Chi meglio di chi vende soluzioni e software di sicurezza può avventurarsi in un’analisi approfondita di quelle che sono state le minacce informatiche che più hanno preoccupato e preoccuperanno i responsabili IT di milioni di aziende del pianeta? Forse solo gli stessi responsabili IT, a cui però è difficile carpire (per ovvi motivi) confessioni su falle di sistemi o violazioni di dati critici.
Crediamo quindi di rendere un gradito servizio ai nostri lettori nel riportare integralmente le dichiarazioni di due addetti ai lavori come Art Coviello, Ceo di RSA (la Security Division di EMC), e Costin Raiu, Direttore Global Research & Analysis Team di Kaspersky Lab, per fare il punto della situazione. Partendo da quanto è successo dentro le aziende (a livello di attacchi) nel 2011 per capire cosa potrebbe succedere (in fatto di azioni preventive) quest’anno.
Il 2011: un anno esplosivo per la sicurezza “Se dovessimo descrivere il 2011 dal punto di vista della sicurezza IT
con una sola parola, potremmo usare il termine ‘esplosivo’. La lunga
lista di incidenti, storie, avvenimenti e nuovi trend rendono difficile
realizzare una vera e propria top 10. Proverò quindi a ricordare i
principali accadimenti che hanno scosso la scena della sicurezza IT
durante lo scorso anno e questo ci aiuterà anche a capire cosa accadrà
nel 2012".
Costin Raiu, Director of Kaspersky Lab's Global Research & Analysis Team
1. la nascita di “Hacktivism” - Nel corso del 2011 alcuni gruppi quali Anonymous, LulzSec e TeaMp0isoN sono stati coinvolti in azioni di sabotaggio contro agenzie governative, banche, governi e aziende di software. Alcune volte hanno lavorato assieme, altre volte, le une contro le altre, raggiungendo una notevole ‘fama’ attraverso azioni contro le Nazioni Unite, la CIA e alcuni contractor dell’FBI. La nascita del cosiddetto ‘hacktivism’ è uno dei principali trend del 2011 e senza alcun dubbio lo sarà anche nel 2012.
2. HBGary Federal Hack - Nel gennaio 2011, gli hacker di Anonymous sono entrati nel server di HBGary Federal – hbgaryfederal.com – attraverso un attacco con infezione SQL, entrando in possesso delle password del CEO, Aaron Barr, e del COO, Ted Vera. Sfortunatamente, entrambi avevano scelto password molto semplici e molto facili da identificare. Questa storia è importante perché dimostra come l’utilizzo di password non sicure insieme a un software di protezione non aggiornato, possa mettere a repentaglio la sicurezza di un’azienda.
3. Gli Advanced Persistent Threat - Nonostante numerosi esperti di sicurezza siano ancora riluttanti, questi attacchi hanno avuto molto eco sui media dopo gli attacchi a RSA e l’operazione Night Dragon, Lurid e Shady Rat. La cosa interessante è che questi attacchi non erano particolarmente sofisticati e ci sono stati casi in cui sono stati utilizzati exploits zero-day, come nel caso di RSA. In questo caso specifico, i cyber criminali hanno sfruttato CVE-2011-0609 – una vulnerabilità di Adobe Flash Player – per installare codici nocivi su alcuni sistemi. Un altro zero-day interessante è stato CVE-2011-2462, una vulnerabilità di Adobe Reader, che è stata utilizzata per attacchi al contractor della difesa americana ManTech. Da sottolineare come molti casi hanno coinvolto vulnerabilità zero day di Adobe e molti attacchi avevano come obiettivi target americani.
4. Comodo e DigiNotar - Il 15 marzo 2011 un’affiliata di Comodo, società di software di sicurezza e certificati SSL, è stata attaccata. I criminali hanno utilizzato l’infrastruttura per creare nove falsi certificati digitali per siti web, come mail.google.com, login.yahoo.com, addons.mozilla.com e login.skype.com. Analizzando la dinamica degli incidenti, Comodo è stata in grado di identificare l’IP 212.95.136.18 a Teheran, Iran. Il 17 giugno 2011 gli hacker hanno attaccato i server DigiNotar creando 300 certificati falsi. Dopo alcuni giorni, i certificati falsi sono stati utilizzati per sferrare attacchi contro 100.000 account gmail in Iran. Gli attacchi a Comodo e DigiNotar hanno evidenziato delle falle nel sistema di sicurezza di molte società di certificazione.
