Chi protegge i nostri dati?

Il 2014 è stato un anno critico per la sicurezza informatica, colpita ripetutamente da veri e propri casi mondiali. In questo proliferare di pericoli, l’aspetto più preoccupante – almeno dal punto di vista operativo – rischia di essere quello di perdere di vista le priorità di sicurezza. Per non rischiare di cadere nell’impasse, servono idee chiare per individuare tra i pericoli in circolazione quelli a cui dare la precedenza. Imparando a riconoscere le caratteristiche degli assalitori e delle loro minacce

Se fosse uno spettro avrebbe le sembianze di Frankenstein. Un mostrodalla forza sovrumana e ingestibile come la creatura nata dalla penna di Mary Shelley. Affamata di dati e denaro. Una sentina di tutti i peggiori pericoli della rete. Che arraffa dove può, ma capace anche di scegliere le proprie vittime. CryptoWall, un virus che critta i dati e chiede un riscatto per la loro liberazione, una delle sue materializzazioni più truculente. A farne le spese, una nota struttura alberghiera della provincia di Treviso. I criminali cancellano tutti i dati contabili e le prenotazioni di camere e sale riunioni, bloccando di fatto la gestione ordinaria della struttura e poi crittano i dati restanti. Un’unica traccia, un indirizzo email da contattare per riportarli alla forma originale. Costo dell’operazione un migliaio di dollari. Valuta da utilizzare: Bitcoin. Casi analoghi sono denunciati a Roma, Torino, Napoli, Verona. Lo scorso novembre è capitato anche ai dipendenti di un ente localecon sede a Milano.Tutti i file e le cartelle crittati. Impossibile aprirli. Anche qui un solo indizio, un codice da utilizzare per depositare la somma richiesta. Fortuna che in questo caso, file e cartelle condivise vengono regolarmente backuppate sui fileserver di rete. Per i documenti personali però non c’è nulla da fare. A meno di non voler pagare il riscatto. Senza alcuna garanzia naturalmente di vedersi restituito il maltolto.

In Italia, il ransomware miete più vittime che altrove. Lo dicono i dati pubblicati da Trend Micro,relativi alla diffusione del ceppo Crypto nell’area EMEA (Europa, Medio Oriente e Africa) tra ottobre e dicembre dello scorso anno. La punta massima si registra nel mese di novembre con un numero di infezioni pari al 31,19% del totale censito di attacchi contro sistemi del nostro Paese, primato assoluto davanti a Turchia, Francia, UK, Spagna[1]. Ma CryptoWall non è certo l’unico malware in circolazione. La rete è intasata da codice dannoso. Una marea montante che soffoca i nostri dispositivi in rete. Tutto è a rischio. Ci sono malware per ogni piattaforma, sistema operativo, programma; presto prenderanno di mira anche i nostri smartphone. Codice molto diverso da quello in circolazione sino a qualche anno fa. Invisibile agli antivirus. Capace di mutare in funzione delle difese che si trova di fronte. Infinite varianti di innumerevoli matrici che si moltiplicano all’infinito. Recuperarle non è difficile. Basta pagare. Con una cifra che varia dai 700 ai duemila euro ti porti a casaun kit già pronto all’uso. E non c’è neppure bisogno di essere dei maghi dell’informatica. Le difese tradizionali stentano a reggere il passo delle minacce. E poi ci sono lezero day, le vulnerabilità non note, sfruttate per fare breccia nei sistemi. «Se non sai in che applicativo risiede la falla, contro queste minacce non c’è molto da fare» – ci dice Pierluigi Paganini, chief information security officer presso Bit4Id. La risposta dei vendor si concentra sullo sviluppo di soluzioni basate sull’analisi del comportamento del codice sospetto. Spesso però chi scrive malware si serve delle stesse armi usate per proteggere i file. Come la crittografia, per esempio. Perciò sapere come si comporta un malware e cosa cerca di fare può anche non bastare. Così come non basta tenersi alla larga da siti sospetti se a diffondere il malware diventa un server aziendale. «Chi attacca conosce bene le abitudini del proprio target. E sa che per infettare un certo numero di macchine, può bastargli colpire un server usato da tutti in azienda» – spiega Paganini. Come quello del cartellino presenze, spesso utilizzato anche per la distribuzione dei buoni pasto. «Certo queste tipologie di attacco (watering hole[2], letteralmente “abbeveratoio per gli animali”) richiedono una preparazione specifica. E siamo lontani dall’invio massivo di phishing».

