Report McAfee Labs sulle minacce Agosto 2015

Transcript

Report
Report McAfee Labs
sulle minacce
Agosto 2015
Il ransomware continua
a crescere a ritmo
sostenuto: il numero
dei nuovi esemplari
è aumentato del 58%
nel 2° trimestre.
Informazioni su McAfee Labs
Introduzione
McAfee Labs è uno dei più autorevoli laboratori di idee
a livello mondiale per la ricerca e l'informazione sulle
minacce e per la sicurezza informatica. Grazie ai dati
raccolti da milioni di sensori su tutti i principali vettori
di minacce — file, Web, messaggi e rete — McAfee Labs
offre informazioni sulle minacce in tempo reale, analisi
critica e valutazioni di esperti per migliorare la protezione
e ridurre i rischi.
Questo mese segna il quinto anniversario dell'annuncio
dell'acquisizione di McAfee da parte di Intel. Da allora
molto è cambiato nel comparto della sicurezza, e quindi
abbiamo deciso di proporvi una retrospettiva su questi
anni per confrontare le nostre previsioni con quello che
è accaduto effettivamente.
McAfee è ora parte di Intel Security
www.mcafee.com/it/mcafee-labs.aspx
Segui McAfee Labs
Abbiamo interpellato una dozzina di figure chiave già
legate a Intel o a McAfee fin dall'acquisizione per sentire
la loro opinione sui principali sviluppi nel panorama delle
minacce informatiche negli ultimi cinque anni: come sono
cambiati i tipi di autori degli attacchi, i comportamenti degli
aggressori, gli obiettivi e gli aspetti economici del crimine
informatico, e quali sono state le risposte del settore.
Ci interessava anche capire che cosa non si aspettavano
o che cosa li ha veramente sorpresi. Confidiamo che la
retrospettiva sarà una lettura interessante.
In questo trimestre ci occupiamo inoltre di due argomenti
principali di grande rilievo.
Nei Report McAfee Labs sulle minacce dedichiamo molto
tempo all'analisi delle modalità con cui gli autori degli
attacchi penetrano in un sistema o in una rete affidabile,
ma poco a esaminare in che modo riescono a esfiltrare le
informazioni che vogliono sottrarre dopo avere violato il
sistema o la rete. In questo argomento principale ci avvaliamo
della notevole esperienza del team di consulenza forense
McAfee Foundstone per esaminare nel dettaglio le tattiche
e le tecniche specifiche usate dagli aggressori per sottrarre
surrettiziamente i dati di loro interesse.
Report McAfee Labs sulle minacce, agosto 2015 | 2
Gli attacchi malware alle GPU (unità di elaborazione grafica)
esistono da parecchi anni e non hanno mai destato
particolare attenzione. Di recente su GitHub sono stati
pubblicati dei codici proof-of-concept che, secondo
gli autori, dimostrerebbero come fanno gli aggressori
a eseguire il malware e a memorizzare i dati sulle GPU
e a sfuggire così al rilevamento. In questo argomento
principale analizziamo a fondo queste affermazioni
e chiariamo che cosa si può e non si può fare con questo
tipo di attacco.
■■
Altri punti degni di nota:
■■
■■
––Ogni ora sono stati compiuti più di 6,7 milioni di
tentativi per indurre i nostri clienti a connettersi
a URL pericolosi (tramite email, ricerche
con il browser, ecc.).
All'inizio di agosto si è tenuto Black Hat USA
2015. Intel ha presentato due sessioni, una
delle quali illustrava come la protezione
dell'hardware sia migliorata in seguito alle
ricerche congiunte di Intel e Intel Security.
La sessione "Attacking Hypervisors Using
Firmware and Hardware" (Attaccare gli
hypervisor con il firmware e l'hardware) ha
analizzato la superficie di attacco dei moderni
hypervisor considerando le vulnerabilità nel
firmware dei sistemi, ad esempio nel BIOS
e nell'emulazione hardware. La presentazione
sarà disponibile qui subito dopo la conclusione
di Black Hat.
Come abbiamo segnalato il trimestre scorso,
l'infrastruttura cloud di base di McAfee Global
Threat Intelligence è stata rinnovata per gestire
un maggior numero di interrogazioni, di dati
sulle minacce e di tipi di reputazione. Ne è stata
inoltre modificata l'architettura per renderla più
veloce, più sicura, più flessibile e più facile da
gestire. Fondamentale, per questo, è la nuova
architettura RESTful, la cui implementazione su
scala mondiale in McAfee GTI è stata completata
nel secondo trimestre.
Nel 2014 abbiamo formato un team di esperti in
scienza dei dati per capire e sfruttare meglio i dati
contenuti in McAfee GTI. Il team ha sviluppato
la strumentazione cloud di McAfee GTI insieme
a un dashboard che ci permette di vedere e di
analizzare gli schemi di attacco nel mondo reale
per garantire una migliore protezione ai nostri
clienti. Questi numeri ci permettono di ricavare
informazioni sui volumi degli attacchi subiti dai
nostri clienti che, nel secondo trimestre, sono
stati i seguenti:
––Ogni ora, oltre 19,2 milioni di file infetti sono
venuti a contatto con le reti dei nostri clienti.
––Ogni ora altri 7 milioni di PUP (programmi
potenzialmente indesiderati) hanno tentato
di installarsi o di avviarsi.
––Ogni ora i nostri clienti hanno compiuto
2,3 milioni di tentativi di connessione
a indirizzi IP rischiosi, oppure questi indirizzi
hanno tentato di connettersi alle loro reti.
■■
Continuiamo a ricevere indicazioni preziose dai
lettori tramite i sondaggi fra gli utenti dei Report
sulle minacce. Se desiderate farci conoscere la
vostra opinione su questo Report sulle minacce,
fate clic qui per partecipare a un sondaggio di
soli cinque minuti.
— Vincent Weafer, Senior Vice President, McAfee Labs
Condividi questo report
Sommario
Report McAfee Labs sulle minacce
Agosto 2015
Questo report è stato preparato
e redatto da:
Brad Antoniewicz
Christiaan Beek
Dave Bull
Torry Campbell
Cedric Cochin
Carric Dooley
Douglas Frosst
Robert Gresham
Paula Greve
Steve Grobman
Dave Marcus
François Paget
Eric Peterson
Matthew Rosenquist
Raj Samani
Craig Schmugar
Mike Sentonas
Rick Simon
Bruce Snell
Dan Sommer
James Walter
Vincent Weafer
Executive summary
5
Argomenti principali 6
Intel + McAfee: una retrospettiva sui nostri
cinque anni insieme
7
Esfiltrazione dei dati: una fase importante
nel percorso del ladro informatico
16
Malware per le GPU: separiamo la realtà
dalle invenzioni
26
Statistiche sulle minacce
30
Executive summary
Intel + McAfee: una retrospettiva sui nostri cinque anni insieme
In questa retrospettiva di cinque
anni, guardiamo al passato
e confrontiamo le nostre
previsioni con quanto è accaduto
effettivamente. Analizziamo
i principali sviluppi nel campo
della sicurezza informatica: come
sono cambiati i tipi di autori degli
attacchi, i comportamenti degli
aggressori, gli obiettivi e gli aspetti
economici del crimine informatico,
e come ha reagito il settore.
Il mese di agosto segna il quinto anniversario dell'annuncio dell'acquisizione di
McAfee da parte di Intel. Da allora molto è cambiato nel mondo della sicurezza
informatica. Per questa retrospettiva abbiamo riunito una dozzina di esperti
autorevoli già legati a Intel e McAfee prima dell'acquisizione per farci spiegare come
si sono evoluti il mercato della sicurezza informatica e il nostro lavoro insieme.
Parliamo dell'evoluzione del nostro pensiero in relazione alla sicurezza a livello di
componenti fisici, delle opinioni che avevamo all'epoca sulla "tempesta perfetta"
che si preparava nel mondo della sicurezza informatica e di come questa si
è concretizzata, delle difficoltà che prevedevamo per gli attacchi emergenti difficili
da rilevare e delle aspettative che avevamo nel 2010 in relazione ai nuovi tipi
di dispositivi rispetto alla realtà del settore. Affrontiamo anche alcuni fenomeni
che ci hanno sorpreso, in particolare la trasformazione del crimine informatico
in un'industria in piena regola.
Esfiltrazione dei dati: una fase importante nel percorso del
ladro informatico
In questo argomento principale
esaminiamo nel dettaglio le
tattiche e le tecniche specifiche
usate dagli aggressori per
sottrarre surrettiziamente
i dati di loro interesse.
Negli ultimi 10 anni si è avuto un aumento vertiginoso delle violazioni di dati
di rilievo e del volume dei record rubati, basti pensare ai 94 milioni di record
sottratti a TJ Maxx nel 2007 o al furto di 80 milioni di cartelle dei pazienti di
Anthem messo a segno quest'anno. Questo argomento principale si concentra
su una fase importante nel processo di sottrazione dei dati: la loro esfiltrazione,
cioè il modo in cui i dati vengono copiati o spostati dalla rete del proprietario
a una rete controllata dal criminale informatico. Esaminiamo i tipi di aggressori,
le loro motivazioni e i loro probabili obiettivi, i metodi e i meccanismi che
impiegano per sottrarre i dati e le policy aziendali che andrebbero adottate
per rilevare più facilmente le esfiltrazioni.
Malware per le GPU: separiamo la realtà dalle invenzioni
In questo argomento principale
chiariamo che cosa si può e non
si può fare oggi con gli attacchi
alle GPU.
Gli attacchi malware alle GPU esistono ormai da anni. In effetti, un tipo di malware
per GPU è attivo e in circolazione da almeno quattro anni, sotto forma di trojan
per il mining di Bitcoin che sfruttano le prestazioni della GPU per aumentare il
ritorno economico dai sistemi infetti delle singole vittime.
Di recente, un gruppo ha reso pubblici tre progetti proof-of-concept che, a detta
degli autori, userebbero le GPU come strumento di elusione, eseguendo il
codice e memorizzando i dati su queste unità che nessuno pensa di controllare.
In questo argomento principale analizziamo individualmente le varie componenti
delle capacità vantate da questi progetti, per stabilire che cosa potrebbe essere
possibilemediante l'uso di questi moduli software.
Argomenti principali
cinque anni insieme
dalle invenzioni
Inviaci la tua opinione
cinque anni insieme
— McAfee Labs
Il 19 agosto 2010, Intel annunciava che avrebbe acquistato McAfee. A quell'epoca,
McAfee e Intel collaboravano già in alcuni progetti e ci rendemmo conto che
avremmo potuto migliorare e accelerare i nostri sforzi dando un carattere
permanente alla collaborazione. Da allora è iniziato un percorso affascinante
alla scoperta delle rispettive capacità. Abbiamo sfatato alcuni preconcetti
e abbandonato le aspettative irrealistiche e sviluppato la fiducia necessaria per
fare progetti ambiziosi per il futuro.
Una dozzina di esperti autorevoli,
già legati a Intel e a McAfee prima
dell'acquisizione, ha collaborato
a stilare questa retrospettiva
sull'evoluzione del mercato della
sicurezza informatica e del nostro
lavoro insieme.
Hanno partecipato:
Christiaan Beek
Torry Campbell
Carric Dooley
Steve Grobman
Dave Marcus
Matthew Rosenquist
Raj Samani
Mike Sentonas
Craig Schmugar
Bruce Snell
James Walter
Vincent Weafer
Ora sono passati cinque anni: come procede la collaborazione? Una dozzina di
