About these ads

Archive

Posts Tagged ‘Cyberwar’

Middle East Cyber War Timeline Part III

February 4, 2012 4 comments

Jan 22: Middle East Cyber War Timeline Part I

Jan 29: Middle East Cyber War Timeline Part II

Feb 12: Middle East Cyber War Timeline Part IV

The more  I look inside the Middle East Cyber War between Israel and the Arab Hackers, the more I realize that it follows exactly the same shape than the real conflict.

In particular this last week has seen a strong reduction of the cyber events between the involved parties, although it is not clear if this was due to stronger cyber defenses enforced, or it was rather a kind of “calm before the storm”.

Among the reported events I considered particularly meaningful the attack of InLightPress, a Palestinian news website, of whom I did not find any other report except the one quoted in the Infographic which comes from a Pro-Israeli Website (this is the reason why this event must be considered with the necessary caution). Maybe it is not directly related to the Middle East Cyber War, anyway it looks like this attack was not originated by Israeli hackers, but had rather been “commissioned” by the Palestinian Authority. In the real world political parties or movement have different wings (typically hawks and doves), it looks like this is true for the cyber world as well. On the other hand, some believe that also the attack carried on last week against the Israeli newspaper Haaretz, considered close to Pro-Palestinian movements, has an internal origin, that maybe explains the subsequent excuses by the alleged authors of the attack (BTW at the above link there is an interesting list of the hack published in pastebin by the Israeli Hackers).

Do you believe the descending trend of the cyber events will be confirmed in the next period, or it is rather a temporary cyber truce before the digital storm?

Read more…

About these ads

Beware Of The Red Dragon

December 7, 2011 Leave a comment

I have dedicated several posts to NG-IPS, the next step of the evolution in network security (or better to say context security). I have pointed out that one of the main features of this kind of devices is the capability to enforce Location Based security services. Now it is time to make some practical examples indicating how Geo Protection features may be helpful and why they are needed in this troubled days.

Few days ago I had the opportunity to analyze the data collected from a network security equipment, placed at the perimeter of an important Italian customer, with IPS engine turned on and Geo Protection feature enabled. I show here a brief summary of the collected data, that span approximatively a thirty days period ranging from 1 to 27 November 2011.

As you may easily notice, collected data show Geo Protection events undoubtedly at number one with 713,117 occurences. The enforced Geo Protection Policy blocked traffic from and to several “bad countries”. Just try to Guess which country was detected by the Geo Protection Policy with the highest rate of attacks? The top attack source report contains the answer to this question, but if yoy want I can suggest you a quick hint: one of the countries which appeared in the unwelcomed list of Geo Protection Policy was just China.

The top 5 attack sources generated together nearly 150,000 events. I was not that surprised when I looked up the IP Addresses (which I did not explicitly report on the graph) and realized that all of them came from China. These addresses were blocked a priori by Geo Protection.

The tabular report is also more explicit: 9 out of  10 sources at the top for the number of attacks, came from China whilst 1 was shown to be an internal address (revealed to be a misconfigured device generating bogus events). Together the 9 top sources generated nearly 260,000 on a total of 800,000 events collected from nearly 90,000 addresses.

As far as the impacted services are concerned, traditional protocols ranked at the first positions of the chart with some strange occurrences (TCP/0 or UDP/0 that might mean malformed packets or also the attempt to exploit old attacks targeting security devices). It is worthwhile to notice the presence of the well-known TCP port 1433 (MS-SQL).

Of course the attempts to exploit Microsoft Ports and (maybe) to harvest the network were detected by the geo protection engine as shown in the following table.

While I was analysing these data I could not help but think to the recent post by Brian Kerbs suggesting that the same attack perpetrated against RSA targeted more than 760 other organizations (almost 20 percent of the current Fortune 100 companies were on the alleged list). The same post indicated that the location of 299 (on more than 300) command and control networks used in these attacks were located in China.

Besides some concern regarding the Chinese Cyber Strategy, the parallelism suggested me that Geo Protection might provide a valuable support for thwarting APTs or, more in general, for thwarting attacks phoning home to C&C Server located in “bad” countries, provided that Geo Protection Service Database is constantly updated. Unfortunately I am afraid that attackers will not take so long to learn and enforce some workarounds using (un)secure compromised C&C servers in “good” (i.e. not classified by the Geo Protection) countries. In any case Geo Protection cannot be considered the only cure, but at the end this is the reason why NG-IPS are capable to enforce different algorithms to provide a context base security model.

