VULNERABILITÀ IN GRADO DI COMPROMETTERE UN SITO WEB

Transcript

1 VULNERABILITÀ IN GRADO DI COMPROMETTERE UN SITO WEB SAPERE È POTERE - GUIDA SYMANTEC ALLA PROTEZIONE DEL SITO WEB

2 SOMMARIO 3 Un falso senso di sicurezza può costare caro 4 Cosa si può fare? 5 Come una vulnerabilità può danneggiare un sito 6 La battaglia è più aspra di quanto si creda 7 È inutile tentare di nascondersi dietro le dimensioni dell azienda 8 Sapere è potere, anche per i clienti dell azienda 9 pag. 2

3 Vulnerabilità in grado di compromettere un sito Web Nel 2012 Symantec ha eseguito oltre scansioni di siti Web ogni giorno, rilevando la presenza di vulnerabilità prive di patch, e potenzialmente violabili, in oltre la metà di questi. Dei siti vulnerabili, un quarto è risultato infetto da malware, in grado a sua volta di infettare visitatori e di causare il blacklisting dei rispettivi siti da parte dei motori di ricerca. Questi dati mostrano che milioni di siti Web legittimi sono esposti quotidianamente al rischio di seri attacchi e di violazioni da parte dei criminali informatici. E tuttavia, un terzo delle aziende interpellate da Symantec nel corso dell indagine Il vuoto di conoscenza sulla vulnerabilità ha affermato di ritenere i propri siti Web molto sicuri pur non avendo effettuato alcuna analisi alla ricerca di vulnerabilità o infezioni. 1 Chi potrebbe considerare il proprio denaro al sicuro se la propria banca diffondesse accidentalmente i dettagli della metà dei conti che ospita? Il problema sta nel fatto che molte aziende semplicemente non si rendono conto dei rischi che il proprio sito Web può attrarre verso il business aziendale, né di quanto possano essere vulnerabili i propri siti quando non protetti da un adeguato livello di sicurezza e di monitoraggio. Perché le vulnerabilità sono importanti Cosa induce i criminali informatici ad attaccare i siti Web? Il fatto che quelli sono i luoghi in cui vengono generate e scambiate le risorse economiche. Nel 2002 le vendite di e-commerce hanno totalizzato 76 miliardi di euro. Dieci anni dopo tale cifra è salita a 175,5 miliardi. Nel corso del 2013, 2,7 miliardi di persone stanno utilizzando Internet: quasi la metà della popolazione del globo. 2 La compromissione dei siti Web offre ai criminali informatici accesso ai visitatori, ai loro dati e al loro denaro. Il primo vuoto di conoscenza va risolto comprendendo i motivi per i quali il proprio business e il relativo sito Web risultano così attraenti per i criminali informatici. Se la comprensione delle vulnerabilità derivanti dalla tecnologia e dai processi è importante, per potersi proteggere lo è altrettanto comprendere i rischi correlati a tali vulnerabilità e alle probabilità che possano essere sfruttate. L ignoranza è oro per i criminali Ciò che rende i siti Web una preda così ghiotta per i malintenzionati non è solamente ciò che possono ottenere da essi, ma anche la facilità con cui ottenerlo. I siti Web e i server che li alimentano presentano numerose vulnerabilità congenite delle quali la maggior parte dei proprietari non è al corrente, diventando così facili obiettivi. L hosting dei siti Web, da una parte, è molto semplice da realizzare. Si paga un azienda di hosting e si pubblica il proprio sito Web. D altro canto, tuttavia, si tratta di un processo complesso, con molteplici livelli di software e hardware che devono tutti funzionare correttamente per garantire la sicurezza del sito. L apparente semplicità di realizzazione può indurre a dare per scontato che tutto il sistema funzioni sempre correttamente. E poiché gli aspetti tecnici sono complessi, si tende a tralasciarli sperando che prima o poi qualcuno si preoccupi di esaminarli. pag. 3

