni fa.
E la gente diceva: "Aaargh... se con tutte le risorse di Target non riescono a difendersi, che speranza c'è per me?"
E non penso affatto che sia vero.
Nella maggior parte di questi casi, sono stati presi di mira perché erano organizzazioni molto grandi e c’era un piccolo buco nel loro approccio attraverso il quale qualcuno è riuscito a entrare.
Ciò non significa che non hai la possibilità di difenderti.
Si trattava di ingegneria sociale, seguita da alcune pratiche discutibili di archiviazione delle password nei file PowerShell.
Queste sono cose a cui puoi facilmente prestare attenzione e su cui istruire i tuoi dipendenti, per assicurarti di non commettere gli stessi errori.
Solo perché Uber non può farlo non significa che tu non possa farlo!
ANATRA. In effetti, penso che sia detto molto bene, Chester.
Ti dispiace se concludo con uno dei miei cliché tradizionali?
(Il problema dei cliché è che generalmente diventano cliché perché sono veri e utili.)
Dopo episodi come questo: “Chi non ricorda la storia è condannato a ripeterla – non essere quella persona!”
Chester, grazie mille per aver dedicato del tempo alla tua fitta agenda, perché so che stasera hai un discorso online da fare.
Quindi, grazie mille per questo.
E concludiamo come al solito dicendo: “Fino alla prossima volta, state al sicuro”.
[MODE MUSICALE]
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Perdita di dati
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- Sicurezza nuda
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Podcast
- Direzione della sicurezza
- VPN
- sicurezza del sito Web
- zefiro
![S3 Ep128: Quindi vuoi essere un criminale informatico? [Audio + testo]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-360x188.png)