DATA BREACH E ALTRE AMENITA’

Non che gli attacchi di phishing siano scomparsi. Anzi. Utilizzati in combinazione con altre tipologie d’attacco sono molto efficaci per sottrarre dati. E contrariamente a quanto si pensa, sono redditizi. Molte brecce nei sistemi originano da campagne mirate di phishing. Come quelle sfruttate dai truffatori della Rete per impadronirsi delle credenziali di accesso ai servizi di Poste Italiane. O quella da cui è probabilmente partito l’attacco sferrato al Gruppo Benetton. Siamo alla fine del 2013. Qualcuno vìola i sistemi di sicurezza della multinazionale trevigiana e ruba i disegni di una collezione di vestiti. Non è chiaro quanto tempo passa prima che qualcuno si accorga del furto – la conferma dell’intrusione arriverà solo qualche mese dopo – ma nel giro di poche settimane si scopre che qualcuno grazie a quei disegni ha realizzato una serie di prodotti contraffatti e venduti in Siria. L’azienda di Ponzano si affretta a precisare che né il danno economico né quello arrecato al marchio sono ingenti. Colpisce oltre alla vulnerabilità dell’azienda, l’abilità degli autori dell’intrusione che, a quanto sembra, potrebbero aver utilizzato una combinazione inedita di strumenti e tecniche. Forse, un mix simile alla combinazione di mascheramento del traffico di pacchetti verso siti legittimi resa nota per prima da FireEye, azienda della Silicon Valley in forte ascesa nel campo della cybersecurity. Una tecnica di reindirizzamento verso siti legittimi che utilizza header autentici, forgiando in proprio anche i certificati fasulli, necessari a rendere credibile l’intera manovra criminale[3].

Siamo in pieno territorio APT[4].Un terreno sul quale i criminali agiscono a completa insaputa delle vittime, facendo leva su tecniche di social engineering per guadagnare l’accesso alla rete target e sferrare un attacco zero-day; dove per penetrare la rete si scalano tutti i livelli di privilegio (credenziali di amministratore), si riesce ad aprire un canale di comunicazione con un centro di comando e controllo (server gestiti da chi attacca per coordinare le operazioni criminali) esterno e dove poi alla fine si cancella ogni traccia. «è indubbio che in alcuni casi le capacità di questi criminali sono avanzate. è anche vero però che le opportunità che la tecnologia offre a queste persone è maggiore rispetto al passato» – commenta Paganini. «Oggi, posso nascondere il traffico di un malware sul web, nascondere il sistema di controllo di una botnet all’interno di un sito legittimo (Google Drive, Dropbox), oppure servirmi di Twitter per comunicare le modalità di un attacco. E di Pastebin per postare i comandi». Quando si dispongono di mezzi adeguati tutto è possibile. «Persino assicurarsi i servizi criminali allo stesso modo in cui si compra un servizio in cloud».

LE PRIORITA’ DI SICUREZZA

In questo proliferare di attacchi e minacce forse però l’aspetto più preoccupante – almeno dal punto di vista operativo – rischia di essere quello di perdere di vista le proprie priorità di sicurezza. Di non sapere più cioè a quali minacce accordare maggiore importanza. Per chi decide, cento priorità equivalgono a nessuna priorità. Invece servono idee chiare per individuare, tra i pericoli in circolazione, quelli a cui dare la precedenza. Imparando a riconoscere le caratteristiche degli assalitori e delle loro minacce.

Leggi anche:  DHL, TNT, FedEx, e UPS al centro di una campagna di phishing

Per chiunque, protezione del dato e continuità del servizio dovrebbero essere priorità irrinunciabili. Ma è proprio così? «La perdita di dati aziendali a seguito di eventi catastrofici, guasti, malfunzionamenti, oppure intrusioni informatiche, è drammatica per chiunque» osserva Furio Ferrini, presidente di Consortech (il Consorzio delle imprese tecnologiche della Provincia di Sondrio) e presidente di Computer Halley. «A maggior ragione per chi, come i dottori commercialisti, deve conservare e trattare informazioni estremamente delicate per conto di numerosi clienti. Non sempre però gli operatori che li gestiscono – in proprio o conto terzi – sono consapevoli dei rischi che si corrono. La gran parte dei professionisti – almeno in Valtellina – non ha assolutamente la percezione di quelli che sono gli obblighi connessi alla normativa»  – osserva Ferrini.

Le cose non saranno così ovunque. E gli esempi di eccellenza non mancano.Ma quali pericoli corrono i nostri dati in mano alle amministrazioni pubbliche? Quanto sono al sicuro i dati conservati da enti pubblici, comuni e ospedali? Fino a ieri la situazione si poteva solo intuire. Oggi, però il Rapporto sulla sicurezza informatica nella Pubblica amministrazione[5] (Italian Cyber Security Report 2014) ci fornisce un quadro più preciso della situazione. Lo studio, redatto da Cis (Centro di ricerca di cyber intelligence e information security) e Agid (Agenzia per l’Italia Digitale) – analizzando i dati relativi ai sistemi di sicurezza interni di 42 amministrazioni centrali, 117 Comuni, 19 Regioni, il 25% delle ASL e il 4,5% degli ospedali italiani – ci restituisce la fotografia di un Paese gravemente e colpevolmente sguarnito di fronte alle minacce IT.