Related articles

Back to The Future of Stuxnet

October 19, 2011 4 comments

While the U.S. and U.K. are debating whether to use Cyberwarfare, someone, somewhere, has decided not to waste further time and has anticipated them, developing what appears to be a precursor of Stuxnet 2.0. In a blog post, Symantec explains how it came across the first samples of the malware thanks to a research lab with strong international connections, which, on October 14 2011, alerted the security firm to a sample that appeared to be very similar to Stuxnet.

The brand new threat has been dubbed “Duqu” [dyü-kyü] because it creates files with the file name prefix “~DQ”, and has been discovered in some computer systems located in the Old Continent. After receiving and analyzing the samples, Symantec has been able to confirm that parts of Duqu are nearly identical to Stuxnet, but with a completely different purpose.

Unlike its infamous predecessor Duqu does not target ICS but rather appears to be a RAT developed from the Stuxnet Source Code, whose main features may be summarized as follows (a detailed report is available here):

  • The executables [...] appear to have been developed since the last Stuxnet file was recovered.
  • The executables are designed to capture information such as keystrokes and system information.
  • Current analysis shows no code related to industrial control systems, exploits, or self-replication.
  • The executables have been found in a limited number of organizations, including those involved in the manufacturing of industrial control systems.
  • The exfiltrated data may be used to enable a future Stuxnet-like attack.
  • Two variants were recovered [...], the first recording of one of the binaries was on September 1, 2011. However, based on file compile times, attacks using these variants may have been conducted as early as December 2010.

Of course this event rises inevitably many security questions: although cyberwar is actually little more than a concept, cyber weapons are a consolidated reality, besides it is not clear if Duqu has been developed by the same authors of Stuxnet, or worst by someone else with access to the source code of the cyber biblical plague (and who knows how many other fingers in this moment will be coding new threats from the same source code).

Anyway one particular is really intriguing: only yesterday the DHS issued a Bulletin warning about Anonymous Threat to Industrial Control Systems (ICS), not event 24 hours after the statement a new (potential) threat for ICS appears in the wild… Only a coincidence?

Cyberwar, Il Quinto Dominio Della Guerra

September 24, 2011 1 comment

Le Cyberwar sono state definite il quinto dominio della guerra. Ma se doveste spiegare in parole semplici a cosa corrisponde una Cyberwar come la definireste? In queste slide divulgative, redatte in occasione di un convegno al quale sono stato invitato, ho cercato di inserire la mia personalissima risposta con gli esempi più famosi del 2011 e alcuni collegamenti, apparentemente improbabili, alla vita di tutti i giorni.

Le slide non sono tecniche e qualche purista storcerà sicuramente il naso. Per chi volesse approfondire tutto il materiale è reperibile all’interno del blog sotto i tag Stuxnet, RSA, e naturalmente all’interno del Master Index relativo agli attacchi informatici del 2011.

Visto il tempo (e lo spazio) a disposizione nelle slide non sono citati gli esempi di Operation Aurora e Shady RAT. Alla fine la sostanza non cambia: entrambi rimangono comunque esempi degni di nota (anche se il secondo è ancora argomento di controversia).

Per ulteriori dettagli sulle altre vittime illustri (Fondo Monetario, ONU, etc.) il punto di riferimento è sicuramente il Master Index.

Buona Lettura.

AnonPlus Hacked (Again) by Syrian Group

July 24, 2011 8 comments

Update August 9: Anonplus defaced once again by Syrian Hackers!

There is no peace for AnonPlus the alternative Social Network established by the Infamous Hacking Group. Only a couple of days after the defacement made by a Turkish Hacking Group, Anonplus, the alternative Social Network established by Anonymous after their account was banned from Google+ has been defaced again by a couple of Syrian Hackers (Th3 Pr0 & SaQeR Syria) in name of the Syrian Electronic Army:

A group of enthusiastic Syrian youths who could not stay passive towards the massive distortion of facts about the recent uprising in Syria, and this distortion is carried out by many Facebook pages that deliberately work to spread hatred and sectarian intolerance between the peoples of Syria to fuel the uprising.

