Il settore Media sotto attacco - stato di internet - security - Affari Italiani

 
Il settore Media sotto attacco - stato di internet - security - Affari Italiani
Volume 5, edizione speciale
             [stato di internet] - security

Il settore Media
   sotto attacco
Il settore Media sotto attacco - stato di internet - security - Affari Italiani
Sommario
 1 Panoramica

 2 Saggio: Stessi attacchi, rischi diversi,
   impatto globale

 4 Attacchi alle applicazioni web

 9 Credential stuffing

15 Metodologie

17 Riconoscimenti
Il settore Media sotto attacco - stato di internet - security - Affari Italiani
Panoramica
Da gennaio 2018 a giugno 2019, Akamai ha registrato
più di 61 miliardi di tentativi di credential stuffing e più
di 4 miliardi di attacchi alle applicazioni web. In questa
edizione speciale del Rapporto sullo stato di Internet -
Security, ci concentreremo sui dati relativi ai settori
dell'high-tech, dei contenuti multimediali video
e dell'intrattenimento, denominati collettivamente
                                                                                        Attacchi web in cifre
"Media e tecnologie".

                                                                                     gennaio 2018 - giugno 2019
Questi tre settori hanno rappresentato quasi il 35% di
tutti gli attacchi di credential stuffing e quasi il 17% degli
                                                                                    Numero totale degli attacchi alle
attacchi alle applicazioni web registrati da Akamai durante                        applicazioni web: 4.068.741.948
il periodo di analisi esaminato, pari a 18 mesi. La nostra
analisi indica che questi tre segmenti verticali subiscono
attacchi in modo coerente e costante per due ragioni:
                                                                          • High-tech: 609.117.260
dati personali e aziendali. I brand presi di mira sono quelli
                                                                          • Contenuti multimediali video: 143.308.490
più conosciuti e i criminali cercano di sfruttare questa
                                                                          • Intrattenimento: 51.464.909
notorietà.

Sferrando direttamente attacchi alle applicazioni web,
                                                                                            Tipi di attacco:
i criminali sperano di esporre i record e i dati finanziari
dei clienti oppure di sfruttare un server vulnerabile al
fine di diffondere un codice dannoso: un altro movente
comune che spinge i criminali ad attaccare il settore                     • SQL Injection (SQLi): 69,7%
retail. Il credential stuffing colpisce i brand, ma anche                 • Local File Inclusion (LFI): 21,6%
i loro clienti e ciò consente ai criminali di individuare                 • Cross-Site Scripting (XSS): 3,5%
informazioni personali e risorse aziendali, come
i media o i prodotti digitali.

[stato di Internet] - security 			                             Il settore Media sotto attacco: volume 5, edizione speciale 1
Il settore Media sotto attacco - stato di internet - security - Affari Italiani
Stessi attacchi, rischi diversi, impatti globali
               Jaspal Jandu
               Group CISO

               DAZN

Quando si tratta di metodologie di attacco di                    Una delle paure più grandi delle emittenti è la
base utilizzate dai criminali per compromettere le               trasmissione vuota, ossia il momento in cui tutto ciò che
organizzazioni, le emittenti e il settore dei media              lo spettatore vede è lo schermo nero. Dal punto di vista
subiscono tutti gli stessi metodi di attacco che molti altri     della sicurezza, gli attacchi basati su Internet, come i
segmenti verticali del settore affrontano ogni giorno.           DDoS (Distributed Denial of Service), sono rischi ai quali
Sono i rischi che questi attacchi rappresentano per le           ora le emittenti devono pensare durante tutta la catena di
organizzazioni operanti nel settore dei media a farci            fornitura. Esistono rischi presenti da decenni all'interno di
preoccupare.                                                     settori come quello dei servizi finanziari. Il nuovo mondo
                                                                 delle TV IP live, dove gli utenti fruiscono della maggior
Quando la maggior parte delle emittenti erano lineari            parte dei contenuti media mondiali, presuppone che
e si doveva stare davanti al televisore a un determinato         ogni possibile attacco potrebbe comportare problemi di
orario per guardare lo spettacolo, i rischi che la               fidelizzazione degli abbonati, influenzare negativamente
tecnologia rappresentava erano relativamente semplici            i profitti e ridurre le possibilità di offerte future per
rispetto a ciò che ci affligge oggi. Se la trasmissione live     l'assegnazione di diritti. Con la visione televisiva live non
si interrompeva, probabilmente si trattava di un guasto          esiste una seconda possibilità. Agli spettatori non importa
fisico: un problema di cavi o un guasto hardware. Oggi,          se è colpa del fornitore: è la reputazione dell'emittente a
con l'avvento dei televisori basato su IP (TV IP) e dello        pagarne le spese.
streaming Over-the-Top (OTT), i rischi sono notevolmente
aumentati e più complessi da gestire.                            Il settore dei media deve anche gestire un enorme
                                                                 cambiamento culturale sul fronte della regolamentazione.
Il rischio lungo la catena di fornitura è un buon esempio        L'integrazione di una maggiore quantità di dati ora è
di come le cose siano diventate sempre più complesse.            alla base delle ambizioni strategiche di molte emittenti.
Nel mondo di oggi, i fornitori di broadcast tradizionali si      La motivazione non è solo quella di aumentare lo share
stanno trasformando in aziende di software. Meccanismi           di visualizzazioni, ma anche di verificare l'esistenza di
di cloud delivery, come l'IaaS (Infrastructure as a Service),    opportunità in grado di offrire agli spettatori un'experience
in alcuni casi hanno reso più semplice questa transizione.       di visione più personalizzata e pertinente. È molto sottile
Ma questo approccio introduce notevolmente più rischi            la linea che separa l'utilizzo aziendale legittimo dei dati
per soggetti terzi e quarti di quanti non ne gestiscano          dei clienti e il superamento dei limiti dell'uso accettabile:
già ora le emittenti. Si tratta di una proposta ampiamente       un limite non sempre visibile. La sfida per i media è quella
differente rispetto alla situazione di dieci anni fa, quando     di compensare l'esigenza di innovazione e agilità con i
la maggior parte della catena di trasmissione passava            rischi creati dalle normative, in un ambiente nel quale gli
attraverso un'infrastruttura collaudata, il cui pieno            utenti richiedono un'innovazione costante e opportunità di
controllo spettava alle emittenti.                               intrattenimento all'avanguardia.

