Stiamo parlando di Uber, il colosso della mobilità condivisa a basso costo. Che spende milioni di dollari in cyber sicurezza. Eppure Uber è stata "bucata" qualche giorno fa:
"sembra che abbiano compromesso molte cose” e "da quello che sembra, si tratta di una compromissione totale" ha dichiarato Sam Curry, un ingegnere informatico tra i primi a comunicare con l'attaccante. L'attaccante infatti ha dimostrato di aver fatto irruzione, con accesso completo, anche negli ambienti cloud aziendali ospitati su Amazon e Google, dove Uber archivia sia dati che codice sorgente. Non solo: l'attaccante ha fornito anche prove che confermano che ha avuto accesso alla rete Slack interna della società.
Uber è stata costretta a disattivare i sistemi di comunicazione e di ingegneria interni, per analizzare l'incidente e minimizzare i rischi. Certo è che il data breach è avvenuto, come confermato dalla società stessa su Twitter.
La società ha anche diramato un comunicato ufficiale, consultabile integralmente quiWe are currently responding to a cybersecurity incident. We are in touch with law enforcement and will post additional updates here as they become available.
— Uber Comms (@Uber_Comms) September 16, 2022
Come un 18enne ha violato la sicurezza informatica di un colosso
Ora, questo hack si fa interessante perché si è scoperto che l'attacco è stato condotto da un 18enne che, tra le altre cose, non ha usato ne malware ne strumenti di penetrazione nelle reti. Come ricostruito dal New York Times, l'attaccante, molto semplicemente, si è finto un professionista IT aziendale ed ha convinto un dipendente a fornirgli le password di accesso ai suoi account nella rete interna, compreso l'account Slack. Tramite questo account ha quindi inviato un avviso che parlava proprio di violazione dei dati e allegava, a riprova, una schermata dove era visibile l'elenco completo dei database compromessi. Un classico caso di ingegneria sociale, quel tipo di attacco informatico in cui non si fa leva su vulnerabilità dei sistemi hardware o software, ma direttamente sugli esseri umani.
Una volta avuto accesso all'account del dipendente, il 18enne è riuscito a mettere le mani su altre credenziali, comprese alcune altamente privilegiate rintracciate in una cartella nelle condivisioni di rete. Da qui è entrato
- nei sistemi di produzione,
- nella console EDR,
- nel domain control Windows;
- in uber.slack;
- in Amazon Web Services;
- nelle macchine virtuali VMware ESXi,
- nel pannello di gestione degli account email di Google Workspace;
- in G Suite, OneLogin, Duo ecc...
L'ingegneria sociale fa paura: non c'è sistema di cybersecurity che tenga
Uber è una società che spende, annualmente, milioni di dollari in cybersecurity. Eppure un 18enne, senza malware o complessi exploit, è dilagato ovunque dopo aver ottenuto una coppia di credenziali username + password per accedere alla rete interna.
L'attacco a Uber ha ovviamente fatto molto clamore e riacceso i riflettori su una delle principali minacce alla sicurezza informatica, ovvero l'ingegneria sociale. L'ingegneria sociale, ovvero la tecnica di fingersi qualcun altro e convincere la vittima a fornire credenziali e dati sensibili, non è una tecnica di attacco nuova. E' particolare, indubbiamente, perché è l'unica tecnica di attacco informatico che non fa leva su hardware e software ma sugli umani. Ma non è una novità.
La pandemia però ha cambiato il contesto. Il ricorso massivo allo smart working ha portato frettolosi cambiamenti dei quali, forse, non siamo, ancora, neppure del tutto consapevoli. Ad esempio il supporto IT si è spostato sempre più su canali digitali: più che chiamare fisicamente il referente IT, nelle grandi aziende (e non solo) è sempre più comune che il supporto passi da piattaforme di messaggistica, da Zoom, da Google Meet e simili. Ne consegue che sia divenuto normale, per molti dipendenti, ricevere via email o altri canali comunicazioni provenienti dal team IT, dalla dirigenza aziendale ecc.. Più queste prassi si diffondono, più è facile per un attaccante fingersi qualcuno (magari raccogliendo online e sui social informazioni sulla persona da impersonificare, così da risultare molto credibile) e trarre in inganno altre persone.
Per approfondire > Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende
Ed è esattamente quanto successo a Uber, il cui dipendente semplicemente si è convinto che il referente IT avesse bisogno delle sue credenziali di accesso alla rete aziendale per risolvere un problema di sicurezza. E qui non c'è antivirus, firewall, VPN che tenga.
Contro l'ingegneria sociale, due strumenti: formazione e approccio zero-trust
Da questa vicenda ci sono alcuni insegnamenti da trarre. Prima di tutto che si possono spendere milioni in sistemi di sicurezza, ma se i dipendenti non vengono adeguatamente formati a riconoscere rischi e pericoli del web, se non sono consapevoli e non ricevono policy di sicurezza da seguire è assai probabile che, prima o poi, finiranno bersaglio di qualche scafato cyber attaccante. Il messaggio principale è e deve essere "non fidarti mai di nulla e di nessuno".
E poi c'è il modello zero-trust. Il principio dello Zero Trust è piuttosto semplice: meno informazioni, meno privilegi. Non è questione di sfiducia verso i dipendenti o collaboratori aziendali, è una necessità conseguente al dover essere pronti a tutto in caso di attacco. E' un modello, questo, che porta un ribaltamento della concezione classica: non si cerca più di creare una rete affidabile, al contrario si elimina completamente il concetto di fiducia. Ognuno cioè dovrebbe disporre solo ed esclusivamente delle autorizzazioni e privilegi necessari per accedere, tra tutte, solo alle risorse aziendali che gli sono necessarie per lo svolgimento delle proprie mansioni. Tenendo a mente un punto centrale: ormai non c'è più alcuna distinzione tra il dentro e il fuori l'azienda: il perimetro aziendale da difendere non è più costretto entro le quattro pareti della sede, ma si estende fino a ricomprendere dipendenti, collaboratori e persino fornitori (gli attacchi supply chain sono ormai un concretissimo pericolo) che accedono da remoto alle risorse aziendali.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Nessun commento:
Posta un commento