esperti autorevoli, già legati a Intel e a McAfee prima dell'acquisizione, ha collaborato
a stilare questa retrospettiva sull'evoluzione del mercato della sicurezza informatica
e del nostro lavoro insieme, esaminando le nostre previsioni sul panorama delle
minacce, come sono andate effettivamente le cose e quali sviluppi ci hanno sorpreso.
I vantaggi dell'alleanza con McAfee secondo Intel
Intel beneficia della crescita costante del settore della tecnologia nel suo complesso.
In ogni fase della sua storia, la società si è adoperata per risolvere tutti i problemi
che potevano rallentare il mercato o ostacolarne la crescita continua. La velocità
dei processori, la capacità di memoria, il consumo energetico, le connessioni alle
periferiche e le dimensioni dei chip sono tutti ostacoli che abbiamo superato.
Cinque anni fa, il problema più pressante sembrava essere la sicurezza. Se la gente
avesse iniziato a diffidare dei dispositivi, delle connessioni o dei servizi a causa
delle violazioni della privacy, della protezione o persino della sicurezza, il risultato
sarebbe stato un rallentamento del resto del mercato. Giungemmo alla conclusione
che, a differenza di alcuni problemi hardware che rientravano nel naturale campo di
azione di Intel, questo ostacolo alla crescita non avremmo potuto eliminarlo da soli:
ci occorreva la competenza di un esperto di sicurezza come McAfee.
I vantaggi dell'alleanza con Intel secondo McAfee
Cinque anni fa, mentre gli attacchi diventavano sempre più abili nell'eludere le
misure di sicurezza, i tipi di dispositivi bisognosi di protezione aumentavano
rapidamente e le minacce di basso livello come i rootkit si facevano sempre più
incombenti, in McAfee ci rendemmo conto che dovevamo ampliare la portata
e la copertura della nostra sicurezza. Infatti, da soli, i sistemi antimalware basati
sulle firme e le difese perimetrali non avrebbero potuto garantire più a lungo
un ambiente sicuro. Prevedevamo che il malware sarebbe diventato talmente
sofisticato da essere in grado di superare le difese perimetrali. Volevamo
integrare più strettamente i sistemi di sicurezza nei componenti hardware
e nelle nuove piattaforme per poter bloccare gli attacchi all'interno delle reti
affidabili e rimediare ai danni causati. Per ottenere questo risultato ci serviva
una conoscenza molto più approfondita delle funzionalità e dei comportamenti
dell'hardware. Collaboravamo già con Intel alla progettazione di soluzioni di
sicurezza a livello di processore, e ci rendemmo conto che avremmo tratto
enormi vantaggi dalle conoscenze e dalle capacità dell'azienda.
Uno sguardo indietro
Quando Intel annunciò l'acquisizione, spiegammo le nostre ragioni alla comunità
dei tecnici, degli analisti e degli investitori. Uno dei motivi principali dell'operazione
era integrare maggiormente il software con l'hardware per potenziare la sicurezza
e contrastare in modo più efficace minacce sempre più sofisticate. Minacce che,
unite a un aumento significativo del numero e dei tipi di dispositivi, stavano
creando le condizioni ideali per lo scoppio una tempesta perfetta che avrebbe
messo in luce nuove vulnerabilità e provocato innumerevoli violazioni della
sicurezza. Secondo le nostre stime, queste nuove minacce sarebbero state più
difficili da rilevare e avrebbero richiesto nuovi approcci nella sicurezza informatica.
Prevedevamo inoltre una rivoluzione nel panorama informatico, che avrebbe
portato miliardi di dispositivi diversi dai PC a connettersi alla rete. Presi tutti
insieme, questi elementi sarebbero stati un catalizzatore in grado di stimolare
ulteriori sviluppi economici e tecnici nel panorama delle minacce informatiche.
E dunque, che cosa abbiamo scoperto?
Sicurezza sui componenti hardware
All'inizio, l'acquisizione aveva tra i principali obiettivi il trasferimento della tecnologia
di sicurezza sui componenti hardware. Era una mossa impegnativa vista la rapidità
con cui i criminali informatici riescono a copiare e a ottimizzare le minacce più
sofisticate, spesso pochi giorni dopo che la loro esistenza è stata resa pubblica.
L'hardware di sicurezza richiede tempi di sviluppo, di commercializzazione e di
implementazione molto più lunghi rispetto al software di sicurezza, e il settore
conta proprio sull'agilità e sull'adattabilità del software per contrastare le minacce
nuove e impreviste. I clienti devono poter aggiornare rapidamente le loro difese per
proteggersi da attacchi imprevedibili non in un arco di cinque anni, la durata abituale
del ciclo di progettazione di un componente hardware, ma solo il giorno prima.
Anziché studiare come integrare il software antimalware nei chip, capimmo
che sarebbe stato più logico ottimizzare le prestazioni della crittografia con
l'aiuto dell'hardware, migliorare il monitoraggio antimanomissione e del kernel
con funzioni di basso livello e progettare le primitive di sicurezza direttamente
nei chip di nuova generazione, in modo che il software di sicurezza e i sistemi
operativi potessero sfruttarle.
Dopo l'acquisizione abbiamo
rilasciato il framework open
source CHIPSEC per l'analisi dei
componenti hardware e firmware
e la valutazione dei rischi per la
sicurezza di basso livello, e inoltre
Intel Kernel Guard Technology
per garantire l'integrità in fase
di esecuzione.
Gli attacchi di basso livello diretti al firmware e al BIOS permettono alle minacce di
persistere e per questo risultano appetibili per chi pratica lo spionaggio informatico
e per chi opera sul lungo periodo. Mentre questo tipo di malware si insinuava più in
profondità sotto il sistema operativo per sfuggire al rilevamento e sopravvivere alle
pulizie e ai riavvii, rilasciammo il framework open source CHIPSEC per l'analisi dei
componenti hardware e firmware e la valutazione dei rischi per la sicurezza di basso
livello, Intel Kernel Guard per garantire l'integrità in fase di esecuzione e BIOS Guard
per l'autenticazione e la protezione. L'unione delle conoscenze, dell'esperienza
e della presenza sul mercato di Intel e di McAfee ci ha garantito una posizione
privilegiata per osservare, prevedere e adeguarci ai cambiamenti nel panorama
delle minacce. Il nostro obiettivo resta sviluppare software di sicurezza per nuovi
paradigmi come la navigazione mobile, Internet delle cose e il cloud, parallelamente
alla progressiva diffusione sul mercato dei chip dotati di protezione ottimizzata.
La tempesta perfetta si avvicina
Eravamo tutti convinti che l'aumento degli utenti e dei dati, l'ampliamento delle
reti e il notevole incremento dei tipi di dispositivi e di altri obiettivi come il cloud,
uniti all'intensificarsi degli attacchi, a nuovi tipi di malware intelligenti e a criminali
informatici sempre più sofisticati stessero preparando una tempesta perfetta per
la sicurezza nel suo complesso. Gran parte di queste previsioni si sono avverate.
Semmai, l'adozione del cloud computing, dei dispositivi mobili e per Internet
delle cose è avvenuta più rapidamente di quanto avessimo previsto. La nostra
previsione del 2010 secondo cui entro il 2020 i dispositivi collegati a Internet
sarebbero stati 31 miliardi sembra ormai una stima per difetto.
Avevamo visto giusto nel
prevedere una tempesta perfetta
nel campo della sicurezza,
ma ne avevamo sottovalutato
la velocità e la violenza.
I pirati informatici hanno sicuramente approfittato di questo aumento massiccio dei
potenziali obiettivi e dell'ampliamento della superficie d'attacco. All'inizio queste
minacce riguardavano soprattutto i governi, gli istituti finanziari e i produttori di
soluzioni di sicurezza, ma ormai rappresentano un problema grave sia per le imprese
che per i privati, in quanto possono influire in modo significativo sul valore delle
aziende e provocare seccature a non finire per i singoli. Oggi assistiamo a guerre
informatiche fra gli stati in cui hanno luogo sia attacchi sponsorizzati dai governi,
estremamente visibili ancorché attivamente negati, sia attività di spionaggio a lungo
termine. Anche in questo caso, benché ci aspettassimo e avessimo previsto gran
parte di questi sviluppi, siamo rimasti sorpresi per la rapida evoluzione del malware,
l'aumento nel volume degli attacchi e la vastità della scala su cui sono stati sferrati
gli attacchi diretti agli stati.
Cambiamento del profilo degli aggressori
Sponsorizzato
Q4 2014
da un governo
Crimine
organizzato
Attivista
informatico
Criminale
A scopo
ricreativo
• Fama e notorietà
• Risorse tecniche
limitate
• Exploit conosciuti
• Vandalismo
• Capacità tecniche
limitate
• Volontà di
lasciare il segno
• Implacabile,
coinvolto
emotivamente
• Vaste reti
• Attacchi mirati
• Ritorno
economico
• Risorse
e capacità
tecniche
significative
• Movimenti
consolidati
• Adware,
crimeware,
furto di IP
• Guerra
informatica,
segreti di stato,
spionaggio
industriale
• Estremamente
sofisticato
• Risorse
praticamente
illimitate
• Minacce
avanzate
persistenti
AUMENTANO LE RISORSE E IL LIVELLO DI SOFISTICAZIONE
La diversificazione dei tipi di aggressori, delle loro risorse e del loro grado di raffinatezza
Rilevare ciò che non è rilevabile
Per contrastare in parte la tempesta perfetta, ritenevamo di dover espandere
rapidamente i sistemi antimalware basati su firma introducendovi tecnologie
in grado di rilevare ciò che non è rilevabile, perché il malware si evolveva e si
adattava per eludere i sistemi di sicurezza tradizionali. Dopo tutto, a differenza
di quanto accade di solito per un attacco, le difese sono accessibili a chiunque,
e chiunque le può testare e valutare. Qualsiasi aggressore può testare in
laboratorio un prodotto di sicurezza alla ricerca di punti deboli da sfruttare
o di sistemi per eluderlo.
Malgrado questo timore, la gran parte delle violazioni di sicurezza degli ultimi anni
è stata facilmente rilevabile. Si trattava di attacchi sofisticati nella pianificazione,
nell'individuazione degli obiettivi, nello stalking e nell'esecuzione; alcuni erano
persino estremamente tecnici o elusivi. Tuttavia, negli ultimi due anni abbiamo
assistito a un cambiamento, con un aumento significativo del numero di attacchi
che adottano tecniche sofisticate. Molti di questi sono stati progettati appositamente
per eludere le difese avanzate. Si infiltrano un frammento dopo l'altro, si nascondono
in stringhe di codice apparentemente inerte e lì attendono che le difese calino per
emergere. Queste minacce eludono anche i trap basati su firma che bloccavano
i loro progenitori, usando la crittografia e la modifica del codice dinamico per mutare
a ogni nuova implementazione e nascondere i dati che potrebbero incriminarle.
Retrospettiva: cinque anni di minacce
Tendenze e malware degno di nota
2010
2011
2012
Aumento degli agenti
