website defacement, 7 tips to impede it

Caso di studio: Intervento rapido per impedire il defacement di un sito web

Oltre il 40% di tutti i siti web al mondo utilizza WordPress. Questo sistema di gestione dei contenuti deve la sua popolarità al codice sorgente aperto e alla possibilità di estendere le funzionalità di base del sito web tramite plugin di terze parti - ci sono oltre 59 mila plugin ufficiali attualmente disponibili.

Nella maggior parte dei casi, i plugin sono sviluppati da società di software indipendenti e da professionisti con diversi livelli di competenza e consapevolezza della sicurezza. Prima di essere aggiunti alla libreria ufficiale di WordPress, i plugin vengono controllati per garantire che funzionino come previsto, ma anche che seguano le linee guida di sicurezza di WordPress. Tuttavia, nemmeno il team di revisione più efficiente è in grado di testare i plugin di WordPress sotto la lente della sicurezza informatica e garantire che siano 100% cyber sicuri. Inoltre, considerate che i plugin sono controllati solo quando vengono aggiunti per la prima volta al repository di WordPress.

Sono disponibili molti altri plugin al di fuori della library ufficiale. Nella maggior parte dei casi, si tratta di versioni craccate o alternative di plugin a pagamento, che possono essere scaricate gratuitamente ma che possono contenere backdoor. Per questi motivi, non sarete sorpresi di leggere che nel 2021 circa il 98% delle vulnerabilità riguardanti i siti WordPress sono dipese dai plugin.

Un plugin obsoleto ha causato la compromissione del sito web di uno dei nostri clienti. Durante un aggiornamento di routine dei contenuti, il suo team di marketing digitale non riusciva ad accedere al pannello di amministrazione: l'anomalia era abbastanza sospetta da richiedere prontamente un'indagine. Il team di sicurezza informatica di Paradox Engineering analizzato il caso, ha evidenziato un incidente di sicurezza informatica e ha individuato due vettori di attacco con obiettivi diversi.

Il primo attacco aveva come obiettivo quello di manipolare la home page del sito (il cosiddetto "defacement del sito web"), il secondo era probabilmente finalizzato ad ospitare un sito ecommerce nascosto per vendere merci illegali. Gli attaccanti hanno sfruttato un plugin obsoleto e vulnerabile per caricare un file di configurazione modificato, che ha innescato una nuova installazione di WordPress sul computer host. Il nuovo processo di installazione ha permesso agli attaccanti di caricare altri file dannosi per ottenere il pieno controllo del sito.

In meno di una settimana, il sito sarebbe diventato una preziosa risorsa nelle mani dei criminali informatici. Fortunatamente, la richiesta di indagine è arrivata a PE poche ore dopo il caricamento dei file dannosi, così è stato possibile impedire il defacement. L'intervento precoce ha ridotto il tempo di compromissione, completando la pulizia del sito web in poche ore.

 

case study website defacement

 

Il processo di gestione degli incidenti di Paradox Engineering si basa sulle best practices NIST per mitigare l'impatto dell'attacco e accelerare il recupero. Il primo passo consiste nel raccogliere il maggior numero possibile di dati relativi agli eventi che si sono verificati nel sistema attaccato e nell'estrarre informazioni rilevanti sui vettori di attacco. Dopo la valutazione, è importante implementare rapidamente tutte le azioni di contenimento necessarie per bloccare altri possibili movimenti di attacco. Infine, dopo il contenimento, un'indagine approfondita per trovare la causa principale è utile per definire le migliori azioni di risoluzione e mitigazione per prevenire attacchi simili in futuro.

 

7 consigli per proteggere il vostro sito web:

  1. implementare un sistema avanzato di autorizzazione e autenticazione per il backup del sito - memorizzare il backup in un luogo sicuro (non accessibile dall'istanza web) e utilizzare sempre soluzioni di backup non fornite dai plugin CMS
  2. preferire policy che seguono i principi fondamentali di "need to know" e "least privilege"
  3. installare solo i plugin strettamente necessari e cancellare regolarmente quelli che non si usano
  4. mantenere il CMS e i plugin aggiornati. Si consiglia di impostare gli aggiornamenti automatici per le patch di sicurezza e di gestire manualmente le major release
  5. avere un ambiente di staging per testare qualsiasi aggiornamento
  6. raccogliere il log degli eventi per il team di cybersecurity per rilevare le anomalie
  7. implementare un meccanismo di rilevamento delle modifiche (ad esempio, tramite hashtag) per notificare al team di cybersecurity l'accesso o la modifica sospetta del sito web

 

Scoprite di più sui nostri Cyber Security Services e contattate i nostri esperti per chiedere consulenza e consigli!


