5 miliardi e 640 milioni di attacchi bloccati, 251 mila IP blacklisted. Questi sono i dati relativi agli ultimi 30 giorni, riportati da un noto plugin di sicurezza.
Chi si occupa di gestione di siti web, ha visto almeno una volta una propria creazione attaccata o, peggio ancora, utilizzata per lanciare attacchi verso altri, per inviare spam, per essere una fonte di malware.
Ci è capitato di mettere mano a sistemi non gestiti da tempo e di trovare una folla importante di utenti internazionali utilizzare in modo malevolo un web server, ovviamente all’oscuro del cliente.
Mettere in sicurezza un sito web è una sfida sempre avvincente: non si finisce mai di imparare.
Ci hanno hackerato: è colpa del webmaster! (dice il sistemista)
Il CMS, i plugin ed il template non vengono aggiornati attentamente e con continuità.
Lo zero day attack è la base delle tecniche utilizzate dagli hacker, perché la sua vulnerabilità è nota. Con zero day si intende che sono passati zero giorni da quando la vulnerabilità è stata conosciuta dallo sviluppatore e quindi lo sviluppatore ha “zero giorni” per riparare la falla nel programma prima che qualcuno possa scrivere un exploit per essa.
Ma non focalizziamoci solo su questo aspetto, perché il webmaster ha una lista importante di attività da configurare con attenzione:
- accesso all’amministrazione del sito web con tutte le cautele del caso, che vanno da un OTP alla limitazione dell’accesso da determinati IP;
- verifica dei form di registrazione utenti: configurare opportunamente il processo in modo che non permetta a sistemi automatici di registrazione nuovi utenti;
- verifica dei sistemi di invio e-mail o sms o notifiche perché siano limitati internamente al sito web .
Ci hanno hackerato: è colpa del sistemista! (dice il webmaster)
Cambia il soggetto, ma valgono gli stessi principi detti prima: Il web server non è aggiornato.
Vale anche in questo caso lo zero day attack, ma molto più spesso si tratta di dimenticanze o di configurazioni frettolose.
Definiamo una lista di configurazioni da non sottovalutare, che ricalca quella precedente:
- accesso all’amministrazione del server web con tutte le cautele del caso come indicate sopra;
- verifica di altri servizi attivi sullo stesso server, valutando con attenzione la sicurezza della modalità di accesso.
Siamo sotto attacco
Abbiamo visto fin dal principio della nascita di Internet una tipologia di attacco legata alla realizzazione di un flusso notevole di richieste tali da rallentare o addirittura impedire l’accesso al sito web. Questi attacchi possono riuscire a trovare falle importanti ed entrare in possesso dell’intero sistema, sia lato web server che lato sito web.
Ci sono tecniche e sistemi per mitigare questa tipologia di attacchi che si basano sul principio di riconoscere un flusso di richieste generate da un sistema automatico.
Teniamo aggiornata la lista dei cattivi
Occorre definire una lista precisa di una ripetizione di azioni che possono essere ritenute anomale. Un IP che supera le regole definite viene inserito nella blacklist e viene scartato dalla comunicazione. In modo similare si possono creare limitazioni geografiche, partendo dal fatto che l’amministrazione del sito molto probabilmente avverrà da un territorio circoscritto.
Questi sistemi sono oggi disponibili sia per i web server che per la maggior parte dei CMS disponibili.
Un vigilante all’interno dei nostri sistemi
Installare un applicativo capace di riconoscere comportamenti anomali, applicare rimedi o isolare la minaccia, è ormai una prassi consolidata per molti sistemisti e webmaster. Gli applicativi sono in continuo aggiornamento, per cui riescono a mantenere efficace la loro capacità di riconoscimento di una attività sospetta.
Possono essere impostati sistemi di report giornaliero nonché di notifica delle minacce più rilevanti.
Il servizio di ronda
Allo stesso modo degli applicativi che tengono monitorata l’attività del sito web dall’interno del server, ci sono sistemi di verifica dei servizi e delle configurazioni applicate dall’esterno.
Spesso al variare del costo, aumenta l’esecuzione di test malevoli effettuati allo scopo di valutare la robustezza dell’architettura costruita.
Penetration test programmati
Allenarsi duramente è la miglior pratica per essere pronti alla partita importante. Su questo principio nascono le attività di penetration test effettuate da specialisti della sicurezza informatica. Meglio essere pronti e soprattutto sapere su quali punti si è forti e su quali si deve applicare qualche correzione.
Imparare la lezione
I processi di lesson learned vengono sempre più applicati dalle società. Queste ritengono che sia proprio dagli errori che si impara.
Spesso essere vittima di un attacco informatico rappresenta l’unico modo con cui i clienti capiscono chiaramente che il tema sicurezza non è sottovalutabile. Meglio prepararsi proponendo un’analisi dettagliata e scegliendo il livello di sicurezza di cui si vuole disporre. Così facendo potremo reagire velocemente.
Se spesso diciamo che prevenire è meglio che curare, in questo caso diciamo che conoscere è la base del sapere.
