Reti aziendali nella morsa delle botnet


Il fenomeno botnet ha travalicato l’ambito ristretto della sicurezza informatica. Esso incarna meglio di qualsiasi altro malware l’evoluzione più rilevante dei pericoli generati dalla Rete 

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

 

Secondo i soliti bene informati, l’attacco condotto nei mesi scorsi ai danni di RSA potrebbe aver avuto origine da un’azione di phishing. Come molti ricorderanno, la falla nei sistemi di sicurezza dell’azienda statunitense viene resa nota lo scorso marzo direttamente dal presidente di RSA Coviello; l’esiguità delle informazioni rilasciate è tale da non permettere di farsi un’idea precisa della gravità del problema; ma la preoccupazione che l’attacco ai server dell’azienda possa aver compromesso i token utilizzati per l’autenticazione a doppio fattore si diffonde molto rapidamente. E le preoccupazioni permangono nonostante le assicurazioni di Coviello secondo cui il pericolo sarebbe velocemente rientrato, sia per il tempestivo intervento dei tecnici di sicurezza sia perché le informazioni sottratte difficilmente sarebbero state utili a compromettere il meccanismo di autenticazione. Dopo circa un mese lo stesso Coviello è costretto a ritornare sulla vicenda fornendo qualche dettaglio in più sulla dinamica dell’attacco per placare la ridda di illazioni che nel frattempo si è scatenata. Coviello racconta che le cose potrebbero essere andate più o meno in questo modo: un file infetto di Excel contenente un trojan sarebbe stato recapitato per posta elettronica ad alcuni dipendenti. Il file, sfruttando una falla in Flash, sarebbe riuscito a installarsi sui Pc ospiti creando una piccola, ma efficace botnet all’interno della rete aziendale. L’azione di phishing targetizzato verso alcuni dipendenti gerarchicamente di basso livello sarebbe stato il trampolino dal quale sarebbe partita la scalata verso gli account di importanza maggiore, questo avrebbe dato il via libera alla sottrazione di documentazione via Ftp. Il caso Torpig – e come vedremo la botnet TDL-4 – in effetti ci insegnano che l’esecuzione di malware può avvenire anche senza che l’utente abbia diritti amministrativi. Torpig è una botnet progettata per sottrarre info sensibili come i dati di accesso al conto bancario online o quelli della carta di credito. In apparenza è solo uno degli innumerevoli troiani che infestano la Rete. In realtà per l’infrastruttura cui si appoggia, le tecniche che utilizza e soprattutto i danni economici che è in grado di provocare, si colloca a un gradino più in alto rispetto al resto del malware in circolazione. Il contagio provocato da Torpig (conosciuto anche con i nomi di Anserin o Sinowal) prende avvio con l’infezione del master boot record dell’host sotto attacco. L’infezione origina dalla distribuzione di malware tramite il rootkit Mebroot. Mebroot fornisce una piattaforma sulla quale installare, disinstallare e attivare moduli come le Dll. Mebroot contatta il proprio C&C Center, scarica i moduli infetti e poi li installa in forma criptata nella directory system32 del disco C; in questo modo anche in caso di riavvio della macchina, Mebroot riutilizza il modulo infetto senza aver più bisogno di effettuare il download. Poi rinomina i moduli nella stessa directory, utilizzando nomi di file già presenti, avendo però l’accorgimento di dotarli di un’estensione diversa per non destare sospetti. Dopo il primo contatto con il proprio server, Mebroot continuerà a contattarlo a intervalli periodici sia per comunicargli la sua configurazione attuale – tipologia e versione dei moduli installati – che per ricevere eventuali aggiornamenti. Tutte le comunicazioni avvengono mediante http request e sfruttano un avanzato algoritmo di crittografia proprietario. Nel caso della botnet Torpig il server di C&C di Mebroot distribuisce i moduli infetti iniettandoli anche in applicazioni quali l’Scm (Service Control Manager – services.exe), il file manager, alcuni Web browser come Firefox, Opera, IE, client Ftp (CuteFtp e LeechFtp) e di posta (Eudora, Thunderbirds, Outlook), instant messenger (ICQ e Skype) e programmi di sistema (come l’interprete dei comandi di Windows cmd.exe). Una volta effettuata l’injection di codice Torpig è in grado di ispezionare tutti i dati utilizzati dai programmi infetti, identificando e salvando quelli più interessanti, quali credenziali di accesso online e password salvate. Ogni 20 minuti Torpig si mette in contatto con il server di C&C e rilascia i dati sottratti. La comunicazione con il server è protetta da un semplice meccanismo di encoding basato su XOR-11 che cifra il testo in chiaro con una chiave a 8 byte. Oltre a questa attività di tipo passivo Torpig effettua altresì azioni di phishing che si svolgono in due fasi. Durante la prima, quando la macchina infetta naviga su uno dei domini specificati nel file di configurazione, Torpig esegue una richiesta di injection a un apposito server. Il server risponde identificando una pagina esca (trigger page) sul dominio dal quale far partire l’attacco, in genere la pagina di accesso sul sito; contemporaneamente identifica un Url sul server di iniezione che contiene il codice che dà inizio all’azione di phishing e successivamente il server setta i parametri per finalizzare l’attacco. In seguito, quando la macchina infetta naviga sulla trigger page (la pagina esca), Torpig attiva l’iniezione dalla Url e poi salva il contenuto nel browser a bordo del bot. Tipicamente si tratta di un form Html che richiede info sensibili come numeri di carta di credito e, nei Paesi dove questi dati hanno un valore, codici della previdenza sociale. Questi attacchi di phishing sono di difficile individuazione anche per gli utenti esperti. Il codice iniettato è in grado di riprodurre fedelmente la pagina Web fasulla e l’indirizzo corretto dell’Url, così come di riprodurre i corretti settaggi nelle impostazioni del browser e della configurazione dell’Ssl. Meglio dunque non sottovalutare la forza del phishing. Né ritenersi al sicuro soltanto perché si è limitato il numero di account con privilegi amministrativi, barriera questa aggirabile se il malware consente di inserire un keylogger che al primo login di un utente amministratore in modalità “run as”, è in grado di impadronirsi delle credenziali amministratore.