In this moment, Surfing to Anonplus, returns the following page:

Which contains a link to a Facebook Page backing the Syrian Regime (in opposition to the Syrian Revolution Facebook Page).

Clearly the numerous Anonymous hactivism campaings nare attracting the unwelcome attentions not only by police squads of all five continents, but also from rival hacking grouops divided by ideological barriers.

As a matter of fact, at the beginning of July, Anonymous performed some DDoS attacks against Syrian Embassies all around the world as part of their Operation Syria. A similar action, Operation Turkey was declared at the beginning of June, which probably explain the above quoted previous defacement, which occurred at the AnonPlus Social Network on July the 22nd.

The Anonymous Tide is changing the world of hacking and hactivism: at the beginning of 2011, hactivism was included among the Top Security Concerns for 2011 from the leading security vendors. Afer seven months, it looks like that (actually easy) prediction was correct. Not only many would-be hackers have been enrolled (perhaps in a reckless and superficial manner) in hactivism campaigns (and often get stuck in the mesh of justice as it never happened in the last years, see for instance the FBI raids), but, most of all, the cyberspace is really becoming the fifth domain of war, used not only for propaganda, but also to carry on bombastic attacks with social, political, and military scopes.

Moreover, it looks like this is a further consequence of what I defined Consumerization of Warfare, that is the growing use of Consumer Technologies such as Social Networks for Military and Political Operations: the “declaration of war” of the Syrian Group starts from a Facebook page built up to stop the use of Facebook from their adversaries as a mean of communication with the Syrians inside and outside Syria “to spread their destructive ideas” (quoted litterally).

In this context a sentence is particularly meaningful:

So let’s fight them using their weapon

Probably at the beginning the Syrian group wanted to use the so called “their (same) weapon” exclusively against internal enemies. Once realized the latter were not the only to use the social weapons against their cause (Hacking groups, even if not motivated by hactivism make extensive use of Social Media to spread their Word), decided to expand the scope of their campaign, including anonymous among their targets.

Now it’s up to the Anonymous to place their move on the Cyberwar chessboard.

Dalla Cina Con Furore Arriva Il Dragone Della Notte

February 10, 2011 6 comments

Non sto parlando del titolo di un film di Bruce Lee in versione notturna, ma dell’ultimo arrivato nella poco ambita Hall Of Fame dei malware aventi come obiettivo le infrastrutture critiche.

Non si è ancora spenta l’eco del Virus Delle Centrali Nucleari che dalla Terra Dei Mandarini arriva un nuovo malware avente come obiettivo gli impianti di Olio, Gas e Petrolchimici. Secondo McAfee, che ha scoperto e battezzato il malware dagli occhi a mandorla con il nome di Night Dragon (che richiama suggestive e mitologiche immagini d’oriente), da novembre 2009, alcuni impianti di raffinazione in diversi paesi sono stati vittime di numerosi eventi malevoli, caratterizzata da un presunto focolaio cinese, e che hanno coinvolto numerose tecniche: dal social engineering, allo spearphishing, passando, tanto per cambiare, attraverso le immancabili vulnerabilità di Windows, la compromissione di Active Directory ed infine l’utilizzo di strumenti di amministrazione remota. Il tutto con l’obiettivo di raccogliere informazioni classificate appartenenti alla sfera tecnologica (quindi decisive nei confronti della concorrenza) e alla sfera finanziaria (ad esempio finanziamenti di progetti o gara d’appalto). Informazioni comunque contraddistinte dal minimo comune denominatore di appartenenza a tecnologie di produzione di impianti olio, gas e petrolchimico.

 

Dettagli Dell’Attacco

L’attacco del Dragone ha metaforicamente applicato il suo alito di fuoco verso le infrastrutture vittima mediante diversi fattori eterogenei di attacco in grado di penetrare progressivamente l’infrastruttura vittima. Le spire hanno avvolto gli obiettivi mediante:

