La top ten del 2011: un anno eplosivo per la sicurezza

A cura di Costin Raiu, Director of Kaspersky Lab’s Global Research & Analysis Team

Se dovessimo descrivere il 2011 dal punto di vista della sicurezza IT con una sola parola, potremmo usare il termine ‘esplosivo’. La lunga lista di incidenti, storie, avvenimenti e nuovi trend rendono difficile realizzare una vera e propria top 10. Proverò quindi a ricordare i principali accadimenti che hanno scosso la scena della sicurezza IT durante lo scorso anno e questo ci aiuterà anche a capire cosa accadrà nel 2012.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

1. la nascita di “Hacktivism”

Nel corso del 2011 alcuni gruppi quali Anonymous, LulzSec e TeaMp0isoN sono stati coinvolti in azioni di sabotaggio contro agenzie governative, banche, governi e aziende di software. Alcune volte hanno lavorato assieme, altre volte, le une contro le altre, raggiungendo una notevole ‘fama’ attraverso azioni contro le Nazioni Unite, la CIA e alcuni contractor dell’FBI.

La nascita del cosiddetto ‘hacktivism’ è uno dei principali trend del 2011 e senza alcun dubbio lo sarà anche nel 2012.

2. HBGary Federal Hack

Nel gennaio 2011, gli hacker di Anonymous sono entrati nel server di HBGary Federal – hbgaryfederal.com – attraverso un attacco con infezione SQL, entrando in possesso delle password del CEO, Aaron Barr, e del COO, Ted Vera. Sfortunatamente, entrambi avevano scelto password molto semplici e molto facili da identificare. Questa storia è importante perché dimostra come l’utilizzo di password non sicure insieme a un software di protezione non aggiornato, possa mettere a repentaglio la sicurezza di un’azienda.

3. Gli Advanced Persistent Threat

Nonostante numerosi esperti di sicurezza siano ancora riluttanti, questi attacchi hanno avuto molto eco sui media dopo gli attacchi a RSA e l’operazione Night Dragon, Lurid e Shady Rat. La cosa interessante è che questi attacchi non erano particolarmente sofisticati e ci sono stati casi in cui sono stati utilizzati exploits zero-day, come nel caso di RSA. In questo caso specifico, i cyber criminali hanno sfruttato CVE-2011-0609 – una vulnerabilità di Adobe Flash Player – per installare codici nocivi su alcuni sistemi. Un altro zero-day interessante è stato CVE-2011-2462, una vulnerabilità di Adobe Reader, che è stata utilizzata per attacchi al contractor della difesa americana ManTech. Da sottolineare come molti casi hanno coinvolto vulnerabilità zero day di Adobe e molti attacchi avevano come obiettivi target americani.

Leggi anche:  L'autenticazione senza password è più efficace. Ecco perchè

4. Comodo e DigiNotar

Il 15 marzo 2011 un’affiliata di Comodo, società di software di sicurezza e certificati SSL, è stata attaccata. I criminali hanno utilizzato l’infrastruttura per creare nove falsi certificati digitali per siti web, come mail.google.com, login.yahoo.com, addons.mozilla.com e login.skype.com. Analizzando la dinamica degli incidenti, Comodo è stata in grado di identificare l’IP 212.95.136.18 a Teheran, Iran. Il 17 giugno 2011 gli hacker hanno attaccato i server DigiNotar creando 300 certificati falsi. Dopo alcuni giorni, i certificati falsi sono stati utilizzati per sferrare attacchi contro 100.000 account gmail in Iran. Gli attacchi a Comodo e DigiNotar hanno evidenziato delle falle nel sistema di sicurezza di molte società di certificazione.

5. Duqu

Nel giugno 2010, il ricercatore Sergey Ulasen dell’azienda bielorussa VirusBlokada ha scoperto un malware che usava certificati falsi per firmare i driver e zero day exploit che utilizzavano file .lnk per la replicazione. Questo malware è diventato famoso in tutto il mondo con il nome di Stuxnet, un worm che aveva come obiettivo il programma militare iraniano. Stuxnet ha attaccato i PLC Siemens nell’impianto iraniano di Natanz e li ha riprogrammati indicando un solo specifico obiettivo: il sabotaggio del programma nucleare di Natanz. Ma come hanno fatto i sabotatori ad entrare in possesso di codici così importanti e segreti che controllano un impianto del valore di diversi miliardi di dollari? Una risposta possibile è nel Trojan Duqu. Creato dalle stesse persone che hanno realizzato Stuxnet, Duqu è stato scoperto nell’agosto 2011 da un ricercatore ungherese di CrySyS. All’inizio non era chiaro come Duqu infettasse gli obiettivi. Con il passare del tempo però, documenti nocivi Microsoft Word che presentavano vulnerabilità CVE-2011-3402, sono state scoperte come bersaglio di Duqu. L’obiettivo era però diverso da quello di Stuxnet. Questo Trojan è un toolkit di attacco molto sofisticato, che può essere usato per penetrare in un sistema. Nuovi moduli possono essere caricati e eseguiti senza il file system footprint. La modularità dell’architettura e il numero limitato di vittime ha reso Duqu difficilmente identificabile per anni.