[stato di internet] - security 				                             Il settore Media sotto attacco: volume 5, edizione speciale      2
A seguito del cambiamento culturale, vi è anche una                             Gli stati-nazione ora fanno più attenzione alle emittenti e
carenza di competenze che ogni azienda che voglia                               agli outlet di media, poiché comprendono che possono
proteggere le proprie risorse digitali si trova ad affrontare.                  raggiungere un'audience di milioni di persone già pronta.
La sfida è individuare professionisti della sicurezza esperti,                  Ciò avviene non solo compromettendo le piattaforme
che comprendano l'esigenza di dover compensare                                  di broadcast, ma anche attraverso la presenza sui social
le opportunità aziendali con i rischi di un mondo in                            media, utilizzati da molte emittenti e outlet di media.
continua evoluzione. Molti professionisti della sicurezza                       Ci sono stati almeno due casi famosi di attacchi agli stati-
provengono da settori con un livello conformità molto                           nazione nel settore dei media negli ultimi cinque anni.
elevato, come quello bancario e governativo, e hanno
difficoltà ad adattarsi ad ambienti più flessibili. È molto più                 La fiducia è essenziale per il futuro del settore dei media.
semplice indicare una normativa che non elencare i rischi                       Il mantenimento della fiducia dei consumatori non viene
che una particolare decisione potrebbe rappresentare per                        minacciato solo dalla velocità con la quale gestiamo
un'azienda creativa.                                                            i rischi noti, ma anche da come rispondiamo ai rischi
                                                                                propri del nostro settore, molti dei quali semplicemente
Esiste un rischio fondamentalmente strutturale che è                            non esistevano fino a dieci anni fa. Di certo sappiamo
proprio del settore dei media e che ha implicazioni sociali                     che occorre fare un cambiamento culturale notevole per
profonde e complesse: le fake news. Le emittenti e i                            gestire le minacce e che non tutti hanno le competenze
social media hanno un notevole impatto sui punti di vista                       giuste. Le cose non cambieranno così presto; per ora,
e sulle opinioni del pubblico. Mentre si può dibattere su                       almeno, continueremo ad affrontare un percorso difficile
cosa siano o non siano le fake news, le vere fake news e                        e i rischi che affrontiamo ora potrebbero danneggiarci più
la capacità di crearne di gravi, non più distinguibili dai                      di quanto non immaginiamo.
contenuti reali e affidabili, rappresentano una grande
minaccia per il settore. Questi strumenti hanno il potere di
influenzare i risultati di un'elezione e possono alimentare
messaggi dannosi e che causano discordia su una scala
davvero globale. Ciò va a minare le basi della fiducia e
della nostra conoscenza del mondo intorno a noi.

    Jaspal è un professionista della sicurezza esperto, con oltre 20 anni di esperienza. Negli ultimi dieci anni il suo lavoro si è concentrato
    principalmente sul settore dei media. Ha un bagaglio incredibile di informazioni sui rischi affrontati dalle organizzazioni che operano nel
    settore multimediale, avendo gestito alcuni degli attacchi di profilo più alto contro il settore.

    Il punto di vista espresso in questo saggio è quello dell'autore e non riflette necessariamente quello di Akamai.

[stato di internet] - security 				                                           Il settore Media sotto attacco: volume 5, edizione speciale         3
Attacchi alle
applicazioni web

