Il colore della sicurezza informatica è il blu e il perché è presto detto. Come è prassi comune, ogni evento critico di sicurezza informatica riceve ufficialmente un titolo e quelli che stiamo per analizzare in questo articolo sono tutti collegati dallo stesso “colore”, il blu, contenuto nel nome assegnato.
Anche in tempi passati, alcuni tentativi di hacking o eventi legati alla sicurezza informatica sono stati denominati usando lo stesso colore.
Negli ultimi due anni, poi, abbiamo assistito ad una serie di eventi legati alla sicurezza informatica con un elevato livello di rischio, alcuni dei quali sono vulnerabilità del software, o del protocollo di comunicazione, altri sono legati alla scoperta dell’esistenza dei cosiddetti exploit, cioè programmi in grado di sfruttare le vulnerabilità ed effettuare un attacco al sistema dove la vulnerabilità è presente.
A partire dagli Anni 60 fino ai tempi attuali rivedremo dunque alcuni dei più famosi fenomeni “cyber”, a cominciare dal più devastante exploit mai messo in opera su Internet. Tutti, ovviamente, accomunati da una comune caratteristica: il colore blu nel nome.
Indice degli argomenti
EternalBlue
Il 14 aprile del 2017 un gruppo di hacker noti con lo pseudonimo di Shadow Brokers, rilascia in Internet l’exploit nominato EternalBlue. Questo exploit, vale a dire un codice in grado di sfruttare una vulnerabilità dei sistemi Windows, faceva parte dell’arsenale di armi cibernetiche di una delle più potenti organizzazioni in ambito cyber war, cioè la ben nota NSA (National Security Agency).
Questo codice verrà poco dopo utilizzato in uno dei più devastanti attacchi a Internet, tramite un ransomware chiamato WannaCry, che mieterà numerose vittime anche in grandi aziende internazionali e provocando centinaia di milioni di dollari di danni.
La vulnerabilità che ha permesso il successo di questo attacco è una falla nel protocollo Server Message Block (SMBv1) di Windows, catalogata da Microsoft come MS17-010, di cui verrà fatta anche una patch di sicurezza un mese prima del rilascio di EternalBlue.
Molti sistemi, però, saranno senza di essa al momento dell’arrivo di WannaCry e verranno colpite senza pietà tutte le versioni Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, e Windows Server 2016.
Dopo WannaCry un nuovo ransomware, denominato NotPetya, che prendeva di mira ancora i sistemi Windows infettando il Master Boot Record (MBR), si diffuse con scopi puramente distruttivi in numerosi sistemi ed organizzazioni in Ucraina, ma diffondendosi poi rapidamente ben oltre i suoi confini. Anche in questo caso veniva richiesto, per lo sblocco, un pagamento in Bitcoin.
Questo exploit EternalBlue recentemente è tornato alla ribalta perché ha permesso un attacco ransomware con il blocco di migliaia di computer in tutta la città di Baltimora nel Maryland. Ha causato l’interruzione di ogni tipologia di attività e servizio erogato da aziende e organismi istituzionali.
BlueBorne
Si tratta di una serie di ben otto vulnerabilità scoperte nel 2017 nel protocollo Bluetooth usato per connettere dispositivi tra loro a breve distanza per scambiarsi velocemente file. Le vulnerabilità consentono di portare a termine un attacco in maniera automatica, senza quindi la necessità di digitare alcuna password o autorizzarne l’accesso né di effettuare l’accoppiamento dei dispositivi.
Colpisce tutti i dispositivi Linux, Android, iOS e Microsoft.
Chi sferra questo attacco può prendere il controllo dei dispositivi, accedere a reti interne, riuscire a installare malware, agendo sia come attacco Man-in-the Middle che come Remote Code Execution (RCE).
L’attacco si svolge in vari stadi:
- innanzitutto, l’attaccante localizza connessioni attive Bluetooth intorno a lui;
- quindi recupera il loro indirizzo fisico MAC e determina il sistema operativo;
- infine, lancia l’exploit che sfrutta le vulnerabilità del protocollo Bluetooth.
Una patch per questa vulnerabilità è stata rilasciata a settembre 2017.
BlueKeep
Questa vulnerabilità scoperta lo scorso mese di maggio sembra poter ripetere i fasti dell’attacco WannaCry, in quanto si tratta di una criticità ti tipo wormable, ovvero capace di diffondersi contagiando altri sistemi in modo automatico.
Si tratta di una falla nel protocollo Remote Desktop Services (RDP) di Windows e potrebbe consentire ad un attaccante di accedere ad una macchina senza alcuna autenticazione.
Al momento di scrivere non esiste ancora un exploit disponibile pubblicamente ma solo dei “Proof of Concept” (PoC).
Tecnicamente, si tratta di sfruttare i canali virtuali usati dal protocollo RDP. In particolare, ci sono 32 canali virtuali statici e canali dinamici contenuti all’interno di quelli statici. Se un server lega il canale MS_T120 (un canale per cui non esiste nessuna legittimazione di un client a collegarvisi) ad uno statico oltre il 31, il contenuto della memoria può venire modificato al di là delle intenzioni originali del programmatore, aprendo la possibilità di eseguire comandi da remoto o un intero codice da remoto sulla macchina vittima, con conseguenze sicuramente critiche.
