In un pianeta sempre più informatico e digitale, voi conoscete il vostro livello di sicurezza ?

Sempre più spesso aziende Italiane ci contattano per “testare” la solidità/sicurezza della loro rete IT, del loro sito web o della loro piattaforma cloud.

Ricordatevi che “chi costruisce cassa-forti è sempre il miglior scassinatore.”

Chi lavora nella sicurezza informatica ed ha alle spalle 20anni di esperienza nella gestione di reti di grandi dimensioni, conosce le dinamiche e i buchi di sicurezza (anche involontari), che vengono lasciati incautamente o inconsapevolmente aperti, ogni giorno.

E’ fondamentale capire che i costi di investimento nella sicurezza sono molto bassi in proporzione ai costi dei danni derivanti dalla violazione dei vostri sistemi informataci, senza considerare il dover gestire la privacy dei vostri clienti e le varie possibili denunce o cause legali a cui si può incorrere.

Le piattaforme informatiche sono sempre più ibride, mischiano cloud, vpn, desktop remoto, server fisici o pc, raspberry, domotica aziendale e di casa, etc. tutti dispositivi che spesso hanno la stessa password (o password deboli), accessi da personale non autorizzato o che non fa più parte dell’organico aziendale.

Di seguito vi ripotiamo come esempio un estratto di una recente analisi che abbiamo svolto per una violazione e di un sito. In tale relazione risultano evidenti i controlli e la profondità delle verifiche effettuate.

ESTRATTO DI UN NOSTRO RECENTE INCARICO

 Analisi Tecnica accesso non autorizzato al sito www.demo.it

Descrizione della violazione

Il giorno ……….. è stato effettuato un accesso non autorizzato al sito www.demo.it che ha avuto come risultato la cancellazione del contenuto dell’intero sito e la reimpostazione di una versione di WordPress standard.

Dall’analisi dei log dei giorni precedenti e del giorno dell’accesso non autorizzato, è stato individuato un tentativo di accesso il ………… alle ore …… da parte dell’indirizzo IP …………… appartenente allo stato ……………………………………. utilizzando l’utente “………………” presente sulla piattaforma di WordPress tra gli utenti autorizzati.

Sono stati anche registrati numerosi tentativi di accesso, sempre riferiti al giorno ………, da parte dell’indirizzo IP …………… appartenente allo stato …………., alle ore ………… e nelle ore successive.

Altri tentativi di accesso meno insistenti ma comunque presenti sono pervenuti dall’indirizzo ………………………………

Gli stessi indirizzi IP hanno provato altre volte ad accedere nelle ore e nelle giornate successive.

Il giorno ………., nello specifico, l’indirizzo IP ………  ha richiamato una pagina del sito accessibile solo agli utenti con accesso al back office del sito, indicando quindi la riuscita intromissione nel sito web.

Nei minuti successivi, l’indirizzo ……………ha richiamato uno script che ha completamente cancellato i contenuti del sito web.

Lo stesso script è stato utilizzato nei minuti successivi dall’indirizzo …………

Nelle ore successive e nella mattina del giorno …………………. l’attacco è continuato e gli stessi indirizzi hanno completato l’operazione di re-inizializzazione del sito web e cancellazione dei contenuti.

Situazione del sito web al momento dell’attacco e possibili cause della violazione

Premettendo che il sito web non è stato sviluppato da Computer Next, la situazione del sito web era la seguente:

• Erano presenti all’interno di WordPress gli utenti come da immagine sottostante, alcuni dei quali con i privilegi di amministratore.

Tali utenti, come indicato dal cliente, non fanno più parte dell’organico ………………… da diverso tempo. 

• Altra possibile problematica e quella riguardante alcuni dei plugin utilizzati sul sito web che presentano problemi di licenza (versioni free) e che quindi, a causa di questo, non sono aggiornati (WP Bakery).

Altri sono addirittura obsoleti in quanto dismessi.

In ogni caso sembrerebbe, dai log, che l’attacco sia stato effettuato scoprendo effettivamente la password di uno degli utenti presenti, e non sfruttando una vulnerabilità interna al sito (plugin o altro).

Non è però possibile confermare inconfutabilmente questa affermazione in quanto le richieste arrivate al sito web non sono in grado di dimostrare esattamente attraverso quale tecnica è stato ottenuto l’accesso.

Operazioni effettuate da Computer Next e ripristino delle funzionalità

Il sito è stato ripristinato tramite il backup della giornata del ………………, vi ricordiamo infatti che ogni notte il nostro sistema effettua il backup e il salvataggio di tutti i dati, non solo di questo sito ma di tutti quelli in hosting presso Computer Next.

Abbiamo inoltre:

• rimosso gli utenti non utilizzati
• sono stati controllati gli aggiornamenti disponibili ai plugin correttamente funzionanti
• provveduto a sostituire i plugin non più aggiornabili
• installare dei plugin per il controllo dell’accesso al sito e utilizzo di attacchi “brute force” per il furto delle credenziali degli utenti
• altre attività per migliorare e rendere più sicuro il sito web come fail2ban, controlli IP remoti, black list per accessi errati, etc.

Attualmente il sito è operativo senza alcuna perdita di dati.

Da questa relazione risulta evidente come sia importante rivolgersi e utilizzare servizi forniti da esperti del settore, con esperienza e certificazioni idonee al fine di tutelare la sicurezza dei dati e della propria rete informatica.

Sei interessato ad una analisi o al supporto tecnico riguardante la sicurezza della rete o del tuo sito internet?

CONTATTACI al 0541-625450 o scrivi una mail a info@computernext.it