Posts Tagged ‘Hactivism’

Someone has been arrested for using LOIC

July 20, 2011 6 comments

Probably LOIC is not so safe as it was supposed to be.

Yesterday FOX News (curiously the American province of the Murdoch Empire which had suffered an hacking attack by the Lulz Boat the day before) was the first to report of three FBI Raids at the New York homes of three suspected members of notorious hacking group Anonymous early Tuesday morning. Later on the same day more details came clear, including the fact that the raids were part of a wider ongoinhg operation involving, to date, more than 35 search warrants issued by FBI (for a total of 75 searches to date), after which sixteen suspected members of Anonymous were arrested in Florida, New Jersey and California (more details in the official FBI press release including the names of the arrested individuals).

The arrested individuals were considered responsable for the DDoS attacks against Visa, Mastercards, PayPal and more, after the companies decided to suspend donations for WikiLeaks.

In the same hours, again according to Fox News, officers from the Metropolitan Police’s E-Crime Unit in London arrested a 16-year-old boy in South London Tuesday afternoon, on suspicion of breaching the Computer Misuse Act. The suspected individual could be Tflow, a key member of the infamous hacker group LulzSec, and he has beeen charged of the Infragard hacking, an affiliate to FBI, on June, the 3rd 2011.

This is not the first example of raid against alleged Anonymous members since similar police actions were performed a couple of weeks ago in Italy and Switzerland leading to the arrest of 15 individuals, and also in similar in Spain last month, which saw another three suspects arrested.

If we exclude the arrest of the alleged Lulzsec member, as I already suggested, probably in many cases the alleged Anonymous members are “Would-be” hacker, recklessly involved in hactivism campaigns on the wave of enthusiasm butwithout the necessary skills. This explains the low average age of the teens purportedly involved. As a confirm I found this interesting post on ReddIt in which a family man tells, triggering the predictable comments from taxpayers, of an FBI in his house with a search warrant (20 agents, guns drawn) because they seemed to believe his 13 year old son was an integral part of the ANON ddos attack on Paypal (I must confess that for an European grown with Sci-Fi U.S. Movies like I am, the imagine of 4 cars and a black van filled with FBI agents invading a common house is priceless). It looks like this is not the only example.

No One has ever been arrested for using LOIC? Not anymore…

Mobile Warfare

March 23, 2011 13 comments

It has been recognized that mobile technologies have had a significant impact on the events that occurred in North Africa. In my opinion, their impact was so impressive that I refer to them with the term of “mobile warfare” indicating with this term the fact that they are going to play a crucial role in the (let us hope fewer and fewer) wars of the future.

Since the Wikileaks affaire, and the consequent possibility to convert an Android Device into a Wikileaks Mirror during the attempt to put the main site off-line by mean of massive DDoS Attacks, it was clear to me that Mobile Technologies would have played a very important (never uncovered before) role in 2011, not only in Hacktivism, but, more in general, in human rights related issues.

I had a dramatic confirmation of this role during the Jasmin Revolution in Tunisia, where mobile technologies made every single citizen a reporter, capable of sharing in real time with the rest of the world information such as images, videos and  tweets pertaining the dramatic events happening inside the country.

But it was with the #Jan25 and #Egypt tweets that the World discovered for the first time the power of the mobile warfare.  In those dramatic days every single person of the planet only needed to access her Twitter account in order to become a virtual witness of the events; dramatic facts reported in great detail by hundreds of extemporaneous reporters “armed” only with a Smartphone, and made available in real time to the rest of the world thanks to the “six degrees of separation allowed by Social Networks”. The strength and the impact of this mobile warfare were so huge to force the declining Egyptian Government to shut the internet off for several days starting from January, the 27th.

Can we really understand what does it mean for a country to shut the Internet off? As single persons we are so used to the Web that we could not resist a single hour without checking the status of our mates. But for a country, an Internet connection disruption means a nearly complete stop for all economic and financial activities, including banking, trading, and so on. The only fact to have enforced such a dramatic decision (and the upcoming consequences) is particularly meaningful of the threat led by the Mobile Warfare and perceived by the Egyptian Government. But to have a clear understanding, we must also consider the fact that, at the same time, also the Egyptian Government tried to unleash the power of the mobile warfare with its clumsy attempt to stop the revolution by broadcasting Pro-Government SMS, thanks to country’s emergency laws, causing the following protests of Vodafone.