 

La nuova botnet individuata da Kaspersky

«Una nuova botnet ha infettato più di quattro milioni di Pc ed è praticamente indistruttibile», afferma Sergey Golovanov, researcher dei Kaspersky Labs. L’estate è alle porte quando viene pubblicato uno studio in cui si descrive in modo particolareggiato una botnet di almeno 4,5 milioni di Pc virati tenuti sotto scacco da “TDL-4”, la versione più aggiornata del malware Tdss in circolazione almeno dal 2008. TDL-4 è un malware sofisticato. Rispetto alla precedente versione incorpora un componente rootkit a 64-bit per cifrare le comunicazioni con i server di comando&controllo remoti e si serve della rete P2P Kademlia per inviare e ricevere i comandi qualora si rendessero inutilizzabili i suddetti server; utilizza istruzioni di basso livello che rendono difficile per gli analisti di sicurezza riconoscerlo. È in grado di neutralizzare il codice di botnet concorrenti ed è virtualmente trasparente per l’antivirus. Soprattutto quella che a detta di molti è la botnet più pericolosa oggi in attività è anche una formidabile macchina da soldi capace – scrive l’esperto di Kaspersky – di remunerare gli affiliati al programma TDL con almeno 200 dollari per ogni 1.000 installazioni di malware andate a segno.

 