  1. Compromissione dei web server della Extranet vittima tramite tecniche di attacco di tipo SQL Injection che hanno consentito l’esecuzione remota di comandi;
  2. Nei server compromessi sono stati caricati strumenti di controllo remoto utilizzati per trasformare i server compromessi in ponti di att(r)acco per accedere dall’esterno alla intranet e di conseguenza alle informazioni sensibili ivi contenute  e memorizzate nei desktop e server interni.
  3. Ulteriore accesso nell’intimità della intranet violata è stato ottenuto mediante la presa con la forza bruta (o meglio con la brute force) di ulteriori nome utente e password;
  4. Utilizzando i server Web Compromessi come server di comando e controllo (C&C), gli attaccanti, nella realtà, si sono resi conto che la sola disabilitazione delle impostazioni del proxy dal browser Microsoft Internet Explorer (IE) si è rivelata sufficiente per ottenere una connessione remota diretta alle risorse interne.
  5. Mediante malware di Controllo Remoto innestato (RAT Remote Access Tool), gli attaccanti sono stati in grado di connettersi ad altre macchine arrivando infine ai desktop papaveriali (ovvero le postazioni degli alti dirigenti) in cui hanno provveduto alla ovvia e sistematica razzia di archivi di posta elettronica ed altri documenti sensibili.

Gli attacchi hanno avuto origine all’interno della Grande Muraglia [ci sarebbe voluto un Great (Fire)wall] ed hanno utilizzato alcuni server acquisiti da servizi di hosting degli Stati Uniti per compromettere alcuni server in Olanda, e sferrare da questi ultimi virulenti attacchi contro corporation del settore Oil, Gas e Petrolchemical in Kazakistan, Taiwan, Grecia e Stati Uniti per rubare le informazioni.

E’ interessante notare il fatto che, per distribuire nelle macchine  remoto gli strumenti di controllo remoto (alcuni fatti in casa, altri “standard”), gli attaccanti abbiano utilizzato non solo tecniche di SQL Injection, ma anche ben più ingenue mail di phishing dirette verso le postazioni dei dipendenti, dipendenti che con un semplice click su un link compromesso hanno letteralmente aperto le porte (TCP) al malware che, una volta installato, ha provveduto alla sistematica raccolta di credenziali di dominio utilizzate poi per installarsi su ulteriori vittime e di conseguenza propagarsi ulteriormente nella intranet.

Una volta compromessi i sistemi interni, gli attaccanti hanno ottenuto le account di amministrazione interne e di Active Directory e le hanno utilizzate per aprire le porte sul retro (backdoor) dei sistemi ed impiantare cavalli di troia per bypassare le mura di protezione costituite dalla difesa perimetrale e dalle policy di sicurezza, arrivando, in alcuni casi a disabilitare i moduli anti-virus e anti-spyware a bordo dei desktop.

Tra gli strumenti di controllo remoto più utilizzati per questo attacco, McAfee ha rilavato il cavallo di troia zwShell, di cui gli attaccanti hanno sviluppato dozzine di varianti utilizzate per compromettere ed esportare (dumpare in termine tecnico) il database delle password di Windows (il famigerato SAM). Lo Zio SAM  è stato successivamente crackato con uno strumento standard dalle cupe bibliche reminescenze: Cain & Abel.

Una volta terminata l’operazione di recupero password è iniziata la razzia di file relativi a contratti e progetti (in acluni casi addirittura dati dai sistemi SCADA).

 

Conclusione

Leggendo in sequenza i vari documenti sino ad ora pubblicati, il mio morboso entusiasmo da professionista della sicurezza si è progressivamente smorzato. Speravo Pensavo di essere davanti ad un novello Stuxnet, ed invece mi sono ritrovato di fronte ad un “semplice” Cyber-attacco, pur sempre perpetrato in maniera massiva verso infrastrutture critiche, ma comunque facente uso di una combinazione, per quanto complessa e ben congegnata, di tecniche “tradizionali”.

Sorprende semmai il fatto che una operazione di cosi vasta portata sia stata avviata utilizzando come appiglio iniziale per l’attaccante due tipologie di attacco tutto sommato relativamente conisciute (ma non per questo semplici da contrastare): il classico SQL Injection e l’altrettanto noto phishing. E proprio in questo punto giace il paradosso: il termine Cyberattack evoca chissà quali misure in grande per contrastare minacce planetarie alle infrastrutture critiche e poi si scopre che le nostri fonti di energia possono essere compromesse da una tipologia di attacco (l’iniezione SQL) mitigabile da una normale sana attività fisica (oops di patching!), ed una tipologia di attacco, il phishing, arcinota e che non può essere contrastata pienamente da nessuna contromisura tecnologica, ma soltanto da una educazione responsabile dell’utente per l’uso del mezzo internet. Proprio in questo punto giace la difficoltà: per l’SQL Injection esistono i firewall applicativi e le patch… Per il cervello umano ancora no…

