venerdì 30 aprile 2010

Pubblicato il nuovo report del "CERT svizzero"

La Centrale d’Annuncio e d’Analisi per la Sicurezza dell’Informazione (MELANI), il "CERT svizzero", è paricolarmente attivo nella pubblicazione di interessanti rapporti di analisi sui fenomeni legati alla criminalità informatica. Ieri, ha pubblicato il suo ultimo rapporto relativo al secondo semestre del 2009. Nell'analisi svolta da MELANI si è evidenzia che le attività malevole si sono concentrate sul furto di informazioni, sull’hacking a sfondo politico nonché sulle estorsioni attraverso attacchi DDoS. 

Ecco un'immagine della copertina del rapporto ed il comunicato stampa relativo alla pubblicazione del report. Chi vuole può scaricare il report cliccando qui.

"La criminalità informatica ha diverse sfaccettature, che vanno dal furto di informazioni per profitto fino all'hacking di siti Web per esprimere la propria delusione politica. Aziende, amministrazioni e partiti politici sono oggetto di questo tipo di attacchi. Anche l'Amministrazione federale non ne è stata risparmiata. 



Furto di informazioni - Attacchi ad amministrazioni, UE, Google e banche
Nel secondo semestre del 2009 sono stati reiteratamente resi noti eventi in cui con l'ausilio di software nocivi, i cosiddetti malware, sono stati attaccati sistemi di computer e sottratti dati che sono stati successivamente offerti in vendita, oppure comunicati ai media o sfruttati abusivamente per altri scopi. In questo contesto hanno fatto i grandi titoli gli attacchi contro la Segreteria generale dell'UE, i dati della clientela della HSBC Private Bank e gli attacchi contro Google. Anche il Dipartimento federale degli affari esteri (DFAE) è stato vittima di un attacco mirato a metà del mese di ottobre del 2009. 

Hacking a sfondo politico quale valvola di sfogo 
Sempre più spesso Internet viene impiegato abusivamente quale valvola di sfogo per proteste politiche, sportive o religiose. In questo caso i siti Web di organizzazioni vengono attaccati, deturpati e provvisti di dichiarazioni politiche o religiose. Un esempio in Svizzera è quanto avvenuto dopo la votazione sull'iniziativa relativa al divieto della costruzione di minareti, in cui migliaia di siti Web sono stati attaccati.

Estorsioni attraverso attacchi DDos
Attacchi DDos contro aziende e governi perseguono intenzioni disparate. In caso di attacco migliaia di PC accedono simultaneamente a un determinato sito Web che quindi si paralizza. Gli autori cercano in questo modo di estorcere denaro o forzare le vittime a effettuare un'attività. Alcuni attacchi DDos dello scorso anno erano destinati a costringere Swisscom a togliere dalla rete un offerente di Internet specializzato nel settore dell'erotismo. 

Protezione dell'informazione in primo piano
La protezione di dati personali e confidenziali è di importanza capitale. Le migliori misure per proteggersi da attacchi di criminalità informatica sono e restano gli aggiornamenti di sistema tramite Update periodici nonché la sensibilizzazione degli utenti che usano PC."

giovedì 29 aprile 2010

MUMBLE - Vivere sulle nuvole

Il mio post di oggi appartiene alla serie MUMBLE e quindi è una riflessione, svincolata dalla stretta attualità. Questa di oggi, poi, sarà una riflessione leggermente diversa dalle precedenti in quanto spazierò in campi che travalicano lo specifico ambito della sicurezza informatica. 

Bene, veniamo al dunque...

Sono amareggiato, deluso e anche un po' arrabbiato, perché ho comprato un telefono nuovo, anzi uno smartphone di ultima generazione... Dovresti essere contento allora, direte voi.

Purtroppo no. Perché, con quest'ultimo passaggio, ho, di fatto, praticamente completato l'esperienza di "vivere sulle nuvole", o meglio, vivere basando la mia vita sociale e di relazione sui servizi offerti dalle cloud. Adesso, oltre ad avere il mio blog, due indirizzi di posta, un account di Twitter, un account di identi.ca, un account su friendfeed, svariate iscrizioni su aggregatori di notizie, ho tutta la mia vita privata (calendario, rubrica telefonica, spazio per il backup e altri servizi aggiuntivi) su servizi erogati da gestori americani che basano il proprio business sul cloud computing.