5. Duqu - Nel giugno 2010, il ricercatore Sergey Ulasen dell’azienda bielorussa VirusBlokada ha scoperto un malware che usava certificati falsi per firmare i driver e zero day exploit che utilizzavano file .lnk per la replicazione. Questo malware è diventato famoso in tutto il mondo con il nome di Stuxnet, un worm che aveva come obiettivo il programma militare iraniano. Stuxnet ha attaccato i PLC Siemens nell’impianto iraniano di Natanz e li ha riprogrammati indicando un solo specifico obiettivo: il sabotaggio del programma nucleare di Natanz. Ma come hanno fatto i sabotatori ad entrare in possesso di codici così importanti e segreti che controllano un impianto del valore di diversi miliardi di dollari? Una risposta possibile è nel Trojan Duqu. Creato dalle stesse persone che hanno realizzato Stuxnet, Duqu è stato scoperto nell’agosto 2011 da un ricercatore ungherese di CrySyS. All’inizio non era chiaro come Duqu infettasse gli obiettivi. Con il passare del tempo però, documenti nocivi Microsoft Word che presentavano vulnerabilità CVE-2011-3402, sono state scoperte come bersaglio di Duqu. L’obiettivo era però diverso da quello di Stuxnet. Questo Trojan è un toolkit di attacco molto sofisticato, che può essere usato per penetrare in un sistema. Nuovi moduli possono essere caricati e eseguiti senza il file system footprint. La modularità dell’architettura e il numero limitato di vittime ha reso Duqu difficilmente identificabile per anni. Duqu e Stuxnet rappresentano lo stato dell’arte della guerra al cyber crime.
6. L’attacco a Sony PlayStation - Il 19 aprile 2011 PlayStation Network (PSN) è stata colpita da un attacco hacker. All’inizio l’azienda si è dimostrata riluttante nello spiegare cosa fosse successo realmente e sospese il servizio il 20 aprile. Il 26 aprile l’azienda si rese conto che i dati personali degli utenti, tra cui i riferimenti delle carte di credito, erano stati rubati. Alcuni giorni dopo, 2,2 milioni di numeri di carte di credito sono stati offerti su forum di hacker. Il 1 maggio il servizio era ancora inattivo. In ottobre, uscì la notizia secondo cui 93.000 account violati dovevano essere chiusi da Sony per evitare ulteriori incidenti. La storia di Sony PSN ci fa capire che nell’era del cloud alcuni informazioni sensibili possono essere facilmente sottratte se non vengono implementate soluzioni di sicurezza adeguate. Nel 2011, 77 milioni di username e 2,2 milioni di carte di credito sono stati il bottino dell’era del cloud.
7. Combattere il Cyber crime e le Botnet - Mentre i criminali che hanno preso di mira PSN non sono mai stati identificati, il 2011 è stato un brutto anno per alcuni criminali che sono stati arrestati dalle forze dell’ordine. L’arresto delle bande ZeuS, DNSChanger e delle botnet Rustock, Coreflood e Kelihos/Hilux sono solo alcuni esempi.Nel caso del taketown di Kelihos, che è stato condotto da Kaspersky Lab e dalla Digital Crimes Unit di Microsoft, Kaspersky Lab ha portato avanti un’operazione contro le botnet, contando le decine di migliaia di utenti infettati ogni singolo giorno. Qui però inizia il grande dibattito: Kaspersky Lab o le autorità di polizia possono informare gli utenti infettati oppure effettuare una ‘pulizia’ dei computer automaticamente. Secondo un’inchiesta realizzata sul sito Web Securelist, l’83% degli utenti auspicano la pulizia dei sistemi degli utenti infettatti nonostante questo sia contro la legge in alcuni paesi. Per ovvie ragioni, Kaspersky non ha agito in questa direzione, ma questo denota le limitazioni di alcune leggi per quello che riguarda la sicurezza IT.