[stato di internet] - security 				   Il settore Media sotto attacco: volume 5, edizione speciale   4
Gli attacchi contro il settore high-tech, che comprende                              multimediali, cosa comune durante gli eventi sportivi.
apparecchiature e produzione di software, oltre alla                                 Cosa altrettanto dannosa, i criminali cercano di rubare
tecnologia e ai fornitori di servizi (come gli operatori                             contenuti originali per pubblicarli prima della data di
cloud, mobili, di telecomunicazioni e via cavo), hanno                               trasmissione prevista o per venderli su vari mercati
rappresentato la maggior parte degli attacchi osservati nel                          criminali. Questa è una pratica comune con giochi
settore Media e tecnologie, come mostrato nella figura 1.                            e software di pre-release (il cosiddetto warez in alcuni
                                                                                     ambienti), mentre musica e film vengono scambiati.
Per contro, gli attacchi contro il settore dell'intrattenimento,
che comprende organizzazioni come fornitori di contenuti,                            Il picco di attacchi di settembre 2018 ha colpito
emittenti, post-produzione, sviluppo di contenuti, ricerca                           un famoso brand internazionale ed era costituito
e analisi, si sono mantenuti stabili, con un picco molto                             esclusivamente da attacchi SQL injection (SQLi). Non è
significativo il 22 settembre 2018. Il segmento verticale                            chiaro cosa cercassero i criminali durante questo attacco,
dei contenuti multimediali video, che comprende                                      ma un SQLi in genere è un attacco diretto a credenziali
la distribuzione e la delivery, nonché l'industria                                   e altri dati. È inusuale, ma non raro, che un sito riceva un
cinematografica, ha registrato un flusso di attacchi                                 attacco SQLi di forza bruta di una tale intensità.
altrettanto stabile che è aumentato nel tempo, culminando
in qualche picco nel secondo trimestre del 2019.                                     Il secondo picco di attacchi contro il settore high-tech
                                                                                     a novembre 2018 è un caso più interessante. Questo
Questo volume costante dimostra come il settore Media                                attacco è stato subito da un altro brand famoso,
e tecnologie sia un obiettivo allettante per l'economia                              una specie di obiettivo di alto valore, tutto sommato.
criminale. Una volta compromesse, le informazioni                                    I criminali avevano preso di mira le informazioni sensibili
personali possono essere vendute o scambiate, mentre                                 detenute da questa azienda. Questo attacco è stato
i dati aziendali possono essere sfruttati in altri attacchi.                         composto da tentativi di attacchi Local File Inclusion (LFI)
Questi stessi dati possono essere utilizzati dai responsabili                        (82,3%), PHP Injection (9,3%), Command Injection (7,6%)
degli attacchi anche per rubare flussi di contenuti                                  ed SQLi (0,7%).

                                          Attacchi alle applicazioni web ogni giorno contro il settore dei media
                                                                     gennaio 2018 - giugno 2019

                                   8M
                                                                           19 novembre 2018                             High-tech
                                                                               7.509.913                                Contenuti
                                                                                                                        multimediali video

                                                                                                                        Intrattenimento

                                   6M                             22 settembre 2018
                                                                      5.263.383
              Attacchi (milioni)

                                   4M

                                   2M

                                   0M
                                        Feb 2018   Apr 2018   Giu 2018   Ago 2018   Ott 2018   Dic 2018   Feb 2019   Apr 2019       Giu 2019

Fig. 1 - Gli attacchi alle applicazioni hanno subito un notevole aumento dalla seconda metà del 2018: una tendenza destinata a continuare

[stato di Internet] - security 				                                                 Il settore Media sotto attacco: volume 5, edizione speciale     5
L'attacco SQLi è rimasto il principale vettore di attacco                         Per contro, negli attacchi di Command Injection,
durante il periodo dei 18 mesi, con più del 70% di                                l'avversario è limitato alle funzioni predefinite
attacchi, seguito da Local File Inclusion (LFI) al 19,3%,                         dell'applicazione o servizio.
Cross-Site Scripting (XSS) al 3,9%, PHP Injection al 3,3%
e Remote File Inclusion (RFI) a meno dell'1%.                                     L'aspetto chiave di un qualsiasi attacco injection sta
                                                                                  in una convalida e una gestione dei dati di scarsa
Gli attacchi SQLi sono il metodo di attacco più gettonato                         qualità. Tali vulnerabilità sono state rilevate in piattaforme
per i criminali che cercano di acquisire credenziali,                             come .NET, PHP, Java, JavaScript e Ruby on Rails.
record finanziari o qualsiasi altra cosa che un'azienda
potrebbe conservare nel proprio database. Tuttavia, come                          Le vulnerabilità nell'ambito del code injection possono
mostrato dalla figura 2, gli attacchi injection totali hanno                      essere sfruttate in gruppi o individualmente (come
rappresentato più del 98% di attacchi sferrati contro il                          osservato nei due giorni evidenziati nella figura 1)
settore Media e tecnologie.                                                       e le competenze necessarie a individuare e sfruttare tali
                                                                                  falle sono quasi inesistenti. Esistono diversi strumenti su
Attacco di code injection, che comprende SQLi, LFI, RFI                           Internet che effettuano una scansione automatica delle
e XSS, è un termine generico per i tipi di attacco che                            vulnerabilità nell'ambito del code injection e, in alcuni
consentono al responsabile di un attacco di inserire                              casi, anche questi strumenti rendono automatico lo
codice dannoso in un'applicazione, che verrà poi                                  sfruttamento e l'esfiltrazione dei dati.
interpretato o eseguito. Si tratta di una cosa diversa
rispetto agli attacchi Command Injection, perché
i criminali utilizzano il proprio codice.