L’allarme su questa vulnerabilità resta tuttora molto elevato.
Classificata come CVE-2018-0708, Microsoft ha già rilasciato la relativa patch di sicurezza (per forzare il canale MS_T120 sul canale 31), per cui i sistemi devono essere prontamente aggiornati.
Ulteriori misure di sicurezza includono, la disabilitazione del servizio RDP e/o la chiusura delle relativa porta se non utilizzati e l’introduzione di autenticazione forte nei sistemi.
BlueBox
Negli Anni 60 in America si diffuse il fenomeno del “phreaking”, ovvero la capacità di effettuare telefonate gratuitamente.
Il famoso Captain Crunch, fu uno dei primi hacker a sfruttare questa capacità. Egli venne nominato così dal nome di una scatola di cereali in cui trovò un fischietto il cui suono aveva una frequenza di 2600 Hz tale che avvicinandolo alla cornetta telefonica permetteva di telefonare gratis. Infatti, questa era la stessa frequenza usata dalle centrali dell’operatore AT&T per indicare che una linea era pronta e disponibile per instradare una nuova chiamata. Il tono inserito con il fischietto disconnetteva un lato della linea, permettendo all’altro lato ancora connesso di entrare in modalità operatore.
In seguitò realizzò un vero e proprio dispositivo chiamato BlueBox che generava altri toni in multi frequenza, corrispondenti ai messaggi di segnalazione e questi venivano mandati direttamente sulla linea telefonica accostandoli al microfono della cornetta telefonica.
Consentiva quindi all’hacker di alterare la segnalazione tra le centrali telefoniche mandando in banda i comandi alle centrali per instradare la chiamata verso la destinazione voluta, pur chiamando un numero differente, e ingannando quindi il sistema di tariffazione del gestore telefonico su cui veniva originata la chiamata.
Questa vulnerabilità era limitata alle centrali di instradamento chiamate, con segnalazione in banda, oggi di fatto non più sfruttabile dalle moderne tecnologie, ma il fischietto di Captain Crunch è diventato un oggetto di culto.
Blue-Screen-Of-Death
Come non ricordare la schermata blu di errore dei sistemi Windows (NT in primis) degli anni 2000. Questa era causata da un errore di sistema critico che non poteva essere risolto autonomamente.
Il termine BSoD è spesso diventato un modo di dire in vari ambiti industriali per indicare una generica condizione di errore di un sistema.
Nel database NIST (National Institute of Standards and Technology) è possibile recuperare informazioni su vulnerabilità note, ufficialmente classificate e che possono ancora oggi causare eventi di tipo BSoD, di fatto accostandolo alla famiglia di attacchi di tipo DoS (Denial of Service) in quanto rende indisponibile per un certo tempo il sistema attaccato.
Solo per fare un esempio, riportiamo di seguito una vulnerabilità CVE (Common Vulnerability Enumeration) catalogata nel 2018, quindi molto recente, nonostante siano ormai passati quasi 20 anni dalla prima scoperta della schermata BSoD:
CVE-2018-0833: The Microsoft Server Message Block 2.0 and 3.0 (SMBv2/SMBv3) client in Windows 8.1 and RT 8.1 and Windows Server 2012 R2 allows a denial of service vulnerability due to how specially crafted requests are handled, aka “SMBv2/SMBv3 Null Dereference Denial of Service Vulnerability”.
Un attacco portato ad un sistema sfruttando questa vulnerabilità può comportare il crash del sistema che a sua volta si può manifestare come BSoD.
BlueWhale
Parliamo, infine, di un fenomeno venuto alla ribalta della cronaca circa 3 anni fa che riguarda un gioco inventato in Russia in cui il protagonista compie una serie di azioni pericolose fino ad arrivare alla tragica conclusione del suicidio.
Le prove prevedono un progressivo avvicinamento al suicidio attraverso pratiche di autolesionismo, comportamenti pericolosi e la visione a film dell’orrore e altre presunte “prove di coraggio”, che vengono documentate con gli smartphone e condivise in rete sui social.
La sua emulazione ha portato poi altri ragazzi nella realtà ad una grande suggestione mediatica. BlueWhale prende spunto da un fenomeno naturale: questi imponenti cetacei per diversi motivi si possono spiaggiare sulle coste con il rischio di non essere più in grado di rientrare in acqua.
Pur non essendo una vera vulnerabilità tecnica in termini informatici, ha scatenato commenti e studi da parte di numerosi esperti in materia, collegando questo fenomeno anche al mondo del cyberbullismo e delle fake news dove il confine con la cybersecurity diventa oggi sempre più sottile.
Conclusioni
Come abbiamo visto, tanti eventi e fenomeni del mondo della cyber security condividono il colore blu, ma non solo nell’eccezione del pericolo o della minaccia.
Esistono in tante aziende, infatti, i cosiddetti BlueTeams, ovvero gruppi di persone che lavorano nell’ambito della difesa informatica, analizzando la sicurezza dei sistemi per scoprire debolezze e vulnerabilità al fine di prevenire il possibile verificarsi di incidenti malevoli.
L’hacking delle cose (HoT), insomma, continua la sua storia sempre nel segno del colore blu.
