Report McAfee Labs sulle minacce Agosto 2015
Transcript
Report McAfee Labs sulle minacce Agosto 2015
Report Report McAfee Labs sulle minacce Agosto 2015 Il ransomware continua a crescere a ritmo sostenuto: il numero dei nuovi esemplari è aumentato del 58% nel 2° trimestre. Informazioni su McAfee Labs Introduzione McAfee Labs è uno dei più autorevoli laboratori di idee a livello mondiale per la ricerca e l'informazione sulle minacce e per la sicurezza informatica. Grazie ai dati raccolti da milioni di sensori su tutti i principali vettori di minacce — file, Web, messaggi e rete — McAfee Labs offre informazioni sulle minacce in tempo reale, analisi critica e valutazioni di esperti per migliorare la protezione e ridurre i rischi. Questo mese segna il quinto anniversario dell'annuncio dell'acquisizione di McAfee da parte di Intel. Da allora molto è cambiato nel comparto della sicurezza, e quindi abbiamo deciso di proporvi una retrospettiva su questi anni per confrontare le nostre previsioni con quello che è accaduto effettivamente. McAfee è ora parte di Intel Security www.mcafee.com/it/mcafee-labs.aspx Segui McAfee Labs Abbiamo interpellato una dozzina di figure chiave già legate a Intel o a McAfee fin dall'acquisizione per sentire la loro opinione sui principali sviluppi nel panorama delle minacce informatiche negli ultimi cinque anni: come sono cambiati i tipi di autori degli attacchi, i comportamenti degli aggressori, gli obiettivi e gli aspetti economici del crimine informatico, e quali sono state le risposte del settore. Ci interessava anche capire che cosa non si aspettavano o che cosa li ha veramente sorpresi. Confidiamo che la retrospettiva sarà una lettura interessante. In questo trimestre ci occupiamo inoltre di due argomenti principali di grande rilievo. Nei Report McAfee Labs sulle minacce dedichiamo molto tempo all'analisi delle modalità con cui gli autori degli attacchi penetrano in un sistema o in una rete affidabile, ma poco a esaminare in che modo riescono a esfiltrare le informazioni che vogliono sottrarre dopo avere violato il sistema o la rete. In questo argomento principale ci avvaliamo della notevole esperienza del team di consulenza forense McAfee Foundstone per esaminare nel dettaglio le tattiche e le tecniche specifiche usate dagli aggressori per sottrarre surrettiziamente i dati di loro interesse. Report McAfee Labs sulle minacce, agosto 2015 | 2 Gli attacchi malware alle GPU (unità di elaborazione grafica) esistono da parecchi anni e non hanno mai destato particolare attenzione. Di recente su GitHub sono stati pubblicati dei codici proof-of-concept che, secondo gli autori, dimostrerebbero come fanno gli aggressori a eseguire il malware e a memorizzare i dati sulle GPU e a sfuggire così al rilevamento. In questo argomento principale analizziamo a fondo queste affermazioni e chiariamo che cosa si può e non si può fare con questo tipo di attacco. ■■ Altri punti degni di nota: ■■ ■■ ––Ogni ora sono stati compiuti più di 6,7 milioni di tentativi per indurre i nostri clienti a connettersi a URL pericolosi (tramite email, ricerche con il browser, ecc.). All'inizio di agosto si è tenuto Black Hat USA 2015. Intel ha presentato due sessioni, una delle quali illustrava come la protezione dell'hardware sia migliorata in seguito alle ricerche congiunte di Intel e Intel Security. La sessione "Attacking Hypervisors Using Firmware and Hardware" (Attaccare gli hypervisor con il firmware e l'hardware) ha analizzato la superficie di attacco dei moderni hypervisor considerando le vulnerabilità nel firmware dei sistemi, ad esempio nel BIOS e nell'emulazione hardware. La presentazione sarà disponibile qui subito dopo la conclusione di Black Hat. Come abbiamo segnalato il trimestre scorso, l'infrastruttura cloud di base di McAfee Global Threat Intelligence è stata rinnovata per gestire un maggior numero di interrogazioni, di dati sulle minacce e di tipi di reputazione. Ne è stata inoltre modificata l'architettura per renderla più veloce, più sicura, più flessibile e più facile da gestire. Fondamentale, per questo, è la nuova architettura RESTful, la cui implementazione su scala mondiale in McAfee GTI è stata completata nel secondo trimestre. Nel 2014 abbiamo formato un team di esperti in scienza dei dati per capire e sfruttare meglio i dati contenuti in McAfee GTI. Il team ha sviluppato la strumentazione cloud di McAfee GTI insieme a un dashboard che ci permette di vedere e di analizzare gli schemi di attacco nel mondo reale per garantire una migliore protezione ai nostri clienti. Questi numeri ci permettono di ricavare informazioni sui volumi degli attacchi subiti dai nostri clienti che, nel secondo trimestre, sono stati i seguenti: ––Ogni ora, oltre 19,2 milioni di file infetti sono venuti a contatto con le reti dei nostri clienti. ––Ogni ora altri 7 milioni di PUP (programmi potenzialmente indesiderati) hanno tentato di installarsi o di avviarsi. ––Ogni ora i nostri clienti hanno compiuto 2,3 milioni di tentativi di connessione a indirizzi IP rischiosi, oppure questi indirizzi hanno tentato di connettersi alle loro reti. ■■ Continuiamo a ricevere indicazioni preziose dai lettori tramite i sondaggi fra gli utenti dei Report sulle minacce. Se desiderate farci conoscere la vostra opinione su questo Report sulle minacce, fate clic qui per partecipare a un sondaggio di soli cinque minuti. — Vincent Weafer, Senior Vice President, McAfee Labs Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 3 Sommario Report McAfee Labs sulle minacce Agosto 2015 Questo report è stato preparato e redatto da: Brad Antoniewicz Christiaan Beek Dave Bull Torry Campbell Cedric Cochin Carric Dooley Douglas Frosst Robert Gresham Paula Greve Steve Grobman Dave Marcus François Paget Eric Peterson Matthew Rosenquist Raj Samani Craig Schmugar Mike Sentonas Rick Simon Bruce Snell Dan Sommer James Walter Vincent Weafer Executive summary 5 Argomenti principali 6 Intel + McAfee: una retrospettiva sui nostri cinque anni insieme 7 Esfiltrazione dei dati: una fase importante nel percorso del ladro informatico 16 Malware per le GPU: separiamo la realtà dalle invenzioni 26 Statistiche sulle minacce 30 Executive summary Intel + McAfee: una retrospettiva sui nostri cinque anni insieme In questa retrospettiva di cinque anni, guardiamo al passato e confrontiamo le nostre previsioni con quanto è accaduto effettivamente. Analizziamo i principali sviluppi nel campo della sicurezza informatica: come sono cambiati i tipi di autori degli attacchi, i comportamenti degli aggressori, gli obiettivi e gli aspetti economici del crimine informatico, e come ha reagito il settore. Il mese di agosto segna il quinto anniversario dell'annuncio dell'acquisizione di McAfee da parte di Intel. Da allora molto è cambiato nel mondo della sicurezza informatica. Per questa retrospettiva abbiamo riunito una dozzina di esperti autorevoli già legati a Intel e McAfee prima dell'acquisizione per farci spiegare come si sono evoluti il mercato della sicurezza informatica e il nostro lavoro insieme. Parliamo dell'evoluzione del nostro pensiero in relazione alla sicurezza a livello di componenti fisici, delle opinioni che avevamo all'epoca sulla "tempesta perfetta" che si preparava nel mondo della sicurezza informatica e di come questa si è concretizzata, delle difficoltà che prevedevamo per gli attacchi emergenti difficili da rilevare e delle aspettative che avevamo nel 2010 in relazione ai nuovi tipi di dispositivi rispetto alla realtà del settore. Affrontiamo anche alcuni fenomeni che ci hanno sorpreso, in particolare la trasformazione del crimine informatico in un'industria in piena regola. Esfiltrazione dei dati: una fase importante nel percorso del ladro informatico In questo argomento principale esaminiamo nel dettaglio le tattiche e le tecniche specifiche usate dagli aggressori per sottrarre surrettiziamente i dati di loro interesse. Negli ultimi 10 anni si è avuto un aumento vertiginoso delle violazioni di dati di rilievo e del volume dei record rubati, basti pensare ai 94 milioni di record sottratti a TJ Maxx nel 2007 o al furto di 80 milioni di cartelle dei pazienti di Anthem messo a segno quest'anno. Questo argomento principale si concentra su una fase importante nel processo di sottrazione dei dati: la loro esfiltrazione, cioè il modo in cui i dati vengono copiati o spostati dalla rete del proprietario a una rete controllata dal criminale informatico. Esaminiamo i tipi di aggressori, le loro motivazioni e i loro probabili obiettivi, i metodi e i meccanismi che impiegano per sottrarre i dati e le policy aziendali che andrebbero adottate per rilevare più facilmente le esfiltrazioni. Malware per le GPU: separiamo la realtà dalle invenzioni In questo argomento principale chiariamo che cosa si può e non si può fare oggi con gli attacchi alle GPU. Gli attacchi malware alle GPU esistono ormai da anni. In effetti, un tipo di malware per GPU è attivo e in circolazione da almeno quattro anni, sotto forma di trojan per il mining di Bitcoin che sfruttano le prestazioni della GPU per aumentare il ritorno economico dai sistemi infetti delle singole vittime. Di recente, un gruppo ha reso pubblici tre progetti proof-of-concept che, a detta degli autori, userebbero le GPU come strumento di elusione, eseguendo il codice e memorizzando i dati su queste unità che nessuno pensa di controllare. In questo argomento principale analizziamo individualmente le varie componenti delle capacità vantate da questi progetti, per stabilire che cosa potrebbe essere possibilemediante l'uso di questi moduli software. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 5 Argomenti principali Intel + McAfee: una retrospettiva sui nostri cinque anni insieme Esfiltrazione dei dati: una fase importante nel percorso del ladro informatico Malware per le GPU: separiamo la realtà dalle invenzioni Inviaci la tua opinione Argomenti principali Intel + McAfee: una retrospettiva sui nostri cinque anni insieme — McAfee Labs Il 19 agosto 2010, Intel annunciava che avrebbe acquistato McAfee. A quell'epoca, McAfee e Intel collaboravano già in alcuni progetti e ci rendemmo conto che avremmo potuto migliorare e accelerare i nostri sforzi dando un carattere permanente alla collaborazione. Da allora è iniziato un percorso affascinante alla scoperta delle rispettive capacità. Abbiamo sfatato alcuni preconcetti e abbandonato le aspettative irrealistiche e sviluppato la fiducia necessaria per fare progetti ambiziosi per il futuro. Una dozzina di esperti autorevoli, già legati a Intel e a McAfee prima dell'acquisizione, ha collaborato a stilare questa retrospettiva sull'evoluzione del mercato della sicurezza informatica e del nostro lavoro insieme. Hanno partecipato: Christiaan Beek Torry Campbell Carric Dooley Steve Grobman Dave Marcus Matthew Rosenquist Raj Samani Mike Sentonas Craig Schmugar Bruce Snell James Walter Vincent Weafer Ora sono passati cinque anni: come procede la collaborazione? Una dozzina di esperti autorevoli, già legati a Intel e a McAfee prima dell'acquisizione, ha collaborato a stilare questa retrospettiva sull'evoluzione del mercato della sicurezza informatica e del nostro lavoro insieme, esaminando le nostre previsioni sul panorama delle minacce, come sono andate effettivamente le cose e quali sviluppi ci hanno sorpreso. I vantaggi dell'alleanza con McAfee secondo Intel Intel beneficia della crescita costante del settore della tecnologia nel suo complesso. In ogni fase della sua storia, la società si è adoperata per risolvere tutti i problemi che potevano rallentare il mercato o ostacolarne la crescita continua. La velocità dei processori, la capacità di memoria, il consumo energetico, le connessioni alle periferiche e le dimensioni dei chip sono tutti ostacoli che abbiamo superato. Cinque anni fa, il problema più pressante sembrava essere la sicurezza. Se la gente avesse iniziato a diffidare dei dispositivi, delle connessioni o dei servizi a causa delle violazioni della privacy, della protezione o persino della sicurezza, il risultato sarebbe stato un rallentamento del resto del mercato. Giungemmo alla conclusione che, a differenza di alcuni problemi hardware che rientravano nel naturale campo di azione di Intel, questo ostacolo alla crescita non avremmo potuto eliminarlo da soli: ci occorreva la competenza di un esperto di sicurezza come McAfee. I vantaggi dell'alleanza con Intel secondo McAfee Cinque anni fa, mentre gli attacchi diventavano sempre più abili nell'eludere le misure di sicurezza, i tipi di dispositivi bisognosi di protezione aumentavano rapidamente e le minacce di basso livello come i rootkit si facevano sempre più incombenti, in McAfee ci rendemmo conto che dovevamo ampliare la portata e la copertura della nostra sicurezza. Infatti, da soli, i sistemi antimalware basati sulle firme e le difese perimetrali non avrebbero potuto garantire più a lungo un ambiente sicuro. Prevedevamo che il malware sarebbe diventato talmente sofisticato da essere in grado di superare le difese perimetrali. Volevamo integrare più strettamente i sistemi di sicurezza nei componenti hardware e nelle nuove piattaforme per poter bloccare gli attacchi all'interno delle reti affidabili e rimediare ai danni causati. Per ottenere questo risultato ci serviva una conoscenza molto più approfondita delle funzionalità e dei comportamenti dell'hardware. Collaboravamo già con Intel alla progettazione di soluzioni di sicurezza a livello di processore, e ci rendemmo conto che avremmo tratto enormi vantaggi dalle conoscenze e dalle capacità dell'azienda. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 7 Argomenti principali Uno sguardo indietro Quando Intel annunciò l'acquisizione, spiegammo le nostre ragioni alla comunità dei tecnici, degli analisti e degli investitori. Uno dei motivi principali dell'operazione era integrare maggiormente il software con l'hardware per potenziare la sicurezza e contrastare in modo più efficace minacce sempre più sofisticate. Minacce che, unite a un aumento significativo del numero e dei tipi di dispositivi, stavano creando le condizioni ideali per lo scoppio una tempesta perfetta che avrebbe messo in luce nuove vulnerabilità e provocato innumerevoli violazioni della sicurezza. Secondo le nostre stime, queste nuove minacce sarebbero state più difficili da rilevare e avrebbero richiesto nuovi approcci nella sicurezza informatica. Prevedevamo inoltre una rivoluzione nel panorama informatico, che avrebbe portato miliardi di dispositivi diversi dai PC a connettersi alla rete. Presi tutti insieme, questi elementi sarebbero stati un catalizzatore in grado di stimolare ulteriori sviluppi economici e tecnici nel panorama delle minacce informatiche. E dunque, che cosa abbiamo scoperto? Sicurezza sui componenti hardware All'inizio, l'acquisizione aveva tra i principali obiettivi il trasferimento della tecnologia di sicurezza sui componenti hardware. Era una mossa impegnativa vista la rapidità con cui i criminali informatici riescono a copiare e a ottimizzare le minacce più sofisticate, spesso pochi giorni dopo che la loro esistenza è stata resa pubblica. L'hardware di sicurezza richiede tempi di sviluppo, di commercializzazione e di implementazione molto più lunghi rispetto al software di sicurezza, e il settore conta proprio sull'agilità e sull'adattabilità del software per contrastare le minacce nuove e impreviste. I clienti devono poter aggiornare rapidamente le loro difese per proteggersi da attacchi imprevedibili non in un arco di cinque anni, la durata abituale del ciclo di progettazione di un componente hardware, ma solo il giorno prima. Anziché studiare come integrare il software antimalware nei chip, capimmo che sarebbe stato più logico ottimizzare le prestazioni della crittografia con l'aiuto dell'hardware, migliorare il monitoraggio antimanomissione e del kernel con funzioni di basso livello e progettare le primitive di sicurezza direttamente nei chip di nuova generazione, in modo che il software di sicurezza e i sistemi operativi potessero sfruttarle. Dopo l'acquisizione abbiamo rilasciato il framework open source CHIPSEC per l'analisi dei componenti hardware e firmware e la valutazione dei rischi per la sicurezza di basso livello, e inoltre Intel Kernel Guard Technology per garantire l'integrità in fase di esecuzione. Gli attacchi di basso livello diretti al firmware e al BIOS permettono alle minacce di persistere e per questo risultano appetibili per chi pratica lo spionaggio informatico e per chi opera sul lungo periodo. Mentre questo tipo di malware si insinuava più in profondità sotto il sistema operativo per sfuggire al rilevamento e sopravvivere alle pulizie e ai riavvii, rilasciammo il framework open source CHIPSEC per l'analisi dei componenti hardware e firmware e la valutazione dei rischi per la sicurezza di basso livello, Intel Kernel Guard per garantire l'integrità in fase di esecuzione e BIOS Guard per l'autenticazione e la protezione. L'unione delle conoscenze, dell'esperienza e della presenza sul mercato di Intel e di McAfee ci ha garantito una posizione privilegiata per osservare, prevedere e adeguarci ai cambiamenti nel panorama delle minacce. Il nostro obiettivo resta sviluppare software di sicurezza per nuovi paradigmi come la navigazione mobile, Internet delle cose e il cloud, parallelamente alla progressiva diffusione sul mercato dei chip dotati di protezione ottimizzata. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 8 Argomenti principali La tempesta perfetta si avvicina Eravamo tutti convinti che l'aumento degli utenti e dei dati, l'ampliamento delle reti e il notevole incremento dei tipi di dispositivi e di altri obiettivi come il cloud, uniti all'intensificarsi degli attacchi, a nuovi tipi di malware intelligenti e a criminali informatici sempre più sofisticati stessero preparando una tempesta perfetta per la sicurezza nel suo complesso. Gran parte di queste previsioni si sono avverate. Semmai, l'adozione del cloud computing, dei dispositivi mobili e per Internet delle cose è avvenuta più rapidamente di quanto avessimo previsto. La nostra previsione del 2010 secondo cui entro il 2020 i dispositivi collegati a Internet sarebbero stati 31 miliardi sembra ormai una stima per difetto. Avevamo visto giusto nel prevedere una tempesta perfetta nel campo della sicurezza, ma ne avevamo sottovalutato la velocità e la violenza. I pirati informatici hanno sicuramente approfittato di questo aumento massiccio dei potenziali obiettivi e dell'ampliamento della superficie d'attacco. All'inizio queste minacce riguardavano soprattutto i governi, gli istituti finanziari e i produttori di soluzioni di sicurezza, ma ormai rappresentano un problema grave sia per le imprese che per i privati, in quanto possono influire in modo significativo sul valore delle aziende e provocare seccature a non finire per i singoli. Oggi assistiamo a guerre informatiche fra gli stati in cui hanno luogo sia attacchi sponsorizzati dai governi, estremamente visibili ancorché attivamente negati, sia attività di spionaggio a lungo termine. Anche in questo caso, benché ci aspettassimo e avessimo previsto gran parte di questi sviluppi, siamo rimasti sorpresi per la rapida evoluzione del malware, l'aumento nel volume degli attacchi e la vastità della scala su cui sono stati sferrati gli attacchi diretti agli stati. Cambiamento del profilo degli aggressori Sponsorizzato Q4 2014 da un governo Crimine organizzato Attivista informatico Criminale A scopo ricreativo • Fama e notorietà • Risorse tecniche limitate • Exploit conosciuti • Vandalismo • Capacità tecniche limitate • Volontà di lasciare il segno • Implacabile, coinvolto emotivamente • Vaste reti • Attacchi mirati • Ritorno economico • Risorse e capacità tecniche significative • Movimenti consolidati • Adware, crimeware, furto di IP • Guerra informatica, segreti di stato, spionaggio industriale • Estremamente sofisticato • Risorse praticamente illimitate • Minacce avanzate persistenti AUMENTANO LE RISORSE E IL LIVELLO DI SOFISTICAZIONE La diversificazione dei tipi di aggressori, delle loro risorse e del loro grado di raffinatezza Rilevare ciò che non è rilevabile Per contrastare in parte la tempesta perfetta, ritenevamo di dover espandere rapidamente i sistemi antimalware basati su firma introducendovi tecnologie in grado di rilevare ciò che non è rilevabile, perché il malware si evolveva e si adattava per eludere i sistemi di sicurezza tradizionali. Dopo tutto, a differenza di quanto accade di solito per un attacco, le difese sono accessibili a chiunque, e chiunque le può testare e valutare. Qualsiasi aggressore può testare in laboratorio un prodotto di sicurezza alla ricerca di punti deboli da sfruttare o di sistemi per eluderlo. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 9 Argomenti principali Malgrado questo timore, la gran parte delle violazioni di sicurezza degli ultimi anni è stata facilmente rilevabile. Si trattava di attacchi sofisticati nella pianificazione, nell'individuazione degli obiettivi, nello stalking e nell'esecuzione; alcuni erano persino estremamente tecnici o elusivi. Tuttavia, negli ultimi due anni abbiamo assistito a un cambiamento, con un aumento significativo del numero di attacchi che adottano tecniche sofisticate. Molti di questi sono stati progettati appositamente per eludere le difese avanzate. Si infiltrano un frammento dopo l'altro, si nascondono in stringhe di codice apparentemente inerte e lì attendono che le difese calino per emergere. Queste minacce eludono anche i trap basati su firma che bloccavano i loro progenitori, usando la crittografia e la modifica del codice dinamico per mutare a ogni nuova implementazione e nascondere i dati che potrebbero incriminarle. Retrospettiva: cinque anni di minacce Tendenze e malware degno di nota 2010 2011 2012 Aumento degli agenti infettanti dell'MBR 2013 2014 2015 Sotto ai sistemi operativi (MBR, BIOS, firmware) Download guidati Minacce permanenti nel browser Esplosione dei kit di exploit Minacce fileless/intrusione senza malware Polimorfismo lato server/hash buster Malware monouso Malware per "memory scraping" (comprese le minacce per i POS) Malware boost script per macro e PowerShell Fake AV Minacce derivanti da Bitcoin/valute digitali Ransomware Malware per PoS Aumento delle minacce per Mac Diversificazione delle piattaforme nel malware e attacchi multipiattaforma Minacce mobili (malware, PHA e PUA) Principali vulnerabilità 2011 2012 Minacce IoT 2013 2014 2015 BEAST—CVE-2011-3389 CRIME—CVE-2012-4929, CVE-2012-4930 RC4—CVE-2013-2566 HeartBleed—CVE-2014-0160, CVE-2014-0346 Shellshock— CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 BERserk—CVE-2006-4339, CVE-2014-1568 Poodle— CVE-2014-3566, CVE-2014-8730 FREAK— CVE-2015-0204, CVE-2015-1637 Logjam— CVE-20154000 Principali attacchi a vulnerabilità fondamentali di Internet Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 10 Argomenti principali Le forme di malware sempre più sfuggenti e gli attacchi prolungati non ci hanno sorpreso, ma alcune delle tattiche e delle tecniche specifiche impiegate erano inimmaginabili cinque anni fa. Assistiamo sempre più spesso ad attacchi prolungati che continuano per molti mesi, o ad attacchi a scoppio ritardato che restano in vigile attesa prima di attivarsi e causare un qualsiasi danno. La maggior parte di questi probabilmente svolge attività permanenti di spionaggio anziché vendere immediatamente i dati esfiltrati. Anche se nel 2010 ci aspettavamo di assistere ad attacchi di lunga durata, alcune delle tattiche e delle tecniche impiegate per realizzarli erano inimmaginabili cinque anni fa. Uno di questi attacchi è stato documentato in "Equation Group: lo sfruttamento del firmware delle unità a disco rigido e a stato solido", uno degli argomenti principali del Report McAfee Labs sulle minacce del maggio 2015. Un altro attacco di lunga durata è stato documentato nel report Analisi di Operazione Troy: spionaggio informatico nella Corea del Sud. L'evoluzione dei tipi di dispositivi Come si è detto, uno degli aspetti della tempesta perfetta era l'aumento massiccio dei tipi e del volume dei dispositivi, sostenuto dall'enorme diffusione della virtualizzazione e del cloud pubblico. Gli utenti hanno adottato molto rapidamente le tecnologie più alla moda: è successo con i cellulari, poi con gli smartphone e i tablet e ora con gli indossabili. La rapida adozione dei dispositivi collega le nostre case e le nostre aziende all'Internet delle cose — nella sanità, nell'energia, nella logistica, nel retail, nelle città, nei trasporti, nell'industria automobilistica e manifatturiera. Ormai la gente dipende a tal punto dai dispositivi negli ambienti in cui vive e lavora che è disposta a sacrificare la sicurezza e la privacy. Eravamo e restiamo convinti del fatto che, quando un numero sufficiente di dispositivi di un certo tipo crea un mercato redditizio, invariabilmente iniziano gli attacchi diretti a quel tipo di dispositivi. Negli ultimi cinque anni, i risultati hanno rispettato le previsioni in alcuni casi e ci hanno sorpreso in altri. Sebbene il volume dei dispositivi mobili abbia subito un incremento molto più rapido del previsto, gli attacchi generalizzati con conseguenze serie a questi apparecchi sono aumentati molto più lentamente rispetto alle nostre previsioni. Questo è solo l'inizio degli attacchi e delle violazioni contro dispositivi IoT. Dispositivi mobili: anche se nei dispositivi mobili si è registrato un rapido aumento degli attacchi malware, la maggior parte di essi è ancora allo stadio esplorativo o ha un impatto trascurabile. Il valore dei dati recuperabili da uno smartphone è relativamente scarso, e gli smartphone non sono uno dei vettori di attacco principali per le aziende. La funzione di backup automatico di molti smartphone e tablet ne rende semplice la pulizia e il ripristino in caso di infezione da virus o da ransomware, almeno fino a quando i criminali non riusciranno ad attaccare i backup sul cloud. Inoltre, gli app store per smartphone e tablet sono molto più restrittivi in quanto fungono da servizi di whitelisting per limitare i download di applicazioni dannose. Queste restrizioni non sono efficaci sempre e comunque, ma frenano comunque l'aumento degli attacchi ai dispositivi mobili. Sebbene il loro volume abbia subito un incremento molto più rapido del previsto, gli attacchi generalizzati con conseguenze serie a questi apparecchi sono aumentati molto più lentamente rispetto alle nostre previsioni. Internet delle cose: i dispositivi IoT iniziano solo ora a essere sfruttati. La varietà dei dispositivi, dei sistemi operativi e delle versioni offre una resistenza a breve termine agli attacchi perché in pochi dispongono di una base di dispositivi installati abbastanza ampia da attirare i criminali informatici. Tuttavia, il volume puro e semplice dei dispositivi è aumentato più in fretta del previsto e in settori per noi inaspettati, dando vita a una superficie di attacco sterminata: quindi, è solo questione di tempo prima che si diffondano delle minacce per i dispositivi IoT. Naturalmente l'obiettivo degli aggressori non è il dispositivo in sé, ma i suoi dati o la sua possibilità di fungere da gateway. I criminali cercano il punto di ingresso più agevole, e spesso questi apparecchi dispongono di accessi scarsamente protetti a reti ricche di potenziali obiettivi. Questo è solo l'inizio degli attacchi e delle violazioni contro queste apparecchiature. PC e sistemi di data center: persino con l'incredibile aumento dei dispositivi diversi dai PC, questi ultimi e i sistemi dei data center restano i bersagli più redditizi per i criminali informatici, come prevedevamo. Contengono i dati migliori, hanno le vulnerabilità più visibili e il regime di applicazione delle patch più inefficiente. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 11 Argomenti principali L'adozione del cloud ha cambiato la natura di alcuni attacchi, perché i dispositivi vengono attaccati non per i pochi dati che contengono, ma perché consentono di accedere ai luoghi dove risiedono i dati importanti. Virtualizzazione e cloud: l'aumento dei dispositivi è stato favorito dall'enorme diffusione della virtualizzazione e del cloud computing. Ci aspettavamo una rapida crescita della virtualizzazione, soprattutto nei data center, ma siamo rimasti sorpresi dalla velocità con cui sono stati implementati e adottati il cloud computing e l'archiviazione nel cloud. Il passaggio alla virtualizzazione era estremamente vantaggioso sul piano economico, e noi abbiamo ottimizzato l'hardware a quello scopo. Spostarsi sul cloud era vantaggioso anche sul piano operativo, ma pensavamo che le aziende avrebbero adottato questa tecnologia più lentamente. L'adozione del cloud ha cambiato la natura di alcuni attacchi, perché i dispositivi vengono attaccati non per i pochi dati che contengono, ma perché consentono di accedere ai luoghi dove risiedono i dati importanti. Se si impadronisce delle credenziali di accesso al cloud di una vittima, l'aggressore può spiarne le attività e le transazioni, manipolare dati, restituire informazioni falsificate e reindirizzare i client a siti illegittimi. Le istanze dei servizi o dell'account di una vittima possono diventare una nuova base per l'aggressore, che può poi sfruttare la reputazione della vittima per lanciare gli attacchi successivi. Avevamo assistito ad attacchi contro le vulnerabilità del cloud già prima dell'acquisizione e, come previsto, non si sono fermati. Evoluzione e aspetti economici delle minacce informatiche Tutti ci aspettavamo un aumento significativo del volume e delle capacità tecniche degli attacchi informatici: le condizioni erano troppo favorevoli per non approfittarne. Le minacce si sono evolute come una classica corsa agli armamenti, con i criminali che sviluppavano nuovi attacchi, il settore della sicurezza che li contrastava con nuove difese, e così via. La rete Internet mondiale e il "Web oscuro" sono stati fondamentali per alimentare questa corsa, facilitando la condivisione delle tecniche e delle conoscenze fra i criminali. Non appena entrava in circolazione un attacco, anche se sferrato dal gruppo criminale più tecnologicamente avanzato, altri potevano osservarlo, decodificarlo, riutilizzarlo e addirittura migliorarlo. Subito dopo la scoperta, le vulnerabilità venivano spesso vendute a criminali perché ne potessero approfittare. I produttori di tecnologia hanno iniziato a introdurre ricompense per la segnalazione dei bug, e la compravendita delle vulnerabilità da parte di produttori o criminali è diventato un affare molto più redditizio di quanto ci aspettassimo. Tipo di vulnerabilità Prezzo di un exploit zero-day Adobe Reader 5.000 $ – 30.000 $ Mac OS X 20.000 $ – 50.000 $ Android 30.000 $ – 60.000 $ Plug-in Flash o Java per i browser 40.000 $ – 100.000 $ Word 50.000 $ – 100.000 $ Windows 60.000 $ – 120.000 $ Firefox o Safari 60.000 $ – 150.000 $ Chrome o Internet Explorer 80.000 $ – 200.000 $ iOS 100.000 $ – 250.000 $ Prezzi correnti degli exploit zero-day nel 2013. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 12 Argomenti principali Abbiamo assistito alla trasformazione del crimine informatico in un'industria in piena regola con produttori, mercati, fornitori di servizi, finanziamenti, sistemi di negoziazione e la proliferazione dei modelli di business. Un fenomeno davvero inatteso è stata la trasformazione del crimine informatico in un'industria in piena regola con produttori, mercati, fornitori di servizi ("cybercrime as a service" (il crimine informatico come servizio)), finanziamenti, sistemi di negoziazione e la proliferazione dei modelli di business. Naturalmente per ricavare denaro il crimine segue il percorso di minore resistenza, e un'attività che non rende a sufficienza viene abbandonata. Purtroppo, il crimine informatico garantisce ottimi guadagni. Un produttore di soluzioni di sicurezza ha descritto nel dettaglio un ritorno sull'investimento del 1.425% da un'ipotetica seppur realistica campagna malware. E in uno studio commissionato da Intel Security il costo annuo del crimine informatico per l'economia mondiale è stato stimato intorno ai 400 miliardi di dollari. Anche se Internet è stata fondamentale per il crimine informatico, gli attacchi sono stati alimentati dall'accesso a tecnologie che permettono di mantenere l'anonimato. Nello specifico, le reti di anonimizzazione (in particolare Tor) e le monete virtuali sono diventate determinanti per consentire ai criminali di nascondersi dalle forze dell'ordine. Alcuni di noi avevano notato lo sviluppo precoce delle monete virtuali, intuendo immediatamente la possibilità di sfruttarle per molti tipi di transazioni illegali. Il Bitcoin e