4 Un falso senso di sicurezza può costare caro Una delle vulnerabilità che ha maggiori probabilità di essere sfruttata in un sito Web è il cosiddetto Cross Site Scripting. Ebbene, le aziende interpellate da Symantec hanno indicato tale vulnerabilità come la meno probabile. Il tipo di vulnerabilità più temuto è risultato essere l attacco di forza bruta, tecnica utilizzata dagli hacker per penetrare nei server che ospitano i siti Web. Si tratta di un tipo di attacco meno frequente, ma, trattandosi di quello più rappresentato in TV e nei film, viene in genere percepito come più tangibile. 3 È molto più probabile che il sito Web di un azienda qualsiasi sia vittima di una botnet che lo sfrutta per analizzare migliaia di altri siti, alla ricerca di vulnerabilità note, che non dell attacco diretto di un hacker esperto. Quali sono i punti deboli? Stando a quanto riportato nel Report Symantec sulle minacce alla sicurezza dei siti Web, una singola vulnerabilità in un applicazione può rappresentare un rischio critico per un organizzazione, se sfruttata in modo efficace. 4 Nel 2012 sono state segnalate vulnerabilità rispetto alle del Non sono inusuali né rare ma ciascuna di esse è ugualmente pericolosa per un azienda. Comprendere quali sono i tipi di vulnerabilità più frequenti per un sito Web è pertanto di importanza vitale: La disinformazione è tanto pericolosa quanto lo è l assenza di informazione, poiché non solo è fuorviante e non dà modo di comprendere dove risiedono le vulnerabilità reali, ma è anche causa di sprechi di denaro da parte delle aziende che indirizzano le proprie risorse sugli obiettivi sbagliati. Nel 2012 sono state segnalate vulnerabilità rispetto alle vulnerabilità segnalate nel 2011 pag. 4

5 Cosa si può fare? Vulnerabilità Di cosa si tratta? Cosa si può fare? Server privi di patch La percentuale di rilevamento di nuove vulnerabilità è stata solo del 6% nell ultimo anno e tuttavia il numero di attacchi provenienti da siti compromessi è aumentato del 30%. In altri termini, sono le vulnerabilità preesistenti, non contrastate con nuove patch, a causare la compromissione della maggior parte dei sistemi secondo l indagine Symantec. Esattamente come accade per i PC, se non si applicano con regolarità le patch al server Web e non lo si mantiene aggiornato, questo potrebbe trovarsi a rischio. Una regolare analisi delle vulnerabilità, offerta gratuitamente con l acquisto di qualsiasi certificato SLL Extended Validation o Pro di Symantec, consente di essere sempre al corrente dell esistenza di vulnerabilità prive di patch. Vulnerabilità delle autorizzazioni Password non sicure, nomi utente compromessi appartenenti ad amministratori, impostazioni predefinite non modificate nell hardware di rete e software comuni lasciano i sistemi alla mercé di attacchi da parte di persone che si spacciano per utenti legittimi. Stabilire una policy efficace per la creazione delle password e un robusto controllo degli accessi, utilizzando preferibilmente l autenticazione a due fattori. Assicurarsi che tutte le password e le impostazioni predefinite nell hardware e nel software di recente distribuzione vengano verificate e modificate in modo appropriato. Restringere l accesso amministrativo il più possibile, riservandolo a individui fidati e preparati, sistema per sistema. Cross Site Scripting Cross Site Scripting significa iniettare codice da un sito (gestito dagli utenti malintenzionati) in un altro sito (appartenente alla vittima). Ciò consente ai criminali informatici di eseguire il proprio codice nel sito altrui per attaccare o infettare i suoi visitatori oppure per indurli a fornire preziose informazioni personali, ad esempio le password. Mantenere sempre aggiornato il software del server Web per eliminare le vulnerabilità che consentono questo tipo di attacchi e, in caso di utilizzo di codice proprietario, assicurarsi che ogni caricamento di codice sia adeguatamente convalidato. Eseguire regolari scansioni anti-malware nei propri siti Web per verificare la presenza di modifiche o di aggiunte non previste. Attacchi di forza bruta Proprio come suggerisce il termine, questo tipo di violazione consiste in un attacco massiccio e diretto, condotto utilizzando tutte le password e i tipi di crittografia possibili fino all ottenimento del codice corretto per accedere al sito. La situazione peggiore è quella in cui gli hacker riescono ad accedere ai dati crittografati e non vi sono restrizioni del numero di tentativi di accesso tramite Internet. Si tratta di una tecnica di attacco comune, con alcune grandi aziende che segnalano fino a 500 tentativi di attacco di forza bruta in una sola ora. 6 Modificare con regolarità le password del server e del sistema di gestione dei contenuti e assicurarsi che tutti i dati siano sempre crittografati. Assicurarsi di utilizzare metodi di crittografia sempre aggiornati, poiché i vecchi algoritmi presentano debolezze note che possono essere sfruttate con facilità. Se nel sito è presente un portale di accesso per i clienti, assicurarsi che vi sia un numero massimo di tentativi di accesso e bloccare chiunque tenti di accedere con troppe password diverse immesse nel corso di tentativi di accesso consecutivi. I software server in genere includono questa funzionalità, ma è bene assicurarsi che sia attiva e funzionante. Exploit zero-day Si tratta di vulnerabilità di cui nessuno conosce l esistenza fino a quando non vengono utilizzate da uno o più criminali informatici: l attacco ha inizio il giorno zero, ovvero il giorno in cui si viene a sapere dell esistenza dell exploit. Il numero degli attacchi di questo tipo è aumentato, tanto è vero che, nel corso dell ultimo anno, sono state scoperte ben 14 vulnerabilità di tipo zero-day. Nel corso del primo trimestre del 2013, Symantec ha osservato 11 vulnerabilità zero-day che interessano Oracle Java, Adobe Flash, Adobe Reader e Microsoft Internet Explorer 7. Se si opera l hosting del proprio sito Web, è necessario che siano implementate procedure di risposta per minimizzare l impatto determinato da attacchi di questo genere. Assicurarsi che tutte le applicazioni siano sempre aggiornate con le patch di sicurezza più recenti. Sebbene non sia possibile applicare patch rivolte ad exploit zero-day, gli aggiornamenti più recenti forniranno comunque protezione per tutte le vulnerabilità rilevate in precedenza. Un analisi regolare delle vulnerabilità, come quella fornita con i certificati SSL Symantec, consente di individuare i punti deboli con la massima tempestività successivamente alla loro esposizione. pag. 5