Wireless IoT; zero-day vulnerabilities

Caso di studio: Scoprire e gestire le vulnerabilità zero-day

In un'infrastruttura cittadina o aziendale, la superficie IoT attaccabile comprende tutte le possibili vulnerabilità di sicurezza dei dispositivi, delle applicazioni e delle reti connesse.

A prima vista, un videocamera IP può sembrare innocua dal punto di vista della sicurezza. Tuttavia, soprattutto se collegata a una rete IoT, può diventare un problema e un obiettivo interessante per un criminale informatico per tre motivi principali.

Il primo riguarda la privacy. In primo luogo, l'hacker può essere interessato ad acquisire e analizzare le immagini delle persone che vivono o si muovono in una certa area per conoscere le loro abitudini e i loro comportamenti, o per ottenere informazioni personali sensibili (volti, targhe di automobili, ecc.). In secondo luogo, la violazione può dare visibilità sull'infrastruttura a cui la telecamera è collegata e aprire la strada a un attacco di rete. Infine, ma soprattutto, la violazione può essere motivata dallo sfruttamento della sua potenza di calcolo per il mining di criptovalute o come nodo di una rete di comando e controllo chiamata botnet.

Durante il monitoraggio di routine della sicurezza della rete IoT di un cliente, il nostro team cyber security ha rilevato un dispositivo installato di recente, in particolare una videocamera IP. E' stata subito condotta una attività di ricerca per valutare se la telecamera potesse essere considerata sufficientemente sicura per essere utilizzata ed esposta su una rete pubblica. Il team ha scoperto due vulnerabilità zero-day: poiché queste vulnerabilità del software vengono in genere scoperte da ricercatori o potenziali aggressori prima che il fornitore ne venga a conoscenza, non sono disponibili patch per la loro risoluzione.

La scoperta di una vulnerabilità zero-day richiede l'adozione di una mentalità malvagia e la competenza per porsi le domande giuste: quanti dispositivi offrono una superficie di attacco? Quanto profondamente viene analizzata la situazione dal punto di vista dell'attaccante? Per rispondere a queste domande nel modo più esaustivo possibile, i nostri esperti di sicurezza informatica si avvalgono di una metodologia che fa parte del programma aziendale framework di cyber security.

L'analisi ha confermato che non era sicuro esporre pubblicamente la videocamera IP. Al cliente è stata data una visione dettagliata del rischio dell'azienda. La prima vulnerabilità avrebbe permesso a un utente non autorizzato di creare un account valido per accedere a tutti i comandi della videocamera IP. La seconda vulnerabilità riguardava le password degli utenti del dispositivo. Con il reverse engineering del codice sorgente pubblicamente disponibile, sarebbe stato possibile violare la funzione hash che memorizza le password degli utenti.

Due soluzioni diverse sono state suggerite: rimuovere la videocamera e sostituirla con un prodotto più sicuro o installare un firewall per limitare l'accesso agli indirizzi IP noti. Il cliente ha accettato di rimuovere la videocamera IP per evitare ogni possibile problema e ripristinare il livello di sicurezza generale.

 

La vostra infrastruttura IoT è sufficientemente sicura? Scoprite i nostri Cyber Security Services e contattate i nostri esperti per avere tutte le risposte alle vostre domande!


cybercriminals

Quando la città è in ostaggio - podcast

Cybersecurity : i pericoli sono in aumento e il ransomware è la prima minaccia per le aziende private e gli enti pubblici, dice l'ultimo rapporto ENISA Threat Landscape dall'Agenzia europea per la sicurezza informatica.

I criminali informatici sono sempre più motivati dalla monetizzazione delle loro attività, e i loro attacchi stanno crescendo in termini di sofisticazione, complessità e impatto a causa della nostra massiccia presenza online, la transizione delle infrastrutture tradizionali verso soluzioni digitali, l'interconnettività avanzata dei sistemi e lo sfruttamento delle nuove caratteristiche delle tecnologie emergenti.

