Rapporto sulla sicurezza per il 2013
Transcript
Rapporto sulla sicurezza per il 2013
Rapporto sulla sicurezza per il 2013 Nuove piattaforme e minacce in continua evoluzione Indice dei contenuti Prefazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Analisi del 2012: Nuove piattaforme e minacce in continua evoluzione. . . . . . . . . 2 Attacchi sempre più diffusi contro gli utenti di Facebook e altri social media . . . . . . . . . 3 Grafici Sondaggio: formazione sulle e-mail. . 3 Blackhole. . . . . . . . . . . . . . . . . 7 Paesi host di siti contenenti Blackhole. . . . . . . . . . . . . . . . . 9 I nuovi rischi per i servizi cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Sondaggio: spam per gli smartphone. . . . . . . . . . . . . . . 15 Blackhole: il leader di mercato per il malware in circolazione. . 6 Sondaggio: considerazioni sulle app Android. . . . . . . . . . . . . . . 17 I quattro stadi del ciclo di vita di Blackhole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Cosa stiamo facendo per risolvere il problema Blackhole e cosa potete Sondaggio: Browser Web . . . . . . . 19 fare per difendervi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Un'istantanea del malware Mac OS X. . . . . . . . . . . . . . . . . 22 Gli attacchi Java raggiungono la massa critica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 La top 12 dei paesi che diffondono malware . . . . . . . . . . 27 Quindi, oltre al fatto che non ne vogliamo essere vittima, che cosa possiamo imparare dai casi di perdita di dati?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Android: il bersaglio principale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Fonti di spam per continente. . . . . 27 Tasso di esposizione alle minacce. . 29 Video Semplici ma economicamente vantaggiosi: software fasulli, messaggi SMS non autorizzati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Ingegneria sociale. . . . . . . . . . . . 3 Arruolamento nelle botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Cloud storage e BYOD. . . . . . . . . . 4 Intercettazione di messaggi e coordinate bancarie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 SophosLabs. . . . . . . . . . . . . . . . 8 PUA: non è proprio malware, ma rimane pur sempre un rischio. . . . . . . . . . . . . . . . . . . . . 16 Blackhole. . . . . . . . . . . . . . . . . 8 Mitigare i rischi fin quando è ancora possibile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Malware Android. . . . . . . . . . . . 14 Piattaforme e tecnologie diverse incrementano le opportunità di attacco. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Il ritorno del ransomware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Rapporto sulla sicurezza per il 2013 Ransomware. . . . . . . . . . . . . . 20 Malware Mac . . . . . . . . . . . . . . 23 La "coda lunga". . . . . . . . . . . . . 30 OS X e Mac: più utenti, nuovi rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Fake antivirus e Flashback: sfruttano quanto imparato dal malware Windows per muoversi con più agilità. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Morcut/Crisis: più sofisticato e potenzialmente più pericoloso . . . . . . . . . . . . . . . . . . . . . . 23 Malware Windows che si cela nei Mac. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Recenti progressi di sicurezza e limitazioni di OS X. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Utilizzare una soluzione antimalware per Mac a 360 gradi. . . . . . . . . . . . . . . . . . . . . . . . . . 25 Le forze dell'ordine effettuano importanti arresti per combattere il malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 L'aumento dei pericolosi attacchi mirati. . . . . . . . . . . . . . . . . . . . 28 Attacchi polimorfici e mirati: la "coda lunga" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Polimorfismo: non è una novità, ma ora causa più problemi. . . . . . . . . . . . . . . . . . . . . . . . . 31 Come difendersi dal polimorfismo lato server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Attacchi mirati: minuziosi, selettivi e pericolosi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Difesa in profondità contro SSP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Complete security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Esplorate con Sophos le due strade che portano alla Complete Security. . . . . . . . . . . . 34 Cosa ci riserva il 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Un'ultima parola. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Bibliografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Adware L’adware è un programma che visualizza messaggi pubblicitari sul monitor del computer Rapporto sulla sicurezza per il 2013 Rapporto sulla sicurezza per il 2013 Prefazione È stato un anno molto impegnativo per la cyber security; desidero esporre alcune riflessioni e mettere in evidenza delle osservazioni relative al 2012. Senza alcun dubbio l'incremento della mobilità dei dati negli ambienti aziendali rappresenta una delle sfide principali affrontate in quest'ultimo anno. Gli utenti hanno accolto a braccia aperte la possibilità di accedere ai dati ovunque si trovino. La rapida adozione di bring your own device (BYOD) e cloud sta velocizzando lo sviluppo di questo trend, creando però anche nuovi vettori di attacco. Un altro trend riscontrato è la mutevole natura dei dispositivi endpoint: un concetto che ha trasformato le aziende, portandole dal tradizionale mondo dei sistemi Windows a un ambiente multipiattaforma. Al giorno d'oggi il malware è in grado di attaccare nuove piattaforme e si è riscontrato un rapido aumento del malware per dispositivi mobili. Sebbene qualche anno fa il malware Android fosse solamente un esempio da laboratorio, è ora diventato una minaccia preoccupante e in continua diffusione. BYOD è un trend in rapida evoluzione che è stato accolto a braccia aperte da molti dei nostri clienti e utenti. I dipendenti desiderano poter utilizzare smartphone, tablet o notebook di ultima generazione per connettersi alle reti aziendali. Per il personale IT, ciò significa dover proteggere dati di natura sensibile su dispositivi sui quali hanno un livello di controllo estremamente limitato. BYOD può essere vantaggioso sia per gli utenti che per i datori di lavoro; tuttavia, i problemi di IT security che comporta sono diversi e i confini che delimitano uso lavorativo e privato stanno diventando sempre più sfumati. Sorgono domande relative a proprietà, gestione e protezione dei dispositivi e dei dati in essi contenuti. Infine, il Web rimane il principale mezzo di diffusione del malware, in particolar modo di quello che sfrutta l'ingegneria sociale e di quello che si serve di exploit delle vulnerabilità dei browser e delle applicazioni a essi associate. Ad esempio, kit di malware come Blackhole sono un cocktail esplosivo composto da dieci o più exploit, in grado di sfruttare le più minuscole lacune di sicurezza, approfittando della mancanza di patch. I criminali informatici tendono a concentrarsi sui punti deboli, utilizzando una tecnica specifica fino a quando diventa meno efficace, per poi passare ad altro. La sicurezza è il fulcro di questa rivoluzione condotta da BYOD e cloud. Proteggere i dati in un mondo in cui i sistemi cambiano rapidamente e in cui esiste il libero scambio di informazioni richiede un ecosistema coordinato, costituito da tecnologie di sicurezza per endpoint, gateway, dispositivi mobili e cloud. L'IT security si sta evolvendo, passando da una prospettiva basata sul dispositivo a una basata sull'utente, e i requisiti di sicurezza sono svariati. Una strategia moderna di IT security deve concentrarsi su tutti gli elementi principali: implementazione di policy di utilizzo, cifratura dei dati, accesso sicuro alle reti aziendali, filtraggio in base a produttività e contenuti, gestione di vulnerabilità e patch, nonché ovviamente protezione antimalware. Cordiali saluti, Gerhard Eschelbeck Rapporto sulla sicurezza per il 2013 CTO, Sophos 1 Analisi del 2012: Nuove piattaforme e minacce in continua evoluzione Nel 2012 si è notata la tendenza degli hacker ad estendere il proprio raggio di azione per includere nuove piattaforme: da social network e cloud service a dispositivi mobili Android. Si è riscontrata una maggiore rapidità di risposta ai nuovi progressi della sicurezza, nonché un più efficace utilizzo di exploit per vulnerabilità del giorno zero. L'anno scorso gli autori di malware più abili sono andati oltre, con nuovi modelli di business e software mirati a sferrare attacchi più pericolosi e intensi. Ad esempio gli autori di Blackhole, un toolkit di malware venduto sottobanco e inviato tramite accordi Software-as-a-Service (noti anche come "crime pack"), hanno lanciato una nuova versione del toolkit. Hanno dato il giusto credito al successo dei vendor di soluzioni antivirus in grado di contrastarne le attività e hanno promesso di puntare più in alto nel 2012. Parrebbe che i criminali informatici indipendenti possano ora contare sull'aiuto di organizzazioni di stato e alleati in grado di lanciare attacchi avanzati contro obiettivi strategici. Sono stati compilati diversi report sugli attacchi di malware rivolti a infrastrutture del settore energetico del Medio Oriente, attacchi denial-of-service distribuiti di vastissima portata contro banche internazionali, nonché attacchi mirati di spearphishing verso istituzioni estremamente importanti. Più tradizionalmente, i criminali hanno continuato a colpire migliaia di database e siti Web configurati senza la dovuta attenzione, per prelevare password e inviare malware; ciò dimostra ancora una volta l'esigenza di maggiori controlli durante l'implementazione degli aggiornamenti di sicurezza e la riduzione della superficie di attacco. Nel frattempo, una nuova generazione di Rapporto sulla sicurezza per il 2013 2 vittime si è trovata a dover rispondere alle richieste di pagamento dei criminali informatici, per via del proliferare degli attacchi di ingegneria sociale quali fake antivirus e ransomware. Attacchi sempre più diffusi contro gli utenti di Facebook e altri social media Nonostante l'incremento costante di questi rischi, il 2012 è stato anche ricco di buone notizie. Durante quest'anno le organizzazioni IT e altri enti di difesa hanno capito l'importanza di una protezione a livelli multipli. Molte aziende hanno cominciato a dedicare tempo ed energie alla sfida di sicurezza posta da smartphone, tablet, e bring your own device (BYOD). Le aziende hanno dimostrato un impegno attivo volto alla riduzione delle vulnerabilità in piattaforme quali Java e Flash, nonché all'esigere fix più tempestivi da parte dei vendor delle piattaforme e dei software. Nel corso del 2012 i social network hanno attratto centinaia di milioni di utenti. E gli hacker hanno seguito a ruota. Hanno ideato nuovi attacchi creativi di ingegneria sociale, giocando sulle principali preoccupazioni degli utenti, come ad es. il diffuso scetticismo verso la nuova bacheca 2 di Facebook , oppure presunte foto appena postate degli utenti stessi. I criminali sono anche andati oltre Facebook, sfruttando piattaforme relativamente nuove, come Twitter, e servizi sempre più diffusi, come ad es. Pinterest: un social network dedicato alla condivisione dei contenuti. Inoltre, non va dimenticato che le forze dell'ordine hanno registrato importanti vittorie contro le reti criminali, incluso l'arresto di un cybercriminale russo colpevole di aver attaccato 4,5 milioni di computer, allo scopo di compromettere i conti bancari degli utenti; si ricordi anche la condanna, in Armenia, del responsabile che teneva in mano le redini della botnet Bredolab. Il coinvolgimento civile di Microsoft nello smantellamento della 1 botnet Nitol nel corso di quest'anno è un buon indicatore che chi agevola il cybercrime è presente anche sui nostri siti. Per il 2013 si prevede che come al solito i criminali informatici seguiranno la sempre più sostenuta spinta dell'informatica verso servizi cloud virtualizzati e piattaforme mobili. Ciò significa che organizzazioni IT e utenti dovranno: esigere molto di più dai propri service provider e partner IT; diventare più sistematici in termini di protezione di dispositivi e infrastrutture di rete diversi; divenire più rapidi nel contrastare le nuove minacce. Noi saremo a vostra disposizione, per aiutarvi in qualsiasi giorno e a qualsiasi ora. Rapporto sulla sicurezza per il 2013 Nel mese di settembre 2012, Sophos ha segnalato la diffusione di massa di messaggi diretti (DM) Twitter, provenienti da account recentemente violati. Spacciandosi per messaggi inviati da amici on-line, questi DM sostengono di avervi visto in un video appena postato su Facebook. Cliccando sul link contenuto nel DM, si viene indirizzati su un sito che richiede l'upgrade del “YouTube player” per visualizzare il video in questione. Se si prosegue, si viene infettati 3 con Troj/Mdrop-EML: un backdoor Trojan A settembre si sono notate anche le prime violazioni di massa degli account di Pinterest. Questi attacchi diffondevano immagini di spam su altri social network quali Twitter e Facebook. Le vittime che avevano collegato i propri account Pinterest con questi network si sono trovate a diffondere involontariamente tweet e post a raffica, invitando gli amici a partecipare a 4 iniziative poco raccomandabili a domicilio . Per saperne di più sugli attacchi rivolti ai social media Quattro minacce per i dati nell'era postPC Beth Jones dei SophosLabs spiega cos'è l'ingegneria sociale Sondaggio di Naked Security È giusto che le aziende cerchino di indurre i dipendenti ad aprire e-mail dal contenuto inadeguato a scopo educativo? Sì 85.21% No 14.79% Risultati basati su 933 voti Fonte: Naked Security 3 Analisi del 2012: Nuove piattaforme e minacce in continua evoluzione Con 1 miliardo di utenti, Facebook rimane il social network più famoso, e quindi anche il top target dei criminali. Ad aprile Sophos, in collaborazione con Facebook e altri vendor di software di sicurezza, ha contribuito a migliorare le difese antimalware di Facebook. Facebook può ora attingere al nostro immenso e aggiornatissimo elenco di link malevoli e siti di truffa per limitare il rischio che possono 5 rappresentare per