Rapporto sulla sicurezza per il 2013

Transcript

Rapporto sulla
sicurezza per il 2013
Nuove piattaforme e minacce
in continua evoluzione
Indice dei contenuti
Prefazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Analisi del 2012:
Nuove piattaforme e minacce in continua evoluzione. . . . . . . . . 2
Attacchi sempre più diffusi contro gli utenti di Facebook e altri social media . . . . . . . . . 3
Grafici
Sondaggio: formazione sulle e-mail. . 3
Blackhole. . . . . . . . . . . . . . . . . 7
Paesi host di siti contenenti
Blackhole. . . . . . . . . . . . . . . . . 9
I nuovi rischi per i servizi cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Sondaggio: spam per gli
smartphone. . . . . . . . . . . . . . . 15
Blackhole: il leader di mercato per il malware in circolazione. . 6
Sondaggio: considerazioni sulle
app Android. . . . . . . . . . . . . . . 17
I quattro stadi del ciclo di vita di Blackhole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Cosa stiamo facendo per risolvere il problema Blackhole e cosa potete
Sondaggio: Browser Web . . . . . . . 19
fare per difendervi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Un'istantanea del malware
Mac OS X. . . . . . . . . . . . . . . . . 22
Gli attacchi Java raggiungono la
massa critica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
La top 12 dei paesi che
diffondono malware . . . . . . . . . . 27
Quindi, oltre al fatto che non ne vogliamo essere vittima, che cosa possiamo
imparare dai casi di perdita di dati?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Android:
il bersaglio principale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Fonti di spam per continente. . . . . 27
Tasso di esposizione alle minacce. . 29
Video
Semplici ma economicamente vantaggiosi: software fasulli, messaggi
SMS non autorizzati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Ingegneria sociale. . . . . . . . . . . . 3
Arruolamento nelle botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Cloud storage e BYOD. . . . . . . . . . 4
Intercettazione di messaggi e coordinate bancarie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
SophosLabs. . . . . . . . . . . . . . . . 8
PUA: non è proprio malware, ma rimane pur sempre un rischio. . . . . . . . . . . . . . . . . . . . . 16
Blackhole. . . . . . . . . . . . . . . . . 8
Mitigare i rischi fin quando è ancora possibile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Malware Android. . . . . . . . . . . . 14
Piattaforme e tecnologie diverse incrementano
le opportunità di attacco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Il ritorno del ransomware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Ransomware. . . . . . . . . . . . . . 20
Malware Mac . . . . . . . . . . . . . . 23
La "coda lunga". . . . . . . . . . . . . 30
OS X e Mac:
più utenti, nuovi rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Fake antivirus e Flashback: sfruttano quanto imparato dal malware Windows per
muoversi con più agilità. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Morcut/Crisis: più sofisticato e potenzialmente più pericoloso . . . . . . . . . . . . . . . . . . . . . . 23
Malware Windows che si cela nei Mac. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Recenti progressi di sicurezza e limitazioni di OS X. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Utilizzare una soluzione antimalware per Mac a 360 gradi. . . . . . . . . . . . . . . . . . . . . . . . . . 25
Le forze dell'ordine effettuano importanti arresti per
combattere il malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
L'aumento dei pericolosi attacchi mirati. . . . . . . . . . . . . . . . . . . . 28
Attacchi polimorfici e mirati:
la "coda lunga" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Polimorfismo: non è una novità, ma ora causa più problemi. . . . . . . . . . . . . . . . . . . . . . . . . 31
Come difendersi dal polimorfismo lato server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Attacchi mirati: minuziosi, selettivi e pericolosi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Difesa in profondità contro SSP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Complete security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Esplorate con Sophos le due strade che portano alla Complete Security. . . . . . . . . . . . 34
Cosa ci riserva il 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Un'ultima parola. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Bibliografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Adware
L’adware è un programma che visualizza
messaggi pubblicitari sul monitor del computer
Prefazione
È stato un anno molto impegnativo per la cyber security; desidero esporre alcune riflessioni e mettere in evidenza delle
osservazioni relative al 2012. Senza alcun dubbio l'incremento della mobilità dei dati negli ambienti aziendali rappresenta una
delle sfide principali affrontate in quest'ultimo anno. Gli utenti hanno accolto a braccia aperte la possibilità di accedere ai dati
ovunque si trovino. La rapida adozione di bring your own device (BYOD) e cloud sta velocizzando lo sviluppo di questo trend,
creando però anche nuovi vettori di attacco.
Un altro trend riscontrato è la mutevole natura dei dispositivi endpoint: un concetto che ha trasformato le aziende, portandole
dal tradizionale mondo dei sistemi Windows a un ambiente multipiattaforma. Al giorno d'oggi il malware è in grado di attaccare
nuove piattaforme e si è riscontrato un rapido aumento del malware per dispositivi mobili. Sebbene qualche anno fa il malware
Android fosse solamente un esempio da laboratorio, è ora diventato una minaccia preoccupante e in continua diffusione.
BYOD è un trend in rapida evoluzione che è stato accolto a braccia aperte da molti dei nostri clienti e utenti. I dipendenti
desiderano poter utilizzare smartphone, tablet o notebook di ultima generazione per connettersi alle reti aziendali. Per il
personale IT, ciò significa dover proteggere dati di natura sensibile su dispositivi sui quali hanno un livello di controllo
estremamente limitato. BYOD può essere vantaggioso sia per gli utenti che per i datori di lavoro; tuttavia, i problemi di IT
security che comporta sono diversi e i confini che delimitano uso lavorativo e privato stanno diventando sempre più sfumati.
Sorgono domande relative a proprietà, gestione e protezione dei dispositivi e dei dati in essi contenuti.
Infine, il Web rimane il principale mezzo di diffusione del malware, in particolar modo di quello che sfrutta l'ingegneria sociale e
di quello che si serve di exploit delle vulnerabilità dei browser e delle applicazioni a essi associate. Ad esempio, kit di malware
come Blackhole sono un cocktail esplosivo composto da dieci o più exploit, in grado di sfruttare le più minuscole lacune di
sicurezza, approfittando della mancanza di patch.
I criminali informatici tendono a concentrarsi sui punti deboli, utilizzando una tecnica specifica fino a quando diventa meno
efficace, per poi passare ad altro. La sicurezza è il fulcro di questa rivoluzione condotta da BYOD e cloud. Proteggere i dati in un
mondo in cui i sistemi cambiano rapidamente e in cui esiste il libero scambio di informazioni richiede un ecosistema coordinato,
costituito da tecnologie di sicurezza per endpoint, gateway, dispositivi mobili e cloud.
L'IT security si sta evolvendo, passando da una prospettiva basata sul dispositivo a una basata sull'utente, e i requisiti di
sicurezza sono svariati. Una strategia moderna di IT security deve concentrarsi su tutti gli elementi principali: implementazione
di policy di utilizzo, cifratura dei dati, accesso sicuro alle reti aziendali, filtraggio in base a produttività e contenuti, gestione di
vulnerabilità e patch, nonché ovviamente protezione antimalware.
Cordiali saluti,
Gerhard Eschelbeck
CTO, Sophos
1
Analisi del 2012:
Nuove piattaforme e
minacce in continua
evoluzione
Nel 2012 si è notata la tendenza degli hacker ad
estendere il proprio raggio di azione per includere nuove
piattaforme: da social network e cloud service a
dispositivi mobili Android. Si è riscontrata una maggiore
rapidità di risposta ai nuovi progressi della sicurezza,
nonché un più efficace utilizzo di exploit per vulnerabilità
del giorno zero.
L'anno scorso gli autori di malware più abili sono andati oltre, con nuovi modelli di business e
software mirati a sferrare attacchi più pericolosi e intensi. Ad esempio gli autori di Blackhole, un
toolkit di malware venduto sottobanco e inviato tramite accordi Software-as-a-Service (noti
anche come "crime pack"), hanno lanciato una nuova versione del toolkit. Hanno dato il giusto
credito al successo dei vendor di soluzioni antivirus in grado di contrastarne le attività e hanno
promesso di puntare più in alto nel 2012.
Parrebbe che i criminali informatici indipendenti possano ora contare sull'aiuto di organizzazioni
di stato e alleati in grado di lanciare attacchi avanzati contro obiettivi strategici. Sono stati
compilati diversi report sugli attacchi di malware rivolti a infrastrutture del settore energetico
del Medio Oriente, attacchi denial-of-service distribuiti di vastissima portata contro banche
internazionali, nonché attacchi mirati di spearphishing verso istituzioni estremamente importanti.
Più tradizionalmente, i criminali hanno continuato a colpire migliaia di database e siti Web
configurati senza la dovuta attenzione, per prelevare password e inviare malware; ciò dimostra
ancora una volta l'esigenza di maggiori controlli durante l'implementazione degli aggiornamenti
di sicurezza e la riduzione della superficie di attacco. Nel frattempo, una nuova generazione di
2
vittime si è trovata a dover rispondere alle
richieste di pagamento dei criminali
informatici, per via del proliferare degli
attacchi di ingegneria sociale quali fake
antivirus e ransomware.
Attacchi sempre più diffusi
contro gli utenti di Facebook e
altri social media
Nonostante l'incremento costante di questi
rischi, il 2012 è stato anche ricco di buone
notizie. Durante quest'anno le organizzazioni
IT e altri enti di difesa hanno capito
l'importanza di una protezione a livelli multipli.
Molte aziende hanno cominciato a dedicare
tempo ed energie alla sfida di sicurezza posta
da smartphone, tablet, e bring your own
device (BYOD). Le aziende hanno dimostrato
un impegno attivo volto alla riduzione delle
vulnerabilità in piattaforme quali Java e Flash,
nonché all'esigere fix più tempestivi da parte
dei vendor delle piattaforme e dei software.
Nel corso del 2012 i social network hanno
attratto centinaia di milioni di utenti. E
gli hacker hanno seguito a ruota. Hanno
ideato nuovi attacchi creativi di ingegneria
sociale, giocando sulle principali
preoccupazioni degli utenti, come ad es. il
diffuso scetticismo verso la nuova bacheca
2
di Facebook , oppure presunte foto appena
postate degli utenti stessi. I criminali sono
anche andati oltre Facebook, sfruttando
piattaforme relativamente nuove, come
Twitter, e servizi sempre più diffusi, come ad
es. Pinterest: un social network dedicato alla
condivisione dei contenuti.
Inoltre, non va dimenticato che le forze
dell'ordine hanno registrato importanti vittorie
contro le reti criminali, incluso l'arresto di un
cybercriminale russo colpevole di aver
attaccato 4,5 milioni di computer, allo scopo di
compromettere i conti bancari degli utenti; si
ricordi anche la condanna, in Armenia, del
responsabile che teneva in mano le redini
della botnet Bredolab. Il coinvolgimento civile
di Microsoft nello smantellamento della
1
botnet Nitol nel corso di quest'anno è un
buon indicatore che chi agevola il cybercrime
è presente anche sui nostri siti.
Per il 2013 si prevede che come al solito i
criminali informatici seguiranno la sempre
più sostenuta spinta dell'informatica verso
servizi cloud virtualizzati e piattaforme
mobili. Ciò significa che organizzazioni IT
e utenti dovranno: esigere molto di più dai
propri service provider e partner IT; diventare
più sistematici in termini di protezione di
dispositivi e infrastrutture di rete diversi;
divenire più rapidi nel contrastare le nuove
minacce. Noi saremo a vostra disposizione, per
aiutarvi in qualsiasi giorno e a qualsiasi ora.
Nel mese di settembre 2012, Sophos
ha segnalato la diffusione di massa di
messaggi diretti (DM) Twitter, provenienti da
account recentemente violati. Spacciandosi
per messaggi inviati da amici on-line, questi
DM sostengono di avervi visto in un video
appena postato su Facebook. Cliccando
sul link contenuto nel DM, si viene
indirizzati su un sito che richiede l'upgrade
del “YouTube player” per visualizzare il video
in questione. Se si prosegue, si viene infettati
3
con Troj/Mdrop-EML: un backdoor Trojan
A settembre si sono notate anche le
prime violazioni di massa degli account di
Pinterest. Questi attacchi diffondevano
immagini di spam su altri social network
quali Twitter e Facebook. Le vittime che
avevano collegato i propri account Pinterest
con questi network si sono trovate a
diffondere involontariamente tweet e post
a raffica, invitando gli amici a partecipare a
4
iniziative poco raccomandabili a domicilio .
Per saperne di più
sugli attacchi rivolti ai
social media
Quattro minacce per i
dati nell'era postPC
Beth Jones dei
SophosLabs spiega cos'è
l'ingegneria sociale
Sondaggio di
Naked Security
È giusto che le aziende
cerchino di indurre i
dipendenti ad aprire e-mail
dal contenuto inadeguato a
scopo educativo?
S
ì
85.21%
No
14.79%
Risultati basati su 933 voti
Fonte: Naked Security
3
Analisi del 2012: Nuove piattaforme e minacce in continua evoluzione
Con 1 miliardo di utenti, Facebook rimane
il social network più famoso, e quindi
anche il top target dei criminali. Ad
aprile Sophos, in collaborazione con
Facebook e altri vendor di software di
sicurezza, ha contribuito a migliorare le
difese antimalware di Facebook. Facebook
può ora attingere al nostro immenso e
aggiornatissimo elenco di link malevoli e siti
di truffa per limitare il rischio che possono
5
rappresentare per la sicurezza degli utenti .
Naturalmente non si tratta dell'unica parte
