Le attività illecite volte alla penetrazione non autorizzata nel perimetro protetto di aziende e organizzazioni seguono delle fasi ben precise, che è necessario (ri)conoscere per mettere in campo efficaci strategie di difesa: il pattern di attacco è infatti sempre preceduto da un momento preliminare, chiamato information gathering o reconnaissance, caratterizzato da una meticolosa attività di reperimento di dati o informazioni di contesto che verranno utilizzate, nelle fasi successive, come fossero i tasselli di un puzzle, per costruire uno scenario credibile e aprire una breccia nei sistemi target.
Indice degli argomenti
Information gathering: individuare i propri punti deboli
L’elemento che non deve sfuggire al vertice manageriale, impegnato a pianificare tattiche difensive, è che l’information gathering non è un task lasciato al caso ma un processo metodologico altamente standardizzato che richiede elevate competenze tecniche, oltre a importanti capacità analitiche e tratti psicoattitudinali come la precisione, l’ordine e la meticolosità: se gli ingredienti sono tutti presenti, molto probabilmente avremo di fronte uno scenario insidioso, in cui l’attaccante riuscirà, presumibilmente, ad innestare il suo attacco nel primo punto debole che, combinando le informazioni, riuscirà ad individuare.
L’information gathering si può immaginare inoltre come un processo ciclico: le due sotto-fasi di scoperta e di analisi dei risultati, si ripetono ogni volta che viene individuata una nuova informazione che arricchisce il disegno e la rappresentazione dell’organizzazione vittima.
L’obiettivo dell’attaccante, in fase di reconnaissance, è quello di scoprire quanto più possibile sul suo target, con particolare riferimento a due macroaree fondamentali: il business e l’infrastruttura.
Del business aziendale, l’attaccante cercherà di individuarne la tipologia, le caratteristiche salienti, gli asset strategici, i prodotti e i servizi, gli stakeholder e, non meno importante, i ruoli organizzativi coinvolti (lavoratori, dipendenti, collaboratori, fornitori).
Successivamente sarà necessario conoscere l’infrastruttura operativa, allo scopo di intercettare un entry point utilizzabile per l’exploit: ecco che l’attaccante cercherà di scoprire di più sul network dell’organizzazione, sui piani di indirizzamento IP, sui sistemi utilizzati, sui servizi, sui domini e sottodomini e sugli indirizzi di posta elettronica, utilizzabili per campagne di phishing.
Le tecniche di information gathering
Le tecniche utilizzate per scoprire questa grande moltitudine di informazioni possono essere di due grandi tipologie: passive o attive.
Le tecniche passive utilizzano algoritmi di Open Source INTelligence (OSINT), attraverso cui è possibile estrarre dati da fonti pubbliche, senza rivelare la propria presenza.
Tra le metodologie che l’attaccante privilegia all’interno di questa prima categoria, vi è sicuramente la consultazione dei motori di ricerca: è infatti possibile conoscere molti dettagli di un’organizzazione navigando sul sito web istituzionale, sulle pagine che illustrano l’attività, i prodotti o i servizi, la localizzazione e posizione geografica ma anche, ad esempio, scoprire dettagli sui sistemi e le tecnologie utilizzate, curiosando tra le skill richieste negli annunci sulle posizioni lavorative aperte.
Ma questo è solo l’inizio. La consultazione dei motori di ricerca (Google ad esempio), può avvenire anche con interrogazioni complesse, che utilizzino operatori avanzati:
- l’operatore “cache:” visualizza la versione del sito memorizzata nella memoria del provider, che magari mantiene qualche informazione strategica nonostante il titolare della piattaforma online possa credere, illusoriamente, di averla rimossa;
- l’operatore “link:” visualizza tutti i collegamenti presenti nel dominio richiamato e può aiutare ad identificare interconnessioni funzionali e potenziali stakeholder;
- l’operatore “site:” aiuta a circoscrivere qualsiasi tipo di parola chiave, anche su scala globale, al dominio target;
- l’operatore “filetype:”, contribuisce ad estrarre documenti condivisi e, da questi, ulteriori metadati (la data di creazione, il luogo, la data di modifica, l’autore ecc.).
La ricerca “invisibile” continuerà attraverso lo studio dei social network: in maniera più o meno automatizzata, è possibile ottenere un numero impressionante di informazioni sui lavoratori dell’azienda, sia professionali (attraverso LinkedIn, ad esempio), sia riconducibili alla biografia e alla sfera personale del lavoratore (opinioni, sensazioni, aspettative sui progetti, interessi, condivisione di mission e valori).
Tali informazioni rappresentano il materiale privilegiato per la costruzione del pretext (scenario) di attacco perché, da un lato, permettono di costruire una proiezione attendibile delle relationship e della cerchia sociale dei lavoratori dell’azienda “sotto tiro” e, dall’altro, arricchiscono lo scenario artificiale di caratterizzazioni semantiche, in grado di suscitare nella vittima il riconoscimento di un significato che, presumibilmente, la solleciterà all’azione.
Le tecniche passive, peraltro, non si limitano alla scoperta di informazioni legate alle attività di impresa e alla biografia dei lavoratori: attraverso tool più o meno potenti, da whois a maltego, da dig a nslookup, è possibile conoscere, attraverso un nome di persona o la semplice URL del sito web, tutta una serie di informazioni sull’architettura operativa come, ad esempio, l’owner del dominio, gli indirizzi IP dei server DNS, gli indirizzi IP dei sottodomini, i mail server, i contatti tecnici degli eventuali provider coinvolti (utili per simulare un attacco basato su impersonation, un caso di scuola in scenari di social engineering).
Una volta mappati, in una “lavagna” meticolosamente disegnata, i pezzi del puzzle necessari per il disegno di attacco, l’attaccante non dovrà fare altro che analizzarli, studiarne la “forma”, cioè la morfologia logica, per trovare il modo di metterli insieme.
Se è stato così fortunato da localizzare un punto di accesso (ad esempio un server) con indirizzo IP pubblico, potrà raffinare le sue conoscenze sull’infrastruttura attraverso le tecniche attive (la scoperta degli host connessi, la scansione di porte e servizi in ascolto, il vulnerability assessment ecc.); in caso contrario, potrà sempre ripiegare sul confezionamento di un vettore credibile, da distribuire con metodologie di social engineering.
Ad ogni modo, le tecniche attive sopra richiamate, come l’host discovery, lo scanning, lo sniffing, il vulnerability assessment, richiedono certamente un’interazione diretta con il perimetro sotto attacco, il cui effetto sul sistema può essere tracciato dai log del sistema di monitoraggio o dagli IDS aziendali.
Contromisure e strategie di difesa
Sotto il profilo difensivo, si evidenzia che le contromisure e le strategie di difesa utili contro l’information gathering possono seguire e ricalcare efficacemente la dicotomia sopra richiamata, che distingue tra tecniche passive ed attive.
Se, infatti, nel caso delle tecniche passive che sfruttano informazioni pubbliche, la contromisura efficace è quella di ridurre il footprinting, cioè l’impronta, che l’organizzazione rilascia verso l’esterno, anche attraverso una formazione specifica delle risorse umane, per istruirle su quali informazioni si possano diffondere e quali mantenere riservate, nell’ipotesi di tecniche attive diventa fondamentale implementare un efficace sistema di tracciatura e monitoraggio degli eventi anomali, che dia contezza al Responsabile dei Sistemi Informativi dell’attacco in atto, in modo che possa tempestivamente gestire l’incidente con il flusso di risposta adeguato.
