About these ads

Archive

Archive for January, 2011

Matrimonio D'(Intel)esse…

January 31, 2011 1 comment

Il titolo di questo post non è tratto da una commedia cinese, ma rappresenta la mia personale interpretazione di una notizia che in questi giorni riecheggia tra i forum di sicurezza informatica.

Come abbiamo commentato tra le previsioni per il 2011, gli Advanced Persistent Threat e le vulnerabilità saranno tra i fattori di rischio informatico maggiormente al centro dell’attenzione per l’anno corrente, turbando i già poco tranquilli sonni dei professionisti di sicurezza informatica,

A tranquillizzarli potrebbe pensarci Intel, il colosso di Santa Clara, il cui CTO e direttore dei laboratori, Justin Rattner, in una intervista bomba, ha dichiarato che il gigante dei processori sta lavorando ad una tecnologia rivoluzionaria in grado di eliminare gli attacchi che sfruttano le vulnerabilità 0-day, ovvero quelle vulnerabilità per cui, nel momento di azione dell’exploit, non è ancora disponibile una pezza patch. La misteriosa tecnologia, interamente in Hardware, potrebbe addirittura essere presentata entro la fine dell’anno e utilizzerà un approccio completamente nuovo non basato su signature (ovvero pattern di comportamento noti), poiché, come prevedibile, un approccio tradizionale basato su impronte comportamentali conosciute per analizzare le applicazioni sospette, non è in grado di contrastare in alcun modo minacce sconosciute.

Sembra che Intel stesse già lavorando segretamente a questa tecnologia, ancora prima dell’acquisizione di McAfee (che ha da poco ricevuto il semaforo verde da parte della Comunità Europea): questo spiegherebbe il motivo per cui il principale produttore di processori abbia improvvisamente deciso di fare shopping nel supermercato della sicurezza: l’apparente inopinato ingresso del patrimonio tecnologico McAfee tra la proprietà intellettuali del Gigante di Santa Clara avrebbe avuto lo scopo di portare all’interno della tecnologia top secret, ulteriore know-how da parte di uno dei principali produttori di sicurezza anti-malware.

D’altro canto, questo strano matrimonio d’interesse (o meglio d’Intelesse) è sempre stato considerato strategicamente confuso da parte degli analisti, divisi tra una spiegazione riconducibile ad una focalizzazione di Intel nel mondo del mobile con la conseguente realizzazione di soluzioni di sicurezza integrate (per le quali McAfee possiede un portafoglio di soluzioni, frutto di acquisizioni, estremamente evoluto e capillare) ed una spiegazione riconducibile al desiderio di integrare soluzioni di sicurezza all’interno del processore.

In virtù delle nuove rivelazioni, il quadro propenderebbe per una terza ipotesi a metà tra le due precedentemente citate: il colosso di Santa Clara sarebbe già stato al lavoro per una tecnologia di sicurezza rivoluzionaria, basata su hardware, mirata a contrastare le minacce 0-day, e applicabile a qualsiasi tipo di dispositivo inclusi i terminali mobili (Intel stava cioè sviluppando la forma della tecnologia), e avrebbe fornito alla propria tecnologia know-how prezioso acquisendo uno dei principali produttori di soluzioni di sicurezza informatica (ovvero garantendo il contenuto alla propria tecnologia).

In questo scenario, potremmo veramente essere di fronte a una killer application per il panorama della sicurezza informatica, capace di cambiare le regole del gioco, come dicono i suoi creatori, anche se da parte di molti permane il dubbio se un approccio di tipo hardware possa garantire le necessarie dinamicità e flessibilità contro le minacce sconosciute, per contrastare le quali la concorrenza (Symantec, Kaspersky e Trend Micro in primis), utilizza un approccio di classificazione dinamica basato sul cloud al quale vengono inviati i file anomali rilevati dalla propria base di prodotti installata in tutto il globo.

Ad ogni modo i commenti della concorrenza non si sono fatti attendere. Per prima Sophos, tramite un articolo del proprio blog ha laconicamente liquidato la notizia con la battuta:

Intel to eliminate zero-day threats, pigs to fly

Ovvero letteralmente: “Intel sta per eliminare le minacce 0-day, i maiali stanno per volare”. Nel suo articolo il produttore inglese riconosce il possibile interesse per la tecnologa classificandola tuttavia più come una eventuale architettura su cui potranno poggiarsi i sistemi operativi per innalzare il livello di sicurezza, piuttosto che una tecnologia definitiva. Non senza aver acidamente sottolineato l’eccessivo clamore sollevato dall’annuncio, Sophos conclude che alla fine la tecnologia provocherà soltanto qualche emicrania in più agli hacker ma non sarà la panacea contro le minacce sconosciute.

La speranza, comunque, è che l’emicrania venga tolta ai professionisti della sicurezza informatica, che potrebbero avere una freccia in più nel proprio arco e di conseguenza dormire sonni più tranquilli tendendo nel comodino, accanto alle proverbiali tisane tranquillanti, un bel processore Intel.

