Inchieste
Siamo davvero sicuri nel cloud? Ecco cosa insegna il malware Denonia
Tempo di lettura: 4 minuti. Il caso Amazon fa paura alle infrastrutture del futuro sempre più serverless
Recentemente AWS Lambda ha subito la prima minaccia specifica con il malware Denonia. Sebbene l’impatto di questo attacco sia stato basso, è il momento per le aziende di chiedersi quanto siano sicure le loro applicazioni serverless e come possano prepararsi a un attacco futuro.
La sicurezza delle applicazioni serverless richiede un approccio diverso rispetto ai monoliti tradizionali o alle applicazioni containerizzate. Con questo primo attacco malware, abbiamo l’opportunità di valutare quali sono le considerazioni uniche da fare per proteggere gli ambienti serverless e come possiamo tenerne conto per rafforzare il nostro approccio alla sicurezza serverless.
In che modo la mia applicazione serverless è vulnerabile?
L’architettura serverless è intrinsecamente più sicura in diversi modi. Con serverless, i fornitori di cloud sono responsabili della gestione del lavoro pesante di patch e sicurezza dell’infrastruttura. Come per l’ottimizzazione dell’allocazione delle risorse di calcolo, i fornitori di cloud sono molto più bravi di noi a proteggere l’infrastruttura, quindi affidarsi a loro è una scommessa sicura. L’utente è comunque responsabile della protezione del codice e di tutte le risorse e i componenti che compongono il sistema serverless, ma scaricare gran parte delle configurazioni e della gestione dell’infrastruttura alle piattaforme consente di concentrare tutta l’attenzione su un’area più piccola. Inoltre, le funzioni serverless sono in genere di breve durata, il che complica le cose per i potenziali aggressori, dando loro solo una piccola finestra per entrare.
D’altra parte, la natura distribuita e dinamica di serverless rende difficile individuare le minacce e risolverle rapidamente, soprattutto con la crescita degli stack tecnologici. Con i vari strumenti e servizi utilizzati per sviluppare, testare e distribuire le applicazioni serverless, questi ambienti diventano ancora più opachi. Gli sviluppatori sono costretti a setacciare enormi quantità di dati di tracciamento, log e metriche per comprendere le loro applicazioni. Con così tante risorse interconnesse, ma con una visibilità limitata, è difficile identificare e risolvere i problemi di sicurezza in modo rapido ed efficiente.
Le architetture serverless sono guidate da eventi, innescati da fonti come una chiamata API, un nuovo upload su un bucket AWS S3 o una modifica del database. Una singola applicazione può avere molte funzioni con diverse fonti di eventi e per ogni funzione invocata vengono consumati dati, rendendo il codice vulnerabile agli utenti malintenzionati. Quando il codice si muove attraverso le pipeline, da un servizio all’altro, si creano nuovi punti di ingresso per il malware che può manipolare il suo percorso. È più probabile che gli attacchi avvengano prima che i dati entrino in un bucket S3 o in un DynamoDB, quindi, sebbene la crittografia dei dati sia sempre una buona pratica, è importante adottare altre misure per limitare le vulnerabilità della vostra applicazione.
Rafforzare i controlli di accesso
I controlli di accesso e i permessi mal configurati sono i punti in cui la vostra applicazione serverless può essere più vulnerabile. Questo è stato il caso degli aggressori di Denonia, che secondo AWS hanno ottenuto l’accesso ottenendo in modo fraudolento le credenziali dell’account. Le funzioni Lambda devono essere protette con controlli di accesso e privilegi rigorosi per ridurre la superficie di attacco delle applicazioni serverless. Le architetture serverless, costituite da piccoli microservizi, possono trarre vantaggio dal principio del minimo privilegio, in base al quale si impostano autorizzazioni e criteri rigorosi per una funzione che limitano l’accesso solo agli utenti e alle risorse necessarie.
Mantenere il codice sulla sua rotta
Uno dei modi in cui il malware può danneggiare le applicazioni serverless è reindirizzare il codice in modi che lo sviluppatore non intendeva. Ad esempio, un malware come Denonia potrebbe manipolare il codice per utilizzare la potenza di calcolo per il mining di criptovalute. La scalabilità automatica e quasi infinita di serverless, che è vantaggiosa in circostanze normali, significa che il vostro ambiente scalerà automaticamente, generando istanze di funzioni Lambda aggiuntive che possono a loro volta essere compromesse e violate. Si finisce per pagare tutte le risorse che il malware utilizza per portare a termine l’attacco.
