Questo articolo è stato presentato in Techworld il 25/01/2019. Versione Svensk: se nedan.
In un'indagine approfondita sulla sicurezza informatica delle aziende svedesi, Awingu è stata in grado di identificare 9.655 organizzazioni che corrono un alto rischio di hacking. Abbiamo fatto una ricerca specifica sugli indirizzi IP che erano collegati a server Desktop remoti non protetti (basati sul protocollo Remote Desktop). RDP di Microsoft è una tecnologia informatica basata su server molto popolare, ma nella sua forma nuda, offre una protezione insufficiente. Implementando Awingu sopra RDP, puoi ridurre notevolmente il rischio di sicurezza del tuo ambiente IT.
RDP è una delle soluzioni IT più utilizzate al mondo. Attraverso il client RDP, un'applicazione che deve essere installata sul dispositivo dell'utente (ad esempio un computer portatile), si permette agli utenti di accedere a un desktop o un'applicazione in remoto. Tipicamente, questo viene utilizzato per consentire ai dipendenti di utilizzare il loro software sia all'interno che all'esterno dell'azienda. RDP è una soluzione a bassa soglia, e l'aggiunta della sicurezza è a volte omessa: misure di sicurezza extra (ad esempio regole di firewall o liste di controllo degli accessi) significano una maggiore complessità per l'amministratore IT (e l'utente).
Tuttavia, lasciare il vostro ambiente RDP senza protezione non è senza rischi: "Dal 2002, 20 aggiornamenti di sicurezza Microsoft sono stati rilasciati specificamente per RDP, e la gente ora conosce almeno 25 vulnerabilità (CVE) che i malintenzionati possono sfruttare senza molto sforzo. Con questo in mente, dovete essere pazzi a non aggiungere uno strato extra di sicurezza al vostro ambiente', ci insegna Kurt Bonne (CTO Awingu).
Dopo un'analisi basata sui dati resi disponibili dal motore di ricerca Shodan, Awingu ha ottenuto il seguente risultato spettacolare: quasi 9.655 endpoint RDP sono attualmente disponibili pubblicamente in Svezia. Ciò significa che questi sono accessibili a tutti via internet - anche se non viene stabilita una connessione sicura, facilitata dall'organizzazione. In altre parole, questi non sono o non sono sufficientemente protetti e hanno un potenziale inequivocabile di essere violati. Queste aziende con un ambiente RDP aperto sono quindi consigliate di fare qualcosa al più presto.
Gli endpoint RDP aperti sono presenti ovunque in Svezia: ogni forma di concentrazione geografica che abbiamo notato nella nostra ricerca corrisponde alla densità dell'industria. In altre parole, è un problema globale che non sembra colpire nessuna regione in particolare. Se mappiamo le aziende colpite - o almeno l'ubicazione del loro centro dati - il risultato è il seguente:
Posizione degli endpoint RDP aperti Svezia - Gennaio 2019, Awingu
Il protocollo Remote Desktop è stato originariamente sviluppato per essere usato principalmente su una rete aziendale interna. Rendere il proprio ambiente direttamente disponibile via internet può essere possibile, ma si consiglia di prendere almeno diverse misure di sicurezza prima. Potete trovare diversi metodi per proteggere il vostro ambiente sul web che, anche se a volte sono superati, sono molto rilevanti e necessari per garantire un minimo di sicurezza.
Nelle versioni RDP più recenti, Microsoft ha prestato grande attenzione all'aspetto della sicurezza, non solo aggiungendo più possibilità, ma anche offrendo impostazioni predefinite più intelligenti. Si potrebbe, quindi, pensare che sia un "no-brainer" per aggiornare almeno il vostro ambiente RDP all'ultima versione, ma spesso le vecchie applicazioni non sono sempre compatibili, e le vecchie versioni sono mantenute per necessità.
