Gruppi di continuità presi di mira dagli hacker! Ecco una serie di suggerimenti per la sicurezza

Gruppi di continuità presi di mira dagli hacker! Ecco una serie di suggerimenti per la sicurezza

I dispositivi UPS non dovrebbero normalmente essere esposti su Internet: la CISA degli Stati Uniti avvisa della possibilità di accessi indesiderati e suggerisce una serie di pratiche di sicurezza

di pubblicata il , alle 17:17 nel canale Sicurezza
 

La Cybersecurity and Infrastructure Security Agency e il Dipartimento dell'Energia degli Stati Uniti d'America hanno affermato di essere a conoscenza del fatto che alcuni attori di minaccia stanno attualmente riuscendo ad guadagnare l'accesso a diversi dispositivi UPS connessi ad Internet. Le autorità hanno raccomandato di modificare le credenziali nome utente e password sui gruppi di continuità connessi ad Internet che risultassero ancora configurati con credenziali di default.

I gruppi di continuità, chiamati anche UPS (Uninterruptible Power Supply), sono dispositivi di ridondanza energetica che consentono ai sistemi di poter operare anche in caso di interruzioni della corrente elettrica. Esistono svariate tipologie di UPS, dai piccoli dispositivi adatti ad un semplice PC fino ad arrivare ad apparati più complessi che possono alimentare anche parchi macchine particolarmente affollati come ad esempio un datacenter.

La CISA non cita esempi specifici di attacchi recenti ne' indica precisi attori di minaccia, ma fornisce una serie di linee guida che raccomanda di adottare a chi si trova, tra gli altri compiti, a gestire e manutenere dispositivi UPS, i quali non dovrebbero essere normalmente esposti ad Internet.

Nel caso ciò debba essere necessario per qualche motivo, la CISA suggerisce un insieme di pratiche:

  • Porre l'UPS dietro una rete privata virtuale (VPN)
  • Disporre un sistema di autenticazione multi-fattore
  • Usare password complesse in conformità con le linee guida del National Institute of Standards and Technology
  • Verificare se le credenziali di accesso siano ancora quelle di default e, in caso affermativo, modificarle
  • Adottare funzionalità di timeout/blocco dell'accesso.

Ovviamente il CISA degli USA suggerisce norme in accordo con i propri standard, tuttavia si tratta di indicazioni che possono essere opportunamente adattate a tutte le giurisdizioni. Spesso nelle aziende resta aperto il problema di chi dovrebbe prendersi carico di gestire correttamente i dispositivi UPS, la cui importanza è cruciale solo durante le interruzioni di corrente elettrica. Del resto è un'area su cui potrebbero sovrapporsi più gruppi e la verità è che spesso finiscono con l'essere dimenticati o rimpallati tra vari dipartimenti. 

Non è dato sapere che tipo di attività possano o vogliano compiere gli attori di minaccia nel momento in cui riescono ad accedere ad un sistema UPS, anche se quello più probabile è l'interruzione di servizio.

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy30 Marzo 2022, 18:05 #1
perchè mai un gruppo di continuità dovrebbe essere connesso ad internet o anche solo alla LAN?
Thinkslow30 Marzo 2022, 18:23 #2
Originariamente inviato da: zappy
perchè mai un gruppo di continuità dovrebbe essere connesso ad internet o anche solo alla LAN?


Che sia connesso alla rete è assolutamente normale, gli ups posono inviare messaggi di diagnostica e sono monitorabili da remoto, ma che sia raggiungibile da internet è un errore grossolano, mi meraviglio che nel 2022 debbano diramare avvisi in merito
Piedone111330 Marzo 2022, 20:10 #3
Originariamente inviato da: zappy
perchè mai un gruppo di continuità dovrebbe essere connesso ad internet o anche solo alla LAN?