Il fenomeno botnet

Torpig è una delle poche botnet il cui funzionamento, grazie al lavoro di ricercatori e tecnici, è oggi compreso e analizzato. TDL-4 invece impressiona per le potenzialità e per il grado di sofisticazione raggiunto. Esse rappresentano la punta dell’iceberg di un fenomeno molto più ampio, che incarna meglio di qualsiasi altro malware l’evoluzione più rilevante sia dal punto di vista qualitativo che quantitativo dei pericoli della Rete. «I botnet sono la “nuova frontiera” degli attacchi in Rete soprattutto perché sfruttano vettori di attacco multipli, non più singoli punti, e per diffondersi utilizzano ambienti vasti e difficilmente controllabili come i social network», ci conferma Alberto Prandini, regional manager Italia, Grecia e Cipro di Radware (www.radware.com). Le botnet rappresentano la minaccia combinata che scaturisce dalla concentrazione in unico punto di gran parte del malware in circolazione: motori di spamming, downloader, rootkit, spyware. Una macchina compromessa fornisce risorse computazionali coordinate per inviare spam, risucchiare quantità ingenti di dati e lanciare attacchi DDoS distruttivi; lo scorso anno l’FBI ha reso noto di aver identificato almeno un milione di macchine infette solo negli Stati Uniti; secondo stime prudenziali sarebbero almeno 35 milioni le macchine infette a livello globale mentre secondo altri più del 10% delle macchine online – vale a dire dai 65 ai 90 milioni di dispositivi – sarebbero compromessi. Di queste almeno il 5% apparterrebbe a reti aziendali, con ritmi di infezione vicini ai circa 250mila indirizzi IP al giorno, dal netbook all’iPod. Secondo l’ultimo Internet Security Threat Report redatto da Symantec, il nostro Paese occuperebbe la seconda posizione in ambito Emea e la quarta su scala globale per numero di bot rilevati. Di fronte alla portata di questa minaccia non si esagera – come peraltro spesso accade nel campo della sicurezza – quando si dice che questo fenomeno richiede una risposta immediata ed efficace da parte di forze dell’ordine, vendor e aziende.

Leggi anche:  ChatGPT fanta-phishing: i chatbot AI aiuteranno a combattere le cyber-truffe?

 

Ambiguità delle botnet

Il problema principale con le botnet è che sono di difficile individuazione. In molti casi la localizzazione avviene solo mentre si sviluppa un’attività illecita, accesso, modifica, sottrazione di informazioni riservate, attacchi ad altri computer, interruzioni di servizi, ecc. Un rootkit installato su un sistema è quasi invisibile per l’utente semplicemente perché l’antivirus non è in grado di rilevarlo. Inoltre i rootkits, data la loro capacità di aggiornarsi in automatico da remoto, diventano sempre più sofisticati. Chi scrive malware infatti sfrutta una tecnica in grado di aggiornare la minaccia ogni volta che si procede al download di codice dannoso. Tutto il codice necessario per mettere in piedi una botnet è reperibile liberamente online; trattandosi di codice modulare è altresì agevole assemblare e utilizzare le parti più adatte ai propri scopi criminali. Come dimostra la varietà di botnet in circolazione, riuscire a riconoscerle in modo univoco è assai arduo. Un modo per individuarle è quello di monitorare le modalità, numerose peraltro, con cui si propagano sulla Rete basandosi sull’analisi dei protocolli di comunicazione oppure sulla loro topologia. Sappiamo che la comunicazione che si stabilisce tra bot e server di comando e controllo è estremamente flessibile. Un bot può utilizzare più combinazioni di canali e topologie di comunicazione; ciò rende problematico fare affidamento su specifiche caratteristiche della