Lo smart working come soluzione per garantire il distanziamento sociale e nel contempo la sopravvivenza delle attività lavorative, durante la diffusione della malattia COVID-19, ha avuto certamente anche un impatto diretto sulla sicurezza informatica aumentando la sua superficie di attacco.
Smart working e attacchi informatici
Uno studio condotto dal Politecnico di Milano rivela ad esempio che in Italia, dall’inizio delle misure restrittive, il traffico dati dalle abitazioni è aumentato nella misura del 20-50%, registrando in solo due settimane pressoché un raddoppio degli smart worker rispetto a un numero di partenza pre-emergenza di 570.000 lavoratori.
I criminal hacker sono ben consapevoli che, in questo scenario, colpire le risorse e gli strumenti aziendali per il tramite degli accessi remoti in smart working, talvolta mal configurati e improvvisati, possa essere una concreta occasione da capitalizzare.
Come noto, una soluzione molto comune, anche se non l’unica, per accedere ai sistemi aziendali a distanza è il Remote Desktop Protocol di Microsoft (RDP). Questo protocollo, che consente di utilizzare una macchina remota come se ci si trovasse davanti ad essa, è accessibile attraverso un meccanismo di autenticazione basato sulla classica combinazione username/password.
Per evitare che una compromissione possa consentire il pieno accesso ai sistemi con tutte le conseguenze del caso, l’RDP non dovrebbe mai essere usato senza accurate protezioni aggiuntive. Purtroppo, però, molti dei server RDP in uso risultano direttamente esposti a Internet senza alcuna precauzione, mettendo così in repentaglio indirettamente la stessa infrastruttura di rete aziendale.
I tipi di attacchi
A fronte di un considerevole grado di esposizione su Internet, con decine di migliaia di dispositivi con porte TCP/UDP 3389 aperte, si segnala una escalation nel numero di attacchi brute force contro il protocollo RDP (come riportato in un recente rapporto Kaspersky), arrivando in Italia nel mese di Marzo a toccare un picco di oltre 900.000 eventi.
Attacchi di questo tipo (il modus operandi del malware GoldBrute ne è un esempio) consistono nel forzare brutalmente le credenziali RDP provando in modo automatico la giusta combinazione e corrispondenza, attingendo da fonti di ricerca basate su combinazioni di caratteri casuali o su dizionari di password comuni o già compromesse da antecedenti data breach. Non è una novità come sia facile reperire database, a basso costo sul Dark Web, contenenti migliaia di coppie “indirizzo IP/porta 3389” e di coppie “username/password”, che permettono l’accesso remoto a sistemi molto spesso altamente critici.
Un sistema operativo con RDP abilitato, non aggiornato (vulnerabilità BlueKeep, CVE-2019-0708) ed esposto con credenziali deboli o rubate, oltre che essere una pericolosa porta di accesso, può rappresentare esso stesso un vettore malevolo.
I sistemi stabilmente collegati alla rete Internet con indirizzi IP pubblici, vengono dapprima attaccati poi infettati ed usati come teste di ponte per la diffusione laterale di altri malware, come i famigerati ransomware piuttosto diffusi negli ultimi tempi (Prolock e Dharma solo per citarni alcuni). Ma non solo, lo stesso client violato potrebbe essere dirottato verso un server RDP malevolo attraverso attacchi tipo Reverse RDP (CVE-2019-0887).
L’uso del protocollo RDP per controllare a distanza server e servizi, purtroppo, si colloca tra i primi posti delle vulnerabilità di sicurezza più rischiose.
Le vulnerabilità di sicurezza correlate ai servizi di accesso remoto non interessano esclusivamente solo il protocollo RDP, né tantomeno le tattiche ispirate al principio di security by obscurity, prevedendo di assegnare servizi potenzialmente insicuri su una porta diversa da quella standard, possono essere considerate delle soluzioni tollerabili.
Le misure di sicurezza
È certo, comunque, come l’impiego dell’acceso remoto non sia possibile senza adeguate configurazioni e misure di sicurezza a corredo:
- utilizzare password robuste con l’ausilio di tool di gestione specializzati. L’essere umano è intrinsecamente non idoneo a creare e gestire password;
- offrire sempre un servizio di accesso remoto solo tramite una VPN aziendale, altrimenti disabilitare e chiudere le porta di servizio 3389. Esistono innumerevoli servizi VPN offerti in rete. La ricerca e la scelta deve essere fatta secondo le proprie reali esigenze e valutando opportunamente le varie funzioni opzionali proposte;
- impostare firewall fisici o virtuali a monte dei server remoti in modo tale che si accettino connessioni RDP solo da determinati indirizzi IP client, purché siano indirizzi IP statici;
- abilitare l’autenticazione multi fattore;
- adottare l’hardening, nonché soluzioni per il monitoraggio delle apparecchiature in caso di smarrimento, su tutti i dispositivi utilizzati per scopi lavorativi;
Lo smart working come soluzione per garantire la business continuity in tempo di crisi, rappresenta senza ombra di dubbio anche un’opportunità e una prospettiva irrinunciabile per il futuro.
Pertanto non si può più prescindere da un’attenta valutazione del rischio informatico, che possa consentire di raggiungere nel lungo periodo un regime strutturato secondo i più stringenti standard e raccomandazioni di sicurezza.