Ransomware e cryptojacking sono le tecniche che i cybercriminali orientati al denaro usano più frequentemente, e le criptovalute rimangono il loro metodo di pagamento più comune. Senza sorpresa, ENISA evidenzia gli attacchi alle supply chain sono in cima alla classifica a causa del potenziale significativo che hanno nell'indurre effetti a cascata catastrofici.

Ma qualcosa sta cambiando. Le campagne DDoS (Distributed Denial of Service) stanno diventando molto più mirate, persistenti e sempre più multivettoriali. E non tutti i cybercriminali sono guidati principalmente dal denaro.

Nel Regno Unito, il 20 dicembreil 2021, il Consiglio comunale di Gloucester è venuto a conoscenza di un cyberattacco che ha colpito i suoi sistemi e che ha causato il ritardo o l'indisponibilità di alcuni servizi chiave, come la gestione degli alloggi sociali. Come riportato dalla BBC, potrebbero volerci mesi per riparare i server e i sistemi interessati, mentre le indagini preliminari hanno rivelato che ci potrebbero essere un collegamento con gli hacker nell'ex Unione Sovietica.

La crescente tensione tra Russia e Ucraina è vista dagli esperti di cybersecurity come un possibile innesco di offensive cyber contro l'Europa, gli Stati Unitie oltre. Questo è già successo nel 2017 con NotPetya, un cyberattacco russo che ha preso di mira l'Ucraina, ma che ha rapidamente colpito il mondo intero al costo di miliardi di dollari.

La probabilità di scenari di guerra cibernetica fa sì che ENISA sottolinei che ci sono quattro categorie di cyber attaccanti da monitorare: i criminali informatici "tradizionali", gli aggressori sponsorizzati dallo stato, gli hacker-for-hire e gli hacktivisti. Capire come questi attori pensano e agiscono, quali sono le loro motivazioni e obiettivi, è un passo importante verso una risposta più forte agli incidenti informatici.

Le città sono preparate a riconoscere e affrontare minacce così diverse? Ascoltate Nicola Crespi, responsabile R&D di Paradox Engineering, e Dario Campovecchi, il nostro cybersecurity architect, in una conversazione che esplora alcuni dei pericoli più acuti che le Smart City devono affrontare, e come gestire la cybersicurezza come un viaggio che dura tutta la vita.

Il podcast è disponibile su Tomorrow.City


cybersecurity

A proposito di cybersecurity nelle Smart IoT City

La tua città è sotto attacco"Questa è la notizia che tutti temono...

Se lo si misurasse come un paese, il crimine informatico sarebbe la terza economia del mondo dopo gli Stati Uniti e la Cina. Secondo un rapporto della società statunitense Cybersecurity Ventures, si prevede che il crimine informatico infliggerà danni per 6 trilioni di dollari a livello globale nel 2021. Crescendo del 15% all'anno, i danni previsti raggiungeranno i 10,5 trilioni di dollari entro il 2025, considerando denaro rubato, furto di dati personali e finanziari, furto di proprietà intellettuale, perdita di produttività, indagini forensi, ripristino e cancellazione di dati e sistemi compromessi, e danni alla reputazione dell'organizzazione violata.

Un attacco informatico potrebbe potenzialmente interrompere i servizi pubblici essenziali, esporre dati personali e finanziari, e disabilitare l'economia di una città. Non è una prospettiva rassicurante per le città che si affidano sempre più alle reti interconnesse e alle infrastrutture basate sui sensori per operare e fornire qualsiasi applicazione di cui le persone e le imprese hanno bisogno, dalla distribuzione di energia ai sistemi di mobilità, dalla illuminazione stradale alla raccolta dei rifiuti urbani, e altro ancora.

Le città sono preparate ad affrontare una tale minaccia? Un sondaggio online che abbiamo condotto nell'ottobre 2021 rivolgendoci a funzionari comunali, gestori di servizi e professionisti ICT, ha rilevato che due terzi (67%) ritengono che la loro città sia "alquanto vulnerabile" ai cyberattacchi e solo il quattro per cento ha affermato di essere "sicuro al 100 per cento". La preoccupazione principale (42%) in caso di attacco riguarda la violazione dei dati finanziari, seguito dalla continuità del business (40 per cento) e dalla privacy dei dati personali (18 per cento).