comunicazione per scoprirle. Esistono tre modalità di comunicazione tra bot, corrispondenti ad altrettante topologie di rete, e ognuna presenta vantaggi e svantaggi. Il modello centralizzato si caratterizza per la presenza di un nodo centrale dal quale si dipartono tutte le comunicazioni verso i client; i messaggi inviati tendono ad avere una minore latenza perché transitano da pochi e conosciuti hop (punti sulla rete corrispondenti ad altrettanti router). Dal punto di vista dei cattivi, questo modello presenta due punti deboli: è più facile da scoprire perché tutti i client puntano allo stesso nodo ed è più vulnerabile; la scoperta di un solo host può compromettere l’intero sistema. Una seconda tipologia è il P2P. Un sistema di comunicazione basato sul P2P ha molti vantaggi rispetto al modello centralizzato. È più difficile da individuare ed è più sicuro perché la compromissione del singolo bot non comporta la perdita dell’intera botnet. D’altra parte implementare una botnet con queste caratteristiche richiede competenze elevate e ha due limitazioni importanti: tipicamente non è garantita la consegna dei messaggi e i rischi di latenza sono alti. Un sistema di comunicazione può anche essere implementato facendo in modo che il singolo bot possa conoscere solo un altro bot. In questa topologia di rete un bot o un controller che vuole inviare un messaggio dovrebbe prima crittografarlo e successivamente effettuare una scansione in Internet per trovare il bot adatto per recapitarlo. L’implementazione del sistema è piuttosto semplice e la detection del singolo bot non compromette l’intera rete; di converso la latenza dei messaggi è alta e non ci sono garanzie di consegna. Probabilmente quest’ultima topologia – vale a dire una che si pone al centro tra le due estremità, modello centralizzato e P2P – è dal punto di vista dei cattivi la più efficace. Ora il primo obiettivo è quello di riuscire a inserirsi nel canale di comunicazione in modo da erigere una prima difesa. «Le botnet hanno scopi e funzioni diverse, ma disponendo della tecnologia giusta è possibile identificare il dialogo tra bot remoti e server», afferma Cristiano Cafferata, country manager Italia e Grecia di SonicWall (www.sonicwall.com/it). Riuscire a stabilire la dimensione di una botte, così come comprendere l’entità della minaccia ossia la potenza di fuoco che la botnet può scatenare, non è una questione di poca importanza. In questo senso l’architettura di Torpig fornisce un’ottima prospettiva per misurare la grandezza di una botnet. Osservando le macchine infette in comunicazione con il server che le comanda (botmaster), è stato possibile ricostruire il comportamento delle macchine nella botnet. Nel caso della botnet peer-to-peer Storm Worm, gli esperti stimarono nel momento di massimo picco una potenza di fuoco superiore a quella di qualsiasi supercomputer al momento in attività, capace di generare circa il 20% di tutto lo spam in circolazione. Detto questo, l’estensione esatta di una botnet è difficile da stimare, così come prevederne i danni. «Finora abbiamo visto soprattutto attacchi DDoS e Brute-Forcing nei confronti di siti o servizi specifici, propagazione di malware o spam e condivisione di informazioni rubate agli utenti; più recentemente, sono comparse botnet in grado di generare Bitcoin eseguendo complesse operazioni matematiche – ci dice Fabrizio Cassoni, pre-sales engineer – Technological dept. di Symbolic (www.symbolic.it) -. In generale le botnet possono essere utilizzate in tutte le operazioni che richiedano bandwidth o potenza computazionale distribuita. L’unico limite è la fantasia di chi le controlla».