infettanti dell'MBR
2013
2014
2015
Sotto ai sistemi operativi (MBR, BIOS, firmware)
Download guidati
Minacce permanenti nel browser
Esplosione dei kit di exploit
Minacce fileless/intrusione senza malware
Polimorfismo lato server/hash buster
Malware monouso
Malware per "memory scraping" (comprese le minacce per i POS)
Malware boost script per macro e PowerShell
Fake AV
Minacce derivanti da Bitcoin/valute digitali
Ransomware
Malware per PoS
Aumento delle minacce per Mac
Diversificazione
delle piattaforme
nel malware
e attacchi
multipiattaforma
Minacce mobili (malware, PHA e PUA)
Principali vulnerabilità
2011
2012
Minacce IoT
2013
2014
2015
BEAST—CVE-2011-3389
CRIME—CVE-2012-4929, CVE-2012-4930
RC4—CVE-2013-2566
HeartBleed—CVE-2014-0160,
CVE-2014-0346
Shellshock—
CVE-2014-6271,
CVE-2014-6277,
CVE-2014-6278,
CVE-2014-7169,
CVE-2014-7186,
CVE-2014-7187
BERserk—CVE-2006-4339,
CVE-2014-1568
Poodle—
CVE-2014-3566,
CVE-2014-8730
FREAK—
CVE-2015-0204,
CVE-2015-1637
Logjam—
CVE-20154000
Principali attacchi a vulnerabilità fondamentali di Internet
Le forme di malware sempre più
sfuggenti e gli attacchi prolungati
non ci hanno sorpreso, ma alcune
delle tattiche e delle tecniche
specifiche impiegate erano
inimmaginabili cinque anni fa.
Assistiamo sempre più spesso ad attacchi prolungati che continuano per molti
mesi, o ad attacchi a scoppio ritardato che restano in vigile attesa prima di
attivarsi e causare un qualsiasi danno. La maggior parte di questi probabilmente
svolge attività permanenti di spionaggio anziché vendere immediatamente i dati
esfiltrati. Anche se nel 2010 ci aspettavamo di assistere ad attacchi di lunga
durata, alcune delle tattiche e delle tecniche impiegate per realizzarli erano
inimmaginabili cinque anni fa. Uno di questi attacchi è stato documentato in
"Equation Group: lo sfruttamento del firmware delle unità a disco rigido e a stato
solido", uno degli argomenti principali del Report McAfee Labs sulle minacce
del maggio 2015. Un altro attacco di lunga durata è stato documentato nel
report Analisi di Operazione Troy: spionaggio informatico nella Corea del Sud.
L'evoluzione dei tipi di dispositivi
Come si è detto, uno degli aspetti della tempesta perfetta era l'aumento massiccio
dei tipi e del volume dei dispositivi, sostenuto dall'enorme diffusione della
virtualizzazione e del cloud pubblico.
Gli utenti hanno adottato molto rapidamente le tecnologie più alla moda: è successo
con i cellulari, poi con gli smartphone e i tablet e ora con gli indossabili. La rapida
adozione dei dispositivi collega le nostre case e le nostre aziende all'Internet delle
cose — nella sanità, nell'energia, nella logistica, nel retail, nelle città, nei trasporti,
nell'industria automobilistica e manifatturiera. Ormai la gente dipende a tal punto
dai dispositivi negli ambienti in cui vive e lavora che è disposta a sacrificare la
sicurezza e la privacy. Eravamo e restiamo convinti del fatto che, quando un numero
sufficiente di dispositivi di un certo tipo crea un mercato redditizio, invariabilmente
iniziano gli attacchi diretti a quel tipo di dispositivi. Negli ultimi cinque anni, i risultati
hanno rispettato le previsioni in alcuni casi e ci hanno sorpreso in altri.
Sebbene il volume dei dispositivi
mobili abbia subito un incremento
molto più rapido del previsto,
gli attacchi generalizzati con
conseguenze serie a questi
apparecchi sono aumentati
molto più lentamente rispetto
alle nostre previsioni.
Questo è solo l'inizio degli
attacchi e delle violazioni
contro dispositivi IoT.
Dispositivi mobili: anche se nei dispositivi mobili si è registrato un rapido
aumento degli attacchi malware, la maggior parte di essi è ancora allo stadio
esplorativo o ha un impatto trascurabile. Il valore dei dati recuperabili da
uno smartphone è relativamente scarso, e gli smartphone non sono uno dei
vettori di attacco principali per le aziende. La funzione di backup automatico
di molti smartphone e tablet ne rende semplice la pulizia e il ripristino in caso
di infezione da virus o da ransomware, almeno fino a quando i criminali non
riusciranno ad attaccare i backup sul cloud. Inoltre, gli app store per smartphone
e tablet sono molto più restrittivi in quanto fungono da servizi di whitelisting
per limitare i download di applicazioni dannose. Queste restrizioni non sono
efficaci sempre e comunque, ma frenano comunque l'aumento degli attacchi
ai dispositivi mobili. Sebbene il loro volume abbia subito un incremento molto
più rapido del previsto, gli attacchi generalizzati con conseguenze serie a questi
apparecchi sono aumentati molto più lentamente rispetto alle nostre previsioni.
Internet delle cose: i dispositivi IoT iniziano solo ora a essere sfruttati. La varietà
dei dispositivi, dei sistemi operativi e delle versioni offre una resistenza a breve
termine agli attacchi perché in pochi dispongono di una base di dispositivi
installati abbastanza ampia da attirare i criminali informatici. Tuttavia, il volume
puro e semplice dei dispositivi è aumentato più in fretta del previsto e in settori
per noi inaspettati, dando vita a una superficie di attacco sterminata: quindi,
è solo questione di tempo prima che si diffondano delle minacce per i dispositivi
IoT. Naturalmente l'obiettivo degli aggressori non è il dispositivo in sé, ma i suoi
dati o la sua possibilità di fungere da gateway. I criminali cercano il punto
di ingresso più agevole, e spesso questi apparecchi dispongono di accessi
scarsamente protetti a reti ricche di potenziali obiettivi. Questo è solo l'inizio
degli attacchi e delle violazioni contro queste apparecchiature.
PC e sistemi di data center: persino con l'incredibile aumento dei dispositivi diversi
dai PC, questi ultimi e i sistemi dei data center restano i bersagli più redditizi per
i criminali informatici, come prevedevamo. Contengono i dati migliori, hanno le
vulnerabilità più visibili e il regime di applicazione delle patch più inefficiente.
L'adozione del cloud ha cambiato
la natura di alcuni attacchi, perché
i dispositivi vengono attaccati non
per i pochi dati che contengono,
ma perché consentono di accedere
ai luoghi dove risiedono i dati
importanti.
Virtualizzazione e cloud: l'aumento dei dispositivi è stato favorito dall'enorme
diffusione della virtualizzazione e del cloud computing. Ci aspettavamo una
rapida crescita della virtualizzazione, soprattutto nei data center, ma siamo
rimasti sorpresi dalla velocità con cui sono stati implementati e adottati il cloud
computing e l'archiviazione nel cloud. Il passaggio alla virtualizzazione era
estremamente vantaggioso sul piano economico, e noi abbiamo ottimizzato
l'hardware a quello scopo. Spostarsi sul cloud era vantaggioso anche sul piano
operativo, ma pensavamo che le aziende avrebbero adottato questa tecnologia
più lentamente. L'adozione del cloud ha cambiato la natura di alcuni attacchi,
perché i dispositivi vengono attaccati non per i pochi dati che contengono,
ma perché consentono di accedere ai luoghi dove risiedono i dati importanti.
Se si impadronisce delle credenziali di accesso al cloud di una vittima, l'aggressore
può spiarne le attività e le transazioni, manipolare dati, restituire informazioni
falsificate e reindirizzare i client a siti illegittimi. Le istanze dei servizi o dell'account
di una vittima possono diventare una nuova base per l'aggressore, che può poi
sfruttare la reputazione della vittima per lanciare gli attacchi successivi. Avevamo
assistito ad attacchi contro le vulnerabilità del cloud già prima dell'acquisizione e,
come previsto, non si sono fermati.
Evoluzione e aspetti economici delle minacce informatiche
Tutti ci aspettavamo un aumento significativo del volume e delle capacità
tecniche degli attacchi informatici: le condizioni erano troppo favorevoli per
non approfittarne. Le minacce si sono evolute come una classica corsa agli
armamenti, con i criminali che sviluppavano nuovi attacchi, il settore della
sicurezza che li contrastava con nuove difese, e così via. La rete Internet mondiale
e il "Web oscuro" sono stati fondamentali per alimentare questa corsa, facilitando
la condivisione delle tecniche e delle conoscenze fra i criminali. Non appena
entrava in circolazione un attacco, anche se sferrato dal gruppo criminale più
tecnologicamente avanzato, altri potevano osservarlo, decodificarlo, riutilizzarlo
e addirittura migliorarlo. Subito dopo la scoperta, le vulnerabilità venivano
spesso vendute a criminali perché ne potessero approfittare. I produttori di
tecnologia hanno iniziato a introdurre ricompense per la segnalazione dei
bug, e la compravendita delle vulnerabilità da parte di produttori o criminali
è diventato un affare molto più redditizio di quanto ci aspettassimo.
Tipo di vulnerabilità
Prezzo di un exploit zero-day
Adobe Reader
5.000 $ – 30.000 $
Mac OS X
20.000 $ – 50.000 $
Android
30.000 $ – 60.000 $
Plug-in Flash o Java per i browser
40.000 $ – 100.000 $
Word
50.000 $ – 100.000 $
Windows
60.000 $ – 120.000 $
Firefox o Safari
60.000 $ – 150.000 $
Chrome o Internet Explorer
80.000 $ – 200.000 $
iOS
100.000 $ – 250.000 $
Prezzi correnti degli exploit zero-day nel 2013.
Abbiamo assistito alla
trasformazione del crimine
informatico in un'industria in
piena regola con produttori,
mercati, fornitori di servizi,
finanziamenti, sistemi di
negoziazione e la proliferazione
dei modelli di business.
Un fenomeno davvero inatteso è stata la trasformazione del crimine informatico
in un'industria in piena regola con produttori, mercati, fornitori di servizi
("cybercrime as a service" (il crimine informatico come servizio)), finanziamenti,
sistemi di negoziazione e la proliferazione dei modelli di business. Naturalmente
per ricavare denaro il crimine segue il percorso di minore resistenza, e un'attività
che non rende a sufficienza viene abbandonata. Purtroppo, il crimine informatico
garantisce ottimi guadagni. Un produttore di soluzioni di sicurezza ha descritto
nel dettaglio un ritorno sull'investimento del 1.425% da un'ipotetica seppur
realistica campagna malware. E in uno studio commissionato da Intel Security
il costo annuo del crimine informatico per l'economia mondiale è stato stimato
intorno ai 400 miliardi di dollari.
Anche se Internet è stata fondamentale per il crimine informatico, gli attacchi sono
stati alimentati dall'accesso a tecnologie che permettono di mantenere l'anonimato.
Nello specifico, le reti di anonimizzazione (in particolare Tor) e le monete virtuali
sono diventate determinanti per consentire ai criminali di nascondersi dalle forze
dell'ordine. Alcuni di noi avevano notato lo sviluppo precoce delle monete virtuali,
