Sempre più aziende impiegano il cloud per dare agli utenti nuovi servizi, fornirli più velocemente, riducendo gli oneri tecnologici in modo da concentrarsi sul core business. L’adozione del cloud è un trend positivo nel processo di modernizzazione delle imprese, accompagnato purtroppo da un rovescio della medaglia. Il cloud non solo accelera i business “leciti” ma anche le meno desiderabili forme di cyber crime, fornendo spazi per inserire malware e altri supporti per attività dannose o illegali. Il passaggio all’IT ”as a service”, insomma, riduce i costi e aumenta la produttività anche di chi opera nell’illegalità.
I malware in cloud sono in genere software dannosi che sfruttano la nuvola per la loro distribuzione, per comandare o controllare reti di sistemi compromessi, oppure per aggirare i sistemi di controllo e sicurezza.
Nello studio “Lurking Malice in the Cloud: Understanding an detecting Cloud Repository as a malicious service” del Georgia Institute of Technology, i ricercatori hanno sistematicamente scandagliato il regno del cloud scoprendo un problema molto più diffuso di quanto molti possano immaginare: circa il 10% dei dati contenuti nel cloud è sospetto oppure ha subìto qualche tipo di compromissione. Questo dato include l’utilizzo dello storage in cloud per la distribuzione di contenuti pericolosi, come toolkit per assemblare i malware a partire da loro parti per ridurre le possibilità di rilevamento, tool per prendere il comando, controllare altri sistemi o comunque dare supporto ad attività dannose. Spiegando come hanno condotto l’indagine, i ricercatori ci hanno offerto un’utile guida per scovare i pericoli e realizzare la difesa.
Identificare i contenuti pericolosi nel cloud
I risultati dell’indagine del Georgia Institute of Technology possono essere utili per tutti i soggetti coinvolti nell’impiego del cloud. Innanzitutto gli utenti finali, le aziende in primis, che possono facilmente diventare un bersaglio per attacchi che si basano sui contenuti pericolosi nel cloud. Comprendere come viene usato il cloud per compiere attacchi informatici è fondamentale per progettare le strategie di difesa. La conoscenza aiuta a mantenere sotto controllo la situazione e quindi a prevalere nell’impiego delle tecniche di security intelligenti. Sapere come vengono portati a compimento gli attacchi è utile per sviluppare sistemi di rilevamento e prevenzione in grado di segnalare o idealmente prevenire le attività che possono danneggiare l’azienda.
I risultati della ricerca risultano utili anche ai cloud service provider. Il fatto di ospitare, anche inavvertitamente, contenuti dannosi o diventare la piattaforma di lancio per attacchi malware o di altre attività illegali non solo mette a rischio la reputazione, ma può avere potenziale impatto economico. La banda di rete o di storage a disposizione dei clienti legittimi può essere sottratta dalle attività illegali. Anche nel caso in cui i pagamenti per l’uso delle risorse vengano onorati, costituisce grave rischio ritrovarsi, per esempio, a ospitare le credenziali di carte di credito rubate o avere dei criminali tra i propri clienti.
I ricercatori hanno esaminato 20 tra i più diffusi cloud repository, alla ricerca di contenuti pericolosi, distinguendo liste di spazi dati del tutto legittimi, “Goodset”, e una “Badset” contenente codici malware, anche per compromissioni non rilevate dagli utenti. I ricercatori hanno usato un approccio automatizzato per determinare se i contenuti erano legittimi o dannosi basandosi sulle caratteristiche dei contenuti. Per esempio, sulla presenza o meno dei trucchi che comunemente vengono usati per impedire una facile scoperta dei malware (usando un proxy o un gatekeeper). L’approccio mediante uno scanner automatizzato realizzato ad hoc (BarFinder) così come l’analisi contestuale e topografica del contenuto ha permesso ai ricercatori di arrivare al risultato. Sfruttando tecniche automatizzate di scansione i ricercatori hanno compiuto un’analisi sistematica dei siti collegati a gruppi noti per attività nefande. Visitando i siti e tornandoci periodicamente, i ricercatori hanno stabilito per quanto tempo restano attivi (quindi rilevato la velocità del provider nello scoprirli e cancellarli), così come analizzato l’efficacia delle tecniche che permettono ai siti di continuare a operare.
Mitigazione del rischio e difesa dai contenuti pericolosi
Cosa si può fare per ridurre il rischio ed eliminare contenuti pericolosi? Per i service provider, il suggerimento è quello di adattare alla propria realtà il metodo usato dai ricercatori del Georgia Institute of Technology. I contenuti pericolosi sui sistemi cloud assorbono risorse preziose, la loro eliminazione offre un incentivo economico. I provider hanno un ulteriore vantaggio rispetto ai ricercatori dell’Università: possono accedere con sonde automatiche agli archivi dati e fare analisi più dettagliate dei contenuti. La conoscenza della situazione permetterà d’indirizzare meglio le capacità di gestione di cui già dispongono.
Per le aziende utenti, le azioni possono essere differenti. Da una parte è utile conoscere gli estremi del rischio, dall’altra alcune tecniche usate dai ricercatori possono essere impiegate per sviluppare controlli e contromisure. Le misure più semplici da prendere sono le seguenti. Mettersi in contatto con il fornitore di servizi cloud per implementare soluzioni che riducano il rischio nei servizi che l’azienda impiega. Instaurare controlli nell’accesso degli utenti ai repository di dati non sicuri o che l’azienda ritenga inappropriati.