della soluzione. I ricercatori di Sophos e
di altri vendor si stanno adoperando per
individuare nuovi metodi di protezione degli
utenti contro gli attacchi tramite social
network.
Ad esempio, Dark Reading ha comunicato
che gli esperti IT della University of
California, Riverside sono riusciti a creare
un'app sperimentale di Facebook che
sarebbe in grado di identificare il 97% del
malware dei social media e delle truffe
6
nell'area "Notizie" . Anche elementi
innovativi quali l'autenticazione sociale (con
cui Facebook mostra all'utente foto degli
amici, chiedendo di confermarne l'identità:
un'azione che si presume molti hacker
non siano in grado di compiere) possono
7
dimostrarsi utili .
I nuovi rischi per i
servizi cloud
Nel 2012 i vantaggi finanziari e gestionali
dei servizi cloud hanno suscitato l'interesse
di molte organizzazioni IT. Oltre a riporre più
fiducia nei software aziendali in hosting e nei
servizi più informali quali il sito di storage
Dropbox, le aziende hanno avviato anche
notevoli investimenti sui cloud privati, creati
con tecnologie di virtualizzazione. Questa
tendenza solleva ulteriori domande relative
a cosa gli utenti possano e debbano fare per
non mettere a repentaglio la sicurezza e la
compliance della propria organizzazione.
Per saperne di più sui
servizi cloud
Utilizzo dei servizi cloud
con Persistent Encryption
Risolvere i problemi di
Dropbox
Il Chief Technology
Officer Gerhard Eschelbeck
spiega cosa sono cloud
storage e BYOD
La cloud security ha cominciato a stimolare
l'attenzione pubblica nel 2012, quando
Dropbox ha ammesso che alcuni nomi utente
e password prelevati da altri siti erano stati
utilizzati per accedere a un ristretto numero
di account Dropbox. Uno dei dipendenti di
Dropbox aveva utilizzato la stessa password
per tutti gli account di cui era titolare,
incluso quello lavorativo, che garantiva
l'accesso a dati di natura sensibile.
Prelevata questa password da un altro
sito, gli hacker hanno scoperto di poterla
utilizzare anche per Dropbox. L'accaduto è
stato un importante campanello di allarme
per gli utenti, a cui è stata così ricordata
l'esigenza di usare password diverse per i
vari siti e servizi protetti.
Dropbox non è nuovo ai problemi di
autenticazione in-the-cloud, avendo già
rimosso involontariamente per quasi due
ore la necessità di inserire una password per
8
visualizzare i file degli utenti nel 2011 .
Inoltre, VentureBeat sostiene che l'app iOS
dell'azienda archiviasse le credenziali di
accesso degli utenti in file di testo non
cifrati, dove erano visibili a chiunque avesse
accesso al telefono.
4
Da allora, Dropbox ha fortificato la sicurezza con
9
l'introduzione di un'opzione di autenticazione a due fattori ,
ma i disguidi sorti hanno generato ulteriori complicazioni.
A maggio 2012, il Fraunhofer Institute for Secure Information
Technology ha compilato un report sulle vulnerabilità
associate a registrazione, accesso, cifratura e condivisione
10
dei dati su sette siti di cloud storage .
È giusto sottolineare che, nonostante Dropbox e alcuni
altri siti stiano già utilizzando la cifratura dei dati in storage
e in transito, questa precauzione protegge solamente
i dati che non vengono attaccati tramite nomi utente e
password legittimi. I dati archiviati su cloud system pubblici
sono soggetti alle leggi sulla vigilanza e l'intercettazione
applicabili nelle giurisdizioni dove sono situati i server dei
cloud system.
I problemi di Dropbox hanno suscitato maggiore attenzione
verso la cloud security in generale. Con infrastrutture
e servizi cloud pubblici, oltre al controllo da parte delle
organizzazioni IT, quale approccio a sicurezza e compliance
devono adottare le aziende? L'autenticazione a due (o più)
fattori è un must. Ma è abbastanza? Si considerino i seguenti
fattori:
ÌÌ Come verranno gestite le “fughe di informazioni”? Nello
specifico, quale strategia adotterete per scoprire se fra i
dipendenti vi siano malintenzionati che inoltrano a se stessi
informazioni sensibili, per poterle avere a disposizione
11
anche in seguito a un eventuale licenziamento ?
Come suggerisce il nome stesso, il mondo del cloud
presenta "nuvole" all'orizzonte; ma quando e se
eventualmente deciderete di adoperare i servizi cloud, questi
tre accorgimenti possono esservi utili per proteggere i dati:
1.Applicare policy basate sul Web che comprendano URL
Filtering, controllo dell'accesso ai siti di cloud storage
pubblici e blocco dei siti da voi dichiarati "off limit".
2.Utilizzare funzionalità di application control per bloccare
o consentire applicazioni specifiche per l'intera azienda o
determinati gruppi.
3.Cifrare automaticamente i file prima che vengano caricati
in-the-cloud da qualsiasi endpoint gestito. Una soluzione
di cifratura efficace consente di selezionare i servizi di
cloud storage preferiti dagli utenti, in quanto i file sono
sempre cifrati e le chiavi vengono sempre fornite da voi.
Siccome la cifratura viene effettuata sul client prima
della sincronizzazione dei dati, avete pieno controllo
sulla sicurezza delle vostre informazioni, e nessuna
preoccupazione legata alla possibilità che la sicurezza del
vostro fornitore di servizio di cloud storage venga violata.
Le chiavi vengono assegnate in maniera centralizzata
e consentono a utenti o gruppi autorizzati di accedere
ai file e di mantenere tali file cifrati per chiunque altro.
Qualora smarriste la vostra chiave Web (ad es. nel caso
in cui un utente abbia dimenticato la password), l'addetto
alla sicurezza aziendale sarebbe comunque in grado
di recuperare le chiavi, per accertarsi che il personale
autorizzato abbia accesso ai file.
ÌÌ A quali metodologie di valutazione verranno sottoposti
i fornitori e gli amministratori di questi servizi? Avete
intenzione di applicare gli stessi standard e requisiti
contrattuali che esigete da altri partner business-critical
12
che hanno accesso a dati riservati o strategici ?
ÌÌ Siete in grado di prevenire snapshot dei server virtuali che
possano carpire immagini relative alla memoria operativa,
incluse tutte le chiavi di cifratura attive? Alcuni esperti,
come Mel Beckman e System iNEWS, ritengono che ciò sia
abbastanza per dichiarare i cloud pubblici come off limit in
ambienti in cui la compliance ai requisiti legali richieda il
13
controllo fisico dell'hardware, ad es. l'HIPAA .
5
Blackhole: il leader di
mercato per il malware
in circolazione
Con ricerche svolte dai SophosLabs
Un'analisi approfondita di Blackhole rivela quanto siano
divenuti sofisticati i moderni autori di malware. Oggi
come oggi, Blackhole è il kit di exploit più diffuso e
conosciuto. Unisce una sorprendente destrezza tecnica
a modelli di business dello stesso calibro dei case study
dei Master in Business Administration della Harvard
Business School. E salvo disattivazione ad opera delle
forze dell'ordine, è probabile che i vendor e le
organizzazioni IT lo dovranno affrontare per diversi anni.
I kit di exploit sono tool preconfezionati contenenti software da utilizzare su Web server
malevoli per infiltrare il malware nei computer delle vittime, senza essere notati.
Identificando e sfruttando le vulnerabilità (bug o falle di sicurezza) del software in esecuzione
sui computer, i kit di exploit sono in grado di avviare una cosiddetta "installazione driveby". Questa avviene quando i contenuti di una pagina Web inducono il software (ad es.
browser, lettore PDF o altri visualizzatori di contenuti on-line) a scaricare ed eseguire del
malware in maniera invisibile, senza generare le consuete notifiche. Esattamente come altri
kit di exploit, Blackhole può essere utilizzato per scaricare una serie di payload diversi. Gli
autori inviano payload per conto di altri, a scopo di lucro; fra questi payload si è osservato
di tutto, da fake antivirus e ransomware, a Zeus e ai famigerati rootkit TDSS e ZeroAccess.
Blackhole è in grado di attaccare Windows, OS X e Linux. Miete vittime secondo criteri di pari
opportunità.
6
Da ottobre 2011 a marzo 2012, quasi il
30% delle minacce rilevate dai SophosLabs
proveniva direttamente da Blackhole, oppure
da reindirizzamenti di siti Web legittimi verso
kit Blackhole. A rendere Blackhole unico
nel suo genere non è solamente il successo,
bensì anche il modello di rilascio Softwareas-a-Service, molto simile ai moderni
software in-the-cloud. Il costo settimanale
viene indicato (in russo) nel file readme
del kit, insieme agli addebiti per servizi di
dominio aggiuntivi. Proprio come i vendor di
software legittimo, gli autori di Blackhole
offrono aggiornamenti gratuiti per l'intera
durata della licenza.
I clienti che desiderassero gestire
server Blackhole indipendenti possono
acquistare licenze più estese. Ma la
versione del kit Blackhole ricevuta dai clienti
è pesantemente occultata. E questa è
solamente una delle varie precauzioni
adottate dagli autori di Blackhole per
mantenere il controllo sul prodotto. Non si
sono ancora osservati derivati di Blackhole
creati da autori indipendenti, nonostante
Blackhole abbia subito moltissimi
aggiornamenti, e nonostante il fatto che altri
autori ne stiano imitando le tecniche.
I quattro stadi del ciclo di vita
di Blackhole
1. Reindirizzamento degli utenti verso
un sito di exploit Blackhole
Gli hacker violano siti Web
legittimi, aggiungendovi contenuti
malevoli (solitamente frammenti di
JavaScript) che a loro volta generano
link alle pagine di un sito contenente
Blackhole. Quando utenti ignari visitano
il sito legittimo, i browser scaricano
automaticamente anche il codice del kit
14
di exploit del server Blackhole .
I siti che contengono Blackhole in
hosting cambiano rapidamente.
Solitamente i domini appena registrati
vengono utilizzati come host di Blackhole,
normalmente scaricato utilizzando in
maniera impropria servizi di Dynamic
DNS quali: ddns., 1dumb.com e
dlinkddns.com. Sovente questi host
svaniscono nel giro di ventiquattr'ore.
La capacità di Blackhole di continuare
ininterrottamente a incanalare il traffico sul
giusto host appena acquisito mostra un
notevole livello di controllo centralizzato.
Blackhole vanta diverse strategie
di controllo del traffico degli utenti.
Recentemente si è notato l'utilizzo
improprio di schemi di affiliazione da
parte dei proprietari di Blackhole. Gli
host Web accettano volontariamente di
aggiungere codice Blackhole in cambio
di un modesto compenso, magari senza
neppure capire cosa farà questo codice. Si
è anche osservato che Blackhole sfrutta
i tradizionali link e allegati delle e-mail
di spam. Ad esempio link che segnalano
un presunto problema relativo a un conto
bancario, o che fingono di fornire un
documento scannerizzato.
Il 27% dei
reindirizzamenti e dei
siti contenenti exploit
è dovuto a Blackhole
Nel 2012 più dell'80% delle
minacce rilevate consisteva
in reindirizzamenti, per
la maggior parte verso
siti legittimi che erano
stati violati. Questo fatto
rappresenta un sonoro
campanello di allarme
e sottolinea quanto sia
importante proteggere il
sito e mantenere aggiornati
sia script del server che
applicazioni.
S
iti contenenti
exploit (Blackhole)
0.7%
R
eindirizzamenti
drive-by (Blackhole) 26.7%
S
iti contenenti
exploit (non
Blackhole)
1.8%
Payload
7.5%
R
eindirizzamenti
drive-by (non
Blackhole)
58.5%
SEO
1.1%
Fake antivirus
0.4%
A
ltro
3.4%
Fonte: SophosLabs
7
Blackhole: il leader di mercato per il malware in circolazione
2. Caricamento del codice infetto
dalla landing page
Una volta indotto il browser a scaricare
il contenuto del kit di exploit dal server
Blackhole, ecco che comincia l'attacco.
Prima di tutto il codice di exploit,
solitamente JavaScript, scopre e prende
nota di come il browser sia giunto al
server Blackhole. Vengono così identificati
i collaboratori che hanno generato il
traffico, in modo che possano essere
retribuiti, proprio come avviene per le reti
di affiliazione legittime. A questo punto
il codice dell'exploit prende l'impronta
o traccia il profilo del browser per
identificare: sistema operativo utilizzato,
versione del browser, nonché eventuale
presenza di plugin per Flash, file PDF,
applet Java e molto altro ancora.
Sebbene siano stati identificati attacchi
che sfruttano diversi tipi di vulnerabilità,
le falle di sicurezza di Java sembrano
essere la causa principale delle infezioni di
Blackhole. Anche in questo caso Blackhole
utilizza codice legittimo ogniqualvolta sia
possibile. Può ad esempio caricare il
codice di exploit tramite l'Open Business
Engine di Java, che in passato è stato
utilizzato per supportare un'ampia varietà
di applicazioni e sistemi di flusso
di lavoro, incluso il report quotidiano
"Terrorist Threat" del Presidente degli
15
Stati Uniti .
3. Invio del payload
Una volta violato il sistema di una vittima,
Blackhole è in grado di consegnare
il payload secondo le istruzioni fornite.
I payload sono tipicamente polimorfici,
ovvero variano con ciascun nuovo
sistema infettato. Gli autori di Blackhole
hanno intensificato l'uso avanzato
del polimorfismo lato server e
dell'occultazione del codice. Siccome
mantengono un solido controllo centrale,
sono in grado di effettuare aggiornamenti
con rapidità estrema. In confronto a
qualsiasi altro kit di exploit acquistato
e utilizzato come host dai criminali
informatici, Blackhole denota rapidi
cambiamenti in termini di comportamento
e efficacia. Inoltre, i payload di Blackhole
solitamente sfruttano tool di cifratura
personalizzati, appositamente
concepiti per eludere il rilevamento
dell'antivirus. Questi tool vengono
aggiunti dai clienti di Blackhole, e
Blackhole contribuisce con un servizio
opzionale che verifica attivamente
l'operatività dell'antivirus su qualsiasi tipo
di sistema cerchi di attaccare.
Per saperne di più
su Blackhole
Il malware dalla B
alla Z: le minacce viste
dall'interno, da Blackhole a
ZeroAccess
Mark Harris presenta i
SophosLabs
Fraser Howard dei
Blackhole
4. Monitoraggio, esperienza e
progresso
Blackhole ricorda gli exploit che
hanno avuto esito positivo, nonché la
corrispondente combinazione di browser,
sistema operativo e plugin. In questo
modo gli autori di Blackhole possono
valutare quali exploit siano più efficaci su
ciascuna combinazione di browser, plugin,
