SICUREZZA 2013 LE NUOVE MINACCE

SICUREZZA 2013 LE NUOVE MINACCE
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Le reti aziendali sono cambiate profondamente negli ultimi anni. Disponiamo di infrastrutture multipurpose capaci di interconnettere qualunque tipologia hardware e software e di veicolare le tipologie di dati più disparate. Il rovescio della medaglia è una maggiore complessità di gestione e soprattutto rischi più elevati dal punto di vista della sicurezza. Mai come oggi la difesa contro le minacce informatiche è stata così impegnativa. Quanto è preparata la vostra organizzazione?

 

SICUREZZA 2013 LE NUOVE MINACCE

 

Ogni dispositivo è a rischio? Il malware può arrivare ovunque? Avete preso posto in sala e la conferenza sta per iniziare. Il relatore prende la parola e illustra il modo in cui il solito malintenzionato, seduto in mezzo al pubblico a non più di 20 o 30 metri di distanza dalla sua vittima, potrebbe manomettere un’apparecchiatura medica come una pompa elettronica per l’insulina. Non lasciatevi ingannare, non siamo in un romanzo di John le Carré. E’ tutto vero, documentato live lo scorso febbraio all’RSA Conference di San Francisco da Stuart McClure – esperto di sicurezza e coautore della fortunata serie di libri Hacking Exposed – che ha dimostrato di poter manomettere il dispositivo servendosi solo di una connessione wireless e di poche righe di codice. Defibrillatori, valvole cardiache, protesi acustiche, decine di migliaia di dispositivi medici censiti nella banca dati del ministero della Salute, tutti potenzialmente a rischio. Ma i pericoli per la sicurezza non sono circoscritti alle sole apparecchiature del settore medicale. Sono a rischio i sistemi di pagamento. Seculert (www.seculert.com), azienda israeliana specializzata nella sicurezza cloud, ha di recente scoperto del codice malevolo che ha infettato centinaia di bancomat in più di 40 Paesi. Il malware ribattezzato Dexter, dal nome di una stringa di testo ricorrente nel codice, ha provocato danni stimati in 25 milioni di dollari frutto della razzia effettuata su circa 500mila carte. Anche i lettori di smart card possono essere manomessi. Lo ha dimostrato un team di ricercatori che ha acquisito il controllo del lettore USB per smartcard, impiegando del malware creato ad hoc. Il codice si installa al computer su cui il lettore è collegato e sfrutta il middleware, cioè il software fornito dal produttore delle smart card, per eseguire con la carta della vittima qualsiasi transazione proprio come se fosse direttamente connesso al computer.

Il malware può arrivare ovunque. Console ludiche (Wii, Playstation, ecc.), smart tv, sistemi di videoconferenza[1], elettrodomestici, fotocopiatrici, ricevitori GPS, codici QR[2], impianti di automazione industriale, sistemi di pagamento…e la lista è largamente incompleta. Le minacce alla sicurezza sono dietro l’angolo, soprattutto se i cyber criminali possono disporre di tutto quello che può rendere loro facile il lavoro: processori potenti, collegamenti diretti alla rete, PW di default e nessun software di sicurezza installato. Una ricerca effettuata da un pool di ricercatori della Columbia University, basata sulla scansione di più di tre miliardi di indirizzi IP pubblici ha individuato più di 4 milioni di device connessi alla Rete senza alcuna protezione.

