Island Hopping: in informatica, l’attacco alle piccole aziende

Immaginate di essere tranquillamente seduti su una comoda poltrona. Vi trovate in prima classe, siete su un treno ad alta velocità sulla via del ritorno a casa dopo una giornata di intensi impegni lavorativi. Ad un certo punto il vostro vicino di sedile vi rivolge la parola, chiedendovi se avete mai fatto il “salto tra le isole”;

voi a cosa pensereste?

In questo articolo vi parlo di una storia vera, di un’amicizia vera nata quasi per caso grazie al curioso argomento dell’island hopping.

Il termine island hopping suona come una eccitante vacanza ai Caraibi o in Grecia ma, purtroppo, questo termine si riferisce a una tecnica avanzata di cyberattacco che rappresenta una seria minaccia per le imprese.

L’island hopping non è un fenomeno passeggero o di nuova formazione. Il suo nome non risuona sui blog di sicurezza informatica al pari degli attacchi ransomware eppure, secondo le più importanti società di sicurezza informatica questo attacco informatico si è verificato sempre più di frequente negli ultimi mesi. La crescita del fenomeno ben presto travolgerà molte più imprese di quante si crede.

Ma ecco spiegato il perché di questo temibile pericolo.

• Introduzione sull’island hopping

• Il viaggio in treno

• Che cos’è l’island hopping?

• Un esempio concreto di island hopping

• Come difendersi

• Un piano di risposta

• Il mio punto di vista sull’island hopping

• Conclusioni

Breve premessa.

L’origine ufficiale del nome island hopping deriva da una strategia militare che gli Stati Uniti hanno usato nel Pacifico durante la Seconda guerra mondiale.

In un primo momento del conflitto, le forze americane occuparono alcune isole più piccole del pacifico. Tutte località in posizione strategica e che servivano per stabilirvi nuove basi militari. Questa strategia serviva per raggirare il nemico e per evitare di pianificare l’attacco diretto al Giappone passando unicamente dalla terraferma.

Questo permise loro di:

• avanzare da vari punti
• circondare effettivamente l’avversario
• aumentare la loro superiorità e influenza sull’obiettivo principale.

Ma torniamo a noi, nel mondo della sicurezza informatica, i criminali sfruttano spesso un approccio simile.

Durante gli attacchi di island hopping, l’azienda bersaglio viene attaccata da altre aziende più piccole.
Le aziende piccole, sfruttate per colpire l’obiettivo, sono nella maggior parte dei casi società esterne (società fornitrici di servizi nell’ambito di risorse umane, buste paga, marketing, sanità, ecc…) che lavorano a stretto contatto con l’azienda principale. Queste a loro volta sono controllate da un hacker che ha saputo sfruttare i loro punti deboli per infettarle e prenderne il controllo.

Poiché le aziende più piccole hanno spesso sistemi di sicurezza più vulnerabili, sono facili bersagli degli hacker. Una volta che i criminali infettano un’azienda partner, possono ottenere molto più facilmente dati sensibili dall’azienda principale attraverso e-mail o credenziali rubate.

Un venerdì pomeriggio come tanti altri, stavo rientrando a casa dopo alcuni giorni trascorsi per lavoro a Roma.
Il viaggio in treno permette, di tanto in tanto, di fare interessanti conoscenze sia personali che professionali, proprio come avvenne in quell’occasione.

Un distinto signore siede difronte a me e, dopo il classico rituale di verifica dei profili social, estrae il proprio pc portatile dalla borsa di lavoro.
Non riuscendo a connettersi alla rete wi-fi offerta dal treno, collega la propria chiavetta USB.

Nel frattempo, una distinta ed elegante signora chiede cortesemente se il figlio, che la accusava dalla partenza di impedirgli di connettersi alla rete lan del treno, potesse usufruire di questa connessione per collegarsi al suo gioco preferito.
Non ho mai capito se questo signore accettò per l’avvenenza della signora oppure per compassione verso la stessa visti e considerati i continui sfoghi di ira del bambino.

Tuttavia, onde evitare le maledizioni della mamma, mi sforzo di trattenermi e di non fare alcun tipo di osservazione in merito al potenziale rischio corso dall’imperterrito compagno di viaggio. Augurandomi che la connessione non dovesse durare troppo a lungo.

Cari lettori, non vi nascondo che ho pensato per tutto il tempo ai potenziali rischi web che la connessione condivisa portasse con sé: avevo la pelle d’oca.

Fortunatamente, arrivati a Firenze, la signora ringrazia l’uomo per la gentile concessione, saluta cordialmente e abbandona il treno, insieme al figlio.

A questo punto ho libero sfogo e posso permettermi di interrogare il compagno di viaggio in merito ad alcune questioni inerenti la sicurezza della connessione, ed in particolare se:

• fosse a conoscenza dei rischi che aveva corso facendo utilizzare la propria connessione a terzi?
• avesse idea dei siti sui quali il “piccolo hacker” abbia effettivamente navigato?
• conoscesse la tattica dell’island hopping per attaccare reti informatiche aziendali?