e sistema operativo. Questa tecnica di
monitoraggio è tutt'altro che originale, la
differenza è che gli autori di Blackhole
hanno continuato assiduamente ad
aggiornare il proprio kit di pari passo con i
nuovi dati raccolti.
Blackhole riesce con altrettanto successo
a sfruttare le nuove vulnerabilità del giorno
zero. Per esempio, ad agosto 2012 ha
attaccato una vulnerabilità molto nota
di Microsoft Help and Support Center, per
inviare VBS script soggetti a poisoning.
Blackhole ha lanciato un nuovo attacco
servendosi di una nuova rischiosa
vulnerabilità di Java 7 (CVE-2012-4681)
che consente al codice infetto di violare
il sistema di verifica delle autorizzazioni
8
16
di Java . La cosa sorprendente è che ad appena 12
ore dalla comunicazione pubblica di un proof-of-concept,
17
questo attacco Java era già stato incluso in Blackhole .
A sua volta Oracle era riuscita a pubblicare una patch
di emergenza verso la fine di agosto, ma sono ancora
molti i sistemi a cui non è stata applicata.
Dato il livello di complessità e l'agilità dimostrata
dagli autori di Blackhole, ci sorprende il fatto che
alcune parti del loro kit siano rimaste praticamente
statiche. Ad esempio: percorsi URL, nomi file e
struttura delle stringhe di query. I SophosLabs prevedono
una modifica di questa tendenza in futuro; ciò consentirà
agli autori di Blackhole di ottimizzare gli attacchi.
Cosa stiamo facendo per risolvere il problema Blackhole
e cosa potete fare per difendervi
I SophosLabs monitorano Blackhole 24 ore su 24, per
garantire che rilevamento generico e reputation filtering
tengano il passo con questo mutevolissimo kit di exploit.
Tutte le volte che Blackhole scopre come eludere le nostre
difese, inviamo aggiornamenti rapidi dal cloud. Inoltre,
adoperiamo tecniche all'avanguardia per l'identificazione
e l'analisi di attacchi di polimorfismo lato server, come
appunto Blackhole.
3. Bloccare siti Web legittimi e siti di exploit utilizzando
simultaneamente tecnologie di reputation filtering e
rilevamento dei contenuti, adoperando quest'ultimo anche
per bloccare i payload. Va notato che sovente reputation
filtering è in grado di bloccare i siti di exploit prima che
avvenga il rilevamento dei contenuti; tuttavia, da solo non
è affidabile al 100%.
Per quanto riguarda gli utenti, la migliore difesa contro
Blackhole è una difesa in profondità.
4.Evitare o limitare gli attacchi di ingegneria sociale
generati dallo spam, utilizzando filtri antispam aggiornati e
fornendo informazioni agli utenti in maniera più attiva.
1.L'implementazione tempestiva di patch a sistema
operativo e applicazioni è sempre e comunque importante;
il modo migliore per attuarla è automatizzando il processo
di applicazione delle patch.
5.Se il vostro prodotto di sicurezza endpoint include
funzionalità HIPS (host intrusion prevention system),
utilizzarle per aggiungere un ulteriore livello di protezione
contro exploit inediti o modificati.
2. Per ridurre la superficie di attacco, disabilitare sistemi
vulnerabili quali Java e Flash ogniqualvolta non ne sia
richiesto l'uso.
Dove si trovano gli host dei siti contenenti exploit Blackhole?
Paesi host dei siti contenenti exploit Blackhole (2012)
B
rasile
1.49%
Italia
5.75%
G
ran Bretagna
2.24%
C
ile
10.77%
P
aesi Bassi
2.55%
Russia
17.88%
G
ermania
3.68%
S
tati Uniti
30.81%
C
ina
5.22%
A
ltro
13.88%
T
urchia
5.74%
Fonte: SophosLabs
9
Gli attacchi Java
raggiungono la
massa critica
È stato un anno difficile per Java nei browser. I plugin
del browser di Java sono stati vessati da nuove gravi
vulnerabilità, spingendo molte aziende a rimuovere Java
dal browser ogniqualvolta fosse possibile.
Ad aprile, più di 600.000 utenti Mac si sono trovati arruolati nella botnet internazionale
Flashback, o Flashplayer, grazie a una vulnerabilità di Java su OS X che per troppo tempo era
rimasta senza patch. Apple ha quindi rilasciato un tool di rimozione e una patch per Java; in
seguito, Oracle si è assunta la responsabilità diretta della pubblicazione di Java per OS X,
promettendo non solo di inviare patch di Java sia per OS X che per Windows, ma anche
18
di rilasciarle contemporaneamente .
I developer di Oracle Java sono stati subito chiamati in causa per fornire patch in maniera
tempestiva. Nel giro di pochi giorni dalla scoperta di una nuova vulnerabilità zero-day
mostrata da Java 7 su tutti i sistemi operativi e le piattaforme, la falla era già stata: sfruttata
19
per sferrare attacchi mirati, integrata al diffusissimo kit di exploit Blackhole , nonché
addirittura utilizzata in e-mail di phishing contenenti un Service Agreement Microsoft
20
fasullo . Secondo un'analisi dettagliata, l'exploit avrebbe consentito a codice non autorizzato
di accedere a categorie che avrebbero dovuto essere off limit, disabilitando persino il security
21
manager di Java .
Come promesso da Oracle, un fix "out-of-band" (ovvero fuori programma) è stato rilasciato
più rapidamente di quanto molti prevedessero. Ma nel giro di poche settimane sono emerse
ulteriori gravi vulnerabilità di Java. Security Explorations, gli stessi ricercatori che avevano
individuato il primo difetto, hanno trovato un altro modo per bypassare la sandbox di
sicurezza per le applicazioni di Java — e questa volta non solo su Java 7, bensì anche su
22
Java 5 e 6 e in tutti i browser principali. Il nuovo exploit ha messo in pericolo 1 miliardo di
dispositivi.
10
Oggi come oggi, per molti utenti il bisogno
di programmi Java basati sul browser (noti
come applet) è minimo, se non addirittura
inesistente. JavaScript e altre tecnologie
hanno in gran parte sostituito le applet
all'interno del browser. A meno di essere
realmente sicuri di richiedere Java nel
browser, Sophos consiglia di disattivarlo.
Il nostro sito Web fornisce istruzioni
dettagliate per svolgere questa operazione
su Internet Explorer, Firefox, Google
23
Chrome, Safari e Opera.
Se visitate pagine Web che richiedono Java,
potreste installare un secondo browser
sul quale attivare Java. Utilizzate questo
browser solamente per i siti basati su Java,
continuando ad adoperare il vostro browser
privo di Java per qualsiasi altra pagina.
Java non è l'unico plugin a causare
grattacapi in termini di sicurezza. Negli
anni passati anche Adobe Flash è stato
preso di mira da exploit di alto profilo.
Fortunatamente la necessità di plugin del
browser come Flash è in calo. I browser su
cui è abilitato l'HTML5 sono dotati di varie
funzionalità, quali la riproduzione video e
audio incorporata, che rendono obsoleti i
tradizionali plugin.
Alcune organizzazioni non adottano
adeguate misure di protezione per le
password degli utenti
Le vulnerabilità delle password dovrebbero essere una rarità.
Esistono diverse tecniche ben note e facili da seguire per la
generazione, l'uso e l'archiviazione di password, in grado di
proteggere sia i singoli utenti che l'intera azienda. Eppure
nel 2012 abbiamo riscontrato casi su casi di severe violazioni
delle password, a danno di varie organizzazioni di alto profilo.
ÌÌ Alcuni criminali informatici russi hanno pubblicato su
Internet quasi 6,5 milioni di password di LinkedIn. I team di
hacker si sono subito messi all'opera per attaccare queste
password, craccandone più del 60% nel giro di pochi giorni.
Questa operazione è stata semplificata dal fatto che
LinkedIn non aveva generato dati random all'interno del
24
database di password prima di cifrarlo .
ÌÌ Il sito di dating eHarmony ha comunicato che circa 1,5
milioni di password erano state caricate sul Web in seguito
25
allo stesso attacco da cui era stato colpito LinkedIn .
ÌÌ Formspring ha scoperto che le password di 420.000
utenti erano state violate e pubblicate on-line; ha
quindi suggerito a tutti i 28 milioni di membri del sito di
26
modificare la propria password per precauzione .
ÌÌ Yahoo Voices ha confessato che quasi 500.000 e-mail e
27
password erano state prelevate illecitamente .
ÌÌ L'azienda multinazionale Philips è stata attaccata
dalla gang r00tbeer. Il gruppo è riuscito ad appropriarsi
indisturbatamente di migliaia di nomi, numeri di telefono,
28
indirizzi e password non cifrate .
ÌÌ IEEE, la più grande associazione internazionale per
l'avanzamento della tecnologia, ha lasciato esposto un
file di log contenente quasi 400 milioni di richieste Web,
salvandolo su una directory accessibile da qualsiasi parte
del mondo. Le richieste in questione includevano i nomi
utente e le password non cifrate di quasi 100.000 singoli
29
utenti .
11
Gli attacchi Java raggiungono la massa critica
Per saperne di più
sulle minacce in
circolazione
Educate gli utenti a
tenersi lontano dai guai, con
il nostro toolkit gratuito.
Cinque consigli pratici
per limitare il rischio delle
minacce Web in circolazione
Quindi, oltre al fatto che non ne vogliamo essere
vittima, che cosa possiamo imparare dai casi di
perdita di dati?
Per gli utenti:
ÌÌ Utilizzare password più sicure — e accertarsi che siano diverse per ciascun
sito contenente informazioni personali importanti.
ÌÌ Adoperare software di gestione delle password, come ad es. 1Password,
KeePass, o LastPass. Alcuni di questi tool sono persino in grado di
30
generare password difficili da dedurre .
Per i responsabili dei database delle password:
ÌÌ Evitare di archiviare password in testo non cifrato.
ÌÌ Proteggere
in maniera casuale tutte le password, prima di applicarvi un
hash, cifrarle e archiviarle.
ÌÌ Evitare
di applicare un solo hash alle password protette. Utilizzare
l'hashing diverse volte, per incrementare la difficoltà di deduzione
di ciascuna password durante un attacco. Si consiglia di utilizzare un
algoritmo di cifratura delle password ufficialmente riconosciuto, quali ad
es. bcrypt, scrypt o PBKDF2.
ÌÌ Confrontare
le potenziali vulnerabilità del sito con la Top Ten dei
rischi alla sicurezza compilata da OWASP, prendendo in considerazione
soprattutto le potenziali vulnerabilità delle password associate a problemi
31
di autenticazione e gestione della sessione .
ÌÌ Infine, proteggere database delle password, rete e server con difese a
livelli multipli.
12
Android:
il bersaglio principale
Oltre 100 milioni di ordini d'acquisto per telefoni Android
inviati solamente nel secondo trimestre del 2012 . Negli
Stati uniti, un sondaggio condotto a settembre 2012 fra gli
utenti in possesso di smartphone ha attribuito ad Android
una quota di mercato da capogiro: il 52,2% . Per gli autori
di malware è difficile saper resistere a bersagli così ampi.
E infatti, non vi resistono affatto: gli attacchi rivolti ad
Android sono in rapido aumento. In queste pagine
forniremo alcuni esempi e prospettive. Porremo le
seguenti domande: quanto sono gravi questi attacchi?
Tenderanno ad aumentare e peggiorare? Quali misure di
sicurezza ragionevoli devono adottare organizzazioni IT e
singoli utenti per proteggersi?
32
33
13
Android: il bersaglio principale
Semplici ma economicamente vantaggiosi:
software fasulli, messaggi SMS non autorizzati
Oggi come oggi il business model degli
attacchi di malware Android prevede
l'installazione di app fasulle che inviano di
nascosto messaggi a servizi SMS a tariffa
maggiorata. Fra i casi più recenti, vi sono
versioni contraffatte di Angry Birds Space,
Instagram, e prodotti antivirus fasulli per
34
Android . A maggio 2012, l'ente di vigilanza
per la telefonia mobile del Regno Unito ha
scoperto che 1.391 utenti Android erano
stati colpiti da questo tipo di truffa. Questo
ente ha emesso una multa rivolta all'azienda
responsabile del sistema di pagamento
utilizzato, interrotto il trasferimento di fondi,
e richiesto rimborsi per chiunque avesse già
effettuato un versamento. Tuttavia, gli utenti
del Regno Unito costituivano solamente
il 10% di queste vittime del malware: il
fenomeno è stato riscontrato in almeno 18
paesi.
Attualmente, una delle famiglie di malware
Android (Andr/Boxer) si trova all'origine
della maggior parte dei campioni di malware
Android da noi rilevati: circa un terzo del
totale. Legato a domini .ru in hosting in
Ucraina, Andr/Boxer invia messaggi in russo,
attaccando prevalentemente gli utenti Android
dell'Europa dell'Est che visitano siti che
promettono foto di donne attraenti.
Una volta giunti sul sito, gli utenti trovano
una pagina Web accuratamente studiata
per indurli a scaricare e installare un'app
malevola. Ad esempio, è possibile che
all'utente venga richiesto (in russo) di
installare un aggiornamento fasullo di
prodotti quali Opera o Skype. In alcuni casi,
invece, viene effettuata una scansione
antivirus fasulla, che indica la presenza
di infezioni inesistenti, consigliando
l'installazione di un programma fake
antivirus. Una volta installata, la nuova
Per saperne di più
sulla gestione dei
dispositivi mobili
Tool gratuito: Sophos
Mobile Security per Android
Mobile Security Toolkit
Guida all'acquisto di
soluzioni di Mobile Device
Management
Quando il malware
diventa mobile
Vanja Svajcer dei
SophosLabs spiega cos'è il
malware Android
Aumentano le minacce Android
In Australia e negli Stati Uniti Sophos ha rilevato tassi di esposizione alle minacce di
Android che superano quelli dei PC.
Tasso di esposizione alle minacce di Android
TER di Android
TER dei PC
60
50
40
30
20
10
Australia
Brazile
StatiUniti
Altro
Malesia Germania
India
Francia
Regno
Unito
Iran
Tasso di esposizione alle minacce (Threat Exposure Rate, TER): misurato in base alla percentuale di PC
e dispositivi Android che hanno subito un attacco di malware, riuscito o meno, in un periodo di tre mesi.
Fonte: SophosLabs
14
app comincia a inviare messaggi SMS dal
costo estremamente elevato. Molti di questi
trojan vengono installati mediante quelle
che in gergo Android vengono chiamate
autorizzazioni INSTALL_PACKAGES. Ciò
significa che possono scaricare e installare
anche altri malware in un secondo
momento.
Arruolamento nelle botnet
Fino a poco tempo fa, la maggior parte
degli attacchi di software fasullo rilevati
su Android era relativamente semplice.
Ad esempio, alcuni utilizzavano metodi di
polimorfismo primitivi, che prevedevano
la randomizzazione delle immagini, il
che implicava a sua volta la modifica
dei checksum per evitare il rilevamento.
Alcune aziende, leader nel mercato della
sicurezza, hanno scoperto come contrastare
questa tattica diversi anni fa.
Ma gli hacker hanno fatto progressi. Si
considerino ad esempio le versioni infettate
dal malware di Angry Birds Space rilevate
ad aprile 2012 (Andr/KongFu-L). Ancora
una volta, si tratta di un'app disponibile
solamente tramite mercati Android non
ufficiali. Questi trojan fanno sul serio. Si
servono anche di uno stratagemma software
noto come exploit GingerBreak per
ottenere accesso alla radice, installare
codice malevolo e comunicare con un sito
Web remoto per scaricare e installare
altro malware. Ciò consente ai trojan
di evitare rilevamento e rimozione,
arruolando nel contempo il dispositivo in
una botnet internazionale.
Intercettazione di messaggi e
coordinate bancarie
Si è anche cominciato a notare malware
Android in grado di intercettare gli SMS
in entrata e inoltrarli ad altri numeri
SMS o server. Questo tipo di fuga di dati
costituisce un grave rischio sia per i singoli
individui che per le aziende.
Ha tutto il potenziale per consentire a tali
tipi di attacco di prendere di mira i servizi
bancari che inviano codici di autenticazione
delle transazioni mobili tramite SMS. Diverse
banche inviano codici di autenticazione
tramite SMS ogniqualvolta venga
effettuata una transazione on-line. Ciò
significa che i criminali hanno bisogno di
ben più della semplice password di login
per prosciugare un conto bancario. Ma il
malware telefonico, quale ad es. Andr/Zitmo
basato su Zeus (con versioni simili per i
BlackBerry), è in grado di intercettare questi
messaggi SMS.
Si consideri il seguente scenario ipotetico.
Tramite un tradizionale attacco di phishing,
la vittima fornisce ai criminali sufficienti
informazioni per permetterne l'accesso
al conto bancario tramite dispositivi mobili,
nonché consentirne il collegamento al
proprio numero di telefono (un evento già
verificatosi). I criminali sono ora in grado di
accedere al conto bancario on-line e di ricevere
un SMS contenente il secondo token di
autenticazione necessario al completamento
della transazione.
Sondaggio di
Naked Security
Ritenete che lo spam per
smartphone inviato tramite
SMS/TXT sia un problema?
S
ì
43.78%
L
o era, ma ho
scaricato un’app
che ha risolto il
problema
2.36%
N
o: non ricevo
mai (oppure
ricevo raramente)
messaggi SMS
contenenti spam 45.29%
Servendosi di un'app Android malevola per
carpire i messaggi SMS in tempo reale e
orchestrando nel contempo un attacco di
ingegneria sociale, gli hacker aprono una
piccola finestra di opportunità che consente
loro il prelievo e l'utilizzo del token prima
che li possiate fermare.
15
Android: il bersaglio principale
PUA: non è proprio malware, ma rimane
pur sempre un rischio
Va notata la diffusa presenza di applicazioni potenzialmente
indesiderate (PUA). Le PUA sono app Android non
strettamente classificate come malware, ma pur sempre in
grado di esporre i dispositivi a vari rischi, fra i quali quelli di
sicurezza.
Prima di tutto va tenuto presente che molti utenti hanno
installato app che: conducono a reti di pubblicità molto
invadenti, sono in grado di monitorare uso e ubicazione dei
dispositivi, oppure riescono addirittura a carpire informazioni
personali. Queste app vengono sfruttate a scopo di
lucro semplicemente inviando immagini pubblicitarie
pornografiche. Molte aziende desiderano rimuoverle, per
via delle informazioni che espongono, oppure per questioni
di responsabilità verso i dipendenti, che vanno protetti da
contenuti inadeguati e da ambienti di lavoro potenzialmente
ostili.
In secondo luogo, alcuni degli utenti Android più avanzati
hanno deciso di installare sul proprio dispositivo Andr/
DrSheep-A. Simile al noto tool desktop Firesheep, Andr/
DrSheep-A è in grado di intercettare il traffico wireless e i
cookie non cifrati provenienti da siti quali Facebook e Twitter.
L'uso legittimo di questo tool prevede un test della rete.
Tuttavia, spesso viene utilizzato per impersonare a loro
insaputa utenti geograficamente vicini. Attualmente Andr/
DrSheep-A è stato rilevato sul 2,6% dei dispositivi Android
protetti da Sophos Mobile Security. È difficile che i reparti IT
aziendali consentano l'installazione, per non parlare dell'uso,
di simili tool.
Sottoponendo il dispositivo a “rooting”, si consente al software
di acquisire pieni privilegi di amministrazione Android. Il nome
deriva dall'account di amministrazione, che è noto come
“root” sui sistemi operativi simili a UNIX, quale ad es. Android.
Il rooting è molto diffuso, in quanto permette di assumere un
maggiore controllo sul dispositivo — soprattutto per rimuovere
add-on software indesiderati inclusi dal service provider,
oppure per sostituirli con alternative selezionate dall'utente.
Il rooting bypassa il modello di sicurezza incorporato di
Android, che impedisce l'accesso di ciascuna app ai dati
contenuti nelle altre app. Per il malware è più semplice
ottenere pieni privilegi, nonché eludere rilevamento
e rimozione, su dispositivi sottoposti a rooting. Per le
organizzazioni IT che supportano l'accesso a reti BYOD, i
dispositivi Android soggetti a rooting possono costituire un
rischio.
Mitigare i rischi fin quando è
ancora possibile
Nella maggior parte degli ambienti lavorativi i rischi
provenienti da Android sono ancora pochi. Ma i pericoli
sono in aumento. Nonostante Google stia apportando
miglioramenti per la protezione della piattaforma contro le
minacce più evidenti, continuano a sorgere nuove minacce.
Ad esempio, alcuni esperti di sicurezza hanno recentemente
espresso preoccupazioni legate ai rischi introdotti dalle nuove
funzionalità Near Field Communications (NFC), grazie alle
quali i dispositivi assumeranno le caratteristiche di vere e
proprie carte di credito.
Anche ora il malware Android è in grado di mettere a
repentaglio il futuro di un'azienda, se informazioni strategiche
o password vengono esposte a potenziali rischi di furto.
Tenendo presente questo pericolo, le organizzazioni IT devono
proteggere i dispositivi Android da malware, perdita di dati e
altre minacce. Si consiglia di seguire queste procedure per
diminuire il livello di rischio. Si ricordi che questi consigli non
sono completamente infallibili e che da soli non possono
fornire un adeguato livello di protezione. Tuttavia, possono
costituire un aiuto prezioso nella maggior parte degli ambienti.
ÌÌ Estendere le policy di sicurezza IT e utilizzo accettabile in
modo da includere i dispositivi Android, sempre che non sia
già stato fatto.
ÌÌ Negare l'accesso a dispositivi Android che sono stati
soggetti a rooting.
ÌÌ Considerare l'uso della cifratura completa del dispositivo
per proteggerlo contro la perdita di dati e per poter fornire
l'opzione di formattare in remoto i dispositivi smarriti o
rubati. Se si opta per la cifratura, accertarsi che la soluzione
selezionata sia in grado di cifrare eventuali schede SD
aggiuntive, che possono contenere dati sensibili, anche se
tali schede vengono formattate in maniera diversa.
16
ÌÌ Ove possibile, impostare processi automatizzati per
l'aggiornamento dei dispositivi Android in parallelo con
i nuovi fix di sicurezza. Mantenere aggiornati i dispositivi
Android, utilizzando le patch di sicurezza fornite dal
produttore del dispositivo stesso e dai vendor di qualsiasi
software installato.
ÌÌ Prendere in considerazione il blocco di app Android che
non provengono dal Play Store ufficiale di Google. È stato
rilevato malware anche nel Play Store, ma molto meno
frequentemente che in altri mercati di app non ufficiali,
soprattutto quelli dei paesi asiatici e dell'Europa dell'Est.
ÌÌ Quando si autorizza un app store, limitare gli utenti alle app
dotate di record positivi e valutazioni convincenti.
ÌÌ Evitare gli attacchi di ingegneria sociale, aiutando anche i
colleghi a schivarli. Ciò significa controllare minuziosamente
le autorizzazioni richieste da un'app in fase di installazione.
Ad esempio, se non si riesce a pensare a un valido motivo
per cui un'app desideri poter inviare messaggi SMS, evitare
di concedere tale privilegio. E prendersi un attimo di
riflessione per decidere se si desideri veramente effettuarne
35
l'installazione .
Sondaggio di Naked Security
Qual è la considerazione più importante da fare durante
l'installazione di un'app sul vostro dispositivo Android?
R
eputazione del
developer
43.78%
D
iffusione
dell’applicazione
28.65%
C
osto dell’app
13.24%
U
bicazione del
file di download
14.32%
ÌÌ Infine, considerare l'utilizzo di una soluzione antimalware
e di Mobile Device Management per i dispositivi Android.
Quella che consigliamo è Sophos Mobile Control. Ma
qualsiasi soluzione si scelga, deve provenire da un'azienda
dotata di ampia esperienza sia nell'ambito della protezione
antivirus che in altre questioni di sicurezza in senso lato.
Perché? Prima di tutto perché le tecniche di attacco
stanno cominciando a migrare da Android verso altre
piattaforme. Il vendor della vostra soluzione deve già sapere
come gestire anche queste. In secondo luogo, perché
gli attacchi stanno sorgendo e si stanno modificando in
maniera più rapida. Il vostro vendor deve già disporre di
un'infrastruttura internazionale operativa 24 ore al giorno, 7
giorni su 7, per identificare le minacce; inoltre, deve disporre
di un'infrastruttura in-the-cloud per poter rispondere
immediatamente agli attacchi. Il terzo motivo è quello più
importante: perché le complesse infrastrutture moderne
richiedono una risposta di sicurezza mobile integrata; deve
andare al di là del semplice antivirus, per contrastare
problemi diversi, che possono variare dalle funzionalità di
rete alla cifratura.
17
Piattaforme e
tecnologie diverse
incrementano le
opportunità di attacco
Un tempo quasi tutti adoperavano Windows. Chi
attaccava, attaccava Windows. Chi difendeva, difendeva
Windows. Ma ora non è più così.
Nel 2012 abbiamo riscontrato moltissime falle e vulnerabilità Windows. Ad esempio, la
Sidebar e i Gadgets su Windows Vista e Windows 7 si sono rivelati talmente problematici che
Microsoft li ha rimossi immediatamente, fornendo ai clienti appositi strumenti per disabilitarli.
Windows Sidebar conteneva mini-programmi (gadget) quali news, titoli e azioni e previsioni
del tempo. Insieme, rappresentavano la risposta di Microsoft ai famosi Dashboard
e Widget di Apple. Ma i ricercatori di sicurezza Mickey Shkatov e Toby Kohlenberg hanno
dichiarato di poter: dimostrare la presenza di vettori di attacco multipli per questi gadget,
36
indicare come creare gadget contenenti malware e identificare falle nei gadget pubblicati .
Microsoft ha subito abbandonato Sidebar e Gadget, e sta pianificando un nuovo
approccio a queste applicazioni in miniatura in Windows 8.
Sebbene la maggior parte degli utenti adoperi computer Windows, gran parte del progresso
sta avendo luogo altrove: sulle piattaforme Web e mobili. Ciò significa che le aziende e i
singoli utenti devono considerare i rischi alla sicurezza in ambienti nuovi e inconsueti, quali ad
es.Android.
Quelli che seguono sono alcuni esempi di violazioni di sicurezza avvenuti nel 2012.
Permettono di capire quali siano i problemi più diffusi, indicando il motivo per cui la difesa più
efficace è quella di adottare una struttura a livelli multipli che sia proattiva e che fornisca una
protezione a 360 gradi.
18
ÌÌ A febbraio 2012, un hacker ha individuato
falle di cross-site scripting (XSS) in 25
negozi on-line del Regno Unito che erano
stati certificati come sicuri da VeriSign,
37
Visa, o MasterCard . I criminali possono
sfruttare le falle di XSS per prelevare
illecitamente credenziali di autenticazione
o indirizzi di fatturazione dei clienti,
introducendo gravi rischi di furto di identità
degli utenti. L'origine di queste lacune
era la stessa: uno script per filtrare le
ricerche degli utenti compilato senza la
dovuta precisione. Ciò rappresenta un
ulteriore monito per ricordare agli utenti
che la sicurezza non è solamente una
questione di parole e simboli. La presenza
di elementi come https://, il lucchetto, o il
logo VeriSign Trusted non significa poter
trascurare ogni precauzione. E serve
per ricordare ai professionisti del Web di
mantenere aggiornati applicazioni e script,
inclusi quelli pubblicati da altri autori.
ÌÌ Migliaia di siti WordPress autogestiti sono
diventati host del pericoloso attacco di
38
malware Blackhole . Nel mese di agosto
2012 Sophos ha individuato una campagna
di malware su vasta scala che cercava
di infettare i computer servendosi del
famigerato kit di exploit Blackhole. Gli
utenti hanno ricevuto e-mail di “conferma
dell'ordine” contenenti link a blog di
WordPress legittimi che erano stati soggetti
a poisoning per l'invio di malware. Gli utenti
del servizio in hosting WordPress.com
non sono vulnerabili: il service provider,
Automattic, si occupa della sicurezza dei
server di WordPress.com.
Il ritorno del ransomware
Alcuni attacchi sembrano seguire un ciclo
preciso. Anche quando sono stati sconfitti
anno dopo anno, sono troppo semplici e
allettanti per i cybercriminali, i quali non
riescono ad abbandonarli per sempre. Nel
2012, ad esempio, Sophos ha notato una
ripresa degli attacchi di ransomware, i quali
bloccano i computer degli utenti esigendo un
pagamento per ripristinarne l'accesso.
Il ransomware è tutt'altro che una novità.
Già nel 1989 venivano distribuite forme
primitive di ransomware su floppy disk
inviati per posta. Agli utenti
veniva promesso un software sofisticato
contenente informazioni su HIV/AIDS;
ma invece del software, trovavano un
programma che cifrava gli hard disk. Veniva
quindi richiesto il pagamento di $189,
effettuabile tramite assegno circolare o
40
vaglia internazionale .
Al giorno d'oggi il ransomware proviene da
tecniche più moderne, quali e-mail che
sfruttano stratagemmi di ingegneria
sociale e pagine Web sottoposte a
poisoning. Un tipo di ransomware si limita
semplicemente a bloccare il PC ed
esigere un pagamento. I file rimangono
intatti. Sebbene l'infezione generi diversi
problemi, di solito è possibile porvi rimedio.
L'altro tipo di ransomware cifra i file,
provocando una catastrofe simile allo
