Dai personal computer agli smartphone, dai tablet ai server. Nessun device e nessun utente oggi è realmente sicuro. Quando si pensa di conoscere i pericoli cui si può andare incontro (e si pensa di averne messo al riparo la rete aziendale) navigando su Internet, scaricando email, inserendo una chiavetta Usb nel Pc, installando un’app sul telefonino o su una “tavoletta”, c’è già qualcuno che ha dismesso qualche vecchia tecnica di attacco ai sistemi informatici e sta iniziando a utilizzarne una nuova. E non è solo una questione di tecnologie.
Da un anno all’altro cambiano anche gli obiettivi, le strategie per il loro raggiungimento così come le tattiche per ottenere lo scopo finale, oggi soprattutto economico o politico. Sono ormai relegati agli annali del passato It gli hacker che scommettevano sulla loro capacità di violare le barriere di sicurezza di grandi aziende o istituzioni, agendo spesso in solitaria o alleati in piccoli gruppi: oggi da temere sono soprattutto organizzazioni di cybercriminalità o i cosiddetti “hacktivist”, associazioni di persone esperte in violazioni informatiche (soprattutto come denial-of-service e defacing di siti Web), prestati a qualche causa politica o umanitaria.
Device mobili e app di terze parti
Le minacce provenienti dall’esterno di un’azienda tendono sempre a colpire – anche per poter penetrare più in profondità – gli endpoint, ovvero i device utilizzati dagli addetti. Che sempre più non sono solo i classici desktop o notebook, ma anche smartphone e tablet. Come osserva Ibm nell’Ibm X-Force 2011 Mid-Year Trend and Risk Report, questi device mobili sono sempre più allettanti per chi sviluppa malware. La loro base utenti è in crescita e certi tipi di infezioni permettono di far cassa in modo semplice e rapido. È il caso, per esempio, delle applicazioni per la creazione di Sms premium rate: l’utente viene indotto a inviare un Sms a un numero specifico che gli addebita un costo a fronte di un servizio, in realtà, inesistente. Sia la veicolazione di infezioni di questo tipo, sia quella di malware in grado di sottrarre informazioni dal device mobile dell’utente – da utilizzare, magari, per la creazione di successivi messaggi di phishing mirato – avvengono prevalentemente attraverso app di terze parti scaricate dagli app store. Da segnalare, inoltre, applicazioni maligne che permettono anche di spiare le comunicazioni personali o tenere traccia degli spostamenti fisici attraverso le tecnologie Gps sempre più presenti su questi dispositivi.
Sempre più “pesci grossi” nel mirino
Sia lo studio di Ibm – che fa leva sul monitoraggio di circa 12 miliardi di eventi quotidiani legati alla sicurezza – sia, fra altri, anche uno commissionato di recente da Websense alla società di analisi Dynamic Markets (1.000 It manager e 1.000 dipendenti non-It intervistati in Usa, Uk, Canada e Australia), pongono sotto i riflettori il fenomeno crescente degli attacchi di tipo Advanced Persistent Threat (Apt). Noti anche come “targeted attack”, si caratterizzano per l’utilizzo di tecniche sofisticate, un’attenta pianificazione, perseveranza e disponibilità di risorse. Spesso le organizzazioni che le attuano – ricorrendo sovente anche a una divisione del lavoro – arrivano, prima di raggiungere l’obiettivo finale, anche a modificare più volte le tattiche in risposta a cambiamenti di contromisure prese dai responsabili It dell’organizzazione bersaglio. È chiaro che il “fine” deve giustificare i “mezzi”. La contropartita deve essere di tutto rispetto, come un database contenente i dati delle carte di credito dei clienti di una catena alberghiera, le informazioni sanitarie dei pazienti di un ospedale, i progetti di nuovi prodotti di un’azienda o le informazioni personali dei dirigenti di un’organizzazione. Per denotare le attività Apt che mirano a obiettivi di quest’ultimo tipo si usa il termine “whaling”. A fare da contraltare al fenomeno degli “attacchi di alto profilo”, è il calo di quelli di massa, anche in conseguenza dei successi ottenuti in tempi recenti dalle autorità di polizia contro le botnet.
