Odio e pericoli online / 2. Cosa fare per proteggersi dalle intrusioni

Zoom bombing, sicurezza in rete e implicazioni sociali. Ne parliamo con l’esperto informatico forense Gianluca Buttigliero

Gianluca Buttigliero
Gianluca Buttigliero

Roma (NEV), 29 gennaio 2021 – Dopo la prima puntata sull’odio e i pericoli online, insieme a Stefano Frache, andiamo avanti nell’analisi con l’aiuto di Gianluca Buttigliero. Classe 1984, Buttigliero è un consulente informatico con 20 anni di esperienza. È junior partner dello Studio Associato “DIFOB”, specializzato in informatica forense. Una pagina fondamentale della sua formazione si svolge presso il centro Ecumenico Agape, nelle valli valdesi in Piemonte, dove durante le esperienze di campo lavoro ha la possibilità di contribuire alla realizzazione di una delle prime reti di territorio basate interamente su software open-source.

L’agenzia NEV lo ha intervistato.

Qual è l’entità dei fenomeni di violazione informatica?

La pandemia ha radicalmente cambiato anche le modalità di lavoro e le abitudini digitali delle persone; strumenti come VPN, VOIP e Client di Videoconferenza hanno, gioco forza, scalato le classifiche di utilizzo dei software/servizi/webapp.

Questo cambiamento repentino ha generato un ulteriore incremento di informazioni circolanti sulla rete; questo ha, inevitabilmente, generato anche ulteriori attenzioni da parte di tutti, compresi i malintenzionati.

In generale, Il Covid-19 ha generato alcuni meccanismi nelle persone che hanno facilitato numerosi attacchi informatici. La creazione di app mobile dedicate ad esempio al monitoraggio della pandemia, magari contenenti malware dedicati o il phising[1] con mail o sms provenienti da organizzazioni sanitarie hanno creato nuovi ed originali vettori di attacco, ultimamente sempre più focalizzati sul data-stealing[2]. In merito a questo è opportuno inoltre segnalare che, negli ultimi due anni, c’è stata una nuova ed importante impennata di attacchi con ransomware[3]; essi, nelle ultime varianti, oltre a chiedere il riscatto in cryptovalute[4] per farvi riavere i dati, richiedono spesso una quota aggiuntiva per non divulgarli in rete.

Può fornirci qualche dato?

Gli ultimi anni hanno visto una clamorosa impennata della quantità di attacchi informatici; basta pensare che nel 2019 i security breach[5] sono aumentati del 67% rispetto agli ultimi 5 anni precedenti (Accenture). Uno studio di Breach Level Index, analizzando i data breach resi pubblici nel 2018, parla di qualcosa come 18,5 milioni di record compromessi durante l’anno, circa 214 record al secondo. Inoltre, un report di Kaspersky Lab parla di più di 24 milioni di nuove firme di oggetti malevoli nel 2019, con un incremento del 14% rispetto al 2018.

Parlando di web, WordPress, un CMS[6] utilizzato in circa 27 milioni di siti presenti, ha visto come segnalate, solo ne 2018, 542 nuove vulnerabilità ad esso legate (anche tramite plugin di 3° parti).

Nel caso delle app di meeting, stiamo comunque parlando di numeri enormi. Nel caso di una piattaforma, ad esempio nel solo caso di Zoom, che è passata da avere 10 milioni di utenti al giorno prima della pandemia, a 300 milioni al giorno nel mese di aprile 2020. Va da sé che gestire la sicurezza di piattaforme che hanno incrementato i propri utenti di 30 volte in pochi mesi può non essere così semplice né immediato.

E lo “Zoomboming”?

Lo Zoomboming è classificato, come tipologia di attacco informatico, nella categoria degli Hijacking e, nello specifico, Session Hijacking. Sono attacchi nei quali un utente malevolo sfrutta una sessione legittima per guadagnare un accesso non autorizzato ad una determinata risorsa o sistema.

In merito allo Zoombombing, una ricerca congiunta di ricercatori della Boston University e della Binghamton University ha preso in esame un campione rilevante di inviti a sessioni di zoombombing, tra 4chan e Twitter, nei primi 7 mesi del 2020. La maggior parte di esse sono risultate possibili non tramite vulnerabilità tecnica (ad esempio, bruteforcing[7] dell’ID di sessione), ma tramite condivisione del link di invito e delle credenziali di accesso (specialmente tra studenti delle superiori). Inoltre, nei post con argomento Zoom, i post relativi ad inviti a sessioni di zoom bombing sono risultati numericamente superiori a quelli di discussione tecnica.