smarrimento di un laptop, o al completo
malfunzionamento del disco.
Sondaggio di
Naked Security
Quale browser Web
consigliate?
Internet Explorer
5.95%
Chrome
28.9%
Firefox
23.09%
Safari
3.25%
Opera
36.75%
N
essuna
preferenza
2.06%
ÌÌ Gli hacker hanno dimostrato di voler
attaccare, almeno in teoria, un po'
di tutto: da abbonamenti a mezzi di
trasporto pubblico, fino a smartphone
dotati delle ultimissime tecnologie
39
Near Field Communication (NFC) .
19
Piattaforme e tecnologie diverse incrementano le opportunità di attacco
Al momento della pubblicazione di questo
documento, il ransomware più diffuso
è quello del primo tipo. Per esempio
Reveton, noto anche come Citadel o Troj/
Ransom, nasconde il desktop Windows,
impedisce l'accesso a qualsiasi programma
e visualizza a schermo intero il logo dell'FBI
(o di altri tipi di forze dell'ordine). Compare
un messaggio urgente che sostiene di aver
rilevato la presenza di materiale protetto
da copyright scaricato dall'utente; viene
quindi sollecitato il pagamento di una multa
(che di solito si aggira intorno ai $200) per
ripristinare l'accesso.
Questi attacchi possono essere sconfitti
riavviando il computer con un tool antivirus
che contenga un sistema operativo
indipendente e in grado di bypassare
Windows (ad esempio Sophos Bootable
Anti-Virus). Una volta in esecuzione, il tool
consente agli utenti di sottoporre il sistema
a scansione, rimuovere l'infezione ed
41
effettuare il ripristino .
Purtroppo sono stati identificati anche
casi sempre più frequenti di infezioni che
effettuano la cifratura completa degli hard
drive degli utenti utilizzando un'encryption
molto potente; l'unica chiave di decifrazione
viene quindi inoltrata in maniera sicura agli
hacker. A luglio 2012 se ne è osservata
una variante che minacciava di contattare
la polizia con una “password speciale” che
avrebbe rivelato file di pedofilia sul computer
42
della vittima .
In quasi tutti i casi un software
antivirus aggiornato è in grado di
impedire l'installazione e l'esecuzione
del ransomware. Ma se il computer non è
stato adeguatamente protetto e si viene
colpiti da un attacco di ransomware
tramite cifratura, con tutta probabilità
è già troppo tardi. Alcuni tipi di cifratura
utilizzati dal ransomware possono essere
invertiti (Sophos fornisce tool gratuiti per
tale operazione), ma solamente se i criminali
hanno commesso errori di cifratura. È
possibile che non vi sia una cura, per cui
la prevenzione è sempre la strategia più
efficace.
Per saperne di più sul
ransomware
I 5 principali falsi miti
sulla navigazione Web
sicura
Il Director of
Technology Strategy
James Lyne spiega cos'è il
ransomware
20
OS X e Mac:
più utenti, nuovi rischi
Per la maggior parte degli autori di malware è
economicamente più vantaggioso attaccare Windows,
piuttosto che imparare nuove tecniche per colpire la
comunità di utenti OS X. Ma i Mac stanno cominciando a
diffondersi sempre di più fra migliaia di organizzazioni e
agenzie governative: un fatto che non può passare
inosservato agli occhi degli autori di malware.
Recentemente, l'analista Frank Gillette di Forrester Research ha dichiarato che “quasi la
metà delle aziende (con 1000 o più dipendenti) fornisce Mac in dotazione a quantomeno una
parte dei dipendenti, pianificando un incremento del 52% nel numero di Mac da assegnare
43
nel 2012” . E non ufficialmente sono in arrivo ancora altri Mac, grazie ai programmi
bring your own device, nei quali sovente sono il dispositivo prescelto dai dirigenti per
accedere al Web o alle applicazioni in-the-cloud. Un utilizzo sempre più diffuso di Mac
comporta che molte organizzazioni IT si trovino per la prima volta a dover effettuare
valutazioni oggettive, mitigare i rischi e prevenire le minacce Mac. E i rischi sono in netto
aumento.
21
OS X e Mac: più utenti, nuovi rischi
Fake antivirus e Flashback: sfruttano quanto imparato dal
malware Windows per muoversi con più agilità
Nel 2011 si sono notati attacchi molto
intensi rivolti agli utenti Mac, per mano
di una famiglia di malware che si chiama
MacDefender. Si tratta di un fake antivirus
che ha rappresentato il primo vero e proprio
attacco ai Mac distribuito tramite le pagine
dei risultati di ricerca, allettando gli utenti a
visitare siti legittimi sottoposti a poisoning da
parte di questo malware.
È bene parlare di MacDefender, in quanto
dimostra che spesso il malware Mac segue le
orme dei vecchi attacchi rivolti a Windows. Un
modo per prevedere il futuro del malware Mac
è osservare cosa sta accadendo nel presente
agli utenti Windows. Ad esempio, con tutta
probabilità gli amministratori Mac possono
attendersi nuovi attacchi su misura che
sfruttano il polimorfismo lato server.
A utilizzare vari elementi di MacDefender,
pur apportandovi importanti innovazioni,
sono i creatori della famigerata botnet
Flashback (nota anche come OSX/Flshplyr),
che hanno infettato oltre 600.000 Mac
durante la primavera del 2012. Flashback è
inizialmente comparso durante gli ultimi mesi
del 2011, nelle vesti di un installer fasullo
di Adobe Flash. Ad aprile 2012, Flashback
ha cominciato a installarsi come download
drive-by, sfruttando una vulnerabilità di Java
su OS X rimasta priva di patch per diverse
settimane dopo la creazione di un fix per
utenti Windows da parte di Microsoft. Apple
ha quindi rilasciato patch per OS X 10.7 e 10.6,
ma non per le versioni precedenti. All'apice
dell'attacco, il prodotto antivirus per Mac
gratuito di Sophos ha individuato malware
simile a Flashback su circa il 2,1% dei Mac su
cui era installato.
Sebbene sia MacDefender che Flashback
siano stati sconfitti, dimostrano pur sempre
che gli autori di malware Mac si stanno
muovendo con più agilità. Si è notato che gli
autori sono riusciti a modificare i meccanismi
di delivery del malware esistente per sfruttare
nuove vulnerabilità del giorno zero.
Un’istantanea del malware Mac OS X
Tipicamente, in una settimana i SophosLabs hanno rilevato 4.900 malware OS X sui
computer Mac. Questo grafico fornisce un’istantanea del malware Mac rilevato durante
la settimana dal 1 al 6 agosto 2012.
O
SX/FkCodec-A
O
SX/Flshplyer-D
3.2%
O
SX/FakeAV-DWN 13.28%
O
SX/FakeAV-A
2.8%
O
SX/FakeAVZp-C
13%
O
SX/DnsCha-E
2.7%
O
SX/FakeAVDI-A
8.6%
O
SX/RSplug-A
2.4%
O
SX/FakeAV-DPU
7.1%
O
SX/Flshplyr-E
2.4%
O
SX/FakeAVDI-B
6.2%
O
SX/FakeAV-FNV
2.3%
O
SX/SafExinj-B
4.1%
O
SX/Jahlav-C
2.1%
O
SX/FakeAV-FFN
3.3%
26%
Fonte: SophosLabs
22
Morcut/Crisis: più sofisticato e
potenzialmente più pericoloso
Solitamente i software fake antivirus generano un guadagno
per i cybercriminali inducendo gli utenti a fornire dati di carta
di credito per l'acquisto di software completamente inutili. Per
la maggior parte delle aziende il rischio di perdita presentato
dai fake antivirus è stato minimo. Ma con malware del calibro
di OSX/Morcut-A (noto anche come Crisis), identificato per la
prima volta verso la fine di luglio 2012, i rischi sono diventati
più gravi.
Per saperne di più sui
nuovi rischi di OS X
Tool gratuito: Sophos
Anti-Virus per Mac
Andrew Ludgate dei
SophosLabs spiega cos'è il
malware Mac
Appositamente studiato per spiare gli utenti, Morcut è in grado
di monitorare in remoto quasi tutti i metodi di comunicazione
di un utente: coordinate del mouse, messaggistica istantanea,
dati di chiamata di Skype, informazioni relative alla posizione
geografica, webcam e microfono del Mac, contenuto degli
Appunti, tasti premuti, app in esecuzione, URL Web, schermate,
contenuto di calendario e rubrica, alert, informazioni sul
dispositivo, e persino metadati del file system.
Morcut assume le sembianze di un file Java Archive (JAR),
fingendosi certificato digitalmente da VeriSign. Se viene
installato dall'utente, Morcut invia: componenti driver del
kernel per camuffarsi ed eseguirsi senza alcuna autenticazione
44
da parte di un amministratore ; un componente backdoor
che rende il Mac accessibile agli altri utenti in rete; funzioni di
comando e controllo per ricevere ordini in remoto e adattare
il proprio comportamento; e infine l'elemento più importante,
ovvero un codice che preleva i dati dell'utente.
Se Morcut dovesse diffondersi, rappresenterebbe una
grave minaccia a compliance e sicurezza interna aziendale.
Le sue potenzialità si prestano in particolar modo ad
attacchi mirati rivolti a carpire informazioni su utenti Mac
specifici, che svolgono ruoli fondamentali all'interno della
propria organizzazione. Inoltre, a differenza del malware
Mac riscontrato in passato, dimostra anche una notevole
comprensione delle tecniche di programmazione dei Mac,
nonché delle loro funzionalità e dei potenziali punti deboli.
Tecniche backdoor molto simili a queste sono già state
identificate altrove. Per esempio, recentemente sono state
osservate per la prima volta come elemento incorporato in
un kit. Il kit (OSX/NetWrdRC-A) è primitivo, pieno di difetti e
45
facile da contrastare , ma potrebbe essere il precursore di più
sofisticati e pericolosi attacchi futuri.
23
OS X e Mac: più utenti, nuovi rischi
Malware Windows che si cela nei Mac
La maggior parte del malware individuato nei Mac è
malware Windows. Tradizionalmente, molti utenti Mac non
risultano allarmati da questo fatto: possono presumere che
questo malware non possa danneggiare i sistemi ed essere
ignari del rischio a cui espongono i colleghi che utilizzano
Windows. Ma è probabile che gli amministratori IT che
gestiscono ambienti multipiattaforma (o che collaborano
con Partner e Clienti che adoperano Windows) abbiano
un'opinione diversa. Inoltre, le partizioni di Windows dei Mac
dual-boot sono pur sempre vulnerabili alle infezioni, così
come lo sono le sessioni virtuali di Windows effettuate su
Parallels, VMware, VirtualBox, o addirittura sul programma
open source WINE.
Gli utenti Mac che richiedono occasionalmente accesso
a programmi Windows decidono talvolta di scaricarlo da
terzi, magari creando una chiave di licenza illegale con un
generatore scaricabile. Così facendo, sovente si trovano
alle prese con malware quale Mal/KeyGen-M, una
famiglia di generatori di chiavi di licenza contenenti
trojan identificata su circa il 7% dei Mac dotati di software
Sophos Anti-Virus.
Un'altra comune fonte di malware Windows su Mac
sono i filmati e i programmi fasulli di Windows Media. Questi file
contengono link Web che si inoltrano automaticamente,
promettendo un codec richiesto per la visualizzazione
del video, ma che in realtà scarica malware zero-day.
In genere i file di Windows Media non vengono eseguiti
sui Mac, ma spesso gli utenti Mac li condividono per
aumentare la propria “valutazione” su siti privati di tracking,
senza rendersi conto che i contenuti sono malevoli. Gli utenti
Windows cercano quindi di visualizzare i video e contraggono
l'infezione.
Recenti progressi di sicurezza e
limitazioni di OS X
di scansione antimalware operate tramite il sistema Launch
Services Quarantine (LSQuarantine) e la tecnologia XProtect.
Verso la metà del 2011, XProtect diviene un servizio
dinamico di aggiornamento push, con maggiore capacità di
rilevare e rimuovere i file identificati come malevoli.
Verso la metà del 2012, con OS X 10.8 Mountain Lion, Apple
introduce Gatekeeper, per la gestione delle autorizzazioni
di esecuzione dei codici, ottenute tramite software
ufficialmente riconosciuto. Per impostazione predefinita,
Gatekeeper preautorizza qualsiasi software contrassegnato
da una chiave officiale dei developer Apple che non sia stata
bloccata in passato a causa di uso improprio.
Gatekeeper è un miglioramento significativo e gradito per
la sicurezza Mac, ma non rappresenta che una soluzione
parziale. Software copiati da dispositivi USB, già presenti
sul computer, copiati direttamente da un computer a un
altro, oppure inviati mediante sistemi di trasferimento
dei file diversi da quelli standard, come BitTorrent, sono
tutti in grado di eluderlo. Gli utenti con credenziali di
amministrazione possono modificare le impostazioni
predefinite di Gatekeeper per consentire l'installazione di app
46
prive di signature digitali senza generare alcun alert .
Inoltre, gli utenti e i processi in esecuzione sono pur
sempre in grado di rimuovere il flag LSQuarantine dai file.
I programmi privi di signature possono essere autorizzati
e lanciati semplicemente cliccando con il tasto destro del
mouse sul programma elencato in "Finder", e selezionando
"Open", invece di cliccare due volte sull'icona corrispondente.
Le varianti di OS X precedenti alla versione 10.8 non
includono Gatekeeper.
Infine, i runtime interpreter degli shell script di Java, Flash
e OS X sono tutti preautorizzati da Apple. Questi runtime
interpreter sono liberi di eseguire qualsiasi codice. Java
e Flash sono stati fra i principali vettori di attacco per la
piattaforma Mac. Questo problema potrebbe diventare
meno grave: la versione Mac di Java è stata recentemente
sottoposta ad hardening, mentre Adobe Flash è in procinto di
essere gradualmente sostituito da HTML5.
Mac OS X, in origine basato su BSD UNIX, possiede un
potente modello di sicurezza. Nel 2009, con la release di OS
X 10.6 Snow Leopard, Apple aggiunge funzionalità limitate
24
Utilizzare una soluzione antimalware per Mac a 360 gradi
Se Gatekeeper, LSQuarantine e XProtect rappresentano solamente una soluzione parziale, com'è fatta una soluzione
antimalware per Mac completa? Include i seguenti elementi:
ÌÌ Formazione degli utenti. È necessario lavorare a
stretto contatto con gli utenti Mac, per aiutarli a capire
che le minacce Mac sono un problema serio e concreto.
Tenderanno ad aumentare, di pari passo con la diffusione
dei Mac in ambito business; inoltre, gli attacchi di
ingegneria sociale colpiranno gli utenti Mac con la stessa
probabilità di quelli Windows.
ÌÌ Protezione a livelli multipli. Aggiornare la protezione
endpoint Mac in maniera costante è ora fondamentale —
ma è altrettanto essenziale aggiornare anche la sicurezza
di server, gateway di posta e Web, nonché infrastruttura
di rete. Va notato che le applicazioni server, come ad es.
WordPress e Drupal, sono state ampiamente sfruttate da
malware in grado di colpire i client Mac. Si tenga presente
