I 20% degli attacchi individuati erano di tipo fuzzing, realizzati usando l’automazione per trovare il punto debole dell’applicazione.

Cyber-resilience: resistere agli attacchi automatizzati

Il cybercrimine è diventato un business importante e i criminali sempre più spesso ricorrono ai bot e all’automazione per rendere gli attacchi automatizzati più efficaci e tentare di aggirare gli strumenti di rilevamento.

A dicembre, i ricercatori di Barracuda hanno analizzato un campione di due mesi di dati sugli attacchi alle applicazioni web bloccati dai sistemi Barracuda, trovando un numero importante di attacchi automatizzati. I cinque attacchi più massicci erano stati eseguiti mediante strumenti automatici.

Circa il 20% degli attacchi individuati erano di tipo fuzzing, realizzati usando l’automazione per trovare il punto debole dell’applicazione. A seguire, gli attacchi di tipo injection (circa 12%), nella maggior parte dei quali erano stati usati strumenti come sqlmap per cercare di penetrare nell’applicazione. Molti di questi erano script elementari, attacchi lanciati verso un’applicazione senza alcuna ricognizione per personalizzare l’attacco.

Al terzo posto (circa 12%) i bot che fingono di essere bot Google o simili. Gli attacchi DDoS (distributed denial of service) erano sorprendentemente rilevanti (circa 9% degli attacchi analizzati dai ricercatori di Barracuda) e presenti in tutte le aree geografiche. Una piccola parte degli attacchi (meno del 2%) era rappresentato da bot bloccati dagli amministratori del sito.

Di seguito, i trend che i ricercatori di Barracuda hanno individuato negli attacchi alle applicazioni web e nel modo in cui i cybercriminali usano attacchi automatizzati.

La minaccia

Attacchi automatizzati — Gli attacchi automatizzati usano i bot per sfruttare le vulnerabilità delle applicazioni web. Questi attacchi vanno dai “fake” bot, che fingono di essere bot Google per non essere identificati, alle applicazioni DDoS, che cercano di rendere inutilizzabile un sito sovraccaricando l’applicazione.

Per quanto il traffico bot sia un problema sempre più grave, i cybercriminali non hanno affatto abbandonato le vecchie abitudini. In gran parte, gli attacchi analizzati possono essere considerati classici attacchi alle applicazioni web, quali injection (12%) e cross-site scripting (XSS) (1%). Buona parte del traffico deriva da tool di ricognizione o fuzzing usati, come già detto, per mettere alla prova l’applicazione.

Gli attacchi di tipo injection sono al primo posto nell’ultimo OWASP Top 10 e sono stati presenti in ogni classifica fin dagli inizi. Non mostrano segni di rallentamento data la relativa facilità di esecuzione e la possibilità di ritorni significativi per i criminali. Anche gli attacchi XSS sono risultati molto popolari, figurando al terzo posto tra gli attacchi in questa categoria.

La crittografia

I ricercatori di Barracuda hanno analizzato anche lo stato attuale della crittografia. La crittografia dei dati permette di prevenire una varietà di attacchi come, ad esempio, gli attacchi man-in-the-middle, e rappresenta un livello di protezione per gli utenti che visitano i siti web. Gli attacchi possono tuttavia avvenire ugualmente all’interno del flusso.

Quasi il 92% del traffico analizzato sull’arco di due mesi tra ottobre e dicembre 2020 è traffico HTTPS. Meno del 10% del traffico è servito su HTTP. Si tratta di un progresso incoraggiante e di una buona notizia per la sicurezza delle applicazioni web.

I produttori dei browser hanno iniziato a dare la priorità a TLS1.3 come protocollo preferito e questo sta iniziando ad avere un impatto positivo sull’adozione di protocolli più sicuri.

I ricercatori di Barracuda hanno scoperto che sono poche le organizzazioni ad avere mantenuto il vecchio protocollo SSLv3 perché estremamente poco sicuro. Anche tra le organizzazioni che lo hanno mantenuto, il traffico SSLv3 è molto limitato. Lo stesso vale per TLS1.0 e TLS1.1 il cui uso sta rapidamente riducendosi (meno dell’1% del traffico analizzato).

Il 65% del traffico analizzato per questo rapporto utilizzava TLS1.3, il protocollo più sicuro oggi disponibile. Circa un terzo del traffico HTTPS è ancora su TLS1.2, ma la quantità sta rapidamente calando.

Per quanto riguarda i browser che usano TLS1.3 (in base allo User Agent), Chrome appare il più diffuso, usato per il 47% del traffico, seguito da Safari, responsabile del 34% del traffico TLS1.3. È sorprendente che Edge con il 16% abbia superato Firefox (3%) per il terzo posto. Il fatto che Firefox abbia perso terreno rispetto a Edge è probabilmente dovuto a due fattori:

  • la supremazia di Chrome
  • i sistemi aziendali che tradizionalmente preferivano Explorer stanno passando a Edge

TLS1.2 mostra un trend diverso. L’uso di Explorer è più alto di Chrome (rispettivamente più del 50% e 40%). Safari si colloca al terzo posto con meno del 10% e ancora più basso è l’uso di Firefox.