Non possiamo sempre prevedere l’andamento di una minaccia, ma possiamo imparare da come si comporta un malware come Denonia e adottare alcune misure per garantire che il nostro codice venga eseguito esattamente come previsto. La definizione di limiti ragionevoli su attività come l’autoscaling è fondamentale per garantire che non si abbiano brutte sorprese all’arrivo della prossima bolletta del cloud. Inoltre, è necessario creare degli avvisi per notificare quando ci si avvicina al limite massimo o quando un Lambda tenta di accedere a qualcosa che non dovrebbe, in modo da poter cogliere l’attività dannosa sul nascere e porvi rimedio rapidamente.
Scopri la storia completa di serverless
Le strategie di monitoraggio tradizionali, che si concentrano solo sul monitoraggio delle metriche di utilizzo delle risorse come CPU e memoria o che hanno punti oscuri quando si tratta di servizi gestiti e di terze parti, lasciano un grande vuoto quando si tratta di proteggere le applicazioni serverless. Man mano che l’applicazione cresce e la superficie di attacco diventa più ampia, affidarsi a metriche e log grezzi per il monitoraggio degli ambienti serverless vi porterà solo fino a un certo punto. Presto ci saranno troppi servizi e risorse che generano dati per capire dove il vostro codice ha preso una strada sbagliata e il vostro sistema potrebbe essere sfruttato prima che ve ne accorgiate.
La sicurezza dell’architettura serverless richiede una visibilità più completa sulle modalità di interazione tra funzioni, servizi e risorse. Il tracciamento distribuito è fondamentale per aiutarvi a capire la portata del danno, come l’utente malintenzionato è entrato e cosa ha visto. Questo metodo consente di seguire la catena di eventi della gestione delle richieste di un’applicazione, dall’innesco dell’evento alla funzione Lambda ai servizi gestiti, per individuare la fonte del rischio o dell’attacco in tempo reale.
La sicurezza serverless in futuro
I numerosi vantaggi del computing serverless ne hanno accelerato l’adozione negli ultimi anni e ora è utilizzato da una parte significativa di tutti gli sviluppatori. La comparsa di malware che colpiscono specificamente l’infrastruttura serverless è un ulteriore segno che il serverless è diventato maggiorenne. Un caso specifico di malware non rappresenta un rischio grave per le applicazioni serverless, ma evidenzia un nuovo tipo di minaccia che è particolarmente pertinente all’architettura serverless. Questa è una grande opportunità per tutti noi di prendere un momento per rivedere i nostri ambienti serverless e garantire che le migliori pratiche siano seguite per mantenere i dati dei nostri utenti e le nostre risorse al sicuro.
Inchieste
Temunao.Top: altro sito truffa che promette lavoro OnLine
Tempo di lettura: 2 minuti. Temunao.top è l’ennesimo sito web truffa che promette un premio finale a coloro che effettuano con i propri soldi degli ordini
L’inchiesta di Matrice Digitale sulla truffa Mazarsiu ha subito attirato l’attenzione dei lettori che hanno trovato una similitudine con il sito già analizzato e quello di Mark & Spencer scoperto qualche mese addietro: www.temunao.top.
Un lettore è stato contattato da una certa “Darlene” via WA da un numero +34 697 32 94 09 che lo ha fatto iscrivere alla piattaforma che si presenta con lo stesso modello di Mazarsiu. Questo portale è indirizzato a un pubblico spagnolo che cade in tranello leggendo “Temu” e si ritrova in una pagina in lingua ispanica.
In questa occasione, l’utente ha perso 750 euro, ma per fortuna non è caduto anche nella trappola di Mazarsiu e sembrerebbe che ci sia un collegamento tra le due organizzazioni per il modo di fare aggressivo-passivo degli interlocutori al telefono che mandano messaggi, ma non rispondono perché si dicono sempre impegnatissimi a trainare gli affari.
Il sito web è online dal 4 aprile di quest’anno e questo fa intendere che sia probabile che in molti siano caduti nella trappola perdendo soldi in seguito a quella che sembrerebbe una truffa messa in piedi dallo stesso gruppo criminale su scala internazionale.
Continuate a segnalare siti truffa o sospetti alla redazione via Whatsapp o attraverso il form delle SEGNALAZIONI
Inchieste
Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco
Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la storia di Mazarsiu e di una segnalazione in redazione
Nel mese di gennaio abbiamo trattato la notizia di una offerta di lavoro fittizia che usava il blasone di Mark & Spencer. Una lettrice di Matrice Digitale ha prontamente contattato la redazione dopo che, in fase di navigazione su un sito di Adecco, società famosa per il suo servizio di lavoro interinale a lavoratori e aziende, ha cliccato su un banner pubblicitario che l’ha proiettata su questa pagina:
www.mazarsiu.com si presenta come sito web che consente di svolgere dei compiti e di guadagnare una volta finite le 38 “mansioni”. Ogni mansione ha un investimento incrementale che frutta diverse centinaia di migliaia di euro ai criminali.