la sicurezza degli utenti . Naturalmente non si tratta dell'unica parte della soluzione. I ricercatori di Sophos e di altri vendor si stanno adoperando per individuare nuovi metodi di protezione degli utenti contro gli attacchi tramite social network. Ad esempio, Dark Reading ha comunicato che gli esperti IT della University of California, Riverside sono riusciti a creare un'app sperimentale di Facebook che sarebbe in grado di identificare il 97% del malware dei social media e delle truffe 6 nell'area "Notizie" . Anche elementi innovativi quali l'autenticazione sociale (con cui Facebook mostra all'utente foto degli amici, chiedendo di confermarne l'identità: un'azione che si presume molti hacker non siano in grado di compiere) possono 7 dimostrarsi utili . I nuovi rischi per i servizi cloud Nel 2012 i vantaggi finanziari e gestionali dei servizi cloud hanno suscitato l'interesse di molte organizzazioni IT. Oltre a riporre più fiducia nei software aziendali in hosting e nei servizi più informali quali il sito di storage Dropbox, le aziende hanno avviato anche notevoli investimenti sui cloud privati, creati con tecnologie di virtualizzazione. Questa tendenza solleva ulteriori domande relative a cosa gli utenti possano e debbano fare per non mettere a repentaglio la sicurezza e la compliance della propria organizzazione. Per saperne di più sui servizi cloud Utilizzo dei servizi cloud con Persistent Encryption Risolvere i problemi di Dropbox Il Chief Technology Officer Gerhard Eschelbeck spiega cosa sono cloud storage e BYOD La cloud security ha cominciato a stimolare l'attenzione pubblica nel 2012, quando Dropbox ha ammesso che alcuni nomi utente e password prelevati da altri siti erano stati utilizzati per accedere a un ristretto numero di account Dropbox. Uno dei dipendenti di Dropbox aveva utilizzato la stessa password per tutti gli account di cui era titolare, incluso quello lavorativo, che garantiva l'accesso a dati di natura sensibile. Prelevata questa password da un altro sito, gli hacker hanno scoperto di poterla utilizzare anche per Dropbox. L'accaduto è stato un importante campanello di allarme per gli utenti, a cui è stata così ricordata l'esigenza di usare password diverse per i vari siti e servizi protetti. Dropbox non è nuovo ai problemi di autenticazione in-the-cloud, avendo già rimosso involontariamente per quasi due ore la necessità di inserire una password per 8 visualizzare i file degli utenti nel 2011 . Inoltre, VentureBeat sostiene che l'app iOS dell'azienda archiviasse le credenziali di accesso degli utenti in file di testo non cifrati, dove erano visibili a chiunque avesse accesso al telefono. Rapporto sulla sicurezza per il 2013 4 Da allora, Dropbox ha fortificato la sicurezza con 9 l'introduzione di un'opzione di autenticazione a due fattori , ma i disguidi sorti hanno generato ulteriori complicazioni. A maggio 2012, il Fraunhofer Institute for Secure Information Technology ha compilato un report sulle vulnerabilità associate a registrazione, accesso, cifratura e condivisione 10 dei dati su sette siti di cloud storage . È giusto sottolineare che, nonostante Dropbox e alcuni altri siti stiano già utilizzando la cifratura dei dati in storage e in transito, questa precauzione protegge solamente i dati che non vengono attaccati tramite nomi utente e password legittimi. I dati archiviati su cloud system pubblici sono soggetti alle leggi sulla vigilanza e l'intercettazione applicabili nelle giurisdizioni dove sono situati i server dei cloud system. I problemi di Dropbox hanno suscitato maggiore attenzione verso la cloud security in generale. Con infrastrutture e servizi cloud pubblici, oltre al controllo da parte delle organizzazioni IT, quale approccio a sicurezza e compliance devono adottare le aziende? L'autenticazione a due (o più) fattori è un must. Ma è abbastanza? Si considerino i seguenti fattori: ÌÌ Come verranno gestite le “fughe di informazioni”? Nello specifico, quale strategia adotterete per scoprire se fra i dipendenti vi siano malintenzionati che inoltrano a se stessi informazioni sensibili, per poterle avere a disposizione 11 anche in seguito a un eventuale licenziamento ? Come suggerisce il nome stesso, il mondo del cloud presenta "nuvole" all'orizzonte; ma quando e se eventualmente deciderete di adoperare i servizi cloud, questi tre accorgimenti possono esservi utili per proteggere i dati: 1.Applicare policy basate sul Web che comprendano URL Filtering, controllo dell'accesso ai siti di cloud storage pubblici e blocco dei siti da voi dichiarati "off limit". 2.Utilizzare funzionalità di application control per bloccare o consentire applicazioni specifiche per l'intera azienda o determinati gruppi. 3.Cifrare automaticamente i file prima che vengano caricati in-the-cloud da qualsiasi endpoint gestito. Una soluzione di cifratura efficace consente di selezionare i servizi di cloud storage preferiti dagli utenti, in quanto i file sono sempre cifrati e le chiavi vengono sempre fornite da voi. Siccome la cifratura viene effettuata sul client prima della sincronizzazione dei dati, avete pieno controllo sulla sicurezza delle vostre informazioni, e nessuna preoccupazione legata alla possibilità che la sicurezza del vostro fornitore di servizio di cloud storage venga violata. Le chiavi vengono assegnate in maniera centralizzata e consentono a utenti o gruppi autorizzati di accedere ai file e di mantenere tali file cifrati per chiunque altro. Qualora smarriste la vostra chiave Web (ad es. nel caso in cui un utente abbia dimenticato la password), l'addetto alla sicurezza aziendale sarebbe comunque in grado di recuperare le chiavi, per accertarsi che il personale autorizzato abbia accesso ai file. ÌÌ A quali metodologie di valutazione verranno sottoposti i fornitori e gli amministratori di questi servizi? Avete intenzione di applicare gli stessi standard e requisiti contrattuali che esigete da altri partner business-critical 12 che hanno accesso a dati riservati o strategici ? ÌÌ Siete in grado di prevenire snapshot dei server virtuali che possano carpire immagini relative alla memoria operativa, incluse tutte le chiavi di cifratura attive? Alcuni esperti, come Mel Beckman e System iNEWS, ritengono che ciò sia abbastanza per dichiarare i cloud pubblici come off limit in ambienti in cui la compliance ai requisiti legali richieda il 13 controllo fisico dell'hardware, ad es. l'HIPAA . Rapporto sulla sicurezza per il 2013 5 Blackhole: il leader di mercato per il malware in circolazione Con ricerche svolte dai SophosLabs Un'analisi approfondita di Blackhole rivela quanto siano divenuti sofisticati i moderni autori di malware. Oggi come oggi, Blackhole è il kit di exploit più diffuso e conosciuto. Unisce una sorprendente destrezza tecnica a modelli di business dello stesso calibro dei case study dei Master in Business Administration della Harvard Business School. E salvo disattivazione ad opera delle forze dell'ordine, è probabile che i vendor e le organizzazioni IT lo dovranno affrontare per diversi anni. I kit di exploit sono tool preconfezionati contenenti software da utilizzare su Web server malevoli per infiltrare il malware nei computer delle vittime, senza essere notati. Identificando e sfruttando le vulnerabilità (bug o falle di sicurezza) del software in esecuzione sui computer, i kit di exploit sono in grado di avviare una cosiddetta "installazione driveby". Questa avviene quando i contenuti di una pagina Web inducono il software (ad es. browser, lettore PDF o altri visualizzatori di contenuti on-line) a scaricare ed eseguire del malware in maniera invisibile, senza generare le consuete notifiche. Esattamente come altri kit di exploit, Blackhole può essere utilizzato per scaricare una serie di payload diversi. Gli autori inviano payload per conto di altri, a scopo di lucro; fra questi payload si è osservato di tutto, da fake antivirus e ransomware, a Zeus e ai famigerati rootkit TDSS e ZeroAccess. Blackhole è in grado di attaccare Windows, OS X e Linux. Miete vittime secondo criteri di pari opportunità. Rapporto sulla sicurezza per il 2013 6 Da ottobre 2011 a marzo 2012, quasi il 30% delle minacce rilevate dai SophosLabs proveniva direttamente da Blackhole, oppure da reindirizzamenti di siti Web legittimi verso kit Blackhole. A rendere Blackhole unico nel suo genere non è solamente il successo, bensì anche il modello di rilascio Softwareas-a-Service, molto simile ai moderni software in-the-cloud. Il costo settimanale viene indicato (in russo) nel file readme del kit, insieme agli addebiti per servizi di dominio aggiuntivi. Proprio come i vendor di software legittimo, gli autori di Blackhole offrono aggiornamenti gratuiti per l'intera durata della licenza. I clienti che desiderassero gestire server Blackhole indipendenti possono acquistare licenze più estese. Ma la versione del kit Blackhole ricevuta dai clienti è pesantemente occultata. E questa è solamente una delle varie precauzioni adottate dagli autori di Blackhole per mantenere il controllo sul prodotto. Non si sono ancora osservati derivati di Blackhole creati da autori indipendenti, nonostante Blackhole abbia subito moltissimi aggiornamenti, e nonostante il fatto che altri autori ne stiano imitando le tecniche. I quattro stadi del ciclo di vita di Blackhole 1. R eindirizzamento degli utenti verso un sito di exploit Blackhole Gli hacker violano siti Web legittimi, aggiungendovi contenuti malevoli (solitamente frammenti di JavaScript) che a loro volta generano link alle pagine di un sito contenente Blackhole. Quando utenti ignari visitano il sito legittimo, i browser scaricano automaticamente anche il codice del kit 14 di exploit del server Blackhole . I siti che contengono Blackhole in hosting cambiano rapidamente. Solitamente i domini appena registrati vengono utilizzati come host di Blackhole, normalmente scaricato utilizzando in maniera impropria servizi di Dynamic DNS quali: ddns., 1dumb.com e dlinkddns.com. Sovente questi host svaniscono nel giro di ventiquattr'ore. La capacità di Blackhole di continuare ininterrottamente a incanalare il traffico sul giusto host appena acquisito mostra un notevole livello di controllo centralizzato. Blackhole vanta diverse strategie di controllo del traffico degli utenti. Recentemente si è notato l'utilizzo improprio di schemi di affiliazione da parte dei proprietari di Blackhole. Gli host Web accettano volontariamente di aggiungere codice Blackhole in cambio di un modesto compenso, magari senza neppure capire cosa farà questo codice. Si è anche osservato che Blackhole sfrutta i tradizionali link e allegati delle e-mail di spam. Ad esempio link che segnalano un presunto problema relativo a un conto bancario, o che fingono di fornire un documento scannerizzato. Rapporto sulla sicurezza per il 2013 Il 27% dei reindirizzamenti e dei siti contenenti exploit è dovuto a Blackhole Nel 2012 più dell'80% delle minacce rilevate consisteva in reindirizzamenti, per la maggior parte verso siti legittimi che erano stati violati. Questo fatto rappresenta un sonoro campanello di allarme e sottolinea quanto sia importante proteggere il sito e mantenere aggiornati sia script del server che applicazioni. iti contenenti S exploit (Blackhole) 0.7% eindirizzamenti R drive-by (Blackhole) 26.7% iti contenenti S exploit (non Blackhole) 1.8% Payload 7.5% eindirizzamenti R drive-by (non Blackhole) 58.5% SEO 1.1% Fake antivirus 0.4% Altro 3.4% Fonte: SophosLabs 7 Blackhole: il leader di mercato per il malware in circolazione 2. Caricamento del codice infetto dalla landing page Una volta indotto il browser a scaricare il contenuto del kit di exploit dal server Blackhole, ecco che comincia l'attacco. Prima di tutto il codice di exploit, solitamente JavaScript, scopre e prende nota di come il browser sia giunto al server Blackhole. Vengono così identificati i collaboratori che hanno generato il traffico, in modo che possano essere retribuiti, proprio come avviene per le reti di affiliazione legittime. A questo punto il codice dell'exploit prende l'impronta o traccia il profilo del browser per identificare: sistema operativo utilizzato, versione del browser, nonché eventuale presenza di plugin per Flash, file PDF, applet Java e molto altro ancora. Sebbene siano stati identificati attacchi che sfruttano diversi tipi di vulnerabilità, le falle di sicurezza di Java sembrano essere la causa principale delle infezioni di Blackhole. Anche in questo caso Blackhole utilizza codice legittimo ogniqualvolta sia possibile. Può ad esempio caricare il codice di exploit tramite l'Open Business Engine di Java, che in passato è stato utilizzato per supportare un'ampia varietà di applicazioni e sistemi di flusso di lavoro, incluso il report quotidiano "Terrorist Threat" del Presidente degli 15 Stati Uniti . 