Attacchi alla supply chain: i consigli di Synology
A febbraio, un attacco ransomware ha permesso a un gruppo di malviventi di impossessarsi delle cartelle cliniche di una “quantità significativa dei clienti” di Change Healthcare, un venditore di soluzioni per la gestione finanziaria che mette in contatto pagatori, fornitori e pazienti negli Stati Uniti. L’attacco ha mandato in tilt i servizi sanitari a livello nazionale per settimane e, secondo la società madre United Health, molto probabilmente nel lungo termine risulterà in un costo totale di oltre 1 miliardo di dollari. A questo sono seguiti attacchi ad altri fornitori di servizi sanitari, come Synnovis nel Regno Unito, Viamedia e Almerys in Francia.
Chiunque abbia lavorato con Fiverr o Uber, abbia eseguito la verifica del profilo su TikTok o abbia usato PayPal, LinkedIn o Coinbase, corre il rischio che i documenti di identificazione forniti durante il processo KYC (iano stati sottratti dal fornitore di autenticazione AU10TIX. In realtà, tutto ciò sarebbe stato facilmente evitabile, ma AU10TIX per oltre un anno ha dimenticato di cambiare la password di un account con privilegi amministrativi compromesso. All’inizio dell’anno è stato violato anche un altro servizio KYC, World-Check, portando alla pubblicazione oltre 5 milioni di dati riservati che le aziende utilizzano per verificare legami con i crimini finanziari.
Queste sono solo alcune violazioni pubblicamente note, ma cosa hanno in comune tra loro? Sono tutti attacchi alla supply chain, la catena di approvvigionamento. Nessuno dei fornitori violati è un’azienda con cui, al di làdi persone che occupano ruoli o settori specifici, sentirebbero parlare. Quello che hanno in comune, però, è un tesoro di preziose informazioni personali.
In realtà, gli attacchi alla catena di approvvigionamento sono una preoccupazione costante da anni: basti pensare alla polemica sul “piccolo chip” che ha compromesso Amazon, Apple e altri. È vero, ma questi attacchi stanno diventando sempre più diffusi e sempre più sofisticati.
Lo scorso marzo è stata inserita una backdoor in xz Utils, uno strumento presente in quasi tutte le distribuzioni Linux. Se, per pura coincidenza, uno sviluppatore non si fosse accorto dell’anormale quantità di cicli CPU consumati dai login SSH, i malintenzionati sarebbero stati in grado di infliggere danni devastanti alle installazioni Debian e Red Hat, consentendo praticamente qualunque attività, dal furto delle chiavi di crittografia all’installazione di malware.
Gli esperti hanno descritto l’accaduto come uno degli “attacchi alla catena di distribuzione meglio eseguiti” e quasi riusciti. Non si è trattato di qualcosa che si è svolto nell’arco di giorni o mesi, ma di anni in cui è stata man mano costruita la fiducia dei manutentori dei progetti fino a quando non è stato introdotto un codice abilmente nascosto che avrebbe permesso di dirottare e iniettare codice nelle sessioni SSH. Si ritiene che si tratti di attori supportati da uno stato, ma quanto poco sappiamo di questi avversari sottolinea la fragilità del nostro sistema di sicurezza.
Sebbene questa tipologia di attacchi sia alquanto rara, è anche molto più difficile da individuare e potrebbe avere gravi conseguenze se trascurata. Inoltre, non dobbiamo cercare lontano per trovare incompetenza o mancanza di attenzione per ottenere risultati simili. Basterebbe prendersi un minuto per pensare al dispositivo informatico, al browser e alla connessione di rete che utilizziamo tutti i giorni: chi li ha sviluppati e chi li gestisce? Chi lavora su un iPhone o un Mac potrebbe pensare che sia semplice. Tecnicamente è vero, ma non conosciamo tutte le applicazioni e i software di terze parti che potrebbero essere stati installati.
Così come una distribuzione Linux può comprendere centinaia, se non migliaia, di strumenti e progetti, un server, un PC o qualsiasi dispositivo “intelligente” è una gigantesca integrazione di hardware, firmware, software e persino servizi basati sul cloud.