About these ads

Non C’è Pace Per l’Androide

January 30, 2011 3 comments

Non c’e’ dubbio, le facili previsioni che davano l’Androide al centro dei problemi di sicurezza per il 2011 hanno centrato l’obiettivo.
Non sono passate che poche ore dall’annuncio di un proof of concept per trasformare l’Androide in un telefono zombie e già nel web rimbalzano i cinguettii di una nuova grave vulnerabilità nel browser fornito di default che rende possibile il furto di informazioni sensibili da parte di un malintenzionato.

La vulnerabilità, che interessa l’ultima versione del sistema operativo, la 2.3 caratterizzata dal Pan di Zenzero (Gingerbread), è stata scoperta da Xuxian Jiang, professore presso la North Caroline University, ed è la medesima che era stata scoperta (e apparentemente patchata) a novembre 2010 per l’omino di Yogurt Froyo (Android 2.2) da Thomas Cannon.

Sembra proprio che la patch contenuta nel Pan di Zenzero 2.3 non sia definitiva e possa essere bypassata. Perlomeno questo è quello che è stato provato con un proof-of-concept su un Nexus S (ultimo nato di casa Google), la cui vulnerabilità, opportunamente sfruttata (o exploitata come come si dice in termini tecnici) potrebbe essere sfruttata per rubare dati semplicemente spingendo l’utente ignaro a visitare un link malizioso.

Il ricercatore è riuscito a sfruttare la vulnerabilità sull’androide cavia per:

  • Ottenere la lista delle applicazioni attualmente installate sul telefono;
  • Caricare le applicazioni (installate sulle partizioni /system e /sdcard) verso un server remoto;
  • Leggere e caricare il contenuto di ogni file (incluse foto, messaggi vocali, etc,) contenuta sulla sdcard del terminale..

Google è stata avvisata il 26 gennaio ed ha risposto dopo 10 minuti. Dopo le opportune verifiche ha riconosciuto la vulnerabilità ed ha indicato che verrà sanata non più tardi della prossima major release del sistema operativo.

Ad ogni modo l’attacco, di cui non sono noti attuali exploit, non utilizza i privilegi di root ed è attivo all’interno della sandbox del sistema operativo, per cui è in grado di catturare “solamente” i file della sdcard e pochi altri.

Quando Gli Androidi Diventano Zombie

January 29, 2011 4 comments

Chissà se George Romero possiede uno smartphone Android? Magari il padre dei film di serie B con protagonisti gli Zombie, rimarrebbe incuriosito (e forse un po’ deluso) nel constatare che gli eserciti di esseri affamati di carne umana protagonisti del grande schermo rischiano seriamente di essere sostituiti, nel mondo reale, da meno prosaici eserciti di dispositivi  mobili (Androidi Zombie) affamati di Indirizzi IP da attaccare o Indirizzi di posta elettronica da saturare con messaggi di Spam.

Facciamo un breve salto indietro. Nel commentare le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi.

Un segnale in questa direzione era arrivato alla fine del 2011, dalla terra dei Mandarini, dove aveva fatto la sua comparsa il primo malware mobile con gli occhi a mandorla, Geinimi, avente tutte le potenzial caratteristiche di un trojan bot-like.

Non è passato nemmeno un mese e Georgia Weidman, ricercatrice di sicurezza, ha creato in laboratorio un malware in grado di prendere il controllo remoto di un Androide e comandarlo tramite SMS (rigorosamente autocancellanti). Le istruzioni che è possibile impartire remotamente includono (ma non si limitano a) l’invio di messaggi (di posta elettronica e SMS) di Spam, la partecipazione in attacchi di tipo DDoS o anche il semplice degrado delle comunicazioni. Il tutto finalizzato alla creazione di un esercito agguerrito di Androidi al soldo del Cybercriminale di turno.

I risultati dello studio stann0 per essere presentati alla Shmoocon in corso a Washington (per la precisione domenica 30 gennaio alle ore 12:00 locali). Per ora non sono noti molti particolari se non che l’azione nefanda del malware si manifesta mediante un rootkit da installare sul terminale mobile che agisce come proxy tra il modem GSM e il livello applicativo, rendendo i messaggi di comando  e le azioni eseguite trasparenti all’utente (presumibilmente fino alla prossima bolletta). In laboratorio è stata creata una mini botnet con tre differenti modelli di Androidi, ma l’autrice promette di rilasciare, durante il suo speech, codice di esempio per altre piattaforme.

Ovviamente il potere processivo di un terminale mobile, per quanto notevole, non è confrontabile con quello di una postazione fissa tradizionale; tuttavia due fattori giocano a favore delle botnet mobili: la rapida diffusione dei terminali (Gartner prevedeva, entro la fine del 2010, 1.2 miliardi di terminali in grado di offire una elevata esperienza di accesso ad Internet) e soprattutto il fatto che i modelli di comportamento di una botnet all’interno della rete di un operatore (diversamente dalle botnet tradizionali che proliferano su Internet) non sono prevedibili e soprattutto consentono un migliore mascheramento dei terminali compromessi (gli zombie virtuali) origini degli attacchi.