Per monitorare l'usura batterie?
Per monitorare il consumo energetico, che se fatto con cognizione di causa ti può rivelare diverse cose sul corretto funzionamento dell'infrastruttura ?
Ma anche è spesso utile per effettuare shutdown in sicurezza dei sistemi in caso di blackout particolarmente lunghi ed attivare il wakeonlan al ripristino di una carica sufficiente delle batterie.
Avere gli ups in lan torna utile per un sacco di motivi, usarne le funzioni è un'altro paio di maniche
zappy30 Marzo 2022, 21:13 #4
Originariamente inviato da: Thinkslow
Che sia connesso alla rete è assolutamente normale, gli ups posono inviare messaggi di diagnostica e sono monitorabili da remoto, ma che sia raggiungibile da internet è un errore grossolano, mi meraviglio che nel 2022 debbano diramare avvisi in merito


Originariamente inviato da: Piedone1113
Per monitorare l'usura batterie?
Per monitorare il consumo energetico, che se fatto con cognizione di causa ti può rivelare diverse cose sul corretto funzionamento dell'infrastruttura ?
Ma anche è spesso utile per effettuare shutdown in sicurezza dei sistemi in caso di blackout particolarmente lunghi ed attivare il wakeonlan al ripristino di una carica sufficiente delle batterie.
Avere gli ups in lan torna utile per un sacco di motivi, usarne le funzioni è un'altro paio di maniche

se parliamo di datacenter, ci può stare, ma mi aspetto che chi gestisce 'ste robe sappia fare il suo lavoro (evidentemente no...)
se parliamo del piccolo gruppo SOHO o casalingo, è più che sufficiente che faccia un bip, senza bisogno di pippe mentali, collegamenti, e cazzabubbole varie.
bancodeipugni30 Marzo 2022, 22:04 #5
io ho la caldaia online

[SPOILER]e anche collegata con cavo cat 6a [/SPOILER]
Piedone111331 Marzo 2022, 08:39 #6
Originariamente inviato da: zappy
se parliamo di datacenter, ci può stare, ma mi aspetto che chi gestisce 'ste robe sappia fare il suo lavoro (evidentemente no...)
se parliamo del piccolo gruppo SOHO o casalingo, è più che sufficiente che faccia un bip, senza bisogno di pippe mentali, collegamenti, e cazzabubbole varie.


e se invece è un piccolo ufficio con 3 pc, un server in uno stanzino con gestionale consultabile anche dall'esterno ( praticamente ogni piccolissimo commercialista d'italia e non solo) credi che si sentirebbe il bit o che possa permettersi un responsabile it in sede ?
Darkon31 Marzo 2022, 09:31 #7
Originariamente inviato da: Piedone1113
e se invece è un piccolo ufficio con 3 pc, un server in uno stanzino con gestionale consultabile anche dall'esterno ( praticamente ogni piccolissimo commercialista d'italia e non solo) credi che si sentirebbe il bit o che possa permettersi un responsabile it in sede ?


Per casistiche come questa semplicemente gli direi al di là del gruppo di continuità che i rischi superano i benefici di decine di volte e che non ha proprio senso tenere in piedi un sistema del genere.

Che poi voglio dire tutto ciò per far cosa da remoto? Con il rischio che se in qualsiasi modo ti fregano le credenziali di accesso perdi tutto compreso dati sensibili dei clienti e che tenere un sistema del genere a norma GDPR ti costa un'esagerazione!?

Ripeto se si parla di grandi uffici o datacenter e/o cose simili allora ha senso. Il piccolo ufficio con il mini-server online semplicemente è stato consigliato male e corre rischi immensi.
Cappej31 Marzo 2022, 11:03 #8
Originariamente inviato da: bancodeipugni
io ho la caldaia online

[SPOILER]e anche collegata con cavo cat 6a [/SPOILER]


Vorrei vedere, minimo sindacale! comunicare a 10Gbe non ha prezzo!
Piedone111331 Marzo 2022, 11:37 #9
Originariamente inviato da: Darkon
Per casistiche come questa semplicemente gli direi al di là del gruppo di continuità che i rischi superano i benefici di decine di volte e che non ha proprio senso tenere in piedi un sistema del genere.