                           Principali vettori di attacco alle applicazioni web contro il settore dei media
                                                                  gennaio 2018 - luglio 2019
600 M
                 70,8%

500 M

400 M

300 M

200 M

                                      19,3%

100 M

                                                           3,9%                3,3%
                                                                                                    0,7%                 0,7%              1,3%
  0M
                 SQLi                  LFI                 XSS                 PHPi                  RFI                OGNLi              Altro
                                                                         Vettore di attacco

        Fig. 2 - Gli attacchi injection totali hanno rappresentato più del 98% di attacchi sferrati contro il settore Media e tecnologie

6
[stato di internet]
              [stato -di
                       security
                         Internet] / security 			                               Il settore
                                                                            Il settore     Media
                                                                                       Media     sotto
                                                                                             sotto     attacco:
                                                                                                   attacco:         5, edizione
                                                                                                                volume
                                                                                                            Volume               speciale
                                                                                                                       5, edizione speciale        6
È importante notare che la maggior parte dei criminali                          Considerando la visione globale sull'origine degli attacchi
non utilizza strumenti sofisticati o specializzati. In genere,                  web, gli Stati Uniti hanno conservato il primo posto in
utilizzano gli stessi programmi legittimi ampiamente                            tutto il mondo, in tutti i segmenti verticali, seguiti da
disponibili in varie offerte per la sicurezza, come                             Regno Unito e Germania. Il principale obiettivo degli
Metasploit e Kali Linux. Criminali in grado di creare                           attacchi al settore Media e tecnologie sono stati di nuovo
strumenti su misura raramente suscitano un clamore                              gli Stati Uniti, con la Francia al secondo posto. Anzi,
tale da comparire nelle metriche volumetriche,                                  come mostrato dalla figura 3, il 18,63% di tutti gli attacchi
ma ne esistono.                                                                 registrati da Akamai contro gli Stati Uniti era diretto al
                                                                                settore Media e tecnologie durante l'arco dei 18 mesi.
Gli attacchi injection che vanno a buon fine possono
portare a dati e risorse aziendali compromessi, come                            È interessante notare che nessun altro paese
record dei clienti, comunicazioni interne, piani di sviluppo                    nordamericano si trova tra i 10 principali obiettivi quanto
aziendali, nomi utente e password. Gli attivisti del gruppo                     al segmento verticale Media e tecnologie. Francia
LulzSec, nel 2010, hanno utilizzato gli attacchi XSS, RFI,                      (34,78%), Giappone (22,96%), Germania (11,09%) e India
LFI e SQLi, per lanciare una serie di attacchi che hanno                        (10,55%) sono tra i primi cinque. La Corea è un'eccezione
compromesso decine di siti web e organizzazioni. Ma                             interessante rispetto a questo insieme di dati, con un 64%
gli attacchi injection possono essere anche un evento                           totale di attacchi contro organizzazioni del settore dei
entry-level e preparare il terreno per problemi più grandi,                     media in Corea.
com'è successo a Heartland Payment Systems nel 2009.

Allora perché i criminali sfruttano attacchi injection? Per
prima cosa, rappresentano un ostacolo relativamente
basso per criminali carenti di competenze avanzate, grazie
all'automazione attrezzata. Il secondo motivo per il quale
questi attacchi sono tra i preferiti è perché funzionano.

                                              Attacchi alle applicazioni - Principali obiettivi

                                                                                                                          POSIZIONE GLOBALE IN TUTTI
  AREE PRESE DI MIRA                         SETTORE DEI MEDIA                     TUTTI I SEGMENTI VERTICALI
                                                                                                                             I SEGMENTI VERTICALI

  Stati Uniti                                   636.551.596                              3.416.411.545                                  1
  Francia                                        27.995.960                                80.501.396                                   8
  Giappone                                       25.417.099                               110.691.972                                   6
  Germania                                       16.896.288                               152.341.265                                   3
  India                                          15.116.167                               143.323.371                                   4
  Paesi Bassi                                    12.968.664                                52.918.175                                   11
  Corea                                          11.007.413                                17.307.359                                   18
  Australia                                      10.837.898                                61.597.371                                   10
  Regno Unito                                     7.662.747                               243.559.654                                   2
  Regione amministrativa
                                                  6.503.057                                27.502.462                                   15
  speciale di Hong Kong

Fig. 3 - Quasi il 20% di tutti gli attacchi che hanno preso di mira gli Stati Uniti sono stati sferrati al segmento verticale Media e tecnologie

[stato di internet]
              [stato -di
                       security
                         Internet] / security 			                             Il settore
                                                                          Il settore     Media
                                                                                     Media     sotto
                                                                                           sotto     attacco:
                                                                                                 attacco:         5, edizione
                                                                                                              volume
                                                                                                          Volume               speciale
                                                                                                                     5, edizione speciale          7
Gli Stati Uniti sono di nuovo al primo posto quanto a paesi                        dei clienti e abusato dei servizi, per ospitare server di
di origine e attacchi nel solo settore Media e tecnologie                          comando e controllo delle botnet (C2). Questi server,
(figura 4). I Paesi Bassi (31,23%) sono al secondo posto,                          poi, sono stati usati per lanciare attacchi.
con un bel distacco.
                                                                                   Il recente Botnet Threat Report di Spamhaus ha elencato
Tuttavia, la sorpresa più grande è il Belize, registrato                           gli ISP in Belize tra i primi 20 per l'hosting C2 di botnet,
come terzo durante il periodo di analisi esaminato. Non                            server e siti web compromessi. Le date esaminate dal
solo il Belize è l'undicesima fonte maggiore di attacchi,                          report di Spamhaus corrispondevano ai picchi di traffico
ma il 68% di tali attacchi era contro il settore Media e                           dannoso osservati da Akamai in Belize, il che conferma
tecnologie. Dopo qualche altra ricerca, la posizione                               le nostre conclusioni.
maggiore sembra essere collegata ai router e ai servizi ISP
compromessi nel primo trimestre del 2019. Durante quei
mesi, i criminali hanno compromesso le apparecchiature