Cyberrevolution E Hacktivism All’Ombra Delle Piramidi

February 1, 2011 Leave a comment

Gli eventi che stanno scuotendo l’Africa Mediterranea in queste ore, inerenti a Egitto e Tunisia, sollevano numerosi interrogativi relativi al ruolo e all’impatto delle nuove tecnologie di comunicazione e del Social Network all’interno dei grandi eventi politici e sociali.

Chiunque in queste drammatiche ore può entrare su Twitter e digitare #Jan25 oppure #Egypt per diventare, in tempo reale, spettatore virtuale degli eventi grazie alla più potente agenzia di stampa mai esistita: quella costituita dai numerosi reporter improvvisati che, armati di uno smartphone ed una connessione Internet, possono catturare gli eventi e trasmetterli in tempo reale al mondo intento grazie ai 6 gradi di separazione del Social Network.

Deve aver pensato la stessa cosa il governo Egiziano che ha deciso, grossolanamente, a partire dal 27 gennaio, di disconnettere  la Terra del Nilo dal Mare del Web, arrestando il dilagare dei tweet (e dello spam), ma attirando ancora di più l’attenzione dei media occidentali.

Andamento del Traffico Internet Egiziano (Dati Arbor Networks)

Dietro a questa decisione che non è passata inosservata, la constatazione che è notevolmente più facile colpire il centro (ovvero il backbone di rete) piuttosto che bloccare (ammesso che sia possibile farlo) i terminali periferici,  anche a patto di generare sgradevoli effetti collaterali quali il fermo delle attività economiche e finanziare (oramai la quasi totalità) che utilizzano la rete per lo scambio dei dati (per inciso, dopo una parziale riapertura dei bocchettoni Internet, questa mattina verso le 4:30 EST il traffico è stato nuovamente arrestato, ad eccezione di qualche Mbps diretto verso gli Autonomous System di Giordania e Sudan).

Cosa è lecito attendersi per il futuro? Probabilmente, e non è semplice enfasi, quanto accaduto in questi giorni dovrà spingere a riconsiderare seriamente le implicazioni socio-politiche delle nuove tecnologie (qualcuno sostiene addirittura che la spinta porterà ad una necessaria riconsiderazione del ruolo della donna nella Cultura Islamica). Nell’immediato, vista la temperatura (non soltanto metereologica purtroppo) dell’area mediorientale e di altre parti del mondo, è ipotizzabile che i governi con la coscienza un po’ meno pulita relativamente ai diritti civili, stiano cominciando a preoccuparsi seriamente per la forza dirompente (e apparentemente inarrestabile) delle nuove tecnologie correndo ai ripari. Ripari, putroppo finalizzati a mettere fuori combattimento le risorse di generazione delle informazioni (ovvero i terminali mobili) e quelle di condivisione (ovvero i Social Network).

Tra i Cyberarsenali dei governi con la coscienza sporca potrebbero rientrare:

  • Ovviamente un blocco preventivo dei Social Network per impedire qualsiasi forma di condivisione preventiva delle informazioni. Il blocco totale di Internet sarebbe lesivo per il sistema paese;
  • Il Denial of Service massivo dei terminali mediante l’exploit di vulnerabilità (sempre più presenti sui questo tipo di dispositivi) o mediante azioni su appositi comandi nascosti (speriamo non messi a disposizione di produttori);
  • La falsificazione (o spoof) dei terminali per screditare le fonti di cinguetti (o tweet) attendibili o renderle irraggiungibili mettendole fuori combattimento;
  • Il più tradizionale Distributed Denial of Service per mettere fuori combattimento i siti di condivisione delle informazioni (Social Network).

Ovviamente a tali azioni sarà anche lecito attendersi, come accaduto in Egitto, reazioni della medesima portata: ne è testimonianza l’operazione #OpEgypt, attuata dal gruppo Anonymous in risposta agli iniziali tentativi del Governo Egiziano di sedare la protesta con mezzi più o meno leciti.