8. La crescita dei malware Android - Nell’agosto del 2010, abbiamo identificato il primo Trojan per la piattaforma Android – Trojan-SMS.AndroidOS.FakePlayer.a - che si mascherava da applicazione media player. In meno di un anno, i malware Adroid hanno avuto un incremento esponenziale, diventando i più popolari nella categoria mobile. Nel terzo trimestre del 2011, oltre il 40% di tutti i malware mobile erano per piattaforma Android. Nel novembre 2011, Kaspersky Lab ha scoperto oltre 1.000 malware Android, una cifra superiore a tutti i malware mobile scoperti negli ultimi sei anni. La spiegazione risiede sicuramente nella grande popolarità della piattaforma, nella struttura aperta, che rende la creazione dei malware particolarmente semplice e nella poca efficacia del sistema di screening del Google Market.
9. Il caso CarrierIQ - CarrierIQ è una piccola azienda privata fondata nel 2005 con sede a Mountain View, California. Secondo il sito Web, il loro software è implementato su oltre 140 milioni di dispositivi mobile in tutto il mondo. Nonostante l’obiettivo dichiarato sia di raccogliere informazioni diagnostiche dai terminali mobile, il ricercatore Trevor Eckhart ha dimostrato come l’intento dell’azienda vada oltre, fino al keylogging e al monitoraggio degli URL aperti dai singoli dispositivi. Per questo motivo, molti utenti hanno deciso di rimuovere il software dal proprio dispositivo mobile. Il caso CarrierIQ dimostra che gli utenti sono spesso all’oscuro dei programmi installati sui propri dispositivi e del livello di controllo a cui sono sottoposti.
10. Malware MacOS - Nel corso del maggio 2011 sono stati lanciati alcuni prodotti chiamati MacDefender, MacSecurity, MacProtector o MacGuard, che sono diventati molto popolari. Nel corso del 2011 anche i computer Mac sono stati colpiti da malware. La famiglia di Trojan DNSChanger merita una particolare menzione. Scoperti nel 2007, questi piccoli Trojan compromettono il computer cambiando le impostazione DNS e poi disinstallandosi. Nel novembre 2011 l’FBI ha arrestato sei criminali di nazionalità estone responsabili di questo malware e, secondo i dati in possesso dell’FBI, negli ultimi quattro anni sono stati infettati sistemi in oltre 100 paesi generando un profitto illecito di circa 14 milioni di dollari. Questi incidenti dimostrano che esistono attualmente veri e propri malware anche per i sistemi Mac e che è importante che gli utenti siano sempre protetti da software adeguati.
Le priorità per aziende e governi nel 2012
“Sono appena rientrato da un viaggio durato cinque settimane durante le quali ho incontrato clienti di tutto il mondo e, nel corso della mia carriera, non ho mai visto CEO e consigli di amministrazione essere tanto interessati al tema della sicurezza come in questo momento. Il filo conduttore di queste conversazioni è la consapevolezza di essere di fronte a una nuova realtà – fatta di minacce persistenti, avanzate ed intelligenti.
Art Coviello, CEO di RSA, Security Division di EMC
Questa nuova realtà è emersa in tutta la sua gravità nel corso dei famosi attacchi accaduti nel 2011, quelli ad RSA, a Sony, Epsilon e Google solo per citarne alcuni. Le aziende di tutto il mondo hanno ora a che fare con un numero incredibile di informazioni digitali. Anche la velocità con la quale si condividono queste informazioni è supersonica – trainata da applicazioni basate sul web, dispositivi mobili , social network e cloud computing. Di conseguenza, siamo tutti interconnessi più che mai.
Questa nuova apertura verso le infrastrutture di computing sta creando grandi opportunità per la collaborazione, la comunicazione e l’innovazione. Ma al tempo stesso, fa sorgere nuove vulnerabilità facilmente penetrabili da cyber criminali, hacktivisti e nation-state. Questi sfruttano lacune nella sicurezza create da tecnologie complesse e disparate, in modo rapido, agile ed astuto… aggirando le difese perimetrali di sicurezza quali software anti-virus e sistemi di intrusion detection .
Se c’è un lato positivo è dato dal fatto che il clamore creatosi attorno agli attacchi del 2011 ha raggiunto il suo apice; non si tratta più di consapevolezza ma di azione. Credo che il 2012 sarà l’anno dell’azione, che ci porterà a focalizzarci su aree fondamentali da migliorare e innovare.