L'insufficiente sicurezza delle porte RDP è un problema universale in Svezia che non è legato alla regione e impedisce alle aziende affiliate a qualsiasi provider, grande o piccolo. È quindi altamente raccomandato di rivedere la situazione nella vostra azienda e, se necessario, mettere uno strato extra di sicurezza sopra il vostro ambiente. Se non lo fate, correte un rischio considerevole di essere violati in qualsiasi momento. Awingu è una soluzione che offre alle aziende questa sicurezza extra.
Awingu facilita una soluzione per questo problema con il nostro Unified Workspace. Quando lo si utilizza, ci si connette all'applicazione o al desktop tramite un browser - e non più tramite un client RDP. Questo significa che le persone con cattive intenzioni non possono più sfruttare i punti deboli di un accesso RDP non protetto. Per massimizzare la protezione attraverso l'accesso via browser, Awingu implementa le seguenti misure di sicurezza:
- Autenticazione a più fattori: Awingu viene fornito con una soluzione MFA integrata, e può (se necessario) integrare facilmente il tuo attuale metodo di autenticazione. Aggiungendo l'MFA ti assicuri che gli "attacchi di forza bruta" non siano più possibili.
- SSL senza problemi: usa i tuoi certificati o cambia SSL tramite l'integrazione integrata di Let's Encrypt con un solo clic del mouse.
- Ampie possibilità di audit: mantenete i vostri strumenti di registrazione RDP esistenti insieme alle capacità di audit di Awingu incluse.
- Rilevamento delle anomalie: informatevi sulle irregolarità nel vostro ambiente, come qualcuno che accede troppo spesso con una password sbagliata o quando qualcuno cerca di accedere dall'estero
Vuoi saperne di più e vedere Awingu in azione? Contattateci!
TUSENTALS SVENSKA FÖRETAG ÖPPNA FÖR GISSLANATTACKER
Tusentals svenska företag exponerar tcp-porten for det ökända protokollet rdp, visar en granskning.
Il protocollo RDP (Remote Desktop Protocol) è un protocollo di comunicazione di Microsoft che consente di indicare a chi è in viaggio di avere un indicatore annuale sulla rete. Protokollet è stato presentato nel 1996 e da allora è stato il primo ad essere utilizzato all'interno dell'azienda, e lo è ancora di più quando si tratta di amministrare i servizi di Windows e, in ogni caso, di fornire il supporto necessario. Il prototipo si basa su un server che lo invia sulla porta tcp 3389 e su un'applicazione. Le opzioni sono disponibili anche per altri sistemi operativi come Linux o Mac OS X.
La Rdp ha visto che il rischio è elevato. Microsoft ha presentato nel 2002 20 richieste di supporto per il prototipo, e oggi si è arrivati a 25 richieste di supporto per il CVE-klassning, come per l'Rdp. In questo caso c'è il rischio che i servizi di Windows su internet con la porta tcp 3389 siano in pericolo. I servizi rdp su una maschera di Windows vengono visualizzati in base ad una serie di fattori come l'usura e la mancanza di accordo, il che significa che non c'è più bisogno di un'analisi approfondita.
Trots att de flesta it-administratörer känner till riskerna väljer många, medvetet eller omedvetet, att exponera rdp mot internet. I fattori di rischio sono importanti per la gestione dei servizi di assistenza tecnica. In Windows-miljön är rdp onekligen smidigt, men farligt. Anche con i servizi Windows completamente aggiornati della versione precedente, l'uomo non ha mai avuto la possibilità di aumentare la velocità di trasmissione su Internet con un'altra macchina.
Rdp-lösenord säljs på svarta marknaden
Anche se il sistema Windows è stato aggiornato è tutto a posto, anche se il problema più grave è che il sistema con una porta rdp non è stato aggiornato. Il problema è che non si può fare a meno di cercare un accordo fino a quando non si è in possesso di un porta di accesso per la rete. Ett annat problem är att rdp-system är sårbara för så kallade brute-force-attacker där förövarna systematiskt och automatiserat testar olika lösenord. E' un rischio per la società che si è messa in contatto con l'attaccante. Se si considera che la configurazione del sistema alla fine dell'installazione può risultare difficile, anche se questo è un rischio per l'attaccante.