 

Come ci si difende dalle botnet

La buona notizia è che molte delle tecniche tradizionali di difesa sono ancora efficaci. «Le aziende, per difendersi dagli attacchi generati dalle botnet, possono adottare strumenti e metodi consolidati “on premise”: opportune configurazioni di rete, Ips, Ids, oppure rivolgersi a servizi di protezione offerti nel Cloud», ci dice Joseph Andor, CA Technologies associate services consultant (www.ca.com/it/). Come ci ricorda però Francesco Armando, pre-sales engineer di Stonesoft Italia (www.stonesoft.com), non esiste un modello di difesa specifico e puntuale valido per qualsiasi botnet: «Noi riteniamo che la miglior strategia consista nell’avere a disposizione strumenti che consentano un presidio puntuale della propria architettura di rete. In particolare – prosegue Armando – le funzionalità di identificazione degli indirizzi IP e dei nomi a dominio utilizzati per intermediare la distribuzione di malware o le funzionalità di controllo remoto delle botnet sono integrate nelle capacità di Url filtering che StoneGate offre sia nei propri engine firewall sia nei sistemi di Intrusion Prevention/Detection». Perciò una prima strategia di difesa si indirizza verso il controllo del traffico nella rete aziendale: il monitoraggio di tutto il flusso, vale a dire la fotografia del modo in cui la rete è in un certo momento utilizzata. Lo scopo è quello di riuscire a distinguere il traffico legittimo da quello generato dalle botnet. Dunque «è una pregiudiziale importante mantenere dei detection firewall che siano in grado di bloccare gli eventuali accessi illegittimi causati da botnet di tipo “commander e controller”», sottolinea Gastone Nencini, senior technical manager di Trend Micro per il sud Europa (http://it.trendmicro.com/it). Ma anche quello di scongiurare la fuoriuscita di info preziose: «Un controllo di tipo Dlp (Data Loss Prevention) che verifichi se e come le informazioni si spostano verso l’esterno – ci dice Marco Pacchiardo, Italy security practice head, professional services di BT Italia (https://italia.bt.com/) -, oltre a prevenire che dati importanti passino nelle mani di un botmaster, permette di verificare quale sia la sorgente interna da cui i dati partono, facilitando l’individuazione e la risoluzione del problema». Si sente spesso dire che prima di tutto la sicurezza si costruisce sui gateway e sugli apparati di rete. Se la rete è configurata come si deve i client contano relativamente, ma comunque in partenza è bene considerarli insicuri. Detto questo, secondo alcuni molti dei bot oggi attivi comunicano ancora tramite la porta 6667 abitualmente utilizzata da IRC e a seguire con altre a elevata numerazione (per esempio la 31337 e la 54321). È noto però che i bot di ultima generazione sono in grado di comunicare servendosi di quelle porte che necessariamente l’amministratore di rete deve lasciare aperte come la 7 e la 80. Quindi rimane sempre valida la regola di settare tutte le porte dopo la 1024 in modo da bloccare tutto il traffico entrante e in uscita, salvo i casi in cui l’azienda debba utilizzare queste porte per esigenze specifiche. In genere il traffico sospetto generato da queste porte si rileva quando non ce ne dovrebbe essere; per esempio, almeno all’inizio, i botmaster aprivano le comunicazioni con i bot in una finestra temporale compresa tra l’una e le cinque del mattino. Oggi invece per mischiare le carte si cerca di stabilire delle comunicazioni che si confondano con il normale flusso di traffico della rete e questo ovviamente complica un po’ le cose. Naturalmente il controllo periodico dei log dei server potrebbe rivelarci attività di navigazione sospetta. Come abbiamo visto, il polimorfismo del malware consente di aggiornare la minaccia ogni volta che il codice dannoso viene scaricato; perciò «a fronte della mutevolezza dei malware, bloccare singole porte o script non è una soluzione scalabile – nota Alberto Brera, country manager di Netasq per l’Italia (www.netasq.com) -. Anche per questo nel kernel dei nostri firewall IPS risiede un sistema d’analisi multilivello che conduce analisi comportamentali ed euristiche in tempo reale, verificando la conformità del flusso di dati, cifrato o non, con le politiche di filtro e con gli standard RFC, per poi passare attraverso le signature contestuali (riferite allo specifico protocollo analizzato) per un’ulteriore validazione». Sull’efficacia del rilevamento delle minacce basato sul comportamento del sistema concorda anche Claudio Panerai, direttore tecnico di Achab (www.achab.it), quando sottolinea l’efficacia della tecnologia di rilevamento euristico AHeAD e del modulo Proactiv: «In base a delle regole integrate, create nei laboratori Avira, l’antivirus decide in autonomia se uno o più eventi del sistema sono attribuibili a un attacco di malware». Come abbiamo visto, alcuni degli attacchi provenienti dal Web innescati da un bot avvengono tramite l’esecuzione di JavaScript. In particolare chi attacca modifica pagine Web legittime inserendovi dei tag Html che costringono il browser dell’utente a richiedere e scaricare del codice JavaScripts che sfrutta alcune vulnerabilità del browser e di alcune sue componenti quali i controlli ActiveX e i plugin. Se nessuno degli exploit conosciuti ha successo, l’host colpito viene indotto a scaricare ed eseguire un programma da un server remoto. A questo punto la macchina è a tutti gli effetti un bot. Settando a livello di policy i browser in modo che blocchino o almeno avvisino prima di eseguire JavaScript è possibile contenere sensibilmente il principale vettore di infezione sfruttato dai botmaster. A corollario gli esperti suggeriscono anche di utilizzare browser sicuri dotandoli di estensione (plug-in) in grado di bloccare gli script dannosi prima che vengano eseguiti.

Leggi anche:  Attacchi AD nell’healthcare

 

