Tag: cybersecurity

php 5 end of life

PHP 5 fine vita – milioni di siti web vulnerabili

19 Dicembre 2018

A partire da questo mese, le versioni 5.6 e 7.0 del linguaggio di scripting lato server PHP raggiungeranno la fine del ciclo di vita e non saranno più supportate. I siti Web che utilizzano queste versioni di PHP verranno eseguiti su piattaforme che non riceveranno più aggiornamenti o patch di sicurezza.

Tali siti saranno estremamente vulnerabili ad attacchi informatici e, di conseguenza, all’esposizione dei dati.

Diffusione di PHP 5

E’ necessario aggiornare immediatamente i siti che eseguono PHP 5  alle versioni più recenti (e supportate!) di PHP: 7.2 e 7.3.  Purtroppo a molte aziende manca la visibilità di quante e quali applicazioni possiedano. Quali di esse siano esposte su Internet e di conseguenza ad attacchi. Quali eseguano PHP e, conseguentemente, debbano aggiornare all’ultima versione.

PHP 5 è ancora molto diffuso, eppure è evidente ci si stia muovendo per aggiornare i siti. Nel grafico seguente, è possibile osservare un picco nell’adozione della versione 7 di PHP, probabilmente in un ultimo tentativo di aggiornamento prima della fine del ciclo di vita:

DISTRIBUZIONE DELLE VERSIONI DI PHP

 

Stato del supporto e cicli vitali

NON riceverà aggiornamenti di sicurezza dopo il 31 dic 2018.

NON riceverà aggiornamenti di sicurezza dopo il 3 dic 2018.

Riceverà aggiornamenti di sicurezza fino al 1 dicembre 2019.

Riceverà aggiornamenti di sicurezza fino al 30 novembre 2020.

Rriceverà aggiornamenti di sicurezza fino al 6 dicembre 2021.

 

E’ sufficiente ragionare su alcuni dati:

  • WordPress, il software che alimenta il 31% dei siti web, raccomanda l’utilizzo di PHP 7.2 ma il 64,5% usa ancora il 5.x e il 19,8% usa 7.0.
  • Laravel 5.7 richiede ≥7.1.3.
  • Magento 2 supporta 7.0.13-7.0.x e 7.1.x.

Conseguenze prossime

Per fare un esempio, proprio recentemente, è stata divulgata una nuova vulnerabilità di Drupal che ha richiesto la necessità di applicare patch su migliaia di host.

Sfortunatamente, molti team di sicurezza sono parzialmente ciechi: risorse sconosciute, non documentate e non gestite che spesso fungono da incursioni per attacchi informatici e violazioni dei dati dall’esterno. Avrebbero bisogno di un sistema che monitorasse costantemente le risorse Web. Uno strumento di scansione che si aggiorni automaticamente con le ultime informazioni sulle nuove vulnerabilità, proprio come le versioni obsolete di PHP.

E’ chiaro che molte aziende non siano in grado di porre rimedio autonomamente a queste vulnerabilità. Ma la visibilità della portata dell’impatto consente ad un’organizzazione di gestire e comprendere il proprio rischio complessivo e di quali strategie adottare.

E’ dunque ovvio che quelle aziende che possiedono siti che utilizzano ancora PHP 5.x (o 7.0) debbano contattare il proprio provider di hosting per iniziare ad utilizzare una versione sicura del linguaggio. Quantomeno la 7.2.

Le aziende che avessero necessità di identificare se siano vulnerabili o che avessero necessità di supporto nel migrare (piattaforme o applicazioni) ad una versione sicura di PHP contattino NAD oggi stesso.

Condividi:
cybersecurity

Cybersecurity – primo semestre 2018 nefasto

30 Ottobre 2018

Ci ricolleghiamo a quanto scritto ieri sulla sicurezza informatica, o cybersecurity che dir si voglia, invitandovi alla lettura di un interessante articolo di  digital4trade.

L’articolo prende in esame il report degli attacchi globali nel primo semestre 2018, portando alla luce una situazione a dir poco preoccupante.

Potete trovare qui il post di digital4trade. Buona lettura.

Condividi:
sicurezza informatica reputazione

GDPR – SICUREZZA INFORMATICA E REPUTAZIONE

29 Ottobre 2018

Nell’ultimo anno, anche grazie ad alcuni casi eclatanti, il tema della sicurezza informatica è parzialmente uscito dall’ambito  dei soli addetti ai lavori.

