Panoramica

Da gennaio 2018 a giugno 2019, Akamai ha registrato più di 61 miliardi di tentativi di credential stuffing e più di 4 miliardi di attacchi alle applicazioni web. In questa edizione speciale del Rapporto sullo stato di Internet - Security, ci concentreremo sui dati relativi ai settori dell'high-tech, dei contenuti multimediali video e dell'intrattenimento, denominati collettivamente "Media e tecnologie".

Questi tre settori hanno rappresentato quasi il 35% di tutti gli attacchi di credential stuffing e quasi il 17% degli attacchi alle applicazioni web registrati da Akamai durante il periodo di analisi esaminato, pari a 18 mesi. La nostra analisi indica che questi tre segmenti verticali subiscono attacchi in modo coerente e costante per due ragioni: dati personali e aziendali. I brand presi di mira sono quelli più conosciuti e i criminali cercano di sfruttare questa notorietà.

Sferrando direttamente attacchi alle applicazioni web, i criminali sperano di esporre i record e i dati finanziari dei clienti oppure di sfruttare un server vulnerabile al fine di diffondere un codice dannoso: un altro movente comune che spinge i criminali ad attaccare il settore retail. Il credential stuffing colpisce i brand, ma anche i loro clienti e ciò consente ai criminali di individuare informazioni personali e risorse aziendali, come i media o i prodotti digitali.

Attacchi web in cifre

gennaio 2018 - giugno 2019

Numero totale degli attacchi alle applicazioni web: 4.068.741.948

• High-tech: 609.117.260

• Contenuti multimediali video: 143.308.490• Intrattenimento: 51.464.909

Tipi di attacco:

• SQL Injection (SQLi): 69,7%

• Local File Inclusion (LFI): 21,6%

• Cross-Site Scripting (XSS): 3,5%

Stessi attacchi, rischi diversi, impatti globali

Jaspal JanduGroup CISODAZN

Quando si tratta di metodologie di attacco di base utilizzate dai criminali per compromettere le organizzazioni, le emittenti e il settore dei media subiscono tutti gli stessi metodi di attacco che molti altri segmenti verticali del settore affrontano ogni giorno. Sono i rischi che questi attacchi rappresentano per le organizzazioni operanti nel settore dei media a farci preoccupare.

Quando la maggior parte delle emittenti erano lineari e si doveva stare davanti al televisore a un determinato orario per guardare lo spettacolo, i rischi che la tecnologia rappresentava erano relativamente semplici rispetto a ciò che ci affligge oggi. Se la trasmissione live si interrompeva, probabilmente si trattava di un guasto fisico: un problema di cavi o un guasto hardware. Oggi, con l'avvento dei televisori basato su IP (TV IP) e dello streaming Over-the-Top (OTT), i rischi sono notevolmente aumentati e più complessi da gestire.

Il rischio lungo la catena di fornitura è un buon esempio di come le cose siano diventate sempre più complesse. Nel mondo di oggi, i fornitori di broadcast tradizionali si stanno trasformando in aziende di software. Meccanismi di cloud delivery, come l'IaaS (Infrastructure as a Service), in alcuni casi hanno reso più semplice questa transizione. Ma questo approccio introduce notevolmente più rischi per soggetti terzi e quarti di quanti non ne gestiscano già ora le emittenti. Si tratta di una proposta ampiamente differente rispetto alla situazione di dieci anni fa, quando la maggior parte della catena di trasmissione passava attraverso un'infrastruttura collaudata, il cui pieno controllo spettava alle emittenti.

Una delle paure più grandi delle emittenti è la trasmissione vuota, ossia il momento in cui tutto ciò che lo spettatore vede è lo schermo nero. Dal punto di vista della sicurezza, gli attacchi basati su Internet, come i DDoS (Distributed Denial of Service), sono rischi ai quali ora le emittenti devono pensare durante tutta la catena di fornitura. Esistono rischi presenti da decenni all'interno di settori come quello dei servizi finanziari. Il nuovo mondo delle TV IP live, dove gli utenti fruiscono della maggior parte dei contenuti media mondiali, presuppone che ogni possibile attacco potrebbe comportare problemi di fidelizzazione degli abbonati, influenzare negativamente i profitti e ridurre le possibilità di offerte future per l'assegnazione di diritti. Con la visione televisiva live non esiste una seconda possibilità. Agli spettatori non importa se è colpa del fornitore: è la reputazione dell'emittente a pagarne le spese.