Leggi anche:  Certificazione EAL4+ per le soluzioni Stormshield Network Security

Duqu e Stuxnet rappresentano lo stato dell’arte della Guerra al cyber crime.

6. L’attacco a Sony PlayStation

Il 19 aprile 2011 PlayStation Network (PSN) è stata colpita da un attacco hacker. All’inizio l’azienda si è dimostrata riluttante nello spiegare cosa fosse successo realmente e sospese il servizio il 20 aprile. Il 26 aprile l’azienda si rese conto che i dati personali degli utenti, tra cui i riferimenti delle carte di credito, erano stati rubati. Alcuni giorni dopo, 2,2 milioni di numeri di carte di credito sono stati offerti su forum di hacker. Il 1 maggio il servizio era ancora inattivo. In ottobre, uscì la notizia secondo cui 93.000 account violati dovevano essere chiusi da Sony per evitare ulteriori incidenti. La storia di Sony PSN ci fa capire che nell’era del cloud alcuni informazioni sensibili possono essere facilmente sottratte se non vengono implementate soluzioni di sicurezza adeguate. Nel 2011, 77 milioni di username e 2,2 milioni di carte di credito sono stati il bottino dell’era del cloud.

7. Combattere il Cyber crime e le Botnet

Mentre i criminali che hanno preso di mira PSN non sono mai stati identificati, il 2011 è stato un brutto anno per alcuni criminali che sono stati arrestati dalle forze dell’ordine. L’arresto delle bande ZeuS, DNSChanger e delle botnet Rustock, Coreflood e Kelihos/Hilux sono solo alcuni esempi.Nel caso del taketown di Kelihos, che è stato condotto da Kaspersky Lab e dalla Digital Crimes Unit di Microsoft, Kaspersky Lab ha portato avanti un’operazione contro le botnet, contando le decine di migliaia di utenti infettati ogni singolo giorno. Qui però inizia il grande dibattito: Kaspersky Lab o le autorità di polizia possono informare gli utenti infettati oppure effettuare una ‘pulizia’ dei computer automaticamente. Secondo un’inchiesta realizzata sul sito Web Securelist, l’83% degli utenti auspicano la pulizia dei sistemi degli utenti infettatti nonostante questo sia contro la legge in alcuni paesi. Per ovvie ragioni, Kaspersky non ha agito in questa direzione, ma questo denota le limitazioni di alcune leggi per quello che riguarda la sicurezza IT.

8. La crescita dei malware Android

Nell’agosto del 2010, abbiamo identificato il primo Trojan per la piattaforma Android – Trojan-SMS.AndroidOS.FakePlayer.a – che si mascherava da applicazione media player. In meno di un anno, i malware Adroid hanno avuto un incremento esponenziale, diventando i più popolari nella categoria mobile. Nel terzo trimestre del 2011, oltre il 40% di tutti i malware mobile erano per piattaforma Android. Nel novembre 2011, Kaspersky Lab ha scoperto oltre 1.000 malware Android, una cifra superiore a tutti i malware mobile scoperti negli ultimi sei anni. La spiegazione risiede sicuramente nella grande popolarità della piattaforma, nella struttura aperta, che rende la creazione dei malware particolarmente semplice e nella poca efficacia del sistema di screening del Google Market.

Leggi anche:  Zscaler estende la potenza della piattaforma Zero Trust Exchange con una serie di soluzioni di cybersecurity innovative

9. Il caso CarrierIQ

CarrierIQ è una piccola azienda privata fondata nel 2005 con sede a Mountain View, California. Secondo il sito Web, il loro software è implementato su oltre 140 milioni di dispositivi mobile in tutto il mondo. Nonostante l’obiettivo dichiarato sia di raccogliere informazioni diagnostiche dai terminali mobile, il ricercatore Trevor Eckhart ha dimostrato come l’intento dell’azienda vada oltre, fino al keylogging e al monitoraggio degli URL aperti dai singoli dispositivi. Per questo motivo, molti utenti hanno deciso di rimuovere il software dal proprio dispositivo mobile. Il caso CarrierIQ dimostra che gli utenti sono spesso all’oscuro dei programmi installati sui propri dispositivi e del livello di controllo a cui sono sottoposti.

10. Malware MacOS

Nel corso del maggio 2011 sono stati lanciati alcuni prodotti chiamati MacDefender, MacSecurity, MacProtector o MacGuard, che sono diventati molto popolari. Nel corso del 2011 anche i computer Mac sono stati colpiti da malware. La famiglia di Trojan DNSChanger merita una particolare menzione. Scoperti nel 2007, questi piccoli Trojan compromettono il computer cambiando le impostazione DNS e poi disinstallandosi. Nel novembre 2011 l’FBI ha arrestato sei criminali di nazionalità estone responsabili di questo malware e, secondo i dati in possesso dell’FBI, negli ultimi quattro anni sono stati infettati sistemi in oltre 100 paesi generando un profitto illecito di circa 14 milioni di dollari. Questi incidenti dimostrano che esistono attualmente veri e propri malware anche per i sistemi Mac e che è importante che gli utenti siano sempre protetti da software adeguati.