Il traffico non crittografato continua a compromettere la sicurezza Wi-Fi

Anche i professionisti della sicurezza informatica devono migliorare la propria posizione in materia di sicurezza.

Questa è la lezione della conferenza RSA di febbraio, dove il centro operativo di sicurezza (SOC) gestito da Cisco e NetWitness ha catturato 55,525 password in chiaro da 2,210 account univoci, hanno affermato le società in un rapporto pubblicato la scorsa settimana. In un caso indagato dal SOC, un responsabile della sicurezza informatica aveva un client di posta elettronica configurato in modo errato che inviava password e testo in chiaro, inclusi documenti sensibili come il pagamento per una certificazione professionale.

Sebbene il numero di password in chiaro rappresenti un miglioramento rispetto alle 96,361 password esposte nel 2020 e alle oltre 100,000 inviate in chiaro nel 2019, c'è ancora spazio per miglioramenti, afferma Jessica Bair Oppenheimer, direttrice delle alleanze tecniche di Cisco Secure.

"Poiché alla RSA Conference partecipano principalmente professionisti della sicurezza informatica e ruoli di supporto nel settore della sicurezza, generalmente consideriamo che il dato demografico rappresenti più un livello di consapevolezza della sicurezza 'migliore'", afferma. "In modo piuttosto sorprendente, nel 2022 vengono ancora utilizzate le e-mail non crittografate."

I relazione annuale presenta una visione dell'utilizzo della rete tra un gruppo di utenti focalizzato sulla sicurezza. Cisco e NetWitness hanno sottolineato che la rete wireless alla RSA Conference non è configurata nel modo più sicuro, ma configurata per essere monitorata per scopi didattici. Per questo motivo, la rete ha un'architettura piatta, consentendo a qualsiasi dispositivo di contattare qualsiasi altro dispositivo sulla rete. L'isolamento dell'host, che consente ai dispositivi un percorso verso Internet ma non verso altri dispositivi sulla rete, sarebbe più sicuro ma meno interessante.

Credenziali utente a rischio

Con circa 19,900 partecipanti, la Conferenza RSA del 2022 ha avuto solo circa la metà del numero di persone della conferenza precedente del 2020, ma circa lo stesso numero di utenti sulla rete, afferma il rapporto.

Il problema principale era il mancato utilizzo della crittografia per la fase di autenticazione quando si utilizzavano la posta elettronica e altre applicazioni popolari. Quasi il 20% di tutti i dati sono passati attraverso la rete in chiaro, afferma il rapporto.

“La crittografia del traffico non rende necessariamente più sicuro, ma impedisce agli individui di rivelare le proprie credenziali e alle organizzazioni di divulgare in chiaro le informazioni sulle risorse aziendali”, afferma il rapporto.

Eppure la situazione non è così grave come potrebbe essere. Poiché la rete wireless include il traffico proveniente dallo show floor, molti dei nomi utente e delle password provengono probabilmente da sistemi e ambienti demo, afferma il rapporto. Inoltre, la maggior parte dei nomi utente e delle password in chiaro – quasi l’80% – sono stati effettivamente divulgati da dispositivi che utilizzavano la versione precedente del Simple Network Management Protocol (SNMP). Le versioni 1 e 2 del protocollo sono considerate non sicure, mentre SNMP v3 aggiunge significative funzionalità di sicurezza.

"Questa non è necessariamente una minaccia ad alta fedeltà", afferma il rapporto. "[H]tuttavia, vengono divulgate informazioni sul dispositivo e sull'organizzazione con cui sta cercando di comunicare."

Oltre all'uso continuato di nomi utente e password in testo normale, il SOC ha rilevato che il numero di applicazioni online continua a crescere rapidamente, suggerendo che i partecipanti fanno sempre più affidamento sui dispositivi mobili per svolgere il proprio lavoro. Il SOC, ad esempio, ha catturato il traffico non crittografato delle videocamere che si collegavano ai sistemi di sicurezza domestica sulla porta 80 e i dati non crittografati utilizzati per impostare chiamate Voice over IP.

Errore del CISO

Per la maggior parte, il traffico non crittografato proviene probabilmente da utenti di piccole imprese, affermano le società nel rapporto. "Al giorno d'oggi è difficile inviare e-mail in chiaro e l'analisi di questi incidenti ha rilevato somiglianze", afferma il rapporto. “La maggior parte di questo traffico proveniva da e verso domini ospitati. Ciò significa servizi di posta elettronica su domini che sono cognomi o piccole imprese.

Tuttavia, in un caso, un responsabile della sicurezza informatica aveva configurato erroneamente il proprio client di posta elettronica e alla fine aveva esposto il nome utente e la password della posta elettronica inviando i dati in chiaro. Il SOC ha scoperto il problema quando ha trovato una ricevuta di un pagamento CISSP inviata in chiaro da un client di posta elettronica basato su Android.

"La scoperta ha dato il via a un'indagine che ha confermato che dozzine di e-mail da e verso la persona sono state scaricate attraverso la rete aperta con un protocollo non sicuro", afferma il rapporto.

Le aziende dovrebbero verificare che le tecnologie utilizzate dai dipendenti abbiano creato connessioni crittografate end-to-end e dovrebbero applicare i principi zero trust per verificare, al momento opportuno, che la crittografia sia ancora applicata.

"Abbiamo trovato applicazioni e siti Web che eseguono l'autenticazione in modo crittografato e quindi trasmettono i dati senza crittografia attraverso le reti aperte", afferma Oppenheimer di Cisco Secure. “In alternativa, alcuni passeranno credenziali non crittografate attraverso reti aperte e quindi crittograferanno i dati. Entrambi gli scenari sono tutt’altro che ideali”.

Le reti private virtuali non sono una panacea ma possono rafforzare la sicurezza delle applicazioni non crittografate. Infine, le organizzazioni dovrebbero utilizzare la formazione sulla sicurezza informatica e sulla sensibilizzazione per istruire i propri lavoratori ibridi su come essere sicuri quando lavorano da località remote.