6 Come una vulnerabilità può danneggiare un sito Il sito Web rappresenta il collegamento tra un azienda e i suoi clienti. I criminali informatici possono sfruttare le vulnerabilità utilizzando tre metodi principali: 1. Accesso alle informazioni e alle risorse del server. In un server Web tipico sono memorizzate tutte le informazioni relative al sito Web, ad esempio i dati personali dei clienti e le loro password. Il server costituisce inoltre una sorgente di risorse di elaborazione utilizzabili per distribuire ulteriormente il malware. L accesso non autorizzato a un server Web si traduce pertanto in violazione dei dati, perdita di credibilità e danni irreparabili per l azienda ed è per questo che una regolare analisi delle vulnerabilità è così importante. 2. Intercettazione di informazioni scambiate tra l azienda e i visitatori del suo sito Web. Le informazioni sono continuamente in movimento tra i visitatori e il sito Web. A meno che non si disponga di certificati SSL aggiornati che provvedano a crittografare tali informazioni, sia l azienda che i suoi visitatori sono esposti ad attacchi di tipo man-in-the-middle. Molti siti Web, come ad esempio Facebook e Google, implementano ora Always-On SSL, che garantisce la crittografia di tutte le comunicazioni con il server, indipendentemente dal fatto che un visitatore abbia o meno effettuato l accesso tramite una pagina apposita Distribuzione di malware sui dispositivi dei visitatori. Se un criminale informatico è stato in grado di iniettare con successo codice JavaScript nascosto o alcune righe di codice che creano un collegamento a un altro sito Web in grado di installare malware, qualsiasi visitatore del sito dell azienda colpita e il relativo dispositivo utilizzato per accedervi sono esposti a un rischio. Tale codice dannoso ricercherà le vulnerabilità nel dispositivo del visitatore e, una volta individuatane una, scaricherà malware in grado di registrare ciò che viene digitato, di accedere ai file, di bloccare il sistema o di utilizzare le risorse di elaborazione del dispositivo colpito per diffondere ulteriormente il malware. Accesso alle informazioni e alle risorse del server Intercettazione di informazioni scambiate tra l azienda e i visitatori del suo sito Web Distribuzione di malware sui dispositivi dei visitatori pag. 6

