La percezione che si ha delle problematiche di sicurezza It oggi è molto diversa da quella di solo pochi anni fa. Negli ultimi tempi, più che parlare di virus, worm, trojan e spam, oggetti che si ritengono simbolici di un’epoca quasi romantica dell’hacking e sufficientemente tenuti a bada dai firewall, dagli Ips (intrusion prevention system) e dagli antimalware installati sugli endpoint, si è teso a dibattere a più alto livello di cybercriminalità organizzata, hacktivism (hacking con finalità di dimostrazione o di sabotaggio con finalità politiche), social engineering, frodi e minacce sofisticate come l’Apt (Advanced persistent threat). Questi discorsi, assolutamente attuali e necessari, hanno finito per mettere un po’ in ombra il malware – stringhe di codice o vere e proprie applicazioni software – che restano pur sempre le armi con le quali i malintenzionati di ogni genere perpetrano le loro azioni più o meno raffinate. Con la differenza, come spiega bene, fra gli altri, il libro Modern Malware for Dummies di Lawrence C. Miller promosso da Palo Alto Networks, che i “malware moderni” riescono facilmente a eludere i tradizionali sistemi antivirus signature-based e i firewall port-based. E spesso non agiscono in modo isolato, ma fanno parte di gruppi di malware differenti utilizzati in modo coordinato nell’ambito di attacchi condotti in modo organizzato, paziente, silenzioso e molto mirato. Per controbattere a queste minacce, quindi, bisogna innanzitutto capire il nuovo scenario di tecnologie e applicazioni che gli utenti e le aziende utilizzano a livello di endpoint, reti e data center, come gli hacker sono in grado di sfruttare ciascuna di queste componenti per veicolare il malware, e infine adottare gli strumenti in grado di individuare i codici maligni attraverso attività di analisi e correlazione di eventi potenzialmente anomali, nonché di adottare contromisure idonee a bloccare o mitigare gli effetti degli attacchi. A livello tecnologico, significa implementare sui client degli utenti gli opportuni e necessari antivirus e antimalware nonché installare sulle reti firewall di nuova generazione in grado di avere una visibilità completa dei traffici di dati e di applicare policy granulari per applicazioni, contenuti e utenti.
Il ciclo di vita degli attacchi
Come spiega il libro Modern Malware for Dummies, per comprendere meglio la natura, gli obiettivi e il modo di agire del malware è opportuno tenere a mente il ciclo di vita degli attacchi. Questo è suddiviso in quattro fasi: infezione, persistenza, comunicazione e comando e controllo (Command & Control). L’infezione, banalmente, è lo stadio in cui il malware – di diversa natura (botnet, virus, worm, trojan horse, rootkit, bootkit, backdoor, spyware, adware etc.) – compromette un sistema, endpoint o server. Quando parliamo di botnet, in realtà, non ci si riferisce a un pezzo di software, ma a una rete di computer compromessi e che, come automi (bot), si prestano a essere utilizzati come armate per condurre attacchi silenziosi e di sorpresa verso sistemi della stessa organizzazione in cui viene utilizzato il computer infettato, o molto spesso verso altre realtà. In quest’ultimo caso, le vittime sono due: l’organizzazione in cui uno o più computer sono diventati parte della botnet, e, ovviamente, l’azienda bersaglio.
Già, ma come fanno i malware a infettare i sistemi? Fino a dieci e venti anni fa, la maggior parte dei virus arrivava negli endpoint dei sistemi It attraverso le email e i supporti di memorizzazione removibili. Individuare i malware era relativamente facile scansionando gli allegati della posta elettronica o i file presenti nel media removibile e confrontandoli con database di signature di file scaricati periodicamente dai software antivirus dai siti web dei rispettivi produttori. Con la crescita dell’utilizzo di Internet, le aziende hanno iniziato a installare sulle reti anche firewall, Ips e server proxy che, identificando i tipi di traffico dati in base alle porte e ai protocolli utilizzati, scansionano le parti di traffico di loro competenza. Il problema, oggi, è che una percentuale crescente di malware sfugge alla rilevazione (detection) da parte dei firewall e degli Ips tradizionali, e agli antimalware a bordo degli endpoint per diversi motivi.
Una guerra di intelligence
Uno dei motivi per i quali i malware moderni riescono a eludere i sistemi di sicurezza tradizionali è che non sono ancora stati riconosciuti e quindi possono agire indisturbati fino a che i produttori di security non ne hanno creato la signature con cui aggiornare i motori di detection integrati negli antimalware. Diverse le ragioni per cui le signature possono arrivare anche con giorni, settimane e mesi di ritardo: una è la tendenza dei malware a mutare, sia a opera degli sviluppatori stessi, che rilasciano di continuo nuove versioni, sia tramite il polimorfismo; un’altra è la tendenza degli hacker a sviluppare malware mirati a determinati utenti o sistemi, oppure a Paesi specifici. In quest’ultimo caso si riduce la possibilità di reperire campioni di malware e quindi generare l’opportuna signature.
Un altro modo in cui il modern malware riesce ad aggirare le barriere dei firewall – sulla rete o sugli endpoint – e degli Ips, è l’utilizzo di porte non-standard per un determinato tipo di applicazione o protocollo di comunicazione. I firewall e gli Intrusion prevention system attualmente più diffusi non riescono ad applicare tutti i tipi di policy a tutti i tipi di traffico. Invece i malware più avanzati sono in grado di utilizzare porte sulle quali non sono attesi o addirittura di saltare da una porta all’altra fino a che non trovano il passaggio libero. Un terzo stratagemma è l’utilizzo, per essere veicolati, di applicazioni come webmail, sistemi di instant messaging e peer-to-peer, social network, che utilizzano tecnologie di crittografia standard (come Ssl) o proprietarie. Una volta raggiunto l’obiettivo di compromettere un sistema, il malware deve cercare il modo di non essere scoperto a posteriori, almeno finché non ha ultimato la sua missione. Fra le tecniche utilizzate, una è quella di annidarsi nella root dei sistemi (specialità dei rootkit) o nel master boot record (come fanno i bootkit), in modo da compromettere anche l’antivirus a bordo del sistema e impedirgli la rilevazione e la disinfezione. Un’ulteriore tecnica è quella di aprire delle backdoor. In questo modo il virus si riserva una o più alternative per continuare a operare.
Una caratteristica dei malware moderni, del resto, è la capacità di adattarsi per un tempo più lungo possibile alle contromisure prese sul sistema compromesso. Durante questa “persistenza”, i malware instaurano dei canali di comunicazione con i sistemi dei loro proprietari. Anche queste comunicazioni tendono a utilizzare sempre più spesso tecniche di crittografia o a essere incapsulate (tunneling) in comunicazioni crittografate di altre applicazioni considerate legittime dai firewall. La conseguenza dello stabilirsi della comunicazione è l’attività di Command & Control attuata in modo automatico dai server C&C delle botnet o manualmente dagli hacker per esfiltrare informazioni o effettuare transazioni fraudolente. Individuare, riconoscere e contrastare tutti questi malware specializzati, e capaci di mimetizzarsi, nonché le loro attività subdole, richiede l’utilizzo di soluzioni multidisciplinari con elevate capacità di intelligence e ridotto impatto sulle prestazioni dei sistemi It.