che molte scansioni antivirus leggere, specialmente quelle
integrate nei dispositivi gateway e firewall, non effettuano
la scansione alla ricerca di malware ed exploit per Mac,
lasciando questi ultimi praticamente privi di protezione a
questo livello.
ÌÌ Competenza specifica in ambito Mac. Si consiglia
di assumere esperti in ambito Mac, oppure di offrire
formazione per i dipendenti che includa le caratteristiche
uniche di questa piattaforma. Ad esempio, è probabile che
le policy generiche per firewall e router debbano riflettere
la differenza fra il traffico Mac associato al pre-caching del
browser Safari e alle trasmissioni per l'individuazione della
rete generate dai servizi Mac Bonjour. Scelte informate
durante la configurazione del file system possono
consolidare le difese dei sistemi dual-boot Mac/Windows
contro gli attacchi.
ÌÌ P
rocedure e policy IT efficaci. Ove possibile, ampliare
le policy di best practice come ITIL, per includere sia
Mac che PC. Offrire patch rapide e automatizzate per i
dispositivi Mac, oltre a quelli Windows. E implementare
le patch di Java, Flash, altre applicazioni, e ovviamente
anche OS X. Se possibile, controllare la facoltà degli utenti
di installare nuovi software. Accertarsi che i developer
interni appongano signature digitali ai software OS X da
loro creati. Infine, gestire i log. I Mac compilano log in
tempo reale per quasi tutte le operazioni svolte, rendendo
possibile l'identificazione di nuove minacce di sicurezza,
nonché il loro blocco tramite modifiche alle policy firewall,
oppure isolando determinate aree della rete.
ÌÌ Realismo. Siccome spesso i Mac vengono utilizzati da
dirigenti e team di creazione che richiedono il massimo
livello di controllo sui propri computer, bisogna accettare
il fatto che alcuni Mac non sono affidabili. Ma il fatto che
non siano affidabili non significa che non vadano protetti.
È necessario offrire agli utenti un livello di protezione
facilmente gestibile. E le aziende devono sempre
tenere presente i requisiti legali associati a sicurezza e
comunicazione delle violazioni. L'attuazione di tali requisiti
può essere in particolar modo importante quando riguarda
i dirigenti dell'azienda. Secondo molti esperti di sicurezza,
difendere i perimetri di rete sta diventando sempre
più difficile; si può concludere che tutti sistemi vanno
considerati inaffidabili, non solamente i Mac.
Sia che gli utenti Mac si affidino a Mail.app o che utilizzino
altri client di posta back-end sulla falsa riga di UNIX,
decisioni avvedute sull'archiviazione delle e-mail possono
ridurre l'eventualità che gli utenti Windows aprano
inavvertitamente file .zip infetti. Mentre l'architettura di
Mac è impostata su BSD UNIX, l'interfaccia utente non lo
è. Di conseguenza, la conoscenza generica di UNIX aiuta,
ma può non essere sufficiente.
25
Le forze dell'ordine
effettuano importanti
arresti per combattere
il malware
Per saperne di più
sul malware
Come guadagnare con
il malware
Per la protezione di sistemi e risorse, i professionisti
della sicurezza devono sempre contare in primo luogo
su se stessi. Tuttavia, nel 2012 le forze dell'ordine hanno
supportato questa battaglia, rappresentando un aiuto
molto gradito.
In quella che potrebbe essere definita come la loro vittoria più famosa, le forze dell'ordine
federali statunitensi hanno proseguito sulla scia degli arresti dei famigerati hacker LulzSec
nel 2011, collaborando attivamente con uno dei membri principali della gang: Hector Xavier
Monsegur (“Sabu”). Nelle vesti di Sabu, Monsegur aveva per lungo tempo inveito contro il
governo statunitense; tuttavia ha poi operato per diversi mesi sotto copertura, contribuendo
a raccogliere prove contro i responsabili degli attacchi di hacking rivolti a CIA, Pentagono,
Senato degli Stati Uniti, ente britannico Serious Organised Crime Agency (SOCA), e molte
altre importanti organizzazioni. Monsegur ha aiutato le forze dell'ordine ad acciuffare Jake
Davis (noto anche come “Topiary”) nelle Isole Shetland, dove Davis sarebbe stato trovato in
possesso di 750.000 password di cui si era appropriato in maniera illecita. Ad agosto 2012, il
pubblico ministero ha richiesto una proroga di sei mesi per la sentenza di Monsegur, in modo
47
da consentirne l'ulteriore collaborazione .
LulzSec può anche essere stato il caso più discusso pubblicamente dell'anno, ma di
sicuro non è stato l'unico. Il 2012 ha avuto inizio con l'estradizione del cittadino russo Vladimir
Zdorovenin, sospettato di cybercrime, il quale è stato consegnato al governo degli Stati Uniti.
Zdorovenin è stato accusato di aver installato keylogger sui computer di vittime statunitensi,
con lo scopo di carpire numeri di carta di credito da utilizzare per far sembrare
legittimo l'acquisto di beni di consumo dai propri negozi on-line, e per sfruttare i servizi
48
finanziari delle vittime al fine di manipolare il valore di titoli e azioni . Si è dichiarato colpevole
49
di congiura e frode informatica .
26
Successivamente, a maggio, il cervello di Bredolab (una
botnet che all'apice del successo era riuscita ad accaparrarsi
il controllo di 30 milioni di computer) è stato condannato
a quattro anni di prigione in Armenia. Secondo il pubblico
ministero, Georg Avanesov intascava 100.000 euro
(equivalenti a 80.000 sterline, o 125.000 dollari) al mese
dal business generato dalla botnet Bredolab, offrendone a
noleggio l'accesso a criminali che desideravano inviare spam
e diffondere malware tramite e-mail. All'apice del successo,
la botnet di Avanesov inviava più di 3 miliardi di e-mail
infette al giorno, mentre lui trascorreva vacanze di lusso alle
50
Seychelles .
A giugno, il Federal Bureau of Investigation statunitense ha
raggiunto il culmine di un'investigazione svolta nel corso
di due anni, mirata all'identificazione di un tipo di frode
legato alle carte di credito; sono stati effettuati 24 arresti di
presunti criminali informatici provenienti da
Stati Uniti, Regno Unito, Bosnia, Bulgaria, Norvegia,
Germania e altri paesi. Fra questi criminali vi erano diversi
esperti nell'ambito della creazione di trojan per l'accesso
remoto e della falsificazione di garanzie di prodotto Apple.
L'FBI ritiene di aver prevenuto transazioni fraudolente pari
a oltre $205 milioni, identificando 411.000 numeri di carta
di credito prelevati in maniera illecita, e comunicandone la
51
violazione a 47 organizzazioni .
Nello stesso mese, la polizia di Tokyo ha effettuato
sei arresti in connessione con un'app che infettava gli
smartphone Android, prelevando dati personali ed esigendo
un pagamento. Secondo la polizia, l'app Android malevola
era stata scaricata da 9.252 utenti, 211 dei quali sono stati
convinti a effettuare un pagamento — pari a oltre $250.000
52
in totale .
Successivamente, all'inizio del mese di luglio, la Police
Central e-crime Unit (PCeU) del Regno Unito ha comunicato
le severe sentenze emesse contro tre cittadini dei Paesi
Baltici; sono stati dichiarati colpevoli di aver utilizzato il
trojan SpyEye per prosciugare conti bancari in Regno Unito,
53
Danimarca, Paesi Bassi e Nuova Zelanda .
Sempre a luglio, la polizia olandese è riuscita a disattivare i
computer secondari di comando e controllo (C&C) utilizzati
dalla colossale botnet Grum, appena una settimana dopo la
53
dichiarazione pubblica della sua esistenza . Poco dopo, altre
forze dell'ordine sono state in grado di disabilitare i computer
primari di C&C della botnet, situati in Panama e Russia,
disattivando quindi una botnet a cui si deve presumibilmente
55
il 17% dello spam presente nel mondo .
La top 12 dei paesi che diffondono il malware
1. India
12.19%
7. Russia
3.34%
2. Stati Uniti
7.06%
8. Francia
3.04%
3. Italia
6.95%
9. Pakistan
2.95%
4. C
orea
5.37%
10. Polonia
2.77%
5. Brasile
4.17%
11. Indonesia
2.73%
6. Vietnam
4.16%
12. Cina
2.73%
Percentuale di tutto lo spam
Fonte: SophosLabs
Fonti di spam per continente
Asia
48.66%
Europa
27.07%
America del Sud
10.89%
America del Nord
9.68%
Africa
3.20%
Oceania
0.05%
Percentuale di tutto lo spam
Fonte: SophosLabs
27
L'aumento dei pericolosi
attacchi mirati
Se da un lato le forze dell'ordine si sono mobilitate con
più efficacia contro i criminali informatici, nel 2012 si
sono riscontrate anche maggiori preoccupazioni legate
agli attacchi di cybercrime sponsorizzati a livello
nazionale, per non parlare degli exploit lanciati durante
una presunta collaborazione fra diversi paesi, allo scopo
di raggiungere obiettivi strategici. Se questi attacchi si
diffondessero e venissero confermati, i rischi a cui sono
esposti individui importanti a livello governativo e privato
aumenterebbero di portata e serietà. Anche i bersagli
minori dovranno incrementare il livello di vigilanza per
evitare di divenire vittime secondarie. Ciò significherà, fra
l'altro, dover consolidare la strategia di protezione della
rete, integrandola ad altri servizi di sicurezza, per
rilevare e contrastare gli attacchi in maniera più rapida .
56
Fra questi tipi di attacco, Flame è quello che ha generato più risonanza pubblica
nel 2012; tuttavia, la sua importanza ed efficacia erano tutt'altro che evidenti. Più
recentemente, il devastante trojan Shamoon (Troj/Mdrop-ELD) avrebbe provocato seri
57
danni al settore dell'energia in Medio Oriente. Secondo BBC e The Register , avrebbe
infettato circa 30.000 computer, disattivando la rete della società petrolifera nazionale
58
dell'Arabia Saudita . Poco dopo, l'azienda fornitrice di gas naturale RasGas, situata in
Qatar, ha subito un attacco che ne ha disattivato rete e sito Web, rendendo inutilizzabili i
59
sistemi dei loro uffici .
28
Si è anche notato un accenno di attacchi
informatici organizzati rivolti contro gli
Stati Uniti. Verso la fine di settembre,
il senatore statunitense Joseph
Lieberman ha comunicato la recente
intensificazione degli attacchi DDoS
rivolti a Bank of America, JPMorgan Chase,
Wells Fargo, Citigroup e PNC Bank, facendo
illusioni senza alcuna prova concreta che
questi attacchi fossero stati “condotti
dall'Iran… [in] risposta alle sempre più
severe sanzioni economiche imposte
dagli Stati Uniti e dai suoi alleati sulle
istituzioni finanziarie iraniane. Può essere
60
considerato un contrattacco...” .
Secondo Bloomberg, indipendentemente
dall'origine, questi nuovi attacchi sono
riusciti a “violare alcune delle difese più
inespugnabili del paese, mettendo a nudo
61
le vulnerabilità della sua infrastruttura” .
Per via della loro stessa natura, gli attacchi
di cybercrime sponsorizzati da un governo
(e gli attacchi sferrati da team privati
altamente sofisticati che agiscono in
stretta collaborazione con un paese) sono
difficili da rintracciare e da verificare;
tendono anche a generare clamore
altrettanto ingiustificabile. Ciononostante
sembra che vi siano più criminali che
cercano di sviluppare la capacità di
effettuare questi tipi di attacco. E una volta
acquisita tale capacità, la tentazione di
adoperarla sarà forte.
Il vostro paese è sicuro oppure a rischio?
Tasso di esposizione alle minacce (TER) in base al paese
I 10 paesi più sicuri
TER
TER
1. Norvegia
1.81%
6. Stati Uniti
3.82%
2. Svezia
2.59%
7. Slovenia
4.21%
3. Giappone
2.63%
8. Canada
4.26%
4. Regno Unito
3.51%
9. Austria
4.27%
5. Svizzera
3.81%
10. Paesi Bassi
4.28%
I 10 paesi più a rischio
TER
TER
1. Indonesia
23.54%
6. India
15.88%
2. Cina
21.26%
7. Messico
15.66%
3. Thailandia
20.78%
8. EAU
13.67%
4. Filippine
19.81%
9. Taiwan
12.66%
5. Malesia
17.44%
10. Hong Kong
11.47%
Tasso di esposizione alle minacce (Threat Exposure Rate, TER): misurato in
base alla percentuale di PC e dispositivi Android che hanno subito un attacco
di malware, riuscito o meno, in un periodo di tre mesi.
Fonte: SophosLabs
Benvenuti nell'era del malware su misura
50%
75%
88%
Il 50% dei
rilevamenti si basa
solamente su 19
identità di malware.
Il 75% dei singoli
campioni di
malware è stato
rilevato in un'unica
organizzazione.
L'88% del malware
è stato individuato
in meno di 10
organizzazioni.
Fonte: SophosLabs
29
Attacchi polimorfici
e mirati:
la "coda lunga"
Per saperne di più
sulla coda lunga
Richard Wang dei
la coda lunga
Il termine “coda lunga” (dall'inglese "long tail") è
diventato un metodo molto diffuso per descrivere eventi
che non rientrano nella distribuzione statistica
tradizionale, ma che invece si verificano da soli o a
gruppi di due, "in coda" alla curva di distribuzione. Ciò
avviene nell'ambito delle vendite, dove i prodotti studiati
su misura rappresentano una percentuale sempre più
elevata delle vendite; e ora si sta cominciando a
verificare anche per il malware.
Sophos ha notato che il 75% dei file di malware segnalati provengono da un'unica
organizzazione. Si tratta di un livello di polimorfismo mai visto prima. In più, i criminali
hanno cominciato a sviluppare e utilizzare approcci più sofisticati al polimorfismo, per celare
gli attacchi ed eludere vendor di sicurezza e organizzazioni IT. Questa battaglia ha avuto serie
implicazioni nell'ambito dell'informatica, ed è quindi importante capire cosa sta succedendo,
come Sophos sta rispondendo agli attacchi, e cosa potete fare per proteggervi.
30
Polimorfismo: non è una novità, ma ora
causa più problemi
Come difendersi dal polimorfismo
lato server
Il polimorfismo non è un'idea nuova: gli autori di malware
lo utilizzano da 20 anni. In breve, il codice polimorfico
modifica il proprio aspetto nel tentativo di eludere il
rilevamento, senza però cambiare comportamento o
obiettivi. Gli hacker sperano che se un programma assume
sembianze abbastanza diverse, è possibile che sfugga al
rilevamento antivirus. Può anche accadere che il software
antivirus generi troppi falsi positivi, inducendo gli utenti a
disabilitarlo.
Sophos sfrutta un'analogia tratta dalla genetica per
ottenere un rilevamento di gran lunga più sofisticato per
SSP e altri tipi di attacco. La tecnologia Sophos Behavioral
Genotype identifica i nuovi tipi di malware riconoscendo
ed estraendo “geni” (o elementi del comportamento).
Utilizzando un sistema di punteggio minuziosamente
calibrato, che riflette tutto il malware rilevato, siamo in grado
di individuare le nuove combinazioni di geni (genotypes) che