intuendo immediatamente la possibilità di sfruttarle per molti tipi di transazioni
illegali. Il Bitcoin e l'intermediazione anonima hanno inoltre dato nuova linfa al
mercato dei ransomware, rendendoli commercialmente praticabili e stimolandone
una crescita repentina quanto inaspettata.
Cinque anni fa, molti furti di grande rilievo riguardavano dati di carte di credito
venduti in blocco nel più breve tempo possibile a coloro che intendevano
compiere acquisti in modo fraudolento. Gli istituti emittenti delle carte di
credito si sono impegnati a fondo per bloccare rapidamente l'uso delle carte
rubate, il cui valore ormai cala molto in fretta proprio per questo motivo.
Di conseguenza alcuni aggressori hanno iniziato a rubare altri dati preziosi
come la documentazione sanitaria personale, che non perde valore altrettanto
rapidamente. Prendendo spunto dal mondo degli affari, i criminali informatici
stanno iniziando a utilizzare il data warehousing, combinando e correlando
più serie di dati rubati per ottenere qualcosa di molto più redditizio. Molti
dei furti di dati più eclatanti compiuti di recente, come la sottrazione di dati
fiscali personali o di dossier di indagine sulla storia personale, non sono stati
monetizzati subito, e questo potrebbe indicare una maggiore maturità da parte
dei criminali. Questa è una cosa che non avevamo previsto.
Un altro indicatore della maturità imprenditoriale del crimine informatico è stato
il calo delle competenze tecniche richieste per operare nel settore. Toolkit
per malware pronti per l'uso, programmi di affiliazione per il ransomware,
programmi per la creazione di attacchi già parzialmente predisposti e altre
familiari proposte commerciali hanno iniziato a circolare sui mercati neri del Web
per velocizzare, semplificare e ampliare la distribuzione degli attacchi. Ormai
ci vuole davvero poco per trasformarsi in criminali informatici (per farsi un'idea
del malware preconfezionato in vendita sui mercati, vedere "Morto Blacole,
arriva Angler, un nuovo kit di exploit" nel Report McAfee Labs sulle minacce,
febbraio 2015.)
Il malware preconfezionato disponibile a prezzi vantaggiosi ha contribuito notevolmente
all'aumento degli attacchi informatici.
In genere, gli stati nazionali hanno moventi diversi per i loro attacchi, ma spesso
sfruttano ampiamente la medesima infrastruttura criminale. Di solito non sono
mossi dall'intento di monetizzare direttamente e possono operare su periodi più
lunghi, con le risorse più diverse. Lo spionaggio è considerato un'attività svolta
in segreto da poche persone, e in genere per lo spionaggio informatico è così.
Tuttavia, lo spionaggio informatico sponsorizzato dai governi è stato attuato su
una scala tale da superare le nostre previsioni e nel giro degli ultimi due anni
è diventato molto più visibile, anche al grande pubblico.
Ancora sorprese
Aziende e privati continuano a non
prestare sufficiente attenzione
agli aggiornamenti, alle patch,
alla protezione delle password,
agli avvisi di sicurezza, alle
configurazioni predefinite e ad
altri sistemi semplici ma cruciali
per salvaguardare le risorse
informatiche e fisiche.
La scoperta e lo sfruttamento di
alcune vulnerabilità fondamentali
di Internet hanno dimostrato come
alcune tecnologie di base siano
sottodimensionate dal punto di
vista delle risorse economiche
e del personale.
Alcune sorprese non sono catalogabili nelle sezioni di cui ci siamo occupati fin
qui. Forse, la più grande è la costante mancanza di attenzione — da parte delle
aziende così come dei privati — agli aggiornamenti, alle patch, alla protezione
delle password, agli avvisi di sicurezza, alle configurazioni predefinite e ad altri
sistemi semplici ma fondamentali per salvaguardare le risorse informatiche
e fisiche. Questa non è una novità per il settore della sicurezza; sono decenni
che insistiamo su questi aspetti, e malgrado ciò restano sempre i vettori più
adatti per sferrare un attacco efficace.
A proposito di risorse fisiche, continuiamo a chiederci come mai non è ancora
andato a segno un attacco di proporzioni catastrofiche contro un'infrastruttura
cruciale. Attacchi di questo genere non interessano ai criminali informatici
perché non sono una fonte di facile guadagno, ma quasi sicuramente interessano
ai terroristi e forse anche a qualche governo. Anche se abbiamo osservato
operazioni di ricognizione informatica su infrastrutture critiche, dobbiamo
presumere che considerazioni politiche o strategiche abbiano impedito,
almeno finora, un attacco in piena regola.
A proposito di infrastrutture, di recente la scoperta inattesa e il conseguente
sfruttamento di alcune vulnerabilità fondamentali di Internet (in codice
vecchio di decenni) hanno dimostrato come alcune tecnologie di base siano
sottodimensionate dal punto di vista delle risorse economiche e del personale.
Il riconoscimento di questo rischio ha portato alla sponsorizzazione del software
e a una maggiore collaborazione fra le grandi organizzazioni che basano la gran
parte delle loro attività su Internet.
Siamo molto soddisfatti per
la collaborazione sempre
più fattiva tra settore della
sicurezza, mondo accademico,
pubblica sicurezza e governi
per sgominare le organizzazioni
di criminali informatici.
Infine, siamo molto soddisfatti per la collaborazione sempre più fattiva tra settore
della sicurezza, mondo accademico, pubblica sicurezza e governi per sgominare
le organizzazioni di criminali informatici. Alcuni di essi hanno accettato di mettere
a disposizione i loro codici e offerto suggerimenti utili; è necessario ottenere lo
stesso risultato nel campo della protezione. "L'unione fa la forza" sarà anche una
frase fatta, ma in questo caso è vera.
Conclusioni
Cinque anni fa abbiamo fatto alcune previsioni giuste e alcune sbagliate. Molti
degli elementi previsti per la tempesta perfetta si sono concretizzati, mentre
altri sono stati del tutto inattesi. Tre forze hanno continuato a mettere alla prova
il nostro panorama della sicurezza informatica: la superficie di attacco sempre
più vasta, la trasformazione della pirateria in un'industria e la complessità e la
frammentazione del mercato della sicurezza informatica. Il crimine informatico
si è trasformato da un hobby a un'industria molto più in fretta del previsto,
sperimentando diversi modelli di business e operando con un indirizzo ora
criminale, ora politico, ora militare.
L'importanza della sicurezza informatica non è mai stata così sentita, in parte per
effetto dei media, delle nuove normative che obbligano a rendere pubbliche le
violazioni e di una maggiore consapevolezza e maturità. Tuttavia, oggi la posta
in gioco è sensibilmente più alta e il panorama si è trasformato a vantaggio degli
aggressori, la cui abilità e le cui risorse sono nettamente superiori al passato.
Le battaglie per la sicurezza continuano a essere una sfida formidabile, ma la
guerra non è finita. Fattori positivi sono stati una maggiore consapevolezza,
il contributo di un numero crescente di professionisti della sicurezza e delle
innovazioni tecnologiche e il riconoscimento da parte dei governi del loro ruolo
di tutela dei cittadini nel cyberspazio. La fusione di Intel e McAfee fa parte di
quell'evoluzione che ha lo scopo di sviluppare sistemi sicuri per salvaguardare
gli utenti e la tecnologia in futuro.
— Brad Antoniewicz
Negli ultimi 10 anni abbiamo assistito a un'adozione della tecnologia su scala
mondiale senza precedenti. Internet è esplosa, con una percentuale di utenti che
dal 15% è passata a oltre il 40% della popolazione mondiale e, parallelamente,
aziende grandi e piccole hanno realizzato reti connesse tramite Internet per
comunicare con i clienti e mettere a disposizione i dati su cui si basa la loro
attività. La raccolta e la digitalizzazione delle informazioni, unite all'enorme
portata ed estensione delle moderne reti, offrono ai malviventi un'opportunità
imperdibile per il furto di dati.
I ladri rubano praticamente
qualsiasi informazione di carattere
personale: nomi, date di nascita,
indirizzi, numeri di telefono, codici
fiscali, numeri di carte di credito
e di debito, informazioni sanitarie,
credenziali di account e persino
dati sull'orientamento sessuale.
Negli ultimi 10 anni si è verificato anche un massiccio aumento delle violazioni
di dati di dimensioni rilevanti. Nel 2007, TJ Maxx è stato vittima di una delle
primissime violazioni su larga scala, con la sottrazione dei dati relativi alle
carte di credito e di debito di circa 94 milioni di clienti. Solo due anni dopo la
compromissione ha interessato il colosso della gestione dei pagamenti Heartland
Payment Systems, con l'esfiltrazione dei dati di 130 milioni di clienti, secondo
le stime. Gli anni successivi avrebbero messo in luce violazioni ancora più gravi,
che interessavano una rete di informazioni più vasta.
Oltre ai numeri delle carte di credito e di debito, i ladri rubano informazioni
personali di quasi tutti i tipi: nomi, date di nascita, indirizzi, numeri di telefono,
codici fiscali, informazioni sanitarie, credenziali di account e persino dati
sull'orientamento sessuale.
Ora sappiamo che i ladri informatici non sono semplicemente gruppi o individui che
mirano a far soldi. Le motivazioni da cui sono mossi hanno portato a classificarli in
categorie precise, ciascuna delle quali ruba i dati con un obiettivo specifico. Come
dimostra un'offerta di lavoro diretta a un "funzionario dell'intelligence statunitense"
diffusa di recente da un governo straniero, i dati personali rubati hanno uno scopo
diverso quando le vittime sono i dipendenti di un ente governativo e i ladri
agiscono per conto di un altro governo.
Il successo di Internet e l'evoluzione del furto informatico hanno anche dato
un nuovo impulso allo spionaggio informatico, rendendo realistica la minaccia
di sottrazione della proprietà intellettuale digitale. Sono stati rubati segreti
commerciali da aziende di ogni tipo, da Google, Microsoft e Sony a Boeing,
Lockheed Martin e DuPont, a dimostrazione del fatto che i ladri sanno
approfittare del valore ovunque si trovi.
Questo argomento principale si concentra su una fase importante nel processo di
sottrazione dei dati: la loro esfiltrazione. In questa fase, i ladri informatici copiano
o spostano i dati dalla rete del proprietario a una rete sotto il loro controllo.
L'esfiltrazione dei dati avviene per mano di figure il cui intento è sottrarre i dati,
non a causa di perdite di dati accidentali dovute allo smarrimento o al furto dei
dispositivi (nelle quali il ladro è più interessato all'hardware).
Gli autori delle minacce
Fonti di minaccia, autori delle minacce e agenti di minaccia sono tutte espressioni
che indicano un gruppo o un individuo che intende accedere illegalmente a reti