Allo stato attuale non è noto l’aspetto a mio avviso più importante di tutta la questione, ovvero se il malware necessiti o  meno dei permessi di root per agire (ma presumibilmente si tratta di attendere solo qualche ora per avere la risposta). Anche se, come più volte ribadito, la prima barriera di sicurezza è rappresentata dall’utente a cui si demanda la responsabilità e la verifica delle applicazioni che si installano; certo è che nel caso in cui il malware non abbia necessità dei permessi di root (operazione a quasi esclusivo appannaggio degli “smanettoni” e quindi meno probabile per una utenza responsabile), la probabilità di diffusione, e di conseguenza l’impatto della minaccia, sarebbe notevolmente superiore.

In ogni caso, se le botnet mobili fossero realmente in grado di diffondersi, sarebbe drammaticamente evidenziata la necessità di un nuovo modello di sicurezza per gli operatori mobili: come noto all’interno della big Internet i grandi carrier collaborano per il controllo su scala globale degli attacchi di tipo DDoS, tuttavia sino ad oggi una tale esigenza non è mai stata sentita per le reti mobili dove probabilmente sarebbe più complesso adottare un modello di controllo globale considerata la frammentazione delle reti e le diverse modalità di accesso delle singole reti mobili nella Big Internet.

Nei famigerati anni 80 qualcuno sosteneva che un miliardo di cinesi che saltassero contemporaneamente sarebbero stati in grado di perturbare la rotazione dell’asse terrestre. Cosa succederebbe oggi se milioni di dispositivi facessero squillassero contemporaneamente?

Cybereventi Di Guerra

January 28, 2011 Leave a comment

In un recente articolo ho commentato uno studio dell’OCSE secondo il quale le probabilità di una Cyberwar sono piuttosto basse,  se non in combinazione di eventi particolarmente catastrofici su scala planetaria.

In realtà la tesi non è nuova, ed era già stata portata alla ribalta, con termini ancora più espliciti (la Cyberguerra altro non è che una montatura e le probabilità non sono superiori a quelle di una invasione terrestre), dal noto guru e security evangelist Bruce Scneier.

Già proprio così, sembra proprio che dovremo rassegnarci a confinare esclusivalmente al grande schermo le scacchiere mondiali in cui i Cyber Eserciti si combattono a colpi di bit. Però una curiosità rimane: cosa significa  in termini pratici che una Cyberguerra avrebbe conseguenze su scala globale solamente in concomitanza di altri eventi? E quali sarebbero gli impatti?

Ci sono tante domane irrisolte anche in una vita breve come la vostra

recitava David Lo Pan, il cattivo dello splendido quanto incompreso Grosso Guaio a Chinatown.

Fortunatamente non è il nostro caso, poiché all’interno del rapporto dell’OCSE si trova una curiosa tabella in cui gli autori hanno provato ad ipotizzare diversi scenari caratterizzati da Cyber eventi, e le relative conseguenze. Di seguito un riassunto, da me rielabolato, dal quale si decuce che gli eventi con maggiore impatto sono quelli in concomitanza con pandemie umane e bancarie.

Tabella 1: Conseguenza di una compromissione dell’infrastruttura Internet

Tabelle 2, 3 e 4: Impatto di eventi Cyber-relati in concomitanza con eventi macroscopici

L’impatto della Pandemia umana agisce come catalizzatore della Cyber Minaccia per via del minore numero di risorse sane in grado di gestire l’evento. Per contro l’effetto di cyber-eventi potrebbero essere particolarmente devastanti in presenza di una pandemia bancaria, o meglio una crisi finanziaria, acuendo il disagio sociale e l’impossibilità per governi e singoli individui di accedere, ad esempio, ai propri depositi (una interpretazione questa un po’ forzata).

Nel caso di altri eventi naturali su scala globale, sino ad oggi le infrastrutture si sono sempre riprese in tempi relativamente brevi.

Previsioni Di Sicurezza 2011: 6 Produttori A Confronto (Aggiornamento)

January 26, 2011 8 comments

Dopo aver esaminato le previsioni 2011 di Sophos e Cisco, ho pensato di ampliare la griglia di confronto redatta in un post precedente, includendo le previsioni degli ultimi due arrivati. Il quadro che ne risulta conferma che, alla domanda secca: “Quale sarà la maggiore fonte di preoccupazione per gli IT Manager del 2011?”  La risposta è sicuramente una: “Il Mobile!“. L’emicrania da minaccia mobile raccoglie difatti la preferenza di 5 produttori su 6 e il 2011 ci rivelerà se la moda del mobile ha contagiato anche il mondo della sicurezza informatica, oppure se le mele con il jailbaco o gli Androidi dirootati (con le insonnie che ne derivano per gli IT Manager) sono una conseguenza del processo di consumerization dell’IT (ovvero la tendenza ad utilizzare tecnologie provenienti dal mondo consumer e quindi prive nativamente delle caratteristiche di sicurezzza ,e non solo, necessarie per un uso professionale).

