Invertire la tendenza degli attacchi informatici
Transcript
Invertire la tendenza degli attacchi informatici
TrendLabsSM - Verifica di sicurezza del 2° trim. 2014 Invertire la tendenza degli attacchi informatici Rispondere alle tattiche in evoluzione TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Sommario 1 |Le vulnerabilità critiche hanno suscitato scalpore tra i professionisti del settore informatico e il pubblico 5 |Le aziende hanno risposto all’intensificazione degli attacchi 8 |I criminali informatici hanno risposto agli sviluppi del banking online e delle piattaforme mobili 11 |La collaborazione con le forze dell’ordine ha condotto a una serie di arresti a livello mondiale 13 |Riemergenza dei problemi della privacy utente 15 |Analisi del panorama delle minacce TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Introduzione Eventi recenti come le violazioni dei dati nella Analogamente a disporre di una strategia aziendale prima metà del 2014 indicano decisamente che le volta a migliorare l’efficienza, sarebbe necessario aziende devono iniziare ad adottare un approccio attuare anche una strategia di sicurezza ben maggiormente le concepita per migliorare le pratiche di protezione informazioni digitali. Questa strategia comprende attuali e garantire alle aziende vantaggi e fatturato la protezione dei dati sensibili come la proprietà a lungo termine. La mancata protezione delle intellettuale e i segreti industriali, spesso i beni più tecnologie preziosi di qualsiasi azienda. annientare un’azienda, proprio come è accaduto strategico per proteggere Secondo uno studio condotto dall’Identity Theft Resource Center (ITRC), al 15 luglio 2014 più di 10 milioni di record personali risultavano già essere esposti, con la maggior parte delle violazioni sferrate nel settore commerciale.1 Il crescente numero di record personali esposti e di violazioni dei dati porta a chiedersi come abbiano fatto le aziende a diventare così vulnerabili. costante crescita è l’attuazione di un cambiamento di mentalità. Secondo il nostro CTO, Raimund Genes, le aziende devono innanzitutto stabilire quali sono le informazioni che considerano “dati essenziali” per poi concentrarsi sulla loro solida protezione.2 Le aziende devono inserire la sicurezza informazioni all’interno della ed esistenti potrebbe a Code Spaces. Sono emerse anche risposte favorevoli da parte delle aziende nei confronti degli attacchi, sebbene alcune si siano dimostrate totalmente impraticabili. Le aziende dovrebbero ricordare che nessun tipo di mitigazione potrà mai essere sufficiente se non vengono implementate strategie di sicurezza preventive. Nel frattempo, a livello più ampio, è possibile La soluzione principale a questi problemi in delle emergenti propria strategia aziendale a lungo termine ed evitare di gestire i problemi legati alla sicurezza come contrattempi secondari. Inoltre, come dimostrano gli incidenti rilevati in questo trimestre, le aziende dovrebbero sforzarsi di trovare una risposta di vincere la lotta contro la criminalità informatica solo mediante la cooperazione tra enti pubblici e privati. Nell’ambito di tali partnership, gli esperti della difesa contro le minacce come Trend Micro potrebbero fornire le informazioni sulle minacce alle forze dell’ordine di qualsiasi paese e consentire loro di arrestare i criminali informatici. Nel corso di questo trimestre, le nostre partnership con le forze dell’ordine in diversi paesi del mondo hanno di fatto dimostrato che gli attori del settore della sicurezza possono compiere un grande passo in avanti per fornire una risposta alle minacce odierne alla sicurezza informatica. sicurezza maggiormente strategica. NOTA: quando si parla di “rilevamenti” nel testo si fa riferimento ai casi in cui sono state individuate minacce sui computer degli utenti che sono quindi state bloccate dal software di protezione Trend Micro. Salvo laddove diversamente specificato, le cifre citate in questo rapporto si basavano sui dati raccolti dall’infrastruttura di sicurezza in-the-cloud Trend Micro™ Smart Protection Network™, che utilizza una combinazione di tecnologie in-the-cloud e tecniche basate su client per supportare i prodotti on site e i servizi in hosting. TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Le vulnerabilità critiche hanno suscitato scalpore tra i professionisti del settore informatico e il pubblico Le vulnerabilità critiche hanno interessato componenti diversi dei servizi Web e di navigazione su Internet, dalle librerie lato server ai sistemi operativi dei computer, fino alle applicazioni e i browser mobili. La divulgazione delle vulnerabilità e la distribuzione delle patch hanno tuttavia sottolineato l’urgenza e aumentato la consapevolezza delle problematiche relative alla maggior parte delle vulnerabilità rilevate in questo trimestre. Heartbleed è la vulnerabilità più critica rilevata potuto esporre i dispositivi interessati ad attacchi fino ad oggi. Il 7 aprile, OpenSSL Foundation lato server. ha annunciato la scoperta di un bug presente da due anni che ha messo a rischio di possibili attacchi informatici milioni di siti Web e relativi utenti.3 Heartbleed ha permesso agli aggressori di impadronirsi dei dati, quali password e informazioni sulle carte di credito, dagli utenti che effettuavano transazioni finanziarie tramite il protocollo SSL (Secure Sockets Layer) sui siti Web Heartbleed non è stato tuttavia l’unico problema; in questo trimestre sono state rilevate anche vulnerabilità in Windows® XP, che non riceve più assistenza dal fornitore dall’8 aprile. Da allora, i computer su cui è ancora in esecuzione il sistema operativo obsoleto non hanno ricevuto più patch, salvo nel caso di una vulnerabilità zero-day vulnerabili. (CVE‑2014-1776) rilevata nelle versioni da 6 a 11 di Sono stati pubblicati numerosi avvisi di sicurezza in che il sistema operativo ormai desueto presenta merito al bug Heartbleed con cui veniva ricordata delle vulnerabilità che potrebbero venire sfruttate. agli amministratori di sistema l’importanza di Ne sono una prova i bollettini di Patch Tuesday tenere il software aggiornato, di revocare i certificati di aprile, maggio e giugno 2014 che includevano di sicurezza obsoleti e di emetterne di nuovi. Pur patch per i bug di Windows Server® 2003 che essendo trascorsi diversi mesi dalla divulgazione interessavano anche Windows XP.7, pubblica del bug, sono ancora più di 300.000 momento che Windows XP continua a essere i sistemi connessi a Internet privi di patch. utilizzato anche dopo l’interruzione dell’assistenza Internet Explorer®.6 Questo incidente ha dimostrato 4 Il bug Heartbleed ha interessato anche 1.300 applicazioni Android™ per banking e shopping online, per i pagamenti e per molto altro ancora 8, 9 Dal da parte di Microsoft ad aprile, numerose aziende vengono ancora colpite dalle infezioni DOWNAD/ Conficker.10 che hanno eseguito l’accesso ai server vulnerabili.5 Un’altra vulnerabilità zero-day (CVE-2014-0515), Una libreria OpenSSL appositamente inclusa in presente questa volta in Adobe® Flash®, è stata Android 4.1.1 si è rivelata suscettibile al bug che ha rilevata a fine aprile.11 Adobe ha ammesso che 1 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 lo sfruttamento di questo bug sulla piattaforma venivano invitati a effettuare immediatamente Windows potrebbe consentire agli aggressori l’upgrade alla versione 2.3.16.2 come espediente. remoti di assumere il controllo dei computer Sul fronte mobile, le vulnerabilità presenti nelle infetti. applicazioni Android continuano a porre seri Anche in Apache Struts, un framework open source rischi per la sicurezza. Alcuni componenti delle per lo sviluppo di applicazioni Web basate su Java™, applicazioni monitorati nel corso di questo sono state rilevate tantissime vulnerabilità zero- trimestre hanno riportato vari difetti di sicurezza day critiche.12 I suoi sviluppatori hanno pubblicato che potrebbero mettere i dati degli utenti a rischio un avviso con i dettagli relativi a due bug (CVE- di essere sottratti o utilizzati per sferrare attacchi.14 2014-0112 e CVE-2014-0113) che hanno colpito Attualmente