EDR vs CLASSIC ANTIVIRUS EDR vs CLASSIC ANTIVIRUS
  • Homepage
  • Blog
  • Homepage
  • Blog

IT Security

EDR vs CLASSIC ANTIVIRUS

La nuova tecnologia per difendersi dalle moderne minacce informatiche si chiama EDR (Endpoint Detection and Response).

Quali sono le caratteristiche di un EDR

I diversi vendor forniscono soluzioni molto eterogenee tra loro, e ogni EDR ha le proprie peculiarità, ma alcune caratteristiche li definiscono:

  • Cataloga gli Endpoint (pc, server, dispositivi mobili ecc.) e ne mantiene nel tempo una cronistoria.
  • Raccoglie una grade quantità di data collection, threat patterns, e allerts in modo da poter fare approfondite analisi.
  • Capacità di analisi forense in base alla gran mole di dati raccolta.
  • Applica velocemente dei rimedi per evitare le minacce.

La differenza tra un EDR e un Antivirus

Le caratteristiche distintive di un EDR sono molte, tuttavia quella fondamentale è quella di poter fare analisi forense e riconoscere il modo in cui il malware è arrivato al target.

Quali sono i benefici di un EDR ?

Grazie a specifici moduli aggiuntivi, quasi sempre un EDR ha anche la possibilità di fermare in modo attivo le minacce.

Il principale punto di vantaggio si basa proprio sulla capacità di riconoscere una minaccia senza l’uso di signature. Mentre un comune Antivirus ha necessità di aggiornare costantemente le proprie firme per riconoscere un virus, un EDR riconosce il virus in base al suo comportamento.

In altre parole volendo ragionare per paradossi, un EDR di una versione di 2 anni fa, può fermare un virus creato oggi, di cui non conosce nulla e non ha alcuna firma.

Oltre a questo importantissimo plus, ce ne sono molti altri, tra i quali vale la pena sottolineare la grande capacità di correlare gli eventi critici e fornire importanti strumenti di analisi forense.

Non ultimo va considerata anche la naturale propensione di un EDR a convivere con altri strumenti di sicurezza, come ad esempi tradizionali Antivirus legacy, senza creare conflitti e malfunzionamenti.

E’ efficace contro i Ransomware?

La risposta è ovviamente SI. Tipicamente i moderni Ransomware non seguono più attacchi a “strascico” ovvero diffuse, ma alcuni di questi sono attacchi a target, costruiti per uno specifico scenario o cliente.

Di conseguenza è difficile pensare che un Antivirus conoscano ed abbia le firme per bloccare un numero che si avvicinano ai 350.000 nuovi malware creati ogni giorno!

EDR riconosce la minaccia in base al suo comportamento, quindi il tempo di reazione è zero, non ha bisogno che qualcuno crei una patch ed una firma per bloccare l’attacco.

Perchè un EDR è perfetto per il mondo ICS?

Dal punto di vista di un progettista o tecnico del automazione, una delle più grandi paure è installare un Antivirus in un server SCADA. Il motivo è semplice, potrebbe riconoscere come un virus un normale processo o query (falso positivo). Questo aspetto rende sempre molto difficile convincere gli addetti ad utilizzare sistemi Antivirus e mantenere aggiornati i client e server.

Al contrario un EDR non ha questo tipo di problema. Ovvero non avendo un bisogno di un aggiornamento delle signature, non incorre nel rischio di riconoscere un processo od una query come una minaccia a causa dell’ultimo aggiornamento. Di contro è in grado di bloccare minacce costruite adhoc per il monto ICS/OT.

Ne deriva che EDR è perfetto per gli ambienti ICS. L’EDR può essere messo inizialmente configurato in una modalità di apprendimento (learning), in cui capisce quali sono i normali e comuni processi. Successivamente si potrà passare alla fase di protezione attiva. Tutto questo grazie ad un forte utilizzo dell’intelligenza artificiale AI.

Read More

Cos’è lo standard Nerc

Il North American Electric Reliability Corporation (NERC), è un’associazione no-profit, che si occupa di creare standard per la messa in sicurezza di importati impianti elettrici.

Nerc Cip

Tra questi standard è stato creato il NERC CIP, che ha come obbiettivo quello di assicura la sicurezza del perimetro e dell’aspetto legato alla Cyber Security.

Dove si applica?

E’ uno standard diffuso nel Nord America, dove gli impianti grid e smart grid, non possono sottrarsi alla loro applicazione! Diversamente da altri Standard che si è soliti affrontare come il NIST o ISA-99, il NERC CIP per gli stati coinvolti, è un obbligo!

Cosa si rischia se non si rispetta ?

Per chi non soddisfa lo standard Nerc Cip negli Stati del Nord America le sanzioni sono pesanti, ecco quanto previsto dal documento ufficiale:

“Violations of compliance costing up to $1 million penalty per day“

Cosa prevede lo Standard NERC CIP ?

Si presenta come un insieme di regole e best practices che devono essere sviluppate durante l’implementazione delle Centrali e Sottostazioni elettriche e per tutto la loro durata.

Alcune definizioni sono obbligatorie per comprendere meglio lo standard.

  • BES – Bulk Electronic System ovvero tutti gli elementi e le strutture che compongono il sistema di Centrale, Sottostazione e Distribuzione.
  • BEA – Bulk Electronic Asset ovvero una risorsa informatica, che se resa non disponibile, degradata o funzionante in modo improprio per 15 min o più, avrebbe un impatto negativo sulla infrastruttura BES.
  • IED – Intelligent Electronic Device, sono i dispositivi elettronici che comunicano tra loro tramite media e protocolli come Modbus, DNP, IEC 61850 ecc.

Per semplicità le riassumiamo in questa tabella:

ArticoloScopoCome
CIP-002-5.1a BES
Cyber System Categorization
Identificare e classificare i sistemi informatici BES in base al rischio a cui sono esposti dal punto di vista della Cyber Security.Identificando i BES e loro funzioni. Assegnare al BES un peso strategico di importanza e indica come andrebbe protetto. Identificare e classificare tutte le risorse o sistemi BEA che potrebbero causare problemi se compromesse. Separare logicamente i BEA in sottosistemi e classificarli secondo una grado di criticità da grave (critico) a basso.
CIP-003-7 S
Security Management Controls
Identificare e classificare le responsabilità dei sistemi informatici relativi al BES, in base al rischio a cui sono esposti dal punto di vista della Cyber Security.Redando la documentazione relativa.
CIP-004-6
Personnel & Training
Ridurre al minimo il rischio di compromissione che potrebbe portare a un cattivo funzionamento o instabilità dei BES. Richiede che il personale che accede ai sistemi BES sia formato e consapevole in tema di Cyber Security.Formando gli addetti sul tema della Cyber Security.
CIP-005-6
Electronic Security Perimeter(s)
Gestire il corretto accesso elettronico al perimetro, in modo che eventuali vulnerabilità non compromettano il funzionamento dei BES.Definendo la creazione di un perimetro attorno ai sistemi informatici, nonchè le policy per proteggere tutti i protocolli instradabili (profinet, DNP3, 104 ecc.). Fornire un accesso sicuro da remoto, mettere in campo. Fornendo sistemi con crittografia della sessione remota, autenticazione a più fattori, aggiornamenti anti-malware, aggiornamenti delle patch e utilizzo del protocollo di autenticazione robusti, per limitare l’accesso in base ai ruoli.
CIP-006-6
Physical Security of BES Cyber Systems
Gestire l’accesso fisico ai sistemi BES.Mettendo in atto una serie di attività volte a limitare e controllare l’accesso fisico ai BES. Ad esempio monitorando l’accesso fisico ai sistemi (videocamere), registrando gli accessi (registro accessi).
CIP-007-6
System Security Management
Gestire la sicurezza del sistema specificando determinati requisiti tecnici, operativi e procedurali a supporto della protezione dei BES.Implementando misure di sicurezza dei sistemi, come la disabilitazione di porte non utilizzate, la limitazione di supporti rimovibili, patch di sicurezza, gestione delle password, ecc. Comprende anche il rilevamento di violazioni della sicurezza, malware, ecc. Registrare eventuali test e procedure.
CIP-008-5
Incident Reporting and Response Planning
Prevedere un piano di mitigazione e risposta per i sistemi BES in caso di incidente.Creando un piano di risposta agli incidenti che dovrebbe includere le azioni, i ruoli e le responsabilità delle persone coinvolte, nonché i dettagli su come gli incidenti dovrebbero essere gestiti e segnalati agli organi di governo. Questo piano dovrà essere aggiornato ogni anno e testato.
CIP-009-6 Recovery
Plans for BES Cyber Systems
Prevedere un piano di ripristino per i BES in caso di incedente.Fornendo sistemi di backup, business continuity, nonché le informazioni di recupero. Individuando i responsabili di tali processi.
CIP-010-2
Configuration Change Management and Vulnerability
Prevenire e rilevare modifiche non autorizzate ai sistemi informatici BES. Registrare le modifiche alla configurazione ed effettuare la valutazione della vulnerabilità presenti nei sistemi.Implementando sistemi di monitoraggio e prevenzione sulle configurazioni dei sistemi.
CIP-011-2
Information Protection

Prevenire l’accesso non autorizzato alle informazioni del sistema informatico BES.
Fornendo sistemi di documentazioni robusti, cifrati e a doppia autenticazione.
CIP-014-2
Physical Security
Identificando e proteggendo fisicamente anche le stazioni e sotto-stanzioni che se compromesse potrebbero rendere i sistemi instabili o non funzionanti.Implementazione di barriere fisiche, controllo di forze dell’ordine, addetti alla sicurezza ecc.

Considerazioni

Lo Standard NERC CIP, riprende molti concetti già conosciuti al mondo dell’Industrial Cyber Security, ma lo rende a tutti gli effetti un regolamento che Paesi del Nord America non possono ignorare. Grazie a questo approccio, la sicurezza informatica degli impianti elettrici non è più una “costosa” opzione da fornire al cliente. L’auspicio è quello di una adozione di standard simili in tutto il mondo, anche senza che questo sia un obbligo di legge.

Read More

L’energia: il nuovo bersaglio

Un gruppo di hacker chiamato Xenotime, definito come “il più pericoloso”, ha un nuovo bersaglio: la rete elettrica.

Secondo Dragos, nota compagnia che lavora nell’ambito della sicurezza, le cyber-minacce ai sistemi ICS stanno proliferando.
Non solo, i gruppi di hacker più pericolosi hanno ora rivolto lo sguardo verso uno degli ambiti più importanti e delicati del mondo odierno: l’energia.

Leggi QUI il loro rapporto.

“La minaccia più pericolosa per i sistemi ICS ha nuovi obiettivi nel mirino”, ha detto Dragos. “Questa espansione verso obiettivi a più alto livello illustra una tendenza che probabilmente avverrà anche per gli altri gruppi di hacker che hanno ICS come bersaglio.”

In particolare, lo stesso gruppo di persone che si pensa essere causa di attacchi agli impianti petrolchimici in Arabia Saudita sta ora minacciando le reti elettriche di tutto il mondo.
Gli Xenotime hanno infatti attaccato alcune organizzazioni che operano negli USA in campo energetico utilizzando gli stessi metodi visti precedentemente contro l’Arabia Saudita: il malware conosciuto come TriSIS.

“I proprietari e gli operatori delle risorse di ICS devono essere consapevoli delle tattiche, delle tecniche e delle procedure di questi cyber-criminali.”

Dragos

Lo scopo di tali attacchi è tutt’altro che pacifico o in forma di protesta.
Il malware è stato progettato per causare danni fisici a cose e persone (anche la morte).
Xenotime, infatti, è l’unico gruppo noto che prende di mira solo sistemi strumentati per la sicurezza e a scopi distruttivi.

Solo nel 2019 Dragos ha identificato la correlazione tra i vari attacchi che si sono verificati nel mondo. Questa attività indica che il gruppo potrebbe essere in preparazione per un futuro attacco informatico a vasta scala.

Si sottolinea che il comportamento osservato è una “espansione” e non uno spostamento della minaccia, pertanto le entità petrolifere e del gas devono rimanere vigili.

“Sebbene nessuno degli eventi relativi al servizio di pubblica utilità elettrica abbia portato ad un’intrusione nota e di successo nelle organizzazioni delle vittime fino ad oggi, i tentativi persistenti e l’espansione della portata sono motivo di evidente preoccupazione”.

Dragos

Le organizzazioni che gestiscono sistemi di controllo industriale dovrebbero prepararsi a potenziali scenari di violazione e perturbazione.
La cosa più importante che un team di sicurezza può fare è migliorare la consapevolezza dell’attività della rete ICS.
Le aziende dovrebbero lavorare su scenari che gestiscano la potenziale perdita di integrità dei sistemi, con strumenti di sicurezza, come un team di risposta agli incidenti e un controllo dei dati sia per il confronto con possibili dispositivi compromessi, sia per aiutare il recupero in caso di violazione.

Le infrastrutture ICS – dalle reti elettriche alle fabbriche e alle reti ferroviarie – sono in aumento e “… gli avversari più capaci stanno investendo molto nella capacità di interrompere le infrastrutture critiche come petrolio e gas, energia elettrica, acqua e altro”.

Dragos

Adesso è giunto il momento di pianificare, implementare e applicare gli standard di sicurezza e i processi di risposta negli ambienti industriali.

Read More

Lo standard IEC 62443/ISA 99

E’ un dato di fatto che sempre più speso gli impianti industriali sono presi di mira da attacchi informatici, sempre più specifici e sempre più pericolosi. Dopo Trisis/Triton, non parliamo più di una possibile “semplice” mancata produzione quando un impianto viene attaccato, ma di una minaccia alla sicurezza fisica delle persone (Safety), che in seguito ad un attacco informatico potrebbero pagare anche con la vita.

Alla luce di questo, si può affermare che in un impianto industriale, la Security è importante quanto la Safety, visto che se la prima viene compromessa, anche la seconda è a forte rischio.

Sempre più spesso si sente parlare di Standard IEC 62443 anche detto ISA 99. Ma che cos’è? E’ un obbligo ? Dove si applica ? E soprattuto come si implementa dal punto di vista informatico ? In questo articolo cerchiamo di rispondere a queste domande.

Che cos’è IEC 62443 / ISA 99?

International Society of Automation (ISA) ha creato questo standard con l’intenzione di rendere le infrastrutture Industrial Automation Control Systems (IACS) sicure rispetto alle minacce informatiche.

Questo standard è largamente diffuso e fortunatamente la richiesta di adeguamento sta crescendo, grazie alla sensibilizzazione che l’ambiente (clienti finali, produttori, fornitori, installatori) sta maturando.

Lo standard ISA 99 è suddiviso in 4 macro aree:

  • Documenti generali, descrivono i punti fondamentali dei processi industriali interessati;
  • Policy e procedure, evidenzia l’importanza di seguire le procedure coinvolgendo tutte le persone interessate dai processi, e non affidando la sicurezza a semplici strumenti;
  • Sistemi, procedure e documentazione sull’implementazione dei sistemi di sicurezza,
  • Componenti, descrive i requisiti tecnici di sicurezza da soddisfare.
Schema IEC 62443 / ISA 99

E’ un obbligo l’adozione IEC 62443 / ISA 99?

No, tranne in alcune infrastrutture critiche (grandi infrastrutture di trasporto e produzione di energia di interesse nazionale).

Purtroppo ad oggi esisto importanti normative che coinvolgono l’ambito Safety, ma non la Security. Come già detto queste aeree sono strettamente legate, e con ogni probabilità presto saranno integrate in norme specifiche.

Dove si applica?

Lo standard dovrebbe essere adottato da tutta la catena dei soggetti coinvolti nella progettazione, implementazione e manutenzione degli impianti produttivi.

I settori di applicazione sono eterogenei, ovvero tutti i campi i cui sono presenti sistemi ICS, ecco alcuni settore d’esempio:

  • Energetico (nucleare, idroelettrico, energie rinnovabili, ecc.);
  • Trasporti (ferroviario, impianti a fune ecc.);
  • Farmaceutico/medicale;
  • Produttivo (metalmeccanico, chimico, siderurgico ecc.).

Come si implementa

Lo standard IEC 62443 / ISA 99, richiede diverse fasi per essere raggiunto, e fin da subito va evidenziato che non si tratta di semplici strumenti informatici e/o configurazioni.

Come già evidenziato la sicurezza è un processo. E nella specifico la sicurezza è un processo che coinvolge non solo gli oggetti ICS (plc, rtu, attuatori, motori, valvole, pc, software ecc.), ma al centro vi sono le persone.

Concentrandosi sull’aspetto prettamente informatico dello standard introduce diversi concetti:

  • Sicurezza multi-strato;
  • Conoscere i dispositivi connessi;
  • Definizione delle autorizzazione ed autenticazione;
  • Cifratura dei protocolli;
  • Registro log.

Sicurezza multi-strato

E’ evidente che tutti i punti sopra elencati sono fondamentali per raggiungere l’obbiettivo. Tuttavia il concetto di sicurezza multi-strato è quello più sviluppato nei documenti ISA 99.

Uno dei problemi principali degli impianti di una rete , è la presenza di dispositivi eterogenei. Lasciare una webcam nello stesso segmento di rete di un plc che comanda una turbina idraulica, non è affatto una buona idea. Una possibile vulnerabilità di una webcam (vedi Mirai Botnet), può compromettere l’intero sistema produttivo.

In questo modo ISA 99 ha introdotto il concetto di sicurezza a più strati, dove in base al fattore di rischio si devono collocare i dispositivi/servizi. In particolare vengono individuati diversi livelli di sicurezza, dove gli strumenti produttivi (es. valvole, turbine, motori ecc.) devo essere posti nel livello più difficile da raggiungere per una minaccia informatica.

Di seguito uno schema ipotetico di segmentazione proposto da Fortinet:

Conoscere i dispositivi connessi

Come abbiamo giù sottolineato in altri casi, è fondamentale conoscere quali sono i dispositivi presenti nella rete, se ne vengo aggiunti in un segmento di rete non autorizzato, e se gli stessi hanno delle vulnerabilità.

Definizione delle autorizzazione ed autenticazione

Costruire una rete con una struttura gerarchica di autorizzazioni è molto importante. Dare i giusti privilegi di accesso alle persone, evita che eventuali violazioni di un account rendano l’intero sistema vulnerabile.

Cifratura dei protocolli

I protocolli legacy usati nei sistemi ICS (modbus, profibus, 104 ecc..) sono per loro natura insicuri, ed esposti a tipici attacchi man-in-the-midle. Per questo è necessario o scegliere protocolli più sicuri come OPC UA, o proteggere l’intero segmento di network con una cifratura robusta come TLS. Questo aspetto è ampiamente raccomandato dallo standard IEC 62443.

Registro Log

In fine è molto importante tenere traccia di tutti gli eventi che si verificano nella rete, in modo da mantenere costantemente monitorato l’andamento della sicurezza. In caso di violazione i log saranno fondamentali per facilitare una analisi forense. E’ chiaro che in ambienti così critici l’adozione di sitemi SIEMS facilita molto l’analisi delle minacce nonchè rende possibile l’uso di automatismi per limitarle.

Conclusioni

Lo standard IEC 62443 anche conosciuto come ISA 99, è un ottimo riferimento per costruire una infrastruttura ICS sicura dalle minacce informatiche sempre più pressanti. Così come il GDPR è diventata una norma alla quale tutte le aziende devono adeguarsi, è auspicabile che anche ISA 99 diventi una norma obbligatoria da applicare in tutti gli impianti ICS, qualora vi sia una potenziale minaccia per l’incolumità delle persone, qualora il sistema informatico venisse compromesso.

Read More

Mancanza di visibilità nei sistemi ICS

Uno dei problemi principali in una rete industriale è la mancanza di visibilità della rete. Ovvero molto spesso non si conoscono gli oggetti ad essa connessi. Se si prova a chiedere ad un manutentore responsabile d’impianto se è a conoscenza di tutti i dispositivi (pc, plc, router, telecamere, webcam ecc.) connessi alla rete, probabilmente la risposta sarà negativa.

Quali sono i dispositivi connessi

I dispositivi che compongono una rete ICS possono essere di molti, diversi tra loro per tipologia ed funzioni:

  • PLC, RTU ecc
  • Server SCADA
  • Telecamere
  • Telefoni IP
  • Sistemi SIS
  • PC
  • Sistemi IoT
  • Router (xDSL, 4G ecc.)
  • Firewall
  • Switch
  • Dispositivi di acquisizione dati e statistiche

Molti di questi device interagiscono di frequente tra loro, altri invece sono fini a se stessi, ma insistono sulla stessa rete.

Perchè è difficile sapere quanti e quali sono i dispositivi presenti

Un impianto industriale è tipicamente un ambiente difficile dal punto di vista ambientale, in alcuni casi gli spazi sono angusti, altre volte gli spazi sono giganteschi e distribuiti in aree difficilmente controllabili.

Tenere traccia di tutti i dispositivi installati è difficile perchè:

  • Esistono diversi fornitori che installano dispositivi in rete
  • Cambiano le esigenze nel tempo ed il numero di dispositivi aumenta
  • Spesso gli installatori non rilasciano la documentazione e l’elenco degli apparati
  • Alcuni installatori/fornitori si prendono la libertà di aggiungere device senza comunicarlo

Quali sono i rischi associati alla mancanza di visibilità?

I rischi legati alla scarsa visibilità di rete sono potenziale molto pericolosi, infatti non conoscere che tipo di dispositivi sono presenti in rete potrebbe esporre i sistemi a criticità di sicurezza.

Immaginando ad esempio che un fornitore/installatore configuri un router 4G nella rete per raggiungere un suo servizio Cloud in modo da gestire un sensore o apparato. Questo tipo di azione rappresenterebbe un “bypass” di tutte le policy di sicurezza dell’impianto.

In altri casi potrebbero essere presenti dispositivi con vulnerabilità gravi, con il forte rischio di esporre tutta la rete a problemi di sicurezza. Di recente è stato scoperto un raspberry installato e dimenticato nella rete NASA, il quale è stato compromesso e sono stati trafugati informazioni importanti circa il progetto Marte.

Come risolvere il problema di visibilità

Per avere sempre sotto controllo lo stato della network, esistono prodotti specifici in grado di mantenere la consistenza e la topologia dell’intera rete.

Grazie a questi strumenti è sempre possibile conoscere quanti e che tipo di dispositivi sono presenti nella rete e scovare le vulnerabilità associate.

Conclusioni

Conoscere i dispositivi connessi alla rete degli impianti è un passo fondamentale per mantenere la sicurezza dell’intera catena di processo.

Read More

Il pericolo maggiore per la sicurezza è ancora l’errore umano

Diversi studi, tra cui il Rapporto Italian Cyber Security Report 2014, evidenziano tra le principali cause di vulnerabilità agli attacchi informatici la scarsa consapevolezza degli utenti rispetto alle minacce e i comportamenti errati messi in atto.

Uno studio del 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano, su un campione di 667 organizzazioni italiane, ha rilevato tra le principali vulnerabilità proprio la distrazione e la scarsa consapevolezza dei dipendenti (82% dei casi), un’architettura IT obsoleta (41%) e aggiornamenti non effettuati regolarmente (39%).

Un sistema informatico, anche se meticolosamente protetto, può non essere più affidabile di fronte a un’azione errata dell’operatore. Questo il motivo per cui le aziende oltre a investire e adottare un sistema di protezione informatica valido devono investire nella formazione degli impiegati sulle buone abitudini da adottare per non farsi truffare.

Ci sono naturalmente delle strategie che possono essere attuate per intervenire su questi aspetti. La formazione e la diffusione di una cultura in materia di sicurezza informatica sono dei passi importanti, ma anche la scelta e l’approccio alle soluzioni tecnologiche è un fattore da non sottovalutare.

Se è vero che nessuna tecnologia è invulnerabile e tutta può essere attaccata, è anche vero che l’adozione di strumenti corretti facilita molto la difesa. E quello che spesso si dimentica è che prevenire costa molto meno che intervenire quando gli incidenti informatici sono già avvenuti.

La Posta Elettronica e il Phishing

La posta elettronica rimane prima in classifica come principale vettore di attacco. L’attacco via mail è molto più semplice e crea dei danni più elevati rispetto agli attacchi via malware.

Si conta che nei primi tre mesi del 2018 la perdita finanziaria globale causata dalle frodi via mail, ammonti a 12,5 miliardi di dollari, oltre il 90% delle aziende è stato colpito con incremento del 103% anno per anno.

L’attività di Phishing, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale, è una delle truffe on line più in voga.

Le stesse Pubbliche Amministrazioni, nonostante stiano investendo in soluzioni tecnologiche per la salvaguardia della sicurezza delle informazioni, sono le più colpite dal fenomeno di Phishing che sfrutta come anello debole il dipendente.

I furti di identità, soprattutto via mail, sono in costante aumento. Nella maggior parte dei casi, vengono clonate le credenziali, magari per ingannare collaboratori commerciali e spingerli a concludere azioni finanziarie in realtà destinate al criminale. Il famoso man in the middle.

Tipi di errore umano

Per “errore umano” si indicano azioni involontarie o accidentali. È la principale causa di violazioni dei dati e della sicurezza. I tipi più comuni di violazione si verificano a seguito dell’invio di dati alla persona sbagliata.

Ci sono 3 tipi di errore umano. Capire le differenze e come possono avvenire può essere un aiuto per prevenire la compromissione o la perdita dei dati del sistema.

  • Mancanza di Capacità nell’uso degli applicativi forniti
  • Mancanza di Conoscenza nel caso accadano situazioni impreviste
  • Mancanza di Regolamentazione sulle procedure da seguire

La crescente cultura del BYOD (Bring Your Own Device) svela maggiori preoccupazioni, soprattutto con il rischio di smarrimento o furto di dispositivi mobili. La tecnologia è disponibile per aiutare le aziende a controllare cosa succede ai dati archiviati su tali dispositivi, anche consentendo ai dati sensibili di essere cancellati da remoto in modo che non cadano nelle mani sbagliate.

Anche i dipendenti più fidati e altamente qualificati corrono grossi rischi di errore umano. Gli amministratori di sistema e di rete sono comunemente colpevoli di errate configurazioni del sistema, pratiche di gestione delle patch scadenti e uso di nomi e password predefiniti. Esistono numerosi controlli di sicurezza che le organizzazioni possono esplorare per proteggersi da questo tipo di minacce.

Gli aggressori sanno esattamente come sfruttare la curiosità umana

I criminali informatici stanno prendendo di mira gli interessi delle persone, ma il successo di questa tecnica non dipende interamente dagli utenti finali che commettono errori. Il social engineering è una tecnica comune utilizzata dagli aggressori per indurre in errore.

Oggi, i siti web vengono sempre più violati, poiché gli utenti li userebbero abitualmente senza pensarci due volte.

Persone, processi e tecnologia

Come per gli errori commessi esclusivamente dagli utenti stessi, come l’invio involontario di dati sensibili fuori dall’organizzazione, ci sono tecnologie disponibili per le organizzazioni per aiutare a proteggersi da fattori esterni che colpiscono i singoli utenti nella speranza di indurre loro a fare errori.

Per arginare gli errori commessi attraverso l’ingegneria sociale e aumentare la consapevolezza del personale, la tecnologia e i processi devono essere combinati con la formazione sulle minacce e sul ruolo che dovrebbero svolgere le persone per proteggerle.

La sicurezza delle organizzazioni dipende dall’istruzione costante dei dipendenti sull’identificazione di casi sospetti e nuovi possibili rischi.

Read More

Il lato oscuro dell’Accesso Remoto ai sistemi ICS/SCADA

Probabilmente anche tu avrei sperimentato la comodità di connettersi ai sistemi industriali comodamente seduto nella poltrona di casa tua.

Qualcuno può pensare che utilizzare software come TeamViewer, Microsoft RDP o addirittura connettersi alla pagina Web di gestione del sistema SCADA tramite browser Internet sia una pratica corretta e sicura.

Forse però non sanno che i rischi legati all’accesso remoto sono stati responsabili dell’80% di tutte le violazioni ai sistemi IT.

Cos’è l’accesso remoto?

L’accesso remoto è l’insieme dell’hardware e del software che permette di accedere a computer o reti fisicamente lontani tra loro.

I casi in cui si usa l’accesso remoto

Ci sono casi in cui l’accesso remoto è molto comodo, altri in cui è necessario:

  • Supporto su dispositivi forniti dal produttore
  • Supporto su software presente nei sistemi
  • Modifiche urgenti ai parametri di funzionamento dell’impianto
  • Supervisione del cliente finale

Il supporto continuo del fornitore è necessario nella verifica in tempo reale del corretto funzionamento di componenti e software.
Si rivela invece molto utile nell’aggiornamento del software e per eseguire modifiche minori alle configurazioni.

Come si interagisce con i sistemi?

Prima di tornare a leggere e capire i problemi e i rischi dell’accesso remoto, è bene conoscere i modi con i quali i sistemi IT e OT vengono configurati.

Ci sono diversi modi con il quale si può interagire con i dispositivi della catena ICS (SCADA, SIS, PLC, RTU ecc.):

  • Interfaccia Web degli apparati (tramite browser)
  • Applicazione (Desktop o Mobile)
  • Riga di Comando (SSH, Telnet, ecc)

Il manutentore o il team di supporto utilizza questi strumenti per interagire con i sistemi macchina per apportare le modifiche del caso, sia essere per risolvere problemi, sia per la normale iterazione con i sistemi come la modifica della velocità di un motore, l’apertura o chiusura di una valvola e così via.

Quali sono i rischi?

Grazie ai sistemi di accesso remoto, un impianto può essere raggiunto attraverso una varietà di dispositivi (PC, notebook, smartphone ecc.), inclusi molti al di fuori del controllo dell’organizzazione.
L’ambiente remoto in cui vengono utilizzati questi dispositivi può comportare dei rischi.

Ad esempio:

  • mancanza di controlli di sicurezza fisica creando un rischio di perdita o furto del dispositivo
  • intercettazione mentre le informazioni viaggiano su Internet pubblico
  • accesso non autorizzato a sistemi o dati
  • monitoraggio e manipolazione dei dati se qualcuno accede al dispositivo

Accesso diretto con l’Inoltro di Porta

I dispositivi ICS sono quasi sempre connessi ad un Router/Firewall che ne permette o nega l’accesso ad Internet. Queste sistemi possono quindi aprire connessioni verso Internet, ma non viceversa a meno che non si facciano configurazioni ulteriori.

Con la configurazione di un Port Forwarding (Inoltro di Porta) è possibile esporre un servizio del dispositivo – come la sua pagine web di configurazione – direttamente in Internet.

Perché non esporre i servizi?

Configurare il Port Forwarding è una pessima idea!

Tali vulnerabilità possono essere facilmente rilevate tramite motori di ricerca specializzati come Shodan.io (possiamo chiamarlo il Google degli hacker) o tramite scansioni dei servizi attivi.

Molti protocolli – come Microsoft RDP – hanno delle vulnerabilità note, altri invece vengono attaccati con sistemi Brute Force (Forza Bruta).
Spesso, i servizi esposti mantengono le password predefinite o non necessitano di alcuna autenticazione.
In altri casi la vulnerabilità è data dal mezzo di interazione con l’apparecchio: la configurazione tramite interfaccia Web è molto più comoda della vecchia Riga di Comando, ma porta con sé tutte le vulnerabilità dei browser.

I dispositivi attaccati non sempre danneggiato direttamente il sistema a cui sono collegati.
Spesso vengono installate su di loro dei botnet, utilizzati per attacchi DDoS (Distributed Denial Of Service) su larga scala come Mirai.

Conviene usare TeamViewer o sistemi simili?

Anche in questo caso si potrebbe incorrere in problemi di sicurezza molto seri!

TeamViewer è uno strumento molto allettante agli occhi di un malintenzionato, che una volta ottenuto l’accesso ha la possibilità di amministrare l’intero PC o sistema.

Questo infatti è un software da utilizzare solo su richiesta di un team di supporto e non lasciandolo sempre attivo, ricordandosi di aggiornare sempre all’ultima versione disponibile.

Le soluzioni per un accesso remoto sicuro

Come si può controllare gli impianti ICS/SCADA a distanza? Come si può dare o ricevere supporto su impianti da remoto?

Firewall Industriali

E’ importante scegliere Firewall di nuova generazione e di tipo Industriale, che siano in grado di riconoscere protocolli come Modbus, Profibus, 104 ecc. Quindi utilizzare le funzionalità UTM (come IPS, ATP, ecc.) per proteggere le eventuali vulnerabilità dei sistemi.

Client VPN di tipo Enterprise

Utilizzare software Vpn Client in grado di assicurare una cifratura robusta della connessione. Solo quando la Vpn è abilitata a questo punto sarà possibile utilizzare i software di telecontrollo come TeamViewer in modalità LAN.

Software Vpn Client di tipo Enterprise posso garantire che i PC dai cui ci si connette siano privi di Malware e Vulnerabilità che potrebbero essere trasportate nell’impianto di destinazione.

Autenticazione a più fattori

In aggiunta, per evitare gli accessi non autorizzati, si possono utilizzare sistemi di autenticazione doppia, affidando la sicurezza a più di una semplice password.

Sicuramente avrai utilizzato token, app o codici inviati via sms, per accedere al sito della banca. Sarebbe auspicabile utilizzare queste modalità per accedere ai sistemi produttivi.

Qualcuno sicuramente dirà che “il token è una rottura!”, ma accettereste oggi di accedere al conto bancario inserendo semplicemente l’utente e la password? Meglio un passaggio aggiuntivo piuttosto che vedere il proprio conto a zero!

Limitare l’accesso ai sistemi necessari

E’ molto importante fornire credenziali diverse alle diverse persone che si connettono ai sistemi, e fondamentale è assegnare i privilegi corretti in base alla risorse che realmente hanno bisogno di consultare.

Conclusioni

Scegliere oggi di non permettere di accedere da remoto ai sistemi Industriali è anacronistico ed economicamente poco conveniente. Scegliere di farlo con le dovute considerazione e seguendo le semplici indicazioni in descritte in questo articolo potrebbe essere economicamente ancora più conveniente!

Read More

Botnet

Le BotNet sono state pensate come reti di elaboratori per gestire e mantenere attivi servizi Web. I criminali le hanno compromesse per eseguire attività fraudolente.

Zombie della Rete

Possiamo pensare alle BotNet come ad una rete (Network) di Bot (Robot).
Nell’accezione negativa che hanno preso nel tempo, questi Bot sono anche chiamati gli Zombie della Rete.

Gli Zombie di una BotNet non sono solo PC, tablet, smathphone, ma anche PLC, sistemi SCADA e perfino l’hardware di frigoriferi, sistemi di riscaldamento o telecamere.
L’unico fattore comune è che siano in grado di connettersi ad una rete, e quindi ad Internet.

Questi Bot sono tutti connessi ad un unico Centro di Controllo e di Comando (C&C)a cui arrivano i dati e da cui vengono lanciati i comandi.
Il Centro di Controllo e Comando è amministrato da un individuo o un gruppo che prende il nome di BotMaster.

Vita e Morte

La vita di una BotNet è composta da tre (o quattro) fasi ben precise.

1. Infezione

Una BotNet viene creata tramite una prima fase di infezione.
Usando tutti i metodi già visti, sfruttando vulnerabilità dei sistemi o vaicolandosi tramite trojan, mail, dispositivi rimovibili, ecc. il BotMaster veicola la minaccia espandendola il più possibile.

In questa fase non è molto importante “chi” viene infettato ma “quanti”.
Ogni dispositivo che entra sotto il controllo dell’hacker diventa uno Zombie.
La quasi totalità delle volte uno Zombie non sa nemmeno di esserlo.

2. Attacco

Le BotNet hanno vite molto brevi. Lo scopo per le quali sono create è sempre molto specifico e ha rilevanza anche mondiale, a differenza della diffusione che invece mira a prendere il più possibile.
Le stesse vulnerabilità sfruttate potrebbero essere scoperte solo qualche giorno dopo. La finestra di tempo è molto breve.

L’obiettivo stesso è quasi sempre esterno ai dispositivi infetti. Questo per non dare alcun sospetto.

Quando il BotMaster ritiene la rete pronta, chiede a tutti i dispositivi che controlla di fare piccole operazioni (ricordiamo che un Bot potrebbe essere un frigorifero connesso in rete, con pochissima capacità di elaborazione).

Queste “piccole” operazioni, distribuite su larga scala, danno esiti devastanti.
Specialmente in casi di Brute Force o Attacchi DDoS a reti governative o impianti industriali.

3. Morte

Appena la Rete di Zombie ha svolto il suo scopo, solitamente viene “dimenticata”.
La velocità richiesta nell’implementazione e nella diffusione non permette di creare software “sofisticato”, ma solo il minimo per lo scopo con cui è stato creato.

Essendo i danni molto distruttivi – a differenza di infezioni a scopo di riscatto che solitamente colpiscono piccole strutture o privati – le società di cyber-security sono molto attente a fornire soluzioni per chiudere queste falle il prima possibile.

Secondo i dati ottenuti da Fortinet nel corso del primo trimestre 2018, il 58% delle infezioni da BotNet dura meno di un giorno, il 17,6% sino a due giorni consecutivi e solo il 5% per più di una settimana. La botnet con una maggiore persistenza è Mirai, che infetta specificamente device IoT, utilizzandoli per attacchi DDoS o per fornire servizi proxy, con una media di 5,5 giorni.

4. Resurrezione

Può capitare però anche qualche caso anomalo.
I dispositivi vengono infettati allo scopo di riprenderne il controllo successivamente oppure gli Zombie potrebbero essere resi più resistenti alla cancellazione tramite aggiornamenti futuri.

In questi casi il BotMaster utilizzerà una serie di stratagemmi per far “sopravvivere” l’infezione, anche ad un eventuale cambio del C&C.

L’aggiornamento di molti dispositivi infatti (IoT principalmente) risulta non del tutto banale e l’hacker stesso, avendone il controllo ad insaputa dell’utente, potrebbe impedire gli aggiornamenti alla sicurezza.

Centro di Controllo e di Comando

Le Reti di Bot sono principalmente di 3 tipi, in base a come viene creato e gestito il C&C.
In gergo tecnico viene definita Architettura della BotNet.

1. Centralizzata

In questa architettura, i Bot si connettono direttamente a uno o più Centri C&C (per ridondanza), scaricano lì le informazioni e attendono i comandi.
Il BotMaster deve connettersi ad uno di questi centri per poter operare nella rete.

I comandi possono essere mandati in maniera discontinua (servizi Web/HTTP o comunque IP) che pubblicano i comandi che i Bot scaricano (metodo Pull).

Oppure in maniera continua tramite protocolli IRC (chat) per il quale i comandi vengono mandati ai Bot (metodo Push) in tempo reale.

Le BotNet centralizzate sono di 3 tipi:

  • Architettura Client/Server: i Bot si connettono ad un unico C&C. Questa struttura è la più debole: eliminato il centro tutta la rete smette di funzionare.
BotNet Centralizzata Client/Server (fonte Cloudflare)
  • Architettura Multi-Server: i Bot si collegano a più C&C. Per distruggere la rete è necessario distruggere tutti i centri.
    Il BotMaster, inoltre, potrà sempre crearne di nuovi se anche uno solo di questi sopravvive.
BotNet Centralizzata Multi-Server (fonte Cloudflare)
  • Architettura Gerarchica: il C&C comunica solo con alcuni Bot, che a loro volta si connetteranno ad altri e così via.
    Questa architettura è molto difficile da distruggere in quanto il C&C è ben protetto dalla gerarchia di cui la rete è composta.
BotNet Centralizzata Gerarchica (fonte Cloudflare)

2. Decentralizzata

In questa modalità, non esiste un vero e proprio C&C, ma uno o più degli stessi Bot sono il Centro al quale il BotMaster si connette.

Questi poi inviano i comandi gli altri Bot medianti connessioni P2P, rendendo molto difficile fermare questa rete.

In questo caso aumenta quindi la resilienza della rete allo shutdown, ma allo stesso tempo è molto più difficile da costruire.

BotNet Decentralizzata (fonte Cloudflare)

3. Ibrida

L’architettura ibrida unisce i vantaggi di entrambe.

Un esempio potrebbe essere quello di comunicare su rete P2P con un server che è elettro a Centro di Controllo e Comando, sfruttando poi connessioni HTTP per bypassare le difese della rete.

Oppure rendere “virtuale” il Centro, che però è insito negli stessi Bot.

Utilizzi e Finalità

Sappiamo bene che il fine sono sempre le attività fraudolente legate all’IT.
Vediamo ora più specificatamente però i vari usi per i quali una BotNet viene creata.

Attacchi DDoS

Forse questo uso non è il più comune, ma sicuramente il più pericoloso. Migliaia o milioni di Zombie possono attaccare la stessa risorsa Internet contemporaneamente.

Certamente, come abbiamo visto, ogni Bot può disporre di risorse di calcolo limitate, è qui che però il numero vince.

Un attacco DDoS può mettere la parola “stop” ad importanti servizi che hanno necessità di essere sempre connessi – come il monitoraggio di centrali elettriche o di impianti di trasporto persone.

Spam di Posta Elettronica

Quando hai milioni di elaboratori sotto il tuo controllo, perchè non usarli per bombardare il web di mail malevole?

Se ogni Bot della rete potesse inviare anche solo una mail al secondo, il traffico totale sarebbe spaventoso.
Non solo! La quasi totalità dello spam viene generato da BotNet.

Cavallo di Troia (per Sistemi ICS)

Un Bot potrebbe non avere uno scopo ben preciso, se non quello di diffondere se stesso.

Potrebbe però essere tenuto “dormiente” ed essere successivamente usato per inoculare software dannoso grazie ad esso.

Questi software potrebbero addirittura (vedi Mirai) attaccare sistemi OT, slegati dalla infrastruttura IT. Potrebbero infatti usare la connettività che il Bot garantisce alla BotNet per scaricare qualcosa di più pericoloso.

Il punto di fora è che spesso è molto difficile capire da dove arrivi il malware, proprio perché il software Bot di per sè non fa nulla di dannoso.

Raccolta di Informazioni

Una rete di Zombie può anche essere usata in modalità “passiva”.
I dispositivi infetti raccolgono informazioni e spiano la rete, inviando dati al C&C e al BotMaster.
Questo scopo rende la rete più facile da progettare.

Queste informazioni potranno poi essere usate per ulteriori attacchi o vendute per un compenso (sia alle stesse vittime che ad organizzazioni più o meno legali).

Diffusione di Informazioni

Nell’era dello spionaggio Web, potrebbe essere necessario condividere informazioni riservate che altrimenti potrebbero essere censurate.

Questo tipo di dati può riguardare informazioni classificate di Governi o servizi Militari, ma anche servizi quali streaming illegale o condivisione di contenuti che non sarebbero altrimenti disponibili in un certo Paese.

Questo tipo di utilizzo non ha solitamente fini malevoli – anzi, in molti casi eticamente giusti, come la diffusione di informazioni in paesi ove risiedono regimi dittatoriali.

Dobbiamo però essere consapevoli che il nostro computer è stato “complice” di violazioni dei sistemi di sicurezza e delle informazioni di governi o sistemi industriali.

Frode ai Servizi Pubblicitari (Adware)

I servizi di pubblicità online – chiamati Adware (Advertisment e Software) – sono principalmente basati sul numero di visualizzazioni o “click” ai banner.

Molti criminali utilizzano BotNet per mimare i click e le visualizzazioni di un utente, moltiplicato per milioni di essi.

Non è semplice per un servizio pubblicitario capire quali siano reali e quali siano finti e le tecniche (da entrambe le parti) stanno diventando sempre più raffinate.

Rivendita

Uno degli scopi di una BotNet potrebbe essere la sua stessa esistenza!

Molti esperti creano infatti reti di Zombie al solo scopo di rivenderle perché siano esse utilizzate per scopi criminali come abbiamo visto sopra.

Uno dei problemi in questo caso sarebbe di carattere giuridico: qual è la responsabilità legale del creatore di una rete di Bot venduta a terze parti?

Sicuramente l’infezione dei PC è già di fatto un comportamento criminale!

Riscatto Sociale in Ambienti Underground

Ultimo e forse meno importante, in molti ambienti frequentati da hacker, avere una vasta rete di Bot può avere rilevanza sociale che fornisce prestigio e importanza!

Sono infetto? Come scoprirlo?

Per rilevare un Bot o una BotNet possono essere utilizzati tutti i normali metodi che si utilizzano per malware generici.

Però ci sono anche metodi specifici, una BotNet infatti, a differenza di molti software malevoli ha una caratteristica peculiare: deve essere connessa.

Controllando tutte le connessioni che la nostra rete privata esegue, possiamo individuare connessioni anomale.

Un metodo molto usato è quello di usare un’esca, solitamente un PC particolarmente fragile e di facile compromissione, in modo che software malevoli ne siano “attirati”.

A quel punto si blocca tutto ciò che di anomalo ha compito l’esca, siano essi IP da cui arrivano attacchi, che firme del software che non dovrebbe essere presente (o che non era presente precedentemente).

Read More

I ransomware più pericolosi degli ultimi anni

I malware creati con lo scopo di chiedere un riscatto (random in inglese) esistono da anni. Oggi prendono il nome di ransomware – l’unione delle parole ransom (riscatto) e software.

Non sono tutti uguali, alcuni ad esempio ingannano l’utente fingendosi autorità di polizia che intimano un pagamento per presunte attività illecite commesse dall’utente. Altri invece minacciano le informazioni.

Lo scopo di questi ultimi è intrufolarsi nei sistemi informativi, criptare, copiare o cancellare dati sensibili o importanti e chiedere un compenso per la restituzione e/o la non-diffusione di essi.

Infine sono stati scoperti software malevoli a scopo di riscatto in grado di attaccare sistemi ICS sfruttando i PC del sistema come veicoli di infezione.

Posso rintracciare il riscatto?

Se, a seguito di una violazione, l’utente o l’azienda decidesse di pagare quanto richiesto, il metodo di pagamento sarebbe ovviamente telematico.

Purtroppo le nuove monete virtuali (o criptovalute) nate negli ultimi anni garantiscono la non tracciabilità e l’anonimato. Diventa quindi arduo scovare i colpevoli di tali crimini.

Vediamo ora i più grandi attacchi ransomware dell’ultimo mezzo decennio per poter raccontare la storia di questo malware mentre si evolve.

1. TeslaCrypt

Affermatosi all’inizio come variante di CryptoLocker, TeslaCrypt aveva come obiettivo i videogiocatori. Si è infatti specializzato per prendere di mira file associati ai videogiochi, mappe virtuali, contenuti scaricabili e salvataggi.

Per quanto ciò possa sembrare strano, i contenuti rubati possono essere molti importanti per i videogiocatori professionisti, tanto che TeslaCrypt rappresentava da solo il 48% degli attacchi ransomware.

Nel 2016 i creatori di TeslaCrypt hanno annunciato la fine della loro attività criminale condividendo pubblicamente la password di decodifica principale.

2. SimpleLocker

Con la diffusione dei dispositivi mobili (smartphone principalmente), anche l’attenzione dei criminali informatici si è spostata su di essi.
Tra la fine del 2015 e l’inizio del 2016 le infezioni ransomware di Android sono quadruplicate.

SimpleLocker è stato il primo attacco basato su Android per crittografare i file e renderli inaccessibili senza l’aiuto dei truffatori.
Inoltre è stato il primo ransomware noto a consegnare il suo payload dannoso tramite trojan (o cavallo di troia) – un software potenzialmente non dannoso che diventa veicolo per minacce pericolose.

Per fortuna i numeri sono ancora relativamente bassi, ma è ancora una minaccia in agguato.

3. WannaCry

A metà del 2017, due attacchi ransomware principali e intrecciati si sono diffusi come incendi in tutto il mondo, chiudendo gli ospedali in Ucraina e le stazioni radio in California, e fu allora che il ransomware divenne una minaccia esistenziale.
Il primo dei due attacchi principali si chiamava WannaCry ed è stato senza dubbio il peggior attacco ransomware della storia.

Ma la vera importanza di WannaCry va oltre i numeri: e ha utilizzato maliziosamente strumenti di hacking trapelati dalla NSA.
Un esempio è EternalBlue – un exploit che sfrutta un difetto di Microsoft implementazione del protocollo SMB (Server Message Block) – diffuso dal gruppo di hacker Shadow Brokers.

Sebbene Microsoft avesse già rilasciato una patch per il difetto, molti utenti non l’avevano installata e molte organizzazioni avevano la porta SMB – 445 – apertamente esposta a Internet.

4. NotPetya

Petya era un pacchetto ransomware che risale al 2016.
Poche settimane dopo l’epidemia di WannaCry, iniziò a diffondersi una versione aggiornata che utilizzava anche il pacchetto EternalBlue come WannaCry, portando i ricercatori a rinominarlo in NotPetya perché era avanzato molto oltre le sue origini.

NotPetya ha causato l’arresto dei sistemi OT nella maggior parte degli impianti del gigante farmaceutico Merck, interrompendo la produzione e costringendo l’azienda a prendere in prestito 240 milioni di dollari di dosi di Gardasil dalle scorte gestite dai centri CDC statunitensi.
Nel complesso, l’attacco è costato all’azienda quasi un miliardo di dollari.

Questo malware ransomware si è diffuso così rapidamente che ha reso palese che le organizzazioni in tutto il mondo non stavano ancora prendendo sul serio la cybersicurezza come avrebbero dovuto.
Essere proattivi nel monitorare il traffico di rete locale e all’interno degli ambienti cloud avrebbe potuto prevenire alcune delle infezioni.

5. SamSam

Gli attacchi con software noto come SamSam hanno iniziato a comparire alla fine del 2015, ma sono aumentati molto nei successivi anni.
Tra le vittime ci sono: il Dipartimento dei Trasporti del Colorado, la città di Atlanta e numerose strutture sanitarie.

Ciò che rende speciale SamSam è che non cerca indiscriminatamente una specifica vulnerabilità, ma piuttosto un ransomware-as-a-service i cui controller sondano attentamente gli obiettivi selezionati per individuare i punti deboli, con i quali vengono sfruttate vulnerabilità di IIS, FTP o RDP.

Una volta all’interno del sistema, gli aggressori lavorano diligentemente per intensificare i privilegi per garantire che quando iniziano a crittografare i file, l’attacco sia particolarmente dannoso.

6. Ryuk

Ryuk è un’altra variante di ransomware mirato che ha colpito molto nel 2018 e nel 2019.
Le sue vittime sono organizzazioni con poca tolleranza per inattività, come quotidiani e servizi idrici – ad esempio il servizio idrico della Carolina del Nord alle prese con l’uragano Florence.

Il Los Angeles Times ha scritto un resoconto abbastanza dettagliato di ciò che è accaduto quando i loro sistemi sono stati infettati. Una caratteristica di Ryuk è che può disabilitare l’opzione “ripristino configurazione di sistema” di Windows, rendendo ancora più difficile recuperare i dati.

Le richieste di riscatto erano particolarmente elevate per le vittime di alto valore che prendeva di mira.

Gli analisti ritengono che il codice sorgente Ryuk sia in gran parte derivato da Hermes, che è un prodotto del gruppo Lazarus della Corea del Nord.
McAfee ritiene che Ryuk sia stato costruito sul codice acquistato da un fornitore di lingua russa, perché il ransomware non viene eseguito su computer la cui lingua è impostata su russo, bielorusso o ucraino. Non è chiaro come questa fonte russa abbia acquisito il codice dalla Corea del Nord.

Menzione (dis)onorevole: CryptoLocker

CryptoLocker, è entrato in scena nel 2013 e ha davvero aperto l’era del ransomware su grande scala: si è diffuso tramite allegati ai messaggi di spam e ha utilizzato la crittografia della chiave pubblica RSA per sigillare i file degli utenti, richiedendo denaro in cambio delle chiavi di decrittazione.

Oltre 500.000 macchine sono state infettate da CryptoLocker.

CryptoLocker era primitivo, e alla fine fu sconfitto da Operation Tovar, che abbatté la botnet che controllava CryptoLocker, scoprendo le chiavi private che CryptoLocker usava per crittografare i file.

CryptoLocker aveva “aperto le porte” a molte altre varietà di ransomware di crittografia dei file, alcune delle quali derivate dal suo stesso codice e altre che erano state scritte da zero: uno di questi era CryptoWall, che nel 2015 rappresentava più della metà di tutte le infezioni da ransomware.

I tempi cambiano

Il ransomware è in declino nel 2018 e nel 2019 e il calo è stato ripido: il ransomware ha interessato circa il 48 percento delle organizzazioni nel 2017, ma solo il 4 percento nel 2018.

Ci sono un paio di ragioni: gli attacchi ransomware sono sempre più personalizzati per obiettivi specifici e gestiti da sofisticati controller in tempo reale, come SamSam e Ryuk.
Poi c’è il fatto che il ransomware è una sorta di attacco “schizzinoso” che richiede alle sue vittime di eseguire una serie di passaggi per ottenere un profitto. Le vittime devono capire come scambiare criptovalute e molti non lo faranno per evitare di dare soldi ai criminali.

Inoltre, se l’obiettivo di un malintenzionato è infilarsi nei sistemi informatici di qualcun altro, ci sono modi molto più semplici per farlo: il cryptojacking.

I cryptojacker seguono il copione che gli spammer e gli aggressori DDoS usano da anni: ottenere il controllo dei computer senza che i loro proprietari lo sappiano. In questo caso, le macchine compromesse diventano piattaforme di mining bitcoin, generando silenziosamente denaro e usando cicli di elaborazione inattivi mentre la vittima non è consapevole.

Mentre gli attacchi di ransomware sono diminuiti molto, gli attacchi di cryptojacking sono aumentati del 450% e si ritengono correlate queste due statistiche.

Read More

Malware

I malware o software malevoli sono software con intenti dannosi. La maggior parte delle minacce online è un malware di qualche tipo.

Tutto quello che c’è da sapere

Sai come ogni anno la comunità medica promuove campagne per incoraggiare le persone a fare il vaccino antinfluenzale? Ciò avviene poiché le epidemie di influenza tendono a verificarsi in un determinato periodo — un preciso momento dell’anno in cui iniziano a diffondersi, infettando le persone.

Al contrario, non esistono infezioni stagionali prevedibili per PC, dispositivi mobili e reti aziendali. Gli utenti possono essere vittima di una specie di malanno artificiale: i malware.

Le infezioni malware colpiscono ognuna con una diversa modalità di attacco: da quelli più subdoli e furtivi fino a quelli discreti quanto un martello. Tuttavia, poiché la conoscenza è potere, vogliamo illustrarti alcune misure preventive contro le infezioni attraverso un breve corso sui malware, che cosa sono, che sintomi comportano, in che modo colpiscono, come gestirli e come evitarli in futuro.

Cos’è un malware?

Malware o “software malevolo” è un termine generico che descrive un programma/codice dannoso che mette a rischio un sistema.

Ostili, invasivi e volutamente maligni, i malware cercano di invadere, danneggiare o disattivare computer, sistemi, reti, tablet e dispositivi mobili, spesso assumendo il controllo parziale delle operazioni del dispositivo. Proprio come l’influenza, interferiscono con il loro normale funzionamento.

Lo scopo dei malware è lucrare illecitamente a spese degli utenti. Sebbene i malware non possano danneggiare gli hardware fisici di un sistema o le attrezzature di rete, possono rubare, criptare o eliminare i dati, alterare o compromettere le funzioni fondamentali di un computer e spiare le attività degli utenti senza che questi se ne accorgano o forniscano alcuna autorizzazione.

Come si infiltrano i malware?

La ricetta per un’infezione malware richiede un gran numero di ingredienti. Prima di tutto, esistono due modi principali attraverso cui un malware può accedere a un sistema: internet e le e-mail. In pratica, ogni volta che ci si connette online.

I malware possono penetrare nel computer quando navighiamo in siti web oggetto di hacking, facciamo clic sulla demo di un gioco, scarichiamo file musicali infetti, installiamo nuove toolbar di fornitori sconosciuti, configuriamo software provenienti da fonti non sicure, apriamo allegati dannosi nelle e-mail o scarichiamo qualcosa da internet su un dispositivo sprovvisto di un’applicazione di sicurezza anti-malware di qualità.

Le applicazioni dannose dannose possono nascondersi in applicazioni apparentemente legittime: in questo caso è importante considerare i messaggi di avvertenza nell’installazione di applicazioni, specialmente se richiedono il permesso di accedere alle e-mail o ad altri dati personali.

Come posso sapere se ho subito un’infezione?

I malware possono rivelarsi attraverso tutta una serie di comportamenti anomali. Ecco alcuni indizi che segnalano la presenza di un malware nel sistema:

  • Il computer funziona più lentamente o si blocca ma l’utilizzo delle risorse di sistema è insolitamente elevato.
  • Un’ondata di irritanti annunci pubblicitari, che non dovrebbe comparire, riempie lo schermo. La presenza di pop-up imprevisti è il sintomo tipico di un’infezione malware. Si tratta di un malware noto con il nome di adware.
  • Si nota una misteriosa perdita di spazio su disco, probabilmente legata a un malware abusivo che si nasconde nel disco rigido.
  • L’attività del sistema su internet subisce un inspiegabile aumento.
  • Toolbar, estensioni o plugin compaiono inaspettatamente nel browser.
  • A volte, si verificano degli attacchi malware dolorosamente evidenti, volutamente plateali. È il famoso caso dei ransomware, che si presentano all’utente e lo informano di aver preso possesso dei suoi dati, chiedendo un riscatto per la restituzione dei file.
  • Anche se tutto sembra funzionare correttamente, non è il caso di compiacersi, perché non sempre “nessuna notizia è una buona notizia”. I malware più potenti possono nascondersi in profondità, conducendo i propri sporchi affari senza sollevare sospetti mentre rubano password, si appropriano di file sensibili o utilizzano un PC per diffondersi su altri computer.
Read More

Articoli recenti

  • EDR vs CLASSIC ANTIVIRUS
  • Cos’è lo standard Nerc
  • L’energia: il nuovo bersaglio
  • Lo standard IEC 62443/ISA 99
  • Mancanza di visibilità nei sistemi ICS

Archivi

  • Giugno 2021
  • Gennaio 2020
  • Ottobre 2019
  • Settembre 2019
  • Giugno 2019
  • Aprile 2019
  • Marzo 2019
  • Gennaio 2019
  • Dicembre 2018
  • Novembre 2018
  • Settembre 2018
  • Giugno 2018
  • Marzo 2018
  • Novembre 2017
  • Febbraio 2017

Categorie

  • IT Security

Navigazione articoli

1 2 »
© 2019 cQuri. All right reserved.
cQuri by IBS SRL