Nelle preferenze dei produttori analizzati, seguono a ruota gli Advanced Persistent Threat, Hactivism e Social Media che raccolgono le preferenze di 4 brand sui 6 presi in esame, mentre le altre tipologie di minacce appaiono estremamente frammentate.

Per confrontare correttamente le previsioni occorre considerare il fatto che i produttori esaminati non sono perfettament omogenei tra loro: se da un lato Kaspersky, Sophos ,Symantec e Trend Micro sono vendor focalizzati principalmente sulla sicurezza dell’Endpoint, McAfee rappresenta una via di mezzo (nato dall’Endpoint ha progressivamente ampliato la propria offerta sino a coprire anche la sicurezza di rete), mentre Cisco appare fortemente orientato alla sicurezza di rete. La diversa natura si riflette anche da una diversa impostazione dei report: le previsioni di Cisco e McAfee si basano sulla raccolta di dati da parte della propria rete di sensori, le previsioni di Sophos e Trend sulla raccolta di dati dei propri laboratori che analizzano minacce provenienti dagli endpoint (pertanto le previsiono dei produttori appena citati prendono spunto da eventi e trend del 2010), mentre le previsioni di Symantec e Kaspersky appaiono (soprattutto nel secondo caso) piuttosto visionarie come impostazione.

La diversa prospettiva di analisi (ed in sostanza le diverse strategie dei produttori) si riflettono anche sui risultati della griglia comparativa: le previsioni di Sophos abbracciano una vasta gamma di minacce e sono assimilabili ad una sorta di sintesi tra le previsioni di McAfee e Trend Micro; mentre le previsioni di Cisco appaiono molto vicine a quelle di McAfee (Cisco non cita direttamente le vulnerabilità di Apple poiché le annega all’interno dei sistemi operativi), verosimilimente perché le previsioni dei Cisco Security Intelligence e McAfee Global Labs sono basate sui dati raccolti dalla propria rete di sensori (approccio simile, ciascuno con le proprie tecnologie).

Symantec costituisce il vendor che ha fornito maggiore evidenza dei problemi di sicurezza del cloud e delle infrastrutture virtualizzate (probabile eredità ed influenza di Veritas), mentre Kaspersky appare piuttosto visionaria nelle sue previsioni.

Ultima considerazione: il mobile non registra l’en plein tra le previsioni poiché non figura tra le previsioni del solo Kaspersky. Il motivo? Il produttore Russo aveva inserito il mobile malware tra le previsioni dell’anno passato (e non a caso è stato il primo a scoprire un malware per l’Androide ad Agosto 2010).

Il 2011 Secondo Cisco: Beware of The Social Network

January 25, 2011 6 comments

E’ stato da poco pubblicato il report Cisco relativo ai trend di sicurezza del 2010 e contenente le previsioni per il 2011. Rispetto alle previsioni analizzate sino ad ora (a cui si sono recentemente aggiunte le previsioni di Sophos), il report Cisco offre una interessante lettura dell’anno passato e delinea gli scenari di sicurezza per l’anno appena entrato dalla prospettiva di chi possiede una offerta di sicurezza network-centrica (la rete per il colosso californiano costituisce l’intelligenza sopra la quale vengono costruiti tutti i servizi della propria offerta), il cui approccio differisce notevolmente da quello dei colossi sino ad ora analizzati. Questi ultimi difatti (con la parziale eccezione di McAfee nato dall’endpoint ma estesosi successivamente verso tutti i settori tramite acquisizioni strategiche) pongono l’endpoint al centro della propria offerta.

Il report di Cisco nasce dall’immane quantità di dati raccolti dalla rete di sensori sparsa nel mare di bit che si estende attraverso i cinque continenti e che sono stati analizzati dal proprio Centro di Security Intelligence Operations.

Ecco le minacce per il 2011 evidenziate dal colosso di San Jose:

Network sempre più Social (soprattutto per il malware)

Ormai sembra un refain immancabile (ma non è il solo) quando si parla di sicurezza informatica). Anche a detta del brand californiano, il Social Network sarà, nel corso del 2011, sotto i poco ambiti riflettori dei malintenzionati. Purtroppo si concretizzerà il fenomeno che Cisco ha definito “Exploitation Of Trust“, ovvero lo sfruttamento della relazione di fiducia che si crea tra individui collegati all’interno di un social network (di tipo personale o professionale) come veicolo di malware o altri mezzi per compiere atti illeciti.