3. Invio del payload Una volta violato il sistema di una vittima, Blackhole è in grado di consegnare il payload secondo le istruzioni fornite. I payload sono tipicamente polimorfici, ovvero variano con ciascun nuovo sistema infettato. Gli autori di Blackhole hanno intensificato l'uso avanzato del polimorfismo lato server e dell'occultazione del codice. Siccome Rapporto sulla sicurezza per il 2013 mantengono un solido controllo centrale, sono in grado di effettuare aggiornamenti con rapidità estrema. In confronto a qualsiasi altro kit di exploit acquistato e utilizzato come host dai criminali informatici, Blackhole denota rapidi cambiamenti in termini di comportamento e efficacia. Inoltre, i payload di Blackhole solitamente sfruttano tool di cifratura personalizzati, appositamente concepiti per eludere il rilevamento dell'antivirus. Questi tool vengono aggiunti dai clienti di Blackhole, e Blackhole contribuisce con un servizio opzionale che verifica attivamente l'operatività dell'antivirus su qualsiasi tipo di sistema cerchi di attaccare. Per saperne di più su Blackhole Il malware dalla B alla Z: le minacce viste dall'interno, da Blackhole a ZeroAccess Mark Harris presenta i SophosLabs Fraser Howard dei SophosLabs spiega cos'è Blackhole 4. M onitoraggio, esperienza e progresso Blackhole ricorda gli exploit che hanno avuto esito positivo, nonché la corrispondente combinazione di browser, sistema operativo e plugin. In questo modo gli autori di Blackhole possono valutare quali exploit siano più efficaci su ciascuna combinazione di browser, plugin, e sistema operativo. Questa tecnica di monitoraggio è tutt'altro che originale, la differenza è che gli autori di Blackhole hanno continuato assiduamente ad aggiornare il proprio kit di pari passo con i nuovi dati raccolti. Blackhole riesce con altrettanto successo a sfruttare le nuove vulnerabilità del giorno zero. Per esempio, ad agosto 2012 ha attaccato una vulnerabilità molto nota di Microsoft Help and Support Center, per inviare VBS script soggetti a poisoning. Blackhole ha lanciato un nuovo attacco servendosi di una nuova rischiosa vulnerabilità di Java 7 (CVE-2012-4681) che consente al codice infetto di violare il sistema di verifica delle autorizzazioni 8 16 di Java . La cosa sorprendente è che ad appena 12 ore dalla comunicazione pubblica di un proof-of-concept, 17 questo attacco Java era già stato incluso in Blackhole . A sua volta Oracle era riuscita a pubblicare una patch di emergenza verso la fine di agosto, ma sono ancora molti i sistemi a cui non è stata applicata. Dato il livello di complessità e l'agilità dimostrata dagli autori di Blackhole, ci sorprende il fatto che alcune parti del loro kit siano rimaste praticamente statiche. Ad esempio: percorsi URL, nomi file e struttura delle stringhe di query. I SophosLabs prevedono una modifica di questa tendenza in futuro; ciò consentirà agli autori di Blackhole di ottimizzare gli attacchi. Cosa stiamo facendo per risolvere il problema Blackhole e cosa potete fare per difendervi I SophosLabs monitorano Blackhole 24 ore su 24, per garantire che rilevamento generico e reputation filtering tengano il passo con questo mutevolissimo kit di exploit. Tutte le volte che Blackhole scopre come eludere le nostre difese, inviamo aggiornamenti rapidi dal cloud. Inoltre, adoperiamo tecniche all'avanguardia per l'identificazione e l'analisi di attacchi di polimorfismo lato server, come appunto Blackhole. 3. Bloccare siti Web legittimi e siti di exploit utilizzando simultaneamente tecnologie di reputation filtering e rilevamento dei contenuti, adoperando quest'ultimo anche per bloccare i payload. Va notato che sovente reputation filtering è in grado di bloccare i siti di exploit prima che avvenga il rilevamento dei contenuti; tuttavia, da solo non è affidabile al 100%. Per quanto riguarda gli utenti, la migliore difesa contro Blackhole è una difesa in profondità. 4.Evitare o limitare gli attacchi di ingegneria sociale generati dallo spam, utilizzando filtri antispam aggiornati e fornendo informazioni agli utenti in maniera più attiva. 1.L'implementazione tempestiva di patch a sistema operativo e applicazioni è sempre e comunque importante; il modo migliore per attuarla è automatizzando il processo di applicazione delle patch. 5.Se il vostro prodotto di sicurezza endpoint include funzionalità HIPS (host intrusion prevention system), utilizzarle per aggiungere un ulteriore livello di protezione contro exploit inediti o modificati. 2. Per ridurre la superficie di attacco, disabilitare sistemi vulnerabili quali Java e Flash ogniqualvolta non ne sia richiesto l'uso. Dove si trovano gli host dei siti contenenti exploit Blackhole? Paesi host dei siti contenenti exploit Blackhole (2012) Brasile 1.49% Italia 5.75% Gran Bretagna 2.24% Cile 10.77% Paesi Bassi 2.55% Russia 17.88% Germania 3.68% Stati Uniti 30.81% Cina 5.22% Altro 13.88% Turchia 5.74% Fonte: SophosLabs Rapporto sulla sicurezza per il 2013 9 Gli attacchi Java raggiungono la massa critica È stato un anno difficile per Java nei browser. I plugin del browser di Java sono stati vessati da nuove gravi vulnerabilità, spingendo molte aziende a rimuovere Java dal browser ogniqualvolta fosse possibile. Ad aprile, più di 600.000 utenti Mac si sono trovati arruolati nella botnet internazionale Flashback, o Flashplayer, grazie a una vulnerabilità di Java su OS X che per troppo tempo era rimasta senza patch. Apple ha quindi rilasciato un tool di rimozione e una patch per Java; in seguito, Oracle si è assunta la responsabilità diretta della pubblicazione di Java per OS X, promettendo non solo di inviare patch di Java sia per OS X che per Windows, ma anche 18 di rilasciarle contemporaneamente . I developer di Oracle Java sono stati subito chiamati in causa per fornire patch in maniera tempestiva. Nel giro di pochi giorni dalla scoperta di una nuova vulnerabilità zero-day mostrata da Java 7 su tutti i sistemi operativi e le piattaforme, la falla era già stata: sfruttata 19 per sferrare attacchi mirati, integrata al diffusissimo kit di exploit Blackhole , nonché addirittura utilizzata in e-mail di phishing contenenti un Service Agreement Microsoft 20 fasullo . Secondo un'analisi dettagliata, l'exploit avrebbe consentito a codice non autorizzato di accedere a categorie che avrebbero dovuto essere off limit, disabilitando persino il security 21 manager di Java . Come promesso da Oracle, un fix "out-of-band" (ovvero fuori programma) è stato rilasciato più rapidamente di quanto molti prevedessero. Ma nel giro di poche settimane sono emerse ulteriori gravi vulnerabilità di Java. Security Explorations, gli stessi ricercatori che avevano individuato il primo difetto, hanno trovato un altro modo per bypassare la sandbox di sicurezza per le applicazioni di Java — e questa volta non solo su Java 7, bensì anche su 22 Java 5 e 6 e in tutti i browser principali. Il nuovo exploit ha messo in pericolo 1 miliardo di dispositivi. Rapporto sulla sicurezza per il 2013 10 Oggi come oggi, per molti utenti il bisogno di programmi Java basati sul browser (noti come applet) è minimo, se non addirittura inesistente. JavaScript e altre tecnologie hanno in gran parte sostituito le applet all'interno del browser. A meno di essere realmente sicuri di richiedere Java nel browser, Sophos consiglia di disattivarlo. Il nostro sito Web fornisce istruzioni dettagliate per svolgere questa operazione su Internet Explorer, Firefox, Google 23 Chrome, Safari e Opera. Se visitate pagine Web che richiedono Java, potreste installare un secondo browser sul quale attivare Java. Utilizzate questo browser solamente per i siti basati su Java, continuando ad adoperare il vostro browser privo di Java per qualsiasi altra pagina. Java non è l'unico plugin a causare grattacapi in termini di sicurezza. Negli anni passati anche Adobe Flash è stato preso di mira da exploit di alto profilo. Fortunatamente la necessità di plugin del browser come Flash è in calo. I browser su cui è abilitato l'HTML5 sono dotati di varie funzionalità, quali la riproduzione video e audio incorporata, che rendono obsoleti i tradizionali plugin. Alcune organizzazioni non adottano adeguate misure di protezione per le password degli utenti Le vulnerabilità delle password dovrebbero essere una rarità. Esistono diverse tecniche ben note e facili da seguire per la generazione, l'uso e l'archiviazione di password, in grado di proteggere sia i singoli utenti che l'intera azienda. Eppure nel 2012 abbiamo riscontrato casi su casi di severe violazioni delle password, a danno di varie organizzazioni di alto profilo. ÌÌ Alcuni criminali informatici russi hanno pubblicato su Internet quasi 6,5 milioni di password di LinkedIn. I team di hacker si sono subito messi all'opera per attaccare queste password, craccandone più del 60% nel giro di pochi giorni. Questa operazione è stata semplificata dal fatto che LinkedIn non aveva generato dati random all'interno del 24 database di password prima di cifrarlo . ÌÌ Il sito di dating eHarmony ha comunicato che circa 1,5 milioni di password erano state caricate sul Web in seguito 25 allo stesso attacco da cui era stato colpito LinkedIn . ÌÌ Formspring ha scoperto che le password di 420.000 utenti erano state violate e pubblicate on-line; ha quindi suggerito a tutti i 28 milioni di membri del sito di 26 modificare la propria password per precauzione . ÌÌ Yahoo Voices ha confessato che quasi 500.000 e-mail e 27 password erano state prelevate illecitamente . ÌÌ L'azienda multinazionale Philips è stata attaccata dalla gang r00tbeer. Il gruppo è riuscito ad appropriarsi indisturbatamente di migliaia di nomi, numeri di telefono, 28 indirizzi e password non cifrate . ÌÌ IEEE, la più grande associazione internazionale per l'avanzamento della tecnologia, ha lasciato esposto un file di log contenente quasi 400 milioni di richieste Web, salvandolo su una directory accessibile da qualsiasi parte del mondo. Le richieste in questione includevano i nomi utente e le password non cifrate di quasi 100.000 singoli 29 utenti . Rapporto sulla sicurezza per il 2013 11 Gli attacchi Java raggiungono la massa critica Per saperne di più sulle minacce in circolazione Educate gli utenti a tenersi lontano dai guai, con il nostro toolkit gratuito. Cinque consigli pratici per limitare il rischio delle minacce Web in circolazione Quindi, oltre al fatto che non ne vogliamo essere vittima, che cosa possiamo imparare dai casi di perdita di dati? Per gli utenti: ÌÌ Utilizzare password più sicure — e accertarsi che siano diverse per ciascun sito contenente informazioni personali importanti. ÌÌ Adoperare software di gestione delle password, come ad es. 1Password, KeePass, o LastPass. Alcuni di questi tool sono persino in grado di 30 generare password difficili da dedurre . Per i responsabili dei database delle password: ÌÌ Evitare di archiviare password in testo non cifrato. ÌÌ Proteggere in maniera casuale tutte le password, prima di applicarvi un hash, cifrarle e archiviarle. ÌÌ Evitare di applicare un solo hash alle password protette. Utilizzare l'hashing diverse volte, per incrementare la difficoltà di deduzione di ciascuna password durante un attacco. Si consiglia di utilizzare un algoritmo di cifratura delle password ufficialmente riconosciuto, quali ad es. bcrypt, scrypt o PBKDF2. ÌÌ Confrontare le potenziali vulnerabilità del sito con la Top Ten dei rischi alla sicurezza compilata da OWASP, prendendo in considerazione soprattutto le potenziali vulnerabilità delle password associate a problemi 31 di autenticazione e gestione della sessione . ÌÌ Infine, proteggere database delle password, rete e server con difese a livelli multipli. Rapporto sulla sicurezza per il 2013 12 Android: il bersaglio principale Con ricerche svolte dai SophosLabs Oltre 100 milioni di ordini d'acquisto per telefoni Android inviati solamente nel secondo trimestre del 2012 . Negli Stati uniti, un sondaggio condotto a settembre 2012 fra gli utenti in possesso di smartphone ha attribuito ad Android una quota di mercato da capogiro: il 52,2% . Per gli autori di malware è difficile saper resistere a bersagli così ampi. E infatti, non vi resistono affatto: gli attacchi rivolti ad Android sono in rapido aumento. In queste pagine forniremo alcuni esempi e prospettive. Porremo le seguenti domande: quanto sono gravi questi attacchi? Tenderanno ad aumentare e peggiorare? Quali misure di sicurezza ragionevoli devono adottare organizzazioni IT e singoli utenti per proteggersi? 32 33 Rapporto sulla sicurezza per il 2013 13 Android: il bersaglio principale Semplici ma economicamente vantaggiosi: software fasulli, messaggi SMS non autorizzati Oggi come oggi il business model degli attacchi di malware Android prevede l'installazione di app fasulle che inviano di nascosto messaggi a servizi SMS a tariffa maggiorata. Fra i casi più recenti, vi sono versioni contraffatte di Angry Birds Space, Instagram, e prodotti antivirus fasulli per 34 Android . A maggio 2012, l'ente di vigilanza per la telefonia mobile del Regno Unito ha scoperto che 1.391 utenti Android erano stati colpiti da questo tipo di truffa. Questo ente ha emesso una multa rivolta all'azienda responsabile del sistema di pagamento utilizzato, interrotto il trasferimento di fondi, e richiesto rimborsi per chiunque avesse già effettuato un versamento. Tuttavia, gli utenti del Regno Unito costituivano solamente il 10% di queste vittime del malware: il fenomeno è stato riscontrato in almeno 18 paesi. Attualmente, una delle famiglie di malware Android (Andr/Boxer) si trova all'origine della maggior parte dei campioni di malware Android da noi rilevati: circa un terzo del totale. Legato a domini .ru in hosting in Ucraina, Andr/Boxer invia messaggi in russo, attaccando prevalentemente gli utenti Android dell'Europa dell'Est che visitano siti che promettono foto di donne attraenti. Una volta giunti sul sito, gli utenti trovano una pagina Web accuratamente studiata per indurli a scaricare e installare un'app malevola. Ad esempio, è possibile che all'utente venga richiesto (in russo) di installare un aggiornamento fasullo di prodotti quali Opera o Skype. In alcuni casi, invece, viene effettuata una scansione antivirus fasulla, che indica la presenza di infezioni inesistenti, consigliando l'installazione di un programma fake antivirus. Una volta installata, la nuova Per saperne di più sulla gestione dei dispositivi mobili Tool gratuito: Sophos Mobile Security per Android Mobile Security Toolkit Guida all'acquisto di soluzioni di Mobile Device Management Quando il malware diventa mobile Vanja Svajcer dei SophosLabs spiega cos'è il malware Android Aumentano le minacce Android In Australia e negli Stati Uniti Sophos ha rilevato tassi di esposizione alle minacce di Android che superano quelli dei PC. Tasso di esposizione alle minacce di Android TER di Android TER dei PC 60 50 40 30 20 10 Australia Brazile StatiUniti Altro Malesia Germania India Francia Regno Unito Iran Tasso di esposizione alle minacce (Threat Exposure Rate, TER): misurato in base alla percentuale di PC e dispositivi Android che hanno subito un attacco di malware, riuscito o meno, in un periodo di tre mesi. Fonte: SophosLabs Rapporto sulla sicurezza per il 2013 14 app comincia a inviare messaggi SMS dal costo estremamente elevato. Molti di questi trojan vengono installati mediante quelle che in gergo Android vengono chiamate autorizzazioni INSTALL_PACKAGES. Ciò significa che possono scaricare e installare anche altri malware in un secondo momento. Arruolamento nelle botnet Fino a poco tempo fa, la maggior parte degli attacchi di software fasullo rilevati su Android era relativamente