Che poi voglio dire tutto ciò per far cosa da remoto? Con il rischio che se in qualsiasi modo ti fregano le credenziali di accesso perdi tutto compreso dati sensibili dei clienti e che tenere un sistema del genere a norma GDPR ti costa un'esagerazione!?

Ripeto se si parla di grandi uffici o datacenter e/o cose simili allora ha senso. Il piccolo ufficio con il mini-server online semplicemente è stato consigliato male e corre rischi immensi.


Da quando una vpn è un rischio?
Da quando si espone una porta verso l'esterno e gli si permette l'accesso da utenti privilegiati?
Postazione tipo:
server con gestionale-vpn-accesso esterno limitato ad user ( quindi non accesso admin o superiore) che problemi di sicurezza ti comporta?
Idem per gli ups: se l'accesso lan è limitato al solo guest e l'amministrazione dello stesso è abilitato su com o ssh che problemi ti creano?
Purtroppo si va a vedere il caso limite quando nessuno si pone il problema di videosorvaglianza cloud o voip cloud che sono si un rischio immenso.
Darkon31 Marzo 2022, 12:04 #10
Originariamente inviato da: Piedone1113
Da quando una vpn è un rischio?
Da quando si espone una porta verso l'esterno e gli si permette l'accesso da utenti privilegiati?
Postazione tipo:
server con gestionale-vpn-accesso esterno limitato ad user ( quindi non accesso admin o superiore) che problemi di sicurezza ti comporta?
Idem per gli ups: se l'accesso lan è limitato al solo guest e l'amministrazione dello stesso è abilitato su com o ssh che problemi ti creano?
Purtroppo si va a vedere il caso limite quando nessuno si pone il problema di videosorvaglianza cloud o voip cloud che sono si un rischio immenso.


Chi ha un mini-server sarei pronto a scommettere che non sa nemmeno cosa sia una VPN e comunque ripeto ha senso metter su una VPN per un ufficio di piccole dimensioni?!

Come sopra... nel 99% dei casi di piccole realtà trovo tutto e dico tutto con l'username standard "admin" o "administrator", con pieni poteri e se va bene (ma non sempre) cambiano giusto la password. Ripeto non va confuso quella che è la conoscenza media qua dentro e quella che è la conoscenza media di un mini-ufficio di una piccola attività.

Piedone io capisco il tuo punto di vista e sì... in un mondo in cui la gente sa quello che fa sarebbe come dici. Ma per farti un esempio mio padre, imprenditore, se non gli avessi configurato tutto io avrebbe continuato a usare tutto con username e password di fabbrica senza contare che funziona? si... quindi non si tocca la configurazione qualunque essa sia.

E ripeto... io di aziende ne vedo tante e son tutte pressappoco come mio padre salvo andare in realtà industriali con una struttura professionale.

Poi oh... che la cyber sicurezza in Italia sia praticamente inesistente non è che lo dico io eh. C'è una infinità di report che lo ribadiscono.

Chiudo con... anche con tutta la sicurezza di questo mondo ha veramente poco senso per piccole attività di tenere i sistemi online. Il rischio di hacking per quanto remoto se implementi una buona sicurezza rimane sempre e tutto questo per cosa? Spesso sistemi superflui che facilitano l'attività lavorativa in maniera del tutto trascurabile ma che ti espongono a inutili rischi e ribadisco un punto estremamente sottovalutato: se nel server ci sono dati sensibili anche se, teoricamente sono inaccessibili, dev'essere a norma GDPR e ci metterei la mano sul fuoco almeno più della metà non lo sono.

Si torna sempre allo stesso discorso... mettere online è utile quando ha un impatto sensibile ed è funzionale. La moda di mettere tutto online anche se di fatto serve a poco e niente ma fa "fashion" è una sciocchezza immensa figlia di un marketing pazzesco.
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^