Per oltre cinque anni, alcuni server di Lenovo, Intel e Supermicro sono stati distribuiti con vulnerabilità note nel software BMC, un sottosistema comune utilizzato per la gestione e la diagnostica da remoto. Perché? Perché i fornitori che hanno progettato il software BMC hanno dimenticato di aggiornare un componente del server web opensource chiamato lighttpd, che risolveva una vulnerabilità scoperta nel 2018. Questo segue un altro incidente, dovuto a un controllo di sicurezza poco rigoroso, che ha colpito i fornitori di BIOS alla fine del 2023. E ancora un altro incidente in cui i produttori di dispositivi hanno accidentalmente utilizzato chiavi crittografiche non destinate alla produzione per il Secure Boot, compromettendo una funzione di sicurezza fondamentale integrata in molti PC.
Tra tutti questi allarmanti incidenti, la recente direttiva Network and Information Security dell’Unione Europea, entrerà in vigore nel corso dell’anno. L’obiettivo è quello di spingere il mercato europeo ad adottare migliori posture di sicurezza e condurre valutazioni e gestioni del rischio approfondite, con particolare attenzione al rafforzamento della sicurezza della catena di approvvigionamento.
Negli Stati Uniti, un ordine esecutivo del 2021 si concentra sulla definizione di criteri per identificare i rischi nelle pratiche di sicurezza di sviluppatori, fornitori e del prodotto software finale. Insieme alla legislazione esistente, come il National Defense Authorization Act, il Trade Agreements Act e una manciata di direttive del Department of Homeland Security e del National Institute of Standards and Technology, la consapevolezza e l’esame della sicurezza stanno aumentando, anche se a un ritmo relativamente lento.
Se gli Stati Uniti e molte nazioni alleate dell’Europa e dell’Asia Pacifico hanno approvato leggi che limitano l’installazione di sistemi di telecomunicazione Huawei e ZTE, telecamere e NVR Hikvision e Dahua e, forse presto, anche di droni DJI, tutti provvedimenti che si concentrano su obiettivi di grandi dimensioni, tipicamente hardware. L’anello più debole di tutto questo resta senza dubbio il software, oltre alle persone che lo gestiscono.
Per ogni organizzazione, essere consapevoli di questo problema e implementare alcuni accorgimenti cruciali nei processi di gestione e acquisto dell’IT aiuterà a prepararsi al peggio. Uno strumento efficace è la distinta base del software, che fornisce un elenco completo di tutti i componenti software utilizzati in un particolare sistema, servizio o software più ampio. Le SBOM consentono alle organizzazioni di ottenere visibilità su cosa sta eseguendo esattamente la loro infrastruttura IT, quali componenti vengono utilizzati attivamente e, soprattutto, se presentano vulnerabilità note.
Quando si parla di sicurezza, però, non esiste una soluzione unica. Tuttavia, proprio come l’elenco degli ingredienti che si trova sulle etichette alimentari, le SBOM portano trasparenza a “scatole nere” tradizionalmente opache. Con frequenti controlli di sicurezza, le aziende possono identificare e risolvere in modo proattivo le vulnerabilità, costringendo i fornitori a rispondere più rapidamente e spingendo il settore a essere più responsabile.
La disponibilità di SBOM e lo storico delle risposte alla sicurezza di un fornitore diventeranno fattori sempre più decisivi per la capacità di affrontare gli attacchi informatici. Synology, ad esempio, rende disponibili le SBOM nei formati CycloneDX e SPDX per i suoi clienti aziendali. Grazie alla rapidità con cui affronta qualsiasi vulnerabilità zero-day o critica, Synology ha definito uno standard particolarmente elevato per la manutenzione e la sicurezza delle sue soluzioni di gestione e protezione dei dati.
Per i professionisti dell’IT e i decisori aziendali, è imperativo dare priorità alla sicurezza dal lato dell’offerta in tutti i sistemi. Ed è fondamentale assicurarsi che i fornitori siano trasparenti riguardo al software e ai servizi che utilizzano e che si impegnino a effettuare regolari controlli di sicurezza. Con un panorama di cybersecurity in continua e vorticosa evoluzione, un pizzico di preoccupazione è d’obbligo, per poter essere pronti a tutto.