Ma occorre essere concreti, e così ho deciso di scrivere un numero dedicato al minimo di igiene che occorre implementare per la mail in caso di guerra, o operazione militare speciale.
Non mi interessa da che parte state, le valutazioni qui espresse sono generali, la sicurezza informatica ha le sue ragioni che sono indipendenti da fedi, credi o appartenenze. Spero quindi che leggiate queste note per quello che sono, semplicemente alcuni consigli per gestire con maggiore sicurezza il media di comunicazione più diffuso ed usato.
Un minimo di contesto.
Mentre nei media mainstream per lungo tempo si è sollevata la leggenda dell’hacker solitario, con cappuccio, merendine, e schermo verde, il mondo reale è abbastanza diverso.
La realtà che muove la sicurezza informatica è molto più complessa, l’hacker solitario è una immagine romanzata e poco credibile. Questo, intendiamoci, non vuol dire che non possano esserci individui particolarmente dotati che lavorano in maniera solitaria, ma che la maggior parte del contesto in cui si muovono i rischi informatici è molto più legato a gruppi organizzati che a tali soggetti.
Soprattutto in termini di cybercrime e cyberwarfare la presenza di gruppi organizzati è una nozione consolidata tra chi si occupa di questi ambiti.
Le considerazioni che seguiranno fanno riferimento principalmente alla mail, ma per larga parte sono estendibili ad altri ambiti.
Il motivo di questa edizione speciale è, di per sé, evidente: siamo, al di là delle sottigliezze linguistiche, di fronte ad uno stato di guerra e questo comporta una escalation di alcune dinamiche che vanno considerate e gestite.
Rischiamo qualcosa?
Allora cerchiamo di fare un poco di chiarezza:
La posta è ancora il primo vettore di comunicazione in campo entreprise, ed uno dei vettori più diffusi a livello personale. è anche uno degli obiettivi spesso usati per sviluppare attacchi sia in ambito aziendale che personale.
Le motivazioni sono diverse, ma al lato tecnico si sovrappone il lato umano. Le email sono lette da esseri umani e quindi la vulnerabilità umana è uno dei bersagli di attacco.
Se lo sfruttamento di tali vulnerabilità in campo criminale assolve a funzioni prettamente di guadagno economico, in tempo di guerra si aggiungono problematiche legate alla disinformazione, spionaggio e anche cyber-warfare.
In particolare va osservato come la commistione tra attività di cyber warfare e criminali portate avanti da alcuni attori possa spostare, a parità di tecnologia usata, obiettivi e quindi danni. Se un obiettivo economico, tipico del cybercrime, è legato all’acquisizione di soldi ma non alla distruzione della vittima (anzi meglio se si può tornare a batter cassa), uno di warfare può essere invece orientato all’annullamento delle capacità operative del bersaglio.
Tutto questo non è compatibile con la favoletta dell’Hacker, ma è compatibile con una realtà molto più complessa.
Anche limitandosi alle notizie apparse recentemente la cosa dovrebbe oramai essere entrata nella comprensione dei più. Qualcuno avrà sentito delle affermazioni del gruppo di cyber-criminali “conti” che ha dichiarato la sua adesione alle azioni russe, mentre il collettivo “anonymous” si è schierato a favore della resistenza in Ucraina.
Ora “conti” è una organizzazione che è dedita da anni ad attività di criminalità informatica (principalmente attacchi ransomware) di cui si sapeva ci fossero legami con l’intelligence Russa, ma fin ad ora non c’era stata una dichiarazione esplicita in tal senso da parte di “conti”.
“Anonymous” invece è un collettivo di “Hacktivisti” che ha avuto momenti di notorietà nei mainstream anche le attività solte in occidente. All’interno della galassia “Anonymous”, decentrata e non organizzata in termini assoluti, è nota da tempo anche la presenza di gruppi con legami al mondo occidentale, sia stati che organizzazioni “private”.
La realtà è che la commistione tra gruppi di hacktivism, spesso dediti al defacing, ddos e data exfiltration, cybercriminali, principalmente dediti ad attività di criminalità informatica tipo gli attacchi ransomware, e gruppi dediti al cyber warfare orientati spesso a spionaggio o danneggiamento delle infrastrutture (stuxnet ricorda qualcosa?) è nota da anni, non è certo una novità delle ultime 2 settimane. Addirittura per alcuni stati, come la corea del nord, tale commistione funge anche come meccanismo di approvvigionamento di valuta per finanziare strutture interne.
la situazione è quindi simile a quella descritta nell’immagine sottostante.
Insomma dalla narrazione del singolo hacker alla realtà corre una certa differenza. diciamo che una definizione delle attività correnti sarebbe più correttamente quella descritta sotto:
che rappresenta in maniera più fedele quello che accade negli ultimi anni.
La posta ai tempi della guerra.
Ma come ci aiutano queste informazioni nel gestire la posta?
Andiamo per gradi, cosi ci capiamo.
