Retroscena
La Darknet: uno strumento importante per la libertà
di Dominik Bärlocher
Da digitec IT Security: La lotta al credential stuffing // Aggiornamento 22.10.2018 14:00
19.10.2018
Traduzione: tradotto automaticamente
Un attacco a digitec.ch potrebbe non aver causato alcun danno, ma dimostra che gli ingegneri sono sempre in lotta contro gli hacker, anche senza perdite economiche. L'ingegnere István Flach parla dell'attacco della scorsa settimana.
"Non ho mai fatto niente del genere prima d'ora", dice István Flach. Il giovane di origini ungheresi è a caccia di hacker questa settimana. Lo scorso fine settimana, i sistemi di allarme digitecs e Galaxus hanno dato l'allarme. István sta indagando sull'incidente e sta cercando di identificare i colpevoli. Ovviamente ha già indagato su violazioni o tentativi di violazione, ma non è mai riuscito a seguire un attacco così a fondo e così a lungo. Un'indagine di questo tipo inizia con una domanda cruciale: quanto ci ha colpito?
István può tirare subito un sospiro di sollievo. Dopo poche ore, può dire con un certo grado di certezza quale fosse l'obiettivo dell'attacco. "I dati delle carte di credito dei nostri clienti non sono stati toccati e non ci sono segni di danni finanziari o di furto di dati", afferma. Il suo team di undici persone può rilassarsi un po' e il livello di allerta è stato abbassato.
Perché István si occupa del caso? "Sono molto interessato alla sicurezza informatica", dice quasi casualmente, ma parla con passione e conoscenza delle violazioni, delle contromisure e della sua ricerca di indizi. Il suo interesse personale e professionale lo ha portato ad essere incaricato da Engineering di indagare sull'attacco. Il suo rapporto sull'incidente - come il settore chiama l'attacco - è dettagliato e breve. Questo è raro, perché di solito i rapporti sugli incidenti sono lunghi diverse decine di pagine e pieni di verbosità. Il rapporto di István dice l'essenziale, è molto più di un riassunto di gestione e mostra ciò che gli hacker volevano.
L'attacco in dettaglio
I registri mostrano che l'attacco è iniziato venerdì scorso, 12 ottobre 2018, alle 15:58 ora locale. È durato fino alle 10:03 di sabato
.
"Fanno sempre così. Non vogliono che ci siano molte persone in ufficio che possano scoprire l'attacco per caso", dice.
Ma lui non si sarebbe mai accorto dell'attacco. Hanno inviato 40 richieste al secondo alle pagine. Quando accade una cosa del genere, i sistemi automatici intervengono e bloccano i tentativi di accesso. Dei 2.185.717 tentativi di accesso, solo 763.564 sono stati controllati dai server di digitec. I restanti 1.422.063 tentativi sono stati bloccati dalle misure di protezione dei server. In questo lasso di tempo, su Galaxus sono stati registrati 2090 accessi errati, che corrispondono all'incirca al normale tasso di "Merda, ora ho inserito la password in modo errato". Alla fine, i nostri server hanno comunicato agli aggressori che nel nostro sistema esistevano 48.267 account provati. Tuttavia, non è trapelata alcuna password. Per quanto ne sappiamo al momento, gli hacker non hanno crackato nulla. Pertanto, non è necessario che tu, in qualità di utente, prenda provvedimenti immediati.
István ha quindi settecentosessantamila record di dati da analizzare. Questo richiede tempo. È snervante. E se il record di dati che sta analizzando fosse la chiave? E se contenesse l'indizio critico sul danno, sull'aggressore o sullo scopo dell'attacco?
"Sappiamo che è successo qualcosa, ma non lo scopo dell'attacco", dice l'ingegnere con la polo bianca. Sembra pensieroso, come se stesse ancora cercando di capire il significato e lo scopo dell'attacco. Perché non può esserne assolutamente sicuro. Ma può dire con un certo grado di certezza che si tratta di un problema che sta causando un mal di testa globale e non solo a digitec.