La prima domanda che mi viene quindi è: quanto sono sicuri i miei dati e la mia privacy? La vera risposta è che non lo so con certezza. Perché, se è vero che queste sono le maggiori società informatiche del pianeta e che il successo del loro business si basa proprio sulla affidabilità (leggi sicurezza e privacy) dei loro servizi, io so di non avere chance di far valere i  miei diritti in caso di violazioni. I fori competenti, infatti, non sono in Italia e spesso ci sono problemi a far valere la propria legislazione, infine di solito si accettano accordi per l'utilizzo dei servizi che non sono proprio letti con attenzione e via discorrendo.

E allora la soluzione qual'è? Vivere senza questi servizi? Io credo di no. 

Il valore aggiunto offerto è enorme, sia sull'oggi che in prospettiva futura, semplicemente, più passa il tempo e meno potremo rinunciare a convivere con questa interattività portata all'estremo. 
Chi non si adegua, per volere o incapacità, sarà tagliato fuori dalla realtà.

E qui sta il nocciolo del problema, della mia arrabbiatura, della mia delusione della mia amarezza.

L'Italia come paese, in questo scenario, semplicemente non esiste. La chiave, per far valere il proprio punto di vista, è avere risorse proprie in concorrenza con quelle degli altri paesi. La chiave sono gli investimenti strategici in termini di infrastrutture, tecnologie, servizi di e-government e soprattutto formazione.

Perché, se vogliamo avere un futuro in questo mondo sempre più interconnesso, i nostri figli dovranno avere le possibilità di competere con chi, già oggi, sta pensando, investendo e costruendo le nuove realtà.

Ecco sono arrabbiato deluso e amareggiato perché non vedo niente di tutto questo. 
Perché penso che se non cambiano le cose saremo destinati a diventare una irrilevante periferia culturale dove saremo costretti ad accettare le scelte fatte da altre culture (non necessariamente statunitensi). 

Alla faccia della nostra sicurezza e della nostra privacy.

E quindi mentre "gli altri" vivranno "on the cloud" noi, più banalmente, saremo costretti a vivere sulle nuvole.

mercoledì 21 aprile 2010

McAfee ha rilasciato un DAT "bacato"

E' giunta la notizia che oggi McAfee ha rilasciato un DAT (DAT 5958) che provoca dei riavii continui su macchine XP. Al momento non sono ancora noti tutti i particolari ma, da notizie raccolte in rete, sembra che il problema sia legato al falso riconoscimento della componente svchost.exe (legittima componente del Sistema Operativo) come malware (W32/Wecorl.a). Sul sito di McAfee non ci sono ancora notizie su questo incidente. E' stata inserita una pagina ufficiale sul sito di McAfee che tratta l'argomento

Questa situazione non è però una prima assoluta infatti l'anno scorso un incidente simile era occorso ad AVG. In quel caso un aggiornamento aveva scatenato un pandemonio in quanto veniva riconosciuto come malware una componente del sistema operativo. La soluzione era giunta in un paio di giorni.

Per adesso, chi ha il problema con McAfee deve restare in attesa di notizie certe che verranno verosimilmente domani mattina. Nel frattempo McAfee ha fatto sapere che ha rilasciato un extraDAT che pur non risolvendo il problema lo limita, infatti viene inibito il riconoscimento alla base del falso positivo. McAfee suggerisce di installare su tutte le macchine ancora esenti dal problema questo extraDAT in modo da non incorrere nella problematica e poi di installarlo tramite il Safe Mode anche su quelle affette dalla problematica.

Intorno alle ore 22,00 (ora italiana) McAfee ha rilasciato un nuovo DAT (DAT 5959) in lingua inglese. Nelle prossime ore arriveranno anche le versioni localizzate.