And what about Libya? I have a direct experience since I was in Tripoli for work at the beginning of last February (so one month and half ago even if it looks like a century has passed since then). I was not even completely out of the finger leading me from the aircraft to the airport facility, that I was impressed in noticing so many Libyan pepole playing with their iPhones. Since I just could not help thinking  to the Egyptian situation, I asked to some of them if they had the feeling that something similar to Egypt could happen in Libya. Guess what they answered? They all simply agreed on the fact that, due to the different economic and political situation, it was impossible! Of course the point is not their answer rather than the fact that I was surprised to see so many smartphones (ok we are speaking about the airport which maybe is not so meaningful in terms of statistics) and more in general so many devices capable to provide an high level internet user experience (even if with the bottleneck of the local mobile networks) and be potentially used as a mobile warfare.

That event was just a kind of premonition since, a couple of weeks later, during the first days of the protests, and in particular during the reaction of the regime, smartphones and social networks once again played a leading role, allowing the world to witness in real time those dramatic events with a spreading rate unknown before. For the second time, approximately three weeks after Egypt, a country decided to disconnect the Internet in order to prevent the spread of information via the Social Networks. This time it was Libya’s turn, which decided to unplug the Web on February, the 18th. Once again the power of the mobile warfare was unleashed, disconnecting a country from the Internet in few minutes (how long would a real army have taken to do a similar sabotage?).

Is mobile warfare the cause or effect?

We must not make the mistake to consider the mobile warfare as an effect of the movements raised first in Tunisia, than in Egypt, and finally in Libya. Mobile warfare is simply the cause, since it is just for the action of mobile warfare that events could spread rapidly inside a single country, and later among different countries (in both cases with an unprecedented speed), encouraging other people to follow the example and acting, in turn, as a powerful catalyzer for the movements. As an example, consider the following article, which in my opinion is particular meaningful: it shows the Middle East Internet Scorecard, that is the dips of Internet connections registered in different countries belonging to Middle East in the week between February 11 and February 17 (that is when the social temperature in Libya was getting extremely hot): one can clearly recognize a viral spread of the “unplugging infection”.

What should we expect for the future?

Mobile Warfare has played and is still playing a significant role in the wind of changes that are blowing in North Africa.  Thanks (also) to mobile technologies, people (most of all students) living in countries where human rights suffer some kind of limitations, have the possibility to keep continuously in touch with people living in different countries, learning their habits, and, in turn being encouraged to “fight” for achieving (or at least for attempting to achieve) a comparable condition. This revolution is not only technological but it is most of all cultural since it is destroying all the barriers that kept many countries separated each other and that allowed many population to live (apparently) in peace simply because they completely ignored the existence of a world outside: we could consider this as the equivalent of the old infosec paradigm (Homeland) Security Through Obscurity”.

At the opposite side, it is likely that all those Governments, having a peculiar idea about what human rights are, will deploy some kind of countermeasure to fight the mobile warfare and its inseparable companion: the social network. I do not think that completely preventing the use of mobile technologies is an applicable weapon, since they became too many important for a country (politics, economics, finance, etc.): nowadays each kind of information flows in real time, consequently no country may allow to go slower.

Moreover,  for the reasons I explained above, the Internet disconnection is not a sustainable countermeasure as well, since no government in the world may allow to be cut-out for too long, in order to simply prevent people from tweeting or sharing ideas or videos on social networks. Even because, for instance, U.S. has secret tools to force Internet in case of disruption, which include the Commando Solo, the Air Force’s airborne broadcasting center, capable to get back to full strength the Wi-Fi signal in a bandwidth-denied area; satellite- and nonsatellite-based assets that can provide access points to get people back online; and finally cell towers in the sky, hooking up cellular pods to the belly of a drone, granting 3G coverage for a radius of a few kilometers on the ground would have 3G coverage underneath the drone. Would be interesting to verify if any of these technologies are currently being used in the Odissey Dawn operation.

For all the above quoted reasons, according to my personal opinion the countermeasures will aim to make unusable the resources of information collection (that is mobile devices), and the resources of information sharing (that is social networks).

So this new generation of Cyber-warfare will involve:

  • A preventive block of Social Network in order to prevent whatever attempt to preventively share information. For the above quoted reason a total block will damage the whole economy (even if I must confess a preventive block of this kind will be quite easily bypassable by external proxies);
  • A massive Denial of Service for mobile devices through massive exploit of vulnerabilities (more and more common and pervasive on this kind of devices), through massive mobile malware deployment or also by mean of massive execution of mobile malware (as, for instance, Google did in order to remotely swipe the DroidDream malware). Honestly speaking I consider the latter option the less likely since I can easily imagine that no manufacturer will provide cooperation on this (but this does not prevent the fact that a single country could consider to leverage this channel).
  • Spoofing the mobile devices in order to make them unreachable or also in order to discredit them as source of reputable information.
  • A “more traditional” Denial Of Service in order to put Social Networks offline (even if this would need a very huge DDoS due to the distribution of the resources of the Social Network providers.