Come possono le città mitigare i rischi di cybersecurity e costruire una base sicura per la loro infrastruttura IoT? Come possiamo gestire la cybersecurity come un viaggio che dura tutta la vita? Non perdere il nostro evento digitale 'What about Cybersecurity in Smart IoT Cities?' di giovedì 18 novembre 2021: allo Smart City Expo World Congress, il nostro Chief Innovation Officer Nicola Crespi e il nostro Cybersecurity Architect Dario Campovecchi parlerà dell'approccio security by design di Paradox Engineering e introdurrà alcuni servizi innovativi che lanceremo nel 2022.

La registrazione gratuita è obbligatoria, contattateci per inviare domande in anticipo!


zero trust

Fiducia zero, la nuova parola d'ordine della cybersicurezza

Qualsiasi dispositivo o architettura di rete può essere violato, questo è vero. Quindi non possiamo fidarci di nessun utente o sistema. Questa tesi semplice ma incisiva sostiene "fiducia zero", il nuovo concetto di cybersicurezza e un "termine molto alla moda" nel mondo della tecnologia, come lo ha definito il National Cyber Security Centre del Regno Unito.

La digitalizzazione diffusa, le nuove forme di lavoro ibride e i modelli di collaborazione, e la crescente sofisticazione del crimine informatico hanno creato le condizioni per una visione più restrittiva della protezione dei dati e delle infrastrutture. Mentre l'UE sta definendo la sua strategia di sicurezza, gli Stati Uniti stanno già applicando la fiducia zero dopo che il presidente Biden "Ordine esecutivo sul miglioramento della sicurezza informatica della nazione." Rilasciato lo scorso maggio, l'ordine fondamentalmente spinge le agenzie federali ad implementare architetture di fiducia zero e a prepararsi per futuri miglioramenti. Linee guida aggiornate sono state rilasciate la scorsa settimana e alle agenzie sono stati dati specifici obiettivi di sicurezza da raggiungere entro settembre 2024.

Se dovessimo riassumere cosa sia la fiducia zero, potremmo dire "Mai fidarsi, verificare sempre". L'idea è quella di rimuovere la fiducia intrinseca dalla rete, e non fidarsi dei dispositivi di default solo perché sono all'interno del perimetro di un firewall o VPN. Un'architettura a fiducia zero dovrebbe verificare tutti e tuttoutilizzando tecniche granulari per permettere solo l'accesso alla rete e le transazioni necessarie.

La migrazione a questo design di rete potrebbe essere costosa e in qualche modo dirompente per la maggior parte delle organizzazioni, e potrebbe richiedere anni per essere completata a causa della portata dei cambiamenti da attuare.

I sostenitori della fiducia zero sottolineano che questo modello rigoroso permette all'organizzazione di ridurre al minimo i rischi di cyberattacco, definire politiche di autenticazione e autorizzazione più forti, ridurre l'overhead della rete e reagire più rapidamente nel caso in cui qualcosa venga compromesso.

Tuttavia, dobbiamo ricordare che la sicurezza informatica al 100% è un obiettivo impossibile, a meno di non rinunciare completamente all'innovazione e alla trasformazione digitale. Quindi le architetture o le soluzioni a fiducia zero non possono essere prese come una risposta universale e definitiva.

Alcuni analisti raccomandano un approccio pragmatico, a partire da una valutazione accurata delle vulnerabilità reali. Quali elementi di rete richiedono effettivamente una protezione a fiducia zero? Quali dati, transazioni o applicazioni devono avere il massimo livello di sicurezza? Questo tipo di analisi potrebbe portare alla decisione di passare alla fiducia zero solo per gli asset più critici , agendo misure di sicurezza più proattive e sistematiche senza aggiungere inutili complessità.

 

Qual è il vostro approccio alla cybersecurity? La fiducia zero è applicabile alla vostra rete? Contattate i nostri esperti di sicurezza informatica per condividere pensieri e intuizioni!


survivorship bias

Cybersecurity e Smart City: la trappola del pregiudizio di sopravvivenza

Durante la seconda guerra mondiale, a un team di ricercatori della Columbia University fu chiesto di esaminare i danni fatti agli aerei che erano tornati dalle missioni e raccomandarono di aggiungere una corazza alle aree che mostravano più danni. Questo sembrava abbastanza logico, ma lo statistico Abraham Wald contraddisse le conclusioni dell'esercito americano facendo notare che erano stati considerati solo gli aerei che erano sopravvissuti. Poiché i fori di proiettile negli aerei di ritorno identificano le aree in cui un bombardiere potrebbe subire danni e ancora volare abbastanza bene da tornare sano e salvo alla base, Wald propose di rinforzare le aree in cui gli aerei di ritorno erano indenni.