Non appena avrò notizie più dettagliate le posterò sul blog.

lunedì 19 aprile 2010

Rilasciata la nuova OWASP Top 10

Il sito dedicato al progetto OWASP ha pubblicato la notizia che è stata rilasciata la nuova versione delle famose (o meglio famigerate) 10 vulnerabilità più rilevanti delle applicazioni Web. La lista delle nuove 10 vulnerabilità Top vede la seguente classifica:
A1 - Injection
A2 - Cross-Site Scripting (XSS)
A3 - Broken Authentication & Session Management
A4 - Insecure Direct Object References
A5 - Cross-Site Request Forgery (CSRF)
A6 - Security Misconfiguration (New)
A7 - Insecure Cryptographic Storage
A8 - Failure to Restrict URL Access
A9 - Insufficient Transport Layer Protection
A10 - Unvalidated Redirects and Forward (New)

Per ognuna di queste vulnerabilità è stata prodotta una scheda che illustra le modalità di exploit e i relativi impatti ed inoltre presenta dei paragrafi standard che aiutano a capire se la vulnerabilità in oggetto è applicabile alle nostre applicazioni e fornisce esempi e referenze.

Molto interessante risulta la matrice che, per ogni vulnerabilità, correla i vari fattori di rischio.


La nuova Top 10 2010 può essere scaricata gratuitamente qui.

domenica 18 aprile 2010

Cyberwar: gli USA fanno sul serio

Molti media americani, in questa settimana, hanno trattato della notizia che l'amministrazione Obama ha proposto di nominare il generale Keith Alexander, già comandante della National Security Agency (NSA), la più grande agenzia di spionaggio elettronico, a capo di una nuova organizzazione militare in grado di lanciare attacchi contro le reti informatiche ed elettriche del nemico. Se sarà confermato dal Senato, il generale Alexander comanderà una nuova formazione del Pentagono chiamata CYBERCOM e presiederà quindi un esercito virtuale di tecnici informatici e specialisti nella guerra informatica. 
Alexander, 58 anni, laureato a West Point e con un master in 'guerra elettronica, fisica e sicurezza nazionale'  dirige già una organizzazione offensiva cyber, il Joint Functional Component Command-Network Warfare, un corpo che sarà incorporato nella nuova unità CYBERCOM.

In realtà negli USA c'è un grande dibattito circa questa nomina, ci si chiede infatti se il capo della NSA dovrebbe anche essere a capo di una unità militare e che cosa, esattamente, la nuova unità avrà il potere di fare. Alexander è stato così chiamato a testimoniare di fronte al Senate Armed Services Committee fornendo anche delle risposte scritte alle domande poste dai senatori. Tra le altre cose, ha dichiarato che, di fronte a un attacco cyber, i militari devono essere in grado di rispondere sullo stesso piano. E' ragionevole supporre che una risposta adeguata ad un attacco nel cyberspazio sia lecita, a patto che le azioni siano conformi alle leggi di guerra, ha detto in un documento di 32 pagine. Il senatore Carl Levin, presidente del Senate Armed Services Committee che ha interrogato il generale, ha posto tre possibili scenari :
Scenario 1. In una operazione contro un avversario tradizionale, il paese "C", quali regole d'ingaggio si dovrebbero utilizzare per contrastare gli attacchi informatici provenienti da quel paese?
Risposta: Ai sensi del "Title 10", un "ordine operativo" approvato dal Presidente dovrebbe presumibilmente concedere un ampio margine di manovra al comandante in campo per difendere le reti militari degli Stati Uniti e per contrastare tutti gli attacchi.
Scenario 2. Scenario uguale a prima, ma gli attacchi cyber provengano da un paese terzo neutrale.
Risposta. Dovrebbe essere concessa una ulteriore autorizzazione.
Scenario 3. Supponiamo di essere in  tempo di pace. Improvvisamente siamo colpiti da un grande attacco cyber diretto contro i computer che gestiscono la distribuzione di energia elettrica negli Stati Uniti. Gli attacchi però sembrano provenire da computer al di fuori degli Stati Uniti, ma vengono instradati attraverso PC che appartengono a cittadini americani e che si trovano nel territorio degli Stati Uniti. Quale sarebbe la risposta della unità CYBERCOM a questa situazione e con quale autorità procederebbe? "
Risposta: La risposta da mettere in campo sarebbe di competenza e responsabilità del Department of Homeland Security (DHS) e dell'FBI.

Come è facile intuire questa nomina è di una importanza cruciale negli Stati Uniti perché Obama ha puntato molto sulla sicurezza e, dato che gli USA sono la nazione più dipendente dai servizi erogati dalla rete, avere un modo per dimostrare di aver fatto il possibile per difendere i cittadini americani da scenari come quelli dell'attacco all'Estonia è cruciale per il destino di questa amministrazione. Noi, in Italia, continuiamo a dormire sonni tranquilli, tanto, come affermava Epicuro a proposito della morte, "Quando noi ci siamo ella non c'è, quando lei c'è noi non ci siamo più"... perché preoccuparsi inutilmente... che filosofi che siamo!

venerdì 9 aprile 2010

Vulnerabilità di tipo zeroday su Java

Varie fonti riportano la notizia di una grave vulnerabilità di Java che espone gli utenti a semplici attacchi Web-based che potrebbero portare a un compromissione completa del sistema interessato. 

Tavis Ormandy di Google e Ruben Santamarta hanno scoperto indipendentemente questo problema e ne hanno dato notizia in due post separati. In particolare Ormandy, ha spiegato che ha deciso di pubblicare la notizia quando Sun ha rifiutato di rilasciare una correzione rapida, Ormandy spiega: "Sun è stata informata di questa vulnerabilità, tuttavia, mi hanno detto che non considerano questa vulnerabilità ad alta priorità e quindi non modificheranno il loro ciclo trimestrale patch."

La falla, si verifica perché il plugin per il browser Java (javaws.exe) gira senza validare i parametri a riga di comando. Quindi, questi parametri possono essere controllati da pirati informatici attraverso tag HTML appositamente predisposti all'interno di pagine Web.

Sembrano essere vulnerabili tutte le versioni di Java Se a partire dalla 6 update 10. Al momento, in accordo con i post di Ormandy e Santamara, l'unica soluzione possibile risulta essere quella di disabilitare su linux e Windows la componente javaws/javaws.exe. Inoltre si può disabilitare il Deployment Toolkit per evitare installazioni non volute.

mercoledì 7 aprile 2010

Advanced Persistent Threats: un approccio integrato

Nel post "Advanced Persistent Threats: che cosa sono?" abbiamo analizzato le principali caratteristiche di queste minacce, ora possiamo interrogarci su cosa è possibile fare per cercare di evitare i danni più gravi che ne possono derivare. Un elenco minimale delle operazioni indispensabili lo possiamo trovare qui, ma in questo post vorrei invece soffermarmi su un approccio complessivo, integrato a queste minacce. 
Ovviamente non bisogna reinventare l'acqua calda e quindi la prima cosa da fare è vedere chi sono e cosa dicono i principali attori in questo campo specifico che sono: SANSMandiant M-Trends & BlogEnclave Security BlogsTaoSecurity Blogs.

Ebbene sui loro siti si trovano cose molto interessanti, ad esempio si scopre che già a metà novembre 2009, cioè qualche mese prima dell'Operation Aurora (ossia l'attacco a Google di inizio 2010), sono stati pubblicati da SANS i "Twenty Critical Controls for Effective Cyber Defense". 
Un approccio che riflette le dirette conoscenze su attacchi reali e che tiene conto delle tecniche di difesa più importanti elaborate, tra gli altri,  da personale proveniente da:

  • i Blue Team delle varie Agenzie e Dipartimenti Federali statunitensi
  • lo US-CERT
  • L'FBI e le altre organizzazioni di polizia che indagano sulla cibercriminalità
  • i Red Team del Department of Defense
  • i CIO e i CISO federali che hanno in carico la protezione dei sistemi delle agenzie federali

E' importante notare che, nell'introduzione di ogni singolo controllo, vengono identificati gli scenari di attacco correlati che sono poi descritti in una apposita sezione intitolata "Come viene sfruttata la mancanza di questo controllo dagli attaccanti?".

Veniamo ora alla 'ciccia'... quali sono i controlli? Eccoli...


Critical Controls Subject to Automated Collection, Measurement, and Validation:

  1. Inventory of Authorized and Unauthorized Devices
  2. Inventory of Authorized and Unauthorized Software
  3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
  4. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  5. Boundary Defense
  6. Maintenance, Monitoring, and Analysis of Security Audit Logs
  7. Application Software Security
  8. Controlled Use of Administrative Privileges
  9. Controlled Access Based on Need to Know
  10. Continuous Vulnerability Assessment and Remediation
  11. Account Monitoring and Control
  12. Malware Defenses
  13. Limitation and Control of Network Ports, Protocols, and Services
  14. Wireless Device Control
  15. Data Loss Prevention

Additional Critical Controls (not directly supported by automated measurement and validation):

  1. Secure Network Engineering
  2. Penetration Tests and Red Team Exercises
  3. Incident Response Capability
  4. Data Recovery Capability
  5. Security Skills Assessment and Appropriate Training to Fill Gaps
Sul sito di SANS si trovano tutti i dettagli implementativi di ogni controllo.



Questi 20 Controlli Critici sono stati armonizzati con la restante documentazione che deve essere implementata dalle istituzioni governative e federali in quanto esse sono soggette al Federal Information Security Management Act (FISMA) che prevede che il National Institute of Standards and Technology (NIST) abbia la responsabilità dello sviluppo e del rilascio di norme, direttive e altre pubblicazioni che le agenzie federali devono seguire per attuare il FISMA. 
Il NIST quindi ha rilasciato le seguenti serie di documenti:

  • NIST Special Pubblications (SP) 800-x per sviluppare il framework che consente alle agenzie federali di valutare, selezionare, monitorare e documentare controlli di sicurezza per i loro sistemi informativi. 
  • Federal Information Processing Standard (FIPS) che sono approvati dal Ministro del Commercio e sono obbligatori e vincolanti per le agenzie federali. . 
  • Altre pubblicazioni in materia di sicurezza, tra cui interagenzie e relazioni interne (NISTIRs), e ITL Bullettins, di fornire informazioni tecniche e altre informazioni sulle attività del NIST. Queste pubblicazioni sono obbligatorie solo se esplicitamente indicato dall'Office of Management and Budget (OMB)

Già così, ci sarebbe già materiale in abbondanza, ma si sa, gli americani fanno sempre tutto in grande... e allora ci sono anche due documenti, vincolanti per tutte le istituzioni governative e federali, che regolamentano le contromisure di sicurezza minime e raccomandate. 


A questo punto ci sono due notizie: una buona e l'altra cattiva...

quella buona è che noi abbiamo la Direttiva Stanca (già il nome la dice lunga ;-)) )
quella cattiva è che nonostante tutto gli americani sono stati 'bucati' diverse volte!

A voi le conclusioni....  



lunedì 5 aprile 2010

Advanced Persistent Threats: che cosa sono?

Dopo l'attacco subito da Google ad inizio anno e tutto il  clamore che ne è seguito ci sono state numerose prese di posizione circa le Advanced Persistent Threats (APT), ovverosia quegli attacchi che, partendo da un attacco mirato arrivano a installare una serie di malware all'interno delle reti del bersaglio al fine di riuscire a mantenere attivi dei canali che servono a far uscire informazioni di valore dalle reti del soggetto preso di mira. Questo tipo di attacco non è totalmente nuovo, anche se i grandi mezzi di informazione se ne sono accorti solo di recente. Nel parlare di APT però è importante non farsi guidare dall'emotività e dalle informazioni veicolate dai mass media sull'onda di eventi particolarmente eclatanti. 
Tra i primi a parlare di APT c'è Mandiant, una società di sicurezza informatica focalizzata sulle tematiche di Incident Response e di Computer Forensics che fornisce servizi, prodotti e formazione a clienti privati e governativi. In particolare, in un articolo di gennaio 2010 vengono analizzate le caratteristiche principali delle APT e le fasi in cui si articolano questi particolari tipi di attacco.

"Ecco le tappe di un attacco APT:
  1. Ricognizione: gli attaccanti cercano e identificano le persone che saranno bersaglio degli attacchi e, utilizzando  fonti pubbliche o altri metodi, ottengono i loro indirizzi e-mail o i riferimenti di instant messaging
  2. Intrusione nella rete: tutto in genere inizia con delle mail di phishing, in cui l'attaccante prende di mira utenti specifici all'interno della società target con messaggi di posta elettronica fasulli che contengono link pericolosi o dannosi, oppure file malevoli allegati (PDF o documenti Microsoft Office). Questa fase consente di infettare la macchina e dare all'attaccante un primo accesso all'interno dell'infrastruttura
  3. Creazione di una backdoor: gli attaccanti cercano di ottenere le credenziali di amministratore del dominio estraendole dalla rete. Gli attaccanti quindi, si muovono "lateralmente" all'interno della rete, installando backdoor e malware attraverso metodi di 'process injection', modifiche di registro di sistema o servizi schedulati
  4. Ottenere le credenziali utente: gli attaccanti ottengono la maggior parte di informazioni accedendo i sistemi tramite valide credenziali utente. In media, nelle reti del target vengono acceduti circa 40 sistemi utilizzando le credenziali rubate.
  5. Installazione di utilities malevole: varie utility malevole vengono installate sulla rete target al fine di  poter amministrare il sistema e svolgere attività come l'installazione di backdoor, il furto di password, la ricezione di email e l'ascolto di processi in esecuzione.
  6. Escalation dei privilegi, 'movimento laterale' ed esfiltrazione dei dati: ora gli attaccanti iniziano a intercettare le mail, gli allegati e i file dai server attraverso l'infrastruttura malevola di Comando e Controllo. Gli attaccanti di solito 'sifonano' i dati rubati verso server intermedi, dove li cifrano, li comprimono e quindi li indirizzano verso la destinazione finale
  7. Mantenere la persistenza: gli aggressori cercano in ogni modo di mantenere la loro presenza nelle reti del target anche se alcuni parti vengono scoperte o inattivate"
Mandiant afferma che la pazienza e la capacità di recupero sono ciò che rende questi attacchi tanto efficaci. "Questi attacchi sono molto sofisticati, determinati e coordinati. Gli aggressori non sono venuti per rubare un po' di dati. Sono lì per rimanere."

Sfortunatamente questi attacchi sono sempre più utilizzati e sono indirizzati verso un insieme di possibili bersagli che si amplia man mano che le tecniche di attacco si raffinano e finiscono in mani meno raffinate. La vera sfida quindi, adesso, è mettere a punto delle contromisure che consentano una efficace difesa da queste minacce... nei prossimi giorni vedremo cosa è possibile fare.

A presto...

venerdì 2 aprile 2010

La Cyberwar verso la quinta dimensione

Aviation week riporta che, per il capo dell'intelligence militare di Israele, il generale Amos Yadlin, "il cyberspazio, è diventata la quinta dimensione della guerra, dopo la terra, il mare, l'aria e lo spazio. Oggi, dal punto di vista militare, lo sfruttamento del cyberspazio è importante come lo è stato l'avvento del supporto aereo nel 20° secolo. Infatti riassume in sé tutti gli elementi della dimensione militare: raccolta di informazioni, difesa e offesa". 
Anche se Israele è stato uno dei pionieri nel campo, avendo creato un'infrastruttura per la cyberwar negli anni '90, è stato solo durante gli ultimi due anni che la Israel Defense Force (IDF) ha cominciato a comprendere pienamente il potenziale della cyberwar e ne ha mostrato le capacità durante l'attacco aereo del 2007 al reattore nucleare siriano di Deir-az-Zur, in cui sono riusciti a penetrare nelle reti siriane di difesa aerea e mandarle in tilt durante l'attacco. Per quanto riguarda invece la difesa, da quando Israele è diventato tecnologicamente più avanzato, sono cresciute anche le minacce e gli attacchi informatici. Quindi, nel 2002, la Israel Security Agency (ISA, o Shin-Bet) è stata incaricata di contrastare gli attacchi digitali ed è stata quindi creata un'unità speciale nel ramo sicurezza ISA. Questa unità è responsabile per la protezione dei sistemi del governo, delle infrastrutture critiche (ad es. centrali elettriche ed impianti idrici) ed ha anche il compito di aiutare le principali istituzioni finanziarie a proteggere le loro informazioni per evitare la penetrazione dei loro sistemi.

Insomma, un approccio completo, sinergico e coerente.

Eppure viene anche un retropensiero... e se lo scopo fosse quello di far credere agli 'avversari' di aver acquisito un'effettiva leadership in un nuovo campo che rende quasi... invincibili? In questo modo si otterrebbero quasi più vantaggi che ad essere... realmente invincibili.