In all the above quoted cases would be legitimate to expect a reaction, as done for instance, by the infamous Anonymous group.

Report McAfee Q4 2010: Il Malware è Mobile Qual Piuma Al Vento!

February 9, 2011 3 comments

I Laboratori McAfee hanno appena pubblicato il report relativo alle minacce informatiche del quarto trimestre 2010 (McAfee Q4 Threat Report). Oramai sembra un immancabile e monotono refrain ma, tanto per cambiare, nel corso dell’ultimo scorcio del 2010 i malware per i dispositivi mobili l’hanno immancabilmente fatta da padroni.

I dati sono impressionanti: le infezioni dei dispositivi mobili nel corso del 2010 sono cresciute del 46% rispetto all’anno precedente. Nell’anno passato sono stati scoperti 20 milioni di nuovi esemplari di software malevolo, corrispondenti a circa 55.000 nuovi vettori di infezione al giorno. In effetti nel 2010 gli sviluppatori malevoli si sono dati molto da fare se si considera che i Laboratori McAfee hanno identificato in totale 55 milioni di tipologie di malware, da cui su evince che il malware sviluppato nel 2010 corrisponda al 36% del totale.

Una cosa è certa: i cybercriminali si stanno concentrando su dispositivi popolari che garantiscono il  massimo risultato con il minimo sforzo, con una tendenza destinata ad accenturarsi nel 2011 verso un fenomeno che si potrebbe riassumere benissimo con il termine ipocalypse.

I risultati del report si possono così sintetizzare:

Dispositivi mobili sempre più in pericolo per le botnet

Non è una novità, e la mia prima previsione in proposito risale a dicembre 2010 quando, commentando le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi. Da lì a breve è stato un climax ascendente che ha portato dapprima alla rilevazione del trojan Geinimi al termine del 2010, ed in seguito alla creazione di un malware botnet-like in laboratorio.

Il report di McAfee conferma questo trend (scusate il gioco di parole), assegna a Geinimi il titolo di una delle minacce più importanti dell’ultimo trimestre 2010, e sancisce perentoriamente che i Cybercriminali utilizzeranno sempre di più, nel corso del 2011, tecniche di botnet per infettare i dispositivi mobili.

I motivi sono presto detti: maggiore popolarità (e portabilità) dei dispositivi mobili come strumenti di lavoro implicano maggiore contenuto sensibile immagazzinato senza le stesse misure di sicurezza e la stessa sensibilità dell’utente (non a caso Geinimi, come anche altre minacce mobili) sono false applicazioni scaricata da market paralleli. D’altronde una botnet di dispositivi mobili ha una duplice valenza malevola: da un lato consente di rubare dati e informazioni sensibili (dalla rubrica alla posizione) dall’altro potrebbe essere utilizzata con intenti malevoli con maggiori capacità di mimetismo all’interno della rete di un operatore mobile (come confermato indirettamente anche dal report di Arbor Networks.

Ad ogni modo nel Q4 2010, Cutwail ha perso lo scettro di botnet più attiva, ad appannaggio della rete di macchine compromesse appartenenti alla rete Rustock, seguita a ruota da Bobax

Almeno una buona notizia, lo Spam è un Periodo di Transizione

Sebbene i mezzi favoriti dai Cybercriminali in questo trimestre siano stati il malware di tipo AutoRun (Generic!atr), i trojan di tipo banking o downloader (PWS or Generic.dx), o anche gli exploit  web-based (StartPage and Exploit-MS04-028), perlomeno si è registrato un leggero abbassamento dei livelli di spam, che sebbene rappresenti ancora l’80% di tutti i messaggi di posta elettronica, si è comunque attestato ai livelli del 1 trimestre 2007. Questo periodo di transizione è verosimilmente dovuto al letargo di alcune botnet (ad esempio Rustock, Letic e Xarvester) e alla chiusura di altre (ad esempio Bredolab o in parte Zeus). In questo trimestre, al vertice delle reti di macchine compromesse si sono posizionate Bobax e Grum.

