Every day, even for those who decide to keep their share of information to be grabbed from the major news media, it seems that there are reports of database breaches, stolen accounts, sensitive information stolen and resold in the Dark web.
We shouldn’t be surprised though, this type of “digital” criminal activity will become more and more prevalent in the face of the Digital transformation that is taking place across our society – for us, as individuals, as well as for all businesses and commercial activities small or large -, a contraindication of change, not a singularity unique to this computerized Paradigm Shift.
Progress, unfortunately, never has only one face, often linked to the great leaps forward we have potential risks, some known, but more often new. We’re in a new era, it’s an indisputable fact, today more than ever information is a bargaining chip for a series of actors, not always well-intentioned.
We’re talking about Criminal Hackers, once known, to use an old-fashioned term, as “computer pirates”, who constantly storm databases and private accounts of any kind of service provider, the booty? Information mainly, used for extortion purposes. Extortion that extends to just the threat of causing periods of “down time,” which are increasingly costly to companies, but also to governments.
Providing a solid defense
The number of attacks, even trying to maintain a positive outlook, is only destined to increase in intensity and frequency in the years to come, this especially if a cultural revolution is not enacted in the way the defense of companies’ IT infrastructures is set up.
It can no longer be sufficient to have only one IT manager who is forced to act as a “stopgap” and is overstressed by attempted incursions: synergy is needed between providers and vendors, but also intuition, up-to-date hard and soft skills and, in particular, the need to play in advance.
Microsoft and Swascan, an excellent example
An excellent example of this new synergistic paradigm is the recent case of Swascan, an Italian company already in the limelight for the Adobe case, and its collaboration with Microsoft. Diverse settimane fa il il team di Cybersecurity e Bug Hunting dell’azienda, durante un test di sicurezza, ha identificato 5 vulnerabilità relative all’infrastruttura server di Microsoft, ed ha iniziato ad agire, in maniera coordinata ed operativa, con il Security Team di Microsoft USA.
Se sfruttate, queste “security failure” avrebbero potuto facilmente influire sull’integrità, la riservatezza e la disponibilità dei dati trattati, gestiti ed archiviati dai sistemi server interessati. Subito dopo aver scoperto queste informazioni cruciali, Swascan ha contattato il Team di Sicurezza di Microsoft USA, seguendo il principio della Responsible Disclosure.
In dettaglio
Il team Swascan ha isolato le criticità in questi 3 campi:
- CWE – 119: Il software esegue operazioni su un buffer di memoria, ma può leggere o scrivere in una posizione di memoria che si trova al di fuori del confine previsto del buffer. Alcuni linguaggi consentono l’indirizzamento diretto delle allocazioni di memoria e non garantiscono automaticamente che queste posizioni siano valide per il buffer di memoria a cui si fa riferimento. Ciò può causare operazioni di lettura o scrittura su allocazioni di memoria che possono essere associate ad altre variabili, strutture dati o dati di programma interni. Di conseguenza, un aggressore può essere in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema;
- CWE-94: Il software costruisce tutto o parte di un segmento di codice utilizzando input influenzati esternamente da un componente a monte, ma non neutralizza – o lo fa in modo errato – elementi speciali che potrebbero modificare la sintassi o il comportamento del segmento di codice previsto. When software allows a user’s input to contain code syntax, it may be possible for a potential attacker to create code in a way that alters the software’s intended control flow. Such an alteration could lead to arbitrary code execution. “Code injection” problems encompass a wide variety of issues – all of which are mitigated in very different ways. For this reason, the most effective way to discuss these weaknesses is to note the distinct characteristics that classify them as “code injection” weaknesses. One of the most intriguing aspects is that all the problems in this area share one thing in common: they allow the injection of “control plane” data into the user-controlled data plane. This means that process execution can be modified by sending code through legitimate data channels, without using other mechanisms. Mentre i buffer overflow, e molti altri difetti, comportano l’uso di qualche ulteriore problema per ottenere l’esecuzione, i problemi di iniezione richiedono solo l’analisi dei dati. Le istanze più classiche di questa categoria di debolezza sono gli attacchi basati sull’iniezione SQL e le vulnerabilità delle stringhe di formato;
- CWE-200: Una “information exposure” è la divulgazione intenzionale o non intenzionale di informazioni ad un attore che non è esplicitamente autorizzato ad avere accesso a tali informazioni.
Le informazioni possono essere di due tipi:
– o sensibili nell’ambito delle funzionalità proprie del prodotto, come per esempio un messaggio privato;
– o sensibili perché forniscono informazioni sul prodotto o sul suo ambiente che potrebbero essere utili in un attacco, ma che normalmente non sono disponibili per l’aggressore, come per esempio il percorso di installazione di un prodotto accessibile a distanza.
Collaborate and test
The case of Microsoft and Swascan must jump to the eye not so much for the technical content or the difficulty of the challenge faced by the two teams, however important factors, but for how the rapid collaboration and cohesion between the two teams surgically repaired the possible criticalities, avoiding, in fact, a huge economic and image damage to the Seattle-based company. In order to stand united against the Criminal Hackers there is the need of a secure IT infrastructure and of an adequately trained department, but these two factors cannot leave out of consideration all that the experts of Cybersecurity are able to put in field.
Lights and Shadows: The Ethical Hacker vs. the Criminal Hacker
An ethical hacker (also known as a white hat hacker) knows how to find and exploit vulnerabilities and weaknesses in different systems, just like a criminal hacker (or black hat hacker), but unlike his criminal counterpart, the ethical hacker uses attacks as a test to identify and correct weaknesses in a system.
Applying to ethical hacking can prove to be one of the best methods to prevent malicious attacks by Criminal Hackers. Both use the same skills, however, an ethical hacker uses these skills in a legitimate and lawful way to try to find vulnerabilities and fix them before malicious hackers can get there and try to break in.
Le aziende del settore della Cybersecurity si avvalgono di queste skill per stressare le difese delle aziende partner e approntare misure di cybersecurity adeguate a ciò che emerge dai test (uno dei metodi più usati è il penetration test, il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un utente malintenzionato).
Non c’è dubbio quindi: nel campo della cybersecurity vige sempre il vecchio adagio “prevenire è meglio che curare”, da ora in avanti però questo lavoro per risultare efficace dovrà essere frutto di una collaborazione efficace e ben strutturata.
Federico Giberti,
Team Swascan