Il motivo è presto detto: da un lato il Social Network consente di raggiungere contemporaneamente molteplici utenti in tempo quasi reale, dall’altro la filosofia del social network richiede che le amicizie (o i contatti) siano esplicitamente accettati, creando una relazione di fiducia tra gli utenti che costituisce il vettore che i malintenzionati sono interessati ad utilizzare per la diffusione dei propri  fini illeciti (mediante spam, malware, etc.).

Un malware o una frode propagati tramite Social Network hanno maggiore probabilità di riuscita (e un impatto più devastante in un minor intervallo temporale) sia per i famosi sei gradi di separazione che consentono una rapida propagazione, sia perché un messaggio (vettore di contenuto malevolo) proveniente da una persona “fidata” (a sua volta vittima) ha già superato il naturale muro di precauzione e diffidenza (già troppo basso in condizioni normali) che costituisce la prima forma di difesa di ciascuno (mai dimenticare che la sicurezza informatica  di ogni individuo comincia dal proprio comportamento sociale)

Se a questo si aggiungono le ulteriori complicazioni:

  • Il social network costituisce una vetrina, per cui le “difese naturali”  dei  contatti sono ulteriormente abbassate (e chi costruisce malware tende a sfruttare atteggiamenti e debolezze di chi si mette in vetrina e segue pedissequamente l’equazione: più contatti = più visibilità);
  • La nota allergia per la privacy (soprattutto da parte di Facebook) che rende possibile ad una applicazione malevola la lettura dei dati personali da un profilo vittima.

Si deduce come nel corso del 2011 dovremo abituarci alle infezioni provenienti dal Social Network, sulla falsa riga di Koobface. Come fare per difendersi? Educazione all’utilizzo del Social Network, mantenimento di un atteggiamento circospetto e ricordarsi che:

If it sounds too good to be true, it probably is

APT

Le minacce di tipo Advanced Persistent Threat, subiranno una metamorfosi nel corso del 2011, diventando sempre più specifiche e soprattutto costruite per scopi ben precisi (ad esempio per rubare informazioni) e con uso massiccio delle vulnerabilità 0-day. Inutile ribadire che anche le minacce APT “trarranno giovamento “dell’involontario supporto infrastrutturale del Social Network per aumentare il livello di diffusione.

Vulnerabilità

Gli exploit di vulnerabilità applicative (soprattutto da parte di Java e PDF) sono destinate a confermare il proprio peso nel corso del 2011. Curiosamente, il colosso di San Jose ritiene che Java turberà maggiormente i sogni degli IT Manager a causa di tre caratteristiche insite nella natura del linguaggio:

  • Java è evasivo: il metodo più affidabile di rilevazione per gli exploit java consiste nel farli girare in una macchina virtuale, ma questo è estremamente intenso dal punto di vista dell’utilizzo delle risorse;
  • Java è pervasivo: spesso il linguaggio SUN Oracle gira in background e questo rende più difficile identificare eventuali comportamenti illeciti da parte di applicazioni Java;
  • Java è invasivo: la natura multipiattaforma del linguaggio che ha costituito la forza per la sua diffusione, ha costituisce anche una sgradita leva per la diffusione del malware che può propagarsi rapidamente tra architetture differenti.

Curiosamente, la previsione è suffragata dai dati raccolti dal proprio Centro di Intelligenza secondo il quale Java si è piazzato al primo posto della poco ambita classifica relativa alla tipologia di Web Malware maggiormente bloccata dal proprio servizio Scansafe, con il 7%, seguito da PDF (in calo) e Flash, relativamente con il 2% e l’1%.

Dispositivi Mobili e Mai Sicuri

Immancabile, anche nelle previsioni del Colosso di San Jose, la presenza delle piattaforme mobili tra gli obiettivi 2011 dei malintenzionati. L’Androide e il Sistema Operativo della Mela saranno i più colpiti dalle infezioni informatiche, sia perché, a detta di Cisco, i sistemi operativi standard hanno raggiunto uno standard di sicurezza elevato che sta spingendo i creatori di malware verso questi siti mobili, sia perché la maggiore attenzione del mondo enterprise verso questi dispositivi li rende una fonte importante di informazioni (e guadagni diretti e indiretti) in caso di compromissione. Come prevedibile le applicazioni (soprattutto se scaricate da Store paralleli) saranno il vettore di infezione privilegiato, mentre le precauzioni rimangono le stesse indicate dagli altri produttori: occhio alla mela con il jailbaco e all’Androide dirootato che aumentano notevolmente le probabilità di una infezione, occhio inoltre ai permessi quando si installano le applicazioni (perché un lettore multimediale dovrebbe accedere agi SMS?). Tra le precauzioni da adottare nel 2011 per i dispositivi mobili anche il ricorso a tecnologie di virtualizzazione che consentiranno di rinnovare il focus su tecnologie di DLP per questi dispositivi.

Da notare come la rete di sensori Cisco abbia rilevato nel corso del 2011 un picco delle vulnerabilità rivolte verso il mondo Apple.