7 La battaglia è più aspra di quanto si creda Le vulnerabilità dei siti Web sono complesse, e il loro sfruttamento non è necessariamente un operazione semplice. Vi sono tuttavia numerose comunità e gang di criminali informatici che sviluppano e vendono toolkit. Tali toolkit includono informazioni relative alle vulnerabilità note nonché il codice necessario per sfruttarle e sono molto popolari. Ciò significa che un gruppo esteso di criminali, tecnicamente meno preparati, ha comunque la possibilità di sfruttare e attaccare i siti Web semplicemente acquistando o impossessandosi di questi prodotti. Nel 2012, ad esempio, un singolo toolkit, denominato Blackhole, è stato alla base del 41% di tutti gli attacchi a siti Web tramite toolkit. Un pericolo reale Parlare di vulnerabilità in termini astratti potrebbe farle sembrare eventi distanti, ma gli effetti dell impatto degli attacchi basati su Web sono tangibili ed estremamente realistici. Nel white paper Symantec Come funziona il malware 9 vengono fornite informazioni dettagliate sulla meccanica del malware, ma i seguenti esempi reali possono già dare un idea concreta della pericolosità delle vulnerabilità dei siti Web: Attacchi SQL Injection. Il recente Web Application Attack Report (WAAR) di Imperva rivela che, mentre, in genere, un applicazione Web subisce almeno un attacco al giorno per 12 giorni in un mese, il caso peggiore ha visto ben 176 giorni con attacchi in un periodo di osservazione di sei mesi, il che si traduce sostanzialmente in attacchi con cadenza giornaliera. Quello che questi dati ci indicano è che le organizzazioni dovrebbero sempre basare le misure sullo scenario peggiore e non su quello medio conclude il report 10. Dati non crittografati. L analista di Forbes Kashmir Hill è riuscita non solo a reperire un elenco di abitazioni equipaggiate con una particolare marca di software per l automazione domestica, ma anche di accedere effettivamente al software prendendo il controllo dei dispositivi elettronici da remoto. Il tutto partendo da una semplice ricerca con Google. Per accedere al sistema non era necessario immettere alcun nome utente né password e l indicizzazione dell elenco dei clienti non era stata bloccata dal motore di ricerca, per cui è stato facile per lei venirne in possesso dopo una semplice e rapida ricerca. 11 Attacchi zero-day. Nel marzo del 2013 venne reso disponibile un exploit zero-day per il kernel Linux, potenzialmente disastroso per gli host Web. L exploit rendeva necessari riavvii a livello di interi sistemi, il che mise offline molti siti senza alcun preavviso. 12 pag. 7

8 È inutile tentare di nascondersi dietro le dimensioni dell azienda Mentre è vero che nelle aziende più grandi sono contenuti tesori più ghiotti, questo non significa che le piccole dimensioni di un azienda ne garantiscano automaticamente la sicurezza. Tant è vero che, secondo l indagine Il vuoto di conoscenza sulla vulnerabilità di Symantec, i proprietari di piccole aziende sono meno informati sulla sicurezza dei propri siti Web di quanto non lo siano i proprietari delle aziende più grandi. Questa situazione espone tali aziende a un significativo livello di rischio, in particolare se si considera che almeno un terzo degli attacchi mirati nel 2012 sono stati sferrati ad aziende con non più di 250 dipendenti. 13 Persone e processi possono anch essi rappresentare delle vulnerabilità La protezione di un azienda dalle vulnerabilità del sito Web è un concetto che va oltre la sola tecnologia. È necessario che il personale riceva un adeguata formazione in merito ai rischi correlati agli attacchi di phishing o di social engineering al fine di proteggere l accesso ai server e ai sistemi di gestione dei contenuti. È inoltre indispensabile l implementazione di processi rigorosi per l aggiornamento delle password. Symantec offre una gamma completa di soluzioni che mettono le aziende in grado di gestire i propri certificati SSL con la massima efficienza. Questi strumenti consentono ai responsabili dei siti Web di tenere traccia di tutti i certificati SSL e di ricevere avvisi tempestivi in prossimità delle varie scadenze. Le soluzioni consentono inoltre di gestire le scansioni anti-malware e le valutazioni automatizzate sulla vulnerabilità menzionate in precedenza in questo documento (in base al tipo di certificato in uso). Symantec offre inoltre strumenti quali Certificate Intelligence Center, che consente il monitoraggio e l automazione della gestione dei certificati in aziende con un numero elevato di certificati SSL. 9% 2% 3% 5% Da 1501 a 2500 Da 1001 a 1500 Da 501 a 1000 Da 251 a % 18% nel % 2012 Da 1 a 250 dipendenti Quasi un terzo degli attacchi mirati nel 2012 è stato rivolto contro aziende con un numero di dipendenti tra 1 e 250. pag. 8