stiamo lavorando a stretto contatto specificatamente le versioni da 2.0.0 a 2.3.16.1 con i fornitori e gli sviluppatori di applicazioni del software.13 In questo avviso gli sviluppatori per divulgare in modo responsabile queste vulnerabilità. Cronologia delle vulnerabilità zero-day, 2° trim. 2014 Adobe Flash OpenSSL CVE-2014-0160 (Heartbleed) Internet Explorer CVE-2014-0515 CVE-2014-1776 7 26 7 6 1 28 8 28 24 22 4 CVE-2014-0112 CVE-2014-0113 24 8 2 Apache Struts 10 12 14 16 18 20 22 28 25 24 26 28 2 30 APRILE 2 MAGGIO Divulgato Con patch Decisione su Trend Micro Vulnerability Protection NOTA: una delle regole di Trend Micro Vulnerability Protection che affronta la vulnerabilità di Internet Explorer è disponibile dall’11 settembre 2007. FONTI: http://heartbleed.com/ http://helpx.adobe.com/security/products/flash-player/apsb14-13.html https://technet.microsoft.com/library/security/2963983 2 | Invertire la tendenza degli attacchi informatici https://technet.microsoft.com/library/security/ms14-021 http://struts.apache.org/release/2.3.x/docs/s2-021.html 4 TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Volume di vulnerabilità di Windows XP, 2° trim. 2014 20 19 5K Con patch 10 Senza patch 5 3 1 2 2 MODERATO BASSO 0 CRITICO IMPORTANTE NOTA: le valutazioni riportate nella presente tabella si basano sul Microsoft Security Bulletin Severity Rating System (sistema di valutazione del rischio per i bollettini sulla protezione Microsoft), disponibile all’indirizzo http://technet.microsoft.com/en-us/security/gg309177.aspx. Volume di vulnerabilità di Java 6, 2° trim. 2014 20 14 Con patch 10 Senza patch 8 3 0 ALTO MEDIO BASSO NOTA: le valutazioni riportate nella presente tabella si basano sul CVSS (Common Vulnerability Scoring System, sistema di valutazione delle vulnerabilità comuni), disponibile all’indirizzo http://nvd.nist.gov/cvss.cfm. 3 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Tre mesi dopo, Heartbleed continua a essere una minaccia... Il bug Heartbleed ha fatto emergere numerosi dubbi sul livello di sicurezza e ci si chiede in che misura gli utenti siano vulnerabili e quanto sia facile essere una vittima dell’hacking. Da una scansione eseguita a giugno 2014 da Errata Security è emerso che molte persone non hanno ancora imparato la lezione: a due mesi dalla scoperta di Heartbleed, erano infatti ancora più di 300.000 i server vulnerabili al bug.15 Heartbleed costituisce ancora una grande minaccia se gli sviluppatori non effettuano la ricompilazione di tutte le applicazioni dotate delle versioni vulnerabili di OpenSSL. L’implementazione di soluzioni di prevenzione delle intrusioni (ISP) rappresenta un modo adeguato e veloce con cui limitare il problema. Da numerosi report emerge che molte aziende prese dal panico hanno 4 | Invertire la tendenza degli attacchi informatici effettuato l’aggiornamento da versioni non vulnerabili a versioni vulnerabili. Sebbene l’aggiornamento sia un’operazione logica da effettuare per migliorare la sicurezza, prima di applicare le patch, le aziende devono ricordare due cose fondamentali: in primo luogo, non tutte le versioni software precedenti sono vulnerabili; in secondo luogo, è sempre opportuno verificare le versioni software prima di effettuare l’aggiornamento. Gli amministratori lato server dovrebbero esaminare le configurazioni dei database e le impostazioni dei servizi per limitare gli aggiornamenti solo ai casi necessari. Generalmente, gli utenti dovrebbero effettuare l’aggiornamento alle ultime versioni software e automatizzare l’aggior namento e l’installazione delle patch per la sicurezza solo per sistema operativo, software e plug-in del browser. —Pawan Kinger Direttore, Deep Security Labs TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Le aziende hanno risposto all’intensificazione degli attacchi La gravità degli attacchi contro le aziende è aumentata. Le organizzazioni hanno risposto in maniera diversa, evidenziando l’importanza di disporre di piani di risposta agli incidenti e di conoscere la sicurezza a livello aziendale. L’attacco DDoS (distributed denial-of-service) futuri con carta di credito e debito come ulteriore all’archivio di codice sorgente, Code Spaces, ha misura di sicurezza.23 avuto l’impatto più grave mai registrato fino ad oggi. Ha portato l’azienda al fallimento.16 Il secondo trimestre è stato caratterizzato anche da attacchi DDoS che hanno interessato Rich Site Summary (RSS)/Feedly, lettore di notizie dei blog. L’attacco ha impedito agli utenti colpiti di accedere alle proprie informazioni.17 Gli aggressori hanno tentato di estorcere denaro al service provider in cambio del normale funzionamento. Evernote ha subito la stessa sorte, ma è riuscita a riprendersi dall’attacco. Le violazioni di dati e gli attacchi DDoS registrati in questo trimestre indicano la necessità di disporre di una strategia a livello aziendale che consenta alle aziende di sopravvivere all’attacco. La conoscenza e l’impegno nell’adottare un piano di sicurezza strategico a livello aziendale sono aspetti fondamentali. In caso contrario, le aziende potrebbero ricorrere a misure totalmente impraticabili, quali l’elaborazione manuale, come nel caso della catena di ristoranti P.F. Chang’s o, ancora peggio, potrebbero chiudere i battenti, Oltre ai dannosi attacchi DDoS, nel secondo trimestre abbiamo assistito anche a numerose violazioni di dati. Secondo l’ITRC, al 15 luglio 2014 sono stati individuati oltre 400 incidenti di violazione dei dati.18, 19 Ne è un esempio l’attacco contro il sito Web di vendite all’asta, eBay, che ha messo a rischio i dati personali di 145 milioni di acquirenti attivi.20 A seguito dell’attacco, il service provider ha chiesto ai propri membri di reimpostare le password.21 come nel caso di Code Spaces. È consigliabile creare un team di risposta agli incidenti in grado di guidare i programmi di consapevolezza dei dipendenti incentrati sulla prevenzione delle violazioni e degli attacchi DDoS. È inoltre buona norma informare i clienti del modo in cui vengono protetti i loro dati. In caso di incidente, è necessario informare i clienti sulle misure adottate per risolvere il problema e limitare i rischi e sui piani futuri, affinché le La catena di ristoranti P.F. Chang’s è stata vittima aziende interessate possano prevenire il ripetersi di una significativa violazione dei dati che ha avuto di casi simili. Gli utenti che sottoscrivono un come conseguenza il furto dei dati delle carte di abbonamento a servizi in-the-cloud dovrebbero credito dei clienti di tutti gli Stati Uniti. In un prendere in considerazione la possibilità di avviso pubblicato sul proprio sito Web, l’azienda effettuare il backup dei propri dati in vari percorsi ha comunicato il passaggio all’uso di dispositivi sicuri. Al contempo, tutti gli utenti dovrebbero manuali per l’elaborazione di tutti i pagamenti verificare di non utilizzare la stessa password per 22 account diversi. 