È forse questo il dato più preoccupante: buona parte di questi attacchi è perpetrata tramite la condivisione volontaria di link su piattaforme pubbliche a sessioni con un basso livello di sicurezza.

Quindi, cosa assolutamente bisognerebbe fare e cosa no, quando si organizza un evento digitale?

Gli attacchi più comuni sono basati su link condivisi di sessioni senza controllo su login utenti, bruteforcing dell’ID della sessione, recupero di link a sessioni su strumenti già compromessi (i.e. caselle mail bucate) o inviti su piattaforme pubbliche (Twitter e 4Chan, i.e.)

Possiamo lavorare sostanzialmente su 2 aspetti:

1) Tecnico: esistono falle che sfruttano problemi tecnici presenti sulla piattaforma o sul client; su di essi non abbiamo controllo diretto, possiamo solo mantenere il client aggiornato e utilizzare connessioni sicure per collegarci eventualmente alla webapp.

2) Umano – organizzativo: l’educazione ad una cultura della sicurezza è fondamentale; in caso di azienda, potremmo utilizzare delle policy utente dettagliate per descrivere quali precauzioni è necessario adottare.

I punti principali sono:
  • Non inviare pubblicamente il link della sessione, ma utilizzare solo canali sicuri per trasmetterlo.
  • Evitare sessioni pubbliche e creare riunioni accessibili solo tramite link di invito.
  • Utilizzare la “sala d’attesa” per verificare la legittimità degli utenti prima di ammetterli alla sessione.
  • Evitare l’utilizzo delle sale riunioni “personali”, ma preferire quelle create ad-hoc per ogni sessione.
  • Permettere il join al meeting degli utenti solo dopo che l’organizzatore si è collegato.
  • Limitare le funzionalità di default degli utenti, quali desktop sharing, mute control etc; disabilitare la possibilità di fare l’upload di file di default.
  • Se possibile, disabilitare l’uso della videocamera al login.
  • Evitare di aprire link su mail per meeting che sembrano sospetti o ai quali non siete stati invitati

Zoom ha inoltre rilasciato una guida completa (https://blog.zoom.us/keep-uninvited-guests-out-of-your-zoom-event/ )su come rendere il più possibile sicure le sessioni.

Cosa è cambiato dai tempi del cosiddetto Hacktivism?

Parlerei di una nuova e preoccupante forma di Hacktivism. Anche se il paragone è azzardato, non si può non riconoscere una similarità tra l’hacktivism[8] di fine anni ‘90 e i fini per cui vengono sfruttate le sessioni di Zoom bombing. Nel caso specifico, alcune sessioni di organizzazioni per i diritti umani, politiche o no-profit hanno subito intrusioni da parte di gruppi organizzati che hanno veicolato contenuti e messaggi che incitano all’odio razziale, all’intolleranza e alla violenza.

Stiamo inoltre parlando di una rete di connessione e di scambio molto più partecipata, in cui un singolo post può agevolmente raggiungere persone in tutto il mondo, ed organizzare gruppi è diventato molto più veloce e facile.

In questo caso, parliamo sicuramente di un hacktivism con presupposti ben diversi, sia tecnici che etici e politici, da quello presente in rete negli anni ’90 e 2000, ma occorre porre comunque molta attenzione al fenomeno.


Link utili:

https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic

https://www.ic3.gov/Media/Y2020/PSA200401

https://www.burwood.com/news/zoom-bombing

https://arxiv.org/pdf/2009.03822.pdf (uno studio a campione sui post di zoombombing)


Note

[1] Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale

[2] Il data-stealing è una tecnica che mira a rubare i dati di un utente.

[3] Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.

[4] Il vocabolo criptovaluta o criptomoneta è l’italianizzazione dell’inglese cryptocurrency e si riferisce ad una rappresentazione digitale di valore basata sulla crittografia.

[5] Un security breach si verifica quando un attaccante ottiene un accesso non autorizzato al sistema o ai dati protetti di una organizzazione.

[6] Un CMS è uno strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web.

[7] Con metodo forza bruta (bruteforce) nella sicurezza informatica, si indica un algoritmo di risoluzione di un problema dato che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta.

[8] Hacktivism è un termine che deriva dall’unione di due parole, hacking e activism e indica le pratiche dell’azione diretta digitale in stile hacker.