Botnet e Hacktivism

Sebbene Cisco abbia osservato, nel corso del 2010, una leggera riduzione del numero di macchine compromesse (estremamente più diffuse in ambito consumer che in ambito enterprise) si assisterà nel corso del 2011 ad un aumento dello schema di utilizzo delle Botnet, sempre meno per “semplice SPAM” (in diminuzione nel 2011) e sempre più per scopi politici (sulla falsa riga di quanto accaduto nell’affaire Wikileaks) o per mere questioni economiche (ad esempio per la diffusione di spyware per il furto di dati sensibili). Non manca ovviamente il riferimento a Stuxnet (vincitore del premio Evil Award 2010), come esempio di nuova minaccia concepita per scopi politici e aventi obiettivi delimitati e ben definiti.

E’ importante notare come il Colosso di San Jose auspichi iniziative congiunte dei governi per affrontare la nuova emergenza del Cibercrimine, augurandosi nel contempo che la frammentazione delle normative tra i vari paesi non sia un ostacolo per la diffusione delle tecnologie di protezione.

Conclusioni

Anche secondo Cisco nel 2011 saranno in bella (si fa per dire) vista le minacce rivolte al Social Network e al mondo mobile. Il riferimento a Stuxnet, in questo caso indicato come capostipite di una nuova famiglia di minacce informatiche organizzate, non manca mai. Curiosa, anche in questo caso, l’assenza di minacce rivolte alle infrastrutture virtuali.

Previsioni di Sicurezza 2011: Il turno di Sophos

January 23, 2011 3 comments

Confrontando le previsioni per il 2011 da parte dei principali produttori di sicurezza per l’Endpoint (Symantec, Mcafee, Trend Micro e Kaspersky) avevo evidenziato l’indisponibilità di analoghe predizioni da parte di Sophos, produttore di sicurezza inglese focalizzato su endpoint e protezione perimetrale considerato uno dei leader tecnologici e punto di riferimento assieme alle tecnologie già citate (per la cronaca Symantec, McAfee, Trend Micro e Sophos occupano ormai da alcuni anni posizioni di leadership nel Quadrante Magico di Gartner mentre Kaspersky, tra gli outsider, è la tecnologia che ha registrato la crescita maggiore).

Finalmente il gruppo è completo dal momento che sono da poco state rilasciate le previsioni di Sophos, previsioni che vale la pena analizzare per aggiungere un ulteriore punto di vista alla poco ambita hit parade delle minacce informatiche che turberanno il sonno dei professioni di sicurezza e degli utento nel corso del 2011.

In realtà l’analisi di Sophos prende spunto da quelle che sono state le principali minacce nel 2010 proiettandone l’impatto in ottica 2011, e per questa impostazione si discosta leggermente dalle previsioni degli altri produttori; nonostante le differenze di impostazione è comunque possibile estrapolare quelle che avranno l’impatto maggiore nel corso dell’anno da poco entrato, secondo le indicazioni del produttore di Sua Maestà.

Il 2010 si è chiuso con un impatto elevato da parte di:

  • Falso Software Antivirus, di cui si sono registrate nel corso dell’anno passato, oltre mezzo milione (!!) di varianti;
  • L’utilizzo di tecniche di marketing e ottimizzazione dei motori di ricerca (SEO Search Engine Optimization) per “avvelenare” le ricerche, ovvero fare in modo che i siti malevoli scalino le posizioni nell’ambito dei risultati, aumentando implicitamente la probabilità che utenti inconsapevoli approdino verso siti malevoli;
  • L’utilizzo di tecniche di “ingegneria sociale” all’interno del “social network”. Un aspetto questo che lega indissolubilmente aspetti tecnologici e aspetti sociali e umani (curiosità, debolezze dei singoli) di cui sono vittima gli utenti con meno esperienza (tecnologica ed emotiva) che, seguendo un semplice link, finiscono con l’essere infettati da trojan, o ad inserire i propri dati personali in falsi form, preda di malintenzionati. La piaga è talmente diffusa che è stata coniata una apposita minaccia definita Likejacking che unisce i termini Like (il classico badge con cui gli utenti mostrano il proprio apprezzamento a post e contenuti) e Hijacking usato per indicare i dirottamenti (reali e virtuali come in questo caso).
  • Lo Spam ha continuato ad imperversare anche nel corso dell’anno passato (il report cita il fatto che nei soli Stati Uniti 36 milioni di utenti abbiano comprato medicinali da siti offshore) eludendo i controlli della temibile FDA. Va tuttavia aggiunto il fatto che secondo la ricerca lo spam ha leggermente cambiato forma, privilegiando di veicolare gli utenti verso siti dove è possibile scaricare malware piuttosto che verso improbabili store (dove comunque spesso gli utenti rimangono vittima di truffe successive da parte di falsi agenti FDA).
  • Stuxnet: come poteva mancare il fenomeno informatico dell’anno? Ovviamente anche il produttore anglosassone evidenzia il suo impatto, anche se, in maniera un po’ controcorrente, evidenzia maggiormente l’impatto mediatico rispetto a quello informatico.