Il pregiudizio di sopravvivenza - ovvero l'errore logico di concentrarsi su persone o cose che hanno superato un processo di selezione e trascurare quelle che non lo hanno fatto - può portare ad alcune false conclusioni in diversi ambiti ed è una trappola anche per la sicurezza informatica.

Nel 2020 il Center for Long-Term Cybersecurity della UC Berkeley ha intervistato 76 esperti di cybersecurity e ha classificato diverse tecnologie in base alle vulnerabilità tecniche, la loro attrattiva per i potenziali criminali e il potenziale impatto di un attacco. Secondo questo studio, non tutte le tecnologie Smart City presentano gli stessi rischi: i sistemi di allerta in caso di emergenza, la videosorveglianza stradale e i semafori intelligenti sono i più vulnerabili, mentre la gestione dei rifiuti e il rilevamento satellitare delle perdite d'acqua sono considerati tra i più sicuri.

Gli amministratori locali dovrebbero quindi considerare caso per caso se i rischi informatici superano i potenziali guadagni dell'adozione della tecnologia, e investire di più sulle applicazioni che sono vulnerabili in termini tecnici e costituiscono obiettivi interessanti per i potenziali attaccanti, e dove gli impatti di un attacco sarebbero probabilmente gravi. Di nuovo, questa sembra una raccomandazione logica - ma facciamo attenzione al pregiudizio di sopravvivenza.

Garantire la sicurezza informatica al 100% è un obiettivo impossibile a meno di non rinunciare completamente all'innovazione e alla trasformazione digitale. Tuttavia, le città dovrebbero essere al 100% consapevoli che qualsiasi infrastruttura e applicazione di rete dovrebbe essere adeguatamente progettata e implementata integrando la sicurezza fin dall'inizio. Anche sistemi potenzialmente poco attraenti - come i lampioni stradali - potrebbero diventare interessanti per i criminali, e l'elemento umano è spesso l'anello debole che trasforma una vulnerabilità in una vera e propria falla.

Molti governi in tutto il mondo stanno aumentando la consapevolezza della cybersicurezza con programmi dedicati per proteggere i sistemi e le risorse critiche. Lo scorso maggio, il presidente Joe Biden ha firmato un ordine esecutivo volto a rafforzare le difese di sicurezza informatica degli Stati Uniti, una mossa che segue una serie di attacchi informatici su aziende private e reti del governo federale nel corso dell'ultimo anno. L'ordine cerca di spostare il governo federale verso infrastrutture digitali più moderne e più sicure, e stabilisce regole più severe per i fornitori di servizi IT che lavorano con gli enti pubblici.

L'Italia è pronta a creare una agenzia nazionale responsabile della lotta contro i cyberattacchi e della creazione di un'infrastruttura cloud unificata per aumentare la sicurezza nell'archiviazione dei dati della pubblica amministrazione. La maggior parte dei paesi europei sta aumentando l'impegno per contrastare i rischi informatici, visti come una minaccia alla loro sicurezza e competitività in un mondo sempre più in rete.

Mentre puntiamo al miglioramento dei sistemi e della protezione dei dati, non dobbiamo dimenticare che è possibile bilanciare il valore della tecnologia innovativa con i minori rischi possibili. In Paradox Engineering, l'equilibrio è legato al nostro approccio "security by design".Questo significa iniettare la cybersicurezza nelle tecnologie IoT fin dal loro inizio, combinando diversi metodi (blockchain, moduli di sicurezza hardware dedicati sui dispositivi, crittografia ultra-affidabile e altre funzionalità) per garantire che le infrastrutture urbane siano intrinsecamente sicure.

La sicurezza delle città è una sfida continua che richiede un approccio e una strategia globale (non cadiamo nella trappola del pregiudizio di sopravvivenza!), insieme a un costante lavoro di monitoraggio, apprendimento e collaborazione, soprattutto dove gli hacker sfruttano tecnologie avanzate come l'AI per diventare più efficaci e i costi di assicurazione aumentano.