Contromisure

Patching – Come abbiamo visto, la varietà di attacchi sfruttabili dalle botnet è una delle loro caratteristiche distintive. Secondo alcuni in passato le botnet più dannose hanno sfruttato punti vulnerabili precedentemente corretti con patch installate dai 6 ai 18 mesi prima, ferite infette sulle quali si è già intervenuti per prevenire l’infezione, ma le cui cure non hanno definitivamente chiuso e rimarginato le ferite. Ritorniamo a considerare l’attacco ai danni di RSA. In effetti non è di poco conto considerare il tipo di s/o utilizzato sui computer dei dipendenti. Fermo restando che in presenza di sistemi legacy in settori enterprise il s/o adottato molto probabilmente non è lo stesso per tutte le aziende. Per esempio possono essere firmati dei contratti con i produttori di software che prevedono il rilascio di patch esclusive, workaround personalizzati, assistenza on demand e anche personale specializzato; il risultato: s/o sostanzialmente diversi da quello di un utente consumer che pur abbia installato tutte le patch disponibili. Ma detto questo il rischio che ci siano sistemi operativi installati in azienda che possono essere obsoleti oppure non aggiornati permane molto alto. Perciò come ricorda Alessandro Peruzzo, amministratore unico di Panda Security Italia (www.pandasecurity.com), «per difendersi dalle botnet è essenziale il sistematico aggiornamento del sistema operativo, della soluzione antivirus, delle patch dei programmi, unito a un utilizzo attento di Internet». Più in dettaglio, come suggerisce Nencini di Trend Micro, si tratta «di dotarsi di un software di sicurezza aggiornato, in grado di lavorare utilizzando servizi di reputazione, di verificare il sistema di controllo del patching della macchina e di coadiuvare l’attività di aggiornamento dei programmi di software sia a livello applicativo, sia a livello di sistema operativo».

Education – Allo stesso modo in cui si fa prevenzione nella diffusione delle malattie, così nel campo della sicurezza informatica coltivare la consapevolezza dei rischi che si corrono adottando comportamenti non responsabili, né consapevoli se non addirittura scorretti, rimane sempre un ottimo punto di partenza. Oggi la maggior parte degli attacchi sfrutta comportamenti disattenti o non consapevoli durante la navigazione sul Web. Ora il loro limite sta proprio in questo: poiché si basano su gesti semplici e fanno leva su tratti comuni e diffusi, un po’ di attenzione è un ottimo antidoto per fermarli. «La misura primaria di protezione contro le botnet è sempre l’attenzione degli utenti», afferma Alberto Brera di Netasq. Si tratta di spiegare alla propria utenza procedure di comportamento semplici e di facile attuazione, magari utilizzando video accattivanti e allo stesso tempo esplicativi dei comportamenti sconsigliati, come quelle di non aprire mai allegati non richiesti, né aprire siti Web da link scritti in calce a mail non sollecitate. «L’applicazione di comportamenti adeguati e il loro continuo monitoraggio porterà sicuramente a buoni risultati – concorda Joseph Andor di CA Technologies -; una comunità di utenti consapevoli conduce a comportamenti responsabili e vigili nella navigazione Internet. Tutti elementi che riducono il rischio di infezione dei sistemi e pertanto limitano la crescita e la diffusione delle botnet». Ma l’education deve essere ancora più ampia, comprendendo per esempio la determinazione di quelle che sono le info più importanti presenti in azienda. «Il malware permette di prendere il controllo del computer – ci dice Marco Pacchiardo di BT Italia -; per ovviare a questi problemi bisogna innanzitutto stabilire quali siano le informazioni aziendali determinanti e poi controllare che tali informazioni non lascino l’azienda senza i debiti permessi. Per la prima azione i servizi di catalogazione delle informazioni e la catalogazione sono determinanti».

Vigilanza Rifacciamoci una volta ancora all’attacco a RSA. Dagli elementi emersi, tutto sembrerebbe far supporre che l’attacco sia stato pianificato con molta attenzione e competenza; perciò non è fuorviante convincersi che da sole le classiche contromisure tecnologiche poco potevano fare per impedire che il furto avvenisse; al contrario si è portati a credere che la “scalata” non possa essere avvenuta senza l’appoggio di un insider infedele. Ora, sono sempre troppe le volte che si legge di comportamenti, pratiche, abitudini che poco o nulla hanno a che vedere con una gestione corretta della sicurezza. Log di sistema né visti né analizzati dall’IT, mancato controllo dell’ampiezza di banda occupata, nessuno che sa chi si sta collegando a cosa all’interno e fuori dalla propria rete… Fermiamoci qui. Le botnet sono un prisma attraverso il quale guardare al mondo della sicurezza. Esse ci restituiscono molteplici aspetti tutti meritevoli di approfondimento: il livello di sofisticazione raggiunto dalle minacce provenienti dalla Rete; lo sforzo intellettuale e tecnico che la comunità scientifica sta producendo; le implicazioni anche internazionali che le botnet portano con sé. Sebbene la soluzione del problema non sia ancora alla nostra portata, la sfida rappresenta uno stimolo irresistibile per la ricerca e un’opportunità da cogliere per i vendor e per chi quotidianamente deve confrontarsi con questo pericolo.