semplice. Ad esempio, alcuni utilizzavano metodi di polimorfismo primitivi, che prevedevano la randomizzazione delle immagini, il che implicava a sua volta la modifica dei checksum per evitare il rilevamento. Alcune aziende, leader nel mercato della sicurezza, hanno scoperto come contrastare questa tattica diversi anni fa. Ma gli hacker hanno fatto progressi. Si considerino ad esempio le versioni infettate dal malware di Angry Birds Space rilevate ad aprile 2012 (Andr/KongFu-L). Ancora una volta, si tratta di un'app disponibile solamente tramite mercati Android non ufficiali. Questi trojan fanno sul serio. Si servono anche di uno stratagemma software noto come exploit GingerBreak per ottenere accesso alla radice, installare codice malevolo e comunicare con un sito Web remoto per scaricare e installare altro malware. Ciò consente ai trojan di evitare rilevamento e rimozione, arruolando nel contempo il dispositivo in una botnet internazionale. Rapporto sulla sicurezza per il 2013 Intercettazione di messaggi e coordinate bancarie Si è anche cominciato a notare malware Android in grado di intercettare gli SMS in entrata e inoltrarli ad altri numeri SMS o server. Questo tipo di fuga di dati costituisce un grave rischio sia per i singoli individui che per le aziende. Ha tutto il potenziale per consentire a tali tipi di attacco di prendere di mira i servizi bancari che inviano codici di autenticazione delle transazioni mobili tramite SMS. Diverse banche inviano codici di autenticazione tramite SMS ogniqualvolta venga effettuata una transazione on-line. Ciò significa che i criminali hanno bisogno di ben più della semplice password di login per prosciugare un conto bancario. Ma il malware telefonico, quale ad es. Andr/Zitmo basato su Zeus (con versioni simili per i BlackBerry), è in grado di intercettare questi messaggi SMS. Si consideri il seguente scenario ipotetico. Tramite un tradizionale attacco di phishing, la vittima fornisce ai criminali sufficienti informazioni per permetterne l'accesso al conto bancario tramite dispositivi mobili, nonché consentirne il collegamento al proprio numero di telefono (un evento già verificatosi). I criminali sono ora in grado di accedere al conto bancario on-line e di ricevere un SMS contenente il secondo token di autenticazione necessario al completamento della transazione. Sondaggio di Naked Security Ritenete che lo spam per smartphone inviato tramite SMS/TXT sia un problema? Sì 43.78% o era, ma ho L scaricato un’app che ha risolto il problema 2.36% o: non ricevo N mai (oppure ricevo raramente) messaggi SMS contenenti spam 45.29% Risultati basati su 552 voti Fonte: Naked Security Servendosi di un'app Android malevola per carpire i messaggi SMS in tempo reale e orchestrando nel contempo un attacco di ingegneria sociale, gli hacker aprono una piccola finestra di opportunità che consente loro il prelievo e l'utilizzo del token prima che li possiate fermare. 15 Android: il bersaglio principale PUA: non è proprio malware, ma rimane pur sempre un rischio Va notata la diffusa presenza di applicazioni potenzialmente indesiderate (PUA). Le PUA sono app Android non strettamente classificate come malware, ma pur sempre in grado di esporre i dispositivi a vari rischi, fra i quali quelli di sicurezza. Prima di tutto va tenuto presente che molti utenti hanno installato app che: conducono a reti di pubblicità molto invadenti, sono in grado di monitorare uso e ubicazione dei dispositivi, oppure riescono addirittura a carpire informazioni personali. Queste app vengono sfruttate a scopo di lucro semplicemente inviando immagini pubblicitarie pornografiche. Molte aziende desiderano rimuoverle, per via delle informazioni che espongono, oppure per questioni di responsabilità verso i dipendenti, che vanno protetti da contenuti inadeguati e da ambienti di lavoro potenzialmente ostili. In secondo luogo, alcuni degli utenti Android più avanzati hanno deciso di installare sul proprio dispositivo Andr/ DrSheep-A. Simile al noto tool desktop Firesheep, Andr/ DrSheep-A è in grado di intercettare il traffico wireless e i cookie non cifrati provenienti da siti quali Facebook e Twitter. L'uso legittimo di questo tool prevede un test della rete. Tuttavia, spesso viene utilizzato per impersonare a loro insaputa utenti geograficamente vicini. Attualmente Andr/ DrSheep-A è stato rilevato sul 2,6% dei dispositivi Android protetti da Sophos Mobile Security. È difficile che i reparti IT aziendali consentano l'installazione, per non parlare dell'uso, di simili tool. Sottoponendo il dispositivo a “rooting”, si consente al software di acquisire pieni privilegi di amministrazione Android. Il nome deriva dall'account di amministrazione, che è noto come “root” sui sistemi operativi simili a UNIX, quale ad es. Android. Il rooting è molto diffuso, in quanto permette di assumere un maggiore controllo sul dispositivo — soprattutto per rimuovere add-on software indesiderati inclusi dal service provider, oppure per sostituirli con alternative selezionate dall'utente. Il rooting bypassa il modello di sicurezza incorporato di Android, che impedisce l'accesso di ciascuna app ai dati contenuti nelle altre app. Per il malware è più semplice ottenere pieni privilegi, nonché eludere rilevamento Rapporto sulla sicurezza per il 2013 e rimozione, su dispositivi sottoposti a rooting. Per le organizzazioni IT che supportano l'accesso a reti BYOD, i dispositivi Android soggetti a rooting possono costituire un rischio. Mitigare i rischi fin quando è ancora possibile Nella maggior parte degli ambienti lavorativi i rischi provenienti da Android sono ancora pochi. Ma i pericoli sono in aumento. Nonostante Google stia apportando miglioramenti per la protezione della piattaforma contro le minacce più evidenti, continuano a sorgere nuove minacce. Ad esempio, alcuni esperti di sicurezza hanno recentemente espresso preoccupazioni legate ai rischi introdotti dalle nuove funzionalità Near Field Communications (NFC), grazie alle quali i dispositivi assumeranno le caratteristiche di vere e proprie carte di credito. Anche ora il malware Android è in grado di mettere a repentaglio il futuro di un'azienda, se informazioni strategiche o password vengono esposte a potenziali rischi di furto. Tenendo presente questo pericolo, le organizzazioni IT devono proteggere i dispositivi Android da malware, perdita di dati e altre minacce. Si consiglia di seguire queste procedure per diminuire il livello di rischio. Si ricordi che questi consigli non sono completamente infallibili e che da soli non possono fornire un adeguato livello di protezione. Tuttavia, possono costituire un aiuto prezioso nella maggior parte degli ambienti. ÌÌ Estendere le policy di sicurezza IT e utilizzo accettabile in modo da includere i dispositivi Android, sempre che non sia già stato fatto. ÌÌ Negare l'accesso a dispositivi Android che sono stati soggetti a rooting. ÌÌ Considerare l'uso della cifratura completa del dispositivo per proteggerlo contro la perdita di dati e per poter fornire l'opzione di formattare in remoto i dispositivi smarriti o rubati. Se si opta per la cifratura, accertarsi che la soluzione selezionata sia in grado di cifrare eventuali schede SD aggiuntive, che possono contenere dati sensibili, anche se tali schede vengono formattate in maniera diversa. 16 ÌÌ Ove possibile, impostare processi automatizzati per l'aggiornamento dei dispositivi Android in parallelo con i nuovi fix di sicurezza. Mantenere aggiornati i dispositivi Android, utilizzando le patch di sicurezza fornite dal produttore del dispositivo stesso e dai vendor di qualsiasi software installato. ÌÌ Prendere in considerazione il blocco di app Android che non provengono dal Play Store ufficiale di Google. È stato rilevato malware anche nel Play Store, ma molto meno frequentemente che in altri mercati di app non ufficiali, soprattutto quelli dei paesi asiatici e dell'Europa dell'Est. ÌÌ Quando si autorizza un app store, limitare gli utenti alle app dotate di record positivi e valutazioni convincenti. ÌÌ Evitare gli attacchi di ingegneria sociale, aiutando anche i colleghi a schivarli. Ciò significa controllare minuziosamente le autorizzazioni richieste da un'app in fase di installazione. Ad esempio, se non si riesce a pensare a un valido motivo per cui un'app desideri poter inviare messaggi SMS, evitare di concedere tale privilegio. E prendersi un attimo di riflessione per decidere se si desideri veramente effettuarne 35 l'installazione . Sondaggio di Naked Security Qual è la considerazione più importante da fare durante l'installazione di un'app sul vostro dispositivo Android? eputazione del R developer 43.78% iffusione D dell’applicazione 28.65% Costo dell’app 13.24% bicazione del U file di download 14.32% Risultati basati su 370 voti Fonte: Naked Security ÌÌ Infine, considerare l'utilizzo di una soluzione antimalware e di Mobile Device Management per i dispositivi Android. Quella che consigliamo è Sophos Mobile Control. Ma qualsiasi soluzione si scelga, deve provenire da un'azienda dotata di ampia esperienza sia nell'ambito della protezione antivirus che in altre questioni di sicurezza in senso lato. Perché? Prima di tutto perché le tecniche di attacco stanno cominciando a migrare da Android verso altre piattaforme. Il vendor della vostra soluzione deve già sapere come gestire anche queste. In secondo luogo, perché gli attacchi stanno sorgendo e si stanno modificando in maniera più rapida. Il vostro vendor deve già disporre di un'infrastruttura internazionale operativa 24 ore al giorno, 7 giorni su 7, per identificare le minacce; inoltre, deve disporre di un'infrastruttura in-the-cloud per poter rispondere immediatamente agli attacchi. Il terzo motivo è quello più importante: perché le complesse infrastrutture moderne richiedono una risposta di sicurezza mobile integrata; deve andare al di là del semplice antivirus, per contrastare problemi diversi, che possono variare dalle funzionalità di rete alla cifratura. Rapporto sulla sicurezza per il 2013 17 Piattaforme e tecnologie diverse incrementano le opportunità di attacco Un tempo quasi tutti adoperavano Windows. Chi attaccava, attaccava Windows. Chi difendeva, difendeva Windows. Ma ora non è più così. Nel 2012 abbiamo riscontrato moltissime falle e vulnerabilità Windows. Ad esempio, la Sidebar e i Gadgets su Windows Vista e Windows 7 si sono rivelati talmente problematici che Microsoft li ha rimossi immediatamente, fornendo ai clienti appositi strumenti per disabilitarli. Windows Sidebar conteneva mini-programmi (gadget) quali news, titoli e azioni e previsioni del tempo. Insieme, rappresentavano la risposta di Microsoft ai famosi Dashboard e Widget di Apple. Ma i ricercatori di sicurezza Mickey Shkatov e Toby Kohlenberg hanno dichiarato di poter: dimostrare la presenza di vettori di attacco multipli per questi gadget, 36 indicare come creare gadget contenenti malware e identificare falle nei gadget pubblicati . Microsoft ha subito abbandonato Sidebar e Gadget, e sta pianificando un nuovo approccio a queste applicazioni in miniatura in Windows 8. Sebbene la maggior parte degli utenti adoperi computer Windows, gran parte del progresso sta avendo luogo altrove: sulle piattaforme Web e mobili. Ciò significa che le aziende e i singoli utenti devono considerare i rischi alla sicurezza in ambienti nuovi e inconsueti, quali ad es.Android. Quelli che seguono sono alcuni esempi di violazioni di sicurezza avvenuti nel 2012. Permettono di capire quali siano i problemi più diffusi, indicando il motivo per cui la difesa più efficace è quella di adottare una struttura a livelli multipli che sia proattiva e che fornisca una protezione a 360 gradi. Rapporto sulla sicurezza per il 2013 18 ÌÌ A febbraio 2012, un hacker ha individuato falle di cross-site scripting (XSS) in 25 negozi on-line del Regno Unito che erano stati certificati come sicuri da VeriSign, 37 Visa, o MasterCard . I criminali possono sfruttare le falle di XSS per prelevare illecitamente credenziali di autenticazione o indirizzi di fatturazione dei clienti, introducendo gravi rischi di furto di identità degli utenti. L'origine di queste lacune era la stessa: uno script per filtrare le ricerche degli utenti compilato senza la dovuta precisione. Ciò rappresenta un ulteriore monito per ricordare agli utenti che la sicurezza non è solamente una questione di parole e simboli. La presenza di elementi come https://, il lucchetto, o il logo VeriSign Trusted non significa poter trascurare ogni precauzione. E serve per ricordare ai professionisti del Web di mantenere aggiornati applicazioni e script, inclusi quelli pubblicati da altri autori. ÌÌ Migliaia di siti WordPress autogestiti sono diventati host del pericoloso attacco di 38 malware Blackhole . Nel mese di agosto 2012 Sophos ha individuato una campagna di malware su vasta scala che cercava di infettare i computer servendosi del famigerato kit di exploit Blackhole. Gli utenti hanno ricevuto e-mail di “conferma dell'ordine” contenenti link a blog di WordPress legittimi che erano stati soggetti a poisoning per l'invio di malware. Gli utenti del servizio in hosting WordPress.com non sono vulnerabili: il service provider, Automattic, si occupa della sicurezza dei server di WordPress.com. Il ritorno del ransomware Alcuni attacchi sembrano seguire un ciclo preciso. Anche quando sono stati sconfitti anno dopo anno, sono troppo semplici e allettanti per i cybercriminali, i quali non riescono ad abbandonarli per sempre. Nel 2012, ad esempio, Sophos ha notato una ripresa degli attacchi di ransomware, i quali bloccano i computer degli utenti esigendo un pagamento per ripristinarne l'accesso. Il ransomware è tutt'altro che una novità. Già nel 1989 venivano distribuite forme primitive di ransomware su floppy disk inviati per posta. Agli utenti veniva promesso un software sofisticato contenente informazioni su HIV/AIDS; ma invece del software, trovavano un programma che cifrava gli hard disk. Veniva quindi richiesto il pagamento di $189, effettuabile tramite assegno circolare o 40 vaglia internazionale . Al giorno d'oggi il ransomware proviene da tecniche più moderne, quali e-mail che sfruttano stratagemmi di ingegneria sociale e pagine Web sottoposte a