Leggi anche:  Cresce il numero di attacchi del malware bancario QakBot: aumento del 65% nel 2021

Le situazioni peggiori si riscontrano a livello di Regioni e Comuni. Per quel che riguarda le prime, nessuna di quelle prese in esame raggiunge il punteggio minimo e in 14 realtà il livello di criticità riscontrato è grave. Anche tra i 79 comuni presi in esame, ben 68 sono in forti difficoltà di fronte alla minaccia e anche in questo caso nessuna amministrazione raggiunge la sufficienza. Si salvano solo 22 amministrazioni (Inps, Corte dei Conti, Regione Friuli Venezia Giulia), su un totale di 42, che raggiungono un livello sufficiente di protezione. Gli ospedali sono invece quelli più presi di mira, con un aumento degli attacchi superiore al 200%.Ma gli assalti sono in aumento in tutto il settore pubblico. Sono le stesse amministrazioni a denunciarlo. Una situazione diffusa da nord a sud. «Lo studio – dichiara il direttore del CisRoberto Baldoni–ha consentito di individuare i principali problemi su cui agire perottenere un miglioramento rapido e sostanziale della nostra protezione. Ha anche purtroppo evidenziato comeci siano lacune importanti e radicate sia in termini di cultura della sicurezza sia di organizzazione». Una situazione che definire preoccupante è sin troppo prudente.E infatti già nel 2013, l’Associazione italiana per la sicurezza informatica (Clusit) parlava di una vera e propria emergenza nazionale. “Nessuno può più ritenersi al sicuro (…). Tutti sono in qualche modo e a vario titolo minacciati: dai singoli cittadini alle Pmi fino agli stati nazionali e alle più grandi imprese del mondo”. Così, si legge nel rapporto 2013 sulla sicurezza informatica[6].

OLTRE LE DIFESE TRADIZIONALI

Quando si ha a che fare con malware progettato per sfruttare vulnerabilità non conosciute (zero-day), crittografato o polimorfico, che cela cioè la sua vera natura e muta ogni volta che va in esecuzione, le difese tradizionali non bastano. Servono tool in grado di individuare le potenziali minacce e rispondere in tempo reale o quasi. A Dario Forte, fondatore e CEO di DFLabs, azienda specializzata in incident response technology and services, il termine – però – non piace: «Il concetto di realtime è più legato al marketing and sales che all’aspetto scientifico del problema. Per questo è più corretto parlare di near real time detection and response».

Fatto sta che bisogna cercare di fare presto. Ma come funzionano questi tool? Le piattaforme di questo genere – ci spiega Forte – si basano su tre variabili di analisi: «Il comportamento (behavior), la ricorrenza (statistic) e lo scostamento dalle baseline (anomaly)». Più in dettaglio, queste tecnologie creano un ambiente virtuale di esecuzione isolato da tutto il resto (sandbox) che replica l’ambiente target; il comportamento del malware viene osservato e analizzato: si individuano i dettagli e le caratteristiche del payload e si tengono d’occhio gli eventuali tentativi di aprire un canale di comunicazione con un server di comando e controllo. L’obiettivo è quello di ricostruire la signature di difesa, che sono l’antidoto al malware. «Al momento – ci dice Forte – esistono circa 50 implementazioni commerciali di queste piattaforme. Alcune hanno già raggiunto un buon livello di maturità, altre invece sono ancora acerbe e poco utilizzabili». I criminali però non stanno a guardare. Sanno che di continuo nuove tecniche di difesa sono messe a punto. E allora, rispondono progettando codice che consenta loro di essere “avvisati”, quando il malware diventa oggetto di analisi all’interno di un ambiente virtuale isolato. In che modo? Sollecitando – durante le fasi in cui il malware tenta di portare a termine i suoi effetti deleteri – ogni volta che è possibile l’intervento umano. Basta la richiesta di un click con il mouse, oppure la proposizione di una finestra di dialogo in cui si chiede una risposta tra due o tre disponibili. È una sfida continua. Occorre essere sempre più furbi. E più bravi. Emulare il comportamento dell’utente. Analizzare un range di file e di comportamenti in continua espansione. Raggiungere in definitiva un rapporto ottimale tra falsi positivi, che intralciano lo svolgimento delle normali attività di business, e segnalazioni veritiere (falsi negativi), che lasciano invece scoperte le aziende di fronte ad un possibile attacco. Le difese poi dovrebbero integrarsi con quelle di partner e clienti in modo che la threat intelligence (info condivise sotto forma di metadata) raccolte da altri su repository in cloud possano innescare un circolo virtuoso di condivisione. Le difese non mancano. Ci sono soluzioni che si concentrano su altri livelli dello stack IT, dal monitoraggio dei pacchetti e dei flussi che preannunciano un comportamento sospetto, fino ai controllo sulle applicazioni.

