Protezione dell’end point vs decrittografia: consigli per proteggere il traffico SSL

Sicurezza

Gli attaccanti stanno usando servizi popolari di terze parti per rubare dati: ecco qualche consiglio su ciò che puoi fare per fermarli.

La crittografia è fondamentale per proteggere le comunicazioni online. Ecco perché sta diventando sempre più largamente usata dai siti web e dai servizi online. Ma la crittografia è un po’ un’arma a doppio taglio. Basta chiederlo a chi si è ritrovato con il proprio computer o telefono bloccato da un ransomware. Non essendo in grado di decrittografare le informazioni, specialmente quando si dovrebbe giustamente avere accesso ad esse, ti pone in un grave svantaggio.

Artturi Lehtiö, ricercatore di F-Secure, è tornato su questo argomento recentemente durante la conferenza VB2015 di Virus Bulletin. Lehtiö ha tenuto una presentazione (puoi leggerne il report qui) su come gli attaccanti stiano usando i servizi di terze parti come infrastruttura di comando e controllo per gli attacchi. Molti servizi popolari di terze parti (per esempio Twitter) usano la crittografia SSL per proteggere il traffico che passa sulla loro rete, che è quanto un servizio responsabile dovrebbe fare.

La ricerca di Lehtiö sottolinea un effetto collaterale che questa misura di sicurezza comporta per le aziende.  Essenzialmente, finisce con l’impedire a molti strumenti di sicurezza (come i firewall) di poter ispezionare o filtrare traffico potenzialmente malevolo o indesiderato. Fondamentalmente, gli attaccanti stanno usando questo livello di crittografia SSL per nascondere i loro attacchi.

“Se dovessi dirlo in poche parole – sottolinea Lehtiö – direi che gli attaccanti stanno usando certi servizi di terze parti per non farsi intercettare dalle soluzioni di sicurezza aziendale. Molti servizi online usano la crittografia per evitare che i dati vengano intercettati o rubati mentre sono in transito, ma il rovescio della medaglia è che così facendo misure di sicurezza come i firewall non sono in grado di identificare traffico malevolo. È una vera sfida per le aziende, e la mia ricerca ha dimostrato che attaccanti come i Dukes utilizzino a loro favore questo vantaggio nei loro attacchi.”

I documenti di Lehtiö evidenziano come i Dukes fossero in grado di usare Twitter per coordinare la diffusione di malware e Microsoft OneDrive per estrarre dati rubati dai loro obiettivi. Esempi come questi dimostrano l’efficacia di convertire la crittografia SSL da misura di sicurezza in minaccia.

Quindi le aziende come possono ispezionare il traffico SSL per prevenire che gli attaccanti usino questi servizi di terze parti come risorse per attacchi? Jarno Niemelä, Senior Researcher di F-Secure dà alcuni consigli a riguardo.

“Le organizzazioni che usano la decrittografia per il traffico in uscita devono prestare molta attenzione nel selezionare la soluzione che useranno per la decrittografia,” ha spiegato Niemelä. “Per decrittografare il traffico in uscita, la soluzione di decrittografia deve implementare un SSL man-in-the-middle. In pratica, ciò significa che tutti gli end point devono avere un certificato CA che può essere usato per generare un certificato man-in-the-middle per ogni servizio”.

Il modo più semplice per fare questo è generare per un particolare vendor un certificato CA master per tutti i dispositivi o software che vende. Sfortunatamente, questo è anche il più pericoloso per le aziende, poiché significa in sostanza che chiunque capace di fare reverse engineering del dispositivo/software otterrà la chiave e sarà in grado di accedere a qualsiasi cosa utilizzando lo stesso dispositivo/software. Per questo Niemelä dice che questa opzione dovrebbe essere fuori discussione per ogni organizzazione.

Afferma poi che un modo migliore per aggirare questo problema è generare un certificato singolo per ogni organizzazione. Ciò vorrebbe dire che un attaccante dovrebbe prendere di mira l’organizzazione in modo specifico per rompere la sua crittografia (a differenza di dispositivi/software di un vendor particolare), il che significa che l’organizzazione potrebbe esercitare una maggiore influenza sulla propria sicurezza. “Questo è un approccio migliore, ma quelle chiavi di decrittografia devono essere difese in stile Fort Knox, e questo può creare problemi piuttosto che risolverli”, ha affermato Niemelä.

Tuttavia, come molte altre sfide nella sicurezza, la soluzione più efficace rimane concentrarsi sugli end point. Generare certificati unici per ciascun dispositivo che ne ha bisogno proteggerebbe un’organizzazione dall’esporre l’intera rete nel caso in cui un dispositivo particolare venga compromesso. “Questo approccio assicura che l’unico modo per abusare dei privilegi di decrittografia conferita dal certificato richiede un compromesso totale del dispositivo in questione, nel qual caso la decrittografia del traffico è un punto discutibile,” ha dichiarato Niemelä.

Inoltre, dare priorità alla protezione degli end point può eliminare la necessità di decrittografare il traffico SSL in uscita interamente, poiché una protezione dell’end point affidabile rileverà il malware che gli attaccanti stanno cercando di controllare eseguendo traffico malevolo attraverso servizi crittografati SSL di terze parti. E la visibilità sia sugli end point che sulle reti darà agli amministratori IT le risorse di cui hanno bisogno per interrompere gli attacchi.

“Spesso è sufficiente sapere che i clienti si comportano in modo strano, come nel caso in cui stiano caricando enormi quantità di documenti a servizi di terze parti che non vengono utilizzati per i backup aziendali,” ha spiegato Niemelä. “Tu non devi decrittografare ogni cosa per vedere questo poiché puoi dirlo solo dall’ammontare del traffico generato da un certo cliente, quindi è una buona opzione per le aziende che non vogliono rischiare di fare pasticci con la crittografia.”

Articolo tratto da “Endpoint Protection vs. Decryption: Tips for Securing SSL Traffic” di Adam Pilkey, Content Editor Corporate Communications di F-Secure Corporation.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: