Bot(net)ti di fine anno

Shadowserver Foundation, la celeberrima organizzazione dedita alle attività di monitoraggio sul malware e sulle attività delle botnet, ha pubblicato un nuovo post sul proprio blog circa una nuova botnet che si sta formando proprio in questi giorni.

Come messo perfettamente in evidenza dall'analisi pubblicata, questa nuova campagna per distribuire malware ha un carattere di pericolosità che deve essere messo in evidenza.

Infatti, questa campagna associa aspetti più comuni a tratti di sofisticazione e pericolosità maggiori e ha tutte le caratteristiche per diventare, nel tempo, una nuova botnet con la quale fare i conti.

Innanzitutto il malware viene distribuito attraverso una massiccia campagna di mail che si spaccia per auguri natalizi, una tecnica che ha sempre dato ottimi frutti. Le mail in questione, hanno numerose intestazioni diverse e diversi testi e contengono sempre un link che punta a server compromessi o a nuovi domini che installano malware. Da notare che questi nuovi domini sono "fast flux" e quindi gli indirizzi IP cambiano in continuazione rendendo più complessa l'individuazione e la messa in campo di azioni di contenimento.

Se un incauto utente clicca sul link contenuto nella mail, viene visualizzato un messaggio che invita a scaricare un player flash (finto) che in realtà, tramite una serie di passaggi, alla fine installa il trojan che aggrega il PC dell'utente alla nuova botnet.

Shadowserver, al momento, osserva che la rete della botnet è ancora instabile e non tutto funziona alla perfezione ma, per essere una campagna appena iniziata, sembra davvero essere abbastanza preoccupante... tanto da far pensare ad una possibile evoluzione di botnet tristemente famose, quali Storm Worm o Waledac.

Quest'ultima in particolare, come ricorda Shadowserver, iniziò la sua campagna proprio il 31 dicembre (del 2008) con una campagna di finti auguri natalizi. La cosa consolante è che proprio Waledac è stata il campo di prova della strategia di contrasto attivo messa in atto nel 2010, come potete leggere su un mio precedente post.

Insomma, avrei preferito fare un post con gli auguri di buon anno senza "bad news", ma i cattivi, si sa, sono sempre in agguato... va bhe... 

Tanti tanti auguri a tutti e... stay tuned!

 Buon anno!!!

Paolo Colombo - 10 idee per la lotta al Cyber Crime

E tre... siamo già arrivati al terzo appuntamento con le "Voci Amiche", ossia i post "esterni" che sono pubblicati sulle pagine di Punto 1. Sono veramente molto contento di ospitare per questo appuntamento un post dell'amico Paolo Colombo che, oltre alle tante iniziative sulla sicurezza che ha portato a termine nella sua attività di consulente, è anche fondatore della Community Italian Security Professional. 

E ora la parola a Paolo Colombo e alle sue "10 idee per la lotta al Cyber Crime"

"Eccomi qua a scrivere sul blog di Matteo… inutile dire quanto mi senta onorato di aver ricevuto questo invito, anche perché a me tocca il terzo intervento dopo due Guru della security e mantenere alto il livello dell’intervento non è certo cosa facile.

Molti che leggono questo blog già mi conoscono come fondatore della Community Italian Security Professional … Per tutti gli altri, sappiate che sono da sempre principalmente un appassionato di Sicurezza Informatica…

Vorrei sfruttare questo spazio per parlarvi di un tema che reputo centrale per la sicurezza del paese, la produttività delle nostre aziende e la loro capacità di competere sul mercato globale… Tranquilli non ho nessuna intenzione di parlarvi di politica, ma di Cyber Crime & Botnet  e di come, secondo me, questi temi andrebbero affrontati nel nostro paese (dalla politica?).  

Con Italian Security Professional, al Security Summit di Roma, abbiamo provato a dare un’idea di insieme del Cybercrime, provando ad analizzare anche il contesto in cui il cyber crime si può sviluppare come il Blackmarket e il Cyberlaundering.

Provo a sintetizzare per tutti, presenti e non al Summit, i punti di approdo della nostra discussione. 

In linea generale possiamo affermare che:

- la diffusione di malware al fine di creare botnet ha come scopo il guadagno (grazie Paolo se non ci fossi tu…)

- il fenomeno può esistere grazie ad un vero e proprio mercato fatto di canali IRC e forum dedicati alla vendita di ogni genere di informazione/servizio criminale

- il riciclaggio, e in particolare il cyberlaundering, è parte integrante di tutto questo, proprio come per ogni altra attività criminosa

Questo mercato fiorente fa si che i cyber criminali investano sull’efficacia delle loro minacce con veri e propri processi di Quality Assurance sui loro software. Il risultato è che i sistemi di difesa di oggi non sono più sufficienti ad arginare queste minacce. Sono ormai numerosi, ad esempio, i report in circolazione che testimoniano in modo più o meno eclatante, l’inadeguatezza degli antivirus nell’identificazione delle varianti dei bot al momento in cui vengono immessi su internet.

Immagino fino a questo punto di non aver detto molto di nuovo per voi che seguite abitualmente il blog di Matteo. 

Ora, vorrei proporvi un esercizio, che poi è il motivo del mio post, e cioè quello di focalizzare la nostra attenzione su cosa sia possibile fare nell’immediato da un paese come l’Italia per arginare questo tipo di problematica. Com’è nello stile, che condivido, di questo blog questo elenco esprime esclusivamente il mio punto di vista su come si può affrontare l’argomento, siete liberi (o meglio… caldamente invitati) di commentare e integrare la presente lista.

Partiamo dunque:

1. Cybersecurity Policy. Una normativa organica che regolamenti in maniera chiara la tematica. Non sono un legale, ma per darvi un’idea della complessità della materia provate a dare un'occhiata all’assessement eseguito da Melissa Hathaway per gli Stati Uniti

2. Adottare un'organizzazione statale efficace per la protezione delle Infrastrutture Critiche e la lotta al Crimine Informatico. A chi ha detto CNAIPIC consiglio la lettura di questo documento. Per i curiosi a me piace il modello Francese.

3. Istituire un unico CERT nazionale tra le cui attività sarebbe necessario, ad esempio, un monitoraggio attivo dei domini “.it” al fine di identificare eventuali siti compromessi che servono malware (esattamente come da qualche tempo fa il MELANI Svizzero)

4. Istituire un fondo di Venture Capital per la promozione di progetti e tecnologie legati alla Cybersecurity… alla http://www.iqt.org/ avete presente?

5. “Cyberintelligence is the Key”. E’ un mantra che vado ripetendo spesso ultimamente e significa semplicemente che reputo la Cyberintelligence la chiave di volta per combattere in maniera efficace il Cybercrime e le Cyber Threats in genere. Questo perché, essendo le minacce di oggi human-driven, è molto complicato creare un sistema di sicurezza efficiente tanto da riuscire a prevenire o contrastare la maggior parte di queste. La difesa dai Crimini informatici deve dunque essere guidata dall’intelligence per essere effettivamente efficace

6. Adottare nuovi standard come DNSSEC e RPKI. Se è vero che, anche grazie all’ottimo lavoro di Andrea Rigoni con la fondazione GC-SEC, molti di noi stanno iniziando a sentir parlare di DNSSEC è importante secondo me adottare di pari passo anche standard come RPKI per evitare che il traffico internet verso siti legittimi venga “dirottato” verso reti non “volute”

7. Provider di servizi internet, la prima barriera della sicurezza su internet: io opterei per un attivo coinvolgimento dei provider Internet nel ciclo di sicurezza dei propri utenti e clienti. Oltre che un qualcosa di utile alla sicurezza della nazione e dei propri cittadini sarebbe qualcosa di utile al business degli stessi provider

8. Sponsorizzare l’adozione di router broadband con feature di sicurezza integrate.  Se il liet motiv di Bill Gates è stato "un PC in ogni casa", direi che il passo successivo dovrebbe essere un "UTM in ogni casa". Anche in questo caso i provider giocherebbero ovviamente un ruolo fondamentale

9. Promuovere l’adozione di sistemi di sicurezza Reputation Based. Per quanto l’Italia sia uno dei pochi paesi avanzati, ad esempio, a non avere una propria “software house di Antivirus” sarebbe opportuno promuovere l’adozione dei nuovi modelli di antivirus basati su Cloud e Reputation

10. Ultimo ma forse più importante: promuovere un’educazione alla sicurezza informatica fin dalle scuole

...E direi che sarebbe già un buon inizio che ne dite?"

I 10 rischi per gli smartphone

ENISA, l'agenzia di sicurezza IT per l'UE, ha pubblicato un report dal titolo "Smartphones: Information security risks, opportunities and recommendations for users", con l'obiettivo di consentire una valutazione informata dello stato dei rischi per la sicurezza e la privacy legata all'utilizzo degli smartphone. ENISA ha quindi raccolto i dieci maggiori rischi e ha elencato anche 20 raccomandazioni pratiche su come affrontare tali rischi.

Ma vediamo più da vicino cosa ha messo in evidenza ENISA. Ecco la lista (un po' ragionata) dei 10 maggiori rischi a cui sono esposti gli utenti degli smartphone:

1 perdita di dati: un telefono cellulare rubato o smarrito, senza adeguate protezioni, può consentire un accesso indiscriminato ai dati memorizzati.

2 dismissione non accurata: uno smartphone smaltito o trasferito ad un altro utente senza un'adeguata rimozione dei dati sensibili, può consentire un accesso indiscriminato ai questi dati.

3 divulgazione involontaria di dati: la maggior parte delle applicazioni per gli smartphone consente di impostare adeguati livelli di privacy ma molti utenti non ne sono a conoscenza (o non lo ricordano).

4 Phishing: un attaccante può raccogliere le credenziali degli utenti (ad esempio password, numeri di carta di credito) tramite false applicazioni o falsi messaggi (sms, email) che si spacciano per autentici.

5 Spyware: i programmi per smartphone che richiedono privilegi eccessivi o che abusano degli stessi possono consentire di accedere o dedurre dati personali.

6 attacchi sulla rete wireless: se un utente si collega ad un punto di accesso wireless governato da un attaccante consente l'intercettazione delle sue comunicazioni di rete.

7 sorveglianza: è possibile spiare indebitamente un utente che utilizza uno smartphone la cui sicurezza è compromessa.

8 dialer: è possibile che un programma compia delle chiamate (o invii degli SMS) in modo nascosto verso numerazioni a pagamento, rubando quindi denaro all'utente.

9 malware finanziari: malware appositamente progettato per rubare numeri di carte di credito, credenziali di online banking o attaccare le transazioni finanziarie effettuate con lo smartphone.

10 congestione di rete: sono possibili sovraccarichi della rete a causa dell'utilizzo massivo di smartphone. Ciò può tradursi, per l'utente finale, nell'incapacità di collegarsi alle risorse di rete.

Il rapporto di ENISA, poi, elabora tre diverse tipologie di utenti ("Consumer", "Employee" e "High Official") a criticità crescente, verso le quali devono essere correlati i rischi e le raccomandazioni pratiche. 

Giles Hogben, co-autore del rapporto, ha commentato: "Gli smartphone sono una miniera di informazioni sensibili e personali - è essenziale capire come mantenere il controllo su questi dati. Abbiamo progettato le nostre raccomandazioni per inserirle all'interno di una tipica politica di sicurezza."

Insomma, una risorsa interessante per chi dovesse effettuare delle serie riflessioni sull'utilizzo degli smartphone sia a livello personale che aziendale...

CyberWar: la Svizzera rafforza la protezione

Il Consiglio Federale Svizzero ha esaminato i rapporti sulle minacce cyber che incombono sulla Svizzera e, tra le varie contromisure adottate, ha nominato a tempo determinato il divisionario Kurt Nydegger quale responsabile del progetto per la «Cyber Defence». Nydegger, che è stato per anni a capo della Divisione della guerra elettronica, dirigerà un gruppo di esperti che dovrà elaborare entro la fine del 2011 una strategia globale della Confederazione contro le minacce cyber. Tale strategia sarà finalizzata all'individuazione delle  misure atte ad affrontare, in maniera più rapida ed efficace, gli attacchi digitali eventualmente rivolti contro la Svizzera.

Questo ulteriore passo, contribuisce a collocare la Confederazione Svizzera tra i paesi maggiormente evoluti sul tema del contrasto delle minacce cyber. Viene infatti ad essere inserito in un contesto in cui sono già state realizzate numerose e interessanti iniziative, tra cui:

- il CERT svizzero, la "Centrale svizzera d’annuncio e d’analisi per la sicurezza dell’informazione" (MELANI) che, in stretta collaborazione con i privati, identifica le minacce rilevanti per le Svizzera e attua le relative strategie di contrasto e sensibilizzazione 

- la Politica di Sicurezza varata il 30 giugno scorso, in cui sono analizzate e tenute in debito conto anche la minacce di natura cyber 

Il Consiglio Federale Svizzero ha mostrato nel corso degli anni una notevole lungimiranza e consapevolezza sulla particolare vulnerabilità dei Paesi altamente sviluppati come la Svizzera verso gli attacchi informatici. Questi Paesi, infatti, dipendendo in larga misura dalle reti e dalle infrastrutture comunicative, sono estremamente sensibili ad attacchi che minano il funzionamento e l'accesso a tali reti con gravi ripercussioni al corretto funzionamento dello Stato, dell’economia e della società.

Lo Stato, nella visione del Consiglio Federale, deve quindi adottare misure per proteggersi da simili attacchi e attenuarne le possibili conseguenze.

Proprio come da noi...

MUMBLE - Biancaneve e WikiLeaks

Si, ma che c'entrano Biancaneve e WikiLeaks con la sicurezza... C'entrano, c'entrano... provate a seguirmi ...

Ieri ho letto una notiziucola di contorno sul Corriere della Sera dal titolo "Biancaneve diventa ninfomane in Cina"; la sostanza è che due case editrici cinesi specializzate nei libri per bambini, in mancanza della versione originale in tedesco, hanno tradotto una versione giapponese della fiaba. Peccato che la versione che hanno scelto sia opera di due fumettisti che si divertono a rimaneggiare in chiave hard le fiabe più famose. 

Ecco che così, dopo la traduzione in cinese, i libri vengono stampati e nessuno si accorge dell'errore fino a quando i libri vengono messi in vendita nei negozi. Finalmente, i clienti si accorgono dell'errore e i libri vengono ritirati.

Perché questa notizia banale mi colpisce?

Beh, perché questa disavventura è una parabola in cui sono racchiusi tutti gli elementi della sicurezza, o meglio, della mancanza di sicurezza. 

Proviamo ad analizzare la vicenda sotto questa luce...

Nella società dell'informazione, l'informazione, appunto, è potere... e business. Ma solo a patto che l'informazione sia corretta. E qual'è un'informazione "corretta"? L'informazione corretta è un'informazione autenticata e integra (come vedete già stiamo parlando il linguaggio della sicurezza informatica), ma andiamo avanti. 

Quanti si occupano di sicurezza applicativa sanno che un "must" è la verifica dei dati di input, perché le  procedure, per quanto robuste, se si trovano a processare dati spuri non possono che dare, nel migliore dei casi, degli errori come risultato. Nel peggiore dei casi, invece, ci troveremo a processare dei dati che eseguono codice arbitrario sul nostro server. Un po' quello che è successo ai poveri editori cinesi... che invece di pubblicare una fiaba tedesca per bimbi hanno pubblicato una storia hard scritta da due giapponesi. 

Infine. La mancanza di governance di processo. Gli errori sono sempre possibili, ma, per restare nel campo dei rischi accettabili e accettati, è fondamentale realizzare un sistema di monitoraggio e di gestione degli incidenti e sottoporre tutti processi ad un sistema di governance. Solo così si riesce ad evitare di stampare, spedire e tentare di vendere la storia di una ninfomane invece della storia di una bella principessa odiata dalla regina cattiva.

Ok, ma che c'entra WikiLeaks?

A parte il trabocchetto sessuale che accomuna le due vicende, c'è un altro aspetto che le rende vicine.

L'aspetto dell'affidabilità delle informazioni. 

WikiLeaks ha scompaginato completamente una struttura ormai consolidata nel tempo, quella del "quarto potere". Fino ad oggi le notizie che ritenevamo affidabili (e quindi autenticate e integre) erano quelle pubblicate dalla stampa (termine che deve essere inteso in senso lato), il resto era qualcosa considerato appunto inaffidabile e che poteva essere visto come gossip o come vera e propria leggenda metropolitana. Tutto ciò è finito.

WikiLeaks ci ha mostrato che il re è nudo. WikiLeaks ha sovvertito questo ordine di cose, diventando la fonte della stampa che quindi riporta, in seconda battuta, le notizie da loro pubblicate. Il punto, adesso, non è se WikiLeaks sia o meno affidabile (per adesso sembra proprio che lo sia) il punto adesso è che non sappiamo più cosa sia affidabile e cosa non lo sia.

Il grande merito di WikiLeaks è di averci fatto accedere a materiali che ci erano stati negati, l'effetto collaterale è che la stampa non sarà più la stessa. E non abbiamo ancora idea di come dovrebbe essere.

Domani nasceranno mille siti come WikiLeaks e ci proporranno tutti delle verità sconcertanti sulla base di materiale segreto a cui dicono di aver avuto accesso. A chi dovremmo credere? Quale sarà la bussola che ci guiderà nella ricerca di notizie affidabili?

