Un caso interessante di intrusione in un’azienda di sistemi di sicurezza riguarda il furto di un certificato privato che permette di firmare certificati digitali (alla stregua di come succede con la firma nel mondo analogico).
Bit9 ha raccontato piuttosto bene l’attacco, spiegando quanto scopriva e fornendo aggiornamenti con l’avanzare delle indagini interne. Come raccontato bene da Brian Krebs, l’incidente si è verificato nel luglio scorso ed è affiorato solo alla fine di gennaio. L’azienda ha ammesso apertamente le proprie responsabilità:
Non abbiamo seguito le best practice che consigliamo ai nostri clienti assicurandoci che il nostro prodotto fosse installato su tutti i sistemi fisici e virtualizzati al nostro interno.
L’evento è particolarmente preoccupante per via dell’attività di Bit9, che produce un software utilizzato per applicare politiche di whitelisting e firma quindi con la propria chiave privata i file da considerare sicuri o credibili. La disponibilità della chiave privata ha dunque permesso di firmare malware puntualmente rintracciato in circolazione. È plausibile che il bersaglio ultimo dell’attacco sia un gran numero di grandi aziende clienti che operano nel campo militare o governativo.
Si tratta dell’ultimo episodio in ordine di tempo di una serie di attacchi mirati a scardinare difese organizzate a cipolla, con diversi strati di protezione. Il primo attacco di questo genere a fare notizia è stato quello condotto contro RSA lo scorso anno per scardinare un sistema di autenticazione a più fattori.
Facile che il malware firmato con il certificato sottratto a Bit9 sia stato inviato a utilizzatori della loro soluzione di sicurezza, i quali avranno verificato la firma del file senza fare molto d’altro ed esporsi all’aggressione. Certo esistono tecnologie ed architetture che rendono più difficile la vita dell’attaccante (per esempio proxy server o firewall ben configurati, SIEM – Security Information Event Management – monitorati accuratamente ricercando attività sospette ed anomale eccetera).
Questo incidente invita a un paio di riflessioni. Intanto non si tratta del fallimento di un sistema o di un metodo (application control o whitelisting). Uno dei problemi emersi è non aver utilizzato la propria tecnologia correttamente. L’application control serve infatti a bloccare gli eseguibili insicuri. Applicarlo come puro whitelisting, ovvero con maggior flessibilità, dipende dall’equilibrio tra sicurezza e agilità operativa. Non credo proprio che la protezione di un certificato privato consenta molti compromessi. Come in ogni caso di violazione di una certification authority, riscontriamo ogni volta che il sistema è robusto quanto sono affidabili ed integri i componenti dello stesso, a partire dai certificati con cui viene firmato un eseguibile.
Affidarsi ad una singola tecnologia non è una buona idea: prima strutturate le vostre difese secondo i modelli di layered defense e security in depth e poi non cedete alla tentazione di guadagnare in agilità a scapito della sicurezza. Le scorciatoie sono spesso controproducenti.