skip to Main Content

Cybersecurity, con le elezioni Usa torna di moda il defacing

di Pierguido Iezzi

La conferma che il defacing è tornato di moda è arrivata con l’hacking del sito della campagna elettorale di Donald Trump

La notizia che il sito della campagna elettorale di Donald Trump è stato hackerato e sostituito da una sorta di proclama politico in cui gli attaccanti annunciavano di essere in possesso di informazioni riservate ha fatto il giro del mondo. Ma dietro le abbastanza ovvie fake news – per usare un termine caro al POTUS –, perché ovviamente nessun segreto di stato sarà mai collegato a quel sito, rimane comunque il fatto che il sito è stato vittima di un attacco di Defacing. Questo avviene quando i Criminal Hacker riescono ad ottenere accesso ad un sito e ne sostituiscono i contenuti con i propri messaggi. Questi possono essere di carattere politico o religioso, oscenità o altri contenuti inappropriati che metterebbero in imbarazzo i gestori del sito web, o anche semplicemente un avviso che il portale è stato violato da uno specifico gruppo del cybercrime.

Che cos’è e come funziona il defacing

La maggior parte dei siti e applicazioni web memorizzano dati in file di configurazione, che influenzano il contenuto visualizzato sul sito web o specificano dove si trovano i modelli e il contenuto della pagina. Modifiche inattese a questi file possono significare una compromissione della sicurezza del sito stesso e possono segnalare un attacco di Defacing. I vettori di attacco più comuni per portare a termine questi attacchi sono:

  • Accesso non autorizzato (tramite credential stuffing)
  • Cross-site scripting (XSS)
  • Vulnerability exploit

Oltre a Trump, Alcuni dei più grandi siti web del mondo sono stati colpiti da attacchi di Defacing. Questo tipo di violazione, oltre all’ovvio danno in termini di Privacy, Sicurezza e Business Continuity, è anche spesso l’indicatore più evidente all’esterno della presenza di una grave compromissione dei nostri sistemi e può generare danni in termini di Brand Reputation di lungo periodo anche dopo che il messaggio dell’aggressore è stato rimosso.

Come difendersi: le basi

Per mettere in sicurezza siti web e Web App, possiamo seguire le best practice di settore già collaudate da tempo.

Principio del privilegio minimo (PoLP)

Limitando l’accesso privilegiato o amministratore ai nostri siti web, riduciamo sensibilmente la possibilità che un utente interno malintenzionato (insider Threat), o un aggressore con un account compromesso (ottenuto attraverso phishing o Credential Stuffing), possa fare danni.

È consigliato evitare di concedere l’accesso amministrativo al nostro sito a persone che non ne hanno realmente bisogno.

Anche per utenti come i webmaster e il personale IT, è consigliato garantire loro solo i privilegi di cui hanno effettivamente bisogno per svolgere il loro ruolo.

Dobbiamo anche prestare attenzione a contractor e ai collaboratori esterni, assicurandoci che non ricevano privilegi eccessivi (oltre a disattivarli nel momento in cui terminano i task).

Addons e Plugin: pochi e fidati

Più plugin o componenti aggiuntivi si utilizzano su piattaforme come WordPress, Drupal di Joomla, più è probabile che si debbano affrontare delle vulnerabilità.

Gli aggressori possono scoprire vulnerabilità zero-day e – anche se è disponibile una patch di sicurezza – gli aggiornamenti non saranno istantanei esponendo così il sito a rischi.

Inutile dire che è necessario mantenere e aggiornare con cura tutti i plugin del sito web e applicare rapidamente gli aggiornamenti di sicurezza.

SSL/TLS

È fortemente consigliato abilitare sempre SSL/TLS su tutte le pagine del nostro sito web ed evitare di collegarsi a risorse HTTP non protette. Quando il protocollo SSL/TLS viene utilizzato in modo coerente sul nostro sito, tutte le comunicazioni con gli utenti sono criptate, evitando molti tipi di attacchi Man in the Middle (MITM) che possono essere utilizzati per il Defacing.

Le misure avanzate

Se le best practice qui elencate possono essere un’infarinatura di ciò che è necessario per difendere il proprio sito/web app dalla maggior parte delle minacce; queste sono quasi inutili se non sono affiancate da regolari attività di security testing e da misure tecniche e tecnologiche in grado di assicurare la massima resillience.

Vulnerability Assessment

Esaminate regolarmente il vostro sito web alla ricerca di vulnerabilità e investite tempo nel rimediare alle criticità scoperte. Questo è uno dei modi migliori per migliorare la sicurezza in generale e ridurre le possibilità di attacchi di Defacing.

Grazie agli strumenti di Web App Scan, il servizio automatizzato di Web Vulnerability Scan, sarà possibile identificare le vulnerabilità, analizzarle e quantificarne i livelli di rischio per indicare le azioni correttive e di riposizionamento necessarie per il ripristino della massima sicurezza del perimetro del sito

Cross Site Scripting (XSS)

Gli attacchi XSS consentono a un aggressore di incorporare script su una pagina web, che vengono eseguiti quando un visitatore carica la pagina e possono portare a Defacing, oltre ad altri attacchi dannosi come il session hijacking o il download drive-by.

La sanificazione degli input può aiutare a prevenire XSS e si dovrebbe fare attenzione a non inserire input utente o dati non attendibili in <script>, <style>, <div>, o tag simili nel codice HTML.

Un web Application firewall (WAF) può anche aiutare a prevenire XSS bloccando la comunicazione con domini esterni sconosciuti o dannosi.

Attività botnet

La maggior parte degli attacchi di Defacing non sono il risultato di un attacco manuale mirato.

I Criminal hacker utilizzano invece i bot per scansionare automaticamente un gran numero di siti Web alla ricerca di vulnerabilità e, quando viene scoperta una vulnerabilità, compromettono automaticamente il sito.

Rilevare una possibile attività di bot diretta contro il nostro sito potrebbe essere cruciale.

È bene, quindi affidarsi ai servizi di Cyber Threat Intelligence, in grado di incrociare dati disponibili a livello OSINT e CLOSINT per comprendere il nostro livello di esposizione al rischio.

Formazione e Awerness training

Per quanto possano essere all’avanguardia le misure di sicurezza tecnologiche messe in campo, non serviranno a nulla se uno degli account amministratore viene violato tramite un attacco di phishing o Spear phishing.La sicurezza passa anche dal fattore umano ed è quindi necessario “coprire” anche quest’area tramite attività di formazione e awerness traing. Come? Attraverso corsi specializzati e servizi di Phishing Attack Simulation e Smishing Attack Simulation; in grado di testare in maniera empirica il livello di allerta e preparazione del personale attraverso veri e propri attacchi simulati.

Non abbassiamo la guardia!

 

Back To Top