È accaduto alla fine del mese di novembre 2020: un enorme data leak, ovvero una fuga di dati, si è abbattuta su diverse migliaia di organizzazioni pubbliche e private di primo piano in Italia e nel mondo, compromettendone sicurezza e protezione dei cosiddetti dati sensibili.

Le informazioni raccolte parlano di circa 50.000 aziende in tutto il mondo vittime di questo infausto evento. A chi si chiede se le notizie diffuse siano veritiere, rispondiamo amaramente di sì: tra i nomi delle realtà italiane, aziendali e istituzionali, colpite duramente da questo cyber-attacco spicca proprio la Presidenza del Consiglio dei Ministri di Roma Capitale. Oltre all’Università e alla provincia di Bologna e all’Azienda Sanitaria di Napoli.

Ma come si è potuta verificare una così pessima gestione informatica per enti e istituzioni di stato che dovrebbero sempre essere al passo con le migliori innovazioni tecnologiche, ancor di più in termini di sicurezza informatica?

 

Sommario:

Il maxi-attacco web che ha trafugato quasi 1000 password italiane

L’origine del caos: un terribile bug degli apparati Fortinet

Un’inadempienza che è costata caramente, anche in Italia

Preservare la propria sicurezza informatica: azioni utili e facilmente attuabili

 

L’origine del caos: un terribile bug degli apparati Fortinet

Fortinet è il colosso americano della sicurezza degli apparati di rete e dei firewall: i suoi sistemi operativi sono usati nei data center di tutto il mondo. Purtroppo lo scorso anno un gruppo di ricercatori ha scoperto un bug terribile che colpisce le versioni di seguito elencate:

  • FortiOS 6.0, dalla 6.0.0 alla 6.0.4
  • FortiOS 5.6, dalla 5.6.3 alla 5.6.7
  • FortiOS 5.4, dalla 5.4.6 alla 5.4.12

Il bug riguarda l’accesso web alla VPN, Virtual Private Network, ovvero a quel portale che permette a un’azienda di far collegare i propri dipendenti alla rete privata aziendale garantendo privacy, anonimato e sicurezza attraverso un canale di comunicazione logicamente riservato (tunnel VPN) e creato sopra un’infrastruttura di rete pubblica. Tutto ciò senza usare un client ma inserendo username e password in una schermata web.

La vulnerabilità nei dispositivi FortiOS SSL VPN era purtroppo nota da tempo: la casa produttrice del sistema VPN è stata infatti molto sollecita nel diffondere la consapevolezza dell’esistenza del problema già a maggio 2019. Oltre ciò, Fortinet suggeriva anche come mitigare il rischio fino all’implementazione della patch correttiva, che si è conclusa con il rilascio del firmware aggiornato in data 26 novembre 2019.

Un’inadempienza che è costata caramente, anche in Italia

Se l’occasione fa l’uomo ladro, impossibile negare che gli hacker informatici ne hanno largamente approfittato. La falla legata all’accesso web alla VPN è infatti facilmente sfruttabile utilizzando quello che viene chiamato path traversal, ovvero un attacco informatico che sfrutta un’insufficiente validazione di sicurezza o una scarsa sanificazione dell’input di nomi di file forniti dall’utente. Tali nomi vengono così passati alle API dei file a livello web server e, in conseguenza a questa azione, quello che il browser restituirà sarà un file con all’interno lo storico delle credenziali di accesso, l’indirizzo dal quale gli utenti hanno fatto il login e anche la password.

Cosa è accaduto quindi lo scorso mese? È accaduto che, nonostante la patch risolutiva fosse disponibile da oltre un anno, molte aziende non l’hanno recepita e non hanno adeguato i propri sistemi di sicurezza, permettendo a scaltri criminali del web di indentificare un nuovo varco in cui inserirsi e concretizzare il loro attacco.

È così che a metà di qualche settimana fa una serie di utenti hanno “cinguettato” su Twitter la presenza di un elenco di circa 50.000 nodi VPN che non avevano aggiornato i loro sistemi e che quindi erano ancora vulnerabili.

Il file trafugato raccoglie circa 1000 credenziali di utenti italiani, molte appartenenti a aziende private, altre ad aziende pubbliche. Come anticipato all’inizio, ci sono gli accessi a svariati siti di:

  • comuni dell’Emilia Romagna
  • istituzioni sanitarie
  • scuole e istituti
  • fiere e utility

C’è persino l’accesso a un nodo collegato a Palazzo Chigi e quindi al Governo Italiano.

Preservare la propria sicurezza informatica: azioni utili e facilmente attuabili

Il drammatico evento qui raccontato porta a sottolineare, ancora una volta, l’importanza di costruire un asset inventory dei propri sistemi, in particolar modo quelli esposti, e di tenere sempre sotto controllo i bollettini di vulnerabilità che i produttori di soluzioni hardware e software pubblicano periodicamente. Senza dimenticare l’importanza di pianificare attività di monitoraggio parallelamente a efficaci politiche di patching associate a un processo di change management organico.

Va anche ricordato però che nessun sistema è perfetto e nel tempo emergono vulnerabilità che possono comprometterne la sicurezza. E i sistemi VPN non ne sono di certo un’eccezione.

Fatta questa doverosa premessa, è bene anche sapere che in linea generale sono tre i principali modi in cui la VPN può divulgare informazioni personali:

  1. protocolli e bug difettosi
  2. perdite dati dai server DNS
  3. malfunzionamento del protocollo IPv6

Tuttavia, sebbene sia irrealistico credere di poter prevedere o prevenire ogni possibile vulnerabilità di sicurezza, è certamente possibile mettere in campo azioni volte a limitarne le dannose conseguenze, come:

  • utilizzare un provider VPN affidabile, che mantenga i suoi utenti al passo con ciò che sta accadendo nel mondo della sicurezza
  • disabilitare le richieste WebRTC, sia su Chrome, Firefox o Opera
  • collegare i fori DNS e IPv6, per evitare fastidiose perdite