Nel corso del 2011, secondo Sophos dovremo invece preoccuparci di:

Debolezza delle Password

Questo aspetto è principalmente umano, piuttosto che tecnologico, ma rischia nel 2011 di avere conseguenze ancora più nefaste rispetto all’anno precedente a causa del sempre maggiore numero di servizi on-line a cui gli utenti si affidano, e alla sempre minore cura nella scelta e nella gestione delle password che spesso sono le stesse per tutti i servizi, deboli e non cambiate da tempi immemorabili. La conseguenza, secondo il produttore blu è presto detta: la debolezza delle password costituisce un rischio maggiore per il furto di identità rispetto al phishing o allo spyware. La soluzione? Una rigorosa politica di controllo (AUP) per tutti gli utenti! Anche perché spesso dove non arrivano gli utenti arrivano i provider che dovrebbero tenere le credenziali al sicuro e sono invece vittime di imbarazzanti incidenti (come nel caso di Gawker rimasto vittima nel 2010 del furto di 1.3 milioni di account.

Mobile e Tablet

I produttori di solito, soprattutto se concorrenti, sono in disaccordo su tutto. Ma se c’è un argomento sul quale, come per miracolo, quasi non esistono divergenze, è proprio la centralità del mondo mobile nelle problematiche di sicurezza per il 2011. Prendendo in esame i diversi sistemi operativi si deduce, nelle previsioni di Sophos, una certa affinità, con le affermazioni a Bloomberg di Steve Chang, presidente di Trend Micro, da cui si deduce una maggiore sicurezza per il sistema operativo per la Mela piuttosto che per l’Androide, fondamentalmente per il maggiore controllo (walled garden) a cui Cupertino sottopone le applicazioni per i propri dispositivi prima di inserirle nell’App Store, e per la natura Open Source del gioiello di casa Page e Brin). Nel report si prendono in esame anche Windophs Phone 7 e RIM (la piattaforma per antonomasia del mondo Enterprise). Ma mentre nel primo caso i problemi di sicurezza provengono soprattutto dalla tendenza da parte del colosso di Redmond di privilegiare la funzionalità rispetto alla sicurezza, nel secondo caso i problemi potrebbero inconsapevolmente provenire prorprio dai governi che stanno chiedendo a RIM di ammorbidire la propria politica di cifratura end-to-end e NOC-Centrica per consentire l’ottemperanza alla legislazione anti terrorismo. Da notare che il povero Symbian occupa posizioni di rincalzo anche in questa classifica, ormai preda dei cracker solo per la maggiore diffusione del sistema.

Un aspetto però deve essere tenuto in considerazione: indipendentemente dalla piattaforma, i sistemi operativi mobili nascono con controlli di sicurezza preventivi (controlli di qualità per l’inclusione negli store) e “consuntivi” (accessi regolati delle applicazioni alle risorse hardware e software del dispositivo). Ad oggi, soprattutto per  la Mela e per l’Androide, tutti i malware mobili riscontrati affliggono dispositivi jailbreakati o rootati e trovano terreno fertile nella scarsa attenzione degli utenti che utilizzano store paralleli e ignorano i permessi di accesso delle applicazioni durante l’installazione.

In questa categoria rientrano anche i Tablet, destinati ad assumere sempre maggiore diffusione nel 2011 anche in ambito corporate.

Social Network

Ovviamente le previsioni di Sophos confermano la maggiore “sensibilità” dei malintenzionati ad utilizzare il social network come mezzo di diffusione del malware, sia perché ormai i diversi siti (Facebook e Twitter in primis) sono ampiamente popolati sia per scopi personali che professionali (si stimano oltre 500 milioni di utenti per la creatura di Zuckerberg con buona pace del suo conto in banca). A detta del produttore in blu, le falle del Social Network si concentrano su:

  • Applicazioni, dove, secondo un sondaggio condotto su 600, il 95% degli utenti di Facebook auspica una maggiore attenzione verso la sicurezza, auspicando un modello di controllo walled garden (giardino recintato) sulla falsa riga di quello adottato da Cupertino per il proprio App Store. Queste misure andrebbero unite ad una maggiore consapevolezza degli utenti verso i permessi delle applicazioni e ad un maggiore controllo sulle stesse;
  • Impostazioni di privacy, vera spina nel fianco del social network Facebook, dove oltre il 76% del campione del sondaggio citato al punto precedente, dichiara che lascerebbe il sito in caso di problemi di privacy;
  • Infrastrutture Sicure: il Caso di Twitter ha portato alla ribalta gli effetti derivanti dalla presenza di bachi nelle applicazioni server dei Social Network, e per questo motivo il produttore inglese auspica maggiore sicurezza (e maggiore attenzione degli utenti) in questo campo.