Credential stuffing: la piaga globale
"Credential stuffing", dice István e sospira. Quando se ne rende conto, sa che lo aspetta una montagna di lavoro. Perché sarà difficile determinare lo scopo dell'attacco.
L'Open Web Application Security Project (OWASP) definisce il credential stuffing come la scansione automatizzata di nomi utente e password. Queste passano attraverso un database che è stato rubato in un'altra violazione.
Un attacco può avere questo aspetto: Gli hacker hanno a disposizione un database proveniente da un'altra violazione. Supponiamo che abbiano violato http://example.org e ottenuto 13 milioni di record di dati con nomi di utenti e password in chiaro. Questi dati possono essere sfruttati.
Fonte: xkcd.com
Intanto hai usato la stessa password, diciamo "LiviaRisottoHasenbaerli", e lo stesso nome utente, "thomas.mueller@mail.tld", per alcuni siti web. Tra l'altro, la stessa password è più sicura di una password come "QDXMam9Y"
- QDXMam9Y ha un valore di entropia di 37,3 bit e può essere decifrata con un attacco di forza bruta con uno sforzo medio
- LiviaRisottoHasenbaerli ha un valore di entropia di 104,4 ed è sufficientemente complessa per proteggere i dati finanziari
"Non importa quanto sia sicura la tua password, se la usi per più siti, stai correndo un rischio", dice István. Per questo motivo, raccomanda vivamente di utilizzare una password diversa per ogni sito.
Non esistono praticamente contromisure contro il credential stuffing, poiché gli aggressori utilizzano esattamente gli stessi meccanismi degli utenti legittimi. Tuttavia, gli ingegneri degli uffici digitec di Hardturmstrasse ci stanno lavorando, così come migliaia di altri ingegneri in tutto il mondo. Il problema è che il login deve essere comodo, ma anche il più sicuro possibile.
István scopre lo scopo dell'attacco. Una settimana dopo l'attacco e la constatazione che non c'è alcun pericolo acuto per te come cliente o per digitec come azienda, ha due teorie.
Teoria #1: l'attacco non è stato eseguito.
Teoria #1: Attacco da parte dei giocatori
L'attacco è un furto. Gli hacker vogliono impossessarsi dei codici di download di giochi e software per poi rivenderli sul mercato nero della darknet.
Questo funziona a livello globale. Quindi gli hacker non devono necessariamente risiedere in Svizzera e giocare ai videogiochi svizzeri in Svizzera. Puoi riscattare un codice sul sito web del produttore del gioco e scaricare il gioco gratuitamente e apparentemente in modo legale. Questo perché il produttore raramente convalida i codici acquisto, in quanto sono generati in modo casuale. Alla fine, digitec e un cliente per codice subirebbero il danno e qualcuno da qualche parte giocherebbe ai videogiochi a tue spese.
Il tecnico può, tuttavia, affermare con certezza che l'attacco è fallito se questo era lo scopo dell'attacco.
Teoria #2: Convalida dei dati
La seconda teoria è quella in cui István crede di più e che sta attualmente perseguendo. Gli hacker non volevano rubare nulla, ma convalidare i dati. Dopo tutto, più record di dati validi contiene un database rubato, più è prezioso per gli hacker che vogliono effettivamente causare danni.
Ecco come funziona: una banda di hacker ha rubato il database di http://example.org. 13 milioni di record di dati. Prima che il database venga messo sul mercato aperto, l'hack deve crescere un po'. Durante questo periodo, agli utenti di Example.org viene detto di cambiare la password. Alcuni lo fanno, altri no. Quando si tratta di vendere il database, è tutto come al solito: "In vendita: Database con 10 milioni di record di dati validi" costa di più ed è più richiesto di "Database con 8 milioni di record di dati validi". Tuttavia, i dati devono essere controllati per questo motivo.