Nel prossimo futuro, purtroppo, penso che ci capiterà di leggere delle storie di una ninfomane che si diverte in un bosco assieme a sette nani e ci toccherà pensare che è una strana fiaba per bambini.

MUMBLE - Il lato oscuro delle cloud

Un recente articolo apparso su Darknet.org.uk si è saldato con alcuni pensieri che stavo facendo proprio in questi giorni circa il mondo Cloud. 

A me pare che, finora, dal punto di vista della sicurezza delle cloud, ci si sia concentrati solo sull'aspetto della "difesa" dei dati e delle applicazioni che vengono spostati sulle nuvole. E questo mi sembra assolutamente naturale e giusto, dato che le cloud sono percepite, principalmente, come una risorsa potenzialmente strategica su cui investire. Si cerca quindi di capire quanto siano effettivamente sicuri questi servizi.

Già, ma questa è solo una parte del problema... l'altra parte, certamente meno frequentata ma altrettanto interessante per capire gli scenari futuri, è la seguente... le tecnologie Cloud quali scenari aprono dal punto di vista dei possibili attacchi e quali nuove possibilità possono offrire ai "cattivi"?

Come sappiamo, ogni nuova tecnologia ha, con il tempo, presentato un aspetto "evil" che in alcuni casi è risultato addirittura preponderante rispetto a quello inizialmente pensato... vero signor Nobel?

Ebbene qualcuno ha già pensato a come sfruttare il mondo cloud per fini non propriamente umanitari. Ad esempio, Thomas Roth, un ricercatore di sicurezza tedesco ha usato delle risorse cloud, basate su GPU, per eseguire un attacco di forza bruta finalizzato alla rottura degli hash SHA-1. E' già noto da almeno cinque anni che SHA-1 non poteva più essere considerato sicuro ma ciò che rende interessante il lavoro di Roth è la dimostrazione che ciò che richiedeva un lungo tempo di elaborazione o, in alternativa, molti soldi, può ora essere fatto da una sola persona, in pochi minuti, utilizzando delle risorse messe a disposizione da un cloud provider al prezzo di un caffè. Roth, infatti, ha speso poco più di 2 dollari.

Questo è solo un esempio, se ci si sofferma a pensare a quali possono essere gli impieghi malevoli delle cloud ci si apre davvero un mondo di possibilità...

Pensate quali vantaggi avrebbe chi dovesse nascondere dei dati compromettenti se utilizzasse un cloud provider compiacente con la propria sede in un paese dalla legislazione (o polizia) non propriamente attenta... 

Pensate a quali scenari si aprono se delle forze dell'ordine dovessero dare corso ad un sequestro di dati ospitati sulle cloud; quali difficoltà si troverebbero ad affrontare dal momento che non sarebbe nemmeno dato sapere dove si trovano fisicamente i dati stessi. E poi, le enormi difficoltà che si dovrebbero risolvere affinché il sequestro sia effettivamente utilizzabile in un eventuale processo.  

Pensate a tutti i servizi cloud di virtualizzazione di una postazione di lavoro, dove una moltitudine di soggetti può operare sulla stessa postazione e sugli stessi dati da tutto il mondo senza lasciare tracce se non nei log del fornitore di servizio (che può sempre essere un soggetto compiacente) rendendo quasi impossibile capire chi ha fatto cosa. 

Si potrebbe pensare anche a sistemi di comando e controllo di server reali che vengono portati a termine con le stesse modalità lasciando di nuovo le forze dell'ordine... all'asciutto. 

In ogni caso, come sappiamo bene, la creatività dei criminali in genere, e di quelli cyber in particolare, è veramente senza confini e quindi un potente strumento come quello delle cloud può essere facilmente sfruttato in modi che non è facile immaginare e prevedere.

In modo molto lungimirante, Brendan O'Connor, Ministro australiano per gli Affari Interni e la Giustizia, in un discorso recentemente tenuto presso la Conferenza Annuale di Sydney della "International Association of Privacy Professionals", ha trattato proprio di questi temi. 

Speriamo che il livello dei "decisori" sia sensibile a questi temi perché la realizzazione di un sistema internazionale di garanzie per le cloud non rappresenterebbe solamente un presupposto fondamentale per la costruzione di opportunità reali di business tramite questi strumenti ma diventerebbe un valido strumento per limitare la deriva verso il "lato oscuro" che potrebbe caratterizzare l'utilizzo futuro di questi strumenti.