Se aumentano gli apparati aumentano le minacce web

In base ai dati dell’ultimo trimestre 2010, in cui  i domini malevoli sono cresciuti velocemente grazie alle minacce più attive del calibro di Zeus, Cornficker e Koobface; McAfee rivela che le i vettori di infezione basati sul web continueranno a crescere in dimensioni e complessità , di pari passo con il crescere degli apparati eterogenei che accedono alla rete.

Ovviamente non poteva mancare il phishing e il malvertising e SEO Poisoning in virtù del quale McAfee Labs rivela che all’interno dei primi 100 risultati delle principali ricerche quotidiane, il 51% conduce l’ignaro navigatore verso siti poco sicuri che contengono più di cinque link malevoli. Non è un caso che il produttore rosso preveda che gli attacchi facenti uso di tecniche di manipolazione dei risultati dei motori di ricerca cresceranno notevolmente nel 2011, focalizzandosi soprattutto (tanto per cambiare) ai dispositivi di nuova generazione.

Le vulnerabilità Adobe come mezzo di distribuzione del malware

Nel corso del 2010 le vulnerabilità dei prodotti Adobe (Flash e PDF), inseparabili compagni di navigazione, sono stati il mezzo principale di distribuzione del malware preferito dai Cybercriminali. C’e’ da aspettarsi una inversione di tendenza per il 2011? Nemmeno per idea, almeno secondo McAfee che prevede, per quest’anno, una prosecuzione del trend, anche a causa del supporto per le varie tecnologie Adobe, da parte dei dispositivi mobili e dei sistemi operativi non Microsoft.


Anche l’hactivism vedrà la sua azione proseguire nel 2011 dopo i botti di fine anno compiuti dal gruppo Anonymous, (e anche il Governo Italiano ne sa qualcosa in questi giorni. Anzi, secondo il produttore dichiara che il confine tra hactivism e cyberwarfare diventerà sempre più confuso.

Previsioni Di Sicurezza 2011: 6 Produttori A Confronto (Aggiornamento)

January 26, 2011 8 comments

Dopo aver esaminato le previsioni 2011 di Sophos e Cisco, ho pensato di ampliare la griglia di confronto redatta in un post precedente, includendo le previsioni degli ultimi due arrivati. Il quadro che ne risulta conferma che, alla domanda secca: “Quale sarà la maggiore fonte di preoccupazione per gli IT Manager del 2011?”  La risposta è sicuramente una: “Il Mobile!“. L’emicrania da minaccia mobile raccoglie difatti la preferenza di 5 produttori su 6 e il 2011 ci rivelerà se la moda del mobile ha contagiato anche il mondo della sicurezza informatica, oppure se le mele con il jailbaco o gli Androidi dirootati (con le insonnie che ne derivano per gli IT Manager) sono una conseguenza del processo di consumerization dell’IT (ovvero la tendenza ad utilizzare tecnologie provenienti dal mondo consumer e quindi prive nativamente delle caratteristiche di sicurezzza ,e non solo, necessarie per un uso professionale).

Nelle preferenze dei produttori analizzati, seguono a ruota gli Advanced Persistent Threat, Hactivism e Social Media che raccolgono le preferenze di 4 brand sui 6 presi in esame, mentre le altre tipologie di minacce appaiono estremamente frammentate.

Per confrontare correttamente le previsioni occorre considerare il fatto che i produttori esaminati non sono perfettament omogenei tra loro: se da un lato Kaspersky, Sophos ,Symantec e Trend Micro sono vendor focalizzati principalmente sulla sicurezza dell’Endpoint, McAfee rappresenta una via di mezzo (nato dall’Endpoint ha progressivamente ampliato la propria offerta sino a coprire anche la sicurezza di rete), mentre Cisco appare fortemente orientato alla sicurezza di rete. La diversa natura si riflette anche da una diversa impostazione dei report: le previsioni di Cisco e McAfee si basano sulla raccolta di dati da parte della propria rete di sensori, le previsioni di Sophos e Trend sulla raccolta di dati dei propri laboratori che analizzano minacce provenienti dagli endpoint (pertanto le previsiono dei produttori appena citati prendono spunto da eventi e trend del 2010), mentre le previsioni di Symantec e Kaspersky appaiono (soprattutto nel secondo caso) piuttosto visionarie come impostazione.

La diversa prospettiva di analisi (ed in sostanza le diverse strategie dei produttori) si riflettono anche sui risultati della griglia comparativa: le previsioni di Sophos abbracciano una vasta gamma di minacce e sono assimilabili ad una sorta di sintesi tra le previsioni di McAfee e Trend Micro; mentre le previsioni di Cisco appaiono molto vicine a quelle di McAfee (Cisco non cita direttamente le vulnerabilità di Apple poiché le annega all’interno dei sistemi operativi), verosimilimente perché le previsioni dei Cisco Security Intelligence e McAfee Global Labs sono basate sui dati raccolti dalla propria rete di sensori (approccio simile, ciascuno con le proprie tecnologie).