e sistemi informatici. In varie pubblicazioni del settore pubblico e privato che
tentano di classificare questo tipo di minacce, tre dei protagonisti principali
ricorrono costantemente: governi, criminalità organizzata e attivisti informatici.
Motivazioni
La motivazione è fra le caratteristiche principali che
distinguono gli autori delle minacce. Anche se la
sottrazione di dati nel corso di una campagna non
è sempre necessaria per raggiungere un obiettivo,
molte campagne richiedono il furto di dati.
Governi
Moventi generici
Esempi di tipi di dati
■■
Spionaggio
■■
Influenza
Per mettere in atto un furto, il ladro in genere cerca i tipi
di dati più appetibili. Tuttavia, questi possono cambiare,
per cui non è insolito vedere un'organizzazione criminale
concentrare il suo interesse ad esempio sul furto di indirizzi
IP per aumentare i guadagni.
Criminalità organizzata
■■
Economici
Attivisti informatici
■■
■■
Sociali
Email
■■
Codice sorgente
■■
Dati di conti bancari
■■
■■
Email
■■
Dati di carte di credito
■■
■■
Documenti interni
■■
■■
Attività militare
■■
Informazioni di
identificazione
personale di
funzionari governativi
Informazioni di
identificazione
personale
(codici fiscali,
dati sanitari, ecc.)
Legati alla
reputazione
■■
Informazioni
sui dipendenti
Tutti i dati
interni sensibili
Volume dei dati presi
di mira
Più o meno grande
Grande
Più o meno grande
Livello di raffinatezza delle
tecniche di esfiltrazione
Elevato
Medio basso
Medio basso
Collocazione dei dati
in rete
Sconosciuta/spesso
disseminati
Nota
Sia nota che sconosciuta/
spesso disseminati
I governi in genere cercano di ottenere un vantaggio
strategico, che spesso si traduce nel furto di proprietà
intellettuale. Data la grande diversità delle informazioni
potenzialmente utili per un governo, fare una stima del
volume dei dati che fuoriesce da un'organizzazione può
essere difficoltoso: un semplice progetto o il disegno di
un nuovo prodotto può avere dimensioni relativamente
ridotte, mentre il codice sorgente di un'applicazione
importante può essere molto voluminoso. Sul piano
organizzativo, queste informazioni sono difficili da
circoscrivere e sono spesso disseminate su più reti;
i ladri informatici devono quindi dedicare un tempo
considerevole alle ricerche, a meno che non dispongano
di fonti interne all'organizzazione presa di mira.
Gli obiettivi economici della criminalità organizzata
ne rendono i moventi un po' più semplici da capire.
Questi gruppi tendono a concentrarsi su grandi riserve
di dati di carte di credito, di informazioni bancarie o di
identificazione personale. Gran parte di questi dati ha
un formato standard strutturato che ne facilita la ricerca.
I dati in genere devono anche sottostare alle normative,
e ciò significa che si trovano in punti prestabiliti della rete.
Gli attivisti informatici sono forse i più difficili da contrastare, perché per
compromettere la reputazione di un'organizzazione si può utilizzare qualsiasi
dato interno. Ecco perché questi gruppi possono prendere di mira qualsiasi
tipo di dati, dalle carte di credito ai messaggi email, e i volumi sottratti possono
essere più o meno grandi.
Accesso fisico
La capacità di un gruppo o individuo di accedere fisicamente a un sistema, anche
mediante proxy, garantisce un vantaggio immenso. I dispositivi di archiviazione
USB rappresentano un sistema semplice per esfiltrare grandi quantità di dati
aggirando i controlli di sicurezza della rete. Un ladro informatico può sferrare un
attacco consegnando un'unità rimovibile a un dipendente ignaro, che poi lancia
involontariamente l'attacco quando collega il dispositivo alla rete.
Conoscenza degli ambienti
Per ottenere informazioni di carattere ambientale sulle reti e sui sistemi si può
ricorrere al social engineering, all'aiuto di un insider e alla raccolta di informazioni
pubbliche. Queste tecniche abbreviano i tempi necessari per rilevare i dati,
ottenere l'accesso ai sistemi ed esfiltrare i dati stessi.
Esfiltrazione dei dati
Copiare i dati da una rete compromessa può essere un'operazione complessa, che
richiede un'ottima conoscenza della configurazione di sicurezza di un'organizzazione,
delle falle nella segmentazione della sua rete, della disposizione e delle impostazioni
dei controlli di sicurezza e dei privilegi che consentono di accedere ai sistemi lungo
tutto il percorso.
Per capire e classificare meglio queste tecniche complesse, ne abbiamo suddiviso
i componenti in cinque gruppi principali:
■■
■■
■■
■■
■■
Obiettivi con dati: sistemi che contengono i dati presi di mira
dall'aggressore quali sistemi di condivisione dei file, archivi,
sistemi POS, ecc.
Infrastruttura di raccolta: sistemi di proprietà delle aziende usati
dall'aggressore per raccogliere e trasmettere i dati dall'azienda
ai server di dump.
Server di dump: sistemi accessibili dagli aggressori usati
per conservare temporaneamente i dati prima che passino
definitivamente sotto il loro controllo.
Trasporto dei dati: protocolli di rete o dispositivi di archiviazione
dati usati per trasportare i dati da un luogo all'altro.
Manipolazione dei dati: tecniche che alterano o mascherano i dati
come la crittografia, l'occultamento, la compressione e la divisione
in blocchi.
Componenti dell'esfiltrazione dei dati
Obiettivi
con dati
Infrastruttura
di raccolta
Internet
Server
di dump
Trasporto/manipolazione dei dati
Principali elementi di base per l'esfiltrazione dei dati
Obiettivi con dati
Quando viene compromesso un sistema all'interno di una rete si apre la via
all'esplorazione degli altri sistemi e alla scoperta di quelli che contengono dati
appetibili. Una rete complessa contiene molti tipi di dati e per questo si tratta
di un'operazione lunga per chiunque non disponga di informazioni riservate.
I principali obiettivi con dati sono:
Obiettivo con dati
Tipo di dati
Autori interessati
Sistemi database
Variabile: informazioni
sanitarie riservate, dati di
identificazione personale,
carte di credito, dati
bancari e account utente
Criminalità organizzata,
attivisti informatici
Archivi di codice
sorgente
Codice sorgente,
credenziali, chiavi
Governi, attivisti
informatici
Sistemi specialistici
Variabile
Tutti, a seconda del
tipo di endpoint
Sistemi di
condivisione
file e simili
Codice sorgente, progetti,
comunicazioni, ecc.
Governi, attivisti
informatici
Email
e comunicazioni
Progetti, comunicazioni
Governi, attivisti
informatici
Sistemi database
Questi sistemi ospitano grandi volumi di dati strutturati e sono quindi un
bersaglio privilegiato, soprattutto per la criminalità organizzata. I sistemi
svolgono molte funzioni in un'azienda:
■■
■■
■■
■■
■■
■■
Autenticazione: sistemi che contengono informazioni come nomi
utente e password associate agli utenti che si autenticano.
Tracciabilità dei pazienti: sistemi per la tracciabilità dell'ammissione,
della gestione e della dimissione dei pazienti nel settore sanitario.
Elaborazione dei pagamenti: sistemi che accettano, emettono
ed elaborano transazioni finanziarie di clienti o fornitori.
Elaborazione/fidelizzazione dei clienti: sistemi che contengono
dati dei clienti per la tracciabilità, il marketing o scopi analoghi.
Gestione risorse umane/finanza: sistemi per la gestione e la
retribuzione dei dipendenti.
Strutture IT non di produzione/shadow IT: i sistemi per i test
e i sistemi shadow IT contenenti dati di produzione e altri dati
aziendali possono essere altrettanto preziosi per un aggressore
e più vulnerabili a un attacco.
Archivi di codice sorgente
Gli archivi interni di codice sorgente a volte vengono lasciati senza protezione anche
se contengono dati molto preziosi come il codice sorgente di un'applicazione,
le chiavi API, le credenziali di accesso a un database o a un server di autenticazione
e le chiavi di crittografia.
Sistemi specialistici
Gli attacchi diretti alle grandi aziende di vendita e ai grandi produttori mostrano
che gli aggressori prendono di mira i dati contenuti nei sistemi specialistici o nei
sistemi endpoint che hanno uno scopo ben definito in un determinato settore,
come ad esempio:
■■
■■
■■
Sistemi POS: l'anello più debole nell'elaborazione dei pagamenti
si trova forse all'interno del sistema POS, perché spesso i dati delle
carte di credito non vengono crittografati nella memoria dopo la
lettura da parte del dispositivo.
Workstation degli sviluppatori: le workstation degli sviluppatori
possono essere una miniera di dati ambientali e di proprietà
intellettuale, e per questo sono obiettivi di grande valore.
Sistemi di controllo: i set point e la logica dei programmi offrono
informazioni preziose e possono essere modificati con conseguenze
devastanti negli attacchi contro installazioni industriali.
Archivi di file
Per un ladro, è la quantità stessa dei dati contenuti nei grandi archivi di file
a presentare dei vantaggi e degli svantaggi. Da un lato, possono essere una
miniera di informazioni; dall'altro, passarli al setaccio manualmente può essere
un'impresa titanica perché contengono informazioni non strutturate. In questa
categoria rientrano i seguenti sistemi:
■■
■■
■■
Sistemi di condivisione file in rete: questi sistemi contengono cartelle
di gruppi e di utenti in cui sono presenti documenti, disegni e altri
dati aziendali.
Sistemi di gestione dei contenuti: Microsoft SharePoint e simili
ospitano contenuti analoghi ai sistemi di condivisione file, ma in
genere per un ladro informatico è più difficile venirne a capo.
Cloud di terzi: anche i servizi di condivisione file su cloud come
Google Drive, Dropbox e Box.com possono mettere a rischio i dati,
ma spesso vengono presi di mira da aggressori esterni in possesso
di informazioni riservate anziché da aggressori presenti su una
rete interna.
Email e comunicazioni
Le workstation degli utenti, i server di posta e i sistemi di messaggistica immediata
come Skype for Business sono obiettivi frequenti perché le loro cache contengono
dati aziendali sensibili, informazioni operative e comunicazioni private.
Infrastruttura di raccolta
Quanto più profondo e segmentato
è l'obiettivo sulla rete, tanto più
difficile è l'esfiltrazione dei dati.
Quanto più profondo e segmentato è l'obiettivo sulla rete, tanto più difficile
è l'esfiltrazione dei dati per un criminale. Quando è necessario, i malviventi creano
un'apposita infrastruttura di raccolta utilizzando degli host che fungono da
intermediari fra i segmenti della rete e un server di dump sotto il loro controllo.
L'infrastruttura di raccolta può essere semplice o complessa, in funzione delle
esigenze. Nelle situazioni di esfiltrazione avanzata, abbiamo visto sistemi che
avevano i seguenti ruoli:
■■
■■
■■