poisoning. Un tipo di ransomware si limita semplicemente a bloccare il PC ed esigere un pagamento. I file rimangono intatti. Sebbene l'infezione generi diversi problemi, di solito è possibile porvi rimedio. L'altro tipo di ransomware cifra i file, provocando una catastrofe simile allo smarrimento di un laptop, o al completo malfunzionamento del disco. Sondaggio di Naked Security Quale browser Web consigliate? Internet Explorer 5.95% Chrome 28.9% Firefox 23.09% Safari 3.25% Opera 36.75% essuna N preferenza 2.06% Risultati basati su 370 voti Fonte: Naked Security ÌÌ Gli hacker hanno dimostrato di voler attaccare, almeno in teoria, un po' di tutto: da abbonamenti a mezzi di trasporto pubblico, fino a smartphone dotati delle ultimissime tecnologie 39 Near Field Communication (NFC) . Rapporto sulla sicurezza per il 2013 19 Piattaforme e tecnologie diverse incrementano le opportunità di attacco Al momento della pubblicazione di questo documento, il ransomware più diffuso è quello del primo tipo. Per esempio Reveton, noto anche come Citadel o Troj/ Ransom, nasconde il desktop Windows, impedisce l'accesso a qualsiasi programma e visualizza a schermo intero il logo dell'FBI (o di altri tipi di forze dell'ordine). Compare un messaggio urgente che sostiene di aver rilevato la presenza di materiale protetto da copyright scaricato dall'utente; viene quindi sollecitato il pagamento di una multa (che di solito si aggira intorno ai $200) per ripristinare l'accesso. Questi attacchi possono essere sconfitti riavviando il computer con un tool antivirus che contenga un sistema operativo indipendente e in grado di bypassare Windows (ad esempio Sophos Bootable Anti-Virus). Una volta in esecuzione, il tool consente agli utenti di sottoporre il sistema a scansione, rimuovere l'infezione ed 41 effettuare il ripristino . Rapporto sulla sicurezza per il 2013 Purtroppo sono stati identificati anche casi sempre più frequenti di infezioni che effettuano la cifratura completa degli hard drive degli utenti utilizzando un'encryption molto potente; l'unica chiave di decifrazione viene quindi inoltrata in maniera sicura agli hacker. A luglio 2012 se ne è osservata una variante che minacciava di contattare la polizia con una “password speciale” che avrebbe rivelato file di pedofilia sul computer 42 della vittima . In quasi tutti i casi un software antivirus aggiornato è in grado di impedire l'installazione e l'esecuzione del ransomware. Ma se il computer non è stato adeguatamente protetto e si viene colpiti da un attacco di ransomware tramite cifratura, con tutta probabilità è già troppo tardi. Alcuni tipi di cifratura utilizzati dal ransomware possono essere invertiti (Sophos fornisce tool gratuiti per tale operazione), ma solamente se i criminali hanno commesso errori di cifratura. È possibile che non vi sia una cura, per cui la prevenzione è sempre la strategia più efficace. Per saperne di più sul ransomware I 5 principali falsi miti sulla navigazione Web sicura Il Director of Technology Strategy James Lyne spiega cos'è il ransomware 20 OS X e Mac: più utenti, nuovi rischi Con ricerche svolte dai SophosLabs Per la maggior parte degli autori di malware è economicamente più vantaggioso attaccare Windows, piuttosto che imparare nuove tecniche per colpire la comunità di utenti OS X. Ma i Mac stanno cominciando a diffondersi sempre di più fra migliaia di organizzazioni e agenzie governative: un fatto che non può passare inosservato agli occhi degli autori di malware. Recentemente, l'analista Frank Gillette di Forrester Research ha dichiarato che “quasi la metà delle aziende (con 1000 o più dipendenti) fornisce Mac in dotazione a quantomeno una parte dei dipendenti, pianificando un incremento del 52% nel numero di Mac da assegnare 43 nel 2012” . E non ufficialmente sono in arrivo ancora altri Mac, grazie ai programmi bring your own device, nei quali sovente sono il dispositivo prescelto dai dirigenti per accedere al Web o alle applicazioni in-the-cloud. Un utilizzo sempre più diffuso di Mac comporta che molte organizzazioni IT si trovino per la prima volta a dover effettuare valutazioni oggettive, mitigare i rischi e prevenire le minacce Mac. E i rischi sono in netto aumento. Rapporto sulla sicurezza per il 2013 21 OS X e Mac: più utenti, nuovi rischi Fake antivirus e Flashback: sfruttano quanto imparato dal malware Windows per muoversi con più agilità Nel 2011 si sono notati attacchi molto intensi rivolti agli utenti Mac, per mano di una famiglia di malware che si chiama MacDefender. Si tratta di un fake antivirus che ha rappresentato il primo vero e proprio attacco ai Mac distribuito tramite le pagine dei risultati di ricerca, allettando gli utenti a visitare siti legittimi sottoposti a poisoning da parte di questo malware. È bene parlare di MacDefender, in quanto dimostra che spesso il malware Mac segue le orme dei vecchi attacchi rivolti a Windows. Un modo per prevedere il futuro del malware Mac è osservare cosa sta accadendo nel presente agli utenti Windows. Ad esempio, con tutta probabilità gli amministratori Mac possono attendersi nuovi attacchi su misura che sfruttano il polimorfismo lato server. A utilizzare vari elementi di MacDefender, pur apportandovi importanti innovazioni, sono i creatori della famigerata botnet Flashback (nota anche come OSX/Flshplyr), che hanno infettato oltre 600.000 Mac durante la primavera del 2012. Flashback è inizialmente comparso durante gli ultimi mesi del 2011, nelle vesti di un installer fasullo di Adobe Flash. Ad aprile 2012, Flashback ha cominciato a installarsi come download drive-by, sfruttando una vulnerabilità di Java su OS X rimasta priva di patch per diverse settimane dopo la creazione di un fix per utenti Windows da parte di Microsoft. Apple ha quindi rilasciato patch per OS X 10.7 e 10.6, ma non per le versioni precedenti. All'apice dell'attacco, il prodotto antivirus per Mac gratuito di Sophos ha individuato malware simile a Flashback su circa il 2,1% dei Mac su cui era installato. Sebbene sia MacDefender che Flashback siano stati sconfitti, dimostrano pur sempre che gli autori di malware Mac si stanno muovendo con più agilità. Si è notato che gli autori sono riusciti a modificare i meccanismi di delivery del malware esistente per sfruttare nuove vulnerabilità del giorno zero. Un’istantanea del malware Mac OS X Tipicamente, in una settimana i SophosLabs hanno rilevato 4.900 malware OS X sui computer Mac. Questo grafico fornisce un’istantanea del malware Mac rilevato durante la settimana dal 1 al 6 agosto 2012. O SX/FkCodec-A O SX/Flshplyer-D 3.2% O SX/FakeAV-DWN 13.28% O SX/FakeAV-A 2.8% O SX/FakeAVZp-C 13% O SX/DnsCha-E 2.7% O SX/FakeAVDI-A 8.6% O SX/RSplug-A 2.4% O SX/FakeAV-DPU 7.1% O SX/Flshplyr-E 2.4% O SX/FakeAVDI-B 6.2% O SX/FakeAV-FNV 2.3% O SX/SafExinj-B 4.1% O SX/Jahlav-C 2.1% O SX/FakeAV-FFN 3.3% 26% Rapporto sulla sicurezza per il 2013 Fonte: SophosLabs 22 Morcut/Crisis: più sofisticato e potenzialmente più pericoloso Solitamente i software fake antivirus generano un guadagno per i cybercriminali inducendo gli utenti a fornire dati di carta di credito per l'acquisto di software completamente inutili. Per la maggior parte delle aziende il rischio di perdita presentato dai fake antivirus è stato minimo. Ma con malware del calibro di OSX/Morcut-A (noto anche come Crisis), identificato per la prima volta verso la fine di luglio 2012, i rischi sono diventati più gravi. Per saperne di più sui nuovi rischi di OS X Tool gratuito: Sophos Anti-Virus per Mac Andrew Ludgate dei SophosLabs spiega cos'è il malware Mac Appositamente studiato per spiare gli utenti, Morcut è in grado di monitorare in remoto quasi tutti i metodi di comunicazione di un utente: coordinate del mouse, messaggistica istantanea, dati di chiamata di Skype, informazioni relative alla posizione geografica, webcam e microfono del Mac, contenuto degli Appunti, tasti premuti, app in esecuzione, URL Web, schermate, contenuto di calendario e rubrica, alert, informazioni sul dispositivo, e persino metadati del file system. Morcut assume le sembianze di un file Java Archive (JAR), fingendosi certificato digitalmente da VeriSign. Se viene installato dall'utente, Morcut invia: componenti driver del kernel per camuffarsi ed eseguirsi senza alcuna autenticazione 44 da parte di un amministratore ; un componente backdoor che rende il Mac accessibile agli altri utenti in rete; funzioni di comando e controllo per ricevere ordini in remoto e adattare il proprio comportamento; e infine l'elemento più importante, ovvero un codice che preleva i dati dell'utente. Se Morcut dovesse diffondersi, rappresenterebbe una grave minaccia a compliance e sicurezza interna aziendale. Le sue potenzialità si prestano in particolar modo ad attacchi mirati rivolti a carpire informazioni su utenti Mac specifici, che svolgono ruoli fondamentali all'interno della propria organizzazione. Inoltre, a differenza del malware Mac riscontrato in passato, dimostra anche una notevole comprensione delle tecniche di programmazione dei Mac, nonché delle loro funzionalità e dei potenziali punti deboli. Tecniche backdoor molto simili a queste sono già state identificate altrove. Per esempio, recentemente sono state osservate per la prima volta come elemento incorporato in un kit. Il kit (OSX/NetWrdRC-A) è primitivo, pieno di difetti e 45 facile da contrastare , ma potrebbe essere il precursore di più sofisticati e pericolosi attacchi futuri. Rapporto sulla sicurezza per il 2013 23 OS X e Mac: più utenti, nuovi rischi Malware Windows che si cela nei Mac La maggior parte del malware individuato nei Mac è malware Windows. Tradizionalmente, molti utenti Mac non risultano allarmati da questo fatto: possono presumere che questo malware non possa danneggiare i sistemi ed essere ignari del rischio a cui espongono i colleghi che utilizzano Windows. Ma è probabile che gli amministratori IT che gestiscono ambienti multipiattaforma (o che collaborano con Partner e Clienti che adoperano Windows) abbiano un'opinione diversa. Inoltre, le partizioni di Windows dei Mac dual-boot sono pur sempre vulnerabili alle infezioni, così come lo sono le sessioni virtuali di Windows effettuate su Parallels, VMware, VirtualBox, o addirittura sul programma open source WINE. Gli utenti Mac che richiedono occasionalmente accesso a programmi Windows decidono talvolta di scaricarlo da terzi, magari creando una chiave di licenza illegale con un generatore scaricabile. Così facendo, sovente si trovano alle prese con malware quale Mal/KeyGen-M, una famiglia di generatori di chiavi di licenza contenenti trojan identificata su circa il 7% dei Mac dotati di software Sophos Anti-Virus. Un'altra comune fonte di malware Windows su Mac sono i filmati e i programmi fasulli di Windows Media. Questi file contengono link Web che si inoltrano automaticamente, promettendo un codec richiesto per la visualizzazione del video, ma che in realtà scarica malware zero-day. In genere i file di Windows Media non vengono eseguiti sui Mac, ma spesso gli utenti Mac li condividono per aumentare la propria “valutazione” su siti privati di tracking, senza rendersi conto che i contenuti sono malevoli. Gli utenti Windows cercano quindi di visualizzare i video e contraggono l'infezione. Recenti progressi di sicurezza e limitazioni di OS X di scansione antimalware operate tramite il sistema Launch Services Quarantine (LSQuarantine) e la tecnologia XProtect. Verso la metà del 2011, XProtect diviene un servizio dinamico di aggiornamento push, con maggiore capacità di rilevare e rimuovere i file identificati come malevoli. Verso la metà del 2012, con OS X 10.8 Mountain Lion, Apple introduce Gatekeeper, per la gestione delle autorizzazioni di esecuzione dei codici, ottenute tramite software ufficialmente riconosciuto. Per impostazione predefinita, Gatekeeper preautorizza qualsiasi software contrassegnato da una chiave officiale dei developer Apple che non sia stata bloccata in passato a causa di uso improprio. Gatekeeper è un miglioramento significativo e gradito per la sicurezza Mac, ma non rappresenta che una soluzione parziale. Software copiati da dispositivi USB, già presenti sul computer, copiati direttamente da un computer a un altro, oppure inviati mediante sistemi di trasferimento dei file diversi da quelli standard, come BitTorrent, sono tutti in grado di eluderlo. Gli utenti con credenziali di amministrazione possono modificare le impostazioni predefinite di Gatekeeper per consentire l'installazione di app 46 prive di signature digitali senza generare alcun alert . Inoltre, gli utenti e i processi in esecuzione sono pur sempre in grado di rimuovere il flag LSQuarantine dai file. I programmi privi di signature possono essere autorizzati e lanciati semplicemente cliccando con il tasto destro del mouse sul programma elencato in "Finder", e selezionando "Open", invece di cliccare due volte sull'icona corrispondente. Le varianti di OS X precedenti alla versione 10.8 non includono Gatekeeper. Infine, i runtime interpreter degli shell script di Java, Flash e OS X sono tutti preautorizzati da Apple. Questi runtime interpreter sono liberi di eseguire qualsiasi codice. Java e Flash sono stati fra i principali vettori di attacco per la piattaforma Mac. Questo problema potrebbe diventare meno grave: la versione Mac di Java è stata recentemente sottoposta ad hardening, mentre Adobe Flash è in procinto di essere gradualmente sostituito da HTML5. Mac OS X, in origine basato su BSD UNIX, possiede un potente modello di sicurezza. Nel 2009, con la release di OS X 10.6 Snow Leopard, Apple aggiunge funzionalità limitate Rapporto sulla sicurezza per il 2013 24 Utilizzare una soluzione antimalware per Mac a 360 gradi Se Gatekeeper, LSQuarantine e XProtect rappresentano solamente una soluzione parziale, com'è fatta una soluzione antimalware per Mac completa? Include i seguenti elementi: ÌÌ Formazione degli utenti. È necessario lavorare a stretto contatto con gli utenti Mac, per aiutarli a capire che le minacce Mac sono un problema serio e concreto. Tenderanno ad aumentare, di pari passo con la diffusione dei Mac in ambito business; inoltre, gli attacchi di ingegneria sociale colpiranno gli utenti Mac con la stessa probabilità di quelli