l'intermediazione anonima hanno inoltre dato nuova linfa al mercato dei ransomware, rendendoli commercialmente praticabili e stimolandone una crescita repentina quanto inaspettata. Cinque anni fa, molti furti di grande rilievo riguardavano dati di carte di credito venduti in blocco nel più breve tempo possibile a coloro che intendevano compiere acquisti in modo fraudolento. Gli istituti emittenti delle carte di credito si sono impegnati a fondo per bloccare rapidamente l'uso delle carte rubate, il cui valore ormai cala molto in fretta proprio per questo motivo. Di conseguenza alcuni aggressori hanno iniziato a rubare altri dati preziosi come la documentazione sanitaria personale, che non perde valore altrettanto rapidamente. Prendendo spunto dal mondo degli affari, i criminali informatici stanno iniziando a utilizzare il data warehousing, combinando e correlando più serie di dati rubati per ottenere qualcosa di molto più redditizio. Molti dei furti di dati più eclatanti compiuti di recente, come la sottrazione di dati fiscali personali o di dossier di indagine sulla storia personale, non sono stati monetizzati subito, e questo potrebbe indicare una maggiore maturità da parte dei criminali. Questa è una cosa che non avevamo previsto. Un altro indicatore della maturità imprenditoriale del crimine informatico è stato il calo delle competenze tecniche richieste per operare nel settore. Toolkit per malware pronti per l'uso, programmi di affiliazione per il ransomware, programmi per la creazione di attacchi già parzialmente predisposti e altre familiari proposte commerciali hanno iniziato a circolare sui mercati neri del Web per velocizzare, semplificare e ampliare la distribuzione degli attacchi. Ormai ci vuole davvero poco per trasformarsi in criminali informatici (per farsi un'idea del malware preconfezionato in vendita sui mercati, vedere "Morto Blacole, arriva Angler, un nuovo kit di exploit" nel Report McAfee Labs sulle minacce, febbraio 2015.) Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 13 Argomenti principali Il malware preconfezionato disponibile a prezzi vantaggiosi ha contribuito notevolmente all'aumento degli attacchi informatici. In genere, gli stati nazionali hanno moventi diversi per i loro attacchi, ma spesso sfruttano ampiamente la medesima infrastruttura criminale. Di solito non sono mossi dall'intento di monetizzare direttamente e possono operare su periodi più lunghi, con le risorse più diverse. Lo spionaggio è considerato un'attività svolta in segreto da poche persone, e in genere per lo spionaggio informatico è così. Tuttavia, lo spionaggio informatico sponsorizzato dai governi è stato attuato su una scala tale da superare le nostre previsioni e nel giro degli ultimi due anni è diventato molto più visibile, anche al grande pubblico. Ancora sorprese Aziende e privati continuano a non prestare sufficiente attenzione agli aggiornamenti, alle patch, alla protezione delle password, agli avvisi di sicurezza, alle configurazioni predefinite e ad altri sistemi semplici ma cruciali per salvaguardare le risorse informatiche e fisiche. La scoperta e lo sfruttamento di alcune vulnerabilità fondamentali di Internet hanno dimostrato come alcune tecnologie di base siano sottodimensionate dal punto di vista delle risorse economiche e del personale. Alcune sorprese non sono catalogabili nelle sezioni di cui ci siamo occupati fin qui. Forse, la più grande è la costante mancanza di attenzione — da parte delle aziende così come dei privati — agli aggiornamenti, alle patch, alla protezione delle password, agli avvisi di sicurezza, alle configurazioni predefinite e ad altri sistemi semplici ma fondamentali per salvaguardare le risorse informatiche e fisiche. Questa non è una novità per il settore della sicurezza; sono decenni che insistiamo su questi aspetti, e malgrado ciò restano sempre i vettori più adatti per sferrare un attacco efficace. A proposito di risorse fisiche, continuiamo a chiederci come mai non è ancora andato a segno un attacco di proporzioni catastrofiche contro un'infrastruttura cruciale. Attacchi di questo genere non interessano ai criminali informatici perché non sono una fonte di facile guadagno, ma quasi sicuramente interessano ai terroristi e forse anche a qualche governo. Anche se abbiamo osservato operazioni di ricognizione informatica su infrastrutture critiche, dobbiamo presumere che considerazioni politiche o strategiche abbiano impedito, almeno finora, un attacco in piena regola. A proposito di infrastrutture, di recente la scoperta inattesa e il conseguente sfruttamento di alcune vulnerabilità fondamentali di Internet (in codice vecchio di decenni) hanno dimostrato come alcune tecnologie di base siano sottodimensionate dal punto di vista delle risorse economiche e del personale. Il riconoscimento di questo rischio ha portato alla sponsorizzazione del software e a una maggiore collaborazione fra le grandi organizzazioni che basano la gran parte delle loro attività su Internet. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 14 Argomenti principali Siamo molto soddisfatti per la collaborazione sempre più fattiva tra settore della sicurezza, mondo accademico, pubblica sicurezza e governi per sgominare le organizzazioni di criminali informatici. Infine, siamo molto soddisfatti per la collaborazione sempre più fattiva tra settore della sicurezza, mondo accademico, pubblica sicurezza e governi per sgominare le organizzazioni di criminali informatici. Alcuni di essi hanno accettato di mettere a disposizione i loro codici e offerto suggerimenti utili; è necessario ottenere lo stesso risultato nel campo della protezione. "L'unione fa la forza" sarà anche una frase fatta, ma in questo caso è vera. Conclusioni Cinque anni fa abbiamo fatto alcune previsioni giuste e alcune sbagliate. Molti degli elementi previsti per la tempesta perfetta si sono concretizzati, mentre altri sono stati del tutto inattesi. Tre forze hanno continuato a mettere alla prova il nostro panorama della sicurezza informatica: la superficie di attacco sempre più vasta, la trasformazione della pirateria in un'industria e la complessità e la frammentazione del mercato della sicurezza informatica. Il crimine informatico si è trasformato da un hobby a un'industria molto più in fretta del previsto, sperimentando diversi modelli di business e operando con un indirizzo ora criminale, ora politico, ora militare. L'importanza della sicurezza informatica non è mai stata così sentita, in parte per effetto dei media, delle nuove normative che obbligano a rendere pubbliche le violazioni e di una maggiore consapevolezza e maturità. Tuttavia, oggi la posta in gioco è sensibilmente più alta e il panorama si è trasformato a vantaggio degli aggressori, la cui abilità e le cui risorse sono nettamente superiori al passato. Le battaglie per la sicurezza continuano a essere una sfida formidabile, ma la guerra non è finita. Fattori positivi sono stati una maggiore consapevolezza, il contributo di un numero crescente di professionisti della sicurezza e delle innovazioni tecnologiche e il riconoscimento da parte dei governi del loro ruolo di tutela dei cittadini nel cyberspazio. La fusione di Intel e McAfee fa parte di quell'evoluzione che ha lo scopo di sviluppare sistemi sicuri per salvaguardare gli utenti e la tecnologia in futuro. Report McAfee Labs sulle minacce, agosto 2015 | 15 Argomenti principali Esfiltrazione dei dati: una fase importante nel percorso del ladro informatico — Brad Antoniewicz Negli ultimi 10 anni abbiamo assistito a un'adozione della tecnologia su scala mondiale senza precedenti. Internet è esplosa, con una percentuale di utenti che dal 15% è passata a oltre il 40% della popolazione mondiale e, parallelamente, aziende grandi e piccole hanno realizzato reti connesse tramite Internet per comunicare con i clienti e mettere a disposizione i dati su cui si basa la loro attività. La raccolta e la digitalizzazione delle informazioni, unite all'enorme portata ed estensione delle moderne reti, offrono ai malviventi un'opportunità imperdibile per il furto di dati. I ladri rubano praticamente qualsiasi informazione di carattere personale: nomi, date di nascita, indirizzi, numeri di telefono, codici fiscali, numeri di carte di credito e di debito, informazioni sanitarie, credenziali di account e persino dati sull'orientamento sessuale. Negli ultimi 10 anni si è verificato anche un massiccio aumento delle violazioni di dati di dimensioni rilevanti. Nel 2007, TJ Maxx è stato vittima di una delle primissime violazioni su larga scala, con la sottrazione dei dati relativi alle carte di credito e di debito di circa 94 milioni di clienti. Solo due anni dopo la compromissione ha interessato il colosso della gestione dei pagamenti Heartland Payment Systems, con l'esfiltrazione dei dati di 130 milioni di clienti, secondo le stime. Gli anni successivi avrebbero messo in luce violazioni ancora più gravi, che interessavano una rete di informazioni più vasta. Oltre ai numeri delle carte di credito e di debito, i ladri rubano informazioni personali di quasi tutti i tipi: nomi, date di nascita, indirizzi, numeri di telefono, codici fiscali, informazioni sanitarie, credenziali di account e persino dati sull'orientamento sessuale. Ora sappiamo che i ladri informatici non sono semplicemente gruppi o individui che mirano a far soldi. Le motivazioni da cui sono mossi hanno portato a classificarli in categorie precise, ciascuna delle quali ruba i dati con un obiettivo specifico. Come dimostra un'offerta di lavoro diretta a un "funzionario dell'intelligence statunitense" diffusa di recente da un governo straniero, i dati personali rubati hanno uno scopo diverso quando le vittime sono i dipendenti di un ente governativo e i ladri agiscono per conto di un altro governo. Il successo di Internet e l'evoluzione del furto informatico hanno anche dato un nuovo impulso allo spionaggio informatico, rendendo realistica la minaccia di sottrazione della proprietà intellettuale digitale. Sono stati rubati segreti commerciali da aziende di ogni tipo, da Google, Microsoft e Sony a Boeing, Lockheed Martin e DuPont, a dimostrazione del fatto che i ladri sanno approfittare del valore ovunque si trovi. Questo argomento principale si concentra su una fase importante nel processo di sottrazione dei dati: la loro esfiltrazione. In questa fase, i ladri informatici copiano o spostano i dati dalla rete del proprietario a una rete sotto il loro controllo. L'esfiltrazione dei dati avviene per mano di figure il cui intento è sottrarre i dati, non a causa di perdite di dati accidentali dovute allo smarrimento o al furto dei dispositivi (nelle quali il ladro è più interessato all'hardware). Gli autori delle minacce Fonti di minaccia, autori delle minacce e agenti di minaccia sono tutte espressioni che indicano un gruppo o un individuo che intende accedere illegalmente a reti e sistemi informatici. In varie pubblicazioni del settore pubblico e privato che tentano di classificare questo tipo di minacce, tre dei protagonisti principali ricorrono costantemente: governi, criminalità organizzata e attivisti informatici. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 16 Argomenti principali Motivazioni La motivazione è fra le caratteristiche principali che distinguono gli autori delle minacce. Anche se la sottrazione di dati nel corso di una campagna non è sempre necessaria per raggiungere un obiettivo, molte campagne richiedono il furto di dati. Governi Moventi generici Esempi di tipi di dati ■■ Spionaggio ■■ Influenza Per mettere in atto un furto, il ladro in genere cerca i tipi di dati più appetibili. Tuttavia, questi possono cambiare, per cui non è insolito vedere un'organizzazione criminale concentrare il suo interesse ad esempio sul furto di indirizzi IP per aumentare i guadagni. Criminalità organizzata ■■ Economici Attivisti informatici ■■ ■■ Sociali Email ■■ Codice sorgente ■■ Dati di conti bancari ■■ ■■ Email ■■ Dati di carte di credito ■■ ■■ Documenti interni ■■ ■■ Attività militare ■■ Informazioni di identificazione personale di funzionari governativi Informazioni di identificazione personale (codici fiscali, dati sanitari, ecc.) Legati alla reputazione ■■ Informazioni sui dipendenti Tutti i dati interni sensibili Volume dei dati presi di mira Più o meno grande Grande Più o meno grande Livello di raffinatezza delle tecniche di esfiltrazione Elevato Medio basso Medio basso Collocazione dei dati in rete Sconosciuta/spesso disseminati Nota Sia nota che sconosciuta/ spesso disseminati I governi in genere cercano di ottenere un vantaggio strategico, che spesso si traduce nel furto di proprietà intellettuale. Data la grande diversità delle informazioni potenzialmente utili per un governo, fare una stima del volume dei dati che fuoriesce da un'organizzazione può essere difficoltoso: un semplice progetto o il disegno di un nuovo prodotto può avere dimensioni relativamente ridotte, mentre il codice sorgente di un'applicazione importante può essere molto voluminoso. Sul piano organizzativo, queste informazioni sono difficili da circoscrivere e sono spesso disseminate su più reti; i ladri informatici devono quindi dedicare un tempo considerevole alle ricerche, a meno che non dispongano di fonti interne all'organizzazione presa di mira. Gli obiettivi economici della criminalità organizzata ne rendono i moventi un po' più semplici da capire. Questi gruppi tendono a concentrarsi su grandi riserve di dati di carte di credito, di informazioni bancarie o di identificazione personale. Gran parte di questi dati ha un formato standard strutturato che ne facilita la ricerca. I dati in genere devono anche sottostare alle normative, e ciò significa che si trovano in punti prestabiliti della rete. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 17 Argomenti principali Gli attivisti informatici sono forse i più difficili da contrastare, perché per compromettere la reputazione di un'organizzazione si può utilizzare qualsiasi dato interno. Ecco perché questi gruppi possono prendere di mira qualsiasi tipo di dati, dalle carte di credito ai messaggi email, e i volumi sottratti possono essere più o meno grandi. Accesso fisico La capacità di un gruppo o individuo di accedere fisicamente a un sistema, anche mediante proxy, garantisce un vantaggio immenso. I dispositivi di archiviazione USB rappresentano un sistema semplice per esfiltrare grandi quantità di dati aggirando i controlli di sicurezza della rete. Un ladro informatico può sferrare un attacco consegnando un'unità rimovibile a un dipendente ignaro, che poi lancia involontariamente l'attacco quando collega il dispositivo alla rete. Conoscenza degli ambienti Per ottenere informazioni di carattere ambientale sulle reti e sui sistemi si può ricorrere al social engineering, all'aiuto di un insider e alla raccolta di informazioni pubbliche. Queste tecniche abbreviano i tempi necessari per rilevare i dati, ottenere l'accesso ai sistemi ed esfiltrare i dati stessi. Esfiltrazione dei dati Copiare i dati da una rete compromessa può essere un'operazione complessa, che richiede un'ottima conoscenza della configurazione di sicurezza di un'organizzazione, delle falle nella segmentazione della sua rete, della disposizione e delle impostazioni dei controlli di sicurezza e dei privilegi che consentono di accedere ai sistemi lungo tutto il percorso. Per capire e classificare meglio queste tecniche complesse, ne abbiamo suddiviso i componenti in cinque gruppi principali: ■■ ■■ ■■ ■■ ■■ Obiettivi con dati: sistemi che contengono i dati presi di mira dall'aggressore quali sistemi di condivisione dei file, archivi, sistemi POS, ecc. Infrastruttura di raccolta: sistemi di proprietà delle aziende usati dall'aggressore per raccogliere e trasmettere i dati dall'azienda ai server di dump. Server di dump: sistemi accessibili dagli aggressori usati per conservare temporaneamente i dati prima che passino definitivamente sotto il loro controllo. Trasporto dei dati: protocolli di rete o dispositivi di archiviazione dati usati per trasportare i dati da un luogo all'altro. Manipolazione dei dati: tecniche che alterano o mascherano i dati come la crittografia, l'occultamento, la compressione e la divisione in blocchi. Componenti dell'esfiltrazione dei dati Obiettivi con dati Infrastruttura di raccolta Internet Server di dump Trasporto/manipolazione dei dati Principali elementi di base per l'esfiltrazione dei dati Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 18 Argomenti principali Obiettivi con dati Quando viene compromesso un sistema all'interno di una rete si apre la via all'esplorazione degli altri sistemi e alla scoperta di quelli che contengono dati appetibili. Una rete complessa contiene molti tipi di dati e per questo si tratta di un'operazione lunga per chiunque non disponga di informazioni riservate. I principali obiettivi con dati sono: Obiettivo con dati Tipo di dati Autori interessati Sistemi database Variabile: informazioni sanitarie riservate, dati di identificazione personale, carte di credito, dati bancari e account utente Criminalità organizzata, attivisti informatici Archivi di codice sorgente Codice sorgente, credenziali, chiavi Governi, attivisti informatici Sistemi specialistici Variabile Tutti, a seconda del tipo di endpoint Sistemi di condivisione file e simili Codice sorgente, progetti, comunicazioni, ecc. Governi, attivisti informatici Email e comunicazioni Progetti, comunicazioni Governi, attivisti informatici Sistemi database Questi sistemi ospitano grandi volumi di dati strutturati e sono quindi un bersaglio privilegiato, soprattutto per la criminalità organizzata. I sistemi svolgono molte funzioni in un'azienda: ■■ ■■ ■■ ■■ ■■ ■■ Autenticazione: sistemi che contengono informazioni come nomi utente e password associate agli utenti che si autenticano. Tracciabilità dei pazienti: sistemi per la tracciabilità dell'ammissione, della gestione e della dimissione dei pazienti nel settore sanitario. Elaborazione dei pagamenti: sistemi che accettano, emettono ed elaborano transazioni finanziarie di clienti o fornitori. Elaborazione/fidelizzazione dei clienti: sistemi che contengono dati dei clienti per la tracciabilità, il marketing o scopi analoghi. Gestione risorse umane/finanza: sistemi per la gestione e la retribuzione dei dipendenti. Strutture IT non di produzione/shadow IT: i sistemi per i test e i sistemi shadow IT contenenti dati di produzione e altri dati aziendali possono essere altrettanto preziosi per un aggressore e più vulnerabili a un attacco. Report McAfee Labs sulle minacce, agosto 2015 | 19 Argomenti principali Archivi di codice sorgente Gli archivi interni di codice sorgente a volte vengono lasciati senza protezione anche se contengono dati molto preziosi come il codice sorgente di un'applicazione, le chiavi API, le credenziali di accesso a un database o a un server di autenticazione e le chiavi di crittografia. Sistemi specialistici Gli attacchi diretti alle grandi aziende di vendita e ai grandi produttori mostrano che gli aggressori prendono di mira i dati contenuti nei sistemi specialistici o nei sistemi endpoint che hanno uno scopo ben definito in un determinato settore, come ad esempio: ■■ ■■ ■■ Sistemi POS: l'anello più debole nell'elaborazione dei pagamenti si trova forse all'interno del sistema POS, perché spesso i dati delle carte di credito non vengono crittografati nella memoria dopo la lettura da parte del dispositivo. Workstation degli sviluppatori: le workstation degli sviluppatori possono essere una miniera di dati ambientali e di proprietà intellettuale, e per questo sono obiettivi di grande valore. Sistemi di controllo: i set point e la logica dei programmi offrono informazioni preziose e possono essere modificati con conseguenze devastanti negli attacchi contro installazioni industriali. Archivi di file Per un ladro, è la quantità stessa dei dati contenuti nei grandi archivi di file a presentare dei vantaggi e degli svantaggi. Da un lato, possono essere una miniera di informazioni; dall'altro, passarli al setaccio manualmente può essere un'impresa titanica perché contengono informazioni non strutturate. In questa categoria rientrano i seguenti sistemi: ■■ ■■ ■■ Sistemi di condivisione file in rete: questi sistemi contengono cartelle di gruppi e di utenti in cui sono presenti documenti, disegni e altri dati aziendali. Sistemi di gestione dei contenuti: Microsoft SharePoint e simili ospitano contenuti analoghi ai sistemi di condivisione file, ma in genere per un ladro informatico è più difficile venirne a capo. Cloud di terzi: anche i servizi di condivisione file su cloud come Google Drive, Dropbox e Box.com possono mettere a rischio i dati, ma spesso vengono presi di mira da aggressori esterni in possesso di informazioni riservate anziché da aggressori presenti su una rete interna. Email e comunicazioni Le workstation degli utenti, i server di posta e i sistemi di messaggistica immediata come Skype for Business sono obiettivi frequenti perché le loro cache contengono dati aziendali sensibili, informazioni operative e comunicazioni private. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 20 Argomenti principali Infrastruttura di raccolta Quanto più profondo e segmentato è l'obiettivo sulla rete, tanto più difficile è l'esfiltrazione dei dati. Quanto più profondo e segmentato è l'obiettivo sulla rete, tanto più difficile è l'esfiltrazione dei dati per un criminale. Quando è necessario, i malviventi creano un'apposita infrastruttura di raccolta utilizzando degli host che fungono da intermediari fra i segmenti della rete e un server di dump sotto il loro controllo. L'infrastruttura di raccolta può essere semplice o complessa, in funzione delle esigenze. Nelle situazioni di esfiltrazione avanzata, abbiamo visto sistemi che avevano i seguenti ruoli: ■■ ■■ ■■ Endpoint: uno o più obiettivi con dati sullo stesso segmento dell'aggregatore o su un segmento a esso instradabile. Aggregatore: funge da punto di raccolta per i dati degli endpoint di riferimento e carica i dati sull'esfiltratore. L'aggregatore può disporre di accesso a Internet, ma non necessariamente. Nelle campagne più sofisticate, più aggregatori possono trasferire dati a svariati esfiltratori per occultare il percorso dei dati in uscita. Esfiltratore: prende i dati da un aggregatore e ne facilita il trasferimento al server di dump dell'aggressore. Può trattarsi di un semplice trasferimento, oppure l'esfiltratore può ospitare i dati che l'aggressore preleverà. Architettura di esfiltrazione dei dati Aggregatore Esfiltratore Internet Server di dump Endpoint Una tipica architettura di esfiltrazione dei dati Questo schema riproduce una tipica architettura di esfiltrazione dei dati, ma ne esistono altre. Ad esempio, una campagna che è stata analizzata pubblicamente aveva istituito un'apposita rete di esfiltratori e di aggregatori disseminati sul territorio che operavano a rotazione nel trasferimento dei dati dai sistemi ai server di dump. In un altro caso, un server aziendale per la distribuzione di contenuti accessibile tramite Internet è stato usato come esfiltratore incorporando i dati nello stream video dei contenuti diretti all'esterno. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 21 Argomenti principali Server di dump Un server di dump è il primo punto al di fuori del controllo dell'azienda in cui transitano i dati rubati. Tuttavia, non è nemmeno necessariamente sotto il controllo dell'aggressore: è semplicemente un punto a cui questi può accedere agevolmente. I server di dump possono essere: ■■ ■■ ■■ ■■ ■■ Sistemi compromessi: sistemi che sono stati compromessi dall'aggressore durante un'altra campagna. Possono essere sistemi di qualunque tipo, dai blog personali su WordPress ai server aziendali dotati di controlli di sicurezza inefficienti. Sistemi in hosting in paesi specifici: i paesi con norme restrittive sulla privacy sono interessanti per gli aggressori perché possono ospitare entro i loro confini sistemi che operano indisturbati e con un certo livello di protezione. Sistemi in hosting temporanei: sistemi dalla vita breve ospitati sul cloud tramite provider come AWS, Digital Ocean o Azure. Servizi cloud di condivisione file: siti di condivisione file online accessibili a tutti come DropBox, Box.com e Paste Bin. Servizi su cloud: vari altri servizi Internet come Twitter e Facebook che consentono agli utenti di pubblicare dati. Gli host compromessi, i sistemi in hosting in paesi specifici e i sistemi in hosting temporanei funzionano bene come server di dump in quanto offrono il massimo controllo sui dati, permettendo agli aggressori di personalizzare al massimo i metodi di trasporto dall'esfiltratore. Con i servizi di hosting e di condivisione file su cloud è difficile per chi si deve difendere bloccare semplicemente gli host di destinazione, a causa dei molti punti in cui sono dislocati. Tuttavia, di solito questi servizi dispongono di metodi facilmente accessibili per segnalare le azioni illegali e possono disabilitare rapidamente gli account incriminati. Lo svantaggio di utilizzare host dedicati come server di dump è il fatto che, una volta scoperti, i sistemi possono essere bloccati o disattivati. Un metodo per ovviare a questo inconveniente è l'uso di algoritmi di generazione dei domini. Si tratta di algoritmi incorporati nel malware eseguito all'interno della società presa di mira che generano un elenco di nomi di dominio prevedibili che si possono interrogare per individuare i server di controllo o di dump attivi. Report McAfee Labs sulle minacce, agosto 2015 | 22 Argomenti principali Trasporto dei dati Il trasporto dei dati è costituito dai protocolli e dai metodi utilizzati per copiare i dati da una posizione o da un sistema a un altro, ad esempio tra un esfiltratore e il server di dump o un endpoint e un aggregatore. La tabella riprodotta di seguito riassume numerosi metodi di trasporto attualmente di uso comune e le relative reti: Trasporto Descrizione Interna HTTP/HTTPS La prevalenza del protocollo HTTP nelle comunicazioni in rete lo rende ideale per nascondere i dati esfiltrati in mezzo al resto del traffico. È stato impiegato come trasporto generico per l'esfiltrazione incorporando i comandi nelle intestazioni HTTP e nei metodi GET/POST/PUT. FTP L'FTP, spesso disponibile sui server aziendali, è un protocollo con cui è facile interagire mediante comandi nativi di sistema ed è quindi un tipo di trasporto che non crea problemi. USB I dispositivi di archiviazione USB sono usati spesso per l'esfiltrazione quando occorre penetrare in reti con accesso circoscritto da air gap. Abbiamo osservato del malware che cerca un dispositivo di archiviazione USB dotato di un marker specifico e, quando lo trova, copia i dati da esfiltrare in un settore nascosto del dispositivo. L'esfiltrazione inizia quando questo viene collegato a un altro sistema infetto dotato di accesso alla rete. Esterna I dispositivi di archiviazione USB possono essere utilizzati anche da un insider per copiare facilmente grandi quantità di dati e sottrarli fisicamente all'organizzazione. DNS Record DNS specifici come TXT o persino record A e CNAME possono, in una certa misura, memorizzare dati al loro interno. Con il controllo di un server di domini e di un server dei nomi, un aggressore può trasmettere piccole quantità di dati eseguendo ricerche specifiche sul sistema da cui esfiltrare. Tor L'uso della rete Tor è sempre più diffuso e permette agli aggressori di inviare i dati esfiltrati a server difficili da rintracciare. Tuttavia, il traffico su Tor nelle reti aziendali raramente è legittimo e quindi è facile da rilevare e da bloccare. SMTP/Email I server SMTP di proprietà della società o di terzi si possono utilizzare per inviare dati all'esterno dell'organizzazione sotto forma di allegati o nel corpo dei messaggi email. SMB SMB è un protocollo comunissimo negli ambienti Windows e in alcuni casi è già abilitato sui sistemi. RDP RDP supporta varie operazioni quali il copia/incolla e la condivisione di file, e in alcuni casi i sistemi che consentono l'uso di questo protocollo possono essere a contatto diretto con Internet. Protocolli di trasporto personalizzati Nelle comunicazioni fra i server di controllo e le forme di malware più sofisticate sono spesso utilizzati protocolli di trasporto personalizzati. L'ideazione di un protocollo di trasporto efficace richiede notevoli sforzi e la sua unicità ne facilita l'identificazione in rete — il che fa propendere per l'uso di un protocollo di trasporto standard. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 23 Argomenti principali I protocolli di trasporto che offrono alternative crittografate (come HTTPS) possono rendere più difficile il rilevamento per le organizzazioni. Abbiamo notato un uso crescente ma generalmente limitato della crittografia a livello di trasporto. L'assenza di crittografia comporta una certa facilità di rilevamento, ma rappresenta anche un rischio ulteriore per i dati perché, in alcuni casi, questi vengono trasmessi via Internet. Molti protocolli e metodi di trasporto richiedono credenziali valide o qualche tipo di accesso aperto/anonimo per essere abilitati sul server. Quindi, se gli aggressori desiderano rendere automatica l'esfiltrazione, dovranno lasciare un nome utente/una password sull'host compromesso per non rischiare accessi non autorizzati al sistema da remoto. Manipolazione dei dati La manipolazione dei dati prima del trasferimento può aiutare a evitare il rilevamento, abbreviare i tempi di trasferimento e allungare i tempi di analisi. La manipolazione dei dati prima del trasferimento può aiutare a evitare il rilevamento, abbreviare i tempi di trasferimento e allungare i tempi di analisi. Anche se nella maggior parte dei casi i dati trasferiti via Internet vengono manipolati, è ancora molto frequente assistere a manipolazioni sulle reti interne. Dopo essere stati manipolati, i dati originali vengono inviati a destinazione con il protocollo o il metodo di trasporto. Tecniche di manipolazione dati di uso comune: Tecnica Descrizione Compressione La compressione con il formato ZIP standard garantisce un certo grado di occultamento e inoltre velocizza il trasferimento dei file. Divisione in blocchi La suddivisione dei dati in piccoli blocchi prima dell'invio aiuta a dissimulare il trasferimento fra le normali attività della rete. Codifica/ occultamento Il tipo più comune di manipolazione dei dati è un algoritmo di codifica o di occultamento di base. Mediante tecniche semplici quali la crittografia con metodo XOR con una chiave statica, la codifica Base64 o la semplice conversione dei singoli caratteri in formato esadecimale i dati possono essere manipolati a sufficienza per evitarne il rilevamento. Crittografia È sorprendente che la crittografia non venga utilizzata sempre durante l'esfiltrazione. Forse il motivo è che rallenta le prestazioni, o semplicemente che non è necessaria. Quando viene impiegata, i metodi più comuni sono RC4 e AES. Conclusioni I dati digitali sono diventati un obiettivo primario per i ladri informatici. I dati rubati sono i più vari: dai grandi database di dipendenti alla memoria volatile dei sistemi POS. Non appena si inserisce un nuovo livello di protezione in una rete, gli aggressori trovano il modo di manipolare i sistemi affidabili sfruttandoli come complici per colpire l'organizzazione. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 24 Argomenti principali Il primo passo per assumere il controllo della situazione è capire chi sono gli autori degli attacchi, quali sono le loro motivazioni e le loro tecniche. Benché l'esfiltrazione di dati possa essere una fase limitata in una campagna più ampia, è anche una delle più importanti per l'aggressore che la attua e per il difensore che la blocca. Adottare policy e procedure efficaci oltre a creare difese a protezione delle risorse e degli obiettivi con dati cruciali consente alle organizzazioni di intervenire secondo una scala di priorità in modo da dedicare la massima attenzione ai sistemi più importanti. Scoprite che cosa può fare Intel Security per aiutarvi a proteggervi da questa minaccia. Policy e procedure raccomandate Identificare le fonti di dati Condurre una valutazione del rischio interpellando le principali figure interessate per determinare quali dati sensibili sono presenti in rete e dove sono memorizzati. ■■ Controllo dell'inventario delle risorse ■■ Architettura del sistema e della rete Considerare l'impiego di software di data discovery per individuare i dati sensibili e la loro posizione. Determinare i flussi di dati Identificare il flusso dei dati sensibili all'interno della rete e verso l'esterno. ■■ Architettura del sistema e della rete Considerare l'impiego di software per il monitoraggio in tempo reale dei flussi di dati per capire i movimenti dei dati. Identificare i requisiti normativi e di privacy Capire a quali normative deve attenersi l'organizzazione e quali sono i controlli di sicurezza obbligatori. Classificare i dati Istituire una policy per classificare i dati in base al grado di sensibilità, al tipo e alla criticità. Assegnare dei titolari ai dati Garantire la protezione dei dati ■■ Policy per la protezione dei dati ■■ Policy per la classificazione dei dati Mettere a punto un programma che elenchi in modo dettagliato i titolari dei dati e le loro responsabilità. ■■ Titolari dei dati ■■ Inventario e manutenzione dei dati Istituire una policy per definire i requisiti di sicurezza per i dati a riposo e in transito. ■■ Policy di crittografia dei dati Implementare software per la prevenzione delle perdite di dati per impedire l'esfiltrazione non autorizzata. Esaminare l'accesso ai dati Riesaminare regolarmente il programma Definire un processo in cui l'accesso ai dati viene tracciato e autorizzato ufficialmente. ■■ Autorizzazione per l'accesso ai dati ■■ Gestione delle modifiche Definire una procedura di gestione del rischio legato ai dati per riesaminare ogni anno le policy e le procedure. ■■ Gestione dei rischi Considerare l'impiego di software per la gestione del rischio per valutare i rischi e gestire la conformità. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 25 Argomenti principali Malware per le GPU: separiamo la realtà dalle invenzioni — Craig Schmugar L'autore desidera esprimere un particolare ringraziamento al Visual and Parallel Computing Group di Intel per il contributo alla stesura di questo articolo. Un'unità di elaborazione grafica (GPU) è un componente hardware specializzato progettato per accelerare la creazione di immagini da visualizzare su un display. In un personal computer, la GPU è presente sulle schede video dedicate, sulla scheda madre o a volte all'interno della stessa CPU. Attualmente, quasi tutto il malware è progettato per essere lanciato dalla memoria principale del sistema ed eseguito sulla CPU. È stato così per decenni, e appunto per questo la stragrande maggioranza degli strumenti di analisi forense e di difesa basati su host sono realizzati partendo da questo presupposto. Qualsiasi deviazione da questa norma giustifica una certa perplessità, e all'inizio di quest'anno molti professionisti della sicurezza informatica erano decisamente perplessi. Gli attacchi malware alle GPU (unità di elaborazione grafica) esistono da parecchi anni, e occasionalmente fanno parlare di sé. In effetti, questo tipo di malware è attivo e in circolazione da almeno quattro anni, sotto forma di trojan per il mining di Bitcoin che sfruttano il throughput impressionante della GPU per aumentare il ritorno economico dai sistemi infetti delle singole vittime. Di recente questo argomento è stato oggetto di un rinnovato interesse dopo la comparsa delle versioni iniziali di alcuni codici proof-of-concept su GitHub, il principale servizio di hosting per lo sviluppo software. All'epoca, il "Team JellyFish" ha pubblicato tre progetti di questo tipo. Secondo gli autori, questo nuovo codice non si limiterebbe a sfruttare l'efficienza della GPU in termini di mera potenza di elaborazione, ma userebbe l'architettura come strumento di elusione eseguendo il codice e memorizzando i dati dove nessuno andrà a controllare. Le pagine di GitHub relative ai tre progetti riportano le seguenti informazioni: Demon, un keylogger per GPU che secondo la descrizione contiene le seguenti funzioni: ■■ Bootstrap del modulo kernel della CPU per individuare il buffer della tastiera tramite il canale DMA nella struttura usb. ■■ Buffer della tastiera memorizzato nel file userland. ■■ Il modulo kernel si cancella da sé. ■■ OpenCL memorizza il buffer della tastiera nella GPU e cancella il file. JellyFish, descritto come un rootkit per GPU basato su Linux che agisce in modalità utente, con la GPU che offre numerosi vantaggi: ■■ ■■ Assenza di strumenti di analisi della GPU online. Possibilità di accedere alla memoria dell'host CPU tramite Accesso diretto alla memoria (DMA). ■■ La GPU offre prestazioni migliori della CPU per i calcoli matematici. ■■ Persistenza in caso di riavvio a caldo. WIN_JELLY, descritto come uno strumento di accesso remoto per Windows con memorizzazione persistente di codice eseguibile nella GPU, che in seguito può essere mappato allo userspace dopo il riavvio. Note che accompagnano i progetti pubblicati su GitHub per i proof of concept relativi agli attacchi alle GPU Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 26 Argomenti principali In seguito sono stati pubblicati numerosi articoli che ribadivano le affermazioni degli autori. Estrapolato dal contesto, quanto riportato sopra si può facilmente travisare, facendosi l'idea di un superbug non rilevabile che si esegue da solo, di nascosto dalle difese attualmente disponibili: ma la realtà è diversa da come appare a prima vista. Le affermazioni degli autori si possono riassumere in quattro punti principali: Compute Unified Device Architecture di NVIDIA è una piattaforma di elaborazione in parallelo e un modello di API che consente agli sviluppatori software di usare le GPU abilitate per CUDA per elaborazioni generiche. La piattaforma CUDA permette di accedere direttamente al set di istruzioni virtuali e agli elementi di elaborazione parallela della GPU. ■■ Accesso alla memoria dell'host CPU dalla GPU. ■■ Successiva eliminazione dei file dall'host CPU. ■■ Persistenza in caso di riavvio a caldo. ■■ Assenza di strumenti di analisi della GPU. Per verificare queste affermazioni, McAfee Labs ha ottenuto la collaborazione degli esperti del Visual and Parallel Computing Group (VPG) di Intel. Le risposte contenute nella sezione che segue riguardano il settore di competenza di Intel, ossia le schede video integrate e OpenCL, ma la maggior parte delle informazioni è valida anche per le schede video separate e per la piattaforma CUDA di NVIDIA. Accesso alla memoria dell'host CPU dalla GPU Per come sono progettati, i programmi che accedono alla GPU richiedono l'esecuzione di un processo controllante sulla CPU. Il processo controllante può operare in maniera analoga ad altre minacce, leggendo e scrivendo in memoria con modalità che spesso sono monitorate o limitate dai prodotti di sicurezza, ma uno dei vantaggi di usare la GPU per questa operazione è proprio nascondere le attività dannose e aggirare le misure di protezione. Tuttavia, per distribuire i payload associati al malware usando metodi non convenzionali e sfruttando la GPU è necessario che la memoria fisica sia mappata alla GPU. Inoltre, per il codice sprovvisto di privilegi l'accesso è limitato alle pagine di memoria mappate allo spazio degli indirizzi virtuale di un processo, e quindi per mappare la memoria critica del sistema operativo alla GPU per l'accesso in lettura/scrittura è essenziale poter accedere all'anello 0, il che rende più evidente la traccia lasciata dal malware sull'host. Questa dipendenza deve sottostare alle protezioni esistenti per il kernel. E questo introduce il nostro prossimo punto. Successiva eliminazione dei file dall'host CPU Quando un programma è in esecuzione sulla GPU, i file necessari per installarlo possono essere eliminati. Fra questi vi sono il driver del kernel responsabile della mappatura della memoria e il processo controllante in modalità utente. Tuttavia, a questo punto il codice eseguito sulla GPU resterà orfano e nel caso di Microsoft Windows innescherà un processo TDR (Timeout Detection and Recovery) che riavvia il driver della scheda video. In Windows, il timeout predefinito è di due secondi, anche se il valore è configurabile. Microsoft afferma che le impostazioni TDR devono essere manipolate esclusivamente a scopo di test e di debug. Pertanto, qualsiasi modifica di questi valori può essere considerata un comportamento sospetto, che i prodotti di sicurezza possono decidere di segnalare o persino di bloccare. Inoltre, carichi di lavoro prolungati sulla GPU provocheranno problemi visibili, perché l'interfaccia grafica utente cesserà di rispondere. Questo vale anche per altri sistemi operativi. Per superare questi ostacoli, il codice in modalità utente (anche se minimo) deve rimanere in esecuzione e può quindi essere individuato dalle misure di protezione installate sugli endpoint. Sfuggono a questa manifestazione visibile della compromissione i sistemi con più GPU e/o headless, in cui l'assenza di accesso alla GPU da parte del sistema operativo può passare inosservata. Ciononostante, a dimostrazione di un potenziale problema resteranno i valori TDR alterati in Windows. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 27 Argomenti principali Persistenza in caso di riavvio a caldo In apparenza, l'affermazione forse più discutibile di tutte è l'idea che il malware residente su una GPU possa persistere dopo un riavvio del sistema operativo. Ricordate quanto affermano gli autori di WIN_JELLY: "Memorizzazione persistente del codice eseguibile nella GPU, che in seguito può essere nuovamente mappato allo userspace dopo il riavvio." A una lettura superficiale, questa frase suona piuttosto inquietante dal punto di vista della sicurezza. Analizzandola meglio, però, ci si accorge che la prima impressione trae in inganno. "Persistente" non si riferisce al codice in esecuzione, ma alla memorizzazione dei dati. Ricordate quanto si diceva al punto precedente: per esigenze di progettazione, è necessaria la presenza di un processo sull'host per garantire l'esecuzione del programma sulla GPU. L'idea di persistenza qui si riferisce al fatto che all'avvio del sistema è in esecuzione un'applicazione host che recupera i dati dalla memoria della GPU e li mappa nuovamente allo userspace, e questo è decisamente meno sconfortante perché anche il codice malevolo in modalità utente deve persistere al di fuori della GPU. Assenza di strumenti di analisi della GPU Anche se esistono numerosi strumenti di monitoraggio delle prestazioni e di debug delle GPU, quelli dedicati all'analisi forense e del malware sono pochissimi. In passato questi strumenti sono stati sviluppati per necessità o da coloro che desideravano semplificare un processo più banale. In questo caso vi è l'esigenza di disporre di strumenti di analisi delle minacce per capire più agevolmente il comportamento di una minaccia nella GPU. Tuttavia i prodotti di sicurezza per gli endpoint non devono necessariamente affidarsi a questi strumenti per la classificazione e identificazione delle minacce, in quanto l'uso di questo vettore di attacco si manifesta anche attraverso altri indicatori. In sintesi Le minacce dirette alle GPU sono un problema reale, ma questo tipo di attacco non ha ancora assunto le dimensioni di una tempesta perfetta. Da un lato, la decompilazione e l'analisi forense