Avevamo avuto notizia del devastante Data Breach occorso alla ASL Napoli 3 e delle conseguenze verso i cittadini .
Erano seguite diverse ricostruzioni tecniche dell’accaduto, fatte sulla base di congetture e notizie di corridoio, che non ci avevano molto convinto.
Tra le più aderenti all’accaduto, quella di RHC del 15 gennaio 2022.
Il mese scorso è arrivato il provvedimento 9941232 della Autorità di Protezione dei Dati Personali, che sanziona ASL Napoli 3 SUD per:
- mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali;
- mancata adozione di misure adeguate a garantire la sicurezza delle reti;
- mancata applicazione del principio di protezione dei dati fin dalla progettazione.
Dal provvedimento, emerge, tra gli altri fatti, che:
- gli accessi abusivi sono stati effettuati tramite credenziali di accesso VPN (di profilo utente) compromesse e diffuse nel dark web;
- gli attaccanti hanno poi messo in atto varie attività di scansione dei servizi IT infrastrutturali, specialmente server RDP, “a seguito delle quali sono stati prodotti alert generati dall’apparato d sicurezza, dai quali sono emersi evidenti segnali anomali che vedono un notevole incremento delle scansioni e dei comportamenti sospetti nei giorni che precedono l’accesso in VPN dell’attore malevolo“;
- “in particolare dal XX, “ulteriori autenticazioni amministrative anomale venivano registrate durante le ore serali del XX, da un sistema avente indirizzo IP XX” nonché il XX “molteplici allarmi relativi a comandi e ad attività di enumerazione sospetti, eseguiti sfruttando il protocollo SMB, in concomitanza con l’accesso in VPN da parte dell’attaccante, utilizzando l’account XX”.
Siamo in presenza di uno dei problemi classici delle infrastrutture IT, che affrontiamo sempre in ogni tavolo tecnico dedicato alla analisi delle sicurezza IT; come si controlla cosa avviene all’interno della infrastruttura IT?
In questo data breach, gli attaccanti hanno svolto alcune fasi di reconnaissance, che peraltro hanno fatto emergere segnali anomali inequivocabili ; purtroppo questi segnali non sono stati interpretati e non hanno avuto seguito.
Viene infatti dichiarato che l’Azienda “disponeva di un firewall XX per la difesa perimetrale su cui non c’era presidio h24, un firewall XX per difesa interna nonché agent XX (XX) che, al momento dell’incidente di XX, era in fase di roll-out, ovvero non installato su tutte le macchine, ... Non vi era, pertanto, un’organizzazione strutturata per la lettura e analisi quotidiana dei log e disponeva di limitatissime risorse tecnologiche e umane”.
Il secondo aspetto da rilevare riguarda la mancata separazione logica delle varie reti; gli attaccanti – una volta collegatisi tramite VPN, hanno potuto avere accesso alla intera infrastruttura informativa di ASL 3, non essendo – a quel tempo – presenti una compartimentazione delle varie LAN e servizi IT.
Il terzo caso di scuola è la semplicità con la quale gli aggressori hanno potuto elevare le credenziali usate ad un profilo amministrativo, probabilmente sfruttando delle vulnerabilità presenti nei vari servizi e server; nell’articolo di RHC, si evince come fossero presenti server con OS Windows 2003 (EOL 2015) e Windows 2008 (EOL 2020).
Riassumendo, oltre che mancare gli aspetti di Privacy by Design (leggasi progettazione sicura della infrastruttura informativa), sono mancate in special modo le misure di valutazione della efficacie delle misure adottate (leggasi vulnerability assessment e penetration test) che certamente avrebbero rilevato vulnerabilità da sanare, in assenza delle quali sarebbe stato più difficile acquisire il ruolo “Administrator” sul server a dominio.
Certo è che – una volta che l’attaccante è presente in LAN tramite connessione VPN – è molto più difficile mantenere la sicurezza dei sistemi.