Posto ai margini della rete e raramente configurato o monitorato per comprometterla attivamente, il firewall è oggi un bersaglio vulnerabile per attacchi persistenti e mirati.
Non esiste tecnologia di sicurezza di rete più onnipresente del firewall. Con quasi tre decenni di storia di implementazione e una miriade crescente di politiche di conformità aziendale e industriale che ne impongono l'uso, per quanto si possa pensare che un firewall sia irrilevante nella prevenzione dell'odierno spettro di minacce informatiche, qualsiasi azienda violata trovata senza questa tecnologia può aspettarsi di essere impiccata, sorteggiata e squartata sia dagli azionisti che dagli esperti del settore.
Poiché la maggior parte del traffico di rete da nord a sud attraversa le porte associate a HTTP e SSL, i firewall aziendali sono in genere relegati alla soppressione del rumore, ovvero al filtraggio o all'eliminazione di servizi e protocolli di rete non utili o necessari per le operazioni aziendali.
Dal punto di vista degli hacker, con la maggior parte dei sistemi mirati che forniscono servizi HTTP o HTTPS, i firewall hanno raramente rappresentato un ostacolo alla violazione di una rete e al trafugamento di dati.
Ciò di cui molti non si rendono conto è che il firewall è esso stesso un obiettivo di particolare interesse, soprattutto per gli avversari più sofisticati. Posto ai margini della rete e raramente configurato o monitorato per comprometterla attivamente, il firewall rappresenta una testa di ponte sicura e preziosa per attacchi persistenti e mirati.
La prospettiva di ottenere una backdoor persistente in un dispositivo attraverso il quale passa tutto il traffico di rete ha un valore insormontabile per un avversario, soprattutto per le agenzie di intelligence straniere. Così come tutti i combattenti della Prima Guerra Mondiale inviarono squadre di intelligence nelle trincee per trovare le linee telegrafiche nemiche e impiombare le apparecchiature di intercettazione, o i tunnel costruiti sotto il Muro di Berlino all'inizio degli anni Cinquanta per consentire alle agenzie di spionaggio del Regno Unito e degli Stati Uniti di intercettare fisicamente le linee telefoniche della Germania dell'Est, oggi le comunicazioni attraversano Internet, rendendo il firewall un punto di snodo critico per l'intercettazione e le intercettazioni.
Il firewall fisico è da tempo un obiettivo di compromissione, in particolare per le backdoor incorporate. Due decenni fa, l'esercito degli Stati Uniti ha inviato una nota in cui avvertiva della presenza di backdoor scoperte nel prodotto firewall Checkpoint dall'NSA, consigliando di rimuoverlo da tutte le reti DoD. Nel 2012, una backdoor è stata inserita nei firewall e nei prodotti Fortinet con sistema operativo FortiOS. Nello stesso anno, il governo federale ha vietato al fornitore cinese di dispositivi di rete Huawei di accedere a tutte le infrastrutture critiche degli Stati Uniti dopo aver scoperto numerose backdoor. Più recentemente, Juniper ha avvisato i clienti della presenza di codice non autorizzato e di backdoor in alcuni dei suoi prodotti firewall, risalenti al 2012.
Gli avversari sponsorizzati dallo Stato, quando non sono in grado di aprire una backdoor nel firewall di un fornitore attraverso la porta principale, sono purtroppo associati al pagamento per l'introduzione di debolezze e falle che possono essere sfruttate più facilmente in un secondo momento. Ad esempio, è stato ampiamente riportato che il governo degli Stati Uniti ha pagato gli sviluppatori di OpenBSD per creare una backdoor nel loro stack di rete IPsec nel 2001, e nel 2004 l'NSA avrebbe pagato 10 milioni di dollari a RSA per garantire che il difettoso algoritmo di generazione di numeri pseudo-casuali Dual_EC_DRBG fosse l'impostazione predefinita del suo toolkit crittografico BSAFE.
Se questi vettori non fossero sufficienti, come è stato dimostrato dalle rivelazioni di Snowden nel 2013 e dalla fuga di dati di Shadow Brokers nel 2016, le agenzie governative hanno una storia continua di sfruttamento delle vulnerabilità e di sviluppo di toolkit di backdoor che mirano specificamente ai prodotti firewall dei principali fornitori di infrastrutture internazionali. Ad esempio, il catalogo Tailored Access Operations (TAO) dell'NSA del 2008 fornisce dettagli sugli strumenti disponibili per prendere il controllo dei firewall Cisco PIX e ASA, dei firewall Juniper NetScreen o SSG serie 500 e dei firewall Huawei Eudemon.
Infine, non va dimenticata l'inclusione di backdoor progettate per aiutare le forze dell'ordine, come le funzioni di "intercettazione legale", che purtroppo possono essere controllate da un aggressore, come nel caso greco delle intercettazioni telefoniche del 2004-2005, in cui le capacità di intercettazione di un vettore nazionale sono state rilevate da un avversario tecnico non autorizzato.
Come si può notare, esiste una lunga storia di backdoor e di minacce che prendono di mira specificamente le tecnologie firewall che il mondo distribuisce come primo passaggio per la sicurezza di tutte le reti aziendali. È quindi sorprendente che, man mano che la nostra strategia di difesa in profondità si rafforza e che le nuove tecnologie mantengono un occhio più attento alle minacce che operano all'interno di tutte le reti aziendali, il firewall diventi un obiettivo ancora più prezioso e più morbido da compromettere?
I firewall sono notoriamente difficili da proteggere. Speriamo che blocchino gli attacchi di tutti gli aggressori, con l'aspettativa (ovviamente falsa) di non essere vulnerabili alla compromissione. Ora, con il crescente passaggio al cloud, siamo probabilmente più esposti che mai alle backdoor e allo sfruttamento delle tecnologie firewall vulnerabili.
Sia che abbiano il compito di proteggere il perimetro o le operazioni nel cloud, le organizzazioni devono essere sempre più vigili nel monitorare i loro firewall alla ricerca di compromessi e backdoor. In qualità di professionisti della sicurezza, dovete assicurarvi di avere una risposta difendibile alla domanda "Come rilevereste il funzionamento di una backdoor all'interno del vostro firewall?".
Scoprite il ruolo nascosto dell'infrastruttura nella superficie di attacco del data center e imparate a rilevare le backdoor nel vostro data center.