5 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Segnalazioni di incidenti di violazione dei dati e attacchi DDoS, 2° trim. 2014 AZIENDA DATA RILEVAMENTO/ ATTACCO CAUSA DICHIARATA NUMERO STIMATO DELLE VITTIME IMPATTO DEI DANNI STRATEGIA DI RISPOSTA VIOLAZIONI DEI DATI eBay Sconosciuto Compromesso 145 mln. di un numero acquirenti esiguo di attivi credenziali di accesso dei dipendenti Furto di dati, quali nomi, password crittografate, indirizzi e-mail, indirizzi postali, numeri di telefono e date di nascita dei clienti; impatto significativo su vendite e profitti Modifica delle password; violazione comunicata tramite il blog ufficiale P.F. Chang’s 10 giugno 2014 Violazione della sicurezza Furto dei numeri di carte di credito dei clienti Ritorno all’uso dei dispositivi manuali per l’elaborazione dei pagamenti con carta di credito e introduzione di terminali che supportano la crittografia; notifica pubblicata sul sito Web 200 filiali ATTACCHI DDoS Code Spaces 17 giugno 2014 Controllo Sconosciuto da parte dell’aggressore del pannello di controllo inthe-cloud Eliminazione di dati, backup fuori sede e configurazione delle macchine, oltre a chiusura dell’azienda Non pertinente Feedly 11-13 giugno 2014 Attacco DDoS al sito Web 12 mln. di utenti Impossibilità per gli utenti di accedere agli account e inter ruzione dei servizi Modifiche all’infra struttura; violazione comunicata tramite il blog ufficiale Evernote 10 giugno 2014 Attacco DDoS al sito Web 100 mln. di utenti Impossibilità per gli utenti di accedere agli account e inter ruzione dei servizi Utilizzo del servizio di prevenzione DDoS che comprendeva filtro dei pacchetti fasulli; violazione comunicata tramite Twitter e blog ufficiale FONTI: http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/ http://www.pfchangs.com/security/ http://blog.feedly.com/2014/06/11/denial-of-service-attack/ http://www.theregister.co.uk/2014/06/11/evernote_dos_attack/ http://www.codespaces.com/ http://www.forbes.com/sites/ryanmac/2014/07/16/ebay-ceo-sales-earnings-affected-by-cyberattack-body-blow-in-challenging-second-quarter/ 6 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 L’effetto più sottovalutato delle violazioni dei dati… Le aziende e i privati vengono spesso a sapere da terze parti di aver subito una violazione, il che tende a disorientarli e a orchestrare dinamicamente un piano di risposta all’incidente, un processo a breve termine che definisco “caos disorganizzato”. La gestione iniziale della risposta alla violazione è fondamentale per non perdere la fiducia dei clienti. È inoltre altrettanto essenziale riconoscere le lezioni apprese in seguito alla violazione. Il risultato principale è quello di lavorare in condizione di “caos organizzato”. Gli affari e la vita sono caotici, pertanto è fondamentale riuscire almeno a organizzare il “caos”. L’aspetto più sottovalutato di una viola zione è l’impatto a valle per gli anni a venire. Mentre prosegue l’attacco alle informazioni aziendali, i dati trafugati vengono rag gruppati e venduti in community inenar rabili da persone che compiono operazioni inimmaginabili; il tutto a spese dell’azienda e per somme di denaro assurde. Dobbiamo ricordare che i dati rubati non hanno una data di scadenza. Possono essere usati a tempo indeterminato, e proba bilmente lo saranno. Dovremmo tutti ripensare le nostre strategie di sicurezza in qualità di custodi dei dati e tentare di diventare esperti della difesa delle minacce nelle nostre aziende. I fornitori devono assegnare la massima priorità alla sicurezza, inclusi i piani di risposta agli incidenti per violazioni e attacchi DDoS e i programmi di consa pevolezza della sicurezza a livello aziendale. Gli utenti dei servizi in-the-cloud devono valutare l’uso di più percorsi sicuri per il backup dei dati aziendali. —JD Sherry Vicepresidente, Tecnologia e soluzioni 7 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 I criminali informatici hanno risposto agli sviluppi del banking online e delle piattaforme mobili I criminali informatici hanno risposto agli sviluppi tecnologici delle piatta forme nell’online banking e nella mobilità, sviluppi che hanno condotto a un aumento nel numero di minacce informatiche nuove/migliorate. Il ransomware ha continuato a diffondersi in questo trimestre dopo essere stato ulteriormente migliorato. Hanno proseguito prendendo di mira la piattaforma Android tramite ANDROIDOS_ LOCKER.A, che colloca l’interfaccia utente sopra a uno schermo non bloccato e proibisce agli utenti di disinstallarla.24 Anche ANDROIDOS_LOCKER. HBT ha dimostrato come il ransomware mobile abbia saputo fare propri i trucchetti delle minacce informatiche, come la comunicazione con i server C&C (command-and-control) tramite Tor.25, Sex xonix 26 Alle vittime è stato anche chiesto di pagare circa USD 30 per lo sblocco dei propri dispositivi. Il mancato pagamento del riscatto avrebbe potuto causare la distruzione di tutti i dati sui dispositivi mobili. Virus Shield Anche se il numero di utenti vittime del ransomware è sceso da circa 11.000 alla fine dell’ultimo trimestre a circa 9.000 in questo trimestre, sono emerse nuove tipologie con capacità più avanzate. IN ALTO: ANDROIDOS_LOCKER.HBT si fa passare Sono state anche osservate in questo trimestre per una falsa app dal nome “Sex xonix”; varianti come CryptoLocker con un componente Tor, CryptoDefense, e CryptoWall.27 IN BASSO: ANDROIDOS_FAKEAV.B “mascherato” da “Virus Shield” Anche i falsi antivirus hanno vissuto un revival sotto forma di una falsa app mobile dal nome “Virus Shield”, in precedenza disponibile per il download da Google Play™.28, 29 La falsa app registrava che ANDROIDOS_ FAKEAV.B veniva scaricato più di 10.000 volte e diventava addirittura l’app più venduta della settimana.30 8 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Anche il Giappone ha riscontrato in maggio un La ricerca relativa all’Operazione Emmental ha a incremento significativo nel numero di vittime delle sua volta dimostrato come le minacce informatiche minacce informatiche per il banking online a causa e mobili collaborino in modo trasparente per creare dell’aumento dei rilevamenti VAWTRAK.31 Benché non fossero considerate minacce informatiche per il banking online prima di questo trimestre, le più recenti varianti hanno ampliato le proprie più caos presso le banche online.32, 33 I criminali informatici oggetto di questa operazione prendono di mira le banche che utilizzano i token di sessione inviati tramite SMS o l’autenticazione a due fattori. Attacchi spam a carattere regionale, minacce capacità fino a includere il furto delle credenziali informatiche non persistenti, falsi server DNS, del banking online e le informazioni sulle carte di pagine di phishing, minacce informatiche Android, credito. server C&C e server back-end reali fanno tutti parte di questa complessa operazione. Confronto del volume rilevato delle minacce informatiche di banking online, 1° trim. 2013 e 2° trim. 2014 Volume rilevato delle minacce informatiche di banking online, 2° trim. 2014 50.000 120.000 46.000 112.000 102.000 38.000 60.000 25.000 0 0 1° trim. 2° trim. APR 37.000 MAG GIU In questo trimestre è stato osservato un lieve aumento nel numero di rilevamenti di minacce informatiche per il banking online dovuto all’aumento dei casi relativi a VAWTRAK in Giappone. NOTA: il volume totale delle minacce informatiche per il banking online si riferisce al numero di infezioni univoche mensili. 9 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Paesi maggiormente colpiti dalle minacce informatiche di banking online, 2° trim. 2014 Giappone Stati Uniti India Brasile Vietnam Turchia Indonesia Cile Malesia Italia Altri 24% 14% 7% 7% 5% 4% 3% 3% 3% 2% 28% 16.000 13.000 Giappone 11.000 Stati Uniti 8.000 8.000 5.000 4.000 3.000 India 4.000 3.000 2.000 0 APR MAG GIU Il Giappone è salito in testa all’elenco dei paesi con il più alto numero di infezioni da minacce informatiche per il banking online in questo trimestre a causa di VAWTRAK. La maggior parte dei paesi citati lo scorso trimestre sono rimasti nell’elenco, ad eccezione di Francia, Messico e Australia, che sono stati rimpiazzati da Indonesia, Cile e Italia. 