venerdì 11 marzo 2011

Workshop on Botnet - Cologne

Il direttore di ENISA durante una pausa del Workshop
Worshop on Botnet - Detection, Measurement, Disinfection & Defence: due intensi ed interessantissimi giorni di full-immersion sulle botnet nel convegno organizzato a Colonia da ENISA e da altri partner tedeschi ed europei, a cui ho avuto il piacere di partecipare.

Ma veniamo subito al resoconto... devo dire che il livello generale dell'evento è stato molto elevato, i contenuti discussi sono stati tanti ed il fenomeno delle botnet è stato analizzato sotto molti punti di vista. 
E' quindi veramente impossibile rendere onore a tutti gli oratori e a tutti gli argomenti, darò quindi solo dei flash citando alcune cose che mi hanno colpito più delle altre.

L'assunto di partenza del Workshop è legato alla crescente pericolosità delle botnet che sono usate da criminali di tutto il mondo come mezzo per portare a termine operazioni illecite, sempre più grandi e sofisticate, che spaziano dall'estorsione (attraverso il DDoS), allo spam, al furto di identità, all'esfiltrazione di documenti riservati e alle minacce alla sicurezza nazionale. 

Nel corso del convegno, come era facile immaginare sono emerse numerose novità molto interessanti, tra queste, spicca senza ombra di dubbio l'iniziativa tedesca di realizzazione di un Centro di supporto rivolto agli utenti  i cui PC sono stati infettati da malware che li ha aggregati a delle botnet. 

Alcuni interventi - come quello di Udo Helmbrecht, Direttore Esecutivo di ENISA - hanno puntualizzato, tra l'altro, che la diffusione delle botnet è in costante aumento ed i motivi alla base di questa espansione sono che: 
- le modalità di infezione e di diffusione sono estremamente convenienti
- gli utenti non sono particolarmente consapevoli del fenomeno e quindi sono poco responsabilizzati 
- i criminali, attraverso le botnet, possono realizzare grandi guadagni correndo dei rischi molto bassi di essere scoperti e puniti.

Altri interventi, poi, come ad esempio quelli di Daniel Plohmann (Fraunhofer FKIE) e Giles Hogben (ENISA, responsabile dell'iniziativa), hanno fornito degli approfondimenti sui documenti pubblicati da ENISA prima del convegno, mettendo in evidenza che le possibili contromisure per contrastare il fenomeno delle botnet sono:
- di natura tecnica
            - Blacklisting
            - distribuzione di false credenziali
            - BGP blackholing
            - DNS - based method
            - Takedown dei sistemi di C&C
            - Packet filtering
            - Walled Gardens
            - P2P Countermeasures
            - Remote disifection
- di natura "sociale"
            - Legislazione "ad hoc"
            - User awareness
            - Central Incidents Help Desk
            - Enhanced cooperation tra tutti gli attori coinvolti

Peter Kruse (CSIS) e Michael Sandee (Fox IT) hanno puntato rispettivamente l'attenzione:
- sulla botnet nota come "Patcher" che flagella le banche nord-europee e americane 
- sui cambiamenti in atto nel blackmarket che è sempre più service-oriented (i criminali studiano e si aggiornano).

Tilmann Werner (Kaspersky) ha raccontato la storia e l'evoluzione di una "famiglia" di botnet che è partita nel 2007 con il famigerato Storm Worm e adesso, dopo una serie di cambiamenti, è ancora operativa con la nuovissima botnet Hlux.

Damian Menscher (Google) ha insistito sull'asimmetria di questo tipo di attacchi e sul fatto che, al momento, non ci sia una strategia di contrasto alle botnet che risulti esente da critiche o da inconvenienti e che quindi è necessario che si adottino dei mix di misure di contenimento di volta in volta diversi e puntati al caso specifico. 

Tutti hanno però insistito sul fatto che la legislazione attuale è stata costruita per adattarsi ad un mondo reale dove esistono, ad esempio, delle frontiere reali e dove cose e persone possono fermate e controllate, mentre, nel mondo cyber, dove sono invece nate le botnet, tutto è diverso, non esistono frontiere,  tutto è  immateriale. E' quindi di fondamentale importanza che le legislazioni nazionali vengano aggiornate e armonizzate tra loro e che siano adottate delle misure orientate alla cooperazione internazionale che migliorino, in maniera netta, l'efficienza nello scambio di informazioni e nell'esecuzione delle operazioni. 