E’ proprio vero: gira e rigira Social Network e Terminali Mobili (il tutto condito in questo caso con un pizzico di Hactivism) sono sempre al centro dell’attenzione, e il tutto, sempre di più, lascia pensare che le guerre e le rivoluzioni del futuro si combatteranno sempre di più su terreni e con armi impensabili sino a poco tempo fa: i terreni di battaglia saranno le grandi dorsali di Internet, le armi? Naturalmente  terminali mobili…

Cybereventi Di Guerra

January 28, 2011 Leave a comment

In un recente articolo ho commentato uno studio dell’OCSE secondo il quale le probabilità di una Cyberwar sono piuttosto basse,  se non in combinazione di eventi particolarmente catastrofici su scala planetaria.

In realtà la tesi non è nuova, ed era già stata portata alla ribalta, con termini ancora più espliciti (la Cyberguerra altro non è che una montatura e le probabilità non sono superiori a quelle di una invasione terrestre), dal noto guru e security evangelist Bruce Scneier.

Già proprio così, sembra proprio che dovremo rassegnarci a confinare esclusivalmente al grande schermo le scacchiere mondiali in cui i Cyber Eserciti si combattono a colpi di bit. Però una curiosità rimane: cosa significa  in termini pratici che una Cyberguerra avrebbe conseguenze su scala globale solamente in concomitanza di altri eventi? E quali sarebbero gli impatti?

Ci sono tante domane irrisolte anche in una vita breve come la vostra

recitava David Lo Pan, il cattivo dello splendido quanto incompreso Grosso Guaio a Chinatown.

Fortunatamente non è il nostro caso, poiché all’interno del rapporto dell’OCSE si trova una curiosa tabella in cui gli autori hanno provato ad ipotizzare diversi scenari caratterizzati da Cyber eventi, e le relative conseguenze. Di seguito un riassunto, da me rielabolato, dal quale si decuce che gli eventi con maggiore impatto sono quelli in concomitanza con pandemie umane e bancarie.

Tabella 1: Conseguenza di una compromissione dell’infrastruttura Internet

Tabelle 2, 3 e 4: Impatto di eventi Cyber-relati in concomitanza con eventi macroscopici

L’impatto della Pandemia umana agisce come catalizzatore della Cyber Minaccia per via del minore numero di risorse sane in grado di gestire l’evento. Per contro l’effetto di cyber-eventi potrebbero essere particolarmente devastanti in presenza di una pandemia bancaria, o meglio una crisi finanziaria, acuendo il disagio sociale e l’impossibilità per governi e singoli individui di accedere, ad esempio, ai propri depositi (una interpretazione questa un po’ forzata).

Nel caso di altri eventi naturali su scala globale, sino ad oggi le infrastrutture si sono sempre riprese in tempi relativamente brevi.

Previsioni Di Sicurezza 2011: 6 Produttori A Confronto (Aggiornamento)

January 26, 2011 8 comments

Dopo aver esaminato le previsioni 2011 di Sophos e Cisco, ho pensato di ampliare la griglia di confronto redatta in un post precedente, includendo le previsioni degli ultimi due arrivati. Il quadro che ne risulta conferma che, alla domanda secca: “Quale sarà la maggiore fonte di preoccupazione per gli IT Manager del 2011?”  La risposta è sicuramente una: “Il Mobile!“. L’emicrania da minaccia mobile raccoglie difatti la preferenza di 5 produttori su 6 e il 2011 ci rivelerà se la moda del mobile ha contagiato anche il mondo della sicurezza informatica, oppure se le mele con il jailbaco o gli Androidi dirootati (con le insonnie che ne derivano per gli IT Manager) sono una conseguenza del processo di consumerization dell’IT (ovvero la tendenza ad utilizzare tecnologie provenienti dal mondo consumer e quindi prive nativamente delle caratteristiche di sicurezzza ,e non solo, necessarie per un uso professionale).

Nelle preferenze dei produttori analizzati, seguono a ruota gli Advanced Persistent Threat, Hactivism e Social Media che raccolgono le preferenze di 4 brand sui 6 presi in esame, mentre le altre tipologie di minacce appaiono estremamente frammentate.