Attenzione ai profili sui social network
Detto questo, non è che tutte le tecniche tradizionali non fungano più allo scopo. Motivo per cui chi si occupa di sicurezza nelle aziende non deve pensare di ridurre gli investimenti in tecnologie di protezione mature come gli antivirus, gli antispyware e l’antispamming. Al contrario, è opportuno che tra questi sistemi si scelgano quelli più innovativi, facili da installare e usare, ed efficaci – grazie anche a continui aggiornamenti automatici dal cloud – nel contrastare le nuove forme in cui si ripresentano vecchi tipi di malware e vulnerabilità. I quali sono sempre più spesso aiutati a superare le barriere tecnologiche dall’utilizzo del social engineering, che punta sulla buona fede dell’utente. Attraverso l’analisi dei dati personali “postati” dagli utenti sui siti di social networking, infatti, gli spammer sono in grado di creare messaggi con oggetti che convincono l’utente ad aprirli. All’interno delle email, quindi, inseriscono link abbreviati nei quali non sono riconoscibili i nomi reali dei siti target (e dato che chi utilizza i social network ha sempre più familiarità con le abbreviazioni dei link l’edpidemia si diffonde facilmente).
Attacchi al cuore dell’impresa
Un’altra tecnica malevola che non conosce tramonto è quella conosciuta come Sql Injection. Sfrutta vulnerabilità nei siti Web aziendali e consente agli hacker di accedere ai database per prelevare informazioni critiche come, per esempio, numeri di carte di credito o password. A seguito di un test condotto su 700 website, compresi alcuni di aziende delle classifica Fortune 500, Ibm ha scoperto come il 40% dei siti presenti ancora problemi di Client-side Javascript Vulnerability. Questo dimostra come vi siano ancora, affermano in Big Blue, “zone cieche” nella sicurezza in molte organizzazioni. A quelle presenti nelle architetture It si aggiungono quelle esistenti nei comportamenti e nei processi; che potrebbero essere eliminate aggiungendo un mix di nuove soluzioni, policy e formazione degli utenti finali. Tra questi problemi insidiosi si segnala soprattutto il fenomeno del Data leakage o Data loss, ovvero la fuoriuscita di informazioni riservate dovuta a comportamenti dolosi o inconsapevoli dei dipendenti di un’azienda. Secondo la ricerca Websense, il 37% delle imprese dichiara che i propri dipendenti hanno perso dati di report, il 24% che sono stati divulgati dati confidenziali sul Ceo o altri dirigenti e il 20% ammette di avere visto informazioni riservate pubblicate sui social network (figura 1). Eppure solo il 2% delle aziende coinvolte nel sondaggio utilizza soluzioni Dlp (Data loss prevention); la buona notizia è che il 23% ha iniziato o accelerato l’adozione di tali sistemi.
Figura 1 – Causa di perdita o diffusione impropria di dati riservati
(cliccare sull'immagine per visualizzarla correttamente
La sicurezza è la preoccupazione maggiore di chi sta prendendo in considerazione la trasformazione del data center aziendale in un’ottica cloud. Secondo la ricerca Data Center Survey 2011 commissionata da McAfee a Gabriel Consulting Group (Gcg), per quasi metà dei responsabili di data center la virtualizzazione e il cloud computing pongono sfide eccezionali sul fronte della sicurezza. In particolare, il 70% degli intervistati è scettico sulla sicurezza dei cloud pubblici. Dal 2011 State of Cloud Survey, promosso da Symantec e realizzato da Applied Research (5.300 organizzazioni di 38 paesi intervistate da aprile a luglio 2011), risulta che la sicurezza costituisce il principale dei “biggest challenge” rispetto all’adozione del modello cloud (82% del campione), seguita da performance (78%), compliance (76%) e costi (74%). A preoccupare non sono uno o due tipi di minacce in particolare, ma tutto l’insieme di rischi che incombono su un sistema informativo e che, nel loro insieme, sono ritenuti molto preoccupanti per una quota di intervistati variabile tra il 52 e il 58% (guardare nel dettaglio le principali preoccupazioni, in termini di security, associate al modello cloud – figura 2). Per il campione della ricerca Symantec, comunque, la sicurezza rappresenta simultaneamente sia un problema sia un obiettivo per chi si accinge a creare un cloud. Una constatazione che dà ragione a chi suggerisce di considerare la security fin dalle prime fasi della progettazione di un cloud.
Figura 2 – Principali preoccupazioni relative alla cloud security
(cliccare sull'immagine per visualizzarla correttamente)