Dopo che i rdp-tjänsten ofta används för att administrera servrar, givetvis via ett administratörskonto, är systemet vidöppet när förövaren väl överlistat skyddet.
"Rdp è un po' più difficile da gestire, anche solo per il fatto che si possano trovare delle barre di sicurezza nei rdp-tjänsten (bypass di autenticazione), ma anche per il fatto che i supporti per i rdp-tjänster vengano usati in modo errato per svuotare il marchio", spiega. David Jacoby, esperto di sicurezza di Kaspersky Labs a Techworld.
La società belga Awingu ha condotto un'analisi dei portali di rete in tutta la Svezia. L'analisi, che Techworld ha condotto, mostra che ci sono circa 9.655 organizzazioni svedesi che espongono porte rdp su internet. Tutte queste organizzazioni sono a rischio di attacchi. Abbiamo capito che non c'è niente da fare, perché con l'aiuto di Shodan abbiamo trovato tutti gli indirizzi IP di tutta la Svezia che espongono la porta tcp 3389.
"Med tanke på omständigheterna måste man vara tokig om man exponerar rdp-porten utan något extra skyddslager", säger Kurt Bonne, cto på Awingu.
Men problemet med exponerade rdp-portar begränsas förstås inte endast till Sverige. Sökmotorn Shodan è stato anche il rappresentante di Avast, che nell'ottobre scorso ha fatto una ricerca su 3,5 milioni di porte rdp, che sono state esposte in tutto il mondo.
Fornitori legato a aprire gli endpoint RDP Svezia - Gennaio 2019, Awingu
Gisslanprogram älskar rdp
In un certo periodo il programma gisslan (ransomware) è stato utilizzato per creare una serie di bristerna nel computer. Alcune varianti, denominate ACCDFISA, SamSam o CrySiS, sono in grado di rubare i dati dal sistema per criptare i dati. CrySiS ha ottenuto una serie di varianti come Dharma, Brrr, Gamma o Monro. Nyligen ha scritto a Techworld su una nuova variante di Dharma, che è stata concepita da Phobos, som upptäcktes av säkerhetsanalytiker så sent som i december förra året. Att gisslanprogram älskar rdp är i sig ett bevis på protokollets svagheter; de som utvecklar attackerna vet att använda minsta motståndets lag.
"Vi har sett flera ransomware-attacker som spridits just via stulna rdp-konton", säger David Jacoby da Kaspersky Labs.
Anche la polizia federale americana FBI si è unita al Dipartimento per la sicurezza interna per creare un gruppo di persone che si occupano dei gisslanattacker e dei portali di emergenza. I en offentlig varning som publicerades 27 september förra året skriver myndigheterna att alla som använder rdp bör se över sina system och stänga av protokollet där det inte är absolut nödvändigt, men att systemen kan skyddas med hjälp av vpn-kopplingar och tvåfaktorsautentisering.
Se il prototipo rdp non è adatto, l'amministratore del sistema lo può utilizzare. Tutto ciò che Techworld ha detto è che è molto importante che il prototipo non sia più attivo, e che gli amministratori di sistema non debbano usare l'rdp, ma che lo facciano su vpn. Un'altra soluzione per far funzionare il sistema è quella di usare la funzione tvåfaktorsautentisering.
"L'uomo può andare in skydda sina Windows-system genom att blockera rdp och endast ge tillgång till systemen via rdp-porten över vpn, men det är inte alltid en tillgänglig eller enkel metod. Då är tvåfaktorsautentisering vägen framåt", säger Kurt Bonne su Awingu.
English 
Italian 
German 
Spanish 
French