Per confrontare correttamente le previsioni occorre considerare il fatto che i produttori esaminati non sono perfettament omogenei tra loro: se da un lato Kaspersky, Sophos ,Symantec e Trend Micro sono vendor focalizzati principalmente sulla sicurezza dell’Endpoint, McAfee rappresenta una via di mezzo (nato dall’Endpoint ha progressivamente ampliato la propria offerta sino a coprire anche la sicurezza di rete), mentre Cisco appare fortemente orientato alla sicurezza di rete. La diversa natura si riflette anche da una diversa impostazione dei report: le previsioni di Cisco e McAfee si basano sulla raccolta di dati da parte della propria rete di sensori, le previsioni di Sophos e Trend sulla raccolta di dati dei propri laboratori che analizzano minacce provenienti dagli endpoint (pertanto le previsiono dei produttori appena citati prendono spunto da eventi e trend del 2010), mentre le previsioni di Symantec e Kaspersky appaiono (soprattutto nel secondo caso) piuttosto visionarie come impostazione.

La diversa prospettiva di analisi (ed in sostanza le diverse strategie dei produttori) si riflettono anche sui risultati della griglia comparativa: le previsioni di Sophos abbracciano una vasta gamma di minacce e sono assimilabili ad una sorta di sintesi tra le previsioni di McAfee e Trend Micro; mentre le previsioni di Cisco appaiono molto vicine a quelle di McAfee (Cisco non cita direttamente le vulnerabilità di Apple poiché le annega all’interno dei sistemi operativi), verosimilimente perché le previsioni dei Cisco Security Intelligence e McAfee Global Labs sono basate sui dati raccolti dalla propria rete di sensori (approccio simile, ciascuno con le proprie tecnologie).

Symantec costituisce il vendor che ha fornito maggiore evidenza dei problemi di sicurezza del cloud e delle infrastrutture virtualizzate (probabile eredità ed influenza di Veritas), mentre Kaspersky appare piuttosto visionaria nelle sue previsioni.

Ultima considerazione: il mobile non registra l’en plein tra le previsioni poiché non figura tra le previsioni del solo Kaspersky. Il motivo? Il produttore Russo aveva inserito il mobile malware tra le previsioni dell’anno passato (e non a caso è stato il primo a scoprire un malware per l’Androide ad Agosto 2010).

Gears Of Cyberwar

January 19, 2011 1 comment

Il 2010 verrà ricordato tra gli annali della sicurezza informatica soprattutto per due eventi: Operation Aurora e Stuxnet. Sebbene estremamente diversi tra loro per natura e origine (nel primo caso si parla di un attacco perpetrato dalla Cina per rubare informazioni di dissidenti e nel secondo caso di un malware progettato da USA e Israele con lo scopo di sabotare le centrali nucleari iraniane), i due eventi sono accomunati da un minimo comune denominatore: la matrice politica, ovvero il fatto che la minaccia informatica sia stata creata a tavolino per azioni di spionaggio nel primo caso e guerra sabotaggio nel secondo.

Secondo le indicazioni dei principali produttori di sicurezza sembra proprio che nel 2010 sarà necessario abituarsi a convivere con eventi di questo tipo, effettuati per scopi politici da nazioni fazioni sempre più organizzate utilizzando come vettori minacce simil-stuxnet sempre più elaborate e complesse.  In sostanza la percezione è che, dopo l’esempio dell’Estonia nel 2007, le guerre si possano sempre di più combattere dietro le tastiere piuttosto che nei campi di battaglia. Dopo le fosche tinte delineate da così  poco promettenti previsioni, naturalmente la domanda sorge spontanea: quale potrebbe essere nell’immediato futuro l’impatto globale di una cyber-guerra?

In realtà molto basso secondo un recente studio dell’OCSE, l’Organizzazione per la Cooperazione e lo Sviluppo Economico, ad opera di Peter Sommer e Ian Brown. Lo studio difatti sostiene che, sebbene i governi debbano essere pronti a prevenire, affrontare ed effettuare il recovery da operazioni di Cyberwar, deliberate o accidentali, la probabilità dell’occorrenza di (e quindi gli effetti derivanti da) eventi di Cyber-guerra su scala globale è piuttosto ridotta. Questo, nonostante l’arsenale delle cosiddette cyberarmi sia oramai ampiamente diffuso e variegato, e includa tra l’altro: tecniche di accesso non autorizzato ai sistemi, rootkit, virus, worm, trojan, (distributed) denial of service mediante botnet, tecniche di social engineering che portano ad effetti nefasti compromissione della confidenzialità dei dati, furto di informazioni segrete, furto di identità, defacciamento, compromissione dei sistemi e blocco di un servizio.