Nacque così una chiacchierata piacevole e scorrevole dove il mio compagno di viaggio mi racconta di essere a capo di una rete di promotori finanziari che opera a livello nazionale e che si era recato a Roma presso alcuni enti nazionali per il lancio di una nuova criptovaluta.

Contraccambio le presentazioni raccontando ad Ettore, lo chiamerò così per non svelare la sua vera entità, che sono un DPO, consulente per sicurezza e la protezione dei dati.
Premetto di non volerlo annoiare con un convegno sulla cyber security ma semplicemente di spiegargli cosa sia il “salto tra le isole”.

Ecco dunque che cosa ho raccontato quel giorno.

L’island hopping – il salto tra le isole – è, come ho accennato in premessa, una tecnica di attacco informatico utilizzata dagli hacker che si infiltrano nella rete informatica dell’azienda sfruttando strutture satellite strutturate e composte da tante aziende più piccole e indifese rispetto all’obiettivo principale.

In un attacco island hopping, l’hacker prende di mira un’azienda che tuttavia, dimostra di avere ottime difese informatiche e un IT security team preparato. A questo punto l’hacker cambia strategia: attraverso le sue attività di ricognizione scopre che l’organizzazione che ha intenzione di attaccare intrattiene rapporti professionali con altre organizzazioni. Proprio tra i suoi fornitori esiste un’azienda che non ha standard di sicurezza IT appropriati.

Ecco che l’hacker può arrivare al suo obiettivo indirettamente.
Infatti, bucando la rete informatica del fornitore, l’hacker riesce a risalire fino alla rete dell’azienda principale.

Secondo il Quarterly Incident Response Threat Report della società di sicurezza IT Carbon Black, il 50% di tutti i cyberattacchi sono creati anche per sfruttare la tecnica dell’island hopping.

Ebbene, questo numero è destinato ad aumentare poiché le grandi aziende pongono sempre più attenzione alla sicurezza delle loro infrastrutture IT. Ma non è finita qui, il report rivela anche altri dati rilevanti:

• Il 99% delle aziende italiane partecipanti allo studio ha dichiarato di aver subito una violazione dei dati a causa di un attacco informatico negli ultimi 12 mesi (con una media di 2,2 violazioni per organizzazione)
• Il 68% delle aziende interpellate ha ammesso di avere subito una violazione 2 o più volte
• L’85% dichiara inoltre che gli attacchi sono diventati più sofisticati
• Il 99% afferma di voler aumentare la spesa per le difese informatiche.

L’indagine mette poi in luce che la causa più frequente delle violazioni è stata identificata nel cosiddetto island hopping (26%). Infatti, i vettori di attacco nella catena di approvvigionamento si sono dimostrati essere un facile bersaglio per gli hacker.

Seguono le vulnerabilità del sistema operativo (18%) e gli attacchi ad applicazioni web (14%).

Uno degli esempi di island hopping è l’attacco al rivenditore americano Target.

I criminali informatici avevano violato il sistema del punto vendita e rubato le informazioni delle carte di credito e di debito di circa 40 milioni di clienti, causando quasi 300 milioni di dollari di danni all’azienda. L’attacco non è iniziato sui server di Target, bensì è iniziato alla Fazio Mechanical Services: una società responsabile del riscaldamento e dell’aria condizionata di Target.

Gli hacker hanno usato un malware per rubare le credenziali delle e-mail e poi hanno usato quelle stesse credenziali per accedere alle reti di Target.

Le strategie per proteggersi dall’island hopping possono essere molteplici

Tra queste vanno sicuramente citati i backup che sono essenziali quando si tratta di proteggere i dati dagli attacchi island hopping. I backup dei dati che funzionano correttamente e che sono effettuati regolarmente contribuiscono affinché gli attacchi ransomware e altri attacchi non causino danni irreparabili alla struttura informatica.

Altrettanto importante è delineare una procedura precisa e dettagliata definita in anticipo e da utilizzare in caso di un allarme di sicurezza in modo tale che ogni figura coinvolta sappia esattamente cosa e quando deve fare. Questo piano può essere messo in atto immediatamente e non appena venga rilevato un attacco.
Un’ulteriore protezione è fornita dall’autenticazione a più fattori e alla segmentazione della rete. Questi controlli assicurano che un aggressore non possa ottenere ulteriori accessi ad altre aree della rete aziendale.

Quando si tratta di creare un piano di risposta agli incidenti contro gli attacchi island hopping, ci sono diversi elementi che dovrebbero essere tenuti in considerazione.

Per prima cosa, vanno esaminati i file di log dei sistemi colpiti.
Questo aiuterà a scoprire quali altri accessi non autorizzati ci sono stati e quando sono stati rilevati dai sistemi. Una volta che un aggressore buca una rete aziendale, può usare questo accesso per entrare nella rete e restare silente per diverso tempo. I cosiddetti attacchi watering hole sono spesso usati a questo scopo, in cui l’intruso si fa strada tra un sistema e l’altro.