             Attacchi alle applicazioni - Origini principali

                                                                           POSIZIONE
                                                                            GLOBALE
   AREA DI ORIGINE
                             SETTORE DEI
                                MEDIA
                                                  TUTTI I SEGMENTI
                                                     VERTICALI
                                                                            IN TUTTI I                   Credential stuffing in cifre
                                                                           SEGMENTI
                                                                           VERTICALI                      gennaio 2018 - giugno 2019

   Stati Uniti             177.678.990            1.041.639.431                1
   Paesi Bassi              90.602.359             290.096.974                 3                     Totale di tentativi di accesso dannosi:
   Belize                   71.054.852             103.372.849                11                                 61.192.394.742
   Russia                   54.058.380             822.468.109                 2
   Cina                     51.751.691             240.602.133                 4                    • Contenuti multimediali video:
                                                                                                      13.760.213.425
   India                    40.352.673             173.637.873                 7
                                                                                                    • High-tech: 7.533.980.169
   Germania                 28.651.918             147.644.005                 8
   Irlanda                  28.172.199              82.245.577                13
                                                                                                    • Intrattenimento: 77.292.308

   Ucraina                  19.804.493             181.211.429                 6
                                                                                                         Media di tentativi di accesso
   Francia                  16.400.882             128.396.046                 9
                                                                                                            dannosi per singolo host:
Fig. 4 - A causa di un aumento dell'attività relativa ai bot nel Belize,
il paese è balzato al terzo posto nell'elenco delle aree di origine,
mentre è 11° quanto agli attacchi web.                                                              • SQL Injection (SQLi): 69,7%
                                                                                                    • Local File Inclusion (LFI): 21,6%
                                                                                                    • Cross-Site Scripting (XSS): 3,5%

                                                                                                Il settore Media e tecnologie ha rappresentato
                                                                                                    quasi il 35% di tutti gli accessi dannosi

[stato di Internet] - security 				                                           Il settore Media sotto attacco: Volume 5, edizione speciale         8
Credential stuffing

[stato di internet] - security 				   Il settore Media sotto attacco: volume 5, edizione speciale   9
L'abuso di credenziali, o credential stuffing, com'è più                  Quasi completamente automatizzati, gli attacchi di
comunemente noto, è un tipo di attacco che ultimamente                    credential stuffing si basano su applicazioni All-in-One
ha suscitato tanta attenzione. La ragione di tale attenzione              (AIO), con nomi come SNIPR o STORM. Alcuni programmi
non deriva dal fatto che il credential stuffing è una novità,             AIO sono gratuiti, mentre altri richiedono una quota di
ma perché il volume di attacchi in quest'area è aumentato                 iscrizione iniziale. Uno dei programmi più famosi, SNIPR,
in modo esponenziale negli ultimi anni.                                   viene venduto a circa $ 20, mentre STORM (mostrato nella
                                                                          figura 5) è disponibile online gratuitamente.
Akamai quest'anno si è dedicata molto al credential
stuffing e, in questo rapporto, parleremo dell'impatto                    Le piattaforme AIO, come STORM e SNIPR, funzionano
di questi attacchi sul settore Media e tecnologie.                        tramite i file di configurazione, che consentono loro
                                                                          di prendere di mira vari servizi (come quelli offerti dal
                                                                          settore Media e tecnologie), senza preoccuparsi troppo

Background                                                                dei limiti di velocità o di altre restrizioni di sicurezza. I file
                                                                          di configurazione spesso vengono ceduti gratuitamente,
Il credential stuffing funziona prelevando un elenco di                   ma altre configurazioni più personalizzate possono essere
nomi utente e password, che è possibile condividere,                      vendute anche per più di $ 50.
vendere o scambiare liberamente e tentando varie
combinazioni a partire da questi su una piattaforma                       Queste applicazioni sono sviluppate per simulare
di autenticazione presa di mira. Il più delle volte,                      le azioni di un utente normale, perciò per difenderle
i criminali prendono di mira le API di autenticazione, ma                 è necessaria un'attività di pianificazione, oltre alla
alcuni attaccano direttamente i moduli di login. Mentre                   capacità di identificare rapidamente gli attacchi.
la maggior parte degli elenchi di combinazioni sono                       La maggior parte degli AIO presenta tecniche di evasione
liberamente scaricabili, altri elenchi, come quelli che si                predefinite per molte misure difensive predefinite,
rivolgono a un particolare servizio o posizione geografica,               perciò sono obbligatorie soluzioni personalizzate,
possono essere venduti per circa $ 5 e contengono                         studiate appositamente per le esigenze aziendali. Inoltre,
50.000 nomi utente e password.                                            un qualsiasi piano di difesa deve comprendere una
                                                                          formazione sulla consapevolezza per gli utenti finali,
                                                                          dal momento che i criminali approfittano dell'accesso
                                                                          condiviso agli account e di password riutilizzate,
                                                                          deboli o facili da indovinare.

