Nella sicurezza informatica, in particolare per i penetration tester, tutto si riduce alle vulnerabilità. L'idea sbagliata principale quando si segnalano questi è la connessione tra le diverse vulnerabilità e il possibile vettore di attacco.
Spesso incontriamo sviluppatori che affermano che una vulnerabilità ad alto rischio in una pagina protetta o più rischi a basso rischio in posizioni diverse non rappresentano una vera minaccia per il sistema. Il nostro compito come consulenti per la sicurezza è mostrare loro come la vulnerabilità può essere sfruttata (teoricamente e praticamente) utilizzando il concetto di Single Points of Failure (SPOF) e Cascading Failure.
Un singolo punto di errore (SPOF) è un potenziale rischio posto da un difetto nella progettazione, implementazione o configurazione di un sistema. SPOF si riferisce a un guasto o a un malfunzionamento che può causare l'interruzione del funzionamento di un intero sistema.
Un guasto a cascata è un processo in un sistema di parti interconnesse in cui il guasto di una o poche parti può innescare il guasto di altre parti e così via.
Fondamentalmente, un test di penetrazione non può coprire tutte le possibili vulnerabilità. Cerchiamo di fare del nostro meglio con un determinato periodo di tempo (2-4 settimane), per scansionare tutti i punti di ingresso e puntare nella giusta direzione in termini di questioni in sospeso e punti deboli, a volte siamo in grado di esplorare parti più profonde dei sistemi e altre volte stiamo solo grattando la superficie.
Gli attori malintenzionati, d'altra parte, possono raccogliere informazioni per assemblare un vettore di attacco completo. Queste vulnerabilità a basso rischio creano un puzzle di passaggi dopo i quali gli aggressori raggiungono il loro obiettivo. Ciascuno di questi rischi contribuisce al fallimento a cascata del sistema, svolgendo un ruolo importante nell'exploit finale.
Un altro esempio di SPOF sarà una situazione in cui una vulnerabilità ad alto rischio risiede all'interno di un ambiente altamente protetto. Dal proprio punto di vista, il rischio di sfruttamento si riduce automaticamente, ma sappiamo tutti che non esiste un software “perfetto”. È altamente probabile che un giorno qualcuno trovi un bug nella libreria che utilizzi, o nel tuo processo di autorizzazione che ora consideri sicuro, e quando ciò accade, la tua attività diventa immediatamente esposta a exploit.
Alla fine, la valutazione della vulnerabilità è solo uno strumento per gli specialisti informatici per stimare il possibile impatto sul software, sul cliente o sull'azienda. Ma non dimentichiamo che un impatto sulla sicurezza di qualsiasi forma macchia ancora la reputazione e l'integrità del proprietario e lascia gli sviluppatori a lavorare più tempo sugli errori passati invece che sulle funzionalità future.
Italia Cheredman
Itay è un ricercatore di sicurezza presso Sayfer. È appassionato di comprensione e ricerca di vettori di attacco e difesa che compaiono nelle nuove tecnologie emergenti.
Vuoi saperne di più?
Un incontro di consulenza gratuito incluso.