Symantec costituisce il vendor che ha fornito maggiore evidenza dei problemi di sicurezza del cloud e delle infrastrutture virtualizzate (probabile eredità ed influenza di Veritas), mentre Kaspersky appare piuttosto visionaria nelle sue previsioni.

Ultima considerazione: il mobile non registra l’en plein tra le previsioni poiché non figura tra le previsioni del solo Kaspersky. Il motivo? Il produttore Russo aveva inserito il mobile malware tra le previsioni dell’anno passato (e non a caso è stato il primo a scoprire un malware per l’Androide ad Agosto 2010).

Il 2011 Secondo Cisco: Beware of The Social Network

January 25, 2011 6 comments

E’ stato da poco pubblicato il report Cisco relativo ai trend di sicurezza del 2010 e contenente le previsioni per il 2011. Rispetto alle previsioni analizzate sino ad ora (a cui si sono recentemente aggiunte le previsioni di Sophos), il report Cisco offre una interessante lettura dell’anno passato e delinea gli scenari di sicurezza per l’anno appena entrato dalla prospettiva di chi possiede una offerta di sicurezza network-centrica (la rete per il colosso californiano costituisce l’intelligenza sopra la quale vengono costruiti tutti i servizi della propria offerta), il cui approccio differisce notevolmente da quello dei colossi sino ad ora analizzati. Questi ultimi difatti (con la parziale eccezione di McAfee nato dall’endpoint ma estesosi successivamente verso tutti i settori tramite acquisizioni strategiche) pongono l’endpoint al centro della propria offerta.

Il report di Cisco nasce dall’immane quantità di dati raccolti dalla rete di sensori sparsa nel mare di bit che si estende attraverso i cinque continenti e che sono stati analizzati dal proprio Centro di Security Intelligence Operations.

Ecco le minacce per il 2011 evidenziate dal colosso di San Jose:

Network sempre più Social (soprattutto per il malware)

Ormai sembra un refain immancabile (ma non è il solo) quando si parla di sicurezza informatica). Anche a detta del brand californiano, il Social Network sarà, nel corso del 2011, sotto i poco ambiti riflettori dei malintenzionati. Purtroppo si concretizzerà il fenomeno che Cisco ha definito “Exploitation Of Trust“, ovvero lo sfruttamento della relazione di fiducia che si crea tra individui collegati all’interno di un social network (di tipo personale o professionale) come veicolo di malware o altri mezzi per compiere atti illeciti.

Il motivo è presto detto: da un lato il Social Network consente di raggiungere contemporaneamente molteplici utenti in tempo quasi reale, dall’altro la filosofia del social network richiede che le amicizie (o i contatti) siano esplicitamente accettati, creando una relazione di fiducia tra gli utenti che costituisce il vettore che i malintenzionati sono interessati ad utilizzare per la diffusione dei propri  fini illeciti (mediante spam, malware, etc.).

Un malware o una frode propagati tramite Social Network hanno maggiore probabilità di riuscita (e un impatto più devastante in un minor intervallo temporale) sia per i famosi sei gradi di separazione che consentono una rapida propagazione, sia perché un messaggio (vettore di contenuto malevolo) proveniente da una persona “fidata” (a sua volta vittima) ha già superato il naturale muro di precauzione e diffidenza (già troppo basso in condizioni normali) che costituisce la prima forma di difesa di ciascuno (mai dimenticare che la sicurezza informatica  di ogni individuo comincia dal proprio comportamento sociale)

Se a questo si aggiungono le ulteriori complicazioni:

  • Il social network costituisce una vetrina, per cui le “difese naturali”  dei  contatti sono ulteriormente abbassate (e chi costruisce malware tende a sfruttare atteggiamenti e debolezze di chi si mette in vetrina e segue pedissequamente l’equazione: più contatti = più visibilità);
  • La nota allergia per la privacy (soprattutto da parte di Facebook) che rende possibile ad una applicazione malevola la lettura dei dati personali da un profilo vittima.