10 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 La collaborazione con le forze dell’ordine ha condotto a una serie di arresti a livello mondiale Lavorando a stretto contatto con le forze dell’ordine di vari paesi, siamo stati in grado di vanificare in modo diretto e definitivo diverse attività criminali informatiche a livello mondiale. Rivelare i risultati della nostra ricerca alle aziende peer-to-peer (P2P).36 Trend Micro ha fornito colpite allo scopo di prevenire le perdite finanziarie all’operazione di smantellamento dell’FBI uno dovute alla criminalità informatica si è dimostrata strumento per la disinfezione che ha contribuito una scelta efficace. La dimostrazione è stata il a un calo nel numero di utenti vittime di ZeuS/ riconoscimento del Tokyo Metropolitan Police ZBOT in questo trimestre. I dati dello Smart Department (MPD) in aprile riguardo a quanto Protection Network hanno mostrato un calo del avevamo scoperto sugli attacchi legati a Citadel 36% nel numero di utenti interessati al termine del contro le banche giapponesi dal giugno 2013. trimestre. Abbiamo fornito alle forze dell’ordine anche Altre iniziative delle forze dell’ordine, invece, informazioni su Jam3s, alias James Bayliss: un richiedono tempo. Nell’ambito dell’operazione hacker che eseguiva server C&C legati a SpyEye; contro Esthost del 2011 da parte dell’FBI e della le informazioni hanno contribuito all’arresto di polizia estone, cinque delle sei persone coinvolte Jam3s nel Regno Unito in maggio. sono finalmente giunte negli Stati Uniti e sono 34 35 Lo scorso giugno, l’FBI ha annunciato che una collaborazione internazionale era stata in grado di vanificare le attività di GameOver, una variante ZeuS/ZBOT in grado di eseguire comunicazioni 11 | Invertire la tendenza degli attacchi informatici in attesa di giudizio.37 È la dimostrazione che assicurare i criminali informatici alla giustizia può anche richiedere tempo, ma alla fine ottiene i risultati auspicati. TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Trend Micro collabora con le forze dell’ordine… Il team per le ricerche sulle minacce future (FTR, Forward-Looking Threat Research), un’unità di e-crime dedicata di Trend Micro che gestisce tutte le richieste di indagini da parte delle forze dell’ordine. La collaborazione tra il team FTR e le forze dell’ordine viene messa in moto da una richiesta esplicita da un’unità di polizia o da indizi rilevati dal team FTR legati a crimini informatici. Offriamo assistenza alle indagini e condividiamo con le forze dell’ordine le informazioni disponibili sulle minacce. Siamo il punto di contatto per le attività collaborative del team CERT (Community Emergency Response Team) nazionale o commerciale e per il team CSIRT (Computer Security Incident Response Team) per Trend Micro. Diverse collaborazioni avute in passato hanno condotto a ottimi risultati, la più 12 | Invertire la tendenza degli attacchi informatici recente delle quali ha portato a una serie di arresti legati al cavallo di Troia del banking SpyEye. Abbiamo condiviso informazioni con i nostri contatti presso l’FBI e la National Crime Agency (NCA); le due agenzie hanno proseguito le indagini che hanno condotto da ultimo a una serie di arresti di alto profilo. A parte i casi che sono già diventati di dominio pubblico, siamo coinvolti in una serie di casi in corso a livello mondiale. Siamo sempre lieti di collaborare con le forze dell’ordine, con il sostegno delle informazioni sulle minacce di Trend Micro e la nostra competenza investigativa sulla criminalità informatica, poiché riteniamo che soltanto attraverso la collaborazione si possa davvero rendere il mondo un posto più sicuro per lo scambio delle informazioni digitali. —Martin Rösler Direttore Senior, Ricerca sulle minacce TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Riemergenza dei problemi della privacy utente Le forze di mercato, i regolamenti e i tribunali a livello mondiale stanno prendendo posizione in modo deciso in difesa della privacy dell’utente. Un anno fa, Edward Snowden ha reso pubbliche a Google di rimuovere le imbarazzanti rivelazioni le prassi diffuse di sorveglianza messe in atto dalla online dai risultati delle ricerche.40 La decisione National Security Agency (NSA).38 I difensori è stata giudicata una vittoria in Europa anche se della privacy dei dati hanno chiesto di cambiare alcuni recenti dibattiti sostengono che potrebbe le leggi ma la prassi della sorveglianza rimane contraddire il diritto alla libertà di espressione intatta. Le rivelazioni di Snowden hanno avviato affermato nella Dichiarazione universale dei diritti un dibattito relativo ai dati archiviati in-the- umani dell’ONU.41 cloud, mentre una maggiore consapevolezza delle minacce alla sicurezza del cloud ha condotto a una serie di reazioni, tra cui i reclami di varie aziende USA e la perdita di fiducia in alcuni provider di servizi in‑the‑cloud. Questo dibattito è ancora aperto, mentre i provider di servizi in-the-cloud continuano a lottare per tenere i dati dei clienti fuori dalle mani dei governi in un caso in corso A favore della privacy digitale, a metà giugno, la Corte Suprema degli Stati Uniti ha stabilito che la polizia sarà tenuta a procurarsi un mandato per perquisire un telefono cellulare.42 Questa decisione epocale a favore dei diritti della privacy e il supporto che ne consegue potrebbero influenzare in futuro la protezione legale concessa ai dati digitali. I siti negli Stati Uniti.39 Web che registrano dati personali possono avere Le preoccupazioni di lunga data relative ai dati i proprietari di tali informazioni hanno il diritto di che le aziende raccolgono sui singoli si sono utilizzarle come credono.43 Le misure adottate per manifestate nella decisione europea relativa al la protezione dei dati digitali personali segnano principio del “diritto di essere dimenticati” il decisamente un gradito cambiamento. 13 maggio, che consente agli utenti di chiedere 13 | Invertire la tendenza degli attacchi informatici accesso a determinate informazioni ma soltanto TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Il ruolo di Trend Micro nel dibattito sulla privacy... Giorno dopo giorno, l’importanza delle domande e delle preoccupazioni che circondano la privacy aumenta. Quasi tutti gli abitanti del pianeta si preoccupano della privacy online o dovrebbero farlo. Il sopraggiungere dell’era dell’Internet di tutto/Internet delle cose (IoE/IoT) rende ancora più eclatanti gli errori della privacy perché coinvolge un numero maggiore di conseguenze nel mondo reale. In un mondo come il nostro, con una privacy sempre più complessa e una difficoltà sempre maggiore nella sua protezione, 14 | Invertire la tendenza degli attacchi informatici qual è il ruolo di un’azienda come Trend Micro? È quello di contribuire a ridurre la complessità e di facilitare l’utilizzo di tutti i vantaggi che le tecnologie e i servizi più recenti possono offrire senza dover rinunciare alla privacy. È nostro compito in qualità di esperti della difesa contro le minacce fungere da guida e da risorsa per aiutare le persone a vivere la propria esistenza online nel modo più aperto o più privato che desiderano, comunque in sicurezza. —Christopher Budd Responsabile, Marketing minacce TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Analisi del panorama delle minacce Minacce informatiche, spam e siti dannosi In questo trimestre è stato osservato un passaggio numero di infezioni DOWNAD/Conficker. Inoltre, dei volumi attraverso vari vettori di attacco pare che il “pensionamento” di Windows XP abbia monitorati tramite Smart Protection Network. La spinto gli aggressori ad adottare una via diversa natura delle minacce nei segmenti consumer e delle come reazione. aziende è cambiata, come dimostra il declino nel Numero di indirizzi IP per l’invio di spam a cui Trend Micro Smart Protection Network ha bloccato l’accesso, 2° trim. 2014 6 mld. Numero di siti dannosi a cui Trend Micro Smart Protection Network ha bloccato l’accesso, 2° trim. 2014 500 mln. 5,1 mld. 412 mln. 4,3 mld. 4,0 mld. 3 mld. 250 mln. 246 mln. 266 mln. APR MAG 0 APR MAG GIU 0 GIU Il numero di indirizzi IP dediti all’invio di spam a cui Il numero di siti dannosi a cui abbiamo bloccato abbiamo bloccato l’accesso in questo trimestre non l’accesso è aumentato significativamente in giugno. è né sensibilmente aumentato né si è ridotto rispetto ai È interessante notare come i principali siti a cui 12,9 miliardi dello scorso trimestre. abbiamo bloccato l’accesso fossero legati all’adware. 15 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Numero di file dannosi bloccati da Trend Micro Smart Protection Network, 2° trim. 2014 1,2 mld. 1,1 mld. Numero totale di minacce bloccate da Trend Micro Smart Protection Network, 2° trim. 2014 8 mld. 1,1 mld. 6,5 mld. 0,9 mld. 5,8 mld. 5,1 mld. 4 mld. ,6 mld. 0 0 APR MAG APR GIU MAG GIU Il numero di file dannosi che abbiamo bloccato è Abbiamo bloccato una media di 5,8 miliardi di minacce raddoppiato questo trimestre rispetto allo stesso per mese questo trimestre, segnando così un lieve trimestre dello scorso anno (1,7 miliardi).44 Il numero aumento rispetto ai 5,4 miliardi dello scorso trimestre. crescente di varianti di minacce informatiche in generale e la tendenza a utilizzare minacce informatiche personalizzate sono stati accelerati dall’accessibilità dei toolkit di minacce informatiche nell’underground dei criminali informatici. Livello di rilevamento complessivo di Trend Micro Smart Protection Network, 2° trim. 2014 3000/s 2400/s 2200/s 2000/s 1500/s 0 APR MAG GIU Non sono stati registrati cambiamenti significativi del numero di minacce bloccate al secondo rispetto al trimestre precedente. 