1. La condivisione di intelligence in tempo reale diverrà una priorità - In un periodo di minacce avanzate, una maggiore consapevolezza della situazione risulta fondamentale per individuare, scoraggiare e difendersi in modo efficace dai cyber-attacchi. L’industria necessita di framework migliori per condividere le informazioni sulle minacce e rafforzare la sicurezza di tutte le parti interconnesse. Nelle mie conversazioni dei mesi scorsi, la richiesta generale è che il pubblico e il privato collaborino ad un framework comune per condividere in modo dinamico e rapido le informazioni. Oggi gli aggressori sono più abili rispetto ai loro bersagli nella condivisione dell’intelligence in tempo reale . Ovviare a ciò dovrebbe essere una priorità assoluta nel 2012.
2. I professionisti della sicurezza colmeranno la distanza con la sala di consiglio - Mai come nel corso del 2011 l’information security ha catturato l’attenzione dei consigli di amministrazione. La gestione del rischio legato alle informazioni deve essere integrato nella strategia di gestione del rischio generale di un’azienda. È giunto il momento di fare della sicurezza un argomento all’ordine del giorno per le riunioni dei c.d.a.
3. L’istruzione e la formazione della nostra forza lavoro diventerà di primaria importanza - A causa dell’escalation di minacce web dobbiamo investire nella formazione di una forza lavoro addetta alla sicurezza con le competenze necessarie per difendere aziende, governi e infrastrutture di cruciale importanza, ed aiutare a garantire una continua innovazione. Gli sforzi sono in corso e riceveranno il nostro pieno supporto per i programmi di cyber sicurezza che qualifichino un numero maggiore di persone con expertise in scienze informatiche, risk assessment, analisi, indagini digitali e comportamentali.
4. I governi faranno della sicurezza sul web una priorità - I governi di tutto il mondo stanno rendendo la cyber security una priorità sia come problematica di sicurezza nazionale che economica. La crescita del cyber-crime, il dilagare di furti di indirizzi IP e di altre informazioni riservate delle aziende, e la penetrazione di sistemi di difesa e di infrastrutture critiche da parte dei cyber criminali hanno reso urgente il dibattito sulla sicurezza web da parte dei governi nazionali. Negli Stati Uniti, nei primi mesi dell’anno, il Senato dovrebbe promulgare una normativa che disciplini lo scambio di informazioni sulle minacce web tra governo e industria, mentre si prevede che il Governo Federale spenderà, a protezione dei propri sistemi di difesa, oltre 13,3 miliardi di dollari in iniziative legate alla sicurezza entro il 2015.
5. Le aziende cominceranno a cambiare il proprio modo di considerare la sicurezza - Arginare gli avanzamenti delle minacce web attuali richiederà un nuovo approccio all’information security. La sicurezza deve evolvere da framework convenzionali rappresentati da prodotti statici e non coordinati tra loro, a sistemi di sicurezza più avanzati risk-based e in grado di far fronte alle sfide rappresentate dalle minacce dinamiche. Imparando a vivere in uno stato di compromessi, le aziende sposteranno i propri budget di sicurezza dalle tradizionali tecnologie di prevenzione a quelle di rilevamento studiate per limitare l’esposizione e mitigare i rischi derivanti dalle minacce. La diffusione di desktop virtuali crescerà quando le aziende cominceranno a proteggere gli endpoint. E il tasso di adozione di tecnologie quali i token decollerà nel momento in cui le aziende troveranno nuovi modi per proteggere informazioni sensibili e regolate.
Credo che il 2012 sarà anche l’anno in cui la gestione della sicurezza incontrerà i big data – generati dagli sviluppi nello storage dei dati, potenza di calcolo e analisi. Grazie a questa competenza sui big data i team di sicurezza potranno ottenere un accesso in tempo reale a tutte le informazioni utili per l’individuazione e la risoluzione dei problemi di sicurezza.
Se il 2011 è stato l’anno degli attacchi, allora credo che per l’industria il 2012 sarà l’anno della solidità e dell’adattamento. La nostra esperienza di quest’anno ci ha resi senza dubbio più forti e più furbi. La nostra società ha compiuto progressi inimmaginabili nel corso degli ultimi 20 anni grazie agli avanzamenti nell’information technology. È nostra responsabilità sostenere questi progressi mediante un mondo digitale a prova di criminali".