Endpoint: uno o più obiettivi con dati sullo stesso segmento
dell'aggregatore o su un segmento a esso instradabile.
Aggregatore: funge da punto di raccolta per i dati degli endpoint di
riferimento e carica i dati sull'esfiltratore. L'aggregatore può disporre
di accesso a Internet, ma non necessariamente. Nelle campagne
più sofisticate, più aggregatori possono trasferire dati a svariati
esfiltratori per occultare il percorso dei dati in uscita.
Esfiltratore: prende i dati da un aggregatore e ne facilita il
trasferimento al server di dump dell'aggressore. Può trattarsi
di un semplice trasferimento, oppure l'esfiltratore può ospitare
i dati che l'aggressore preleverà.
Architettura di esfiltrazione dei dati
Aggregatore
Esfiltratore
Internet
Server
di dump
Endpoint
Una tipica architettura di esfiltrazione dei dati
Questo schema riproduce una tipica architettura di esfiltrazione dei dati, ma ne
esistono altre. Ad esempio, una campagna che è stata analizzata pubblicamente
aveva istituito un'apposita rete di esfiltratori e di aggregatori disseminati sul
territorio che operavano a rotazione nel trasferimento dei dati dai sistemi ai server
di dump. In un altro caso, un server aziendale per la distribuzione di contenuti
accessibile tramite Internet è stato usato come esfiltratore incorporando i dati
nello stream video dei contenuti diretti all'esterno.
Server di dump
Un server di dump è il primo punto al di fuori del controllo dell'azienda in cui
transitano i dati rubati. Tuttavia, non è nemmeno necessariamente sotto il
controllo dell'aggressore: è semplicemente un punto a cui questi può accedere
agevolmente. I server di dump possono essere:
■■
■■
■■
■■
■■
Sistemi compromessi: sistemi che sono stati compromessi dall'aggressore
durante un'altra campagna. Possono essere sistemi di qualunque tipo,
dai blog personali su WordPress ai server aziendali dotati di controlli
di sicurezza inefficienti.
Sistemi in hosting in paesi specifici: i paesi con norme restrittive sulla
privacy sono interessanti per gli aggressori perché possono ospitare
entro i loro confini sistemi che operano indisturbati e con un certo livello
di protezione.
Sistemi in hosting temporanei: sistemi dalla vita breve ospitati sul cloud
tramite provider come AWS, Digital Ocean o Azure.
Servizi cloud di condivisione file: siti di condivisione file online accessibili
a tutti come DropBox, Box.com e Paste Bin.
Servizi su cloud: vari altri servizi Internet come Twitter e Facebook che
consentono agli utenti di pubblicare dati.
Gli host compromessi, i sistemi in hosting in paesi specifici e i sistemi in hosting
temporanei funzionano bene come server di dump in quanto offrono il massimo
controllo sui dati, permettendo agli aggressori di personalizzare al massimo
i metodi di trasporto dall'esfiltratore. Con i servizi di hosting e di condivisione
file su cloud è difficile per chi si deve difendere bloccare semplicemente gli host
di destinazione, a causa dei molti punti in cui sono dislocati. Tuttavia, di solito
questi servizi dispongono di metodi facilmente accessibili per segnalare le azioni
illegali e possono disabilitare rapidamente gli account incriminati.
Lo svantaggio di utilizzare host dedicati come server di dump è il fatto che, una
volta scoperti, i sistemi possono essere bloccati o disattivati. Un metodo per
ovviare a questo inconveniente è l'uso di algoritmi di generazione dei domini.
Si tratta di algoritmi incorporati nel malware eseguito all'interno della società
presa di mira che generano un elenco di nomi di dominio prevedibili che si
possono interrogare per individuare i server di controllo o di dump attivi.
Trasporto dei dati
Il trasporto dei dati è costituito dai protocolli e dai metodi
utilizzati per copiare i dati da una posizione o da un sistema
a un altro, ad esempio tra un esfiltratore e il server di dump
o un endpoint e un aggregatore. La tabella riprodotta
di seguito riassume numerosi metodi di trasporto
attualmente di uso comune e le relative reti:
Trasporto
Descrizione
Interna
HTTP/HTTPS
La prevalenza del protocollo HTTP nelle comunicazioni in rete lo rende
ideale per nascondere i dati esfiltrati in mezzo al resto del traffico. È stato
impiegato come trasporto generico per l'esfiltrazione incorporando
i comandi nelle intestazioni HTTP e nei metodi GET/POST/PUT.
FTP
L'FTP, spesso disponibile sui server aziendali, è un protocollo con cui
è facile interagire mediante comandi nativi di sistema ed è quindi un
tipo di trasporto che non crea problemi.
USB
I dispositivi di archiviazione USB sono usati spesso per l'esfiltrazione
quando occorre penetrare in reti con accesso circoscritto da air gap.
Abbiamo osservato del malware che cerca un dispositivo di archiviazione
USB dotato di un marker specifico e, quando lo trova, copia i dati da
esfiltrare in un settore nascosto del dispositivo. L'esfiltrazione inizia
quando questo viene collegato a un altro sistema infetto dotato di
accesso alla rete.
Esterna
I dispositivi di archiviazione USB possono essere utilizzati anche da
un insider per copiare facilmente grandi quantità di dati e sottrarli
fisicamente all'organizzazione.
DNS
Record DNS specifici come TXT o persino record A e CNAME possono,
in una certa misura, memorizzare dati al loro interno. Con il controllo
di un server di domini e di un server dei nomi, un aggressore può
trasmettere piccole quantità di dati eseguendo ricerche specifiche sul
sistema da cui esfiltrare.
Tor
L'uso della rete Tor è sempre più diffuso e permette agli aggressori di
inviare i dati esfiltrati a server difficili da rintracciare. Tuttavia, il traffico
su Tor nelle reti aziendali raramente è legittimo e quindi è facile da
rilevare e da bloccare.
SMTP/Email
I server SMTP di proprietà della società o di terzi si possono utilizzare per
inviare dati all'esterno dell'organizzazione sotto forma di allegati o nel
corpo dei messaggi email.
SMB
SMB è un protocollo comunissimo negli ambienti Windows e in alcuni
casi è già abilitato sui sistemi.
RDP
RDP supporta varie operazioni quali il copia/incolla e la condivisione di
file, e in alcuni casi i sistemi che consentono l'uso di questo protocollo
possono essere a contatto diretto con Internet.
Protocolli
di trasporto
personalizzati
Nelle comunicazioni fra i server di controllo e le forme di malware più
sofisticate sono spesso utilizzati protocolli di trasporto personalizzati.
L'ideazione di un protocollo di trasporto efficace richiede notevoli sforzi
e la sua unicità ne facilita l'identificazione in rete — il che fa propendere
per l'uso di un protocollo di trasporto standard.
I protocolli di trasporto che offrono alternative crittografate (come HTTPS)
possono rendere più difficile il rilevamento per le organizzazioni. Abbiamo
notato un uso crescente ma generalmente limitato della crittografia a livello
di trasporto. L'assenza di crittografia comporta una certa facilità di rilevamento,
ma rappresenta anche un rischio ulteriore per i dati perché, in alcuni casi,
questi vengono trasmessi via Internet.
Molti protocolli e metodi di trasporto richiedono credenziali valide o qualche
tipo di accesso aperto/anonimo per essere abilitati sul server. Quindi, se gli
aggressori desiderano rendere automatica l'esfiltrazione, dovranno lasciare
un nome utente/una password sull'host compromesso per non rischiare accessi
non autorizzati al sistema da remoto.
Manipolazione dei dati
La manipolazione dei dati prima
del trasferimento può aiutare
a evitare il rilevamento, abbreviare
i tempi di trasferimento e allungare
i tempi di analisi.
La manipolazione dei dati prima del trasferimento può aiutare a evitare il
rilevamento, abbreviare i tempi di trasferimento e allungare i tempi di analisi.
Anche se nella maggior parte dei casi i dati trasferiti via Internet vengono
manipolati, è ancora molto frequente assistere a manipolazioni sulle reti interne.
Dopo essere stati manipolati, i dati originali vengono inviati a destinazione
con il protocollo o il metodo di trasporto. Tecniche di manipolazione dati di
uso comune:
Tecnica
Descrizione
Compressione
La compressione con il formato ZIP standard garantisce
un certo grado di occultamento e inoltre velocizza il
trasferimento dei file.
Divisione
in blocchi
La suddivisione dei dati in piccoli blocchi prima dell'invio
aiuta a dissimulare il trasferimento fra le normali attività
della rete.
Codifica/
occultamento
Il tipo più comune di manipolazione dei dati è un algoritmo
di codifica o di occultamento di base. Mediante tecniche
semplici quali la crittografia con metodo XOR con una
chiave statica, la codifica Base64 o la semplice conversione
dei singoli caratteri in formato esadecimale i dati possono
essere manipolati a sufficienza per evitarne il rilevamento.
Crittografia
È sorprendente che la crittografia non venga utilizzata
sempre durante l'esfiltrazione. Forse il motivo è che
rallenta le prestazioni, o semplicemente che non
è necessaria. Quando viene impiegata, i metodi più
comuni sono RC4 e AES.
Conclusioni
I dati digitali sono diventati un obiettivo primario per i ladri informatici. I dati
rubati sono i più vari: dai grandi database di dipendenti alla memoria volatile dei
sistemi POS. Non appena si inserisce un nuovo livello di protezione in una rete,
gli aggressori trovano il modo di manipolare i sistemi affidabili sfruttandoli come
complici per colpire l'organizzazione.
Il primo passo per assumere il controllo della situazione è capire chi sono gli
autori degli attacchi, quali sono le loro motivazioni e le loro tecniche. Benché
l'esfiltrazione di dati possa essere una fase limitata in una campagna più
ampia, è anche una delle più importanti per l'aggressore che la attua e per
il difensore che la blocca. Adottare policy e procedure efficaci oltre a creare
difese a protezione delle risorse e degli obiettivi con dati cruciali consente alle
organizzazioni di intervenire secondo una scala di priorità in modo da dedicare
la massima attenzione ai sistemi più importanti. Scoprite che cosa può fare Intel
Security per aiutarvi a proteggervi
da questa minaccia.
Policy e procedure raccomandate
Identificare le fonti di dati
Condurre una valutazione del rischio interpellando le principali figure interessate per
determinare quali dati sensibili sono presenti in rete e dove sono memorizzati.
■■
Controllo dell'inventario delle risorse
■■
Architettura del sistema e della rete
Considerare l'impiego di software di data discovery per individuare i dati sensibili
e la loro posizione.
Determinare i flussi di dati
Identificare il flusso dei dati sensibili all'interno della rete e verso l'esterno.
■■
Architettura del sistema e della rete
Considerare l'impiego di software per il monitoraggio in tempo reale dei flussi di dati