Il settore dei media deve anche gestire un enorme cambiamento culturale sul fronte della regolamentazione. L'integrazione di una maggiore quantità di dati ora è alla base delle ambizioni strategiche di molte emittenti. La motivazione non è solo quella di aumentare lo share di visualizzazioni, ma anche di verificare l'esistenza di opportunità in grado di offrire agli spettatori un'experience di visione più personalizzata e pertinente. È molto sottile la linea che separa l'utilizzo aziendale legittimo dei dati dei clienti e il superamento dei limiti dell'uso accettabile: un limite non sempre visibile. La sfida per i media è quella di compensare l'esigenza di innovazione e agilità con i rischi creati dalle normative, in un ambiente nel quale gli utenti richiedono un'innovazione costante e opportunità di intrattenimento all'avanguardia.

A seguito del cambiamento culturale, vi è anche una carenza di competenze che ogni azienda che voglia proteggere le proprie risorse digitali si trova ad affrontare. La sfida è individuare professionisti della sicurezza esperti, che comprendano l'esigenza di dover compensare le opportunità aziendali con i rischi di un mondo in continua evoluzione. Molti professionisti della sicurezza provengono da settori con un livello conformità molto elevato, come quello bancario e governativo, e hanno difficoltà ad adattarsi ad ambienti più flessibili. È molto più semplice indicare una normativa che non elencare i rischi che una particolare decisione potrebbe rappresentare per un'azienda creativa.

Esiste un rischio fondamentalmente strutturale che è proprio del settore dei media e che ha implicazioni sociali profonde e complesse: le fake news. Le emittenti e i social media hanno un notevole impatto sui punti di vista e sulle opinioni del pubblico. Mentre si può dibattere su cosa siano o non siano le fake news, le vere fake news e la capacità di crearne di gravi, non più distinguibili dai contenuti reali e affidabili, rappresentano una grande minaccia per il settore. Questi strumenti hanno il potere di influenzare i risultati di un'elezione e possono alimentare messaggi dannosi e che causano discordia su una scala davvero globale. Ciò va a minare le basi della fiducia e della nostra conoscenza del mondo intorno a noi.

Gli stati-nazione ora fanno più attenzione alle emittenti e agli outlet di media, poiché comprendono che possono raggiungere un'audience di milioni di persone già pronta. Ciò avviene non solo compromettendo le piattaforme di broadcast, ma anche attraverso la presenza sui social media, utilizzati da molte emittenti e outlet di media. Ci sono stati almeno due casi famosi di attacchi agli stati-nazione nel settore dei media negli ultimi cinque anni.

La fiducia è essenziale per il futuro del settore dei media. Il mantenimento della fiducia dei consumatori non viene minacciato solo dalla velocità con la quale gestiamo i rischi noti, ma anche da come rispondiamo ai rischi propri del nostro settore, molti dei quali semplicemente non esistevano fino a dieci anni fa. Di certo sappiamo che occorre fare un cambiamento culturale notevole per gestire le minacce e che non tutti hanno le competenze giuste. Le cose non cambieranno così presto; per ora, almeno, continueremo ad affrontare un percorso difficile e i rischi che affrontiamo ora potrebbero danneggiarci più di quanto non immaginiamo.

Jaspal è un professionista della sicurezza esperto, con oltre 20 anni di esperienza. Negli ultimi dieci anni il suo lavoro si è concentrato principalmente sul settore dei media. Ha un bagaglio incredibile di informazioni sui rischi affrontati dalle organizzazioni che operano nel settore multimediale, avendo gestito alcuni degli attacchi di profilo più alto contro il settore. Il punto di vista espresso in questo saggio è quello dell'autore e non riflette necessariamente quello di Akamai.