Software

Ormai le postazioni di lavoro sono diventate un coacervo di applicazioni, tutte fondamentali per svolgere le proprie attività e tutte potenziali vettori di vulnerabilità. Il 2010 è stato l’anno delle vulnerabilità di Adobe (i suoi PDF e Flash sono ormai la base di qualsiasi attività produttiva). Basta dare una occhiata a questa classifica di metà 2010 relativa alle vulnerabilità più sfruttate per rendersi conto dell’impatto delle applicazioni nei problemi di sicurezza (e quante di queste ogni utente utilizza ogni giorno: Internet Explorer, Adobe Reader, Real Player, c’è n’è veramente per tutti i gusti.

Media Rimovibili

Nelle valutazioni di Sophos figurano anche i media rimovibili come vettori di infezione. Il caso di Stuxnet insegna come anche i mezzi più tradizionali e bistrattati non vadano sottovalutati (soprattutto come vettori iniziali di infezione per le postazioni non connesse ad Internet).

Sistemi Operativi

Windows 7 sta ampiamente guadagnando consensi tra gli utenti e, secondo le previsioni condivisibili di Sophos,  tra gli autori di malware, che concentreranno i propri sforzi verso questo sistema operativo. Ovviamente gli sforzi sono direttamente proporzionali alla diffusione dell’OS e pertanto destinati a crescere ulteriormente nel corso del 2011 proporzionalmente all’incremento delle quote di mercato dell’ultimo nato di casa Redmond.

Per quanto riguarda gli utenti della Mela, sino ad oggi questi hanno sempre vissuto circondati da un (falso) senso di sicurezza derivante dal nobile lignaggio UNIX del sistema operativo. In realtà la sicurezza deriva dalla minore attenzione dei malintenzionati come conseguenza della minore diffusione in ambito corporate del Mac OS e quindi, in proporzione, dal minor numero di infezioni. Naturalmente il trend di crescita del sistema operativo della Mela in ambito corporate causerà, con tutta probabilità, un incremento delle infezioni informatiche per questo sistema operativo nel 2011. Poiché l’aumento di infezioni è drasticamente facilitato dal comportamento irresponsabile degli utenti nell’installare software senza verificarne attentamente origine e provenienza, Apple è corsa ai ripari mediante la recente creazione dell’App Store anche per il sistema operativo Mac OS, in cui le applicazioni sono sottoposte al controllo di qualità.

Minacce Veicolate dai Server Web

Le minacce diffuse mediante navigazione Web rimarranno nel corso del 2011 una delle principali fonti di infezione. Queste minacce sono veicolate ad insaputa degli amministratori perché nascoste, ad esempio, su link pubblicitari gestiti all’esterno apparentemente legittimi. Le categorie di minacce veicolate tramite Web, identificate dal produttore anglosassone sono le seguenti:

  • Malvertising: Pubblicità di falsi prodotti (ad esempio i fake antivirus citati in precedenza) che spingono l’utente ad installare software per ottimizzare le prestazioni o curare infezioni informatiche, che si rivelano in realtà essere trojan o malware di altro tipo.
  • Siti Web Compromessi: Sophos stima che ogni giorno ci siano 30.000 siti malevoli, il 70% di questi sono siti legittimi compromessi. Questa tendenza purtroppo verrà confermata nel corso del 2011.

Email Spam

Lo spam rimarrà un mezzo di diffusione delle infezioni anche nel 2011 (in questo senso un previsione analoga era stata redatta anche da Trend Micro).

Vulnerabilità 0-day

Sophos prevede per il 2011 un ulteriore incremento di malware che farà uso di vulnerabilità 0-day.

Cybercrime

In questa area le previsioni di Sophos sono allineate a quelle degli altri produttori, ponendo il problema su due piani: un piano prettamente politico (come nei casi di Operation Aurora e Wikileaks) ed un piano prettamente enterprise, ovvero il Cybercrime verrà utilizzato sempre di più per rubare informazioni da utilizzare direttamente o da vendere al miglior offerente.

In conclusione

Anche nel caso di questo produttore viene confermato, nel 2011, il ruolo centrale di Mobile e Social Networking per quanto riguarda le problematiche di sicurezza. In particolare la continua attenzione verso il Social Networking, ribadita da questo produttore, evidenzia la necessità di un nuovo modello di sicurezza e salvaguardia dei dati. Stupisce, tra i fattori evidenziati, l’assenza del cloud (direttamente o indirettamente – è di questi giorni la notizia dell’utilizzo del servizio cloud di Amazon da parte di un hacker tedesco per decifrare la password WPA del proprio vicino di casa), mentre viene evidenzato, come nel caso di Trend Micro, il ruolo dello Spam e dei siti Web compromessi per la distribuzione del malware.

Follow

Get every new post delivered to your Inbox.

Join 2,974 other followers