Infine, a mio modo di vedere, un intervento si è distinto rispetto agli altri per qualità, contenuti e capacità oratorie dello speaker... quello di Mikko Hypponen, che è riuscito a spaziare tra argomenti diversi e a dare un quadro della sicurezza sulla rete  tra passato, presente e futuro.

Procediamo con ordine tra le tante cose che ha detto... 

L'intervento è iniziato con l'esibizione di un floppy disk (quelli da quelli 5 pollici, ve li ricordate?) sul quale era memorizzato il primo malware della storia: Brain. Mikko ne ha fatto un interessante parallelo con Stuxnet - entrambi hanno delle ottime capacità di nascondersi ed entrambi si propagano attraverso dei device fisici che devono essere materialmente inseriti nel computer (floppy e chiavetta USB, le strategie buone non cambiano mai!). Ha poi aggiunto che sono passati esattamente 25 anni da quando Brain è stato scritto e che, per ricordare adeguatamente questa ricorrenza, ha voluto provare a trovare gli autori per poterli intervistare. Ebbene, all'interno del codice di Brain c'era scritto un indirizzo di Lahore in Pakistan; Hypponen è partito e, allo stesso indirizzo dopo 25 anni, c'era ancora uno degli autori di Brain!! Foto dell'incontro e momento di nostalgia (oggi è stato pubblicato il video dell'intervista). 

Mikko ha quindi puntato la sua analisi sull'evoluzione del malware e delle strategie che sono alla base di questo mondo. Il malware, infatti, è partito con degli "hobbisti" per poi passare a criminali sempre più organizzati e collegati alla criminalità tradizionale, fino ad arrivare all'attuale coinvolgimento diretto degli Stati sovrani che richiedono malware sempre più raffinato. Qui Mikko ha citato un episodio molto interessante. Nel corso della rivolta in Egitto dei giorni scorsi è stata attaccata la sede della polizia segreta egiziana che è stata data alle fiamme e molta della documentazione che era archiviata al suo interno è stata trafugata. Tra questi documenti (e anche qui Mikko ha mostrato le foto) c'erano delle offerte tecnico-economiche di una società tedesca specializzata nella realizzazione di trojan per l'intrusione ed il controllo remoto di PC. Questo episodio mette in evidenza, se ancora ce ne fosse bisogno, come ormai questo tipo di operazioni di spionaggio e intrusione siano diventate una sorta di routine per molti Stati e che non stiamo parlando di futuro ma di presente.

Infine, guardando al presente e al prossimo futuro, Mikko ha rivelato (anche qui con le foto) un particolare nuovissimo sulla notizia del malware per Android e cioè che il programma realizzato da Google per bonificare gli smartphone infettati (Android Market Security) è stato modificato da ignoti e ridistribuito su martket di terze parti ovviamente con l'aggiunta di un trojan all'interno. La conclusione è che ormai siamo all'alba di una nuova era dove le botnet saranno estese anche agli smartphone, che finora erano, bene o male, scampati alle morbose attenzioni dei criminali. Anche perché, dal punto di vista dei criminali, gli smartphone hanno un grande vantaggio rispetto ai PC: consentono di avere degli introiti diretti attraverso le telefonate e gli SMS verso numerazioni a tariffazione elevata.

Un bel futuro ci attende, non c'è che dire!

-----------------------------------------------------------------------------------------------
Aggiornamento 18 marzo 2011
ENISA ha pubblicato le slide degli interventi. Dategli un'occhiata, sono molto interessanti!

2 commenti:

Marco R. ha detto...

Ottimo report Matteo :)
Piacere di averti conosciuto, ci sentiamo presto tramite email.
Ciao!

Matteo Cavallini ha detto...

Ciao Marco, sono contento che tu sia venuto a trovarmi su Punto 1.

Effettivamente questo convegno è stato un ottimo modo per fare network e conoscere tante persone interessanti ed in gamba come te.

Sentiamoci quanto prima.

Saluti,
Matteo

Posta un commento

http://www.wikio.it