DURHAM, NC Quando gli hacker hanno iniziato a chiamare al telefono gli studenti della Duke College, Nick Tripp sapeva di avere a che fare con qualcosa di diverso.
Tripp è il senior supervisor del Duke IT Safety Workplace. È abituato a gestire le e-mail quotidiane di phishing e altri tentativi di entrare nel sistema informatico dell’università. È un obiettivo attraente, un’importante università di ricerca e un grande ospedale.
Duke utilizza la cosiddetta autenticazione a doppio fattore per consentire a studenti, personale e docenti di accedere ai sistemi universitari. Dopo aver inserito la password, gli utenti devono anche utilizzare un codice di sicurezza generato casualmente da un’app o da un messaggio di testo.
È uno strato importante nella sicurezza dell’università. La maggior parte delle grandi organizzazioni ora utilizza una sorta di autenticazione a doppio fattore.
È così che Tripp si è ritrovato al telefono con un uomo con un accento dell’Europa orientale verso le 23:00 di un giovedì di settembre.
Nick Tripp è il senior supervisor del Duke IT Safety Workplace. (Per gentile concessione della Duke College)
Quello è stato sicuramente un momento surreale per me, ha detto Tripp. La sua squadra aveva a che fare con questo attacco attivo nel proprio sistema già da 14 ore. Tutti preferirebbero stare a letto, e io sono al telefono con la persona che ci tiene tutti svegli.
L’attacco ha funzionato in questo modo: gli hacker hanno inviato migliaia di e-mail create per sembrare provenienti dall’ufficio IT di Duke, avvertendo che l’account e-mail degli utenti sarebbe stato disattivato a meno che non avessero fatto clic su un collegamento. Ha incaricato le persone di inserire il proprio nome, login, password e numero di telefono. Quindi gli hacker chiamerebbero l’utente per ottenere i codici di autenticazione a doppio fattore in tempo reale per poter accedere al sistema Dukes.
Speravano di acquisire credenziali di autenticazione a più fattori, cosa davvero difficile da fare tramite modulo, ha affermato Tripp.
Stavano chiamando i nostri utenti e fingendo di essere il nostro service desk, ha detto. Ho dovuto fingere di essere un utente, chiamarli e dire: “Ehi, ho compilato il modulo”. Qual è il prossimo passo da capire in questo processo?
Sono stati davvero molto utili fino al momento in cui pensavano di aver ricevuto quelle informazioni da me. Certo, ho fornito loro informazioni false, ma non appena hanno pensato di averle, hanno finito e hanno chiuso il telefono, hanno immediatamente riattaccato e alla prossima chiamata successiva, ha detto Tripp.
Costantemente sotto attacco
Chiunque disponga di un account di posta elettronica sa che ci sono messaggi costanti che cercano di indurre le persone a fare clic su collegamenti sospetti. Questo è noto come phishing, quando i malintenzionati inviano e-mail nel tentativo di convincere qualcuno a scaricare un allegato o fare clic su un collegamento, spesso installando malware che consente a un hacker di accedere al proprio laptop di destinazione.
Nell’attacco di phishing a Duke, le e-mail hanno indirizzato le persone a un sito come questo nel tentativo di rubare le loro informazioni di accesso. (Per gentile concessione della Duke College)
L’attacco descritto da Tripp alla Duke period un tentativo di phishing, con il livello aggiuntivo di chiamare gli utenti alla Duke per quei codici di autenticazione a più fattori. Gli hacker hanno compiuto alcuni progressi nell’entrare negli account di posta elettronica, ma il group di sicurezza dell’università è stato in grado di identificare tali account e bloccare l’accesso, secondo Duke.
Siamo costantemente sotto attacco, ha detto Tripp. Questo è qualcosa su cui dobbiamo essere sempre vigili, perché non si ferma mai. Voglio dire, gli aggressori non si prendono giorni liberi e questo è uno sforzo globale.
Il crimine informatico è un fenomeno globale. Esistono gruppi criminali organizzati in Russia e nell’Europa orientale, attori statali come la Cina e la Corea del Nord e lupi solitari in tutto il mondo.