Sebbene l’OSCE (come previsto da alcuni produttori) ritiene che le azioni di cyberguerra siano destinate ad aumentare, solo una concatenazione di eventi su scala globale (ad esempio la contemporaneità di un cyber-evento con pandemie, calamità naturali o terremoti fisici o bancari), potrebbe portare a conseguenze gravi su scala planetaria.

I motivi del ridotto impatto, secondo gli autori dello studio, sono i seguenti:

  • Gli impatti di eventi quali malware, DDoS, spionaggio informatico, azioni criminali, siano esse causate da hacker casuali o hacktivisti sono limitiate nello spazio (ovvero localizzate in una determinata regione) e nel tempo (ovvero di breve durata);
  • Attacchi sulla falsa riga di Stuxnet non sono così probabili poiché devono combinare diverse tecniche (uso massiccio di vulnerabilità 0-day, conoscenza approfondita della tecnologia vittima, possibilità di occultamento dell’attaccante e dei metodi utilizzati). In sostanza investimenti massicci, come anche dimostrato dalle recenti rivelazioni, secondo le quali lo sviluppo del malware Stuxnet ha richiesto oltre due anni di sviluppo da parte di due superpotenze.
  • Una vera e propria cyberguerra è improbabile poiché la maggior parte dei sistemi critici sono ben protetti dagli exploit e il malware conosciuto cosicché i “progettisti” delle nuove cyberarmi sono costretti a individuare nuove vulnerabilità e sviluppare ex novo i relativi exploit, e queste operazioni non sono immediate. Inoltre, poiché gli effetti dei cyberattacchi sono difficili da prevenire, le armi potrebbero essere meno potenti del previsto o peggio ritorcersi contro gli stessi creatori o i propri alleati.

Lo studio identifica anche i motivi che potrebbero facilitare azioni di Cyberguerra:

  • La tendenza dei Governi ad aprire i propri portali per applicazioni verso i cittadini o verso i propri contrattori. Sebbene questo porti ad economie di scala, i portali potrebbero diventare facili obiettivi per azioni nefaste (come accaduto in Estonia nel 2007);
  • La tecnologia cloud che apre la strada a nuovi servizi flessibili, ma anche a nuove problematiche di sicurezza ancora non completamente esplorate;
  • La tendenza dei Governi a dare in outsourcing le proprie infrastrutture IT. Sebbene questo fatto porti vantaggi dal punto di vista economico, i livelli di servizio potrebbero non essere adatti ad affrontare eventi eccezionali come un Cyber-attacco.
  • Il mancato principio di deterrenza per le Cyberguerre: dal momento che spesso le azioni malevole vengono effettuate da reti di macchine compromesse (le cosiddette botnet), non è così facile riconoscere il mandante con la conseguenza che non è applicabile l’equilibrio per le armi reali che ha sostenuto il mondo nel baratro del collasso nucleare ai tempi della guerra fredda.

Dobbiamo rassegnarci ad essere vittime impotenti di cyber-eventi? Fortunatamente no, anzi tra le azioni che potrebbero essere effettuate per contrastare un Cyber-attacco lo studio identifica:

  • Attività di risk analysis sponsorizzate dal top management: il retrofitting non è mai conveniente per cui dovrebbero essere effettuate campagne continue di gestione degli accessi, educazione degli utenti, frequenti audit di sistema, back-up puntuali, piani di disaster recovery e conformità con gli standard;
  • Contromisure tecnologiche continue quali: progettazione sicura dall’inizio, applicazione puntuale delle patch di sicurezza a sistemi e applicazioni, utilizzo di software anti-malware, firewall e sistemi di Intrusion Detection, utilizzo di tecnologie atte ad aumentare disponibilità, resilienza e affidabilità dei servizi;
  • Attività di Penetration Test possono essere utili per identificare buchi su sistemi e applicazioni (spesso immesse nel mercato dai produttori con un non sufficiente livello di maturità).
Follow

Get every new post delivered to your Inbox.

Join 2,898 other followers