MOBILE MALWARE

Il malware su mobile è il cavallo sicuro su cui scommettere. Per la verità, alcuni ritengono che si tratti solo di una minaccia virtuale, anche perché almeno da dieci anni gli esperti di sicurezza ci dicono che – prima o poi – i nostri telefonini saranno presi di mira e infettati allo stesso ritmo con cui oggi vengono infettati pc e server. In effetti, solo di recente la potenza computazionale dei telefonini ha reso questi dispositivi più funzionali e appetibili per i criminali. Non da molto abbiamo iniziato a utilizzarli per accedere alla posta, effettuare operazioni di homebanking, salvare dati sensibili. E tutto considerato, recente è l’utilizzo massiccio degli smartphone da parte dell’utenza professionale. Senza dubbio, il flusso di dati che gli smartphone scambiano con il mondo esterno è in crescita, così come il codice dannoso in circolazione soprattutto su piattaforma Android, la più attraente per sviluppare il malware. Come gli sviluppatori di applicazioni legittime, anche il crimine tende a concentrare i propri sforzi sulle piattaforme più redditizie. Un noto vendor di sicurezza ritiene addirittura probabile che a causa di un cyber-attacco e alla conseguente perdita di reputazione e fiducia da parte dei clienti uno o più brand nel campo della telefonia mobile possa finire a gambe all’aria. Di certo, i prossimi attacchi sfrutteranno tecniche di social engineering sempre più rodate ed efficaci. E a breve, l’impiego degli smartphone quali strumenti di pagamento non potrà che accrescere la qualità e il numero degli attacchi. Già oggi – comunque – i recenti casi di frode registrati nel nostro Paese rendono le previsioni espresse in passato molto più credibili. Qualche mese fa, la polizia postale ha sgominato una organizzazione criminale specializzata nel furto di dati sensibili. I malviventi inviavano centinaia di migliaia di SMS fraudolenti, che con la solita scusa dell’aggiornamento urgente dell’account, inducevano i destinatari a cliccare su un link che li reindirizzava verso pagine web contraffatte di siti di e-commerce e di istituti di credito. Con questo sistema, ribattezzato SMishing – in poco tempo – i criminali rastrellavano ingenti quantità di dati dai quali poi risalire ai numeri di carte di credito, che servivano per l’acquisto online di beni. Il tutto era poi rivenduto attraverso altri siti di e-commerce conniventi che provvedevano al “lavaggio” del bottino delle truffe. Sempre nello stesso periodo Poste Italiane metteva in guardia (www.antiphishing.poste.it) contro una forma più evoluta di SMishing, ribattezzata Vishing (voice + phishing), basata sull’ invio di SMS, che dietro la falsa richiesta di effettuare un aggiornamento dati del proprio account – per esempio quello del conto corrente bancario – richiedeva di effettuare una chiamata: la novità è che all’altro capo del filo, il malcapitato avrebbe potuto ascoltare la voce di una persona in carne e ossa e non la solita voce preregistrata.

SISTEMI SCADA

Ma è con i sistemi SCADA, quelli cioè che governano le infrastrutture critiche come acquedotti, gasdotti, reti e centrali elettriche, che lo stillicidio di rivelazioni shock cristallizza le peggiori preoccupazioni. Non convince, infatti, la posizione di coloro che ritengono gli incentivi economici ancora inadeguati per attrarre la criminalità; né rassicura aggrapparsi alla convinzione – peraltro diffusa – che in caso di un attacco coordinato su larga scala chi di dovere sarà pronto a reagire in maniera più risoluta di quanto abbia fatto sinora, cercando di trasferire le infrastrutture critiche offline. Ma la più deleteria – soprattutto per le conseguenze che può generare – è la convinzione di coloro che ritengono che la maggior parte dei sistemi SCADA operi ancora in contesti sostanzialmente isolati dal mondo esterno, inaccessibili dalla Rete. Fino ad alcuni anni fa, per tutelarsi da intrusioni e manomissioni in sistemi sensibili come quelli che regolavano ad esempio l’accesso ai reattori nucleari, si frapponeva una barriera fisica (il cosiddetto air gap) tra il sistema di controllo e il network. Oggi, questa misura di sicurezza è sempre meno utilizzata, soppiantata dalla necessità di creare dei link che consentano il monitoraggio da remoto del sistema di controllo. Ma anche nel caso in cui l’air gap sia ancora attivo sul sito fisico, è sempre possibile che sia disponibile del codice in grado di infettare il supporto – qualunque esso sia, anche una semplice chiavetta USB – utilizzato per trasferire i dati necessari per l’aggiornamento del sistema, impiegando a questo scopo un infiltrato o un complice. Dopo la vicenda Stuxnet, dal nome del worm che nel 2010 ha ritardato gli sforzi iraniani di dotarsi di un arsenale nucleare, la certezza del completo isolamento del sistema ha subito un duro colpo. Stuxnet ha reso evidente a tutti la vulnerabilità dei sistemi di controllo, segnando un punto di svolta. L’attenzione al problema cyber è entrato nell’agenda politica della maggior parte dei Paesi, emarginando pian piano tutti coloro che sino a quel momento avevano intonato la lamentosa tiritera dell’inerzia delle risposte sin lì messe in campo. L’iperattivismo degli USA sulla verifica di tutte le tecnologie, la cui provenienza non è controllata – soprattutto in ambiti sensibili come quello nucleare – dimostra esattamente il contrario.