16 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Primi 3 adware, 2° trim. 2014 NOME Prime 3 minacce informatiche, 2° trim. 2014 VOLUME NOME VOLUME ADW_INSTALCOR 234.000 WORM_DOWNAD.AD 35.000 ADW_OPENCANDY 204.000 LNK_DUNIHI.SMIX 33.000 ADW_DOWNWARE 107.000 JS_NEVAR.A 19.000 L’adware ha costituito una parte consistente del numero WORM_DOWNAD ha continuato a piazzasi ai totale di minacce (adware e minacce informatiche primi posti nell’elenco dei contaminatori di minacce insieme) visto in questo trimestre. ADW_OPENCANDY informatiche in questo trimestre. Anche se il relativo è rimasto nei primi 3 anche se il relativo volume volume è sceso a causa del calo nel numero di utenti di è diminuito rispetto al trimestre precedente. Questi Windows XP, le infezioni hanno continuato a persistere adware sono in circolazione da anni. Gli adware sono in parte a causa di prassi non sicure come il mancato principalmente plug-in che alcuni sviluppatori uniscono aggiornamento del sistema operativo. in bundle al software gratuito. Gli sviluppatori dal canto NOTA: le principali minacce informatiche non loro guadagnano consigliando software o prodotti agli comprendono gli strumenti di hacking comunemente utenti tramite l’adware installato. individuati quali i generatori di chiavi e i visualizzatori delle chiavi dei prodotti. Le prime 3 minacce informatiche per segmento, 2° trim. 2014 SEGMENTO 2° trim. 2014 NOME Aziende PMI Consumer VOLUME LNK_DUNIHI.SMIX 29.000 WORM_DOWNAD.AD 26.000 WORM_DOWNAD.FUF 5.000 WORM_DOWNAD.AD 6.000 JS_CHECK.A 2.000 LNK_DUNIHI.SMIX 2.000 JS_NEVAR.A 18.000 JAVA_XPLOIT.GOQ 11.000 JS_REDIR.ED 10.000 Il segmento aziendale è stato dominato da minacce desuete come quelle legate ai supporti USB. I principali contaminatori del mercato consumer, nel frattempo, si sono piazzati alla pari con i kit di exploit. Infine, il segmento delle piccole e medie imprese (PMI) è stato vittima di una combinazione di minacce vecchie e relativamente nuove. NOTA: le principali minacce informatiche non comprendono gli strumenti di hacking comunemente individuati quali i generatori di chiavi e i visualizzatori delle chiavi dei prodotti. 17 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Primi 10 domini dannosi a cui Trend Micro Smart Protection Network ha bloccato l’accesso, 2° trim. 2014 DOMINIO MOTIVO PER IL BLOCCO DELL’ACCESSO ads.alpha00001.com Segnalato come server C&C che reindirizza gli utenti a enterfactory com, un sito Web dannoso www.ody.cc Legato a script e siti sospetti che forniscono l’hosting a BKDR_HPGN.B-CN cnfg.toolbarservices.com Rilevato come ADW_MONTIERA storage.stgbssint.com Rilevato come ADW_BUNDLED cdn1.down.17173ie.com Noto per eseguire lo scaricamento di file dannosi interyield.jmp9.com Legato agli attacchi delle minacce informatiche e ad altre attività dannose flyclick.biz Legato all’acquisizione del controllo dei computer e ad altre attività dannose directxex.com Noto per eseguire lo scaricamento di file dannosi sp-storage.spccint.com Noto per eseguire lo scaricamento di minacce informatiche checkver.dsiteproducts.com Rilevato come ADW_DOWNWARE Non sono stati registrati cambiamenti significativi del numero di utenti che accedono ai domini dannosi rispetto al trimestre precedente. Primi 10 URL dannosi per paese di origine, 2° trim. 2014 Stati Uniti Paesi Bassi Germania Cina Russia Francia Regno Unito Corea del Sud Giappone Repubblica Ceca Altri 25% 3% 3% 3% 3% 3% 2% 1% 1% 1% 55% La porzione di torta dell’hosting di URL dannosi degli Stati Uniti ha raggiunto il 25% questo trimestre, segnando un incremento del 3% rispetto al 22% dello scorso trimestre. 18 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Paesi con il maggior numero di visite a siti dannosi, 2° trim. 2014 Stati Uniti Giappone Francia Australia Taiwan Italia Cina India Regno Unito Germania Altri 29% 16% 4% 4% 4% 4% 4% 4% 3% 3% 25% L’Italia e il Regno Unito si sono unite all’elenco dei paesi con il maggior numero di visite ai siti web dannosi. Il Giappone e gli Stati Uniti sono rimasti i 2 paesi in vetta, come nel trimestre precedente. Lingue maggiormente usate per lo spam, 2° trim. 2014 Inglese Tedesco Giapponese Cinese Russo Spagnolo Portoghese Francese Turco Islandese Altri 82,81% 3,98% 3,17% 1,82% 1,00% 0,40% 0,39% 0,17% 0,09% 0,07% 6,10% Il trimestre ha segnato un apparente aumento nella quantità di spam in lingua tedesca. L’inglese ha tuttavia conservato il primo posto. 19 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Paesi principali da cui partono gli attacchi spam, 2° trim. 2014 Spagna Argentina Stati Uniti Germania Italia Iran Vietnam Russia Cina Colombia Altri 9% 8% 7% 6% 5% 4% 4% 4% 3% 3% 47% In questo trimestre non sono stati registrati cambiamenti significativi nell’elenco dei principali paesi da cui partono gli attacchi di spam. Paesi con il maggior numero di server C&C botnet, 2° trim. 2014 Regno Unito Stati Uniti Germania Russia Ucraina Cina Corea del Sud Paesi Bassi Lettonia Francia Altri 32% 29% 3% 3% 3% 2% 2% 2% 1% 1% 22% Il Regno Unito ha continuato a sovrastare l’elenco dei paesi con il maggior numero di server C&C botnet, come nel trimestre precedente. 20 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Paesi con il maggior numero di connessioni botnet, 2° trim. 2014 Regno Unito Stati Uniti Germania Russia Turchia Portogallo Cina Paesi Bassi Ucraina Svizzera Altri 27% 27% 8% 8% 5% 5% 4% 4% 4% 2% 6% Gli utenti del Regno Unito e degli Stati Uniti hanno rappresentato più di metà del traffico di rete che ha colpito i server C&C tramite i computer infetti questo trimestre. 21 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Minacce mobili Le minacce mobili restano evidenti, come dimo app ad alto rischio come l’adware sono a loro volta strato dall’aumento costante del loro numero. Le aumentate. Volume cumulativo delle minacce Android a partire dal 2° trim. 2014 3 mln. 2,7 mln. 2.7M 2 mln. Minacce informatiche mobili App ad alto rischio 2,3 mln. 2,5 mln. 37K 71% 29% 1 mln. 0 APR MAG GIU Nuove aggiunte mensili alle minacce Android, 2° trim. 2014 600.000 184.000 TOTALE In linea con le cifre dell’ultimo trimestre, le nuove 589.000 aggiunte di minacce informatiche mobili e app ad GIU 210.000 alto rischio nel corso di questo trimestre hanno rappresentato più di un quinto del numero totale delle minacce Android. MAG 300.000 NOTA: le app ad alto rischio o potenzialmente indesiderate sono quelle che possono compromettere 195.000 APR l’esperienza dell’utente poiché visualizzano pubblicità indesiderate, creano collegamenti indesiderati o rac colgono informazioni sui dispositivi senza che gli utenti lo sappiano o lo consentano. Gli esempi includono 0 MINACCE 22 | Invertire la tendenza degli attacchi informatici l’adware aggressivo. TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Principali famiglie di minacce informatiche per Android, 2° trim. 2014 OPFAKE FAKEINST SMSAGENT SMSREG STEALER JIFAKE GINMASTER SMSSENDER CLICKER BLOODZOB Altri 14% 10% 8% 7% 4% 4% 3% 3% 3% 3% 41% OPFAKE è salita in vetta all’elenco delle famiglie di minacce informatiche Android osservate questo trimestre. FAKEINST è arrivata al secondo posto, probabilmente grazie all’aumento nel numero di premium service abuser. NOTA: i premium service abuser registrano le vittime a servizi esageratamente costosi mentre l’adware esegue il push aggressivo delle pubblicità e può raccogliere informazioni personali senza il consenso della vittima. 