                                                                          Una volta che i criminali hanno caricato nell'AIO i propri
                                                                          file di configurazione e gli elenchi di combinazioni,
                                                                          stabiliscono connessioni tramite proxy al sito web di
                                                                          destinazione e tentano di accedere. Le voci corrette
                                                                          vengono registrate e l'accesso all'account viene
                                                                          scambiato o venduto. Gli account compromessi nel
                                                                          segmento verticale Media e tecnologie possono
                                                                          essere venduti a soli $ 5, ma alcuni account possono
                                                                          arrivare anche fino a $ 15, a seconda di ciò che sono.

Fig. 5 - Il software AIO STORM è facile da usare e gratuito, il che lo
                                                                          Le trasmissioni e lo sviluppo di contenuti sono gli obiettivi
rende una scelta popolare per i criminali che sferrano attacchi di        chiave per il credential stuffing e gli account in questi
credential stuffing                                                       settori sono molto richiesti.

10
 [stato di internet] - security 				                                     Il settore Media sotto attacco: volume 5, edizione speciale 10
Tentativi di accesso dannosi ogni giorno contro il settore dei media
                                                                                                  gennaio 2018 - giugno 2019

                                                                                                                                                                    Contenuti
                                                                                                27 ottobre 2018                                                     multimediali video

                                          200 M                                                  211.637.129                                                        High-tech

                                                                 3 giugno 2018                                                                                      Intrattenimento

                                                                  133.861.006
 Tentativi di accesso dannosi (milioni)

                                          150 M

                                          100 M

                                          50 M

                                           0M
                                                      Feb 2018      Apr 2018       Giu 2018      Ago 2018       Ott 2018       Dic 2018       Feb 2019   Apr 2019        Giu 2019

                                                  Fig. 6 - Due attacchi nel 2018 hanno causato più di 340 milioni di tentativi di credential stuffing

Nella figura 6, considerando lo stesso periodo di tempo di 18 mesi, è chiaramente visibile che la stragrande
maggioranza degli attacchi si concentrano su settori di contenuti multimediali video e high-tech. Il segmento verticale
dell'intrattenimento è presente, ma nel grafico si nota appena rispetto agli altri due settori. Come già precisato, gli
account in queste due aree sono gli obiettivi più sensibili e possono essere rivenduti rapidamente a scopo di lucro.

Abbiamo individuato due mesi, giugno 2018 e ottobre 2018, poiché entrambi interessanti dal punto di vista degli
attacchi.

A giugno, i responsabili degli attacchi hanno preso di mira sette organizzazioni diverse e 14 singoli host. L'obiettivo
era apparentemente quello di ottenere accesso ai dati e agli account ricchi di contenuti, da rivendere in un secondo
momento. Considerando i clienti presi di mira, i criminali cercavano di rivendere gli account nel settore dei contenuti
multimediali video e ottenere nuove credenziali e altri dati da rivendere dal settore high-tech. A ottobre, i responsabili
degli attacchi hanno colpito 18 organizzazioni diverse e 28 singoli host. Gli obiettivi, apparentemente, sembravano gli
stessi anche in questo caso.

In entrambi i casi, l'origine principale degli attacchi è stata rintracciata in Russia. Ciò è dovuto, probabilmente,
all'elevato numero di servizi proxy nel paese. Parlando di attacchi contro i segmenti verticali Media e tecnologie,
la Russia è direttamente seguita da Canada, Brasile, Malesia e Cina. Ognuna di queste aree geografiche è nota
per i servizi proxy, la pirateria, nonché la rivendita e lo scambio di account.

11             [stato- di
 [stato di internet]      Internet]
                       security 				/ security Il settore Media   sottoMedia
                                                            Il settore  attacco:
                                                                             sottoVolume
                                                                                   attacco:5, edizione
                                                                                           volume       speciale
                                                                                                   5, edizione speciale 11
Media di tentativi di accesso dannosi per segmento verticale

                                                                                                                MEDIA DI TENTATIVI DI ACCESSO DANNOSI
   SEGMENTO VERTICALE                                           TENTATIVI DI ACCESSO DANNOSI
                                                                                                                       PER SINGOLO OBIETTIVO

   Retail                                                              24.245.971.895                                         26.556.377
   Contenuti multimediali video                                        13.760.213.425                                        151.211.137
   High-tech                                                           7.533.980.169                                          35.537.642
   Hotel e viaggi                                                      4.860.206.037                                          23.941.902
   Servizi finanziari                                                  3.900.240.393                                          27.466.482
   Manifatturiero                                                      2.615.438.681                                          74.726.819
   Beni di largo consumo                                               1.560.726.138                                          18.803.929
   Social media                                                        1.079.139.624                                          37.211.711
   Gaming                                                               645.181.719                                           25.807.269
   Altri contenuti multimediali digitali                                331.455.583                                            5.815.010
   Servizi consumer                                                     311.243.282                                           14.147.422
   Automobilistico                                                       97.816.354                                           13.973.765
  Media & Entertainment                                                  77.292.308                                            4.294.017
  Pubblica amministrazione                                               75.116.539                                            4.694.784
  Servizi business                                                       35.908.816                                            1.158.349

