La cybersecurity al tempo delle Apt e del real-time

Aumenta la superficie d’attacco grazie alla digitalizzazione pervasiva nelle aziende e della società. Cresce la posta in gioco e gli hacker ricorrono a tecniche sofisticate. Come gli Advanced Persistent Threat, contro i quali i sistemi di security tradizionali possono ben poco

Pubblicato il 30 Mar 2015

In passato erano sviluppati da giovani “maghetti” dei computer e miravano a diffondersi e replicarsi velocemente fino a che i produttori di software antivirus non trovavano il modo di renderli inoffensivi. Allora il bilancio dagli attacchi basati su malware – come fa notare Lawrence C. Miller nel suo libro Cybersecurity for Dummies (un testo molto articolato e completo) – consisteva nel contare in quale lasso di tempo si era riusciti a trovare le soluzioni e quanti sistemi alla fine erano risultati compromessi. Oggi le minacce informatiche agiscono in modi più subdoli, sofisticati e organizzati. Sono cambiati gli “attaccanti”, sono aumentate le finalità delle azioni, e sono diventate più pianificate e sfuggenti alle soluzioni di security le attività di hacking.

Da circa un decennio il principale nemico di utenti, aziende e organizzazioni pubbliche sono gli Advanced Persistent Threat (Apt). Anche se in alcune classifiche delle tecniche di hacking più diffuse non figurano al primo posto, mentre vi si ritrovano i malware in generale, seguiti magari dallo spamming, dal fishing, dai Distributed Denial of Service (DDoS), non bisogna lasciarsi illudere: gli Apt, in effetti, sono attacchi che si basano sull’utilizzo combinato e strategico proprio di queste e altre tecniche, alcune vecchie come i primi computer e altre, come per esempio il social engineering, di più recente generazione.

Gli attacchi Apt, molto spesso, non assurgono agli onori della cronaca perché, a differenza ancora una volta delle passate epidemie di virus planetarie, non esplicano la propria potenza nell’arco di alcuni giorni, con effetti molto spesso più che altro fastidiosi, ma facilmente risolvibili; come sottolinea sempre lo stesso libro (che consigliamo di scaricare), le loro caratteristiche principali non sono la rapidità e l’appariscenza, bensì l’intelligenza, la resistenza e la pazienza. Qualità proporzionate alla posta in gioco: non l’effetto meramente dimostrativo, ma il sabotaggio di attività economiche, il furto di proprietà intellettuali, la sottrazione di informazioni personali sensibili e addirittura certificati digitali.

I malware al servizio degli Apt

Come avviene nell’ambito delle azioni criminali o belliche tradizionali, anche nel cybercrime e nelle cyberware si utilizzano, nella maggior parte dei casi, armi già note, tutt’al più “reingegnerizzate”. Un esempio sono i virus dotati di capacità di “polimorfismo”, in cui una parte del codice è finalizzata a mutare periodicamente l’impronta in modo da renderla non più corrispondente alle “signature” con cui i security vendor aggiornano firewall, Intrusion Prevention Systems (Ipv) e altri antimalware. Come fanno gli hacker a far penetrare un malware di questo tipo in un network o in un endpoint? Un esempio è il social engineering, tecnica basata sulla profilazione dell’utente al fine di creare messaggi email, di chat o blogging che sembrino contenere informazioni credibili, ma che in realtà portano gli utenti a cliccare su link (spesso abbreviati, come avviene nel microblogging) che aprono siti, programmi o contenuti. Inizia così il cosiddetto “exploit”. Una volta aperte connessioni o applicazioni, anche in background, l’attacker guadagna l’accesso alla shell del sistema operativo e riesce a introdurre il malware prescelto per l’Apt. L’autore di Cybersecurity for Dummies cita una ricerca Palo Alto Network secondo la quale il 90% del malware sconosciuto o mirato, in grado di eludere gli antivirus tradizionali, è veicolato da real-time web application invece che da email, sotto forma di attachment. È quello che si definisce il meccanismo drive-by-download.

I sistemi di security port-based non bastano più

Oggi è diventato quasi impossibile chiudere tutte le strade attraverso le quali un malware può penetrare in un network e in un endpoint attraverso il drive-by-download o altre tecniche utilizzate per iniziare il ciclo di vita dell’Apt. La ragione principale è che nell’era dei social media, della digital economy, del cloud e del mobile, la superficie di attacco si è espansa a una velocità superiore a quella con cui molti vendor di security riescono a fornire le contromisure ai loro clienti. I firewall e gli Ips più diffusi (o port-based) classificano i tipi di traffico basandosi sulle porte utilizzate solitamente dai singoli programmi. In base al livello di affidabilità o meno di un programma, il firewall consente o inibisce il flusso di dati attraverso la porta da esso utilizzata. L’Ips va più in profondità. Presupponendo che un’applicazione si presti a veicolare certi tipi di minacce e non altre, va ad applicare un set circoscritto di signature alla porta utilizzata dall’applicazione: non prova, come fa notare il libro Cybersecurity for Dummies, tutte le signature su tutte le porte.

A complicare la situazione si è aggiunto il fatto che sempre più applicazioni sono progettate per eludere i sistemi di security tradizionali attraverso il cosiddetto port hopping. Cambiano cioè continuamente le porte in modo da evitare che l’intervento del firewall, dell’Ips o dell’antivirus degradino la “user experience”. Disegnate in questo modo non sono soltanto le applicazioni social ma anche molte nuove business application.

Grazie al social engineering, gli hacker riescono a sfruttare le applicazioni che usano il port hopping – oppure quelle che utilizzano (spesso anche in combinazione con il port hopping) sistemi di crittografia – per far penetrare nel network il malware destinato al tipo di attacco Apt desiderato. Questo può consistere, per esempio, nel permettere, step by step, una presa di controllo diretto del target da parte dell’attacker, oppure trasformare una o più macchine di un’azienda in bot (sistemi infetti controllati da remoto) destinati a far parte di una botnet, controllata da server remoti, con cui condurre azioni Apt nei confronti di utenti esterni o altre aziende (spamming, DDoS e così via).

Il primo passo per difendersi in questo nuovo scenario è rendersi conto che, sempre più spesso, i malware non agiscono individualmente, ma in rete e con azioni coordinate e pazienti. Alle nuove soluzioni di security, quindi, va chiesto di offrire contemporaneamente la capacità di analizzare tutti i movimenti nel loro insieme, e in caso di bisogno penetrare in profondità per contrattaccare in modo mirato ed efficace.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3