Semestre da record per il crybercrimine. Il quadro emerso dall’ultimo studio di Ibm, X-Force 2013 Mid-Year Trend and Risk Report, è tutt’altro che rassicurante: gli hacker si sono distinti più che mai per le tecniche di attacco innovative, come quelle che sfruttano le applicazioni mobili e i social network, oppure per i più tradizionali assalti distibuted denial of service, usati però come distrazione per violare altri sistemi. Niente può essere dato per scontato da coloro che si occupano di proteggere dati e reti aziendali, come i chief information security officer, e rimanere più che aggiornati è un imperativo.
Il report di Ibm ha osservato per i sei mesi in esame numerose fonti di informazione, tra cui il suo database di oltre 73mila vulnerabilità per la sicurezza dei computer, il suo Web crawler globale e gli spam collector internazionali, accanto al monitoraggio in tempo reale di 15 miliardi di eventi ogni giorno per quasi 4mila clienti in più di 130 Paesi. E il dato forse più sorprendente, in negativo, riguarda gli attacchi perpetrati sfruttando vulnerabilità software che avrebbero potuto essere risolte con una semplice patch o con un aggiornamento. Quanto alle conseguenze degli assalti che fanno leva sulle vulnerabilità, nel 28% dei casi si sono verificati accessi non autorizzati ai sistemi, nel 18% vulnerabilità cross-site scripting, e a seguire in percentuali minori episodi di interruzione del servizio, furto o manipolazione di dati.
Inoltre, altrettanto banalmente, alcuni casi di data loss nascono dalla scelta di password deboli oppure “riciclate” per account diversi. Accanto alla trascuratezza dei metodi di difesa c’è poi la progressione attiva e continua degli hacker, una categoria per la quale l’aggiornamento è vitale.
I social network, per esempio, sono un terreno fertilissimo per i criminali e per le loro tecniche basate sul “fattore fiducia”. Ne sono esempio lo spam camuffato da comunicazioni professionali e i post che chiedono utenti di cliccare su video, notizie e immagini apparentemente postate dai propri contatti, come gli amici di Facebook. Vero è che le piattaforme social hanno messo in campo alcune contromisure, come la scansione preventiva dei link inclusi nei post e nei messaggi privati, ma questo non è sufficiente.
I criminali del Web, infatti, hanno dimostrato di aver compreso bene come falsificare la “verità” nei luoghi 2.0, quali Facebook e Twitter. Per esempio, creando profili falsi ma realistici, gonfiando il conteggio dei “like”, scrivendo false recensioni per dare credibilità a un servizio, quando non arrivando addirittura a creare delle finte identità per commettere attività criminali. La previsione di Ibm è che nei prossimi anni i social network adotteranno nuovi metodi e tecnologie per arginare il cybercrimine 2.0, ma allo stesso tempo si evolveranno anche gli attacchi capaci di fare leva sull’illusione di potersi fidare di contenuti proposti dai propri contatti o approvati dalla comunità degli utenti.
Altro fenomeno in ascesa è quello dei cosiddetti attacchi water hole, cioè di quelli che avvelenano la fonte per arrivare a compromettere il target finale. Una tecnica comune è quella di espugnare un sito Web abitualmente frequentato dal bersaglio che si vuole colpire, per esempio un’azienda i cui dipendenti spesso consultano tale sito: in questo modo si aggirano le difese, solitamente ben strutturate, delle organizzazioni di livello enterprise. Compromettendo il sito centrale e sfruttandolo per diffondere il malware, gli hacker sono in grado di raggiungere vittime più avvedute, che non si fanno ingannare da tentativi di phishing o da altri raggiri, ma che allo stesso tempo non sospettano l'insediarsi di rischi su siti fidati.
Anche sui social network i criminali stanno raffinando le proprie tecniche
Il terzo trend del semestre evidenziato da Ibm riguarda gli apparentemente più tradizionali
attacchi distibuted-denial-of-service, oggi utilizzati però in modo creativo. Spesso gli hacker li sfruttano come specchietto per le allodole, cioè per creare un diversivo che tenga occupato il personale It, potendo così agire indisturbati e violare altri sistemi. L’effetto distrazione può essere ottenuto al meglio se l’episodio di Ddos è particolarmente eclatante, e infatti non a caso i criminali stanno adottando metodi quali l’incremento della larghezza di banda per interrompere il servizio online dell’azienda colpita, oppure tecniche che eludono gli strumenti di mitigazione degli attacchi.