Meditate gente, meditate.

giovedì 1 aprile 2010

MUMBLE - Soldi soldi soldi

Soldi, Soldi ovvero Barba Braschi
Ti danno donne e whiskey,
salute e figli maschi perché
Chi ha tanti soldi vive come un pascià
E a piedi caldi se ne sta.
Prendi, spandi e spendi
Non domandare da dove provengono
Dindi, tanti dindi
Che nelle tasche ti fanno din-din-din


Così cantava nel 1962 Betty Curtis e potrebbe essere il motivo ispiratore degli attuali trend per il malware.

Molte recenti ricerche mostrano che il cyber crime si sta evolvendo sempre più come un vero e proprio mercato, con alcuni personaggi di 'peso' che vendono servizi e software a soggetti senza alcuna preparazione informatica ma con una grande determinazione a procurarsi illeciti guadagni. Qualche giorno fa citavo una ricerca di Cisco che metteva in evidenza come fossero sufficienti circa 2500$ per realizzare una botnet basata sul malware ZeuS. Nel frattempo ho avuto modo di riflettere su due notizie: la prima è una sorta di classificazione, fatta dall'FBI, delle 'figure professionali' coinvolte nel cyber crime mentre la seconda riguarda ancora l'utilizzo di ZeuS per sottrarre informazioni riservate da un circuito di professionisti della difesa.

Veniamo alle notizie... secondo Steven Chabinsky, assistente del vice direttore della Cyber Division dell'FBI, le figure professionali coinvolte nelle organanizzazione dedite al cyber crime sono:

  1. Coders/programmers, coloro che scrivono gli exploit e il malware usato dalle organizzazioni criminali
  2. Distributors, coloro che commerciano in dati rubati agendo come intermediari
  3. Tech experts, coloro che gestiscono l'infrastruttura IT dell'organizzazione criminale
  4. Hackers, coloro che cercano di sfruttare le vulnerabilità dei sistemi e delle reti
  5. Fraudsters, coloro che creano e distribuiscono gli attacchi di social engineering
  6. Hosted systems providers, coloro che offrono servizi di hosting per i contenuti illeciti
  7. Cashiers, coloro che vendono dati personali e finanziari ad altri criminali
  8. Money mules, coloro che completano i trasferimenti bancari di soldi
  9. Tellers, coloro che riciclano il denaro di provenienza illecita
  10. Organization Leaders, spesso insospettabili senza skill tecnici, coloro che mettono assieme il team e scelgono i bersagli
La seconda notizia, invece, pubblicata sul New Scientist vede l'utilizzo del malware ZeuS per una serie di 'campagne' che vanno dalle frodi bancarie al vero e proprio spionaggio. Quest'ultimo aspetto ha visto una campagna di targeted attacks nei confronti di alti funzionari della difesa americana con email contenenti link che finivano per installare appunto ZeuS. Ebbene, Nart Villeneuve, ricercatore di sicurezza presso il Centro Munk per gli Studi Internazionali dell'Università di Toronto, ha identificato oltre 1.533 documenti sottratti dai computer compromessi, compresi contratti della difesa, documenti su minacce terroristiche e il piano di sicurezza per un aeroporto degli Stati Uniti. Tutti questi documenti sono finiti su un server in Bielorussia gestito da ignoti.

Queste due notizie mostrano quanto sia cambiato lo scenario del cyber crime in questi ultimi anni e come l'approccio della criminalità informatica sia attualmente vincente. Le notizie inoltre mettono in evidenza le enormi difficoltà nel trovare delle contromisure adeguate. La suddivisione dei compiti e delle competenze consente ai 'cattivi' di ottimizzare le risorse e gestire al meglio le attività, mentre i 'buoni' si trovano sempre un passo indietro e sono oltretutto spesso costretti a fare i conti con le ridotte capacità degli utenti che costituiscono il 'weakest link' delle infrastrutture informatiche.
Insomma, come dice Richard Bejtlich, Responsabile dell'Incident Response della General Electric, "La difesa è più lenta dell'attacco, in quanto la difesa non è che un aspetto di sistema per i proprietari, mentre l'attacco è quasi tutto per i criminali."

Consoliamoci con le canzonette... 
Soldi, Soldi, Soldi, tanti soldi
Beati siano soldi
I beneamati soldi perché
Chi ha tanti soldi vive come un pascià
E a piedi caldi se ne sta!
http://www.wikio.it