di queste minacce sono molto più complesse e impegnative che nel caso delle minacce dirette solo alle CPU, e questo può consentire a un'infezione di passare inosservata più a lungo. Spostando parte del codice malevolo all'esterno della CPU e della memoria dell'host si riduce la superficie di rilevamento e per le difese installate sull'host diventa più difficile individuare gli attacchi. Dall'altro, la superficie di rilevamento non viene completamente eliminata. Nel peggiore dei casi qualche traccia microscopica dell'attività malevola resta comunque, e permette ai prodotti di sicurezza installati sugli endpoint di rilevare la minaccia e di porvi rimedio. Vi sono alcune analogie tra il malware per le GPU e i rootkit che colpivano il kernel di Windows di circa 10 anni fa. L'esecuzione di codice dotato di privilegi era necessaria per i rootkit del kernel; una volta in esecuzione, il codice malevolo poteva dissimulare la sua presenza, e gli strumenti per l'analisi dei rootkit erano più limitati. Ormai per un aggressore è difficilissimo ottenere ed eseguire codice con privilegi (che rimane un requisito indispensabile perché il malware per GPU sia devastante). I prodotti di sicurezza si sono dotati di difese specifiche contro i rootkit e Microsoft ha rilasciato numerose protezioni per il kernel, fra cui PatchGuard, l'imposizione della firma dei driver, Early Launch Anti-Malware (ELAM), Secure Boot e altre funzioni di protezione. Molte di queste misure di sicurezza svolgono un ruolo nella difesa dagli attacchi alla GPU che sfruttano il kernel di Windows. Un progresso recente che rende meno praticabile l'uso del malware per GPU su alcuni sistemi è la funzione Device Guard di Microsoft Windows 10, che sfrutta l'unità di gestione della memoria di input/output (nel caso di Intel, la Virtualization Technology for Directed I/O o Intel VT-d) nell'hardware per consentire agli amministratori di bloccare i dispositivi in modo da permettere l'esecuzione solo di applicazioni firmate e ritenute affidabili da Microsoft. Benché sia disponibile solo in alcuni casi, questa funzione può garantire un ulteriore livello di protezione agli utenti che devono proteggere informazioni di importanza cruciale. Report McAfee Labs sulle minacce, agosto 2015 | 28 Argomenti principali Scoprite che cosa può fare Intel Security per aiutarvi a proteggervi da questa minaccia. Questa analisi non intende liquidare sommariamente tutte le affermazioni sulla reale efficacia degli attacchi diretti alle GPU, quanto piuttosto inquadrare nel contesto appropriato le minacce e le difese attuali. Senza dubbio assisteremo a dei progressi in questo campo, sia da parte degli aggressori, sia da parte di chi cerca di contrastarli. Se non altro, l'attenzione dedicata di recente a questa situazione ha spinto la comunità degli esperti di sicurezza a riesaminare lo stato attuale delle cose e a cercare dei modi per migliorarlo. Misure di sicurezza per proteggersi da questo tipo di attacco McAfee Labs consiglia diversi modi per proteggere i sistemi dagli attacchi alle GPU: ■■ ■■ ■■ ■■ ■■ Abilitare gli aggiornamenti automatici del sistema operativo o scaricarne regolarmente gli aggiornamenti per mantenerlo aggiornato con le patch più recenti contro le vulnerabilità note. Installare le patch degli altri produttori software non appena vengono rese disponibili. Installare software di sicurezza su tutti gli endpoint e mantenere aggiornate le firme degli antivirus. Considerare la possibilità di adottare il whitelisting per bloccare l'esecuzione delle applicazioni non autorizzate. Evitare il più possibile di eseguire le applicazioni in modalità amministratore. Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 29 Statistiche sulle minacce Minacce per dispositivi mobili Malware Minacce Web Inviaci la tua opinione Statistiche sulle minacce Minacce per dispositivi mobili Nuovo malware New Mobilemobile Malware 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Malware mobile complessivo Total Mobile Malware 9.000.000 Nel 2° trimestre, il numero totale di esemplari di malware mobile è aumentato del 17%. 8.000.000 7.000.000 6.000.000 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 31 Statistiche sulle minacce Percentuali di infezione da malware mobile a livello regionale nel 2° 2015in Q2 2015 Regional Mobile Malware InfectionTRates 12% Le percentuali di infezione da malware mobile a livello regionale sono diminuite di circa l'1% in questo trimestre, fatta eccezione per il Nord America, in cui il calo è stato quasi del 4%, e per l'Africa, in cui la percentuale è rimasta invariata. 10% 8% 6% 4% 2% 0% Africa Asia Australia Europa Nord America Sud America Percentuali diGlobal infezione da Malware malwareInfection mobile aRates livello mondiale Mobile 30% 25% 20% 15% 10% 5% 0% 4° T 2013 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 32 Statistiche sulle minacce Malware NuovoNew malware Malware 60.000.000 50.000.000 40.000.000 30.000.000 20.000.000 10.000.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Malware complessivo Total Malware 500.000.000 Il malware presente nello zoo McAfee Labs è aumentato del 12% nel trimestre appena trascorso. Oggi lo zoo contiene oltre 433 milioni di esemplari. 450.000.000 400.000.000 350.000.000 300.000.000 250.000.000 200.000.000 150.000.000 100.000.000 50.000.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 33 Statistiche sulle minacce New Rootkit Malware Nuovo malware rootkit 120.000 100.000 80.000 60.000 40.000 20.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Total Rootkit Malware Malware rootkit complessivo 1.800.000 1.600.000 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 34 Statistiche sulle minacce Nuovo New ransomware Ransomware 1.400.000 Il ransomware continua a crescere a ritmo sostenuto: il numero dei nuovi esemplari è aumentato del 58% nel 2° trimestre. Come illustrato per la prima volta nel Report McAfee Labs sulle minacce: maggio 2015, attribuiamo questo incremento a nuove famiglie in rapida espansione come CTB-Locker, CryptoWall e altre. L'anno scorso, il numero totale degli esemplari di ransomware è aumentato del 127%. 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 4° T 1° T 2015 2° T Total Ransomware Ransomware complessivo 4.500.000 4.000.000 3.500.000 3.000.000 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 2015 2° T Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 35 Statistiche sulle minacce Nuovi New file binari firmati pericolosi Malicious Signed Binaries 3.000.000 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T File binariTotal firmati pericolosi complessivi Malicious Signed Binaries 20.000.000 18.000.000 16.000.000 14.000.000 12.000.000 10.000.000 8.000.000 6.000.000 4.000.000 2.000.000 0 3° T 2013 4° T 1° T 2° T 2014 3° T 4° T 1° T 2015 2° T Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 36 Statistiche sulle minacce Minacce Web Newsospetti Suspect URLs Nuovi URL 35.000.000 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 3° T 4° T 1° T 2° T 2013 3° T 4° T 1° T 2014 URL 2° T 2015 Domini associati New Phishing URLs Nuovi URL di phishing 3.000.000 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 3° T 4° T 2013 URL 1° T 2° T 3° T 2014 4° T 1° T 2° T 2015 Domini associati Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 37 Statistiche sulle minacce New Nuovi URL di Spam spam URLs 2.000.000 I nuovi URL di spam e i relativi domini hanno fatto un balzo del 380% nel 2° trimestre. In gran parte, l'aumento è dovuto alle migliaia di domini sequenziali o generati automaticamente dedicati alle campagne di spam che abbiamo scoperto dopo avere migliorato la nostra raccolta di elenchi blackhole in tempo reale (Real-time Blackhole Lists). 1.800.000 1.600.000 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 3° T 4° T 1° T 2° T 2013 3° T 4° T 2014 URL 1° T 2° T 2015 Domini associati Volume mondiale dello spam e delle email Global Spam and(trilioni EmaildiVolume messaggi)(trillions of messages) 12,0 10,0 8,0 6,0 4,0 2,0 0 3° T 4° T 1° T 2° T 2013 Spam 3° T 4° T 1° T 2° T 2014 Email legittime Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 38 Statistiche sulle minacce Email spamFrom dalleTop 10 10 botnet principali Spam di Emails Botnets (milioni di messaggi) (millions of messages) 1.400 La tendenza al calo nel volume di spam generato dalle botnet è proseguita nel 2° trimestre, con l'inattività della botnet Kelihos. Slenfbot è ancora una volta in prima posizione, seguita a ruota da Gamut e da Cutwail, che chiude il terzetto di testa. Nel corso del trimestre, lo spam proveniente da Slenfbot ha avuto come tema soprattutto "Viagra e simili". Il titolo più gettonato è stato "Tips to nights of happiness". 1.200 1.000 800 600 400 200 0 3° T 4° T 1° T 3° T 2° T 2013 4° T 1° T 2014 2° T 2015 Kelihos Gamut Asprox Cutwail Altre Stealrat Slenfbot Darkmailer Dyre Darkmailer 2 Worldwide Botnet Prevalence Diffusione mondiale delle botnet Wapomi Muieblackcat 19,9% 22,0% Ramnit 2,0% Sality 2,7% 18,4% 5,1% Darkness Maazben 7,5% 10,2% 12,2% Dorifel H-Worm Altre Condividi questo report Report McAfee Labs sulle minacce, agosto 2015 | 39 Informazioni su Intel Security Commenti. Per capire meglio come indirizzare il nostro lavoro in futuro, ci interessa il vostro parere. Se desiderate farci conoscere la vostra opinione, fate clic qui per partecipare a un sondaggio di soli cinque minuti sui report sulle minacce. Segui McAfee Labs McAfee è ora parte di Intel Security Con la propria strategia Security Connected, l'approccio innovativo alla sicurezza potenziata dall'hardware e l'ineguagliato servizio Global Threat Intelligence, Intel Security è impegnata senza sosta nello sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che proteggono sistemi, reti e dispositivi portatili per l’utilizzo aziendale e personale a livello mondiale. Intel Security unisce l'esperienza e la competenza di McAfee all'innovazione e alle prestazioni garantite da Intel per fare della sicurezza un ingrediente essenziale in ogni architettura e in ogni piattaforma informatica. La missione di Intel Security è garantire a tutti la tranquillità per vivere e lavorare in sicurezza nel mondo digitale. www.intelsecurity.com 1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_ Top_Threats_in_2013.pdf McAfee. Part of Intel Security. Via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.intelsecurity.com Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e destinate ai clienti McAfee. Le informazioni qui contenute sono soggette a modifica senza preavviso e vengono fornite "come sono" senza garanzia o assicurazione relativamente all'accuratezza o all'applicabilità delle informazioni a situazioni o a circostanze specifiche. Intel e i loghi Intel e McAfee sono marchi di Intel Corporation o di McAfee, Inc. negli Stati Uniti e/o in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. Copyright © 2015 McAfee, Inc. 62058rpt_qtr-q2_0815