23 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Distribuzione dei principali tipi di minacce Android, 2° trim. 2014 60% Adware 46% Premium service abuser 40% Data stealer 30% Remote controller Downloader di minacce 20% 8% 0 Spyware 3% 3% La quota di adware è rimasta la più consistente, benché sia scesa leggermente rispetto al trimestre precedente. È salito anche il numero di premium service abuser e di ladri di dati. Anche lo spyware si è piazzato tra le minacce principali nel panorama mobile. NOTA: lo spyware rileva o monitora la posizione GPS (Global Positioning System), gli SMS e le chiamate degli utenti, quindi invia tali informazioni a terze parti. Lo spyware viene in genere pubblicizzato come “strumenti di spionaggio” che gli utenti possono installare sullo smartphone o tablet di coloro che desiderano “spiare”. I dati di distribuzione si basano sulle prime 20 famiglie di minacce informatiche e adware, che rappresentano il 71% del numero totale di minacce mobili rilevate dalla tecnologia Trend Micro Mobile App Reputation nel periodo aprile-giugno 2014. Una famiglia di minacce potrebbe avere comportamenti tipici di più tipi di minacce. 24 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Attacchi mirati Gli attacchi rilevati questo trimestre hanno Abbiamo monitorato entrambe le campagne, preso principalmente di mira gli enti pubblici che prendevano di mira varie aziende nei settori con campagne quali PLEAD e ANTIFULAI. pubblico e privato, specie a Taiwan e in Giappone. 45, 46 Volume di attacchi mirati per settore, 2° trim. 2014 Pubblica amministrazione Informatico Aerospaziale Industriale 4% 3% 3% 81% Elettrico 3% Telecomunicazioni 3% Militare Aviazione Finanziario 3% 1% 1% La maggior parte degli attacchi ha continuato a prendere di mira gli enti pubblici anche in questo trimestre. NOTA: la cifra mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre. Distribuzione degli attacchi mirati per paese, 2° trim. 2014 Taiwan Giappone Stati Uniti Brasile Cina Israele Turchia Altri Taiwan è risultato il paese maggiormente preso di mira in questo trimestre, seguito dal Giappone. NOTA: la mappa mostra i dati rilevati sugli attacchi mirati monitorati in questo trimestre. 25 | Invertire la tendenza degli attacchi informatici 62% 22% 5% 1% 1% 1% 1% 7% TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Campagne di attacchi mirati attive rilevanti, 2° trim. 2014 CAMPAGNA MESE DI RILEVAMENTO PLEAD Maggio Pubblica amministrazione ed enti pubblici a Taiwan E-mail Uso della tecnica RTLO (right-to-left override) ANTIFULAI Giugno Pubblica amministra zione e vari settori privati in Giappone E-mail Sfruttamento delle vulnerabilità del programma Ichitaro HAVEX Giugno Gli utenti di Industrial Control Systems (ICS) principalmente in Europa e negli Stati Uniti E-mail di phishing, attacchi watering hole L’hacking di siti legati a ICS per compromettere applicazioni legittime OBIETTIVO PUNTO DI ACCESSO FONTI: http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted-attacks-against-taiwanese-government-agencies-2/ http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targeted-attack-exploits-ichitaro-vulnerability/ http://about-threats.trendmicro.com/us/webattack/139/HAVEX+Targets+Industrial+Control+Systems 26 | Invertire la tendenza degli attacchi informatici MOTIVO DELLA RILEVANZA TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 La principale preoccupazione rispetto agli attacchi mirati... La preoccupazione numero 1 delle aziende deve essere il “rischio di pubblicità negativa”. Gli attacchi mirati incrementano sensibilmente il rischio per la reputazione, ma due vettori di attacco in particolare destano le maggiori preoccupazioni. In primo luogo, gli attacchi watering hole, che stanno proliferando negli Stati Uniti. Un attacco watering hole è un attacco in cui il server Web aziendale viene compromesso e pagine specifiche all’interno del sito attaccano i visitatori con minacce informatiche appositamente create. Questi attacchi sono estremamente efficaci contro i dipendenti che utilizzano questi siti Web come portali, per diffondere le minacce a clienti e partner. L’impatto per la reputazione dei marchi aziendali di questi attacchi può risultare disastroso. Il secondo vettore è “island hopping”. Gli attacchi island hopping avvengono quando gli aggressori prendono di mira la rete di un’azienda per poter accedere alle reti dei relativi partner e clienti. Lo spostamento laterale attraverso sistemi di rete affidabili causa danni enorme per la reputazione e i marchi delle vittime. Gli aggressori si focalizzano sull’anello debole della catena degli approvvi giona menti. Maggiori sono le operazioni di ricognizione che gli aggressori compiono sulla catena degli approvvigionamenti aziendale e maggiore sarà il numero di attacchi di island hopping sferrati. –Tom Kellermann Responsabile della sicurezza informatica 27 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Vita digitale e IoE/IoT Mentre il fenomeno IoE/IoT continua a spalancare Oltre ai dispositivi smart, anche le attività di nuove possibilità per la condivisione e la navigazione Web rappresentano una consistente connessione con altri, migliorando così il nostro porzione della vita digitale delle persone. È per stile di vita, coloro che ne beneficiano potrebbero questo che è fondamentale essere vigili quando si essere vulnerabili agli attacchi ad esso mirati. cercano informazioni o quando semplicemente si I dispositivi IoE/IoT collegati a router wireless va online. vulnerabili potrebbero consentire a qualsiasi Recentemente, i mondiali di calcio 2014 in Brasile utente esterno di accedere alla pagina firmware sono stati uno degli eventi sportivi con la maggiore per mettere gli utenti a rischio in caso di hacking risonanza.48 Per questo, gli utenti hanno dovuto ai router.47 Manomettere un modem o router affrontare varie minacce, poiché i mondiali si sono vulnerabile può anche compromettere eventuali dimostrati uno degli spunti di social engineering dispositivi IoE/IoT (ad es. smart meter o un maggiormente sfruttati nel corso del trimestre, intero smart hub). I router sono una parte vitale come hanno confermato gli oltre un miliardo di di qualsiasi rete collegata a Internet, in quanto commenti e mi piace su Facebook da parte di oltre componenti 200 milioni di utenti e i 300 milioni di tweet.49 principali nell’attivazione degli smart hub, ovvero dispositivi che collegano tutti i dispositivi IoE/IoT l’uno all’altro. Gli utenti devono quindi garantirne la protezione. 28 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Riepilogo delle minacce relative ai mondiali di calcio, 2° trim. 2014 9 MAGGIO Le ricerche relative ai mondiali di calcio hanno indotto gli utenti a scaricare un generatore di chiavi software che si è rivelato essere adware. 20 MAGGIO Siti Web fasulli sui mondiali in Brasile vendevano biglietti per le partite che le vittime hanno pagato senza mai ricevere. 30 MAGGIO Dello spam sosteneva che il destinatario aveva diritto a un biglietto della riffa con in palio biglietti per i mondiali. Ovviamente si trattava di una truffa. 9 GIUGNO Lo spam ha fatto sorgere sempre più siti di phishing legati ai mondiali di calcio. 12 GIUGNO Sono state diffuse su Google Play delle false app mobili legate ai mondiali. ANDROIDOS_SMSSTEALER.HBT è un altra minaccia informatica Android che ha sfruttato la febbre dei mondiali. Questa famiglia di minacce informatiche è nota per avere aggiunto un filtro SMS che bloccava gli SMS in entrata. L’analisi del relativo server C&C ha portato all’identificazione di 76 domini, che venivano utilizzati anche per l’hosting di siti Web per il download di app di terze parti. FONTI: http://blog.trendmicro.com/trendlabs-security-intelligence/threats-get-a-kick-out-of-2014-fifa-world-cup-brazil-buzz/ http://blog.trendmicro.com/trendlabs-security-intelligence/brazilian-users-being-scammed-with-2014-fifa-world-cup-tickets/ http://blog.trendmicro.com/trendlabs-security-intelligence/home-court-advantage-banload-joins-fifa-world-cup/ http://blog.trendmicro.com/trendlabs-security-intelligence/phishing-sites-start-world-cup-campaign/ http://blog.trendmicro.com/trendlabs-security-intelligence/watch-out-for-fake-versions-of-world-cup-2014-apps/ 29 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 L’evento di maggiore portata legato a IoE/IoT e l’effetto della convergenza radio‑Internet... L’evento più importante questo trimestre è stata la commercializzazione aperta a tutti di Google Glass; pare che la vendita sia andata esaurita in poche ore. Anche uno scettico nei confronti dell’adozione deve ammettere che si tratta di un risultato impressionante per una tecnologia che sarà obsoleta tra pochi anni. Se si aggiunge a questo la commercializzazione del discusso iWatch di Apple alla fine dell’anno diventa chiaro che il 2015 sarà l’“anno della connessione”, se non anche l’“anno dell’infezione”. Queste tecnologie offrono nuove opportunità agli aggressori. Il GPS sul cinturino, ad esempio, non si limiterà a rilevare dove fate la vostra corsa quotidiana ma rivelerà anche quali sportelli bancomat utilizzate regolarmente. Il monitoraggio delle pulsazioni cardiache non è soltanto utile in palestra, ma consente anche di stabilire quanto dormite in un momento dato. E con l’incremento dell’adozione da parte dei consumatori aumenterà anche l’adozione da parte dei criminali. 