Le minacce sono altrettanto varie. Gli hacker possono mirare a tenere in ostaggio i dati con i cosiddetti attacchi ransomware. Potrebbero cercare di rubare dati personali da vendere sul darkish internet. Potrebbero tentare di ottenere l’accesso a tecnologie proprietarie e rubare segreti commerciali.
Per un’organizzazione come la Duke College, con un ospedale, importanti laboratori di ricerca e una grande rete, l’obiettivo potrebbe essere qualsiasi cosa.
È quasi impossibile reagire e anticipare questo genere di cose, ha detto Tripp. Hai risorse insufficienti fin dall’inizio e, sai, la maggior parte delle organizzazioni sta solo cercando di fare affari giorno per giorno.
Nella Carolina del Nord, nel 2022 sono state segnalate al Dipartimento di giustizia dello stato 1.665 violazioni della sicurezza informatica. Questo è leggermente in calo rispetto alle 1.759 segnalate l’anno prima, secondo il rapporto annuale dell’NCDOJ sulla criminalità informatica.
Il numero di tentativi di phishing riusciti nella Carolina del Nord è attualmente in calo, almeno negli incidenti segnalati all’NCDOJ. Il dipartimento ha riportato un massimo di oltre 300 tentativi di phishing riusciti nel 2019. Quel numero è sceso a 252 l’anno scorso, secondo il rapporto.
Il panorama delle minacce informatiche del 2022 è stato definito dalla persistenza, dall’aumento della portata degli obiettivi e dalla determinazione incessante, ha scritto la società di sicurezza informatica CrowdStrike nel suo rapporto World Menace Evaluation del 2023. I primi tre settori a rischio di attacco informatico sono tecnologia, finanza e assistenza sanitaria, secondo il rapporto.
Le minacce on-line si evolvono
Le difese di rete cambiano e si evolvono continuamente, ma i gruppi di hacker si stanno muovendo ancora più velocemente per aggirare tali difese. I firewall migliorano, le aziende correggono gli exploit nei loro software program, nuove misure di sicurezza come l’autenticazione a due fattori cercano di tenere a bada gli hacker. Ma gli specialisti della sicurezza informatica stanno solo cercando di tenere il passo.
Richiede che tu stia sempre imparando e tenendoti aggiornato sulle ultime novità, ha affermato Tripp. Per il nostro group ciò significa che tutti restano aggiornati sulle ultime tendenze, le notizie e la formazione continua.
In realtà è uno dei professional di questo lavoro, e uno dei contro allo stesso tempo. Penso che molti lavori IT possano essere un po’ noiosi o diventare ripetitivi nel tempo e questo non è mai il caso della sicurezza, ha affermato.
Le courageous persone della sicurezza informatica sono molto richieste nel governo e nel settore privato. L’analista della sicurezza delle informazioni, fondamentalmente un esperto di sicurezza informatica, è uno dei lavori in più rapida crescita negli Stati Uniti, secondo il Bureau of Labor Statistics.
Con circa 700.000 posizioni di sicurezza informatica aperte, l’America deve affrontare una sfida alla sicurezza nazionale che deve essere affrontata in modo aggressivo, ha affermato l’amministrazione Biden l’anno scorso in occasione della convocazione di un vertice della Casa Bianca incentrato sulla forza lavoro e sulla formazione della sicurezza informatica.
Nella Carolina del Nord, i group faculty e le università pubbliche si stanno intensificando per formare la prossima generazione di difensori informatici. Il programma di sicurezza informatica è diventato uno dei percorsi più popolari al Wake Technical Group School.
La scuola offre lauree biennali e gli studenti possono trasferirsi direttamente in un programma quadriennale in un posto come la North Carolina A&T College o la East Carolina College, che ha un accordo con il faculty per trasferire i crediti.
Wake Tech ha anche programmi di certificazione per le persone già nel settore per aggiornare le proprie competenze.
Il faculty ha iniziato a offrire una laurea dedicata alla sicurezza informatica circa sei anni fa, ha affermato Carolyn DeSimone, direttrice del programma di sicurezza informatica presso Wake Tech. Il programma ha sede presso il campus del Analysis Triangle Park del faculty, circondato da alcune delle aziende tecnologiche più avanzate del mondo.