Windows. ÌÌ Protezione a livelli multipli. Aggiornare la protezione endpoint Mac in maniera costante è ora fondamentale — ma è altrettanto essenziale aggiornare anche la sicurezza di server, gateway di posta e Web, nonché infrastruttura di rete. Va notato che le applicazioni server, come ad es. WordPress e Drupal, sono state ampiamente sfruttate da malware in grado di colpire i client Mac. Si tenga presente che molte scansioni antivirus leggere, specialmente quelle integrate nei dispositivi gateway e firewall, non effettuano la scansione alla ricerca di malware ed exploit per Mac, lasciando questi ultimi praticamente privi di protezione a questo livello. ÌÌ Competenza specifica in ambito Mac. Si consiglia di assumere esperti in ambito Mac, oppure di offrire formazione per i dipendenti che includa le caratteristiche uniche di questa piattaforma. Ad esempio, è probabile che le policy generiche per firewall e router debbano riflettere la differenza fra il traffico Mac associato al pre-caching del browser Safari e alle trasmissioni per l'individuazione della rete generate dai servizi Mac Bonjour. Scelte informate durante la configurazione del file system possono consolidare le difese dei sistemi dual-boot Mac/Windows contro gli attacchi. ÌÌ P rocedure e policy IT efficaci. Ove possibile, ampliare le policy di best practice come ITIL, per includere sia Mac che PC. Offrire patch rapide e automatizzate per i dispositivi Mac, oltre a quelli Windows. E implementare le patch di Java, Flash, altre applicazioni, e ovviamente anche OS X. Se possibile, controllare la facoltà degli utenti di installare nuovi software. Accertarsi che i developer interni appongano signature digitali ai software OS X da loro creati. Infine, gestire i log. I Mac compilano log in tempo reale per quasi tutte le operazioni svolte, rendendo possibile l'identificazione di nuove minacce di sicurezza, nonché il loro blocco tramite modifiche alle policy firewall, oppure isolando determinate aree della rete. ÌÌ Realismo. Siccome spesso i Mac vengono utilizzati da dirigenti e team di creazione che richiedono il massimo livello di controllo sui propri computer, bisogna accettare il fatto che alcuni Mac non sono affidabili. Ma il fatto che non siano affidabili non significa che non vadano protetti. È necessario offrire agli utenti un livello di protezione facilmente gestibile. E le aziende devono sempre tenere presente i requisiti legali associati a sicurezza e comunicazione delle violazioni. L'attuazione di tali requisiti può essere in particolar modo importante quando riguarda i dirigenti dell'azienda. Secondo molti esperti di sicurezza, difendere i perimetri di rete sta diventando sempre più difficile; si può concludere che tutti sistemi vanno considerati inaffidabili, non solamente i Mac. Sia che gli utenti Mac si affidino a Mail.app o che utilizzino altri client di posta back-end sulla falsa riga di UNIX, decisioni avvedute sull'archiviazione delle e-mail possono ridurre l'eventualità che gli utenti Windows aprano inavvertitamente file .zip infetti. Mentre l'architettura di Mac è impostata su BSD UNIX, l'interfaccia utente non lo è. Di conseguenza, la conoscenza generica di UNIX aiuta, ma può non essere sufficiente. Rapporto sulla sicurezza per il 2013 25 Le forze dell'ordine effettuano importanti arresti per combattere il malware Per saperne di più sul malware Come guadagnare con il malware Per la protezione di sistemi e risorse, i professionisti della sicurezza devono sempre contare in primo luogo su se stessi. Tuttavia, nel 2012 le forze dell'ordine hanno supportato questa battaglia, rappresentando un aiuto molto gradito. In quella che potrebbe essere definita come la loro vittoria più famosa, le forze dell'ordine federali statunitensi hanno proseguito sulla scia degli arresti dei famigerati hacker LulzSec nel 2011, collaborando attivamente con uno dei membri principali della gang: Hector Xavier Monsegur (“Sabu”). Nelle vesti di Sabu, Monsegur aveva per lungo tempo inveito contro il governo statunitense; tuttavia ha poi operato per diversi mesi sotto copertura, contribuendo a raccogliere prove contro i responsabili degli attacchi di hacking rivolti a CIA, Pentagono, Senato degli Stati Uniti, ente britannico Serious Organised Crime Agency (SOCA), e molte altre importanti organizzazioni. Monsegur ha aiutato le forze dell'ordine ad acciuffare Jake Davis (noto anche come “Topiary”) nelle Isole Shetland, dove Davis sarebbe stato trovato in possesso di 750.000 password di cui si era appropriato in maniera illecita. Ad agosto 2012, il pubblico ministero ha richiesto una proroga di sei mesi per la sentenza di Monsegur, in modo 47 da consentirne l'ulteriore collaborazione . LulzSec può anche essere stato il caso più discusso pubblicamente dell'anno, ma di sicuro non è stato l'unico. Il 2012 ha avuto inizio con l'estradizione del cittadino russo Vladimir Zdorovenin, sospettato di cybercrime, il quale è stato consegnato al governo degli Stati Uniti. Zdorovenin è stato accusato di aver installato keylogger sui computer di vittime statunitensi, con lo scopo di carpire numeri di carta di credito da utilizzare per far sembrare legittimo l'acquisto di beni di consumo dai propri negozi on-line, e per sfruttare i servizi 48 finanziari delle vittime al fine di manipolare il valore di titoli e azioni . Si è dichiarato colpevole 49 di congiura e frode informatica . Rapporto sulla sicurezza per il 2013 26 Successivamente, a maggio, il cervello di Bredolab (una botnet che all'apice del successo era riuscita ad accaparrarsi il controllo di 30 milioni di computer) è stato condannato a quattro anni di prigione in Armenia. Secondo il pubblico ministero, Georg Avanesov intascava 100.000 euro (equivalenti a 80.000 sterline, o 125.000 dollari) al mese dal business generato dalla botnet Bredolab, offrendone a noleggio l'accesso a criminali che desideravano inviare spam e diffondere malware tramite e-mail. All'apice del successo, la botnet di Avanesov inviava più di 3 miliardi di e-mail infette al giorno, mentre lui trascorreva vacanze di lusso alle 50 Seychelles . A giugno, il Federal Bureau of Investigation statunitense ha raggiunto il culmine di un'investigazione svolta nel corso di due anni, mirata all'identificazione di un tipo di frode legato alle carte di credito; sono stati effettuati 24 arresti di presunti criminali informatici provenienti da Stati Uniti, Regno Unito, Bosnia, Bulgaria, Norvegia, Germania e altri paesi. Fra questi criminali vi erano diversi esperti nell'ambito della creazione di trojan per l'accesso remoto e della falsificazione di garanzie di prodotto Apple. L'FBI ritiene di aver prevenuto transazioni fraudolente pari a oltre $205 milioni, identificando 411.000 numeri di carta di credito prelevati in maniera illecita, e comunicandone la 51 violazione a 47 organizzazioni . Nello stesso mese, la polizia di Tokyo ha effettuato sei arresti in connessione con un'app che infettava gli smartphone Android, prelevando dati personali ed esigendo un pagamento. Secondo la polizia, l'app Android malevola era stata scaricata da 9.252 utenti, 211 dei quali sono stati convinti a effettuare un pagamento — pari a oltre $250.000 52 in totale . Successivamente, all'inizio del mese di luglio, la Police Central e-crime Unit (PCeU) del Regno Unito ha comunicato le severe sentenze emesse contro tre cittadini dei Paesi Baltici; sono stati dichiarati colpevoli di aver utilizzato il trojan SpyEye per prosciugare conti bancari in Regno Unito, 53 Danimarca, Paesi Bassi e Nuova Zelanda . Rapporto sulla sicurezza per il 2013 Sempre a luglio, la polizia olandese è riuscita a disattivare i computer secondari di comando e controllo (C&C) utilizzati dalla colossale botnet Grum, appena una settimana dopo la 53 dichiarazione pubblica della sua esistenza . Poco dopo, altre forze dell'ordine sono state in grado di disabilitare i computer primari di C&C della botnet, situati in Panama e Russia, disattivando quindi una botnet a cui si deve presumibilmente 55 il 17% dello spam presente nel mondo . La top 12 dei paesi che diffondono il malware 1. India 12.19% 7. Russia 3.34% 2. Stati Uniti 7.06% 8. Francia 3.04% 3. Italia 6.95% 9. Pakistan 2.95% 4. Corea 5.37% 10. Polonia 2.77% 5. Brasile 4.17% 11. Indonesia 2.73% 6. Vietnam 4.16% 12. Cina 2.73% Percentuale di tutto lo spam Fonte: SophosLabs Fonti di spam per continente Asia 48.66% Europa 27.07% America del Sud 10.89% America del Nord 9.68% Africa 3.20% Oceania 0.05% Percentuale di tutto lo spam Fonte: SophosLabs 27 L'aumento dei pericolosi attacchi mirati Se da un lato le forze dell'ordine si sono mobilitate con più efficacia contro i criminali informatici, nel 2012 si sono riscontrate anche maggiori preoccupazioni legate agli attacchi di cybercrime sponsorizzati a livello nazionale, per non parlare degli exploit lanciati durante una presunta collaborazione fra diversi paesi, allo scopo di raggiungere obiettivi strategici. Se questi attacchi si diffondessero e venissero confermati, i rischi a cui sono esposti individui importanti a livello governativo e privato aumenterebbero di portata e serietà. Anche i bersagli minori dovranno incrementare il livello di vigilanza per evitare di divenire vittime secondarie. Ciò significherà, fra l'altro, dover consolidare la strategia di protezione della rete, integrandola ad altri servizi di sicurezza, per rilevare e contrastare gli attacchi in maniera più rapida . 56 Fra questi tipi di attacco, Flame è quello che ha generato più risonanza pubblica nel 2012; tuttavia, la sua importanza ed efficacia erano tutt'altro che evidenti. Più recentemente, il devastante trojan Shamoon (Troj/Mdrop-ELD) avrebbe provocato seri 57 danni al settore dell'energia in Medio Oriente. Secondo BBC e The Register , avrebbe infettato circa 30.000 computer, disattivando la rete della società petrolifera nazionale 58 dell'Arabia Saudita . Poco dopo, l'azienda fornitrice di gas naturale RasGas, situata in Qatar, ha subito un attacco che ne ha disattivato rete e sito Web, rendendo inutilizzabili i 59 sistemi dei loro uffici . Rapporto sulla sicurezza per il 2013 28 Si è anche notato un accenno di attacchi informatici organizzati rivolti contro gli Stati Uniti. Verso la fine di settembre, il senatore statunitense Joseph Lieberman ha comunicato la recente intensificazione degli attacchi DDoS rivolti a Bank of America, JPMorgan Chase, Wells Fargo, Citigroup e PNC Bank, facendo illusioni senza alcuna prova concreta che questi attacchi fossero stati “condotti dall'Iran… [in] risposta alle sempre più severe sanzioni economiche imposte dagli Stati Uniti e dai suoi alleati sulle istituzioni finanziarie iraniane. Può essere 60 considerato un contrattacco...” . Secondo Bloomberg, indipendentemente dall'origine, questi nuovi attacchi sono riusciti a “violare alcune delle difese più inespugnabili del paese, mettendo a nudo 61 le vulnerabilità della sua infrastruttura” . Per via della loro stessa natura, gli attacchi di cybercrime sponsorizzati da un governo (e gli attacchi sferrati da team privati altamente sofisticati che agiscono in stretta collaborazione con un paese) sono difficili da rintracciare e da verificare; tendono anche a generare clamore altrettanto ingiustificabile. Ciononostante sembra che vi siano più criminali che cercano di sviluppare la capacità di effettuare questi tipi di attacco. E una volta acquisita tale capacità, la tentazione di adoperarla sarà forte. Rapporto sulla sicurezza per il 2013 Il vostro paese è sicuro oppure a rischio? Tasso di esposizione alle minacce (TER) in base al paese I 10 paesi più sicuri TER TER 1. Norvegia 1.81% 6. Stati Uniti 3.82% 2. Svezia 2.59% 7. Slovenia 4.21% 3. Giappone 2.63% 8. Canada 4.26% 4. Regno Unito 3.51% 9. Austria 4.27% 5. Svizzera 3.81% 10. Paesi Bassi 4.28% I 10 paesi più a rischio TER TER 1. Indonesia 23.54% 6. India 15.88% 2. Cina 21.26% 7. Messico 15.66% 3. Thailandia 20.78% 8. EAU 13.67% 4. Filippine 19.81% 9. Taiwan 12.66% 5. Malesia 17.44% 10. Hong Kong 11.47% Tasso di esposizione alle minacce (Threat Exposure Rate, TER): misurato in base alla percentuale di PC e dispositivi Android che hanno subito un attacco di malware, riuscito o meno, in un periodo di tre mesi. Fonte: SophosLabs Benvenuti nell'era del malware su misura 50% 75% 88% Il 50% dei rilevamenti si basa solamente su 19 identità di malware. Il 75% dei singoli campioni di malware è stato rilevato in un'unica organizzazione. L'88% del malware è stato individuato in meno di 10 organizzazioni. Fonte: SophosLabs 29 Attacchi polimorfici e mirati: la "coda lunga" Per saperne di più sulla coda lunga Richard Wang dei SophosLabs spiega cos'è la coda lunga Con ricerche svolte dai SophosLabs Il termine “coda lunga” (dall'inglese "long tail") è diventato un metodo molto diffuso per descrivere eventi che non rientrano nella distribuzione statistica tradizionale, ma che invece si verificano da soli o a gruppi di due, "in coda" alla curva di distribuzione. Ciò avviene nell'ambito delle vendite, dove i prodotti studiati su misura rappresentano una percentuale sempre più elevata delle vendite; e ora si sta cominciando a verificare anche per il malware. Sophos ha notato che il 75% dei file di malware segnalati provengono da un'unica organizzazione. Si tratta di un livello di polimorfismo mai visto prima. In più, i criminali hanno cominciato a sviluppare e utilizzare approcci più sofisticati al polimorfismo, per celare gli attacchi ed eludere vendor di sicurezza e organizzazioni IT. Questa battaglia ha avuto serie implicazioni nell'ambito dell'informatica, ed è quindi importante capire cosa sta succedendo, come Sophos sta rispondendo agli attacchi, e cosa potete fare per proteggervi. Rapporto sulla sicurezza per il 2013 30 Polimorfismo: non è una novità, ma ora causa più problemi Come difendersi dal polimorfismo lato server Il polimorfismo non è un'idea nuova: gli autori di malware lo utilizzano da 20 anni. In breve, il codice polimorfico modifica il proprio aspetto nel tentativo di eludere il rilevamento, senza però cambiare comportamento o obiettivi. Gli hacker sperano che se un programma assume sembianze abbastanza diverse, è possibile che sfugga al rilevamento antivirus. Può anche accadere che il software antivirus generi troppi falsi positivi, inducendo gli utenti a disabilitarlo. Sophos sfrutta un'analogia tratta dalla genetica per ottenere un rilevamento di gran lunga più sofisticato per SSP e altri tipi di attacco. La tecnologia Sophos Behavioral Genotype identifica i nuovi tipi di malware riconoscendo ed estraendo “geni” (o elementi del comportamento). Utilizzando un sistema di punteggio minuziosamente calibrato, che riflette tutto il malware rilevato, siamo in grado di individuare le nuove combinazioni di geni (genotypes) che differenziano il malware dal codice legittimo. Possiamo quindi confrontare queste informazioni con i geni rilevati in file sicuri, minimizzando il rischio di falsi positivi. Solitamente, in un attacco di polimorfismo il codice viene cifrato, allo scopo di farlo sembrare privo di significato e assegnato a un decifratore che lo traduce nuovamente in una forma eseguibile. Ogni volta che viene decifrato, un motore di mutazione ne cambia nuovamente sintassi, semantica, o entrambe. Gli autori di malware Windows, ad esempio, hanno adoperato spesso la gestione strutturata delle eccezioni per occultare il flusso di controllo e per rendere più difficili le analisi statiche dei programmi prima 62 dell'esecuzione . I virus polimorfici tradizionali posseggono una struttura autosufficiente, e per riprodursi devono includere il motore di mutazione. Sophos e altri vendor di sicurezza sono diventati esperti nel rilevamento di queste forme di malware. Una volta ottenuto l'accesso al motore di mutazione, è più semplice analizzarne il comportamento. Attualmente gli hacker stanno effettuando la transizione verso tipi di malware diffusi via Web che sfruttano il polimorfismo lato server (server-side polymorphism, SSP). Al giorno d'oggi, motore di mutazione e relativi tool sono tutti collocati in hosting sul server. I criminali si possono servire di questi tool per creare al volo un contenuto diverso per il file. I destinatari di questo contenuto (sia esso Windows .exe, Adobe PDF, JavaScript, o qualsiasi altra cosa) vedono solo un esempio di quello che il motore è in grado di creare. Non vedono il motore vero e proprio. Solitamente i vendor di sicurezza rispondono ottenendo vari esempi diversi dei risultati del motore per raccogliere informazioni sulla sua modalità operativa. Successivamente, compilano un codice di rilevamento generico. Rapporto sulla sicurezza per il 2013 Questo approccio basato sui geni è flessibile e modificabile. È sempre e comunque possibile aggiungere o modificare i geni in maniera reattiva, oppure rilasciare geni intuitivi per scoprire l'elemento con la più alta probabilità di essere modificato. Inoltre, osserviamo come rispondono ai rilevamenti di altri vendor di sicurezza. Sovente gli autori di malware introducono modifiche che non hanno un impatto immediato sul nostro rilevamento. Con la regolazione proattiva del nostro profilo genetico al fine di riflettere tali cambiamenti, possiamo diminuire la possibilità che ulteriori modifiche rendano gli attacchi invisibili ai nostri controlli. Per certi tipi di malware SSP, il continuo avanti e indietro fra vendor di sicurezza e autori di malware ha subito una drastica accelerazione. Ad esempio gli autori di malware più abili continuano a cercare di determinare quali parti del codice siano rilevabili. Si sono notate modifiche e sostituzioni di codici compromessi, avvenute nel giro di poche ore. Ovviamente anche noi lavoriamo senza sosta per anticiparle e rispondere a tono. Inizialmente, SSP è stato sperimentato su sistemi Windows, ed è stato utilizzato principalmente su file eseguibili di Windows e pagine Web contenenti JavaScript. Nel 2012 ne abbiamo osservato per la prima volta l'utilizzo all'interno di malware Android, e riteniamo che in un futuro molto prossimo si diffonderà anche su OS X. Il famigerato kit di exploit Blackhole dipende molto da SSP, sebbene possegga anche diversi altri assi nella manica. 31 Attacchi polimorfici e mirati: la "coda lunga" Attacchi mirati: minuziosi, selettivi e pericolosi Come la maggior parte degli attacchi SSP, lo scopo di Blackhole è inviare il payload indiscriminatamente a quanti più destinatari possibile. Tuttavia, altre forme di attacchi a "coda lunga" adoperano metodi molto più mirati. L'intenzione di un autore di malware può essere colpire solamente poche organizzazioni, cercare importanti dati finanziari o coordinate bancarie, e preparare minuziosamente l'attacco in seguito a una prima ricerca ed esplorazione preliminare. Magari lancia un attacco servendosi di e-mail falsificate contenenti in allegato un documento appositamente studiato per suscitare l'interesse di destinatari specifici. Ad esempio, un decision-maker può ricevere un foglio elettronico che promette di fornire dati relativi alle vendite di un trimestre, ma che in realtà contiene del malware. Se il destinatario specifico apre il documento senza che sia stato segnalato l'attacco e se il malware viene installato, è possibile che il contenuto malevolo rimanga inerte fino a quando l'utente si connette al sito di on-line banking dell'azienda. A questo punto, il malware è in grado di prelevare le credenziali attraverso tecniche di keystroke logging, oppure intercettando il secondo fattore di autenticazione di un sistema di autenticazione a due fattori. L'hacker può quindi utilizzare il login per attacchi futuri. Spesso i criminali lanciano attacchi mirati rivolti ad aziende di piccole e medie dimensioni che non sono dotate di una forte presenza IT. E siccome si tratta di tipi di malware che sono soliti colpire solamente un numero ristretto di vittime, è possibile che non vengano riconosciuti dal vendor di sicurezza dell'organizzazione; potrebbero quindi riuscire a infiltrarsi senza essere rilevati, anche senza utilizzare tecniche di polimorfismo. Ciò indica un ulteriore vantaggio dell'approccio basato sui geni utilizzato da Sophos. Di solito il nostro client di Endpoint Protection è in grado di riconoscere il nuovo malware anche se non è mai stato osservato prima, grazie all'analisi di comportamento e caratteristiche dimostrate. È possibile che gli hacker cerchino di violare un determinato sito Web, sapendo che verrà visitato dagli utenti dell'organizzazione presa di mira. Solitamente fra Rapporto sulla sicurezza per il 2013 le vittime vi sono partner junior della catena di distribuzione, in quanto generalmente si ritiene posseggano un livello di 63 sicurezza IT inferiore . Oltre a utilizzare una soluzione avanzata di Endpoint Protection, le aziende di piccole e medie dimensioni possono limitare i rischi selezionando un computer da dedicare esclusivamente ai servizi finanziari on-line: un computer che non verrà utilizzato per navigazione generale, lettura delle e-mail, o attività sui social network. Difesa in profondità contro SSP I professionisti dell'informatica e della sicurezza devono essere pronti a rispondere agli attacchi basati su SSP e agli attacchi mirati di cybercrime. Prima di tutto, è necessario implementare una difesa in profondità a livelli multipli. Per esempio, spesso la vastissima botnet (con relativo rootkit) ZeroAccess può essere individuata dal modo in cui si connette alla propria botnet peer-to-peer. Rilevare questo tipo di comunicazione a livello dil firewall consentirebbe l'identificazione del computer infettato. Le regole di sicurezza devono utilizzare una combinazione di analisi statiche e dinamiche per individuare un programma malevolo. Ad esempio, contenuti malevoli identificati in fase di prima analisi di un file (come ad es. una cifratura insolita) possono successivamente portare ad attività sospette (quale ad es. una connessione di rete imprevista). Nel caso degli attacchi mirati, i professionisti dell'informatica devono tenere presente il rischio dei tool di amministrazione dall'aspetto legittimo. Questi tool non vengono rilevati come malevoli, ma possono essere molto potenti nelle mani di un hacker. Le contromisure più efficaci includono la restrizione dei tipi di applicazioni non lavorative eseguibili dagli utenti, una funzionalità nota come application control. Infine, i professionisti IT devono rispondere in maniera aggressiva ai tentativi degli hacker di trovare e sfruttare vulnerabilità, limitando le superfici di attacco di rete, software e utenti. Un'implementazione delle patch regolare e automatizzata fa sempre parte delle best practice, ma è ancora più imperativa nel panorama attuale delle minacce. 32 Complete security Per bloccare le nuove minacce, proteggere i dati ovunque, gestire le esigenze di mobilità degli utenti e mitigare lo stress a cui è sottoposto il vostro team IT, è necessaria una strategia di Complete Security — per tutte le fasi del ciclo di vita della sicurezza. Complete security può essere suddivisa in quattro categorie principali: ÌÌ R iduzione della superficie di attacco. Adottate un approccio attivo che non monitori esclusivamente il malware, bensì anche minacce come: vulnerabilità, applicazioni, siti Web e spam. ÌÌ P rotezione ovunque. Accertatevi che gli utenti siano protetti ovunque si trovino e indipendentemente dal dispositivo in loro possesso; questa soluzione armonizza tecnologie endpoint (inclusa mobile security), gateway e cloud per la condivisione dei dati e la collaborazione, al fine di garantire una protezione più efficace, senza influire sugli utenti o sulla performance. ÌÌ B locco di attacchi e tentativi di violazione. È ora di andare oltre le semplici signature dell'antivirus e di analizzare i diversi livelli del rilevamento, allo scopo di bloccare le minacce nelle varie fasi di esecuzione. Verificate che la protezione analizzi anche eventuali comportamenti sospetti degli utenti, e non solamente il codice malevolo. ÌÌ C ontinuità lavorativa. Per gli utenti e per il personale IT. Semplificando le operazioni che attualmente richiedono troppo tempo (mediante visibilità completa e controllo granulare del sistema di sicurezza) è possibile notare rapidamente eventuali problemi e porvi rimedio. Rapporto sulla sicurezza per il 2013 33 Complete security Esplorate con Sophos le due strade che portano alla Complete Security Sophos UTM Sophos EndUser Protection Integra il software di Complete Security in un'unica appliance. Offre la possibilità di selezionare solamente la protezione che vi serve nel momento in cui ne avete bisogno. E l'installazione può essere effettuata sulla piattaforma che più si addice alle esigenze del vostro business: appliance hardware, software o virtuali. Ciascuna offre un set di funzionalità identiche, indipendentemente dal numero di utenti protetti, siano essi 10 o 5.000. E la nostra console di gestione basata sul Web consente la facile amministrazione di tutti i prodotti di sicurezza informatica da un unico punto. Protegge su tutti i fronti: dalla rete ai server, fino agli endpoint e ai dispositivi mobili. Poiché è tutto firmato Sophos, i prodotti garantiscono un'ottima interazione fra i diversi componenti. È facile da usare, il che aiuta a risparmiare tempo e denaro. E in più, è supportata da un vendor di cui vi potete fidare. Endpoint Network La nostra Endpoint Protection Con noi, la vostra infrastruttura mantiene i dati al sicuro e di rete rimane protetta e sicura, protegge dal malware, senza grazie ad un controllo facile e eccedere il budget dedicato alla unificato. protezione antivirus. Encryption (cifratura) Email Proteggiamo le vostre Offriamo funzioni di cifratura delle informazioni riservate, aiutandovi e-mail dal contenuto sensibile, a rispettare la compliance alle prevenzione contro la perdita dei normative vigenti. dati e blocco dello spam. Mobile Web Aiutiamo a mettere in sicurezza, Con noi, usare Internet diventa più proteggere e gestire dispositivi sicuro e produttivo. mobili e dati. UTM Un’unica appliance per eliminare la complessità associata a point solution multiple. Rapporto sulla sicurezza per il 2013 34 Cosa ci riserva il 2013 Di James Lyne, Director of Technology Strategy Sophos è orgogliosa della rapidità mostrata nell'identificare, gestire e rispondere alle minacce. Anche se i criminali spesso sfruttano le opportunità a loro fornite, riteniamo che nel 2013 la possibilità di testare le nuove piattaforme (talvolta con garanzia di rimborso da parte degli sponsor) aumenterà la probabilità che il malware continui a infiltrarsi nei tradizionali sistemi di sicurezza a livello unico. Come risultato prevediamo un incremento nel numero di attacchi mirati a fornire agli hacker un accesso alle aziende più a lungo termine e di maggiore impatto. Con tutta probabilità una delle tematiche più importanti nell'anno a venire sarà quindi una maggiore attenzione rivolta alla sicurezza a livelli multipli e al rilevamento durante l'intero ciclo di vita delle minacce, e non solamente in fase di accesso. Inoltre, riteniamo che nel panorama delle minacce alla sicurezza informatica del 2013 figureranno questi cinque trend. Errori elementari del Web server Nel 2012 si è riscontrato un incremento nel numero di attacchi di SQL injection rivolti a Web server e database, allo scopo di prelevare ingenti quantità di nomi utente e password. Fra le vittime vi sono stati tutti i tipi di aziende, da quelle di piccole a quelle di più grandi dimensioni, a scopo sia politico che economico. Con l'incremento di questi tipi di prelievo di informazioni mediante credenziali legittime, i professionisti dell'IT security devono prestare altrettanta attenzione alla protezione dei computer, oltre a quella dell'ambiente del Web server. Rapporto sulla sicurezza per il 2013 35 Cosa ci riserva il 2013 Ulteriore malware “irreversibile” Nel 2012 abbiamo riscontrato un brusco aumento della diffusione e della qualità del malware ransomware, che cifra i dati ed esige un riscatto. L'ampia disponibilità di chiavi di cifratura pubbliche e di meccanismi di comando e controllo intelligenti ha reso estremamente difficile, se non impossibile, rimediare ai danni. Durante il prossimo anno si prevede la comparsa di un maggior numero di attacchi che, per i professionisti dell'IT Security, metteranno in risalto anche meccanismi di behavioral protection, hardening del sistema e procedure di backup/ripristino. Per saperne di più sulla Mobile Security Mobile Device