Il protocollo di controllo remoto RDP è una voragine di sicurezza

Lug 20, 2018 Marco Schiaffino Approfondimenti, In evidenza, RSS, Software, Tecnologia 0

---

Sul Dark Web i pirati vendono migliaia di credenziali per l’accesso a servizi remoti, tra cui addirittura quello di un aeroporto internazionale. Come proteggersi?

Quello della pirateria informatica è un mercato estremamente fiorente e il Dark Web è la “piazza” in cui vengono venduti e acquistati ogni tipo di oggetti: dai malware alle credenziali rubate.

Tra i tanti tipi di “prodotti” disponibili sul mercato nero ce n’è uno, però, che dovrebbe far suonare un (sonoro) campanello di allarme ad amministratori IT ed esperti di sicurezza. Sono le credenziali per gli accessi RDP, che vengono vendute a prezzi ridicoli (la media è di 10 dollari) ma permettono di accedere a sistemi spesso estremamente “critici”.

L’esempio più eclatante, riportato da McAfee in un report dedicato al tema, è quello di un accesso ai servizi logistici di un aeroporto internazionale che chiunque può ottenere con un investimento di 10 dollari.

“L’uso del protocollo RDP per controllare a distanza server e servizi è una delle tante, incredibili, falle di sicurezza nel mondo dell’Information Technology” spiega Andrea Argentin, esperto di sicurezza CyberArk. “Il fatto che i pirati ci vadano a nozze non stupisce”.

Ma di cosa stiamo parlando esattamente? RDP (Remote Desktop Protocol) è un protocollo creato da Microsoft che consente di utilizzare a distanza una macchina come se ci si trovasse davanti alla tastiera., accessibile attraverso un sistema di autenticazione predefinito che utilizza il classico sistema basato su username e password.

“RDP è pensato per consentire un accesso rapido e facile da usare a un PC” spiega Argentin “ma non dovrebbe in nessun caso essere usato dall’esterno della rete senza protezioni aggiuntive. La sua compromissione consente di avere pieno accesso ai sistemi e può risolversi in un disastro”.

Un disastro che, a quanto pare, non riamane nel campo delle ipotesi ma che è già una concreta realtà. Il report di McAfee denuncia infatti l’esistenza di decine di shop online che permettono di acquistare credenziali di collegamenti RDP a prezzi bassissimi.

“Uno dei più famosi è Ultimate Anonimity Service” conferma Argentin. “Si tratta di uno store sul quale è possibile acquistare credenziali RDP scegliendole da un catalogo che comprende circa 40.000 account”.

Insomma: il quadro che ne deriva è una situazione in cui si incontrano da una parte una trascuratezza imperdonabile degli amministratori IT, dall’altra l’interesse (e iper-attivismo) dei pirati informatici, che riescono a fare incetta con sconcertante facilità delle credenziali per accedere ai servizi di remote desktop.

“Uno dei fattori che incidono di più nel determinare questa situazione è la pessima gestione delle credenziali e delle impostazioni di sicurezza” spiega Argentin. “Nella maggior parte dei casi si tratta di servizi RDP esposti su Internet che i pirati possono individuare facilmente usando strumenti di scansione o servizi online come Shodan”.

Ma per quanto riguarda le credenziali? Qui entrano in gioco le policy nella gestione dell’accesso al servizio. “Se chi gestisce i sistemi non si attiene scrupolosamente alle “buone pratiche” i pirati hanno gioco facile a violare i sistemi” spiega sempre Argentin. “La tecnica più usata dai pirati è quella del Brute Forcing, che però funziona solo quando gli amministratori non eseguono una corretta rotazione delle password”.

Il tema, quindi, è quello che conosciamo alla perfezione: se non si cambia la password ogni 30 o 60 giorni il rischio che venga scardinata aumenta esponenzialmente. E non ci vuole poi tanto: basta usare strumenti progettati ad hoc che prevedano periodi di time-out tali da non far scattare i meccanismi di difesa.

“Per i pirati non è un problema lasciare un software in funzione per un mese o due fino a quando non trova le credenziali giuste. Se nel frattempo non vengono cambiate, il gioco è fatto”.

Ma quali sarebbero le contromisure da predisporre per evitare simili buchi di sicurezza? Andrea Argentin, partendo dalla sua esperienza nel settore della protezione dell’identità digitale indica diversi aspetti da curare.

“Premesso che RDP è il peggior strumento immaginabile per svolgere il compito di fornire un accesso in remoto a un server, il primo passo sarebbe quello di proteggere la connessione con una VPN” spiega il ricercatore. “Per quanto riguarda le credenziali, è indispensabile stabilire una rotazione periodica che deve essere rispettata rigorosamente”.

Un aspetto, questo, che ultimamente è piuttosto controverso. Alcuni ricercatori hanno infatti sollevato il problema riguardante il fatto che il periodico cambio di password porta gli utenti a usare varianti della stessa passphrase rendendo più facile il lavoro dei pirati informatici.

“Tutto vero” conferma Argentin. “La generazione delle password dovrebbe infatti essere affidata a un sistema specializzato. Gli esseri umani non sono fatti per creare password. Tendiamo a utilizzare parole che per noi sono facili da indovinare, ma sono altrettanto facili da individuare per chi cerca di violare le credenziali di accesso”.

Meglio ancora sarebbe usare accorgimenti ulteriori, come l’uso di sistemi di autenticazione a due fattori o la generazione di token “usa e getta”. Tutti sistemi, questi, che però stentano ancora a prendere piede nonostante negli ultimi tempi le tecnologie per il loro utilizzo abbiano fatto passi da gigante.

“L’uso ridotto di sistemi di autenticazione robusti è un elemento sconcertante” conclude Argentin. “Se fino a qualche tempo fa potevano essere giustificabili con il fatto che fosse difficile e complicato implementarli, di fronte alle tecnologie attuali il loro mancato utilizzo può avere origine solo in una carenza di quella che nel settore chiamiamo cultura della sicurezza”.

---

• Andrea Argentin, CyberArk, Marco Schiaffino, McAfee, Password, RDP, Remote Desktop Protocol, Windows

---

---