differenziano il malware dal codice legittimo. Possiamo quindi
confrontare queste informazioni con i geni rilevati in file
sicuri, minimizzando il rischio di falsi positivi.
Solitamente, in un attacco di polimorfismo il codice viene
cifrato, allo scopo di farlo sembrare privo di significato e
assegnato a un decifratore che lo traduce nuovamente in una
forma eseguibile. Ogni volta che viene decifrato, un motore
di mutazione ne cambia nuovamente sintassi, semantica, o
entrambe. Gli autori di malware Windows, ad esempio,
hanno adoperato spesso la gestione strutturata delle
eccezioni per occultare il flusso di controllo e per
rendere più difficili le analisi statiche dei programmi prima
62
dell'esecuzione .
I virus polimorfici tradizionali posseggono una struttura
autosufficiente, e per riprodursi devono includere il motore di
mutazione. Sophos e altri vendor di sicurezza sono diventati
esperti nel rilevamento di queste forme di malware.
Una volta ottenuto l'accesso al motore di mutazione, è più
semplice analizzarne il comportamento.
Attualmente gli hacker stanno effettuando la transizione
verso tipi di malware diffusi via Web che sfruttano il
polimorfismo lato server (server-side polymorphism, SSP).
Al giorno d'oggi, motore di mutazione e relativi tool sono tutti
collocati in hosting sul server. I criminali si possono servire
di questi tool per creare al volo un contenuto diverso per il
file. I destinatari di questo contenuto (sia esso Windows .exe,
Adobe PDF, JavaScript, o qualsiasi altra cosa) vedono solo
un esempio di quello che il motore è in grado di creare.
Non vedono il motore vero e proprio.
Solitamente i vendor di sicurezza rispondono ottenendo vari
esempi diversi dei risultati del motore per raccogliere
informazioni sulla sua modalità operativa. Successivamente,
compilano un codice di rilevamento generico.
Questo approccio basato sui geni è flessibile e modificabile.
È sempre e comunque possibile aggiungere o modificare
i geni in maniera reattiva, oppure rilasciare geni intuitivi
per scoprire l'elemento con la più alta probabilità di
essere modificato. Inoltre, osserviamo come rispondono
ai rilevamenti di altri vendor di sicurezza. Sovente gli
autori di malware introducono modifiche che non hanno
un impatto immediato sul nostro rilevamento. Con la
regolazione proattiva del nostro profilo genetico al fine di
riflettere tali cambiamenti, possiamo diminuire la possibilità
che ulteriori modifiche rendano gli attacchi invisibili ai nostri
controlli.
Per certi tipi di malware SSP, il continuo avanti e indietro
fra vendor di sicurezza e autori di malware ha subito una
drastica accelerazione. Ad esempio gli autori di malware
più abili continuano a cercare di determinare quali parti del
codice siano rilevabili. Si sono notate modifiche e sostituzioni
di codici compromessi, avvenute nel giro di poche ore.
Ovviamente anche noi lavoriamo senza sosta per anticiparle
e rispondere a tono.
Inizialmente, SSP è stato sperimentato su sistemi Windows,
ed è stato utilizzato principalmente su file eseguibili di
Windows e pagine Web contenenti JavaScript. Nel 2012 ne
abbiamo osservato per la prima volta l'utilizzo all'interno di
malware Android, e riteniamo che in un futuro molto
prossimo si diffonderà anche su OS X. Il famigerato kit di
exploit Blackhole dipende molto da SSP, sebbene possegga
anche diversi altri assi nella manica.
31
Attacchi polimorfici e mirati: la "coda lunga"
Attacchi mirati: minuziosi,
selettivi e pericolosi
Come la maggior parte degli attacchi SSP, lo scopo di
Blackhole è inviare il payload indiscriminatamente a
quanti più destinatari possibile. Tuttavia, altre forme
di attacchi a "coda lunga" adoperano metodi molto
più mirati. L'intenzione di un autore di malware può
essere colpire solamente poche organizzazioni, cercare
importanti dati finanziari o coordinate bancarie, e preparare
minuziosamente l'attacco in seguito a una prima ricerca
ed esplorazione preliminare. Magari lancia un attacco
servendosi di e-mail falsificate contenenti in allegato un
documento appositamente studiato per suscitare l'interesse
di destinatari specifici.
Ad esempio, un decision-maker può ricevere un foglio
elettronico che promette di fornire dati relativi alle vendite
di un trimestre, ma che in realtà contiene del malware.
Se il destinatario specifico apre il documento senza che
sia stato segnalato l'attacco e se il malware viene
installato, è possibile che il contenuto malevolo rimanga
inerte fino a quando l'utente si connette al sito di on-line
banking dell'azienda. A questo punto, il malware è in
grado di prelevare le credenziali attraverso tecniche di
keystroke logging, oppure intercettando il secondo fattore
di autenticazione di un sistema di autenticazione a due fattori.
L'hacker può quindi utilizzare il login per attacchi futuri.
Spesso i criminali lanciano attacchi mirati rivolti ad
aziende di piccole e medie dimensioni che non sono
dotate di una forte presenza IT. E siccome si tratta di tipi
di malware che sono soliti colpire solamente un numero
ristretto di vittime, è possibile che non vengano riconosciuti
dal vendor di sicurezza dell'organizzazione; potrebbero
quindi riuscire a infiltrarsi senza essere rilevati, anche senza
utilizzare tecniche di polimorfismo. Ciò indica un ulteriore
vantaggio dell'approccio basato sui geni utilizzato da Sophos.
Di solito il nostro client di Endpoint Protection è in grado di
riconoscere il nuovo malware anche se non è mai stato
osservato prima, grazie all'analisi di comportamento e
caratteristiche dimostrate.
È possibile che gli hacker cerchino di violare un
determinato sito Web, sapendo che verrà visitato dagli
utenti dell'organizzazione presa di mira. Solitamente fra
le vittime vi sono partner junior della catena di distribuzione,
in quanto generalmente si ritiene posseggano un livello di
63
sicurezza IT inferiore .
Oltre a utilizzare una soluzione avanzata di Endpoint
Protection, le aziende di piccole e medie dimensioni
possono limitare i rischi selezionando un computer da
dedicare esclusivamente ai servizi finanziari on-line: un
computer che non verrà utilizzato per navigazione generale,
lettura delle e-mail, o attività sui social network.
Difesa in profondità contro SSP
I professionisti dell'informatica e della sicurezza devono
essere pronti a rispondere agli attacchi basati su SSP e agli
attacchi mirati di cybercrime. Prima di tutto, è necessario
implementare una difesa in profondità a livelli multipli.
Per esempio, spesso la vastissima botnet (con relativo
rootkit) ZeroAccess può essere individuata dal modo in cui
si connette alla propria botnet peer-to-peer. Rilevare questo
tipo di comunicazione a livello dil firewall consentirebbe
l'identificazione del computer infettato.
Le regole di sicurezza devono utilizzare una combinazione
di analisi statiche e dinamiche per individuare un programma
malevolo. Ad esempio, contenuti malevoli identificati in fase
di prima analisi di un file (come ad es. una cifratura insolita)
possono successivamente portare ad attività sospette
(quale ad es. una connessione di rete imprevista).
Nel caso degli attacchi mirati, i professionisti
dell'informatica devono tenere presente il rischio dei tool
di amministrazione dall'aspetto legittimo. Questi tool non
vengono rilevati come malevoli, ma possono essere molto
potenti nelle mani di un hacker. Le contromisure più efficaci
includono la restrizione dei tipi di applicazioni non lavorative
eseguibili dagli utenti, una funzionalità nota come application
control.
Infine, i professionisti IT devono rispondere in maniera
aggressiva ai tentativi degli hacker di trovare e sfruttare
vulnerabilità, limitando le superfici di attacco di rete, software
e utenti. Un'implementazione delle patch regolare e
automatizzata fa sempre parte delle best practice, ma è
ancora più imperativa nel panorama attuale delle minacce.
32
Complete security
Per bloccare le nuove minacce, proteggere i dati
ovunque, gestire le esigenze di mobilità degli
utenti e mitigare lo stress a cui è sottoposto il
vostro team IT, è necessaria una strategia di
Complete Security — per tutte le fasi del ciclo di
vita della sicurezza. Complete security può
essere suddivisa in quattro categorie principali:
ÌÌ R
iduzione della superficie di attacco. Adottate un approccio attivo che non
monitori esclusivamente il malware, bensì anche minacce come: vulnerabilità,
applicazioni, siti Web e spam.
ÌÌ P
rotezione ovunque. Accertatevi che gli utenti siano protetti ovunque si
trovino e indipendentemente dal dispositivo in loro possesso; questa soluzione
armonizza tecnologie endpoint (inclusa mobile security), gateway e cloud per
la condivisione dei dati e la collaborazione, al fine di garantire una protezione
più efficace, senza influire sugli utenti o sulla performance.
ÌÌ B
locco di attacchi e tentativi di violazione. È ora di andare oltre le semplici
signature dell'antivirus e di analizzare i diversi livelli del rilevamento, allo
scopo di bloccare le minacce nelle varie fasi di esecuzione. Verificate che la
protezione analizzi anche eventuali comportamenti sospetti degli utenti, e non
solamente il codice malevolo.
ÌÌ C
ontinuità lavorativa. Per gli utenti e per il personale IT. Semplificando le
operazioni che attualmente richiedono troppo tempo (mediante visibilità
completa e controllo granulare del sistema di sicurezza) è possibile notare
rapidamente eventuali problemi e porvi rimedio.
33
Complete security
Esplorate con Sophos le due strade che portano alla Complete Security
Sophos UTM
Sophos Complete Security Suite
Integra il software di Complete Security
in un'unica appliance. Offre la possibilità di
selezionare solamente la protezione che vi
serve nel momento in cui ne avete bisogno.
E l'installazione può essere effettuata sulla
piattaforma che più si addice alle esigenze
del vostro business: appliance hardware,
software o virtuali. Ciascuna offre un set di
funzionalità identiche, indipendentemente
dal numero di utenti protetti, siano essi 10
o 5.000. E la nostra console di gestione
basata sul Web consente la facile
amministrazione di tutti i prodotti di
sicurezza informatica da un unico punto.
Protegge su tutti i fronti: dalla rete ai server,
fino agli endpoint e ai dispositivi mobili.
Poiché è tutto firmato Sophos, i prodotti
garantiscono un'ottima interazione fra i
diversi componenti. È facile da usare, il che
aiuta a risparmiare tempo e denaro. E in più,
è supportata da un vendor di cui vi potete
fidare.
Endpoint
Network
La nostra Endpoint Protection
Con noi, la vostra infrastruttura
mantiene i dati al sicuro e
di rete rimane protetta e sicura,
protegge dal malware, senza
grazie ad un controllo facile e
eccedere il budget dedicato alla
unificato.
protezione antivirus.
Encryption (cifratura)
Email
Proteggiamo le vostre
Offriamo funzioni di cifratura delle
informazioni riservate, aiutandovi
e-mail dal contenuto sensibile,
a rispettare la compliance alle
prevenzione contro la perdita dei
normative vigenti.
dati e blocco dello spam.
Mobile
Web
Aiutiamo a mettere in sicurezza,
Con noi, usare Internet diventa più
proteggere e gestire dispositivi
sicuro e produttivo.
mobili e dati.
UTM
Un’unica appliance per eliminare
la complessità associata a point
solution multiple.
34
Cosa ci riserva il 2013
Di James Lyne, Director of Technology Strategy
Sophos è orgogliosa della rapidità mostrata nell'identificare,
gestire e rispondere alle minacce.
Anche se i criminali spesso sfruttano le opportunità a loro fornite,
riteniamo che nel 2013 la possibilità di testare le nuove
piattaforme (talvolta con garanzia di rimborso da parte degli
sponsor) aumenterà la probabilità che il malware continui a
infiltrarsi nei tradizionali sistemi di sicurezza a livello unico. Come
risultato prevediamo un incremento nel numero di attacchi
mirati a fornire agli hacker un accesso alle aziende più a lungo
termine e di maggiore impatto. Con tutta probabilità una delle
tematiche più importanti nell'anno a venire sarà quindi una
maggiore attenzione rivolta alla sicurezza a livelli multipli e al
rilevamento durante l'intero ciclo di vita delle minacce, e non
solamente in fase di accesso. Inoltre, riteniamo che nel panorama
delle minacce alla sicurezza informatica del 2013 figureranno
questi cinque trend.
Errori elementari del Web server
Nel 2012 si è riscontrato un incremento nel numero di attacchi di SQL injection rivolti a
Web server e database, allo scopo di prelevare ingenti quantità di nomi utente e password.
Fra le vittime vi sono stati tutti i tipi di aziende, da quelle di piccole a quelle di più grandi
dimensioni, a scopo sia politico che economico. Con l'incremento di questi tipi di
prelievo di informazioni mediante credenziali legittime, i professionisti dell'IT security devono
prestare altrettanta attenzione alla protezione dei computer, oltre a quella dell'ambiente del
Web server.
35
Cosa ci riserva il 2013
Ulteriore malware “irreversibile”
Nel 2012 abbiamo riscontrato un brusco aumento della diffusione e della qualità del malware
ransomware, che cifra i dati ed esige un riscatto. L'ampia disponibilità di chiavi di cifratura
pubbliche e di meccanismi di comando e controllo intelligenti ha reso estremamente
difficile, se non impossibile, rimediare ai danni. Durante il prossimo anno si prevede la
comparsa di un maggior numero di attacchi che, per i professionisti dell'IT Security,
metteranno in risalto anche meccanismi di behavioral protection, hardening del sistema e
procedure di backup/ripristino.
Per saperne di più
sulla Mobile Security
Mobile Device Security:
che cosa ci riserva il futuro
Toolkit di attacco con funzionalità avanzate
Negli ultimi 12 mesi abbiamo osservato un notevole investimento da parte dei criminali
informatici in toolkit come il kit di exploit Blackhole. In esso sono state incluse
funzionalità come servizi Web programmabili, API, piattaforme di quality assurance
per il malware, resistenza alle analisi dettagliate, eleganti interfacce di reportistica, nonché
meccanismi di autodifesa. Con tutta probabilità l'anno prossimo si continuerà ad osservare
