Il panorama della Cyber Security sta cambiando rapidamente. Ogni giorno vede l’affacciarsi di una nuova minaccia, per questo motivo è più importante che mai per coltivare i paradigmi di collaborazione derivanti dai Responsible Vulnerability Discosure.
Swascan sta rapidamente diventando l’autorità europea in questo campo, grazie ai riconoscimenti ottenuti con le sue collaborazioni nel campo dei Responsible Vulnerability Discosure con Adobe, Microsoft, Lenovo, Huawei, SAP, Nokia e ora GoToMeeting.
[pulsante-trial-ita]
Grazie alle sue competenze, il team di Cyber Security Researcher dell’azienda italiana ha portato alla luce alcune criticità legate ad alcune Web Application di uno dei principali player nel mercato dei software di meeting online, desktop sharing e videoconferenza oggi presenti sul mercato.
Affrontare I rischi della Cyber Security a testa alta
Swascan è la società di Cyber Security fondata da Pierguido Iezzi e Raoul Chiesa; la prima in Italia ad offrire una piattaforma cloud-based di Cyber Security Testing che permette di identificare, analizzare e risolvere le vulnerabilità di siti web e infrastrutture informatiche, senza dubbio uno dei punti di impatto più critici per qualsiasi tipo di business.
L’attività svolta dal team di Swascan ha evidenziato alcune potenziali problematiche che avrebbero potuto essere sfruttate dai Criminal Hacker per attaccare GoToMeeting.
Dopo l’identificazione di queste vulnerabilità, gli esperti del team hanno condiviso i loro risultati con il PSIRT della società americana attraverso una Responsible Vulnerability Disclosure contenente tutte le informazioni necessarie per l’attività di Remediation. GoToMeeting ha da allora decommissionato il server che potrebbe aver causato potenziali problemi eliminando questo rischio per i suoi utenti.
Come accennato, le criticità riscontrate potrebbero aver influito sulla business continuity, sulla sicurezza dei dati e delle informazioni degli utenti e sul regolare funzionamento dei servizi.
La chiave è la trasparenza
La chiave per il successo in ogni attività di Responsible Vulnerability Disclosure è insita nella collaborazione tra Cyber security provider e fornitori di servizi.
Una filosofia abbracciata dal co-fondatore di Swascan, Pierguido Iezzi, che ha sottolineato: “Finalmente, il mondo della Cyber security sta vivendo una sorta di ‘disgelo’ a favore del principio di collaborazione tra i vari attori, fino a qualche anno fa un vero e proprio tabù. Siamo estremamente soddisfatti della tempestiva e professionale collaborazione tra Swascan e LogMeIn, l’azienda dietro GoToMeeting”.
“È un dato di fatto che i rischi sono aumentati con l’interconnessione di tutto ciò che ci circonda e lo stesso vale per le imprese. Questo ha reso necessario ripensare come affrontare le Cyber minacce, non solo sul piano tecnico, ma anche sul piano culturale. Ciò ha indubbiamente favorito la cooperazione tra gli attori”.
[brochure-ita]https://www.swascan.com/wp-content/uploads/2019/10/SWASCAN_ITA-1-1.pdf[/brochure-ita]
Commentando il percorso intrapreso a fianco di GoToMeeting, ha aggiunto: “La nostra esperienza con GoToMeeting è un chiaro esempio di quanto possa essere efficace questo Paradigm Shift. Una vera e propria colonna portante per ogni Cyber Security Framework”.
I dettagli
Le criticità scoperte andavano ad impattare aspetti di:
- Confidentiality;
- Integrity;
- Availability;
In dettaglio le vulnerabilità appartenevano alle seguenti categorie CWE:
- CWE-20 (Improper Input Validation): Il prodotto non convalida o convalida erroneamente gli input che possono influenzare il flusso di controllo o il flusso di dati di un programma. Quando il software non convalida correttamente l’input, un aggressore è in grado di crearne in una forma che non è prevista dal resto dell’applicazione. Questo porterà parti del sistema a ricevere input non intenzionali, che possono comportare un flusso di controllo alterato, un controllo arbitrario di una risorsa o un’esecuzione arbitraria del codice.
- CWE-287 (Improper Authentication): Quando un attore dichiara di avere una determinata identità, il software non prova o prova in modo insufficiente che la dichiarazione è corretta.
- CWE-476 (NULL Pointer Dereference): Una dereferenza del puntatore NULL si verifica quando l’applicazione dereferenzia un puntatore che si aspetta di essere valido, ma è NULL, causando tipicamente un incidente o un’uscita.
Sinergia per la sicurezza
Non c’è dubbio che per affrontare le nuove minacce poste in atto dai Criminal Hacker è necessario un duplice approccio: lato provider sono necessarie un’infrastruttura informatica sicura e un personale costantemente addestrato e vigile, ma non si può prescindere dalle competenze e dagli strumenti che solo gli esperti di Cyber Security possono fornire.
Pierguido Iezzi, Co-Founder Swascan, CyberSecurity Director
Raoul Chiesa, Swascan co-founder, InfoSec addicted