Si deduce come nel corso del 2011 dovremo abituarci alle infezioni provenienti dal Social Network, sulla falsa riga di Koobface. Come fare per difendersi? Educazione all’utilizzo del Social Network, mantenimento di un atteggiamento circospetto e ricordarsi che:

If it sounds too good to be true, it probably is


Le minacce di tipo Advanced Persistent Threat, subiranno una metamorfosi nel corso del 2011, diventando sempre più specifiche e soprattutto costruite per scopi ben precisi (ad esempio per rubare informazioni) e con uso massiccio delle vulnerabilità 0-day. Inutile ribadire che anche le minacce APT “trarranno giovamento “dell’involontario supporto infrastrutturale del Social Network per aumentare il livello di diffusione.


Gli exploit di vulnerabilità applicative (soprattutto da parte di Java e PDF) sono destinate a confermare il proprio peso nel corso del 2011. Curiosamente, il colosso di San Jose ritiene che Java turberà maggiormente i sogni degli IT Manager a causa di tre caratteristiche insite nella natura del linguaggio:

  • Java è evasivo: il metodo più affidabile di rilevazione per gli exploit java consiste nel farli girare in una macchina virtuale, ma questo è estremamente intenso dal punto di vista dell’utilizzo delle risorse;
  • Java è pervasivo: spesso il linguaggio SUN Oracle gira in background e questo rende più difficile identificare eventuali comportamenti illeciti da parte di applicazioni Java;
  • Java è invasivo: la natura multipiattaforma del linguaggio che ha costituito la forza per la sua diffusione, ha costituisce anche una sgradita leva per la diffusione del malware che può propagarsi rapidamente tra architetture differenti.

Curiosamente, la previsione è suffragata dai dati raccolti dal proprio Centro di Intelligenza secondo il quale Java si è piazzato al primo posto della poco ambita classifica relativa alla tipologia di Web Malware maggiormente bloccata dal proprio servizio Scansafe, con il 7%, seguito da PDF (in calo) e Flash, relativamente con il 2% e l’1%.

Dispositivi Mobili e Mai Sicuri

Immancabile, anche nelle previsioni del Colosso di San Jose, la presenza delle piattaforme mobili tra gli obiettivi 2011 dei malintenzionati. L’Androide e il Sistema Operativo della Mela saranno i più colpiti dalle infezioni informatiche, sia perché, a detta di Cisco, i sistemi operativi standard hanno raggiunto uno standard di sicurezza elevato che sta spingendo i creatori di malware verso questi siti mobili, sia perché la maggiore attenzione del mondo enterprise verso questi dispositivi li rende una fonte importante di informazioni (e guadagni diretti e indiretti) in caso di compromissione. Come prevedibile le applicazioni (soprattutto se scaricate da Store paralleli) saranno il vettore di infezione privilegiato, mentre le precauzioni rimangono le stesse indicate dagli altri produttori: occhio alla mela con il jailbaco e all’Androide dirootato che aumentano notevolmente le probabilità di una infezione, occhio inoltre ai permessi quando si installano le applicazioni (perché un lettore multimediale dovrebbe accedere agi SMS?). Tra le precauzioni da adottare nel 2011 per i dispositivi mobili anche il ricorso a tecnologie di virtualizzazione che consentiranno di rinnovare il focus su tecnologie di DLP per questi dispositivi.

Da notare come la rete di sensori Cisco abbia rilevato nel corso del 2011 un picco delle vulnerabilità rivolte verso il mondo Apple.

Botnet e Hacktivism

Sebbene Cisco abbia osservato, nel corso del 2010, una leggera riduzione del numero di macchine compromesse (estremamente più diffuse in ambito consumer che in ambito enterprise) si assisterà nel corso del 2011 ad un aumento dello schema di utilizzo delle Botnet, sempre meno per “semplice SPAM” (in diminuzione nel 2011) e sempre più per scopi politici (sulla falsa riga di quanto accaduto nell’affaire Wikileaks) o per mere questioni economiche (ad esempio per la diffusione di spyware per il furto di dati sensibili). Non manca ovviamente il riferimento a Stuxnet (vincitore del premio Evil Award 2010), come esempio di nuova minaccia concepita per scopi politici e aventi obiettivi delimitati e ben definiti.

E’ importante notare come il Colosso di San Jose auspichi iniziative congiunte dei governi per affrontare la nuova emergenza del Cibercrimine, augurandosi nel contempo che la frammentazione delle normative tra i vari paesi non sia un ostacolo per la diffusione delle tecnologie di protezione.


Anche secondo Cisco nel 2011 saranno in bella (si fa per dire) vista le minacce rivolte al Social Network e al mondo mobile. Il riferimento a Stuxnet, in questo caso indicato come capostipite di una nuova famiglia di minacce informatiche organizzate, non manca mai. Curiosa, anche in questo caso, l’assenza di minacce rivolte alle infrastrutture virtuali.