per capire i movimenti dei dati.
Identificare i requisiti
normativi e di privacy
Capire a quali normative deve attenersi l'organizzazione e quali sono i controlli di
sicurezza obbligatori.
Classificare i dati
Istituire una policy per classificare i dati in base al grado di sensibilità, al tipo e alla criticità.
Assegnare dei titolari ai dati
Garantire la protezione
dei dati
■■
Policy per la protezione dei dati
■■
Policy per la classificazione dei dati
Mettere a punto un programma che elenchi in modo dettagliato i titolari dei dati
e le loro responsabilità.
■■
Titolari dei dati
■■
Inventario e manutenzione dei dati
Istituire una policy per definire i requisiti di sicurezza per i dati a riposo e in transito.
■■
Policy di crittografia dei dati
Implementare software per la prevenzione delle perdite di dati per impedire l'esfiltrazione
non autorizzata.
Esaminare l'accesso ai dati
Riesaminare regolarmente
il programma
Definire un processo in cui l'accesso ai dati viene tracciato e autorizzato ufficialmente.
■■
Autorizzazione per l'accesso ai dati
■■
Gestione delle modifiche
Definire una procedura di gestione del rischio legato ai dati per riesaminare ogni anno
le policy e le procedure.
■■
Gestione dei rischi
Considerare l'impiego di software per la gestione del rischio per valutare i rischi e gestire
la conformità.
dalle invenzioni
— Craig Schmugar
L'autore desidera esprimere un
particolare ringraziamento al
Visual and Parallel Computing
Group di Intel per il contributo
alla stesura di questo articolo.
Un'unità di elaborazione grafica
(GPU) è un componente hardware
specializzato progettato per
accelerare la creazione di
immagini da visualizzare su un
display. In un personal computer,
la GPU è presente sulle schede
video dedicate, sulla scheda
madre o a volte all'interno della
stessa CPU.
Attualmente, quasi tutto il malware è progettato per essere lanciato dalla memoria
principale del sistema ed eseguito sulla CPU. È stato così per decenni, e appunto
per questo la stragrande maggioranza degli strumenti di analisi forense e di difesa
basati su host sono realizzati partendo da questo presupposto. Qualsiasi deviazione
da questa norma giustifica una certa perplessità, e all'inizio di quest'anno molti
professionisti della sicurezza informatica erano decisamente perplessi.
Gli attacchi malware alle GPU (unità di elaborazione grafica) esistono da parecchi
anni, e occasionalmente fanno parlare di sé. In effetti, questo tipo di malware
è attivo e in circolazione da almeno quattro anni, sotto forma di trojan per il mining
di Bitcoin che sfruttano il throughput impressionante della GPU per aumentare
il ritorno economico dai sistemi infetti delle singole vittime.
Di recente questo argomento è stato oggetto di un rinnovato interesse dopo
la comparsa delle versioni iniziali di alcuni codici proof-of-concept su GitHub,
il principale servizio di hosting per lo sviluppo software.
All'epoca, il "Team JellyFish" ha pubblicato tre progetti di questo tipo. Secondo
gli autori, questo nuovo codice non si limiterebbe a sfruttare l'efficienza della
GPU in termini di mera potenza di elaborazione, ma userebbe l'architettura come
strumento di elusione eseguendo il codice e memorizzando i dati dove nessuno
andrà a controllare. Le pagine di GitHub relative ai tre progetti riportano le
seguenti informazioni:
Demon, un keylogger per GPU che secondo la descrizione contiene le
seguenti funzioni:
■■
Bootstrap del modulo kernel della CPU per individuare il
buffer della tastiera tramite il canale DMA nella struttura usb.
■■
Buffer della tastiera memorizzato nel file userland.
■■
Il modulo kernel si cancella da sé.
■■
OpenCL memorizza il buffer della tastiera nella GPU e cancella
il file.
JellyFish, descritto come un rootkit per GPU basato su Linux che agisce
in modalità utente, con la GPU che offre numerosi vantaggi:
■■
■■
Assenza di strumenti di analisi della GPU online.
Possibilità di accedere alla memoria dell'host CPU tramite
Accesso diretto alla memoria (DMA).
■■
La GPU offre prestazioni migliori della CPU per i calcoli matematici.
■■
Persistenza in caso di riavvio a caldo.
WIN_JELLY, descritto come uno strumento di accesso remoto per Windows
con memorizzazione persistente di codice eseguibile nella GPU, che in
seguito può essere mappato allo userspace dopo il riavvio.
Note che accompagnano i progetti pubblicati su GitHub per i proof of concept relativi
agli attacchi alle GPU
In seguito sono stati pubblicati numerosi articoli che ribadivano le affermazioni
degli autori. Estrapolato dal contesto, quanto riportato sopra si può facilmente
travisare, facendosi l'idea di un superbug non rilevabile che si esegue da solo,
di nascosto dalle difese attualmente disponibili: ma la realtà è diversa da come
appare a prima vista.
Le affermazioni degli autori si possono riassumere in quattro punti principali:
Compute Unified Device
Architecture di NVIDIA è una
piattaforma di elaborazione in
parallelo e un modello di API che
consente agli sviluppatori software
di usare le GPU abilitate per
CUDA per elaborazioni generiche.
La piattaforma CUDA permette
di accedere direttamente al set di
istruzioni virtuali e agli elementi di
elaborazione parallela della GPU.
■■
Accesso alla memoria dell'host CPU dalla GPU.
■■
Successiva eliminazione dei file dall'host CPU.
■■
Persistenza in caso di riavvio a caldo.
■■
Assenza di strumenti di analisi della GPU.
Per verificare queste affermazioni, McAfee Labs ha ottenuto la collaborazione
degli esperti del Visual and Parallel Computing Group (VPG) di Intel. Le risposte
contenute nella sezione che segue riguardano il settore di competenza di Intel,
ossia le schede video integrate e OpenCL, ma la maggior parte delle informazioni
è valida anche per le schede video separate e per la piattaforma CUDA di NVIDIA.
Accesso alla memoria dell'host CPU dalla GPU
Per come sono progettati, i programmi che accedono alla GPU richiedono
l'esecuzione di un processo controllante sulla CPU. Il processo controllante può
operare in maniera analoga ad altre minacce, leggendo e scrivendo in memoria
con modalità che spesso sono monitorate o limitate dai prodotti di sicurezza,
ma uno dei vantaggi di usare la GPU per questa operazione è proprio nascondere
le attività dannose e aggirare le misure di protezione.
Tuttavia, per distribuire i payload associati al malware usando metodi non
convenzionali e sfruttando la GPU è necessario che la memoria fisica sia mappata
alla GPU. Inoltre, per il codice sprovvisto di privilegi l'accesso è limitato alle
pagine di memoria mappate allo spazio degli indirizzi virtuale di un processo,
e quindi per mappare la memoria critica del sistema operativo alla GPU per
l'accesso in lettura/scrittura è essenziale poter accedere all'anello 0, il che rende
più evidente la traccia lasciata dal malware sull'host. Questa dipendenza deve
sottostare alle protezioni esistenti per il kernel. E questo introduce il nostro
prossimo punto.
Successiva eliminazione dei file dall'host CPU
Quando un programma è in esecuzione sulla GPU, i file necessari per installarlo
possono essere eliminati. Fra questi vi sono il driver del kernel responsabile della
mappatura della memoria e il processo controllante in modalità utente. Tuttavia,
a questo punto il codice eseguito sulla GPU resterà orfano e nel caso di Microsoft
Windows innescherà un processo TDR (Timeout Detection and Recovery)
che riavvia il driver della scheda video. In Windows, il timeout predefinito
è di due secondi, anche se il valore è configurabile. Microsoft afferma che le
impostazioni TDR devono essere manipolate esclusivamente a scopo di test
e di debug. Pertanto, qualsiasi modifica di questi valori può essere considerata
un comportamento sospetto, che i prodotti di sicurezza possono decidere di
segnalare o persino di bloccare. Inoltre, carichi di lavoro prolungati sulla GPU
provocheranno problemi visibili, perché l'interfaccia grafica utente cesserà di
rispondere. Questo vale anche per altri sistemi operativi.
Per superare questi ostacoli, il codice in modalità utente (anche se minimo)
deve rimanere in esecuzione e può quindi essere individuato dalle misure di
protezione installate sugli endpoint. Sfuggono a questa manifestazione visibile
della compromissione i sistemi con più GPU e/o headless, in cui l'assenza di
accesso alla GPU da parte del sistema operativo può passare inosservata.
Ciononostante, a dimostrazione di un potenziale problema resteranno i valori
TDR alterati in Windows.
Persistenza in caso di riavvio a caldo
In apparenza, l'affermazione forse più discutibile di tutte è l'idea che il malware
residente su una GPU possa persistere dopo un riavvio del sistema operativo.
Ricordate quanto affermano gli autori di WIN_JELLY: "Memorizzazione persistente
del codice eseguibile nella GPU, che in seguito può essere nuovamente mappato
allo userspace dopo il riavvio." A una lettura superficiale, questa frase suona
piuttosto inquietante dal punto di vista della sicurezza. Analizzandola meglio, però,
ci si accorge che la prima impressione trae in inganno. "Persistente" non si riferisce
al codice in esecuzione, ma alla memorizzazione dei dati. Ricordate quanto si
diceva al punto precedente: per esigenze di progettazione, è necessaria la presenza
di un processo sull'host per garantire l'esecuzione del programma sulla GPU.
L'idea di persistenza qui si riferisce al fatto che all'avvio del sistema è in esecuzione
un'applicazione host che recupera i dati dalla memoria della GPU e li mappa
nuovamente allo userspace, e questo è decisamente meno sconfortante perché
anche il codice malevolo in modalità utente deve persistere al di fuori della GPU.
Assenza di strumenti di analisi della GPU
Anche se esistono numerosi strumenti di monitoraggio delle prestazioni e di
debug delle GPU, quelli dedicati all'analisi forense e del malware sono pochissimi.
In passato questi strumenti sono stati sviluppati per necessità o da coloro che
desideravano semplificare un processo più banale. In questo caso vi è l'esigenza
di disporre di strumenti di analisi delle minacce per capire più agevolmente il
comportamento di una minaccia nella GPU. Tuttavia i prodotti di sicurezza per
gli endpoint non devono necessariamente affidarsi a questi strumenti per la
classificazione e identificazione delle minacce, in quanto l'uso di questo vettore
di attacco si manifesta anche attraverso altri indicatori.
In sintesi
Le minacce dirette alle GPU sono un problema reale, ma questo tipo di attacco
non ha ancora assunto le dimensioni di una tempesta perfetta. Da un lato,
la decompilazione e l'analisi forense di queste minacce sono molto più