RETI E MINACCE IN CONTINUA EVOLUZIONE

Internet, forse, non rispecchia la nuova frontiera vaticinata dai primi cyber guru. Di certo, il modo spettacolare in cui le reti sono cambiate, passando dalla relativa semplicità di un decennio fa, alle complesse topologie odierne, è la prova – se non proprio della concretizzazione di quell’eden digitale preconizzato una ventina d’anni fa – della realizzazione di uno spazio open e sostanzialmente free quale è appunto quello rappresentato dalla grande Rete. Così, l’esplosione di Internet prima e successivamente l’impatto determinato della seconda ondata di nuove tecnologie, hanno accelerato la diffusione di infrastrutture capaci di interconnettere qualunque tipologia hardware e software e di veicolare le tipologie di dati più disparate. Anche in questo modo si spiegano espressioni quali on demand, automazione, provisioning as a service, virtualizzazione o cloud, associate al termine networking. Il propellente della nuova metamorfosi delle reti sono le dosi sempre più massicce di innovazione due livelli, infrastrutturale (router, switch, firewall…) e architetturale, quella cioè capace di progettare nuove soluzioni a livello di bit, protocolli, applicazioni, servizi e obiettivi di business. “L’efficienza nel business del Terzo Millennio passa per la rete aziendale” – sintetizza un claim pubblicitario, cogliendo una verità evidente, quella cioè che il network costituisce uno dei parametri dai quali partire per valutare l’efficienza dei processi interni all’impresa. Il rovescio della medaglia di questa corsa all’efficienza è la maggiore complessità di gestione e l’aumento dei rischi. Alla vigilia di una rivoluzione annunciata, la cosiddetta Internet delle cose (Internet of things – IOT), che porterà all’aumento esponenziale dei dispositivi connessi tra loro, ci ritroviamo con un gran numero di device vulnerabili. Forse, a preoccupare di più sono i dispositivi utilizzati in campo medico-ospedaliero. Immaginate di essere portatori di un pacemaker e di ricevere una richiesta di denaro per scongiurare la manomissione da remoto del dispositivo. E tanto per farvi capire che non si tratta di uno scherzo, immaginate di ricevere immediatamente un avvertimento sotto forma di un’accelerazione indotta dall’esterno del vostro battito cardiaco. Inutile dire che si tratta di uno scenario terrificante, ma del tutto plausibile, via via che questi dispositivi diventeranno sempre più connessi tra di loro. La responsabilità dei costruttori è alta. E dunque, sarebbe auspicabile correre ai ripari il prima possibile, smentendo coi fatti il mantra secondo cui scrivere del codice sicuro non è possibile, come non lo è intervenire a cose fatte.