Leggi anche:  Le violazioni alla sicurezza informatica da parte dei dipendenti danneggiano quanto gli attacchi hacker

 


La società offre un’analisi del mercato attuale della security in Italia e spiega le ragioni del successo della solida partnership con Symbolic

di Camillo Lucariello

 

Ogni anno, Symantec (www.symantec.com/it/it/) realizza una ricerca tra aziende di ogni dimensione in diversi Paesi del mondo, volta a verificare la percezione che hanno del problema security, visto da tutti i punti di vista. Per il secondo anno consecutivo, gli intervistati per State of Security Survey 2011 hanno dichiarato che la sicurezza informatica resta la loro preoccupazione principale. Infatti il 71% dice di aver subito un attacco nell’ultimo anno e, per il 92% di loro, ciò si è tradotto in una perdita importante, quale per esempio downtime o furto di proprietà intellettuali.

«Anche in Italia sta crescendo la consapevolezza e, di pari passo, la preoccupazione», afferma Massimiliano Bossi, small medium business channel sales manager. Un fenomeno legato a tre cause principali: «La diffusione dei dispositivi mobili, la disomogeneità dei sistemi, che li rende più vulnerabili ad attacchi informatici e, infine, il basso livello di cultura della sicurezza su tablet Pc e smartphone, che hanno tra l’altro il problema di poter essere smarriti con il loro contenuto di informazioni». Qual è la soluzione? «Encryption è la soluzione: grazie alla crittografia, infatti, i dati registrati su qualsiasi palmare o smartphone o tablet diventano illeggibili a chi non possiede la giusta chiave».

Il bene fondamentale dell’azienda sono le informazioni ed è dalle informazioni che occorre partire per proteggere i sistemi informativi. «I social media, per esempio, sono un grosso rischio, perché vengono pubblicate informazioni private che possono essere utilizzate per scoprire le password». Gli attacchi poi sono sempre più “mirati”. «In passato, gli hacker cercavano soprattutto popolarità. Oggi, invece, l’obiettivo è uno solo: il denaro. Per ottenerlo, si rubano informazioni riservate mediante tecniche sempre più sofisticate, per esempio tramite attacchi mirati, più difficili da scoprire. Serve dunque maggiore attenzione nella gestione delle informazioni». Oltre alla security in quanto tale, la gestione delle informazioni deve necessariamente comprendere anche un’adeguata politica di backup. «Oggi che i Paesi Occidentali stanno spostando la produzione verso Est, qui è rimasta la parte più progettuale. In questo caso la difesa delle informazioni riservate relative ai nuovi prodotti e della relativa proprietà intellettuale diventa fondamentale».

 

Cloud, SaaS ed encryption

In un ambito quale quello attuale, si stanno facendo strada sul mercato anche nuove modalità di fruizione delle soluzioni di security, come Cloud e SaaS. «Oggi vengono erogati servizi di sicurezza in varie modalità, a partire dal private Cloud, che avviene quando aziende che offrono dei servizi, sfruttando le tecnologie di vendor come Symantec, riescono a offrire ai loro clienti servizi più personalizzati. Questo è uno dei motivi del successo attuale del Cloud computing». In tutto questo qual è il ruolo dell’encryption? «Un piccolo esempio: anni fa, quando si spedivano moltissime cartoline illustrate, il messaggio contenuto era scritto in chiaro, perciò facilmente leggibile dal postino che effettuava la consegna. Nella comunicazione tramite posta elettronica avviene la stessa cosa: gli amministratori IT sono in grado di intercettare il traffico in qualunque punto, leggere tutte le nostre informazioni e tutti i nostri allegati in maniera molto trasparente. Gestendo in maniera criptata il flusso delle informazioni più sensibili, si riesce a garantire che il nostro messaggio arrivi al destinatario, che sarà anche l’unico in grado di leggerlo».

 

Il ruolo delle partnership

La forte partnership che lega Symantec a Symbolic (www.symbolic.it), distributore a valore aggiunto specializzato nella IT security in Italia, offre lo spunto per concludere la chiacchierata con Bossi. «Symantec per scelta strategica e culturale è un’azienda di canale e in Italia operiamo già da diversi anni con Symbolic. La sua peculiarità è sempre stata la conoscenza della tecnologia e la capacità di proporla ai clienti, anticipando a volte persino le nostre proposte». Una conoscenza che sarà sempre più indispensabile nel mercato globale dei prossimi anni.