«Serve una combinazione ottimale di difese e competenze» – afferma Pierluigi Paganini di Bit4Id. Soluzioni in grado di raccogliere e confrontare info di diverso formato e provenienza: email di spear phishing, file sospetti, log che provano il tentativo di connessione con centri di comando e controllo esterni, flussi anomali di dati – spesso criptati – che escono dalla rete. Uno strato supplementare di protezione che si affianca alle difese già esistenti. «Affiancare eventuali nuovi layer tecnologici e preservare gli investimenti pregressi è un must imprescindibile» – conferma Forte di DFLabs. «In base alla nostra esperienza, possiamo dire che gli utenti finali – prima – cercano di comprendere la minaccia  e – solo dopo aver creato un framework di processo adatto a contenerla – si dedicano allo scouting tecnologico». Detto questo però, deve essere chiaro che la tecnologia da sola non basta. Le persone giocano un ruolo cruciale. «è fondamentale avere – oltre a tutti i meccanismi di difesa – personale in grado di operare in maniera tale da ridurre il rischio da esposizione» – afferma Paganini. Perché il fattore umano è sicuramente uno di quelli che maggiormente espone l’azienda a un attacco. «Succede spesso che un dipendente – oggetto di un attacco mirato di spear phishing, (semplicemente inserendo in maniera impropria dei dati su un portale che magari viene replicato ad hoc per raccogliere le info relative all’azienda) – fornisca a chi attacca l’accesso ai sistemi dell’azienda» – ci dice Paganini. Perciò, ancora prima della minaccia informatica in sé, al primo posto va messa la formazione dei propri collaboratori. «La consapevolezza della minaccia è un elemento fondamentale. Solo dopo, si possono intraprendere tutte quelle azioni in grado di mitigare i rischi» –afferma Paganini.

CONCLUSIONI

La digitalizzazione procede a ritmi vertiginosi con il moltiplicarsi di sensori embedded in oggetti di uso quotidiano, oggi lo smartphone, domani lo spazzolino da denti, l’auto e il frigorifero. Tutto questo sta dando vita a un ambiente globale iperconnesso, l’Internet delle cose, in cui la sicurezza IT è destinata a ricoprire un ruolo sempre più importante. Cybercrime, cyberwar e hacktivism rappresentano il lato oscuro della vita digitale. Lo stillicidio quotidiano di incidenti di sicurezza è il corollario più vistoso. Per quanto ancora difficile da accettare, questi fatti ci riguardano molto da vicino, perché possono colpire allo stesso modo le nostre imprese e le nostre amministrazioni. Se vogliamo continuare a raccogliere i benefici di questa seconda vita digitale, un nuovo approccio come quello descritto e reso esplicito dalle tecniche e dalle piattaforme di sicurezza di ultima generazione non è più procrastinabile. Ma non basta. Assumere un atteggiamento e una mentalità da accerchiamento non serve a nulla. Serve invece un mix ditecnologia, competenze e formazione. La sicurezza è responsabilità di tutti. La compromissione dell’anello più debole porta alla compromissione dell’intera catena della sicurezza.

Leggi anche:  In arrivo la nuova ISO/IEC 27002. Evoluzione o rivoluzione?

 

[1] Vedi in http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-goes-local-in-emea-region/

[2] Vedi in https://blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair/ e http://en.wikipedia.org/wiki/Watering_Hole

[3] Vedi in https://www.schneier.com/blog/archives/2014/08/disguising_exfi.html e http://www.csoonline.com/article/2462409/data-protection/how-hackers-used-google-in-stealing-corporate-data.html

[4] Vedi in http://en.wikipedia.org/wiki/Advanced_persistent_threat

[5] Reperibile in http://www.agid.gov.it/notizie/italian-cyber-security-report-2014

[6] Il rapporto elaborato da Clusit, analizza il tema della sicurezza informatica nel 2012 e nei primi mesi del 2013.  Lo studio si riferisce a un campione di oltre 1.600 incidenti di sicurezza significativi, ed è il risultato di una complessa attività di classificazione e correlazione. La sua compilazione ha richiesto il vaglio di centinaia di fonti e numerose verifiche incrociate con le informazioni contenute nei report di molti vendor (tra i quali Cisco, IBM, Kaspersky Lab, McAfee e Trend Micro). Qui http://www.clusit.it/download/ il link al rapporto.