Attacchi alle applicazioni web

Gli attacchi contro il settore high-tech, che comprende apparecchiature e produzione di software, oltre alla tecnologia e ai fornitori di servizi (come gli operatori cloud, mobili, di telecomunicazioni e via cavo), hanno rappresentato la maggior parte degli attacchi osservati nel settore Media e tecnologie, come mostrato nella figura 1.Per contro, gli attacchi contro il settore dell'intrattenimento, che comprende organizzazioni come fornitori di contenuti, emittenti, post-produzione, sviluppo di contenuti, ricerca e analisi, si sono mantenuti stabili, con un picco molto significativo il 22 settembre 2018. Il segmento verticale dei contenuti multimediali video, che comprende la distribuzione e la delivery, nonché l'industria cinematografica, ha registrato un flusso di attacchi altrettanto stabile che è aumentato nel tempo, culminando in qualche picco nel secondo trimestre del 2019.Questo volume costante dimostra come il settore Media e tecnologie sia un obiettivo allettante per l'economia criminale. Una volta compromesse, le informazioni personali possono essere vendute o scambiate, mentre i dati aziendali possono essere sfruttati in altri attacchi. Questi stessi dati possono essere utilizzati dai responsabili degli attacchi anche per rubare flussi di contenuti multimediali, cosa comune durante gli eventi sportivi. Cosa altrettanto dannosa, i criminali cercano di rubare contenuti originali per pubblicarli prima della data di trasmissione prevista o per venderli su vari mercati criminali. Questa è una pratica comune con giochi e software di pre-release (il cosiddetto warez in alcuni ambienti), mentre musica e film vengono scambiati.Il picco di attacchi di settembre 2018 ha colpito un famoso brand internazionale ed era costituito esclusivamente da attacchi SQL injection (SQLi). Non è chiaro cosa cercassero i criminali durante questo attacco, ma un SQLi in genere è un attacco diretto a credenziali e altri dati. È inusuale, ma non raro, che un sito riceva un attacco SQLi di forza bruta di una tale intensità. Il secondo picco di attacchi contro il settore high-tech a novembre 2018 è un caso più interessante. Questo attacco è stato subito da un altro brand famoso, una specie di obiettivo di alto valore, tutto sommato. I criminali avevano preso di mira le informazioni sensibili detenute da questa azienda. Questo attacco è stato composto da tentativi di attacchi Local File Inclusion (LFI) (82,3%), PHP Injection (9,3%), Command Injection (7,6%) ed SQLi (0,7%).

Attacchi alle applicazioni - Origini principali

AREA DI ORIGINE SETTORE DEI MEDIA TUTTI I SEGMENTI VERTICALI POSIZIONE GLOBALE IN TUTTI I SEGMENTI VERTICALI

StatiUniti 177.678.990 1.041.639.431 1

Paesi Bassi 90.602.359 290.096.974 3

Belize 71.054.852 103.372.849 11

Russia 54.058.380 822.468.109 2

Cina 51.751.691 240.602.133 4

India 40.352.673 173.637.873 7

Germania 28.651.918 147.644.005 8

Irlanda 28.172.199 82.245.577 13

Ucraina 19.804.493 181.211.429 6

Francia 16.400.882 128.396.046 9

Credential stuffing

L'abuso di credenziali, o credential stuffing, com'è più comunemente noto, è un tipo di attacco che ultimamente ha suscitato tanta attenzione. La ragione di tale attenzione non deriva dal fatto che il credential stuffing è una novità, ma perché il volume di attacchi in quest'area è aumentato in modo esponenziale negli ultimi anni.Akamai quest'anno si è dedicata molto al credential stuffing e, in questo rapporto, parleremo dell'impatto di questi attacchi sul settore Media e tecnologie.

Background

Il credential stuffing funziona prelevando un elenco di nomi utente e password, che è possibile condividere, vendere o scambiare liberamente e tentando varie combinazioni a partire da questi su una piattaforma di autenticazione presa di mira. Il più delle volte, i criminali prendono di mira le API di autenticazione, ma alcuni attaccano direttamente i moduli di login. Mentre la maggior parte degli elenchi di combinazioni sono liberamente scaricabili, altri elenchi, come quelli che si rivolgono a un particolare servizio o posizione geografica, possono essere venduti per circa $ 5 e contengono 50.000 nomi utente e password.