L’ancoraggio alla potenziale vittima è stato fatto attraverso WhatsApp da parte di un numero italiano ( 3511580682 ) con un nome ispanico
L’utente Lara Cruz si presenta a nome di una società che reale con sede a Napoli, ma ha un volto asiatico in foto e un nominativo ispanico. E si propone di aiutare gli utenti nella loro fase di registrazione per poi indirizzarle da subito nel lavoro.
La segnalazione è stata inviata in redazione il 15 ed il sito è stato creato il 14 maggio, un giorno prima, ed il veicolo del sito truffa è stato possibile grazie all’utilizzo di una sponsorizzata su AdWords da una piattaforma legittima di Adecco e, per fortuna, la malcapitata ha letto l’inchiesta di Matrice Digitale che l’ha messa sull’attenti.
Se doveste trovarvi dinanzi a un sito che propone lavoro on line, come Mazarsiu o Mark & Spencer, e l’impiego consiste nell’anticipare dei soldi, contattate subito le Autorità o la redazione di Matrice Digitale nell’apposito form di segnalazione o via WhatsApp
Inchieste
Terrore in Campania: dati sanitari di SynLab nel dark web
BlackBasta ha pubblicato i dati esfiltrati nell’attacco informatico riuscito contro Synlab Italia dove il colosso tedesco è stato colpito nelle sedi della Campania ed i dati dei pazienti sono stati resi disponibili dalla ransomware gang russa. Un disastro annunciato dopo che si è appresa la volontà della multinazionale di non pagare riscatto così come previsto dalla procedura internazionale che vieta alle vittime di recuperare i propri dati alimentando il crimine informatico globale.
Matrice Digitale ha dedicato una serie di approfondimenti sulla vicenda e, pur non essendo entrata in possesso dei dati visualizzati già da circa 4000 persone all’interno della piattaforma dark web dei criminali, ha potuto constatare che la maggior parte delle informazioni riguardano le sedi della Campania sia lato sedi sia fornitori sia pazienti. Un’altra informazione che potrebbe essere utile ed anche allo stesso tempo rincuorante per tutti i pazienti coinvolti, è che la dimensione dei dati non è scaricabile da chiunque visto il tera e mezzo di gigabyte necessari per portare a termine il download completo. Un altro punto di favore in questa terribile vicenda è il fatto che il server sembrerebbe essere poco capace di distribuire simultaneamente la grande mole di informazioni che BlackBasta ha messo a disposizione di tutti coloro che ne hanno accesso attraverso il link dark web.
Qual è stata la reazione dell’azienda ?
SynLab ha annunciato di non voler pagare il riscatto e di essere stata vittima da di un attacco matrice russa, aspetto ininfluente quando si parla di crimine informatico, e di essere in contatto costantemente con le Autorità. Almeno loro hanno acquisito tutte le informazioni esfiltrate dagli aguzzini. L’azienda promette e si impegna nel comunicare, così come previsto da legge vigente, ad ogni singolo paziente l’eventuale esposizione in rete. I risvolti della vicenda però non sono positivi per l’azienda nonostante abbia agito secondo procedure. Dal punto di vista della credibilità e della fiducia dei clienti, quest’ultimi continueranno ad avvalersi delle prestazioni private e convenzionate, ma all’orizzonte si configura una sanzione salata da parte del Garante della Privacy che si spera sia utile nel sensibilizzare gli altri colossi del nostro paese nel correre ai ripari prima di un attacco informatico.
Non basteranno, purtroppo, gli avvisi dell’azienda circa la perseguibilità penale di coloro che entreranno in possesso dei dati per motivi di ricerca, di business o di ulteriori crimini informatici.
Cosa abbiamo imparato da quest’attacco?
Tra le varie criticità emerse in queste settimane c’è quella di attivarsi predisponendo al meglio le proprie infrastrutture per ripristinare quanto prima i servizi dopo un attacco informatico, a maggior ragione quando riguardano settori vitali, ma allo stesso tempo c’è l’esigenza di implementare tecnicamente una infrastruttura di rete che in caso negativo possa essere penetrata in parte perché strutturalmente composta da più sezioni. Da quello che è accaduto, non è ancora chiaro se solo l’intera Campania sia stata compromessa da BlackBasta nell’attacco a Synlab, in attesa di ulteriori risvolti potenzialmente possibili anche in altre regioni dove la società multinazionale tedesca ha ereditato anamnesi intere di una buona fetta della popolazione italiana attraverso in seguito alle acquisizioni di quelli che un tempo erano i centri di analisi e diagnostica più importanti del territorio.
- L'Altra Bolla1 settimana fa
X sotto indagine dell’Unione Europea
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste4 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Sicurezza Informatica1 settimana fa
Nuovo attacco “Pathfinder” alle CPU Intel: è il nuovo Spectre?
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Sicurezza Informatica1 settimana fa
BogusBazaar falsi e-commerce usati per una truffa da 50 milioni
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List