Gears Of Cyberwar

January 19, 2011 1 comment

Il 2010 verrà ricordato tra gli annali della sicurezza informatica soprattutto per due eventi: Operation Aurora e Stuxnet. Sebbene estremamente diversi tra loro per natura e origine (nel primo caso si parla di un attacco perpetrato dalla Cina per rubare informazioni di dissidenti e nel secondo caso di un malware progettato da USA e Israele con lo scopo di sabotare le centrali nucleari iraniane), i due eventi sono accomunati da un minimo comune denominatore: la matrice politica, ovvero il fatto che la minaccia informatica sia stata creata a tavolino per azioni di spionaggio nel primo caso e guerra sabotaggio nel secondo.

Secondo le indicazioni dei principali produttori di sicurezza sembra proprio che nel 2010 sarà necessario abituarsi a convivere con eventi di questo tipo, effettuati per scopi politici da nazioni fazioni sempre più organizzate utilizzando come vettori minacce simil-stuxnet sempre più elaborate e complesse.  In sostanza la percezione è che, dopo l’esempio dell’Estonia nel 2007, le guerre si possano sempre di più combattere dietro le tastiere piuttosto che nei campi di battaglia. Dopo le fosche tinte delineate da così  poco promettenti previsioni, naturalmente la domanda sorge spontanea: quale potrebbe essere nell’immediato futuro l’impatto globale di una cyber-guerra?

In realtà molto basso secondo un recente studio dell’OCSE, l’Organizzazione per la Cooperazione e lo Sviluppo Economico, ad opera di Peter Sommer e Ian Brown. Lo studio difatti sostiene che, sebbene i governi debbano essere pronti a prevenire, affrontare ed effettuare il recovery da operazioni di Cyberwar, deliberate o accidentali, la probabilità dell’occorrenza di (e quindi gli effetti derivanti da) eventi di Cyber-guerra su scala globale è piuttosto ridotta. Questo, nonostante l’arsenale delle cosiddette cyberarmi sia oramai ampiamente diffuso e variegato, e includa tra l’altro: tecniche di accesso non autorizzato ai sistemi, rootkit, virus, worm, trojan, (distributed) denial of service mediante botnet, tecniche di social engineering che portano ad effetti nefasti compromissione della confidenzialità dei dati, furto di informazioni segrete, furto di identità, defacciamento, compromissione dei sistemi e blocco di un servizio.

Sebbene l’OSCE (come previsto da alcuni produttori) ritiene che le azioni di cyberguerra siano destinate ad aumentare, solo una concatenazione di eventi su scala globale (ad esempio la contemporaneità di un cyber-evento con pandemie, calamità naturali o terremoti fisici o bancari), potrebbe portare a conseguenze gravi su scala planetaria.

I motivi del ridotto impatto, secondo gli autori dello studio, sono i seguenti:

  • Gli impatti di eventi quali malware, DDoS, spionaggio informatico, azioni criminali, siano esse causate da hacker casuali o hacktivisti sono limitiate nello spazio (ovvero localizzate in una determinata regione) e nel tempo (ovvero di breve durata);
  • Attacchi sulla falsa riga di Stuxnet non sono così probabili poiché devono combinare diverse tecniche (uso massiccio di vulnerabilità 0-day, conoscenza approfondita della tecnologia vittima, possibilità di occultamento dell’attaccante e dei metodi utilizzati). In sostanza investimenti massicci, come anche dimostrato dalle recenti rivelazioni, secondo le quali lo sviluppo del malware Stuxnet ha richiesto oltre due anni di sviluppo da parte di due superpotenze.
  • Una vera e propria cyberguerra è improbabile poiché la maggior parte dei sistemi critici sono ben protetti dagli exploit e il malware conosciuto cosicché i “progettisti” delle nuove cyberarmi sono costretti a individuare nuove vulnerabilità e sviluppare ex novo i relativi exploit, e queste operazioni non sono immediate. Inoltre, poiché gli effetti dei cyberattacchi sono difficili da prevenire, le armi potrebbero essere meno potenti del previsto o peggio ritorcersi contro gli stessi creatori o i propri alleati.