Quasi completamente automatizzati, gli attacchi di credential stuffing si basano su applicazioni All-in-One (AIO), con nomi come SNIPR o STORM. Alcuni programmi AIO sono gratuiti, mentre altri richiedono una quota di iscrizione iniziale. Uno dei programmi più famosi, SNIPR, viene venduto a circa $ 20, mentre STORM (mostrato nella figura 5) è disponibile online gratuitamente.Le piattaforme AIO, come STORM e SNIPR, funzionano tramite i file di configurazione, che consentono loro di prendere di mira vari servizi (come quelli offerti dal settore Media e tecnologie), senza preoccuparsi troppo dei limiti di velocità o di altre restrizioni di sicurezza. I file di configurazione spesso vengono ceduti gratuitamente, ma altre configurazioni più personalizzate possono essere vendute anche per più di $ 50.Queste applicazioni sono sviluppate per simulare le azioni di un utente normale, perciò per difenderle è necessaria un'attività di pianificazione, oltre alla capacità di identificare rapidamente gli attacchi. La maggior parte degli AIO presenta tecniche di evasione predefinite per molte misure difensive predefinite, perciò sono obbligatorie soluzioni personalizzate, studiate appositamente per le esigenze aziendali. Inoltre, un qualsiasi piano di difesa deve comprendere una formazione sulla consapevolezza per gli utenti finali, dal momento che i criminali approfittano dell'accesso condiviso agli account e di password riutilizzate, deboli o facili da indovinare.Una volta che i criminali hanno caricato nell'AIO i propri file di configurazione e gli elenchi di combinazioni, stabiliscono connessioni tramite proxy al sito web di destinazione e tentano di accedere. Le voci corrette vengono registrate e l'accesso all'account viene scambiato o venduto. Gli account compromessi nel segmento verticale Media e tecnologie possono essere venduti a soli $ 5, ma alcuni account possono arrivare anche fino a $ 15, a seconda di ciò che sono. Le trasmissioni e lo sviluppo di contenuti sono gli obiettivi chiave per il credential stuffing e gli account in questi settori sono molto richiesti.

Conclusione

Esagerare è impossibile: gli attacchi web e il credential stuffing sono minacce reali a lungo termine. Fanno entrambi parte di un'economia criminale più ampia, alimentata da un legame simbiotico. Quando si parla di sviluppare elenchi di combinazioni per il credential stuffing, uno dei metodi più comuni è quello di scaricare i dati da un database appena compromesso. Come tale, un attacco SQLi può diventare un attacco di credential stuffing in pochi secondi. Ma affrontare queste minacce non è semplice. Richiede alle organizzazioni di collaborare con i propri fornitori di servizi di sicurezza e ai clienti di affrontare le cause principali degli attacchi.

Metodologie

Attacchi web

L'Akamai Intelligent Edge Platform è una rete di oltre 240.000 server su migliaia di reti in tutto il mondo. Kona WAF viene utilizzato per proteggere questo traffico e le informazioni sugli attacchi vengono trasferite a uno strumento interno denominato CSI (Cloud Security Intelligence). Questi dati, misurati in petabyte al mese, vengono utilizzati per fare ricerche sugli attacchi, comprendere le tendenze e trasferire ulteriore intelligence nelle soluzioni Akamai. Questi dati rappresentano milioni di avvisi ogni giorno a livello di applicazioni, ma non indicano un compromesso vincente.I piani e le tabelle fornite in questa sezione si limitano ai record registrati tra gennaio 2018 e giugno 2019.

Abuso di credenziali

Anche i dati per questa sezione sono stati presi dal repository di CSI. I tentativi di abuso di credenziali sono stati identificati come tentativi di accesso non riusciti ad account che utilizzano un indirizzo e-mail come nome utente. Per identificare i tentativi di abuso, rispetto ad utenti reali che hanno problemi a digitare le proprie credenziali, vengono usati due algoritmi. Il primo algoritmo è una semplice regola volumetrica che conta il numero di tentativi non riusciti a un indirizzo specifico. Questo metodo differisce da ciò che una singola organizzazione potrebbe essere in grado di rilevare perché Akamai mette in correlazione dati provenienti da centinaia di organizzazioni.Il secondo algoritmo utilizza i dati provenienti dai nostri servizi di rilevamento dei bot per identificare un abuso di credenziali da botnet e strumenti noti. Una botnet ben configurata può evitare il rilevamento volumetrico distribuendo il suo traffico su più obiettivi o nel corso del tempo oppure usando un gran numero di sistemi durante la sua operazione di scansione, solo per menzionare alcune contromisure. Questi record sono stati raccolti tra gennaio 2018 e giugno 2019.

