Grazie alle nuove tecnologie messe in campo con Deep Discovery, lo specialista di sicurezza è in grado di proteggere efficacemente le aziende anche contro le minacce Apt
L’universo IT è in continua evoluzione e, con esso, anche le minacce portate alle infrastrutture e agli utenti attivi nelle reti locali e sulle Wan (Wide area network), prima tra tutte Internet e il Web. Fenomeni come la consumerizzazione, il Cloud computing, la virtualizzazione oltre a caratterizzare questo scorcio di storia dell’IT stanno mettendo a dura prova le aziende che, come Trend Micro (www.trendmicro.it), hanno fatto della sicurezza la loro missione. «Gli obiettivi degli attacchi informatici sono notevolmente cambiati negli ultimi anni – chi parla è Stefano Volpi, country manager Italy di Trend Micro -: da semplici atti malevoli o di disturbo si è passati a veri e propri atti criminali di sottrazione dei dati per rivenderli o trarne profitto indebito». Un’evoluzione che ha anche cambiato in modo profondo la modalità in cui vengono portati gli attacchi: oggi i più diffusi sono quelli basati su botnet, reti di “bot”, cioè di computer di utenti ignari che vengono silenziosamente asserviti e utilizzati per carpire informazioni utili. «Perciò, sta avendo grande attenzione tutta la tematica legata al Vulnerability Assessment e al Threat Assessment – continua Volpi -, gli unici sistemi per garantire la scoperta di falle o di minacce nascoste nelle reti che in alcuni casi, come per le botnet, possono operare per settimane senza rallentare il traffico e quindi senza farsi scoprire con i sistemi tradizionali». Queste nuove minacce, riassunte sotto la sigla Apt (Advanced persistent threat), sono affrontate da Trend Micro con una nuova tecnologia: Deep Discovery.
Minacce su larga e piccola scala
Il cambiamento nel tipo di attacchi informatici si è avvertito in modo particolare a partire dal 2006, con l’avvento di infezioni come Gromozon. «In pratica, quello che è accaduto nel corso degli anni è che gli attacchi, da generici e globali, sono diventati più specifici e locali – commenta Patrick Gada, senior sales engineer -. In altri termini, mentre prima si trattava di malware che si diffondeva a livello europeo o mondiale, dal 2006 gli attacchi sono stati portati a singole nazioni o addirittura a singole aziende». Una situazione che ha spiazzato molti vendor attivi nella IT security e che è stata annunciata appunto da Gromozon. «Si è trattato di un attacco iniziato con la creazione e la registrazione di migliaia di siti civetta – prosegue Gada -, in cui erano state inserite parole prese da un vocabolario italiano, per essere indicizzate dai motori di ricerca. Così, quando un utente ignaro effettuava una ricerca sul Web, veniva indirizzato a uno di questi siti, contenenti l’attacco vero e proprio, che si installava sulla macchina dell’utente sotto forma di rootkit (completamente invisibile)». Il problema vero era la difficoltà di scoprire la presenza del rootkit anche da parte delle aziende specializzate, come la stessa Trend Micro. «Scoprendo questo attacco, grazie al fatto che ci si ritrovava in siti sconosciuti e indesiderati, abbiamo girato i link al nostro laboratorio europeo che si trova in Francia. Il fatto è che i server Web da cui partiva l’attacco lavoravano con filtri a livello IP, per cui agivano solo a fronte di un IP italiano nel browser dell’utente: dalla Francia non si poteva vedere pertanto nulla – spiega ancora Gada -. Per studiare l’attacco, i nostri colleghi hanno dovuto collegarsi in remoto con il nostro laboratorio in Italia». All’epoca, erano molto diffuse le connessioni via modem analogico, pertanto lo scopo dell’attacco era l’installazione di un dialer, un programma che faceva transitare la connessione su numeri a pagamento con addebito di spese telefoniche esorbitanti agli utenti colpiti. Risalgono sempre al 2007, poi, gli attacchi Italian Job 1 e 2, che colpirono oltre 10mila server Web legati al turismo attraverso l’installazione di un codice malevolo che indirizzava i Pc degli utenti verso server da cui veniva scaricato il malware.
La più grande operazione di cyberpolizia
Insieme alle minacce, sono evoluti anche i cybercriminali, come quelli che nel 2011 sono stati assicurati alla giustizia grazie a un’azione dell’Fbi americana che si è avvalsa della collaborazione della stessa Trend Micro. «Si è trattato dell’unica operazione di questo tipo svolta dall’Fbi con una società vendor», conferma Gada. Questa operazione, nota col nome di “Operation Ghost Click” ha consentito di smontare una banda criminale composta da 7 persone, sei estoni e un russo, che nel 2007 avevano diffuso una botnet in grado di infettare più di 500mila computer solo negli Usa, interessando più di 4 milioni di utenti in oltre 100 Paesi del mondo con un guadagno illecito di circa 14 milioni di dollari.
La soluzione? Deep Discovery
La tecnologia con cui Trend Micro ha aiutato l’Fbi a smascherare l’attacco Apt della banda di cybercriminali estoni è la cosiddetta sandbox. «Si tratta di una tecnologia che, monitorando il traffico di rete, è in grado di prelevare i file sospetti e di eseguirli in un ambiente virtuale protetto, tipicamente un’appliance di rete». Difatti, gli attacchi di tipo Advanced persistent threat hanno un obiettivo solo: «cercare di introdursi nel sistema bersaglio e rimanervi nascosti il più a lungo possibile», per poi agire anche parecchio tempo dopo, riducendo così ulteriormente la possibilità di venire scoperti. Infatti, nella maggior parte dei casi, «quando scopriamo l’attacco, in realtà è già in rete da parecchio tempo – spiega ancora Gada -. Il problema è quindi quello di ridurre la finestra temporale tra l’inizio dell’attacco e la sua individuazione ed eliminazione». Questo obiettivo è all’origine dell’evoluzione da Threat Discovery Appliance, lo strumento utilizzato per sviluppare l’operazione Ghost Click, a Deep Discovery. «Con Deep Discovery, Trend Micro si pone l’obiettivo di identificare immediatamente gli attacchi Apt, sventando tra l’altro, mediante sandboxing, proprio le minacce locali come Gromozon o quelli rivolti addirittura contro singole aziende o singoli individui». Questa tecnologia agisce con particolare efficacia nelle grandi aziende, dove identificare le minacce risulta particolarmente difficile a causa delle difficoltà di controllo di tutta la rete.
Una cyber war
«Non siamo più nell’era dei ragazzini di 15 anni che attaccano le reti per dimostrare di essere bravi, come nel famoso film degli anni 80 War Games – continua Gada -. Oggi ci troviamo di fronte a organizzazioni criminali o addirittura a entità che portano una vera e propria guerra elettronica, una cyber war che cerca di carpire informazioni vitali ai privati o agli Stati». Perciò, il messaggio è uno solo: stare molto attenti e dotarsi degli strumenti giusti di prevenzione e protezione delle proprie risorse. «Trend Micro, dal canto suo, sta lavorando perché il livello di monitoraggio della rete sia sempre migliore – conclude Gada -. In fondo, è questo uno dei punti fondamentali per capire quello che sta succedendo e questa è la tecnologia del futuro».
foto di Gabriele Sandrini