L’incontro con uno dei responsabili della strategia di McAfee ci ha consentito di chiarire cosa sta accadendo oggi in un mercato in costante evoluzione

di Camillo Lucariello

 

Affrontare il tema della security oggi significa abbandonare alcuni dei luoghi comuni che ci hanno accompagnato per anni in questo settore. Virus e firewall, in primo luogo, sono concetti ancora validi, ma ormai obsoleti, superati come sono dagli eventi. Una serie di punti di vista per certi versi sorprendenti, visto anche la fonte da cui arrivano: McAfee (www.mcafee.com/it/), uno dei pionieri degli antivirus e una delle prime aziende a livello mondiale nel settore, oggi parte di Intel Corporation (www.intel.com). Ne abbiamo parlato con Toralv Dirro, McAfee Labs Emea security strategist.

 

Lo stato dell’arte nella security

«In questo momento la situazione della security non è molto florida – esordisce Dirro -: da una parte, abbiamo ancora queste esplosioni di malware diretto a utenti domestici e piccole imprese, il cui scopo è quello di carpire informazioni bancarie, password e login. Dalle aziende, si cerca di rubare proprietà intellettuale, informazioni sulla ricerca e sviluppo». Questo tipo di attività vedono coinvolti anche organismi statali di altre nazioni, oppure si tratta semplicemente di spionaggio industriale da parte di altre aziende. «Una situazione che oggi è complicata dal fatto che molti dipendenti aziendali si portano sul lavoro i propri dispositivi personali, dai cellulari smartphone ai tablet Pc, dove registrano magari dati aziendali riservati. Purtroppo è facile perdere o farsi sottrarre questi device». Il problema è ulteriormente complicato dal fatto che spesso chi accede alle risorse aziendali da dispositivi portatili sono i top manager. «Questo stato di cose, unito all’affermarsi del paradigma Cloud computing, ha fatto sì che il vecchio concetto di firewall si sia completamente dissolto. Oggi il firewall deve proteggere una serie di dispositivi mobili “fluttuanti” da qualche parte con dati che a loro volta fluttuano da qualche altra parte». La situazione si complica ulteriormente se si prendono in considerazione anche i nuovi siti di social networking, dove le persone tendono a pubblicare informazioni personali o anche di business. E i virus? «I virus non danno particolari problemi: oggi l’obiettivo principale dei criminali informatici è il furto dei dati, sia per un utilizzo immediato, sia per chiedere un riscatto per la restituzione». In ogni caso, il malware continua a crescere e prosperare. «Oggi vediamo da 55 a 60mila nuovi pezzi unici di malware ogni giorno: un fatto legato soprattutto alla disponibilità di pacchetti software acquistabili sul mercato underground, che consentono a chiunque di creare codici malevoli».

 

Una via d’uscita da McAfee

In un panorama così preoccupante, McAfee offre un’ancora di salvezza, in termini di tecnologie e di nuove soluzioni in grado di sventare le nuove minacce. «Attraverso soluzioni di sicurezza basate su Cloud, aggiunte a servizi di analisi della reputazione di determinati siti, partendo anche dalle e-mail o dai tentativi di connessione a determinati indirizzi IP della rete aziendale». Attraverso tecnologie come McAfee Gti (Global Threat Intelligence), è possibile conoscere sempre in anticipo le probabili intenzioni di un potenziale hacker. Inoltre, oggi McAfee è in grado anche di scoprire la presenza di malware che si confondono con i file del sistema operativo, «a volte quasi impossibili da eliminare», continua Dirro. Altre aree dove McAfee ha espanso o sta allargando la propria offerta comprendono la Data Loss Prevention, il Siem (Security Information and Event Management) e altre soluzioni che vanno oltre la tradizionale accoppiata firewall-antivirus. In ogni caso, conclude Dirro, «utilizzare la tecnologia per risolvere i problemi di sicurezza non basta: occorre prestare molta attenzione al fattore umano, formando e assistendo i collaboratori e dotandoli delle competenze necessarie a garantire un comportamento corretto. L’informazione, come quella che fate voi, riveste in questo caso un ruolo fondamentale».