30 | Invertire la tendenza degli attacchi informatici Il fondamento del successo di IoE/IoT è la comunicazione. La trasmissione radio e le altre tecnologie wireless sono parte integrante di questa evoluzione. Sfortunatamente, molti dei principi tecnici alla base delle tecnologie radio preesistenti utilizzate per azionare l’IoE/IoT sono stati fissati definitivamente molto prima che il Web commerciale fosse una scintilla negli occhi di Tim Berners-Lee e non sono stati progettati pensando alla sicurezza. Come per TCP/IP, erano stati progettati pensando alla resistenza. Si prevede senza dubbio che l’interesse dei criminali in quest’area continui ad aumentare, mentre la manipolazione della falsificazione esplicita della comunicazione avrà conseguenze misurabili nel mondo reale poiché la prospettiva sono i guadagni ottenuti illecitamente e la diffusione del caos. —Rik Ferguson Vice President, Security Research TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 Bibliografia 1. Noah Rayman. (3 luglio 2014). Time. “Breaches of Your Personal Data Are Up 20%.” Ultimo accesso 16 luglio 2014, http://time.com/2953428/data-breaches-identity-theft/. 2. Raimund Genes. (6 aprile 2014). TrendLabs Security Intelligence Blog. “Advice for Enterprises in 2014: Protect Your Core Data.” Ultimo accesso 17 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/advice-for-enterprises-in-2014protect-your-core-data/. 3. Pawan Kinger. (8 aprile 2014). TrendLabs Security Intelligence Blog. “Skipping a Heartbeat: The Analysis of the Heartbleed OpenSSL Vulnerability.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/skipping-aheartbeat-the-analysis-of-the-heartbleed-openssl-vulnerability/. 4. Maxim Goncharov. (10 aprile 2014). TrendLabs Security Intelligence Blog. “Heartbleed Vulnerability Affects 5% of Select TopLevel Domains from Top 1M.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/ heartbleed-vulnerability-affects-5-of-top-1-million-websites/. 5. Veo Zhang. (10 aprile 2014). TrendLabs Security Intelligence Blog. “Heartbleed Bug—Mobile Apps Are Affected, Too.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/heartbleed-bug-mobile-apps-are-affectedtoo/. 6. Jonathan Leopando. (27 aprile 2014). TrendLabs Security Intelligence Blog. “Internet Explorer Zero-Day Hits All Versions in Use.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/internet-explorer-zero-day-hitsall-versions-in-use/. 7. Abigail Pichel. (8 aprile 2014). TrendLabs Security Intelligence Blog. “April 2014 Patch Tuesday Fixes Microsoft Word ZeroDay.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/april-2014-patch-tuesday-fixesmicrosoft-word-zero-day/. 8. Abigail Pichel. (14 maggio 2014). TrendLabs Security Intelligence Blog. “May 2014 Patch Tuesday Rolls Out 8 Bulletins.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/may-2014-patch-tuesday-rolls-out-8bulletins/. 9. Bernadette Irinco. (10 giugno 2014). TrendLabs Security Intelligence Blog. “June 2014 Patch Tuesday Resolves Critical Flaws in Internet Explorer, Microsoft Office.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/ june-2014-patch-tuesday-resolves-critical-flaws-in-internet-explorer-microsoft-office/. 10. Maria Manly. (1° luglio 2014). TrendLabs Security Intelligence Blog. “DOWNAD Tops Malware Spam Source in Q2 2014.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/downad-tops-malware-spam-sourcein-q2-2014/. 11. Abigail Pichel. (28 aprile 2014). TrendLabs Security Intelligence Blog. “Adobe Releases Patch for Flash Zero-Day Vulnerability.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/adobe-releases-patch-for-flash-zeroday-vulnerability/. 12. Pavithra Hanchagaiah. (28 aprile 2014). TrendLabs Security Intelligence Blog. “Season of Zero-Days: Multiple Vulnerabilities in Apache Struts.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/season-of-zero-daysmultiple-vulnerabilities-in-apache-struts/. 13. Apache Struts 2 Documentation. “S2-021.” Ultimo accesso 16 luglio 2014, http://struts.apache.org/release/2.3.x/docs/s2-021. html. 14. Weichao Sun. (12 maggio 2014). TrendLabs Security Intelligence Blog. “Android App Components Prone to Abuse.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/android-app-components-prone-to-abuse/. 15. Errata Security. (21 giugno 2014). “300K Vulnerable to Heartbleed Two Months Later.” Ultimo accesso 23 luglio 2014, http://blog.erratasec.com/2014/06/300k-vulnerable-to-heartbleed-two.html#.U8_Ds_mSySr. 16. Dan Goodin. (19 giugno 2014). Ars Technica. “AWS Console Breach Leads to Demise of Service with “Proven” Backup Plan.” Ultimo accesso 16 luglio 2014, http://arstechnica.com/security/2014/06/aws-console-breach-leads-to-demise-of-service-withproven-backup-plan/. 31 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 17. Jay McGregor. (11 giugno 2014). Forbes. “Feedly and Evernote Go Down as Attackers Demand Ransom.” Ultimo accesso 16 luglio 2014, http://www.forbes.com/sites/jaymcgregor/2014/06/11/feedly-and-evernote-go-down-as-attackers-demand-ransom/. 18. Identity Theft Resource Center. (15 luglio 2014). ITRC. “2014 Data Breach Category Summary.” Ultimo accesso 16 luglio 2014, http://www.idtheftcenter.org/images/breach/ITRCBreachStatsReportSummary2014.pdf. 19. Identity Theft Resource Center. (15 luglio 2014). ITRC. “2014 Breach List.” Ultimo accesso 16 luglio 2014, http://www.idtheftcenter. org/images/breach/ITRC_Breach_Report_2014.pdf. 20. Rik Ferguson. (21 maggio 2014). Countermeasures. “Oy Vey, eBay! Five Questions for You….” Ultimo accesso 16 luglio 2014, http://countermeasures.trendmicro.eu/oy-vey-ebay-five-questions-for-you/. 21. eBay Inc. (21 maggio 2014). eBay Inc. “eBay Inc. to Ask eBay Users to Change Passwords.” Ultimo accesso 16 luglio 2014, http://www.ebayinc.com/in_the_news/story/ebay-inc-ask-ebay-users-change-passwords. 22. Narottam Medhora, Tanvi Mehta e Ankit Ajmera. (10 giugno 2014). Reuters. “Restaurant Chain P.F. Chang’s Investigating Possible Data Breach.” Ultimo accesso 16 luglio 2014, http://www.reuters.com/article/2014/06/11/us-pfchang-dataprotectionidUSKBN0EM06C20140611. 23. P.F. Chang’s China Bistro Inc. (1° luglio 2014). P.F. Chang’s. “Security Compromise Update.” Ultimo accesso 16 luglio 2014, http://www.pfchangs.com/security/. 24. Abigail Pichel. (26 maggio 2014). TrendLabs Security Intelligence Blog. “Ransomware Moves to Mobile.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/ransomware-moves-to-mobile/. 25. Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_LOCKER.HBT.” Ultimo accesso 16 luglio 2014, http://about-threats.trendmicro.com/us/malware/ANDROIDOS_LOCKER.HBT. 26. Weichao Sun. (7 giugno 2014). TrendLabs Security Intelligence Blog. “Android Ransomware Uses Tor.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/android-ransomware-uses-tor/. 27. Maria Manly. (9 giugno 2014). TrendLabs Security Intelligence Blog. “Social Engineering Watch: UPATRE Malware Abuses Dropbox Links.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/social-engineeringwatch-upatre-malware-abuses-dropbox-links/. 28. Warren Tsai. (16 aprile 2014). Trend Micro Simply Security. “FAKEAV in Google Play and How Trend Micro Mobile App Reputation Services Dynamic Analysis Helps Protect You.