complesse e impegnative che nel caso delle minacce dirette solo alle CPU,
e questo può consentire a un'infezione di passare inosservata più a lungo.
Spostando parte del codice malevolo all'esterno della CPU e della memoria
dell'host si riduce la superficie di rilevamento e per le difese installate sull'host
diventa più difficile individuare gli attacchi. Dall'altro, la superficie di rilevamento
non viene completamente eliminata. Nel peggiore dei casi qualche traccia
microscopica dell'attività malevola resta comunque, e permette ai prodotti
di sicurezza installati sugli endpoint di rilevare la minaccia e di porvi rimedio.
Vi sono alcune analogie tra il malware per le GPU e i rootkit che colpivano il kernel di
Windows di circa 10 anni fa. L'esecuzione di codice dotato di privilegi era necessaria
per i rootkit del kernel; una volta in esecuzione, il codice malevolo poteva dissimulare
la sua presenza, e gli strumenti per l'analisi dei rootkit erano più limitati. Ormai per
un aggressore è difficilissimo ottenere ed eseguire codice con privilegi (che rimane
un requisito indispensabile perché il malware per GPU sia devastante). I prodotti di
sicurezza si sono dotati di difese specifiche contro i rootkit e Microsoft ha rilasciato
numerose protezioni per il kernel, fra cui PatchGuard, l'imposizione della firma dei
driver, Early Launch Anti-Malware (ELAM), Secure Boot e altre funzioni di protezione.
Molte di queste misure di sicurezza svolgono un ruolo nella difesa dagli attacchi alla
GPU che sfruttano il kernel di Windows.
Un progresso recente che rende meno praticabile l'uso del malware per GPU su
alcuni sistemi è la funzione Device Guard di Microsoft Windows 10, che sfrutta
l'unità di gestione della memoria di input/output (nel caso di Intel, la Virtualization
Technology for Directed I/O o Intel VT-d) nell'hardware per consentire agli
amministratori di bloccare i dispositivi in modo da permettere l'esecuzione solo
di applicazioni firmate e ritenute affidabili da Microsoft. Benché sia disponibile
solo in alcuni casi, questa funzione può garantire un ulteriore livello di protezione
agli utenti che devono proteggere informazioni di importanza cruciale.
Scoprite che cosa può fare Intel
Security per aiutarvi a proteggervi
da questa minaccia.
Questa analisi non intende liquidare sommariamente tutte le affermazioni sulla
reale efficacia degli attacchi diretti alle GPU, quanto piuttosto inquadrare nel
contesto appropriato le minacce e le difese attuali. Senza dubbio assisteremo
a dei progressi in questo campo, sia da parte degli aggressori, sia da parte di
chi cerca di contrastarli. Se non altro, l'attenzione dedicata di recente a questa
situazione ha spinto la comunità degli esperti di sicurezza a riesaminare lo stato
attuale delle cose e a cercare dei modi per migliorarlo.
Misure di sicurezza per proteggersi da questo tipo di attacco
McAfee Labs consiglia diversi modi per proteggere i sistemi dagli attacchi alle GPU:
■■
■■
■■
■■
■■
Abilitare gli aggiornamenti automatici del sistema operativo
o scaricarne regolarmente gli aggiornamenti per mantenerlo
aggiornato con le patch più recenti contro le vulnerabilità note.
Installare le patch degli altri produttori software non appena
vengono rese disponibili.
Installare software di sicurezza su tutti gli endpoint e mantenere
aggiornate le firme degli antivirus.
Considerare la possibilità di adottare il whitelisting per bloccare
l'esecuzione delle applicazioni non autorizzate.
Evitare il più possibile di eseguire le applicazioni in modalità
amministratore.
Minacce per dispositivi mobili
Malware
Minacce Web
Inviaci la tua opinione
Minacce per dispositivi mobili
Nuovo
malware
New
Mobilemobile
Malware
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Malware mobile
complessivo
Total Mobile
Malware
9.000.000
Nel 2° trimestre, il numero totale
di esemplari di malware mobile
è aumentato del 17%.
8.000.000
7.000.000
6.000.000
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Percentuali di infezione da malware mobile
a livello regionale nel 2°
2015in Q2 2015
Regional Mobile
Malware InfectionTRates
12%
Le percentuali di infezione da
malware mobile a livello regionale
sono diminuite di circa l'1% in
questo trimestre, fatta eccezione
per il Nord America, in cui il
calo è stato quasi del 4%, e per
l'Africa, in cui la percentuale
è rimasta invariata.
10%
8%
6%
4%
2%
0%
Africa
Asia
Australia
Europa
Nord
America
Sud
America
Percentuali diGlobal
infezione
da Malware
malwareInfection
mobile aRates
livello mondiale
Mobile
30%
25%
20%
15%
10%
5%
0%
4° T
2013
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Malware
NuovoNew
malware
Malware
60.000.000
50.000.000
40.000.000
30.000.000
20.000.000
10.000.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Malware complessivo
Total Malware
500.000.000
Il malware presente nello zoo
McAfee Labs è aumentato del 12%
nel trimestre appena trascorso.
Oggi lo zoo contiene oltre
433 milioni di esemplari.
450.000.000
400.000.000
350.000.000
300.000.000
250.000.000
200.000.000
150.000.000
100.000.000
50.000.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
New
Rootkit
Malware
Nuovo
malware
rootkit
120.000
100.000
80.000
60.000
40.000
20.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Total Rootkit
Malware
Malware rootkit
complessivo
1.800.000
1.600.000
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Nuovo New
ransomware
Ransomware
1.400.000
Il ransomware continua a crescere
a ritmo sostenuto: il numero dei
nuovi esemplari è aumentato
del 58% nel 2° trimestre. Come
illustrato per la prima volta nel
Report McAfee Labs sulle minacce:
maggio 2015, attribuiamo questo
incremento a nuove famiglie
in rapida espansione come
CTB-Locker, CryptoWall e altre.
L'anno scorso, il numero totale
degli esemplari di ransomware
è aumentato del 127%.
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
4° T
1° T
2015
2° T
Total
Ransomware
Ransomware
complessivo
4.500.000
4.000.000
3.500.000
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
2015
2° T
Nuovi New
file binari
firmati
pericolosi
Malicious
Signed
Binaries
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
File binariTotal
firmati
pericolosi
complessivi
Malicious
Signed
Binaries
20.000.000
18.000.000
16.000.000
14.000.000
12.000.000
10.000.000
8.000.000
6.000.000
4.000.000
2.000.000
0
3° T
2013
4° T
1° T
2° T
2014
3° T
4° T
1° T
2015
2° T
Minacce Web
Newsospetti
Suspect URLs
Nuovi URL
35.000.000
30.000.000
25.000.000
20.000.000
15.000.000
10.000.000
5.000.000
0
3° T
4° T
1° T
2° T
2013
3° T
4° T
1° T
2014
URL
2° T
2015
Domini associati
New
Phishing URLs
Nuovi URL
di phishing
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
3° T
4° T
2013
URL
1° T
2° T
3° T
2014
4° T
1° T
2° T
2015
Domini associati
New
Nuovi URL
di Spam
spam URLs
2.000.000
I nuovi URL di spam e i relativi
domini hanno fatto un balzo del
380% nel 2° trimestre. In gran
parte, l'aumento è dovuto alle
migliaia di domini sequenziali
o generati automaticamente
dedicati alle campagne di spam
che abbiamo scoperto dopo avere
migliorato la nostra raccolta di
elenchi blackhole in tempo reale
(Real-time Blackhole Lists).
1.800.000
1.600.000
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
3° T
4° T
1° T
2° T
2013
3° T
4° T
2014
URL
1° T
2° T
2015
Domini associati
Volume mondiale dello spam e delle email
Global Spam and(trilioni
EmaildiVolume
messaggi)(trillions of messages)
12,0
10,0
8,0
6,0
4,0
2,0
0
3° T
4° T
1° T
2° T
2013
Spam
3° T
4° T
1° T
2° T
2014
Email legittime
Email
spamFrom
dalleTop
10 10
botnet
principali
Spam di
Emails
Botnets
(milioni
di messaggi)
(millions
of messages)
1.400
La tendenza al calo nel volume
di spam generato dalle botnet
è proseguita nel 2° trimestre,
con l'inattività della botnet Kelihos.
Slenfbot è ancora una volta in
prima posizione, seguita a ruota
da Gamut e da Cutwail, che chiude
il terzetto di testa. Nel corso del
trimestre, lo spam proveniente
da Slenfbot ha avuto come tema
soprattutto "Viagra e simili".
Il titolo più gettonato è stato
"Tips to nights of happiness".
1.200
1.000
800
600
400
200
0
3° T
4° T
1° T
3° T
2° T
2013
4° T
1° T
2014
2° T
2015
Kelihos
Gamut
Asprox
Cutwail
Altre
Stealrat
Slenfbot
Darkmailer
Dyre
Darkmailer 2
Worldwide Botnet Prevalence
Diffusione mondiale delle botnet
Wapomi
Muieblackcat
19,9%
22,0%
Ramnit
2,0%
Sality
2,7%
18,4%
5,1%
Darkness
Maazben
7,5%
10,2%
12,2%
Dorifel
H-Worm
Altre
Informazioni su Intel Security
Commenti. Per capire meglio
come indirizzare il nostro lavoro
in futuro, ci interessa il vostro
parere. Se desiderate farci
conoscere la vostra opinione,
fate clic qui per partecipare
a un sondaggio di soli cinque
minuti sui report sulle minacce.
Segui McAfee Labs
McAfee è ora parte di Intel Security Con la propria strategia Security Connected,
l'approccio innovativo alla sicurezza potenziata dall'hardware e l'ineguagliato
servizio Global Threat Intelligence, Intel Security è impegnata senza sosta
nello sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che
proteggono sistemi, reti e dispositivi portatili per l’utilizzo aziendale e personale
a livello mondiale. Intel Security unisce l'esperienza e la competenza di McAfee
all'innovazione e alle prestazioni garantite da Intel per fare della sicurezza un
ingrediente essenziale in ogni architettura e in ogni piattaforma informatica.
La missione di Intel Security è garantire a tutti la tranquillità per vivere e lavorare
in sicurezza nel mondo digitale.
www.intelsecurity.com
1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_
Top_Threats_in_2013.pdf
McAfee. Part of Intel Security.
Via Fantoli, 7
20138 Milano
Italia
(+39) 02 554171
www.intelsecurity.com
Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee.
Le informazioni qui contenute sono soggette a modifica senza preavviso e vengono fornite "come sono" senza garanzia
o assicurazione relativamente all'accuratezza o all'applicabilità delle informazioni a situazioni o a circostanze specifiche.
Intel e i loghi Intel e McAfee sono marchi di Intel Corporation o di McAfee, Inc. negli Stati Uniti e/o in altri Paesi. Altri marchi
e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright © 2015 McAfee, Inc. 62058rpt_qtr-q2_0815

Report McAfee Labs sulle minacce Agosto 2015

Transcript

Documenti analoghi

the importance of layered security_fin_ITA6

progetti didattici - Convitto Nazionale "Regina Margherita"

1_Sicurezza Informatica

Fare e-banking è sicuro: l`importante è imparare a

McAfee AntiVirus 2010

italia he index italia he index

Manifesto Vir.IT eXplorer PRO 2010

McAfee Network Threat Behavior Analysis Scheda Tecnica

Scarica la Brochure di presentazione

Guida ad acquisti online sicuri