In un data breach da ransomware (e non solo), l’esfiltrazione dei file è percepita come una delle conseguenze dell’attacco ma, in realtà, essa dovrebbe essere probabilmente l’elemento principale di preoccupazione per una serie di motivi.
Questione di tempo
S’immagini di dover trasferire illecitamente 1.400 Gb (1,4 Tb) da un server aziendale ad uno di un hacker e si consideri una connettività in fibra FTTH molto ordinaria, con un velocità media di 572 Mbps in download e 100 Mbps in upload. Il tempo necessario per il trasferimento sarebbe pari a 1g 11h 2m 36s; senza contare eventuali disconnessioni, rallentamenti o altre problematiche. Se la fibra fosse più scadente ed in upload avesse circa la velocità di 50 Mbps, si passerebbe a 2g 22h 5m 13s. Per fare un po’ di esempi:
| Banda | Tempo all’esfiltrazione |
|---|---|
| 1 Mbs | 146g 0h 21m 20s |
| 30 Mbps | 4g 20h 48m 42s |
| 50 Mbps | 2g 22h 5m 13s |
| 100 Mbps | 1g 11h 2m 36s |
| 1 Gbps | 3h 25m 20s |
| 1,5 Gbps | 2h 16m 53s |
| 2 Gbps | 1h 42m 40s |
| 2,5 Gbps | 1h 22m 8s |
Le attività di esfiltrazione richiedono tempo e, nelle condizioni più disagiate (dove la connessione non è in fibra ma in ADSL e l’upload si aggira intorno ad 1Mbps) si rimane inchiodati ai 146g 0h 21m 20s. Le realtà senza fibra ottica pura (FTTH) permangono seppur in misura molto residuale: nel 2023, in un articolo de Il Sole 24 Ore si menzionavano 33 distretti italiani ancora fuori dalla fibra ottica.
In 33 di questi non c’è traccia di Ftth, cioè di collegamenti in cui la fibra ottica, partendo dalla centrale, arriva fino all’interno della casa o in questo caso fino all’azienda dell’utente.
Fonte: C.Fotina, “Fibra ottica, 33 distretti senza copertura”, Il Sole 24 Ore, 16 agosto 2023
Al momento della scrittura del presente articolo, il sito ufficiale Banda Ultra Larga (https://bandaultralarga.italia.it/) riporta i seguenti dati:
| Connessione fibra | 6.226 comuni |
| Connessione wireless (FWA) | 7.201 comuni |
A questo punto è necessario chiarire alcuni concetti in merito alle tecnologie monitorate che, principalmente, sono:
- FTTH (Fiber To The Home) indica una infrastruttura nella quale la fibra ottica termina presso un punto di terminazione ottico interno all’Unità Immobiliare (UI).
- FTTC (Fiber To The Cabinet): porta la fibra ottica fino a un armadio stradale vicino alle case. Da lì, la connessione prosegue con i cavi in rame esistenti fino alle abitazioni. Questo sistema offre velocità maggiori rispetto all’ADSL, ma inferiori rispetto alla fibra fino a casa (FTTH)
- FTTB (Fiber To The Building): indica una infrastruttura nella quale la fibra ottica termina presso un punto di terminazione ottico posto alla base dell’edificio (Building) che ospita l’Unità Immobiliare (UI).
- FWA (Fixed Wireless Access): è un sistema di trasmissione dati che utilizza una rete ibrida composta da fibra ottica e da una rete che sfrutta le frequenze radio. Questo tipo di tecnologia è particolarmente vantaggioso per gli utenti che vivono in aree non coperte dalla fibra ottica, offrendo prestazioni superiori rispetto all’ADSL.
In termini di velocità è chiaro che il FWA permette di raggiungere posizioni geograficamente più remote e impervie ma produce un degrado sensibile della velocità di trasferimento paragonata alle altre tecnologie.
Per questi motivi, quando vi è un attacco ransomware e si commenta il fenomeno della cifratura dicendo che vi è stato un attacco che ha interessato un intervallo di tempo di 48/72 ore, bisognerebbe essere più cauti e precisi.
Senza dubbio sappiamo che dal momento dell’infezione alla pubblicazione della notizia sul sito degli hacker potrebbero trascorrere 4-5 giorni (il caso Postel ne è una dimostrazione). Tuttavia questo computo tende a non tenere in considerazione l’esfiltrazione dei dati che, di norma, anticipa il meccanismo di cifratura/cancellazione e può richiedere ore se non addirittura giorni.
Conclusioni
Dei ransomware ci si rende conto quando i file diventano inaccessibili: a quel punto è troppo tardi per intervenire e l’esfiltrazione, tra l’altro, è già avvenuta. C’è già stata, ha richiesto il suo tempo, si è conclusa e ha dato seguito alle altre fasi dell’attacco. Quando nel 2023 Dark Tracer dimostrò la diffusione degli stealer, si sottovalutò molto il fatto che tali minacce non annunciano la loro presenza. Non ci si rende conto di essere infettati e, se non si fa attenzione, non ci si rende conto del flusso dei dati in uscita.
L’esfiltrazione è un fenomeno silenzioso che richiede attività di monitoraggio e contrasto specifiche: mentre ci si accorge della cifratura o della cancellazione dei file, poichè essi diventano inaccessibili, dell’esfiltrazione non ci accorge per tempo, nemmeno quando il trasferimento è durato ore o giorni.
L’unico sistema per intercettare i fenomeni di esfiltrazione è avere disciplina nell’applicare e mantenere le politiche di sicurezza più comuni previste, peraltro, da standard internazionali. La disciplina è necessaria perchè l’amministratore di sistema/rete deve rendersi conto che monitorare il traffico fa parte delle sue attività e che certamente può essere aiutato da strumenti tecnologici che lo sollevino dalla parte più gravosa. In tal senso, come è già stato spiegato in parte all’interno di questo articolo, l’analisi dei pacchetti di traffico è una delle funzioni svolte da strumenti come i SIEM ma prima ancora di questi è necessario che l’organizzazione abbia adottato adeguate misure di filtraggio e segmentazione delle reti in grado di garantire l’adeguato livello di sicurezza.
In conclusione è opportuno puntare una luce sulla meccanica di esfiltrazione che, fin troppo spesso, viene ignorata o declassata a danno collaterale e che invece costituisce un meccanismo irreversibile di perdita di controllo sui dati. Adottando gli opportuni meccanismi di sicurezza e monitoraggio, è possibile scongiurare il fenomeno riducendo di molto le conseguenze degli attacchi ransomware.