Security: che cosa ci riserva il futuro Toolkit di attacco con funzionalità avanzate Negli ultimi 12 mesi abbiamo osservato un notevole investimento da parte dei criminali informatici in toolkit come il kit di exploit Blackhole. In esso sono state incluse funzionalità come servizi Web programmabili, API, piattaforme di quality assurance per il malware, resistenza alle analisi dettagliate, eleganti interfacce di reportistica, nonché meccanismi di autodifesa. Con tutta probabilità l'anno prossimo si continuerà ad osservare una costante evoluzione e sviluppo di questi kit, colmi di funzionalità avanzate che sembrano facilitare ulteriormente il successo degli attacchi e l'accesso a codice malevolo di alta qualità. Una più efficace mitigazione degli exploit Anche se il numero delle vulnerabilità sembra aver subito un incremento nel 2012 (inclusi tutti i plugin di Java rilasciati negli ultimi otto anni), creare exploit è diventata un'impresa più ardua, per via della modernizzazione e dell'hardening dei sistemi operativi. La vasta disponibilità di DEP, ASLR, sandboxing, piattaforme mobili dalla sicurezza più severa e nuovi meccanismi di avvio (per elencarne solo alcuni) hanno ostacolato la creazione di exploit. Se da un lato non possiamo dare per scontato che gli exploit svaniscano, si è tuttavia notata una diminuzione dei tentativi di exploit delle vulnerabilità, a cui si contrappone un vertiginoso aumento degli attacchi di ingegneria sociale, sferrati su varie piattaforme. Problemi di integrazione, privacy e sicurezza Lo scorso anno, dispositivi mobili e applicazioni come i social media sono diventati più integrati. Le nuove tecnologie (come ad es. l'integrazione a queste piattaforme di Near Field Communication, NFC) e gli usi creativi dei GPS allo scopo di connettere le nostre vite fisiche e digitali, forniscono ai cybercriminali nuove opportunità da sfruttare per violare la nostra sicurezza o privacy. Questo trend non viene riscontrato solamente nei dispositivi mobili, bensì nell'informatica in senso lato. L'anno prossimo si osserveranno nuovi esempi di attacchi basati su queste tecnologie. Rapporto sulla sicurezza per il 2013 36 Un'ultima parola La sicurezza non riguarda solamente Microsoft. Oggi come oggi, i PC rimangono il bersaglio principale del codice malevolo, eppure i criminali sono riusciti a creare efficaci attacchi di fake antivirus anche per Mac. Gli autori di malware sono persino riusciti a intaccare i dispositivi mobili, in quanto esistono nuove categorie di sistemi operativi, aventi ciascuna modelli di sicurezza e vettori di attacco diversi. È necessario concentrarsi sulla protezione degli utenti finali, fornendo loro tutto l'occorrente, indipendentemente da piattaforme, dispositivi o sistemi operativi utilizzati. Rapporto sulla sicurezza per il 2013 37 Bibliografia 1. Microsoft Settles Lawsuit Against 3322 dot org, Reveals Scale of Nitol Botnet in China, http://nakedsecurity.sophos.com/2012/10/05/microsoft-settleslawsuit-against-3322-dot-org/ 2. B eware Remove Your Facebook Timeline Scams, Naked Security, http:// nakedsecurity.sophos.com/2012/05/29/beware-remove-your-facebooktimeline-scams/; ‘Remove Facebook Timeline’ Themed Scam Circulating on Facebook, ZDNet, http://www.zdnet.com/blog/security/remove-facebooktimeline-themed-scam-circulating-on-facebook/9989 3. T witter DMs From Your Friends Can Lead to Facebook Video Malware Attack, Naked Security, http://nakedsecurity.sophos.com/2012/09/24/twitterfacebook-video-malware/ 4. O MG This Is So Cool! Pinterest Hack Feeds Spam to Twitter and Facebook, Naked Security, http://nakedsecurity.sophos.com/2012/09/12/omg-this-is-socool-pinterest-hack-feeds-spam-to-twitter-and-facebook/ 5. F acebook Teams Up With Sophos and Other Security Vendors, Naked Security, http://nakedsecurity.sophos.com/2012/04/25/facebook-teams-up-sophosother-vendors/ 6. A pplication Detects Social Network Spam, Malware, Dark Reading, http://www.darkreading.com/security-monitoring/167901086/security/ vulnerabilities/240006232/application-detects-social-network-spam-malware. html 17. J ava Flaws Already Included in Blackhole Exploit Kit Oracle Was Informed of Vulnerabilities in April, Naked Security, http://nakedsecurity.sophos. com/2012/08/30/java-flaws-already-included-in-blackhole-exploit-kit-oraclewas-informed-of-vulnerabilities-in-april/ 18. O racle Updates Java, Supports OS X, Claims Full and Timely Updates for Apple Users, Naked Security, http://nakedsecurity.sophos.com/2012/08/15/ oracle-updates-java-claims-full-and-timely-updates-for-apple-users/ 19. Unpatched Java Exploit Spreads Like Wildfire, Naked Security, 8/28/12, http:// nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-likewildfire/ 20. Attacks on Java Security Hole Hidden in Bogus Microsoft Services Agreement Email, Naked Security, http://nakedsecurity.sophos.com/2012/09/03/javasecurity-hole-microsoft/ 21. CVE-2012-4681 Java 7 0-Day vulnerability analysis, Deep End Research, http:// www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html 22. New Security Hole Found in Multiple Java Versions, Naked Security, http:// nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/ 23. Visitate: http://www.sophos.com/it-it/security-news-trends/security-trends/ java-zero-day-exploit-disable-browser.aspx 7. A Continued Commitment to Security, The Facebook Blog, http://www. facebook.com/blog/blog.php?post=486790652130 24. N ew Security Hole Found in Multiple Java Versions, Naked Security, http:// nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/ 8. L atest Black Eye For Dropbox Shines Spotlight On Larger Problem, Dark Reading, http://www.darkreading.com/blog/240004868/latest-black-eye-fordropbox-shines-spotlight-on-larger-problem.html 25. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http:// nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/ 9. A nother Layer of Security for Your Dropbox Account, Dropbox Blog, 8/27/12, https://blog.dropbox.com/index.php/another-layer-of-security-for-yourdropbox-account 26. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos. com/2012/09/26/ieee-squirms-after-sensational-security-spill/ 10. Fraunhofer Institute Finds Security Vulnerabilites in Cloud Storage Services, The H Security, http://www.h-online.com/security/news/item/FraunhoferInstitute-finds-security-vulnerabilites-in-cloud-storage-services-1575935.html 11. 5 Dropbox Security Warnings for Businesses, InformationWeek, http://www. informationweek.com/security/management/5-dropbox-security-warnings-forbusiness/240005413?pgno=2 12. Con la progressiva integrazione del cloud computing, potreste trovare utili spunti leggendo "Security Guidance for Critical Areas of Focus in Cloud Computing V3.0", disponibile dal sito di Cloud Security Alliance a: https:// cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf 13. Cloud Security: Top 5 Vulnerabilities of the Public Cloud, iPro Developer, http:// www.iprodeveloper.com/article/security/public-cloud-security-698785 14. Documento tecnico Sophos: Esplorando il kit di exploit Blackhole, http://www. sophos.com/it-it/why-sophos/our-people/technical-papers/exploring-theblackhole-exploit-kit.aspx 15. The Open Business Engine, http://obe.sourceforge.net/ 16. ImmunityProducts.Blogspot.com, http://immunityproducts.blogspot. com/2012/08/java-0day-analysis-cve-2012-4681.html Rapporto sulla sicurezza per il 2013 27. The Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack, Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/ 28. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http:// nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/ 29. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos. com/2012/09/26/ieee-squirms-after-sensational-security-spill/ 30. T he Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack, Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/ 31. O WASP Top Ten 2010: The Ten Most Critical Web Application Security Risks, The Open Web Application Security Project (OWASP), http://owasptop10. googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf 32. Fonte: IDC. http://money.cnn.com/2012/08/08/technology/smartphonemarket-share/index.html 33. Fonte: ComScore. http://www.comscore.com/Press_Events/Press_ Releases/2012/9/comScore_Reports_July_2012_U.S._Mobile_Subscriber_ Market_Share 38 34. Angry Birds Malware Firm Fined £50,000 for Profiting From Fake Android Apps, Naked Security, http://nakedsecurity.sophos.com/2012/05/24/angrybirds-malware-fine/ 51. FBI Arrests 24 in Internet Credit Card Fraud Ring, Naked Security, http:// nakedsecurity.sophos.com/2012/06/27/fbi-arrests-24-in-internet-credit-cardfraud-ring/ 35. Leggendo questo, potreste desiderare sapere perché Sophos Anti-Virus richieda il permesso di inviare messaggi SMS. Quando vengono effettuati il blocco o l'identificazione in remoto di un dispositivo, il nostro software invia un SMS contenente latitudine e longitudine, oppure conferma dell'avvenuto blocco. 52. Android Porn Malware Leads to Arrests in Japan, Naked Security, http:// nakedsecurity.sophos.com/2012/06/18/android-porn-malware/ 36. Disable Windows Sidebar and Gadgets Now on Vista and Windows 7. Microsoft Warns of Security Risk, Naked Security, http://nakedsecurity.sophos. com/2012/07/12/disable-windows-sidebar-gadgets/ 54. D utch Police Takedown C&Cs Used by Grum Botnet, Security Week, http:// www.securityweek.com/dutch-police-takedown-ccs-used-grum-botnet 37. 25 VeriSign Trusted Shops Found to Have XSS Holes, Naked Security, http:// nakedsecurity.sophos.com/2012/02/28/verisign-xss-holes/ 38. Insecure WordPress Blogs Unwittingly Host Blackhole Malware Attack, Naked Security, http://nakedsecurity.sophos.com/2012/08/10/blackhole-malwareattack/ 39. A ndroid NFC Hack Lets Subway Riders Evade Fares, Naked Security, http:// nakedsecurity.sophos.com/2012/09/24/android-nfc-hack-lets-subway-ridersevade-fares/ 40. Ransomware: Would You Pay Up? Naked Security, http://nakedsecurity.sophos. com/2012/09/25/ransomware-would-you-pay-up/ 41. Reveton/FBI Ransomware: Exposed, Explained and Eliminated, Naked Security, http://nakedsecurity.sophos.com/2012/08/29/reveton-ransomware-exposedexplained-and-eliminated/ 42. Ransomware Makes Child Porn Menaces in Broken English, Naked Security, http://nakedsecurity.sophos.com/2012/07/04/ransomware-menaces/ 43. Apple Infiltrates the Enterprise: 1/5 of Global Info Workers Use Apple Products for Work, http://blogs.forrester.com/frank_gillett/12-01-26-apple_infiltrates_ the_enterprise_15_of_global_info_workers_use_apple_products_for_work_0 44. Mac Malware Spies on Email, Survives Reboots, http://www.informationweek. com/security/attacks/mac-malware-spies-on-email-survives-rebo/240004583 45. Apple Zombie Malware “NetWeird” Rummages for Browser and Email Passwords, http://nakedsecurity.sophos.com/2012/08/24/apple-zombiemalware-netweird-rummages-for-browser-and-email-passwords/ 53. B altic SpyEye Malware Trio Sent to Prison, Naked Security, http:// nakedsecurity.sophos.com/2012/07/01/uk-cops-announce-sentencing-ofbaltic-malware-trio/ 55. T op Spam Botnet ‘Grum’ Unplugged, Krebs on Security, http://krebsonsecurity. com/2012/07/top-spam-botnet-grum-unplugged/ 56. M idyear Security Predictions: What You Should Know and Look Out For, Dark Reading, http://www.darkreading.com/blog/240002287/midyear-securitypredictions-what-you-should-know-and-look-out-for.html 57. 3 0,000 Machines Infected in Targeted Attack on Saudi Aramco, The Register, http://www.theregister.co.uk/2012/08/30/rasgas_malware_outbreak/ 58. S hamoon Virus Targets Energy Sector Infrastructure, BBC, http://www.bbc. com/news/technology-19293797 59. More Dangerous Attacks Against Major Energy Providers: Mystery Virus Attack Blows Qatari Gas Giant RasGas Offline, Cyberseecure, http://cyberseecure. com/2012/08/mystery-virus-attack-blows-qatari-gas-giant-rasgas-offline-theregister/ 60. U .S. Senator Blames Iran for Cyber Attacks on Banks, Naked Security, http:// nakedsecurity.sophos.com/2012/09/26/us-iran-banks/ 61. Cyber Attacks on U.S. Banks Expose Computer Vulnerability, Bloomberg, http://www.bloomberg.com/news/2012-09-28/cyber-attacks-on-u-s-banksexpose-computer-vulnerability.html 62. Taxonomy of Malware Polymorphism, http://www.foocodechu.com/?q=node/54 63. E uropean Aeronautical Supplier’s Website Infected With “State-Sponsored” Zero-Day Exploit ], http://nakedsecurity.sophos.com/2012/06/20/aeronauticalstate-sponsored-exploit/ 46. Mountain Lion: Hands on With Gatekeeper, http://www.macworld.com/ article/1165408/mountain_lion_hands_on_with_gatekeeper.html 47. LulzSec Informant Sabu Rewarded With Six Months Freedom for Helping Feds, Naked Security, http://nakedsecurity.sophos.com/2012/08/23/sabu-lulzsecfreedom/ 48. Alleged Russian Cybercriminal Extradited to the US, Naked Security, http:// nakedsecurity.sophos.com/2012/01/19/alleged-cybercriminal-extradited-usa/ 49. Russian Man Pleads Guilty to Cyber-Fraud Conspiracy in U.S., Bloomberg, http://www.bloomberg.com/news/2012-02-24/russian-national-pleads-guiltyto-cyber-fraud-conspiracy-in-u-s-.html 50. Bredolab: Jail for Man Who Masterminded Botnet of 30 Million Computers, Naked Security, http://nakedsecurity.sophos.com/2012/05/23/bredolab-jailbotnet/ Rapporto sulla sicurezza per il 2013 39 Copyright 2013 Sophos Ltd. Tutti i diritti riservati. Sophos e Sophos Anti-Virus sono marchi registrati di Sophos Ltd. e Sophos Group. Tutti gli altri nomi di prodotti e aziende citati sono marchi o marchi registrati dei rispettivi proprietari. Le informazioni contenute nel Rapporto sulla sicurezza sono esclusivamente a scopo di informazione generale. Nonostante le informazioni vengano mantenute aggiornate e corrette, non si rilasciano dichiarazioni o garanzie, esplicite o implicite, di alcun tipo e per scopo alcuno in merito a completezza, accuratezza, affidabilità, adeguatezza o disponibilità in merito al sito o a informazioni, prodotti, servizi o relativa grafica contenuti in questo documento. Qualsiasi affidamento venga riposto su tali informazioni è quindi effettuato a proprio rischio. Vendite per Italia: Tel: (+39) 02 911 808 E-mail: [email protected] Boston, USA | Oxford, UK © Copyright 2013. Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. Rapporto sulla sicurezzaper il 2013.it.1.13