Fig. 7 - La media di attacchi per singolo host nel settore dei contenuti multimediali video risultanti tra i primi rispetto a qualsiasi altro
segmento verticale

Nella figura 7, esaminiamo il numero di accessi dannosi                          Gli obiettivi principali negli attacchi di credential stuffing
per ogni singola vittima. In base ai dati, possiamo vedere                       durante l'arco di tempo di 18 mesi, come si nota dalla
che, mentre il retail è il segmento verticale migliore,                          figura 8, sono stati gli Stati Uniti, l'India, il Canada,
i contenuti multimediali video e l'high-tech spopolano,                          Singapore e l'Australia. Le aziende legate a queste aree
il che significa che, in media, vengono colpiti più                              geografiche sono tra i brand migliori del mondo nel
duramente. Anzi, il tasso di attacchi per singolo host                           settore Media e tecnologie. Gli account e i dati che
contro i contenuti multimediali video è quasi cinque                             queste aziende conservano in queste aree sono preziosi
volte il tasso di attacchi contro gli altri, se si prendono                      e possono essere facilmente scambiati o venduti a scopo
in considerazione tutti i segmenti verticali.                                    di lucro. I criminali inseguono il denaro.

Un'altra cosa che balza all'occhio nella figura 6 è il                           Gli attacchi di credential stuffing hanno avuto origine
livello coerente di attacchi. Nei mesi estivi, ossia quando                      principalmente negli Stati Uniti, in Russia, in Canada, in
vengono pubblicate nuove release su varie piattaforme,                           Germania e in India. La ragione per la quale la Russia e
gli attacchi subiscono un picco e lo stesso succede nei                          l'India sono così alte nella classifica sono i servizi proxy,
mesi autunnali, ma anche durante tutto l'anno ci sono                            che semplificano il mascheramento della vera origine
milioni e milioni di attacchi di credential stuffing in tutto                    degli attacchi. Akamai vede soltanto l'ultimo sistema
il web. Ovviamente, questo problema non scomparirà,                              utilizzato in un attacco e non riesce a individuare altro.
ma è destinato a restare.

12
 [stato di internet] - security 				                                            Il settore Media sotto attacco: volume 5, edizione speciale 12
Tentativi di accesso dannosi - Principali obiettivi

                                                                                                                       POSIZIONE GLOBALE IN TUTTI I SEGMEN-
    AREA COLPITA                                    SETTORE DEI MEDIA                  TUTTI I SEGMENTI VERTICALI
                                                                                                                                   TI VERTICALI

    Stati Uniti                                      17.554.816.847                         46.897.833.276                                 1
    India                                            2.455.628.895                           3.702.332.247                                 3
    Canada                                           1.156.597.318                           1.487.337.095                                 4
    Singapore                                           47.008.228                             55.117.432                                 18
    Australia                                           42.773.334                            198.379.421                                  9
    Repubblica Ceca                                     36.139.380                             36.139.380                                 19
    Paesi Bassi                                         15.614.129                             15.770.397                                 22
    Cina                                               15.105.040                            4.758.443.883                                 2
    Germania                                           12.683.512                            1.280.565.528                                 5
    Italia                                              7.532.004                             106.015.785                                 14

 Fig. 8 - Gli Stati Uniti e l'India sono stati i principali obiettivi degli attacchi di credential stuffing

Solo perché l'indirizzo IP del responsabile di un attacco è in Russia, non significa che anche il responsabile lo sia. I
criminali che sferrano attacchi di credential stuffing si affidano a impostazioni proxy non solo per evadere le misure di
sicurezza, ma anche per offrire un livello di mascheramento della propria identità.

Durante la nostra ricerca, abbiamo trovato un servizio proxy che offriva l'accesso a prezzi che andavano da $ 30 a $ 200
alla settimana. Il costo dipende dalla posizione del server proxy e dalle limitazioni dell'account. L'opzione più economica,
che si trova in Australia, ha un limite di 50 connessioni simultanee (thread) e vantava di più di 200 server disponibili
per le connessioni (il cosiddetto pool). La Cina offriva una delle opzioni più costose: un limite di thread di 500 e più di
20.000 server nel pool.

