Cos'è un hacker?

Il termine hacker indica una persona che cerca di aggirare determinati ostacoli con soluzioni alternative, in questo caso cercando di trovare vulnerabilità all'interno di un sistema informatico o digitale.

Generalmente gli hacker si dividono in:

• White Hat Hacker: sono spesso degli esperti informatici che seguono delle regole etiche, ad esempio quando trovano dei problemi di sicurezza li segnalano al diretto interessato senza chiedere qualcosa in cambio;
• Black Hat Hacker: contrariamente ai White Hat, agiscono con intenti malevoli, ad esempio per rubare dati e chiedere un riscatto oppure per danneggiare un certo obiettivo;
• Red Hat Hacker: sono assunti da agenzie governative e autorità, con lo scopo di individuare le debolezze di un sistema informatico;
• Grey Hat Hacker: generalmente agiscono solo per divertimento, non hanno fini di lucro, ma non sono nemmeno interessati a compiere buone azioni.

Ci sono anche altre definizioni, ma queste sono le più diffuse. Per semplificare la lettura, noi utilizzeremo in modo generico il termine "hacker".

10 importanti attacchi informatici alle web application nel 2022

10) Siti Wordpress

Migliaia di siti Wordpress sono stati violati e gli hacker hanno caricato dei file Javascript malevoli. In questo modo il sito web, a insaputa del gestore, rimandava i visitatori a delle pagine web appositamente forgiate per generare un guadagno economico per i malintenzionati.

Per fare un esempio, diversi utenti cliccavano su dei finti controlli CAPTCHA che aprivano poi delle finestre fittizie contenenti annunci pubblicitari.

9) Siti Magento

Più di cinquecento e-commerce sviluppati con Magento sono stati violati grazie ad una vulnerabilità del plugin Quickview.

In pratica, gli attacchi hanno fatto uso principalmente di tecniche di SQL Injection e PHP Objection Injection, che hanno permesso di creare delle backdoor (porte di servizio o porte sul retro). Questo significa che gli hacker sono in grado di continuare nelle loro operazioni fino a quando le backdoor non saranno eliminate, e la vulnerabilità del plugin sistemata.

Di solito è sufficiente aggiornare il plugin Quickview ed eliminare i file incriminati.

Curiosamente, sembra che ad oggi questi attacchi siano ancora in corso. Se nel tuo sito web Magento trovi degli URL simili a "https://naturalfreshmall.com/image/pixel.js" potresti essere vittima di questa violazione. In tal caso, contattaci e faremo il possibile per aiutarti!

8) Mailchimp

Mailchimp, noto servizio di Direct Email Marketing, ha subito un attacco di ingegneria sociale che ha permesso agli hacker di ottenere delle credenziali di accesso di alto livello.

Il risultato è stato che i malintenzionati sono riusciti ad accedere a centinaia di account Mailchimp ed esportare dati sul pubblico e sulle mailing list.

Come se non bastasse, hanno ottenuto l'accesso a diverse chiavi API per la spedizione di campagne di email marketing fittizie e di phishing.

Un attacco di social engineering può svolgersi anche in modi banali: una mail o una telefonata da parte di una persona che si finge essere il superiore di un impiegato, magari ottenendo queste informazioni tramite ricerche sui social, e chiede di avere delle credenziali o dei link di accesso. Sembra poco efficace, ma spesso è uno dei metodi che funziona meglio, forse anche perché più inaspettato perché sfrutta l'effetto "urgenza".

7) Okta

La stessa azienda Okta si descrive essere la piattaforma numero 1 al mondo per l'identificazione, ma questo non significa essere per forza in un ambiente sicuro.

Infatti, il gruppo hacker LAPSU$ ha violato l'accesso remoto di un dipendente e ha postato sul proprio gruppo Telegram diversi screenshot, che mostrano i canali Slack e Atlassian interni all'azienda.

Potrebbe essere stata hackerata tramite la violazione di un accesso remoto di un dipendente.

6) Doctors Me

Il server Amazon S3 dell'azienda giapponese Doctors Me non richiedeva l'autenticazione. Questo errore di configurazione ha praticamente reso disponibili al pubblico oltre 12.000 immagini di pazienti, anche di molti bambini.

Può sembrare banale, ma esistono moltissimi applicativi web che sono accessibili da chiunque, pur contenendo dati sensibili e personali, come in questo caso.

Accade spesso infatti, per fare un esempio, che un server permetta il cosiddetto Directory Listing, cioè rende involontariamente pubblici i file contenuti in alcune cartelle del disco rigido.