una costante evoluzione e sviluppo di questi kit, colmi di funzionalità avanzate che sembrano
facilitare ulteriormente il successo degli attacchi e l'accesso a codice malevolo di alta
qualità.
Una più efficace mitigazione degli exploit
Anche se il numero delle vulnerabilità sembra aver subito un incremento nel 2012 (inclusi
tutti i plugin di Java rilasciati negli ultimi otto anni), creare exploit è diventata un'impresa
più ardua, per via della modernizzazione e dell'hardening dei sistemi operativi. La vasta
disponibilità di DEP, ASLR, sandboxing, piattaforme mobili dalla sicurezza più severa e
nuovi meccanismi di avvio (per elencarne solo alcuni) hanno ostacolato la creazione di
exploit. Se da un lato non possiamo dare per scontato che gli exploit svaniscano, si è tuttavia
notata una diminuzione dei tentativi di exploit delle vulnerabilità, a cui si contrappone un
vertiginoso aumento degli attacchi di ingegneria sociale, sferrati su varie piattaforme.
Problemi di integrazione, privacy e sicurezza
Lo scorso anno, dispositivi mobili e applicazioni come i social media sono diventati più
integrati. Le nuove tecnologie (come ad es. l'integrazione a queste piattaforme di Near
Field Communication, NFC) e gli usi creativi dei GPS allo scopo di connettere le nostre vite
fisiche e digitali, forniscono ai cybercriminali nuove opportunità da sfruttare per violare la
nostra sicurezza o privacy. Questo trend non viene riscontrato solamente nei dispositivi
mobili, bensì nell'informatica in senso lato. L'anno prossimo si osserveranno nuovi esempi
di attacchi basati su queste tecnologie.
36
Un'ultima parola
La sicurezza non riguarda solamente Microsoft. Oggi
come oggi, i PC rimangono il bersaglio principale del
codice malevolo, eppure i criminali sono riusciti a creare
efficaci attacchi di fake antivirus anche per Mac. Gli
autori di malware sono persino riusciti a intaccare i
dispositivi mobili, in quanto esistono nuove categorie di
sistemi operativi, aventi ciascuna modelli di sicurezza e
vettori di attacco diversi. È necessario concentrarsi sulla
protezione degli utenti finali, fornendo loro tutto
l'occorrente, indipendentemente da piattaforme,
dispositivi o sistemi operativi utilizzati.
37
Bibliografia
1. Microsoft Settles Lawsuit Against 3322 dot org, Reveals Scale of Nitol Botnet
in China, http://nakedsecurity.sophos.com/2012/10/05/microsoft-settleslawsuit-against-3322-dot-org/
2. B
eware Remove Your Facebook Timeline Scams, Naked Security, http://
nakedsecurity.sophos.com/2012/05/29/beware-remove-your-facebooktimeline-scams/; ‘Remove Facebook Timeline’ Themed Scam Circulating on
Facebook, ZDNet, http://www.zdnet.com/blog/security/remove-facebooktimeline-themed-scam-circulating-on-facebook/9989
3. T
witter DMs From Your Friends Can Lead to Facebook Video Malware Attack,
Naked Security, http://nakedsecurity.sophos.com/2012/09/24/twitterfacebook-video-malware/
4. OMG This Is So Cool! Pinterest Hack Feeds Spam to Twitter and Facebook,
Naked Security, http://nakedsecurity.sophos.com/2012/09/12/omg-this-is-socool-pinterest-hack-feeds-spam-to-twitter-and-facebook/
5. Facebook Teams Up With Sophos and Other Security Vendors, Naked Security,
http://nakedsecurity.sophos.com/2012/04/25/facebook-teams-up-sophosother-vendors/
6. A
pplication Detects Social Network Spam, Malware, Dark Reading,
http://www.darkreading.com/security-monitoring/167901086/security/
vulnerabilities/240006232/application-detects-social-network-spam-malware.
html
17. Java Flaws Already Included in Blackhole Exploit Kit Oracle Was Informed
of Vulnerabilities in April, Naked Security, http://nakedsecurity.sophos.
com/2012/08/30/java-flaws-already-included-in-blackhole-exploit-kit-oraclewas-informed-of-vulnerabilities-in-april/
18. Oracle Updates Java, Supports OS X, Claims Full and Timely Updates for
Apple Users, Naked Security, http://nakedsecurity.sophos.com/2012/08/15/
oracle-updates-java-claims-full-and-timely-updates-for-apple-users/
19. Unpatched Java Exploit Spreads Like Wildfire, Naked Security, 8/28/12, http://
nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-likewildfire/
20. Attacks on Java Security Hole Hidden in Bogus Microsoft Services Agreement
Email, Naked Security, http://nakedsecurity.sophos.com/2012/09/03/javasecurity-hole-microsoft/
21. CVE-2012-4681 Java 7 0-Day vulnerability analysis, Deep End Research, http://
www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html
22. New Security Hole Found in Multiple Java Versions, Naked Security, http://
nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/
23. Visitate: http://www.sophos.com/it-it/security-news-trends/security-trends/
java-zero-day-exploit-disable-browser.aspx
7. A
Continued Commitment to Security, The Facebook Blog, http://www.
facebook.com/blog/blog.php?post=486790652130
24. New Security Hole Found in Multiple Java Versions, Naked Security, http://
nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/
8. L
atest Black Eye For Dropbox Shines Spotlight On Larger Problem, Dark
Reading, http://www.darkreading.com/blog/240004868/latest-black-eye-fordropbox-shines-spotlight-on-larger-problem.html
25. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http://
nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/
9. Another Layer of Security for Your Dropbox Account, Dropbox Blog, 8/27/12,
https://blog.dropbox.com/index.php/another-layer-of-security-for-yourdropbox-account
26. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos.
com/2012/09/26/ieee-squirms-after-sensational-security-spill/
10. Fraunhofer Institute Finds Security Vulnerabilites in Cloud Storage Services,
The H Security, http://www.h-online.com/security/news/item/FraunhoferInstitute-finds-security-vulnerabilites-in-cloud-storage-services-1575935.html
11. 5 Dropbox Security Warnings for Businesses, InformationWeek, http://www.
informationweek.com/security/management/5-dropbox-security-warnings-forbusiness/240005413?pgno=2
12. Con la progressiva integrazione del cloud computing, potreste trovare utili
spunti leggendo "Security Guidance for Critical Areas of Focus in Cloud
Computing V3.0", disponibile dal sito di Cloud Security Alliance a: https://
cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
13. Cloud Security: Top 5 Vulnerabilities of the Public Cloud, iPro Developer, http://
www.iprodeveloper.com/article/security/public-cloud-security-698785
14. Documento tecnico Sophos: Esplorando il kit di exploit Blackhole, http://www.
sophos.com/it-it/why-sophos/our-people/technical-papers/exploring-theblackhole-exploit-kit.aspx
15. The Open Business Engine, http://obe.sourceforge.net/
16. ImmunityProducts.Blogspot.com, http://immunityproducts.blogspot.
com/2012/08/java-0day-analysis-cve-2012-4681.html
27. The Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack,
Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/
28. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http://
nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/
29. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos.
com/2012/09/26/ieee-squirms-after-sensational-security-spill/
30. The Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack,
Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/
31. OWASP Top Ten 2010: The Ten Most Critical Web Application Security Risks,
The Open Web Application Security Project (OWASP), http://owasptop10.
googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf
32. Fonte: IDC. http://money.cnn.com/2012/08/08/technology/smartphonemarket-share/index.html
33. Fonte: ComScore. http://www.comscore.com/Press_Events/Press_
Releases/2012/9/comScore_Reports_July_2012_U.S._Mobile_Subscriber_
Market_Share
38
34. Angry Birds Malware Firm Fined £50,000 for Profiting From Fake Android
Apps, Naked Security, http://nakedsecurity.sophos.com/2012/05/24/angrybirds-malware-fine/
51. FBI Arrests 24 in Internet Credit Card Fraud Ring, Naked Security, http://
nakedsecurity.sophos.com/2012/06/27/fbi-arrests-24-in-internet-credit-cardfraud-ring/
35. Leggendo questo, potreste desiderare sapere perché Sophos Anti-Virus
richieda il permesso di inviare messaggi SMS. Quando vengono effettuati il
blocco o l'identificazione in remoto di un dispositivo, il nostro software invia
un SMS contenente latitudine e longitudine, oppure conferma dell'avvenuto
blocco.
52. Android Porn Malware Leads to Arrests in Japan, Naked Security, http://
nakedsecurity.sophos.com/2012/06/18/android-porn-malware/
36. Disable Windows Sidebar and Gadgets Now on Vista and Windows 7.
Microsoft Warns of Security Risk, Naked Security, http://nakedsecurity.sophos.
com/2012/07/12/disable-windows-sidebar-gadgets/
54. Dutch Police Takedown C&Cs Used by Grum Botnet, Security Week, http://
www.securityweek.com/dutch-police-takedown-ccs-used-grum-botnet
37. 25 VeriSign Trusted Shops Found to Have XSS Holes, Naked Security, http://
nakedsecurity.sophos.com/2012/02/28/verisign-xss-holes/
38. Insecure WordPress Blogs Unwittingly Host Blackhole Malware Attack, Naked
Security, http://nakedsecurity.sophos.com/2012/08/10/blackhole-malwareattack/
39. Android NFC Hack Lets Subway Riders Evade Fares, Naked Security, http://
nakedsecurity.sophos.com/2012/09/24/android-nfc-hack-lets-subway-ridersevade-fares/
40. Ransomware: Would You Pay Up? Naked Security, http://nakedsecurity.sophos.
com/2012/09/25/ransomware-would-you-pay-up/
41. Reveton/FBI Ransomware: Exposed, Explained and Eliminated, Naked Security,
http://nakedsecurity.sophos.com/2012/08/29/reveton-ransomware-exposedexplained-and-eliminated/
42. Ransomware Makes Child Porn Menaces in Broken English, Naked Security,
http://nakedsecurity.sophos.com/2012/07/04/ransomware-menaces/
43. Apple Infiltrates the Enterprise: 1/5 of Global Info Workers Use Apple Products
for Work, http://blogs.forrester.com/frank_gillett/12-01-26-apple_infiltrates_
the_enterprise_15_of_global_info_workers_use_apple_products_for_work_0
44. Mac Malware Spies on Email, Survives Reboots, http://www.informationweek.
com/security/attacks/mac-malware-spies-on-email-survives-rebo/240004583
45. Apple Zombie Malware “NetWeird” Rummages for Browser and Email
Passwords, http://nakedsecurity.sophos.com/2012/08/24/apple-zombiemalware-netweird-rummages-for-browser-and-email-passwords/
53. Baltic SpyEye Malware Trio Sent to Prison, Naked Security, http://
nakedsecurity.sophos.com/2012/07/01/uk-cops-announce-sentencing-ofbaltic-malware-trio/
55. Top Spam Botnet ‘Grum’ Unplugged, Krebs on Security, http://krebsonsecurity.
com/2012/07/top-spam-botnet-grum-unplugged/
56. Midyear Security Predictions: What You Should Know and Look Out For, Dark
Reading, http://www.darkreading.com/blog/240002287/midyear-securitypredictions-what-you-should-know-and-look-out-for.html
57. 30,000 Machines Infected in Targeted Attack on Saudi Aramco, The Register,
http://www.theregister.co.uk/2012/08/30/rasgas_malware_outbreak/
58. Shamoon Virus Targets Energy Sector Infrastructure, BBC, http://www.bbc.
com/news/technology-19293797
59. More Dangerous Attacks Against Major Energy Providers: Mystery Virus Attack
Blows Qatari Gas Giant RasGas Offline, Cyberseecure, http://cyberseecure.
com/2012/08/mystery-virus-attack-blows-qatari-gas-giant-rasgas-offline-theregister/
60. U.S. Senator Blames Iran for Cyber Attacks on Banks, Naked Security, http://
nakedsecurity.sophos.com/2012/09/26/us-iran-banks/
61. Cyber Attacks on U.S. Banks Expose Computer Vulnerability, Bloomberg,
http://www.bloomberg.com/news/2012-09-28/cyber-attacks-on-u-s-banksexpose-computer-vulnerability.html
62. Taxonomy of Malware Polymorphism, http://www.foocodechu.com/?q=node/54
63. European Aeronautical Supplier’s Website Infected With “State-Sponsored”
Zero-Day Exploit ], http://nakedsecurity.sophos.com/2012/06/20/aeronauticalstate-sponsored-exploit/
46. Mountain Lion: Hands on With Gatekeeper, http://www.macworld.com/
article/1165408/mountain_lion_hands_on_with_gatekeeper.html
47. LulzSec Informant Sabu Rewarded With Six Months Freedom for Helping Feds,
Naked Security, http://nakedsecurity.sophos.com/2012/08/23/sabu-lulzsecfreedom/
48. Alleged Russian Cybercriminal Extradited to the US, Naked Security, http://
nakedsecurity.sophos.com/2012/01/19/alleged-cybercriminal-extradited-usa/
49. Russian Man Pleads Guilty to Cyber-Fraud Conspiracy in U.S., Bloomberg,
http://www.bloomberg.com/news/2012-02-24/russian-national-pleads-guiltyto-cyber-fraud-conspiracy-in-u-s-.html
50. Bredolab: Jail for Man Who Masterminded Botnet of 30 Million Computers,
Naked Security, http://nakedsecurity.sophos.com/2012/05/23/bredolab-jailbotnet/
39
Copyright 2012 Sophos Ltd. Tutti i diritti riservati.
Sophos e Sophos Anti-Virus sono marchi registrati di Sophos Ltd. e Sophos Group. Tutti gli
altri nomi di prodotti e aziende citati sono marchi o marchi registrati dei rispettivi proprietari.
Le informazioni contenute nel Rapporto sulla sicurezza sono esclusivamente a scopo
di informazione generale. Nonostante le informazioni vengano mantenute aggiornate e
corrette, non si rilasciano dichiarazioni o garanzie, esplicite o implicite, di alcun tipo e per
scopo alcuno in merito a completezza, accuratezza, affidabilità, adeguatezza o disponibilità
in merito al sito o a informazioni, prodotti, servizi o relativa grafica contenuti in questo
documento. Qualsiasi affidamento venga riposto su tali informazioni è quindi effettuato a
proprio rischio.
Vendite per Italia:
Tel: (+39) 02 911 808
E-mail: [email protected]
Boston, USA | Oxford, UK
© Copyright 2012. Sophos Ltd. Tutti i diritti riservati.
Tutti i marchi sono proprietà dei rispettivi titolari.
Rapporto sulla sicurezzaper il 2013.it.12.12

Rapporto sulla sicurezza per il 2013

Transcript

Documenti analoghi

italia he index italia he index

the importance of layered security_fin_ITA6

protezione totale, semplice, conveniente sophos msp

Guarda l`infografica

Matrice prodotti Endpoint Security

Ridurre il tempo dedicato alla manutenzione dei dispositivi

I migliori strumenti gratuiti per l`individuazione e la rimozione di

Unità 2 - I Malware

WEBpatente 4.2.16 offline

Panda Internet Security 2016