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/fakeav-google-playmobile-app-reputation-services/#.U8M4d5SSzTo. 29. Symphony Luo e Peter Yan. (2014). Trend Micro Security Intelligence. “Fake Apps: Feigning Legitimacy.” Ultimo accesso 17 luglio 2014, http://about-threats.trendmicro.com/us/malware/ANDROIDOS_LOCKER.HBT. 30. Trend Micro Incorporated. (2014). Threat Encyclopedia. “ANDROIDOS_FAKEAV.B.” Ultimo accesso 22 luglio 2014, http://aboutthreats.trendmicro.com/us/malware/ANDROIDOS_FAKEAV.B. 31. Jonathan Leopando. (2 giugno 2014). TrendLabs Security Intelligence Blog. “Banking Trojan Trend Hits Japan Hard.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-trend-hits-japan-hard/. 32. David Sancho, Feike Hacquebord e Rainer Link. (2014). Trend Micro Security Intelligence. “Finding Holes: Operation Emmental.” Ultimo accesso 23 luglio 2014, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wpfinding-holes-operation-emmental.pdf. 33. David Sancho. (22 luglio 2014). TrendLabs Security Intelligence Blog. “Finding Holes in Online Banking Security: Operation Emmental.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/finding-holes-operationemmental/. 34. Trend Micro Incorporated. (29 aprile 2014). TrendLabs Security Intelligence Blog. “The Challenge of Collaborating with Law Enforcement Agencies to Stop Cybercrime.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-securityintelligence/the-challenge-of-collaborating-with-law-enforcement-agencies-to-stop-cybercrime/. 35. Trend Micro Incorporated. (22 maggio 2014). TrendLabs Security Intelligence Blog. “SpyEye-Using Cybercriminal Arrested in Britain.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/spyeye-using-cybercriminalarrested-in-britain/. 32 | Invertire la tendenza degli attacchi informatici TREND MICRO | TrendLabs - Verifica di sicurezza del 2° trimestre 2014 36. Lord Alfred Remorin. (2 giugno 2014). TrendLabs Security Intelligence Blog. “GameOver: ZeuS with P2P Functionality Disrupted.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/gameover-zeus-with-p2pfunctionality-disrupted/. 37. Feike Hacquebord. (9 novembre 2011). TrendLabs Security Intelligence Blog. “Esthost Taken Down—Biggest Cybercriminal Takedown in History.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/esthost-takendown-biggest-cybercriminal-takedown-in-history/. 38. Editor. (5 giugno 2014). KUOW.org. “A Year After Snowden, U.S. Tech Losing Trust Overseas.” Ultimo accesso 16 luglio 2014, http://kuow.org/post/year-after-snowden-us-tech-losing-trust-overseas. 39. David Kravets. (15 luglio 2014). Ars Technica. “Obama Administration Says the World’s Servers Are Ours.” Ultimo accesso 26 luglio 2014, http://arstechnica.com/tech-policy/2014/07/obama-administration-says-the-worlds-servers-are-ours/. 40. Raimund Genes. (5 giugno 2014). TrendLabs Security Intelligence Blog. “Privacy and the Right to Be Forgotten.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/privacy-and-the-right-to-be-forgotten/. 41. Rich McCormick. (11 luglio 2014). The Verge. “Google’s Top Lawyer Says EU’s ‘Right to Be Forgotten’ Restricts Freedom of Expression.” Ultimo accesso 16 luglio 2014, http://www.theverge.com/2014/7/11/5889133/google-top-lawyer-says-right-to-beforgotten-restricts-rights. 42. Bill Mears. (25 giugno 2014). CNN. “Supreme Court: Police Need Warrant to Search Cell Phones.” Ultimo accesso 16 luglio 2014, http://edition.cnn.com/2014/06/25/justice/supreme-court-cell-phones/. 43. Office of the Data Protection Commissioner. (2014). Data Protection Commissioner. “A Guide to Your Rights.” Ultimo accesso 17 luglio 2014, http://www.dataprotection.ie/docs/A-guide-to-your-rights-Plain-English-Version/858.htm. 44. Trend Micro Incorporated. (Maggio 2013). Trend Micro Security Intelligence. “TrendLabs 2Q 2013 Security Roundup: Mobile Threats Go Full Throttle.” Ultimo accesso 26 luglio 2014, http://www.trendmicro.com/cloud-content/us/pdfs/securityintelligence/reports/rpt-2q-2013-trendlabs-security-roundup.pdf. 45. Kervin Alintanahin. (23 maggio 2014). TrendLabs Security Intelligence Blog. “PLEAD Targeted Attacks Against Taiwanese Government Agencies.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/pleadtargeted-attacks-against-taiwanese-government-agencies-2/. 46. Maersk Menrige. (4 giugno 2014). TrendLabs Security Intelligence Blog. “ANTIFULAI Targeted Attack Exploits Ichitaro Vulnerability.” Ultimo accesso 26 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targetedattack-exploits-ichitaro-vulnerability/. 47. Ilja Lebedev. (20 maggio 2014). TrendLabs Security Intelligence Blog. “When Networks Turn Hostile.” Ultimo accesso 16 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/when-networks-turn-hostile/. 48. Ryan Certeza. (13 luglio 2014). TrendLabs Security Intelligence Blog. “Being Secure in the Most-Connected World Cup Ever.” Ultimo accesso 23 luglio 2014, http://blog.trendmicro.com/trendlabs-security-intelligence/being-secure-in-the-most-connectedworld-cup-ever/. 49. Prashant Pansare (15 luglio 2014). Diligent Media Corporation Ltd. “This Is Why the FIFA World Cup 2014 Was the Biggest Social Media Event.” Ultimo accesso 23 luglio 2014, http://www.dnaindia.com/blogs/post-this-is-why-the-fifa-world-cup-2014-was-thebiggest-social-media-event-2002244. 33 | Invertire la tendenza degli attacchi informatici Realizzato da: Supporto tecnico globale e ricerca e sviluppo di TREND MICRO DECLINAZIONE DI RESPONSABILITÀ TREND MICRO Le informazioni riportate nel presente documento hanno finalità esclusivamente informative e di divulgazione. Non vengono fornite e non devono essere interpretate come consulenza legale. Le informazioni contenute nel presente documento potrebbero non essere applicabili a tutte le situazioni e potrebbero non riflettere la situazione attuale. Le informazioni del presente documento non devono essere considerate come base affidabile o come fondamento per intraprendere azioni, senza essere accompagnate da un’adeguata consulenza legale basata su fatti specifici; le circostanze e le altre informazioni qui contenute non possono essere interpretate diversamente. Trend Micro si riserva il diritto di modificare il contenuto del presente documento in qualsiasi momento senza preavviso. La traduzione del presente materiale in lingue diverse dalla lingua di origine è da intendersi esclusivamente come supporto. L’accuratezza della traduzione non è garantita e non è implicita. Per qualsiasi domanda relativa all’accuratezza della traduzione, fare riferimento alla versione in lingua originale del documento. Qualsiasi discrepanza o differenza presente nella traduzione non è vincolante e non ha alcun effetto ai fini della conformità o dell’esecuzione. Sebbene Trend Micro si impegni in modo ragionevole a inserire nel presente documento informazioni accurate e aggiornate, Trend Micro non rilascia alcuna garanzia o dichiarazione di qualsiasi tipo in relazione all’accuratezza, alla validità corrente o alla completezza delle informazioni. L’utente accetta di accedere, utilizzare e fare affidamento sul presente documento e sul suo contenuto a proprio rischio. Trend Micro esclude espressamente ogni garanzia, espressa o implicita, di qualsiasi tipo. Trend Micro ed eventuali terzi coinvolti nella creazione, produzione o fornitura del presente documento escludono qualsiasi responsabilità per qualsiasi tipo di conseguenza, perdita o danno, incluse perdite dirette, indirette, speciali, consequenziali di profitti aziendali, nonché danni speciali di qualsiasi tipo derivanti dall’accesso, l’utilizzo, l’impossibilità di utilizzo del presente documento ovvero da errori o omissioni nel contenuto del presente documento. L’uso delle presenti informazioni costituisce accettazione all’uso delle informazioni “così come sono”. Trend Micro Incorporated, leader globale di software e soluzioni di protezione, vuole rendere il mondo sicuro per lo scambio di informazioni digitali. Per ulteriori informazioni, visitare il sito www. trendmicro.it. ©2014 Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari.