SAN FRANCISCO – Durante la scorsa Rsa Conference 2015, (vedi articolo di resoconto “Rsa: 5 passi per una nuova security”) ZeroUno ha avuto l’occasione di intervistare Bob Griffin, Chief Security Architect di Rsa, e Daniel Cohen, Head of Business Development della stessa azienda, per discutere di come sta evolvendo il cybercrime e di cosa dovrebbe fare chi si occupa di sicurezza informatica per adeguarsi ai nuovi scenari.
“Un fenomeno globale, senza confini, dove c’è un’offerta di servizi ampissima – esordisce Cohen – Si può davvero parlare di un mercato a tutti gli effetti. Il cybercrime sta mimando in tutto e per tutto il nostro modello economico: si contano un numero vastissimo di imprese specializzate nei più svariati servizi; i clienti possono avere delle garanzie e se sono insoddisfatti vengono rimborsati; in certi casi è possibile testare gratuitamente i prodotti prima dell’acquisto”. Come ha spiegato il manager, i listini prevedono persino una diversificazione dei prezzi in base agli strumenti di sicurezza adottati dalla vittima: nel caso per esempio dei Ddos, se questa ha un sistema di difesa specifico, i costi dell’attacco diventano più alti (il fatto che però questo non renda affatto l’attacco stesso impossibile fa molto riflettere sull’effettiva efficacia di molti sistemi di protezione Ddos adottati dalle aziende). La mobility ha complicato ulteriormente le cose: “Non è più un’opzione, ma una necessità – ha detto Griffin – Ognuno di noi si collega regolarmente con i propri device mobili a reti wireless di hotel, aeroporti, luoghi pubblici e si scaricano sempre più spesso applicazioni di cui non si conosce esattamente la provenienza”: questa apertura ci rende inevitabilmente più esposti e genera nuove vulnerabilità sfruttabili dagli hacker.
Un mercato florido: attaccanti impuniti e servizi sempre più specializzati
Questa serie di evoluzioni si traduce in un mercato che sta divenendo sempre più florido: “In un mondo connesso come quello attuale – spiega Cohen – siamo tutti più dipendenti da username e password, e questo è un forte vantaggio per i criminali”. Aumentano i guadagni e i prezzi dei servizi offerti si abbassano: “Si consideri anche – prosegue Cohen – che i cyber criminali restano quasi sempre impuniti: il numero di attacchi è ovunque così elevato che i governi non possono riuscire a indagare tutte le persone coinvolte e devono limitare le proprie ricerche a poche figure e organizzazioni ritenute particolarmente pericolose”; la maggioranza dei criminali resta quindi sostanzialmente incontrollata.”: la maggioranza dei criminali resta quindi sostanzialmente incontrollata. E per avere un’idea della specificità dell’offerta che si può trovare nel “Deep Web”, Cohen ha citato un servizio in particolare: mentre alcuni siti si occupano della vendita di numeri di carte di credito, altri fanno in modo che questi stessi numeri si traducano in guadagni; si stratta di “finti negozi on-line” che mimano del tutto un regolare processo di compravendita, come se la carta fosse stata usata normalmente: “Ma l’acquisto in realtà non è stato fatto dal legittimo proprietario, la merce non esiste e qualcuno ha ovviamente già recuperato i soldi del pagamento”, spiega Cohen.
A complicare ulteriormente lo scenario la gravità del fatto che gli attacchi, sempre più sofisticati, sembrano in certi casi coinvolgere anche i governi: “Spesso non è possibile provarlo, ma si intuisce chiaramente l’esistenza di una collaborazione tra crimine informatico e Stati”, dice Griffin, che fa poi notare un altro aspetto di cui è importante prendere coscienza: “Non sempre c’è un fine estorsivo evidente: alcuni cyber criminali sembrano agire con l’obiettivo di distruggere l’ambiente informatico che hanno di fronte, creare un danno semplicemente per dimostrare che se vogliono, possono farlo”.
L’utente, vittima “giustificata”: le tecnologie devono supportarlo
Di fronte al crescere del numero e della sofisticatezza degli attacchi, l’utente diventa una vittima il cui errore è “giustificato”: il social engineering (tecniche di manipolazioni psicologiche usate dagli aggressori online per spingere le persone a comunicare codici di accesso, aprire allegati infetti, visitare siti contenenti materiali pericolosi, e in generale a divulgare informazioni confidenziali o svolgere azioni che favoriscano l'esito positivo di un attacco – ndr) è la via più semplice e più usata per perpetrare attacchi, e certamente una maggiore formazione delle persone potrebbe aiutare a frenare il fenomeno; tuttavia, pensando per esempio al phishing, sta diventando difficile per chiunque riconoscere le e-mail da evitare. Avere a disposizione tecnologie capaci di segnalare le minacce è quindi più che mai necessario. “Il phishing diventa più raffinato, ma le persone dietro lo schermo sono sempre le stesse – dice Cohen – La tecnologia deve essere in grado quindi di aiutarle: non solo segnalando se viene registrata una anomalia, ma anche fornendo un quadro completo e individuando le priorità” (a questo vogliono servire le soluzioni Rsa Security Analytics, Web Threat Detection, e Advanced Fraud Intelligence ricordate nell’articolo “Rsa: 5 passi per una nuova security”). Ma questo ancora non basta; è necessario anche collaborare e condividere i dati a livello extra-aziendale: “Esistono comunità che possiamo definire ‘circoli di fiducia’ che stanno già facendolo. È il caso per esempio della ‘New York Financial Services Community’, gruppo che peraltro sta lavorando molto proprio sull’individuazione delle tecniche di social engineering. Credo sia un modello che può funzionare”, dice Griffin, che è invece più dubbioso quando si parla di condivisione a livello di Sistema Paese: “Diventa più complesso perché entra in gioco la difficoltà nello stabilire qual è il giusto compromesso tra privacy e sicurezza”. Su questo tema Cohen aggiunge: “Almeno tra i vendor però, lo sforzo in questo senso dovrebbe aumentare, si dovrebbe riuscire a mettere a fattor comune molte più informazioni”.