Carolyn DeSimone è la direttrice del programma di sicurezza informatica presso il Wake Technical Group School. (Charles Duncan/Spectrum Information 1)
Gli studenti hanno due lezioni di hacking etico e pentesting (take a look at di penetrazione), due corsi di digital forensics. Quindi sanno come estrarre dati da laptop, telefoni, esaminarli, ecc. E poi hanno corsi sui centri operativi di sicurezza, ha detto.
Imparano come funzionare in un datore di lavoro grande o piccolo in un centro operativo di sicurezza. Le persone vengono attaccate continuamente. Ma è un vero attacco? O è solo sai, qualcuno che ha interpretato male i dati? Quindi (vengono) addestrati a utilizzare gli strumenti ed esaminare i dati in modo che sappiano se si tratta davvero, in effetti, di un attacco, ha affermato DeSimone.
Una parte importante di programmi come Wake Techs, ha affermato DeSimone, è il modo in cui possono riorganizzare rapidamente le classi per stare al passo con le tendenze.
Bene, la buona notizia con il group faculty, per quanto siamo grandi, siamo estremamente agili, ha detto. Hanno un comitato consultivo composto da persone del settore che guidano come aggiornare i corsi per stare al passo con le ultime novità in materia di sicurezza informatica.
Il faculty coinvolge anche persone del settore privato per insegnare nel programma di sicurezza informatica.
Queste sono persone che sono educatori, che sono eccellenti nello sviluppo di nuovi corsi e nel tenersi aggiornati, ha detto.
Questa è un’industria all’avanguardia, ha affermato DeSimone. Quindi aggiornano costantemente le loro competenze, aggiornano costantemente i loro corsi e devono introdurre tutte le novità.
Il futuro della sicurezza informatica
Criminali on-line, spionaggio, spionaggio industriale e gruppi di hacktivisti non vanno da nessuna parte. Nemmeno la sicurezza informatica. E sono tutte industrie in crescita a pieno titolo.
Gli attacchi informatici hanno anche avuto un ruolo di primo piano nell’invasione russa dell’Ucraina, secondo il Menace Evaluation Group di Google.
Il governo ucraino è sotto attacco digitale quasi costante, ha affermato Google in un rapporto di febbraio. Gli hacker sostenuti dalla Russia hanno attaccato il governo e le aziende in Ucraina mentre le truppe del paese continuano a combattere con pistole e bombe in prima linea. Google ha affermato che anche gli attacchi informatici contro i paesi della NATO sono in aumento.
Negli Stati Uniti, gli hacker hanno abbattuto il Colonial Pipeline nel 2020 con un attacco ransomware, interrompendo gran parte della fornitura di fuel alla costa orientale. Various contee della Carolina del Nord sono state messe offline da attacchi simili.
I veri confini sono stati superati quando abbiamo iniziato a vedere ospedali, scuole e luoghi che altrimenti non sarebbero stati toccati da questo tipo di attività, ha affermato Tripp, del group di sicurezza IT della Duke College.
Le difese contro gli attacchi informatici continuano a evolversi. Ma anche in una delle migliori università di ricerca come la Duke, gli esperti di sicurezza possono sentirsi sempre un passo indietro rispetto agli hacker.
Le grandi reti sono vulnerabili perché servono molte persone. Ognuna di queste persone è un potenziale bersaglio che potrebbe aiutare un hacker a entrare nel sistema. Tripp ha affermato che gran parte di ciò che fanno è formare i propri utenti, studenti, personale e docenti che si affidano ogni giorno alla rete Dukes.
Per proteggere la rete di Dukes, Tripp ha affermato che il futuro sarà senza password.
Una delle grandi cose, quando si tratta di attacchi di phishing, e il genere di cose con cui avremo a che fare in futuro, è l’autenticazione della password, l’eliminazione delle password, che è davvero una tecnologia legacy a questo punto, ha detto.
Quel futuro potrebbe significare utilizzare un telefono cellulare personale con riconoscimento facciale o un passcode per poter accedere a una rete o un laptop computer con un lettore di impronte digitali. Eliminare le password statiche dall’equazione significa che non ci sono password da rubare per gli hacker.
Ma come gli esperti di sicurezza informatica hanno imparato più volte, gli hacker si evolveranno insieme alle misure di sicurezza. Il crimine informatico non va da nessuna parte.
