Ogni browser ha una suo proprio punto debole in fatto di sicurezza e questo significa che i client delle VPN SSL sono di conseguenza deboli. Un hacker può sfruttare queste vulnerabilità per agire in modo fraudolento, creando danni ingenti alle aziende.
Anche se la tecnologia VPN (Virtual Private Network) esiste già da una decina di anni, ancora oggi in questo ambito si verificano importanti attacchi. Come è possible che le VPN di aziende come Comodo, Gucci e Citigroup siano state compromesse? Prendiamo in esame i casi più importanti del 2011 e spieghiamo cosa possono fare le aziende per rafforzare la sicurezza della VPN.
I principali attacchi alle VPN nel corso del 2011
- Gucci: Un ex tecnico di rete di Gucci ha creato un falso account cliente per accedere al sistema informativo dell’azienda e controllarlo, eliminando l’accesso a documenti e email nei server di Gucci. Questo è costato a Gucci più di 200.000 dollari in mancata produttività e sforzi di ripristino.
- DigiNotar: Gli hacker hanno raggirato il sistema dell’autorità di certificazione digitale rilasciando più di 500 certificati digitali fraudolenti per importanti aziende operanti nel mercato del web come Google, Mozilla e Skype. L’attacco si è verificato ai primi di giugno, ma DigiNotar l’ha scoperto solo a metà luglio. L’azienda ha presentato istanza di fallimento a settembre.
- Comodo: Gli hacker hanno emesso certificati SSL fraudolenti per sette domini web, tra cui Google, Yahoo e Skype.
- Citigroup: Gli hacker hanno ottenuto accesso ai dati degli account di oltre 360.000 conti, potendo vedere in questo modo le informazioni di contatto dei clienti e lo storico delle loro transazioni, esponendo di conseguenza il sito web della banca a falle della sicurezza.
Due di questi quattro attacchi a VPN (DigiNotar e Comodo) sono stati il risultato di vulnerabilità di sicurezza nelle VPN SSL che – a differenza delle VPN IPsec che hanno client dedicati – utilizzano il browser Internet come client. Ogni browser ha una suo proprio punto debole in fatto di sicurezza, ha spiegato Rainer Enders, CTO di Americas. Ciò significa che i client delle VPN SSL sono di conseguenza deboli. Un hacker può sfruttare queste vulnerabilità per fare lo spoofing di certificati di un’autorità di certificazione che vengono utilizzati per verificare le informazioni nello scambio VPN SSL.
“Questi punti deboli chiamano in questione l’integrità del processo di certificazione SSL, che è in qualche maniera problematico a causa di tutti questi enti di certificazione che non sono ben controllati ed organizzati” afferma Enders.
Oltre a utilizzare certificati digitali fraudolenti, gli hacker hanno sfruttato anche la mancanza in DigiNotar di password forti, la debole protezione antivirus e il software antiquato.
Invece di fare lo spoofing di un certificato, gli hacker che hanno preso di mira Citigroup sono riusciti a bypassare i sofisticati sistemi di sicurezza della banca facendo leva su un errore di autorizzazione insufficiente nella VPN IPsec. Sono riusciti a penetrare le difese facendo, innanzitutto, il login al sito riservato ai suoi clienti titolari di carte di credito. Una volta all’interno, gli hacker hanno inserito i numeri di diversi conti in una stringa di testo situata nella barra degli indirizzi del browser. Ripetendo la stessa cosa, automaticamente, decine di migliaia di volte hanno, così, ottenuto dati riservati riguardanti i clienti come nomi, numeri di conto, indirizzi email, storico delle transazioni.
L’attacco alla rete di Gucci, comunque, non è consistito nello sfruttare una vulnerabilità nella sicurezza della VPN, ma si è trattato piuttosto di un caso in cui l’implementazione della VPN non è stata fatta a regola d’arte, afferma Enders.
Impedire un attacco VPN
Ogni tipo di VPN può essere messo a rischio attraverso il social engineering: gli hacker telefonano o inviano email a dipendenti dell’azienda “vittima” del loro attacco per trarli in inganno e indurli a fornire le loro credenziali.
“Comunque, un sistema di ID management risolverebbe il problema di un solo tecnico di rete che prende il completo controllo della rete. In molti casi a cui abbiamo assistito, i tecnici di rete vengono licenziati e poi continuano ad avere pieno controllo sulla rete… Se la rete di Gucci avesse implementato una VPN IPsec gestita che si integra con un sistema di identity management, che si occupa anche delle funzioni di user provisioning … questo sarebbe stato evitato”, ha affermato Enders.
Infine, attualmente la maggior sicurezza contro le vulnerabilità della VPN è una strategia che non coinvolga solo una tecnologia forte, ma anche una policy di sicurezza e un’adeguata educazione e sensibilizzazione degli utenti finali. Le VPN IPsec si dimostrano più sicure dei loro equivalenti VPN SSL, dati i bug svelati dai recenti attacchi VPN.
“L’implementazione di IPsec con un client gestito, un firewall client gestito e un sistema VPN gestito, integrati nel vostro sistema di gestione delle identità, offre realmente la massima protezione. Questo serve a ottenere un’ottima sicurezza complessiva”, ha concluso Enders.
