All’ultimo convegno sulla sicurezza ICT che si è svolto a Roma il 2
Febbraio, la società Maglan e RSA hanno evidenziato un dato significativo:
le minacce che gravano sulle imprese PMI, sono principalmente orientate allo
spionaggio industriale e al furto di identità digitale e sono in crescita.
Solitamente si pensa che gli hacker siano criminali informatici che si
divertono a sfidare i sistemi di sicurezza di aziende e uffici governativi
per poter provare la loro bravura o la vulnerabilità dei sistemi IT. Meno
noto è che gli hacker professionisti (o, meglio, i cracker) si riuniscono in vere e proprie
strutture organizzate e sono spesso finanziati per sottrarre informazioni
strategiche nell’ambito dello spionaggio industriale al fine di rivenderle
ai concorrenti! La diffusione di questa minaccia è in aumento ed è
quindi necessario porre particolare attenzione a comportamenti e
contromisure per contrastarla.
Scenari e tecniche di hacking
La società Maglan che si occupa
di consulenza e tecnologie per la difesa delle informazioni effettua un
monitoraggio costante degli attacchi verso i sistemi IT delle imprese
attraverso il proprio laboratorio di ricerche. Dai loro dati
relativi al mercato italiano si scopre che l’attività di hacking è
in crescita. Confrontando i dati relativi a settembre e ottobre 2010 che
mostravano rispettivamente un numero di
siti penetrati pari a 1136 e 1175, si è avuto un picco di
4448 attacchi (pari a 4 volte il dato medio) per il mese di novembre, in
coincidenza con l’esplosione del caso Wikileaks, che si è poi assestato su
valori più bassi pari a 3596 per il mese di Dicembre e 1827 per il mese di
Gennaio a riprova del generale accrescimento degli attacchi
informatici.
La violazione dei siti web è però una sorta di "specchietto per le
allodole", le attività principali di hacking infatti
puntano alla violazione dei sistemi IT aziendali per
trarre informazioni strategiche da rivendere al
miglior offerente. Infatti fra il 2007 e il 2010 si è assistito ad un
aumento degli attacchi sia del settore hi-tech che finanziario (storici
bersagli di hacking) e alla comparsa di
violazioni nei settori delle biotecnologie e appunto dell’industria
(spionaggio). Infine un recente sondaggio ad opera della società
RSA evidenzia che le PMI sono particolarmente prese di mira
perché giudicate più vulnerabili e meno protette rispetto alle Enterprise
company a causa dei bassi investimenti nel comparto sicurezza e sono
preferite per il furto dell’identità digitale.
Le attività di hacking sono favorite dalla globalizzazione delle
informazioni, delle tecnologie ed anche dall’unificazione di organizzazioni
criminali internazionali che reclutano hacker a fini mercenari. Si assiste
in particolare ad "eserciti" strutturati e dotati di tecnologie avanzate e
di fondi economici per raggiungere il cuore operativo dei sistemi target
eventualmente
restandovi "dentro" in qualità di spia inviando all’esterno
informazioni strategiche. Le modalità offensive sono state fino ad oggi
attacchi di tipo client side (su singoli pc utente) che hanno
causato comunque molti danni, ma si assiste ad attacchi strutturati
portati verso intere strutture di rete, sistemi operativi e
soprattutto applicazioni. Non è infatti infrequente trovare sul web
intere pagine che mostrano i DB di qualche applicativo con il listino prezzi
per l’acquisto di quei dati!
Le tecniche maggiormente utilizzate in questo tipo di attacchi sono basate
sulle
vulnerabilità per le quali non esiste ancora una patch
(cosiddetti attacchi 0-day) e provengono tipicamente da
computer mascherati e attraverso server situati in paesi poco
industrializzati, o afferenti ad aree geografiche in cui non è attivo il
servizio di interpol (polizie che collaborano) o in cui non ci sono rapporti
diplomatici con i paesi industrializzati; ad esempio quindi il
rimbalzo del segnale in una delle due coree o in un sito afgano garantirà l’irrintracciabilità
del computer usato per avviare l’attacco. Inoltre sono utilizzati cover
channel cifrati che garantiscono l’anonimato dell’attacco stesso: i sistemi
non si accorgono che i dati fuoriescono.
Solitamente il furto di informazioni avviene mediante un sistema di
Tunnelling creato fra l’azienda bersaglio e l’hacker; il canale
così creato si caratterizza per il basso livello di traffico, tale da non
essere rilevato e a tal fine le informazioni sono
spezzettate e inviate all’esterno in pacchetti più
piccoli, cifrate all’interno di immagini e
rese irriconoscibili ai software di sniffing che potrebbero
altrimenti accorgersi della fuoriuscita non autorizzata di dati. Sulla base
degli interventi effettuati presso le imprese da parte della Maglan, più del
90% delle aziende non si accorge di avere tunnel attivi verso la propria
rete o i propri PC.
Non vengono utilizzati solo software ma anche sofisticati sistemi
HW basati su chiavette USB intelligenti e dotate di connettore
bluetooth capace di trasmettere informazioni all’hacker anche in un raggio
di 100 metri. Per il posizionamento fisico spesso ci si serve di qualcuno
che lavora per l’impresa di pulizie che opportunamente pagato, posiziona il
piccolo hw sotto la scrivania o nel computer della persona target.
L’ingresso sul mercato degli smartphone
el’utilizzo promiscuo degli stessi in ambito business e personale
sta favorendo inoltre la disponibilità verso i malintenzionati
di informazioni personali e aziendali in parte per la bassa
dotazione di contromisure software sugli i-phone ma soprattutto per la
leggerezza comportamentale degli utenti stessi che spesso li dimenticano,
accesi, aperti disponibili o peggio li perdono facilmente.
Contromisure
Cosa devono fare quindi le Aziende per contrastare questo crescente e
sempre più sofisticato sistema di spionaggio? Sostanzialmente è necessario
cambiare la mentalità che riguarda l’IT security. La
sicurezza non è solo responsabilità dell’eventuale manager deputato ma
riguarda tutti : si deve intervenire sulla mentalità del management
e sul comportamento degli utenti finali. È necessario
ovviamente dotare i sistemi HW e SW di opportune contromisure
antivirus, antispam.
Schermare la rete con firewall di ultima generazione e
dividere la rete aziendale in sottoreti con accessi riservati. È necessario
lavorare a delle policy comportamentali interne per garantire la
classificazione e segretezza delle informazioni strategiche aziendali.
Controllare i canali di input e di output dei dati sia mediante le mail che
mediante supporti esterni (chiavette, cd dvd). E’ necessario
istituire periodicamente una valutazione mediante test
delle vulnerabilità dei mezzi informatici aziendali e dei test
sulle policy per verificarne il rispetto da parte dei dipendenti. È
opportuno inoltre verificare se l’azienda è soggetta a perdita,
alterazione o accesso non autorizzato dei propri dati. Si devono
infine
istituire sessioni di simulazione di attacchi per apportare
rafforzamenti hardware, software o miglioramenti del sistema delle
contromisure.
In sostanza in ogni azienda l’evoluzione della security deve
adeguarsi puntualmente alla rapida evoluzione delle minacce.