Il mondo descritto sopra è così da qualche anno, quindi, per quando sia difficile da credere, le cose da implementare non variano molto da una situazione di guerra ad una di pace per la posta. Quello che cambia, principalmente, è la esposizione al rischio che aumenta dal lato cyber warfare. questo significa che a fronte, come si era detto prima, di attacchi che usano tecnologie analoghe a quelle di tempo di pace, l’obiettivo potrebbe diventare non quello economico ma quello di fermare o distruggere le capacità operative della vittima.
Ovviamente non tutti hanno gli stessi rischi, ci sono obiettivi più esposti ed alcuni meno esposti. Ma considerando che le tecniche in uso sono analoghe a quelle normalmente usate alcune osservazioni vanno fatte.
Social Engineering
Dal phishing alla BEC c’è da aspettarsi che il numero di attacchi sia crescente, e che i temi relativi alla guerra, ai profughi, alle conseguenze economiche della crisi corrente, ed anche alle polemiche politiche sarà in rialzo.
Le aziende che hanno attività nei teatri di scontro potrebbero vedere anche un aumento della pressione di attacchi sulla supply chain.
Una differenza rispetto le operazioni normali, è che la commistione tra cybercrime e cyber-warfare potrebbe spingere l’attaccante a utilizzare la vittima come testa di ponte per effettuare l’attacco verso una terza parte.
Per quello che riguarda le infrastrutture critiche, ricordo che stiamo parlando ancora della posta elettronica, ci potrebbe essere invece lo sviluppo di un attacco lasciato quiescente. Questi target sono spesso obiettivo degli attori di cyber-warfare, il cui modus operandi è spesso esteso su tempistiche diverse rispetto alle attività di cybercrime.
Account Takeover
Essendo la posta un meccanismo che si basa, alla ricezione, principalmente sulla fiducia di riconoscimento del ricevente nei confronti del mittente, le attività di account takeover sono estremamente efficienti perché permettono di aumentare il livello di fiducia sui contenuti perché provenienti da una fonte “credibile”.
Ricevere un messaggio da un mittente noto è infatti un meccanismo molto facile per creare un vincolo di fiducia.
Malware ed altre schifezze
Ebbene sì, il malware continua ad arrivare e ad essere utilizzato. Niente di nuovo sotto il sole, ma il rischio di un aumento anche da questo punto di vista è realistico. Il malware può essere deliverato in diversi modi:
- tramite attachment
- tramite file associato ad una URL
- tramite codice malevolo su una landing page
- …
e via dicendo.
Occorre quindi avere un poco di attenzione.
Cosa fare?
In realtà siamo in un clima di Business As Usual con un livello di rischio più alto. Il che significa che le cose che si sarebbe dovuto fare in tempi normali, adesso diventa ancora più impellente implementarle in maniera corretta.
vediamo di dare qualche indicazione:
- occorre avere un sistema di protezione della posta avanzato, che sia in grado di offrire analisi su social engineering (esempio phishing, BEC) , malware, e che offra capacità di sandboxing contro il malware
- antivirus aggiornato
- malware detection in modalità aggressiva
- Protezione su URL attiva sia in modalità preventiva ma anche e soprattutto “at click time” per contenuti compromessi post delivery
- meglio avere accesso a sistemi di Threat intelligence per monitorare, almeno, che tipo di threat actor sta attaccandovi.
- approccio cautelativo sulla gestione dei file
- Non far passare gli eseguibili MAI
- fare scansione di tutto, limitare le eccezioni al minimo indispensabile
- nel dubbio metti in quarantena
- quello che non si può scansionare (file criptati, zip con password, file danneggiati) non va consegnato direttamente all’utente ma esploso in maniera protetta
- Usate un approccio restrittivo sui protocolli di email authentication:
- Onorate le policy DMARC “reject” e “quarantine”
- Quarantenare gli SPF hard fail
- Quarantenare errori DKIM
- Marcate le email provenienti dall’esterno in maniera che siano riconoscibili
- aggiungete una nota ad inizio email (nessuno legge fino alla fine) che evidenzi le email provenienti dall’esterno
- se non si possono creare note almeno cambiate il subject\oggetto
- Verificate se serva una regola Anti-spoofing per bloccare almeno per i domini di cui siete sicuri non vengano generate email al di fuori dei vostri mailserver
- Vietate lo scambio di posta per lavoro da parte di domini di email pubbliche (ex gmail, libero) a meno che non sia strettamente necessario
- Verificate su canali di comunicazione alternativi (una telefonata vi salva la vita) tutte le richieste “inusuali” tipo cambio IBAN, solleciti pagamenti, comunicazione credenziali
- Utilizzate sistemi di remediation automatica, nessun sistema è perfetto, non considerare la remediation vuol dire non ragionare in termini di sicurezza.
- Formate gli utenti ed alzate il loro livello di attenzione.
- Limitate al massimo le safelist, riducendole in numero e in termini di utenti cui le applicate. Se possibile non fate safelist che coinvolgono tutti gli utenti, leggetevi “the email files” sul safelisting
Insomma diciamocelo, non sono regole fuori dal mondo. A parte il riferimento alla threat intelligence il resto dovrebbe essere BAU (non nel senso del cane ma di Business as Usual).
Niente panico ma un minimo di norme di sopravvivenza, che in realtà funzionano anche in tempo di pace.
Buona serata
Antonio