9 Sapere è potere, anche per i clienti dell azienda I clienti e i visitatori del sito potrebbero non essere al corrente delle vulnerabilità dei siti Web, ma sanno che i siti Web possono costituire una minaccia per i loro dati personali e per i loro dispositivi. Essi vanno in cerca di conferme che l azienda di cui sono clienti conosca tali pericoli e che stia facendo tutto quanto possibile per garantire la protezione della propria clientela. I certificati SSL EV (Extended Validation), ad esempio, sottopongono azienda e sito a una rigorosa procedura di autenticazione in grado di garantirne l identità e autenticità. I visitatori di questi siti ottengono questa prova sotto forma di una barra degli indirizzi colorata di verde quando accedono al sito Web dell azienda protetta. Questo piccolo ma rassicurante segnale può significare moltissimo: I siti protetti da certificati EV presentano percentuali di aumento dei tassi di click-through del 10% e oltre. 14 Identified by Norton Il Report Symantec sulle minacce alla sicurezza dei siti Web ha inoltre evidenziato che nel 2012 un maggior numero di consumatori ha visitato siti Web muniti di marchio di affidabilità, come il Norton Secured Seal, il più riconosciuto in Internet. 15 Avvalersi della tecnologia Symantec Seal-in-Search significa che i visitatori possono contare sulla sicurezza del sito prima ancora di accedervi perché i motori di ricerca visualizzeranno il Norton Secured Seal a fianco del nome del sito direttamente nei risultati della ricerca. In altri termini, il sito dell azienda protetta risulterà affidabile ai visitatori ancora prima di avervi fatto clic per visitarlo. Il partner giusto per il potenziamento della difesa Quando si tratta di vulnerabilità dei siti Web, la conoscenza è senza dubbio sinonimo di potere. La scelta del giusto partner per la sicurezza per la protezione e il monitoraggio di tali vulnerabilità è ciò che darà all azienda una marcia in più nella lotta contro il crimine informatico. Symantec offre una gamma completa di soluzioni per la sicurezza dei siti Web che include EV, una selezione di diversi algoritmi di crittografia nonché strumenti di valutazione della vulnerabilità e di scansione anti-malware. La dimostrazione della forza di Symantec sta nel fatto che i suoi stessi standard di sicurezza sono altamente rigorosi: adotta ad esempio processi di autenticazione conformi ai requisiti KPMG e i suoi data center implementano una sicurezza di livello militare per le infrastrutture SSL e PKI. Il servizio di scansione anti-malware del sito Web, offerto da Symantec, aggiunge un secondo livello di difesa e un utile verifica esterna. Viene offerto gratuitamente a chiunque abbia acquistato i certificati SSL Symantec e può aiutare i clienti ad evitare la spiacevole sorpresa di trovarsi inseriti nelle blacklist da un motore di ricerca. Con Symantec, si avrà un partner per la sicurezza autorevole e ben attrezzato, in grado di mantenere al sicuro il sito Web aziendale e il business da questo rappresentato. Per ulteriori informazioni sulle soluzioni Symantec per la sicurezza dei siti Web, visitare pag. 9

10 Riferimenti 1. Report sulla valutazione della vulnerabilità Symantec - Se le aziende si sentono vulnerabili non hanno tutti i torti, 2. The Internet then and now di WhoIsHostingThis? 3. Report sulla valutazione della vulnerabilità Symantec - Se le aziende si sentono vulnerabili non hanno tutti i torti, 4. Report Symantec sulle minacce alla sicurezza dei siti Web Report sulla valutazione della vulnerabilità Symantec - Se le aziende si sentono vulnerabili non hanno tutti i torti, 6. Synthesis: WP Sites Under Attack Across the Globe!!! Facebook implements Always-On SSL Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute Hacking Smart Homes Synthesis: How We Kept You Safe During Yesterday s Zero-Day Security Emergency Report Symantec sulle minacce alla sicurezza dei siti Web Online Trust Alliance Visitato il 10 settembre Symantec WSS - Ricerca internazionale sui consumatori online: USA, Germania, Regno Unito, luglio 2012 pag. 10

11 INFORMAZIONI SU SYMANTEC Le soluzioni Symantec per la sicurezza dei siti Web includono la crittografia SSL leader di settore, la gestione dei certificati, la valutazione della vulnerabilità e le ricerche giornaliere di malware. Il simbolo Norton Secured Seal e le funzionalità Seal-in-Search infondono fiducia nei suoi clienti durante tutte le fasi del processo di acquisto, dalla ricerca alla scelta fino alla transazione finale. Per ulteriori informazioni, visitare Vulnerabilità in Website grado di Security compromettere Threat Report un sito 2013 Web

12 SEGUICI Per informazioni sulle sedi locali e i relativi recapiti, visitare il sito Web Symantec. Per informazioni sui prodotti in Italia, chiamare: oppure Symantec Italia (Milano) Symantec SRL. Via Rivoltana 2/d Segrate (MI)