5) USAHERDS

Il software web "Animal Health Emergency Reporting Diagnostic System" è stato hackerato dal gruppo di spionaggio cinese APT41.

I dati venivano scambiati tra PC e Server in modo crittografato, soltanto che le chiavi crittografiche, che dovevano essere diverse per ogni installazione, erano le stesse per tutte le aziende, ed erano scritte nel codice (hard-coded) dell'applicazione web.

Detta in termini semplici, è come se fosse stata rubata una chiave che permette di aprire la porta di case diverse. Una volta trovata quindi, i danni potenziali aumentano esponenzialmente.

4) IndiGo

Una storia piuttosto curiosa. Un passeggero, viaggiando con la compagnia aerea IndiGo, ha perso il proprio bagaglio che era stato scambiato con un'altra persona per errore.

Non ricevendo molto aiuto dall'azienda di trasporti, ha deciso di vedere cosa riusciva a fare da sè. Aprendo gli strumenti di sviluppo del browser (solitamente con il tasto F12) ha notato che vi erano delle informazioni pubblicamente visibili nelle richieste di rete.

Infatti, solitamente la sezione "Rete" degli strumenti di sviluppo permette di analizzare le richieste inviate dal browser e le risposte ricevute dal server. A quanto pare l'uomo è stato in grado di ottenere così il numero di telefono della persona che aveva il suo bagaglio.

Questo racconto alquanto bizzarro ci fa capire che spesso basta davvero poco per subire una violazione di dati. Pensiamo ad esempio se questa persona avesse ottenuto il numero di telefono di centinaia di altri passeggeri... Non sarebbe certo una questione di poco conto!

Leggi la storia completa su Twitter.

3) TravisCI

In ambito web, le API sono strumenti che permettono la comunicazione tra il browser e il server. La spiegazione è più ampia e complessa, ma l'abbiamo semplificata per facilitare la comprensione della violazione informatica in oggetto.

Generalmente il browser richiede al server delle informazioni, e questo risponde fornendo dei dati, spesso in formato JSON.

Ebbene, le API del servizio TravisCI, usato per testare e compilare progetti software in cloud, erano affette da un bug irrisolto che ha permesso di accedere a milioni di righe contenute nel registro storico.

In pratica, è come se qualcuno avesse letto tutto ciò che gli utenti hanno fatto con questo servizio. Addirittura i dati contenevano anche chiavi di accesso e credenziali associate ad altri importanti servizi come GitHub e AWS.

2) Croce Rossa Italiana

Il sistema web "Restoring Family Links" della Croce Rossa è stato violato a causa di una vulnerabilità nell'autenticazione del servizio "Zoho ManageEngine ADSelfService Plus", che è un gestore di password e offre servizi di login SSO (Single Sign-On).

Gli hacker hanno così avuto accesso al server per inserire delle web shell, che sono generalmente dei piccoli software che permettono di prendere il controllo quasi totale di un applicativo web.

Apparentemente, sono stati trafugati i dati di oltre 500.000 persone, parliamo di informazioni personali come nomi, indirizzi e contatti.

1) F5 BIG-IP

Alcuni moduli del servizio BIG-IP di F5 sono stati hackerati tramite delle vulnerabilità che hanno permesso di caricare delle WebShell PHP e svolgere operazioni di cancellazione e modifica file, oltre a disabilitare diversi servizi.

Il bug era così semplice da sfruttare che sembrava quasi messo lì apposta, forse da uno sviluppatore interno con intenti di spionaggio per conto di soggetti terzi.

La WebShell PHP spesso è un piccolo software che permette di avere la gestione quasi totale di un applicativo web. È come avere una sorta di pannello di controllo nascosto per svolgere numerose operazioni sul server.

Sicurezza delle applicazioni web

La vulnerabilità dei sistemi e la presenza di dipendenti inconsapevoli mettono in evidenza che la sicurezza informatica deve essere analizzata e implementata ad ampio spettro, includendo tra i fattori chiave lo sviluppo di codice seguendo le linee guida per lo sviluppo di software, siti internet e web application sicure.

Lo sviluppo di software web conformi agli standard di sicurezza garantisce uno dei più importanti livelli di protezione dalle minacce e assicura che, in caso di violazione, i dati rimangano al sicuro e i servizi continuino a funzionare normalmente.

Anche il servizio di hosting deve essere scelto con accortezza. Spesso il risparmio iniziale porta a spese molto maggiori successivamente.