Ma come se ne accorge un’azienda?

Le aziende hanno bisogno di strumenti di monitoraggio della rete e degli endpoint per rilevare e fermare questi tipi di attacchi.
I sistemi di monitoraggio delle vulnerabilità di un’azienda aiutano anche a scoprire dove sono presenti i punti vulnerabili del sistema informatico e come porvi rimedio. Il monitoraggio degli account appena creati e qualsiasi modifica ai sistemi può anche fornire indizi se un account utente è stato compromesso. Ecco che tutto questo può aiutare a fermare più rapidamente gli attacchi di island hopping.

Ma per fermare davvero un hacker, le stesse misure dovrebbero essere estese alla terza parte coinvolta che ha accesso alla rete aziendale o ai servizi cloud utilizzati dall’azienda: i fornitori. Quindi, il fornitore di servizi dovrebbe mettere in atto quantomeno le stesse misure di sicurezza e tecnico-organizzative utilizzate dall’azienda principale.

La cooperazione tra le parti diventa così fondamentale proprio per evitare che le strutture siano isole abbandonate e in quanto tali facilmente attaccabili da terzi.

Anche da un punto di vista di diritto della protezione dei dati, il titolare del trattamento deve essere in grado di documentare la scelta dei fornitori in base a determinati principi di sicurezza; l’azienda può e deve ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

Ecco che uno strumento flessibile, non invasivo, modulabile ma di grande efficacia come il test delle vulnerabilità si rivela essere uno strumento affidabile ed adeguato non solo per la sicurezza della propria rete aziendale ma anche per la misurazione e controllo delle aziende partner.

Proteggere i dati personali deve essere una priorità assoluta per i proprietari di aziende.

Per proteggere efficacemente i dati dai criminali, un primo approccio è quello di educare e sensibilizzare i dipendenti sulla sicurezza delle informazioni. Un’azienda dovrebbe stabilire politiche e procedure precise per prevenire le violazioni della sicurezza. Infatti, è anche consigliabile implementare l’autenticazione a due fattori per rendere difficile la violazione di un sistema.

Inoltre, il backup dei dati dovrebbe essere disponibile su luoghi di archiviazione diversi dal computer di lavoro. Gli spazi cloud o i dispositivi di archiviazione USB possono essere utilizzati per questo scopo, per esempio.

Inoltre, anche altre tipologie di prodotti devono essere prese in considerazione quando si tratta di hacking: non solo i computer e i portatili, ma anche i telefoni dei dipendenti, i tablet e altri dispositivi IoT sono vulnerabili ai cyberattacchi. Senza dimenticare le e-mail di phishing.

Parallelamente alla tecnologia, anche il fattore umano deve essere preso in considerazione. I dipendenti dovrebbero essere formati in anticipo su come identificare allegati e link sospetti nelle e-mail.

In generale, il software e i programmi antivirus dovrebbero essere sempre aggiornati per proteggere i dati da malware. Ai venditori e ai clienti non dovrebbe essere concesso l’accesso diretto a una rete aziendale previe tutte le misure di sicurezza adeguate. In questo contesto, sempre più imprenditori si spingono fino a indicare determinati standard di cybersecurity negli accordi contrattuali.

Così la chiacchierata si concluse.

Tra discorso sulle cripto valute e saltando di isola in isola arrivammo a destinazione dove le nostre strade si separarono solo momentaneamente. Nacque un rapporto di lavoro e di amicizia che culminò con un vero island hopping tra le isole croate; di tanto in tanto ricordiamo ancora il nostro primo incontro che culminò con la domanda

ma lei ha idea di cosa sia un island hopping?

Da quel giorno, Ettore non solo dedica molta più attenzione alla formazione continua del personale ma si fa coadiuvare da una reportistica mensile che nasce dal test di vulnerabilità della rete informatica.

Il Vulnerability Assessment è la scuola migliore da cui imparare a proteggersi, un film della propria azienda che racconta chi, come e cosa abbia (o non abbia fatto) per evitare un attacco informatico.
Inoltre, uno dei parametri utilizzati nella scelta dei fornitori è diventato proprio quello dell’utilizzo di uno strumento continuativo di verifica della sicurezza della rete informatica aziendale. Da quel giorno, Ettore si sincera che anche i propri fornitori abbiano messo in atto adeguate misure tecniche organizzative a tutela del patrimonio digitale della sua azienda. Il Vulnerability Assessment si presta perfettamente a questa necessità in quanto oltre a garantire una difesa attiva ed in continuo aggiornamento fornisce la reportistica necessaria a formalizzare quella responsabilizzazione richiesta dal GDPR alle parti coinvolte.

La messa in sicurezza di un sistema informatico è una scala, non una porta.

Articolo di:

• DPO certificato UNI:11697 e professionista certificato CSF NIST
• Lead auditor ISO 27001, 27701, 22301

Visita il profilo Linkedin