martedì 12 aprile 2011

Attacco a Barracuda Networks: la sicurezza nel mirino

Davvero un brutto periodo sul fronte degli attacchi a società che, a vario titolo, si occupano di sicurezza. Dopo RSA e Comodo, ora è il turno di Barracuda Networks che, per ironia della sorte, si occupa proprio della commercializzazione di apparati di protezione da attacchi a livello delle applicazioni Web.

Barracuda Networks è stata vittima di un attacco SQL injection sul ​​suo sito Web aziendale; questo attacco è stato poi finalizzato con il furto di dati personali relativi ai partner della società. 

Barracuda, in un post pubblicato stanotte, fa sapere che la compromissione sui dati si è limitata ai nomi e agli indirizzi email di partner e che nessuna informazione finanziaria è stata trafugata in quanto questi dati non sono memorizzati sui database compromessi. 

Dal punto di vista della dinamica di attacco, Barracuda ha reso noto che l'attacco si è svolto secondo queste modalità:
- il Web Application Firewall (di loro produzione) posto a protezione del sito Web aziendale è stato messo, per errore, in modalità di monitoraggio passivo
- lo stato di disattivazione è stato configurato per una sessione di manutenzione iniziata Venerdì sera (8 aprile 2011)
- gli attacchi sono iniziati Sabato notte, verso le 5:00 ora del Pacifico, attraverso uno script automatico
- dopo circa due ore di tentativi, è stata scoperta una vulnerabilità SQL injection in uno script PHP
- il database SQL collegato all'applicazione conteneva nomi e gli indirizzi e-mail di contatti, partner di canale e alcuni dipendenti Barracuda Networks
- l'attacco si è concluso circa tre ore più tardi
- Barracuda è in possesso di tutti i log di attacco
- Barracuda è al lavoro per informare tutti coloro i cui indirizzi email sono stati rubati

Davvero un pessimo periodo!!

Al di là delle considerazioni che Barracuda ha tratto da questa vicenda (e che potete leggere nel loro post) mi sento di aggiungere che questo episodio dimostra quanto sia fondamentale impegnare le opportune risorse sulla sicurezza delle applicazioni Web. 

La mitigazione delle vulnerabilità attraverso strumenti terzi (il cosiddetto "virtual patching") è una pratica che pur portando a risultati immediati ed essendo in questo senso estremamente utile, non può e non deve essere vista come una alternativa alla bonifica del codice applicativo. Se si persegue questa via infatti, ci si trova esposti a rischi di difficile valutazione e si rischia di sottovalutare la situazione essendo preda di un falso senso di sicurezza creato appunto dalla presenza degli apparati di sicurezza.

Ben vengano quindi tutti i Web Application Firewall, a patto che siano uno strumento sinergico e non alternativo ai piani di securizzazione delle applicazioni Web.

Come diceva Bruce Schneier ormai tanti anni fa: "La sicurezza è un processo, non un prodotto".

6 commenti:

Luigi ha detto...

Mi sa proprio che negli ultimi periodi sta quasi diventando un illusione... comunque in un certo senso ben vengano questi "eventi" forse serviranno a sensibilizzare gli utenti.

Matteo Cavallini ha detto...

Ciao Luigi,

grazie per aver lasciato un tuo commento!

Effettivamente è proprio un periodaccio.

A parte il caso di RSA dove, forse, non c'erano grandi margini per prevenire, negli altri casi una migliore gestione della sicurezza avrebbe potuto evitare l'evento.

Il fatto che a finire nel mirino da qualche tempo siano proprio i soggetti che si occupano di sicurezza potrebbe servire da "wake-up call" e smuovere un po' le acque... Vedremo...

Ciao,
Matteo

Luigi ha detto...

Ciao Matteo,
è da poco che seguo il tuo blog, e devo dire che ho trovato materiale molto interessante percio complimenti e grazie :).

Per quanto mi riguarda sto entrando ora in questo mondo, in particolare sto facendo uno stage ed ora mi trovo a dover affrontare le problematiche inerenti ad attacchi di tipo DoS e DDoS (sto mettendo mano su dispositivi della arbor networks) e se devo essere onesto non credevo fossero cosi devastanti, ho sempre visto il problema della sicurazza più che altro focalizzata verso la Confidentiality e l'Integrity, ma ora mi sto rendendo conto che l'availability è altrettanto importante se non fondamentale in una società che oramai si sta spostando sulla rete (tra
l'altro oramai una delle parole più in voga è cloud :D).

Certo fa un po specie e sopratutto dovrebbe far riflette quando si sente che società che trattano proprio questo argomento sono soggette, tra l'altro con esiti positivi, ad attacchi, e sapere che una società come RSA è stata "violata" mi lascia un po perplesso sugli scenari che si potrebbero aprire in tal senso, mi basta pensare a cosa potrebbe succedere se il target si spostasse non so verso centrali nucleari, traffico aereo, ferroviario ...

Guardiamo il lato positivo c'è più lavoro per noi :)


Saluti
Luigi

glamisonsecurity.com ha detto...

Io direi che questo è un altro ottimo esempio di come non fare sicurezza...

Troppo affidamento alle cosiddette "virtual patch" può far scordare di mettercele veramente, le patch...

Invece, ancora una volta e per giunta proprio da chi queste cose le dovrebbe sapere, si è pensato che il classico pezzo di ferro risolva tutto.

Ma davvero c'è bisogno di imparare la lezione in questo modo? Perché se sì, allora noi parliamo al vento da anni... :(

Ciao,
Glamis

Matteo Cavallini ha detto...

Ciao Glamis,

hai ragione, non c'è molto da dire. La dura realtà è questa.

L'unica cosa che penso sia utile ricordare è che gli errori si commettono, nonostante le buone intenzioni.

Non so esattamente quale sia lo stato di vulnerabilità del sito in questione, so però che, a volte, delle vulnerabilità possono scappare e che, a volte, qualcuno fa troppo affidamento sulla tecnologia dimenticando i buoni insegnamenti.

In questo senso spero che venga percepito questo episodio. Per capire che basta poco per vanificare tanti investimenti e tanta fatica.

E' chiaro che se, invece, dobbiamo partire da zero... :(((

glamisonsecurity.com ha detto...

Esatto Matteo, troppo affidamento.

Direi anche che spesso questa fiducia viene però tradita proprio da chi la sostiene. Barracuda in primis.

Nessuno si sognerebbe mai di mettere offline un firewall no? Però quante volte è successo che una sonda vada in monitoring o, peggio, venga rimossa da inline?

Anche perché, ed è una cosa che forse è passata sottotono in questo incidente, c'è gente che fa degli scan automatici. E aspetta solo un piccolissimo varco, magari una distrazione, per entrare e fare danni enormi...

Posta un commento

http://www.wikio.it