Potresti pensare di aver detto “Hasta la vista, baby” a cose obsolete, ma i vecchi zombie dei protocolli standard di Internet perseguitano ancora gli utenti IT del 21° secolo.
Il panorama della sicurezza è in continua evoluzione mentre gli avversari trovano nuove tecniche per attaccare aziende e persone. Di conseguenza, chi difende adatta il proprio gioco per stare un passo avanti rispetto alle menti criminali.
Allo stesso tempo, alcuni protocolli Internet legacy sono ancora in uso. Tre dei peggiori zombie vagano ancora.
I problemi di Telnet
Il report F-Secure Attack Landscape H1 2019 mostra che la più grande percentuale di traffico di attacchi nei primi sei mesi del 2019 – 760 milioni di eventi – è stata rappresentata dagli attacchi contro il protocollo Telnet. Viene utilizzato da dispositivi Internet of Things (IoT) non sicuri.
Telnet è stato sostituito negli anni ’90 da protocolli più sicuri sui server in tutto il settore. La pratica standard rimuove e nasconde porte, protocolli e servizi non necessari per rafforzare i dispositivi. Tuttavia l’IoT sta riportando Telnet con una vendetta. Questo è uno dei motivi per cui l’IoT è stato soprannominato un “incubo di [cyber] security“.
Il protocollo Telnet, sviluppato nel 1969, sta per “network di teletipi” ed è utilizzato da amministratori o altri utenti per accedere ai computer da remoto. La sicurezza non era così importante prima dell’esplosione della larghezza di banda e della connettività degli anni ’90 come lo è oggi. La maggior parte degli utenti di computer collegati in rete si trovava nei dipartimenti informatici delle istituzioni accademiche o presso grandi strutture di ricerca private e governative.
Fennel Aurora, consulente per la sicurezza di F-Secure, afferma che “non esiste alcun motivo valido perché Telenet sia disponibile per l’IoT. È morto da 20 anni. Anche se si trattava di un protocollo sicuro come Secure Shell (SSH), non c’è motivo di avere una porta di accesso remoto aperta su Internet per il frigorifero o la macchina del caffè. ”
“Questa evidente mancanza di rafforzamento di base da parte dei produttori è al di là della negligenza. Continueremo a vedere questo tipo di irresponsabile minaccia per i consumatori da parte dei produttori di IoT fino a quando le leggi sulla protezione dei consumatori per la sicurezza e la privacy dei dispositivi IoT saranno rigorose quanto quelle relative ai giocattoli velenosi e ai rischi di incendio domestici. ”
Le vecchie versioni di SSH non sono ssh
Secure Shell, che è stato progettato in sostituzione di Telnet, è un protocollo crittografico per il funzionamento sicuro dei servizi di rete su una rete non protetta. È un sostituto più sicuro per Telnet. Il padre finlandese di SSH, Tatu Ylönen, un ricercatore presso l’Università di Tecnologia di Helsinki, ha progettato la prima versione (ora chiamata SSH-1) nel 1995. L’ha sviluppata in risposta a un attacco di password sniffing sulla rete della sua istituzione.
Nel 2006 SSH-2 è stato adottato come standard. Sebbene non sia compatibile con la versione precedente, presenta miglioramenti sia della sicurezza che delle funzionalità. Tuttavia, sono state scoperte tre vulnerabilità nelle versioni tra il 1998 e il 2008. Nel 2014, il tedesco Der Spiegel ha pubblicato informazioni classificate trapelate dall’informatore Edward Snowden. Ha suggerito che l’NSA potrebbe decifrare parte del traffico SSH.
Un recente rapporto di Alert Logic, una società di intelligence e difesa sulle minacce, mostra che gli avversari usano le porte 22 (SSH), 80 (traffico web non crittografato) e 443 (traffico web crittografato) per eseguire attacchi alle piccole e medie imprese.
SAMBA: Your business, your baby
Server Message Block (SMB) – a volte chiamato SAMBA – è tutt’altro che una danza gioiosa. È un protocollo di comunicazione di rete che fornisce accesso condiviso a file, stampanti e porte seriali tra nodi in una rete. Computer che eseguono account del sistema operativo Microsoft Windows per la maggior parte dell’utilizzo di questo protocollo.
Il report Attack Landscape H1 2019 della società di sicurezza informatica F-Secure afferma che i loro honeypot hanno registrato 556 milioni di eventi che coinvolgono il traffico verso la porta 445 delle PMI durante il periodo. EternalBlue, un exploit di attacco informatico sviluppato dalla NSA reso pubblico dagli Shadow Brokers e utilizzato come parte dell’attacco ransomware WannaCry nel 2017, è un attacco contro SAMBA.
Due anni dopo WannaCry, gli exploit correlati sono ancora popolari. Ciò è dovuto al gran numero di server ancora senza patch in tutto il mondo.
L’exploit EternalBlue consente agli aggressori remoti di eseguire codice arbitrario sul computer di destinazione poiché il server SMB versione 1 (SMBv1) gestisce in modo errato i pacchetti appositamente predisposti, un’unità di dati che viene instradata tra computer con connessione a Internet. SMB è spesso configurato in modo tale da essere aperto a Internet. Alcune delle versioni precedenti, la prima risalente al 1983, sono piene di molte falle di sicurezza.
“Per la cronaca, il Product Manager per SMBv1 afferma che dovresti soffocarlo nella culla perché è una stronzata da incubo”, twittò SwiftOnSecurity, un autore e professionista di sicurezza dei sistemi e industriale. Il Product Manager Microsoft NerdPyle ha confermato questa affermazione in risposta a quel tweet.
La versione 1.0 di SMB è stata sostituita dalle versioni 2.0, 2.1, 3.0, 3.02. 3.1.1 e introdotto con Windows 10 e Windows Server 2016. La crittografia è stata rafforzata per supportare due standard di crittografia AES a 128 bit, tra gli altri.
Non condanna e tristezza
Ecco alcune altre esplosioni di zombie del passato di Internet, protocolli che dovrebbero essere nascosti da Internet e cattive pratiche di sicurezza che l’IoT sta facendo risorgere:
- FTP
- SFTP
- SCP
- NFSv1/2
- Java RMI
- Rservices
- SNMPv1
- Weak / hard-coded / no passwords
- Not enabling MFA
- Not turning on encryption
- Out-of-date / unpatched software
- Not uninstalling unused software
“Esistono patch, eppure ci sono centinaia di migliaia di macchine che eseguono questi protocolli Internet. ‘Less is more’ quando si tratta di sicurezza. Vogliamo sempre ridurre la superficie di attacco. Connettere milioni di dispositivi casuali aperti non rafforzati a Internet è l’opposto della sicurezza. Esistono vaccini contro tutti questi zombie, dobbiamo solo farli applicare dai produttori”, conclude Fennel.
Dormi bene.
Categorie