Analogamente, reti esposte al potenziale distruttivo degli attacchi odierni o al rischio di cadere in mano alla criminalità organizzata sono una potenziale bomba a orologeria. Si sente spesso ripetere che dietro ai grandi attacchi informatici ci siano organizzazioni criminali, spesso eterodirette da Stati sovrani, che dispongono di personale all’altezza dei mezzi ingenti messi a loro disposizione. Perciò reagire alla complessità, scadendo nell’eccesso di semplificazione, lasciarsi cioè accarezzare dall’idea che sia possibile affidarsi a soluzioni semplici per risolvere problemi complessi, è un atteggiamento pericoloso, una carenza cognitiva che può innescare il disastro. Il pensiero corre subito alla tecnologia e alle aspettative in continua evoluzione. Alla tecnologia si chiede la capacità di adattarsi a minacce sempre più evolute, di abilitare le reti a gestire in modo sempre più automatizzato un gran numero di problematiche e allo stesso tempo di fornire un flusso continuo di informazioni ai sistemi di controllo e di sicurezza presenti sul network. La complessità dei sistemi, inoltre, incide sulla frequenza e la gravità degli incidenti e limita – secondo alcuni esperti – le nostre capacità di apprendere dall’analisi delle cause che li hanno provocati. In uno studio anticipato dalla rivista IEEE Privacy&Security, sull’impatto dei rischi sistemici e ingegneristici, si ipotizza che gli incidenti di sicurezza possano scaturire da episodi circoscritti – per esempio, un guasto localizzato – che presi singolarmente avrebbero una portata limitata, ma che alimentati dalla complessità degli ambienti da cui originano finiscono per ingrandirsi a dismisura, con il rischio concreto di diventare ingovernabili provocando effetti imprevedibili. «Molti incidenti possono avere cause banali ma conseguenze molto gravi. Il monitoraggio continuo (short-term monitoring) e la risposta meramente reattiva rischiano di essere largamente inefficaci. La cosa migliore che possiamo fare – sostengono gli autori Robin Bloomfield e Anne Wetherilt – è cercare di prevedere in anticipo le conseguenze di un incidente e predisporre uno o più interruttori in grado di bloccarne immediatamente la propagazione»[3].  Mai come in questo momento, difendersi dalle minacce informatiche è stato così impegnativo. Detto questo, prima o poi, la fatidica domanda bisognerà pur porsela: «Siamo più sicuri oggi rispetto a cinque o dieci anni fa? E in caso di risposta negativa, di chi è la colpa»? Qualcuno attribuisce le responsabilità maggiori agli stessi esperti di sicurezza che non sono stati in grado di farsi capire da una audience non tecnica come quella rappresentata dalla politica. I decisori politici, infatti, non hanno capito nulla dei problemi che riguardano la sicurezza e continuano a rispondere alle sollecitazioni esterne con la pancia e non con la testa. Dalla politica all’industria – invece – tutti concordano nel ritenere come valida soluzione al problema un irrigidimento delle poche regole esistenti: maggiori controlli sulle attività online degli utenti e quindi maggiore sorveglianza; proibizione degli strumenti che consentono l’anonimato nella navigazione; rimozione dei contenuti giudicati proibiti o lesivi e così via. Perfino i militari richiedono leggi che regolamentino il dominio cyber, con provvedimenti che consentano la sorveglianza globale e “lo spegnimento” della Rete.

L’ALGORITMO AL POTERE

Gli algoritmi avranno pure conquistato il mondo – come sostiene Christopher Steiner in Automate This (Portfolio Penguin), un saggio di cui si chiacchiera molto non solo negli Stati Uniti dove è stato da poco pubblicato – ma faticano ancora a conquistare il campo della sicurezza informatica. Secondo Steiner, già oggi gli algoritmi sono in grado di decidere quali canzoni diventeranno i prossimi successi discografici o di identificare il potenziale da blockbuster da un pool di produzioni cinematografiche. Di più: l’algoritmo può trasformarsi in artista, senza che la sua vena si prosciughi o che soffra di blocchi come spesso accade in campo artistico. Detto questo – però – nel nostro settore il sogno di instillare quel tipo di intelligenza con la “i” maiuscola, dentro alle reti attraverso la tecnologia di sicurezza forse continuerà a rimanere tale. Ma bisogna dire che una buona parte del lavoro di questi dispositivi avviene su base ripetitiva, la stessa che potrebbe beneficiare di “potenti aiuti meccanici” come teorizzava, nel lontano 1945, Vannevar Bush, uno dei padri della nozione di ipertesto. Insomma, nel campo della sicurezza informatica l’automazione arranca e il dominio dell’umano pur destinato a restringersi prevale ancora.

 


[1] All’inizio di quest’anno, un esperto di sicurezza ha dimostrato al NYT di poter accedere ai sistemi di videoconferenza di molti studi di avvocati, industrie farmaceutiche, raffinerie di petrolio, ospedali, università. Scansionando per un paio d’ore l’etere HD, Moore ha trovato più di 5mila conference rooms accessibili dall’esterno attraverso una semplice connessione Internet.

[2] Nei mesi scorsi, abbiamo appreso della manomissione ai danni dei codici QR, quei quadratini che ricordano i codici a barre ideati per accedere a contenuti multimediali. Qualcuno ha tappezzato di adesivi contraffatti, che riproducevano i codici QR, i luoghi simbolo e le zone più affollate di città come Londra o Parigi, allo scopo di indurre il maggior numero possibile di persone a decodificarli con il proprio smartphone e così dirottarli su siti infetti da cui sferrare un attacco, sfruttando le ormai rodate tecniche di phishing. D’altra parte ,come è possibile distinguere ad occhio nudo due codici QR?