                                                  Tentativi di accesso dannosi - Principali origini

                                                                                                                       POSIZIONE GLOBALE IN TUTTI I SEGMEN-
    AREA DI ORIGINE                                 SETTORE DEI MEDIA                  TUTTI I SEGMENTI VERTICALI
                                                                                                                                   TI VERTICALI

    Stati Uniti                                      5.978.803.240                          19.946.636.280                                 1
    Russia                                           2.811.700.327                           5.080.433.712                                 2
    Canada                                           1.767.056.222                           2.423.776.410                                 4
    Germania                                           883.080.860                           1.727.582.602                                 8
    India                                              790.854.971                           2.167.920.536                                 5
    Vietnam                                            750.780.050                           1.618.414.860                                10
    Brasile                                            692.183.261                           2.834.964.769                                 3
    Francia                                            518.293.553                           1.358.495.125                                13
    Paesi Bassi                                        448.213.143                           1.386.280.155                                12
    Regno Unito                                        424.914.180                           1.140.233.591                                14

 Fig. 9 - Gli Stati Uniti e la Russia sono stati di nuovo le principali fonti di origine di attacchi di credential stuffing online durante il periodo
 di 18 mesi preso in esame

13             [stato- di
 [stato di internet]      Internet]
                       security 				/ security Il settore Media   sottoMedia
                                                            Il settore  attacco:
                                                                             sottoVolume
                                                                                   attacco:5, edizione
                                                                                           volume       speciale
                                                                                                   5, edizione speciale 13
Conclusione
Esagerare è impossibile: gli attacchi web e il credential stuffing sono minacce reali a lungo termine. Fanno entrambi
parte di un'economia criminale più ampia, alimentata da un legame simbiotico. Quando si parla di sviluppare elenchi
di combinazioni per il credential stuffing, uno dei metodi più comuni è quello di scaricare i dati da un database appena
compromesso. Come tale, un attacco SQLi può diventare un attacco di credential stuffing in pochi secondi. Ma affrontare
queste minacce non è semplice. Richiede alle organizzazioni di collaborare con i propri fornitori di servizi di sicurezza e ai
clienti di affrontare le cause principali degli attacchi.

[stato di Internet] - security 				                            Il settore Media sotto attacco: Volume 5, edizione speciale   14
Metodologie

[stato di internet] - security 				   Il settore Media sotto attacco: volume 5, edizione speciale 15
Attacchi web
L'Akamai Intelligent Edge Platform è una rete di oltre 240.000 server su migliaia di reti in tutto il mondo. Kona WAF
viene utilizzato per proteggere questo traffico e le informazioni sugli attacchi vengono trasferite a uno strumento interno
denominato CSI (Cloud Security Intelligence). Questi dati, misurati in petabyte al mese, vengono utilizzati per fare
ricerche sugli attacchi, comprendere le tendenze e trasferire ulteriore intelligence nelle soluzioni Akamai. Questi dati
rappresentano milioni di avvisi ogni giorno a livello di applicazioni, ma non indicano un compromesso vincente.

I piani e le tabelle fornite in questa sezione si limitano ai record registrati tra gennaio 2018 e giugno 2019.

Abuso di credenziali
Anche i dati per questa sezione sono stati presi dal repository di CSI. I tentativi di abuso di credenziali sono stati
identificati come tentativi di accesso non riusciti ad account che utilizzano un indirizzo e-mail come nome utente. Per
identificare i tentativi di abuso, rispetto ad utenti reali che hanno problemi a digitare le proprie credenziali, vengono
usati due algoritmi. Il primo algoritmo è una semplice regola volumetrica che conta il numero di tentativi non riusciti a un
indirizzo specifico. Questo metodo differisce da ciò che una singola organizzazione potrebbe essere in grado di rilevare
perché Akamai mette in correlazione dati provenienti da centinaia di organizzazioni.

Il secondo algoritmo utilizza i dati provenienti dai nostri servizi di rilevamento dei bot per identificare un abuso di
credenziali da botnet e strumenti noti. Una botnet ben configurata può evitare il rilevamento volumetrico distribuendo il
suo traffico su più obiettivi o nel corso del tempo oppure usando un gran numero di sistemi durante la sua operazione di
scansione, solo per menzionare alcune contromisure.

Questi record sono stati raccolti tra gennaio 2018 e giugno 2019.

[stato di Internet] - security 				                             Il settore Media sotto attacco: Volume 5, edizione speciale   16
Riconoscimenti
Collaboratori del rapporto sullo stato di Internet - Security
Omri Hering                                                                  Lydia LaSeur
Data Analyst Senior -                                                        Data Scientist -
Abuso di credenziali                                                         Abuso di credenziali, Attacchi web

Responsabili editoriali
Martin McKeay                                                                Amanda Fakhreddine
Editorial Director                                                           Sr. Technical Writer, Managing Editor

Steve Ragan                                                                  Lydia LaSeur
Sr. Technical Writer, Editor                                                 Data Scientist

Marketing
Georgina Morales Hampe                                                       Murali Venukumar
Project Management, Creative                                                 Gestione dei programmi, Marketing

     Altri rapporti sullo stato di Internet - Security
     Leggete i numeri precedenti e guardate le prossime uscite degli acclamati rapporti sullo stato di
     Internet - Security sul sito akamai.com/soti

     Altre informazioni sulla ricerca delle minacce Akamai
     Restate aggiornati con le ultime intelligence sulle minacce, rapporti sulla sicurezza e ricerche sulla cybersicurezza
     sul sito akamai.com/threatresearch

Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito,
dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per
ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra
azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni
per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta
qualità e da un monitoraggio 24/7/365. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com o
blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations.
Data di pubblicazione: 09/19.

[stato di internet] - security 				                                        Il settore Media sotto attacco: volume 5, edizione speciale            17
Puoi anche leggere
DIAPOSITIVE SUCCESSIVE ... Annulla