Ecco perché gli hacker filtrano i loro dati. Cercano quindi un sito utilizzato da molte persone. Nel nostro esempio, si tratta di https://bispiel.ch, un sito svizzero con un milione di utenti. Il database di example.org viene quindi filtrato. Tutti i record di dati che hanno il paese "Svizzera" nei loro dati di indirizzo o il cui indirizzo e-mail termina con .ch vengono copiati in un database separato che viene poi pubblicato su bispiel.ch. Se thomas.mueller@mail.tld è registrato anche su bispiel.ch e ha utilizzato la password LiviaRisottoHasenbaerli, l'account viene venduto come valido.
Chi sono gli hacker?
Per un'indagine completa e un rapporto al [Reporting and Analysis Centre for Information Assurance MELANI), István si pone una domanda: Chi c'è dietro l'attacco?
Diventa subito chiaro che gli hacker non sono esattamente stupidi. Ovviamente utilizzano dei proxy, ossia dei server che nascondono la vera origine dell'attacco. Per fare ciò, nessun IP viene utilizzato più di 14 volte durante l'attacco.
"Naturalmente ci sono i soliti sospetti", dice István con un sorriso.
Il suo rapporto mostra i primi tre posti degli IP:
- Russia
- Estonia
- Lituania
Le tracce si perdono qui, perché questi paesi non sono così severi in materia di sicurezza informatica a livello legale e la Russia, secondo praticamente tutti i servizi segreti del pianeta - con l'eccezione dell'FSB russo - gestisce addirittura un proprio "esercito informatico" in cui gli hacker di stato usano le loro abilità per scopi politici per conto del governo.
Le contromisure
Le contromisure fanno parte di ogni buona risposta agli incidenti. Anche se la sicurezza assoluta non esiste, István e gli ingegneri di Zurigo possono garantire che l'attacco non si ripeta in questa forma. Perché gli aggressori sono riusciti in un'impresa difficile: hanno battuto ReCaptcha. O sono riusciti a risolvere il rompicapo in modo automatico o hanno sfruttato una debolezza nell'implementazione del meccanismo e l'hanno aggirato. Le indagini sono ancora in corso.
"Questo mi dice soprattutto una cosa: il nostro attuale sistema di login ha dei punti deboli", afferma István.
A questo punto ci sono due possibilità. O gli ingegneri rendono il login più complesso e più fastidioso per l'utente, oppure lo revisionano completamente. István ha già un'idea iniziale, che è già stata accettata: il login sarà diviso. Ciò significa che in futuro - non è ancora chiaro quando - dovrai inserire il tuo nome utente in una pagina e poi la tua password in un'altra. L'ingegnere fa una breve digressione: questo meccanismo non deve essere confuso con l'autenticazione a due fattori. Puoi attivarla nel tuo profilo e proteggere così il tuo account in modo ancora più efficace.
"Pensa come se fosse il tuo nome utente in una pagina e la tua password in un'altra.
"Pensa a questo come a Google", dice István.
Inizia la pianificazione di questo nuovo login. In prima linea: István Flach, ingegnere ungherese.
Inizia la progettazione di questo nuovo login.
Aggiornamento 22/10/2018 14:00 - Cosa possono e sanno gli hacker
Il team di István non ha ancora completato le indagini sull'attacco. Per questo motivo è già previsto un aggiornamento. Le indagini condotte durante il fine settimana e lunedì mattina hanno rivelato quanto segue:
- Gli aggressori non hanno sconfitto ReCaptcha. ReCaptcha ha funzionato perfettamente.
- Anche la convalida dei dati con il nostro sito è fallita. I nostri server hanno inviato agli aggressori solo il messaggio "Nome utente o password errati". In altre parole, gli aggressori non hanno ricevuto alcun dato utile. Questo ci rende felici.
- Anche se sei uno dei 48.267 utenti i cui account sono stati attaccati direttamente, puoi tirare un sospiro di sollievo. Anche in questo caso è stato emesso il messaggio "Nome utente o password errati".
L'indagine continuerà per qualche tempo, ma sta per concludersi. Lo stato attuale, e probabilmente definitivo, è che c'è stato un tentativo di attacco, ma non è successo nulla. <p
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
58 commenti
later