[3] Vedi IEEE Sept/Oct 2012, p. 3

 

 

PIU’ FORZA ALLA SICUREZZA GRAZIE A SOLERA

 

Intervista ad Alessandro Telami: «Il malware e gli attacchi APT possono eludere i controlli di sicurezza più robusti. Il fatalismo che aleggia in molte realtà aziendali è preoccupante»

di Giuseppe Badalucco

 

Alessandro Telami, principal sales engineer di SoleraQuale tipologia di traffico dati transita nella nostra rete? Che cosa si è verificato prima dell’epidemia di malware che ha portato al blocco dei pc? Sfruttando quali vulnerabilità si è aperta una breccia nei nostri sistemi? Inutile dire che dalla capacità di rispondere a queste domande si misura buona parte della sicurezza di un’azienda.

Per irrobustire le difese on-site sono disponibili, anche per il mercato italiano, le soluzioni Solera (www.soleranetworks.com), azienda statunitense che opera nel mercato della big data security intelligence and analytics (SIA). La linea di prodotti DeepSee, distribuita in Italia da Symbolic, offre un pacchetto completo di servizi di monitoraggio per acquisire, indicizzare e archiviare tutti i pacchetti presenti sulla rete aziendale.

Data Manager: Oggi, disponiamo di infrastrutture di rete multipurpose capaci di interconnettere qualunque tipologia hw/sw e di veicolare ogni tipologia di dati. Solera è particolarmente attenta all’evoluzione dei network. Qual è il vostro approccio al tema della sicurezza?

Alessandro Telami: Solera Networks è attenta sia all’evoluzione delle reti, sia a quella delle minacce e delle violazioni. Il malware e gli attacchi APT odierni sono in grado di eludere anche i controlli di sicurezza più robusti. Preoccupa – tuttavia – il fatalismo che aleggia in molte realtà aziendali. Il nostro approccio è di migliorare le infrastrutture di sicurezza esistenti, fornendo la maggiore visibilità possibile del contesto in cui avvengono le violazioni, consentendo così alle aziende di rispondere in modo efficace a un attacco.

Cosa si intende con il concetto di intelligence and analytics e che rilevanza ha per la network security oggi?

Secondo l’analista di Gartner Neil McDonald, la sicurezza delle informazioni sta diventando un problema di big data analysis. Ciò significa che le decisioni sui rischi di sicurezza saranno sempre di più basate su informazioni tratte dai big data. Gartner afferma inoltre che una visione “context-aware” sarà fondamentale anche per individuare le minacce e gli attacchi avanzati. La funzionalità SIA delle nostre soluzioni fornisce contenuto, visibilità e contesto a tutti i dati disponibili in rete. Come Solera pensiamo a SIA nei termini di una telecamera di sicurezza puntata sulla rete in grado di offrire alle aziende capacità analitica, monitorando, classificando e indicizzando tutti i file, le applicazioni, i flussi e i pacchetti sulla rete.

Chi è in prima fila a rispondere alle minacce di sicurezza lamenta la mancanza di strumenti specifici per comprendere appieno le finalità di talune manovre preliminari a un attacco. Le vostre soluzioni possono contribuire a colmare questo gap?

Nel mondo della “post-prevention” si assiste a uno spostamento dall’asse della prevenzione delle minacce a quello della preparazione in risposta a un attacco. In questo senso big data e SIA sono tecnologie indispensabili per coadiuvare coloro che sono in prima linea a rispondere alle minacce. Solera Networks colma le lacune esistenti nei dispositivi di protezione esistenti all’interno delle organizzazioni, firewalls, IPS, soluzioni SIEM e quant’altro, con strumenti e capacità che consentono al team di sicurezza di ottenere contesto intorno agli eventi generati dalle soluzioni di sicurezza tradizionali, riducendo sensibilmente i tempi di risposta agli attacchi.

Le soluzioni Solera sono in grado di fornire le stesse funzionalità network forensic e threat management, anche in ambienti virtualizzati?

Solera Networks è l’unico vendor nel campo della security and intelligence analytics a offrire una soluzione brevettata di Virtual Appliance che consente all’azienda di monitorare sia le attività di rete da e verso un ambiente virtuale, sia al suo interno, opzione quest’ultima che introduce maggiore flessibilità alle organizzazioni di qualsiasi dimensione, anche nel caso in cui la rete sia gestita da fornitori esterni (MSSP).


  •  
  •  
  •  
  •  
  •  
  •  
  •  
Categorie: Sicurezza