Lo studio identifica anche i motivi che potrebbero facilitare azioni di Cyberguerra:

  • La tendenza dei Governi ad aprire i propri portali per applicazioni verso i cittadini o verso i propri contrattori. Sebbene questo porti ad economie di scala, i portali potrebbero diventare facili obiettivi per azioni nefaste (come accaduto in Estonia nel 2007);
  • La tecnologia cloud che apre la strada a nuovi servizi flessibili, ma anche a nuove problematiche di sicurezza ancora non completamente esplorate;
  • La tendenza dei Governi a dare in outsourcing le proprie infrastrutture IT. Sebbene questo fatto porti vantaggi dal punto di vista economico, i livelli di servizio potrebbero non essere adatti ad affrontare eventi eccezionali come un Cyber-attacco.
  • Il mancato principio di deterrenza per le Cyberguerre: dal momento che spesso le azioni malevole vengono effettuate da reti di macchine compromesse (le cosiddette botnet), non è così facile riconoscere il mandante con la conseguenza che non è applicabile l’equilibrio per le armi reali che ha sostenuto il mondo nel baratro del collasso nucleare ai tempi della guerra fredda.

Dobbiamo rassegnarci ad essere vittime impotenti di cyber-eventi? Fortunatamente no, anzi tra le azioni che potrebbero essere effettuate per contrastare un Cyber-attacco lo studio identifica:

  • Attività di risk analysis sponsorizzate dal top management: il retrofitting non è mai conveniente per cui dovrebbero essere effettuate campagne continue di gestione degli accessi, educazione degli utenti, frequenti audit di sistema, back-up puntuali, piani di disaster recovery e conformità con gli standard;
  • Contromisure tecnologiche continue quali: progettazione sicura dall’inizio, applicazione puntuale delle patch di sicurezza a sistemi e applicazioni, utilizzo di software anti-malware, firewall e sistemi di Intrusion Detection, utilizzo di tecnologie atte ad aumentare disponibilità, resilienza e affidabilità dei servizi;
  • Attività di Penetration Test possono essere utili per identificare buchi su sistemi e applicazioni (spesso immesse nel mercato dai produttori con un non sufficiente livello di maturità).

Previsioni di sicurezza 2011: 4 produttori a confronto

January 13, 2011 3 comments

Mi sono divertito a confrontare una sintesi dei report sulle previsioni per il 2011 emessi dai principali produttori di Sicurezza (Symantec, McAfee, Trend Micro) che ho già commentato in queste pagine.

Ho scelto, non a caso, i produttori che sono considerati leader di mercato e riferimento tecnologico da parte dei principali analisti. A questa lista, come termine di paragone, ho aggiunto Kaspersky considerato un importante outsider. Sebbene nell’elenco spicca un illustre assente, ovvero Sophos, da parte del quale non sono state, almeno per ora, rilasciate previsioni per il 2011, è comunque interessante confrontare globalmente le indicazioni fornite dai singoli vendor per valutare quali nubi offuscheranno maggiormente il panorama della sicurezza informatica nel corso del 2011.

Di seguito le minacce identificate dai vari vendor, sintetizzate per ogni produttore in forma di elenco:


  • Social Media;
  • Mobile;
  • Apple;
  • Applicazioni;
  • Malware talmente sofisticato da apparire legittimo;
  • Sopravvivenza delle Botnet;
  • Hacktivism;
  • Advanced Persistent Threats;


  • Mobile
  • Cloud
  • Virtualizzazione
  • Social Media

Trend Micro:

  • Varietà OS
  • Virtualizzazione
  • OS Obsoleti
  • Social Engineering
  • Mobile
  • Malware talmente sofisticato da apparire legittimo;
  • Botnet
  • Minacce Obsolete
  • Advanced Persistent Threat


  • Hactivism
  • Minaccia alle Informazioni
  • Advanced Persistent Threat (Spyware 2.0)
  • Attacchi verso utenze corporate
  • Vulnerabilità

Sintetizzando il tutto in una tabella:

Come si nota le previsioni relative a minacce di Advanced Persistent Threat (Stuxnet docet) in cui ho incluso anche lo Spyware 2.0 di Kaspersky), e Mobile Malware, sono condivise da tre produttori su quattro (in realtà Kaspersky aveva previsto la nascita di infezioni per il mobile nel 2010). Botnet, Hactivism, Malware Pseudo Legittimo, Social Media e Virtualizzazione preoccupano due produttori su quattro, mentre le previsioni relative alle restanti tipologie di minacce appaiono piuttosto frammentate e distribuite in maniera unitaria tra i vari produttori.

Chi avrà veramente avuto la palla di cristallo? Ai posteri l’ardua sentenza…


Get every new post delivered to your Inbox.

Join 3,710 other followers