Nonostante questo, esistono situazioni di assoluto scetticismo, in particolar modo di quegli imprenditori della piccola/media impresa (ma non solo) che sottovalutano l’argomento privacy.

“A chi vuoi che possa interessare attaccarci? Siamo piccoli.. Che dati volete che abbiamo?”

La domanda è chiaramente mal posta. Non bisogna chiedersi se i dati siano a rischio attacco informatico, ma piuttosto quando lo saranno! Quando avverrà questo attacco.

Per lo più si ritiene che i propri dati siano di scarsa rilevanza ed in ogni caso facilmente recuperabili in caso di perdita. Il punto è un altro e va affrontato sforzandosi di pensare nella nuova ottica del GDPR: la protezione dei dati del cliente, per il cliente stesso, deve essere proattiva, progettata a monte e subito.

Sicurezza informatica e motivazioni di un attacco

Agli occhi di un potenziale hacker malevolo la nostra azienda è un potenziale bersaglio che sicuramente maneggia dati in qualche misura sensibili e molto probabilmente non ha gli strumenti per recuperare i dati oggetto di manomissione.

L’obiettivo non sono i dati veri e propri, ma l’eventuale capitale che sia possibile estorcere dal furto dei medesimi. Ecco quindi individuata la motivazione alla base della maggior parte degli attacchi informatici.

Chi esegue l’attacco nei confronti dell’azienda bersaglio cerca di applicare il modello di business del minimo sforzo con il massimo del risultato: il danno digitale recuperabile a fronte di un riscatto.

Si prendano come esempio gli introiti generati dai ransomware, detti anche “virus da riscatto”.  Miliardi di euro guadagnati sulle spalle di aziende inermi dimostrano come questo semplice attacco funzioni benissimo.

Il ladro genera un attacco sapendo che se chi lo subisce può anche solo sperare di recuperare i dati pagherà per riaverli.

In questi termini, il GDPR ha scatenato una sensibilizzazione in termini di protezione dei dati che – fortunatamente – sta rendendo la vita difficile a questo tipo specifico di attacco.

Sicurezza informatica e reputazione

E’ veramente poco chiaro come in questo momento storico si possa pensare “A chi vuoi che possa interessare attaccarci?”. Il solo impatto del GDPR dovrebbe spronare le aziende a modificare punto di vista e modalità operative interne per rafforzare la propria sicurezza informatica e proteggere in ogni modo possibile i dati.

Nessuno pare far caso al danno di immagine. Che l’azienda, dopo aver subito un attacco, sia poi riuscita a recuperare i dati e a mettere nuovamente a regime il proprio sistema IT (bonifica da virus, e simili..), ha una certa importanza. Ma quell’azienda si è mostrata vulnerabile (in tutti i sensi possibili) e munita di una scarsa sicurezza informatica.

Gli occhi di clienti, fornitori e tutte le altre figure che ruotano attorno a quell’azienda che ha subito un attacco informatico non arginato, soccombendo ad esso, inizierebbero a squadrarla dall’alto verso il basso.

Quei soggetti perderebbero la fiducia e ragionerebbero sul continuare ad avere rapporti con l’azienda in questione.

Esiste quindi la seria probabilità che l’attività economica risulti permanentemente danneggiata a causa della cattiva reputazione generata da un attacco informatico. E, in realtà, dall’essere poco sensibili alle linee guida del GDPR. Quindi al “A chi vuoi che possa interessare attaccarci?”.

Giusto per fare un esempio: chi, seguendo un minimo la scena IT e gli eventi degli ultimi anni, andrebbe spontaneamente a farsi curare in tutta serenità in uno degli ospedali che nella primavera del 2017 furono letteralmente investiti dal ransomware Wannacry?

Le ripercussioni indirette sono ingenti rispetto ai costi diretti che bisognerebbe sopportare a causa di un attacco informatico o, sicuramente, alla gestione della sicurezza informatica interna atta a prevenire tali eventi catastrofici.

Dal punto di vista di chi esegue gli attacchi, abbiamo tutti qualche dato sensibile. Siamo tutti bersagli interessanti.

Condividi:
Scroll Up